BSI zu Sicherheit bei Wearables (Fitnesstracker etc.)

Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich mit sogenannten Wearables (Fitnesstracker etc.) und deren Sicherheit befasst. In einem neuen Bericht gibt die Behörde Tipps zur sichereren Verwendung solcher Geräte im Hinblick auf Datenschutz und Privatsphäre.

Wearables sind Geräte (Smartwatch, Fitnessarmband etc.), die direkt am Körper getragen werden und unter anderem die Herzfrequenz, den Blutdruck, den Blutzuckerspiegel, den Schlaf oder den Kalorienverbrauch messen. Die Messergebnisse lassen sich anschließend über Applikationen (Apps) auswerten.

Am weitesten verbreitet sind Fitness- oder Activity-Tracker. Oft handelt es sich dabei um einfache Armbänder, die eine Hardwarekomponente enthalten, welche verschiedene Sensoren zur Aktivitätsmessung beherbergt. Viele bieten allerdings auch die Möglichkeit, eingehende Anrufe entgegenzunehmen oder Nachrichten abzurufen. Smartwatches sind ebenfalls weit verbreitet. Diese vereinen meist die Anwendungen eines Fitnesstrackers mit zusätzlichen Funktionen, wie der Steuerung eines Smartphones oder eines digitalen Assistenten.

Darüber hinaus gibt es noch viele weitere Arten von Wearables: smarte Kleidung, die beispielsweise Körperwerte überwachen kann, smarte Kopfhörer mit zusätzlichen Funktionen wie einem digitalen Assistenten oder der direkten Übersetzung gehörter Sprache, und Datenbrillen, die das Sichtfeld der Trägerin oder des Trägers mit digitalen Informationen anreichern. Oft sind diese allerdings noch nicht so weit entwickelt, weswegen sie auf dem Markt noch nicht oder selten zu finden sind. Die Erweiterung der in einer Datenbrille gesehenen Realität mit zusätzlichen virtuellen Inhalten wird als "Augmented Reality" bezeichnet.

Der Nutzen von Wearables kann für deren Trägerin oder Träger hoch sein. Durch die Auswertung der gesammelten Daten kann ein Activity-Tracker beispielsweise Verhaltenstipps zur Verbesserung des Fitness-Levels geben. Das Feedback soll – teils mit spielerischen Elementen – helfen, individuelle Ziele umzusetzen, wie zum Beispiel das Erreichen einer bestimmten Schrittzahl am Tag. Wearables können aber nicht nur bei der Verhaltensoptimierung helfen, sondern auch den Alltag erleichtern. Gerade eine Smartwatch vereint viele praktische Anwendungen, um immer alle Informationen "am Mann" oder "an der Frau" zu haben. Zum Beispiel kann eine Smartwatch neben der üblichen Zeitanzeige an bevorstehende Termine erinnern und E-Mails oder andere Nachrichten abrufen.

Risiken bei der Nutzung von Wearables

Vor dem Kauf eines Wearables sollten Verbraucherinnen und Verbraucher jedoch auf eine ausreichende Umsetzung der Datensicherheit achten, schreibt das BSI hier. Denn: Damit Wearables ihre Funktionen anbieten können, werden über die Geräte und entsprechende Apps personenbezogene Daten gesammelt.

Erhalten unberechtigte Dritte diese Daten, können diese einiges über die Nutzerin oder den Nutzer herausfinden. Die Art der verarbeiteten Daten ist abhängig von der Funktion des Wearables. Häufig handelt es sich um Daten zur Person, Gesundheitsdaten, Standortdaten oder auch Daten zum Schlafrhythmus. Mithilfe dieser Daten lässt sich unter Umständen ein gutes Profil der jeweiligen Nutzerin oder des jeweiligen Nutzers erstellen – ohne dass man dieser Person jemals begegnet sein muss.

Beispiel in Verbindung mit einem Identitätsdiebstahl. Zudem können die Daten auch für das sogenannte Doxing genutzt werden. Dieser Begriff wird verwendet, wenn Daten einer Person gezielt beschafft werden, um diese dann im Internet zu veröffentlichen. Oft wird damit das Ziel verfolgt, der Person zu schaden. Zum Beispiel kann durch das Offenlegen "brisanter" Daten ein Imageverlust von Personen erreicht werden. Ebenso könnten betroffene Personen eines Datendiebstahls durch Androhung der Offenlegung von Daten erpresst werden.

Mögliche Einfallstore in das System eines Wearables und damit auf die dort gespeicherten Daten stellen Sicherheitslücken in der Anwendungssoftware oder den Hardwareschnittstellen der smarten Mini-Computer dar. Diese könnte ein Angreifer ausnutzen, um zum Beispiel die Kontrolle über das Wearable zu übernehmen. Wenn ein gekapertes Wearable weitreichende Rechte für die Steuerung eines mit ihm vernetzten weiteren Gerätes, beispielsweise ein Smartphone, hat, kann der Angreifer diese Rechte nutzen, um auch dieses vernetzte Gerät zu übernehmen.

Wenn eine Transport- und Speicherverschlüsselung fehlt, besteht zudem bei der Übertragung der Daten die Gefahr von Manipulation und Ausspähung. So übertragen Wearables die Daten unter anderem über Bluetooth oder NFC-Schnittstellen an ein Smartphone, auf dem eine zugehörige App die Daten auswertet, grafisch aufbereitet und anzeigt. Als Zwischenspeicher werden zum Beispiel Cloud-Dienste oder zum System zugehörige Companion Devices genutzt, also Geräte wie zum Beispiel Smartphones, Tablets oder PCs, mit denen sich Wearables verbinden. Werden beispielsweise medizinische Funktionalitäten wie die Messung des Pulses von Wearables genutzt, um den eigenen Gesundheitszustand oder auch einen Genesungsprozess zu überwachen, könnten mögliche Angriffe auf die Sensorik der Geräte oder auf die Datenübertragung zu Fehleinschätzungen des eigenen Gesundheitszustandes führen und somit möglicherweise gefährliche Änderungen in der (Selbst-)Medikation als Folge haben.

Die Nutzung von Wearables kann dementsprechend oft einen Mehrwert bieten, aber ist gleichzeitig auch risikoreich, wenn nicht für eine entsprechende Sicherheit gesorgt wird.

Im betreffenden Dokument gibt das BSI zahlreiche Hinweise, was Benutzer beim Kauf und Betrieb solcher Geräte beachten sollten, um diese sicher zu betreiben. Informationen zur Studie SiWamed (Sicherheit von Wearables mit medizinischen Teilfunktionalitäten) finden sich hier.