Das Geschäft mit Fitness-Trackern brummt: Laut Branchenverband Bitkom werden in Deutschland jährlich mehr als 1,5 Million digitale Armbänder und Smartwatches verkauft, die in der Lage sind, Bewegungsdaten und andere gesundheitsrelevante Daten wie Puls und Herzfrequenz zu messen und aufzuzeichnen. Im Vergleich zu 2015 hat das Segment der sogenannten Wearables um gut 50 Prozent zugelegt.
Viele Bürger fragen sich aber zurecht, ob ihre sensiblen, individuellen Daten auf den Fitness-Trackern und in den zugehörigen Smartphone-Apps vor dem unberechtigten Zugriff Dritter sicher sind. Denn geht es andere etwas an, wenn Sie beispielsweise unter Schlaflosigkeit leiden oder Ihre Pulswerte auf ein gesundheitliches Problem hindeuten?
AV-Test, ein unabhängiges deutsches Forschungsinstitut für IT-Sicherheit, hat deshalb 13 populäre Wearables auf ihren Umgang mit dem Datenschutz getestet, berichtet der Nachrichtensender n-tv. Die gute Nachricht vorweg: Nur ein Produkt, der Fitness-Tracker HW01 von Lenovo, fiel bei den Testern komplett durch.
Inhaltsverzeichnis
Datenschutz bei Fitness-Trackern: Welche Details sind wichtig?
Der 2018 bereits zum dritten Mal durchgeführte AV-Test unterscheidet bei Wearables in Sachen Datenschutz vier Kategorien: Neben dem allgemeinen Datenschutz und der App-Sicherheit wurden externe und interne Kommunikation untersucht. Unter interner Kommunikation verstehen die Experten die Verbindung des Fitness-Trackers zum Smartphone, meist per Bluetooth realisiert.
Die von den Herstellern bereitgestellten Apps wurden unter dem Stichwort App-Sicherheit darauf getestet, ob diese gegen Angriffe geschützt ist und die Daten sauber verwaltet. Die externe Kommunikation beschreibt den Datenaustausch der App mit den Cloud-Servern, wo die Daten üblicherweise gesichert und auf Wunsch auch für Dritte freigegeben werden können. Der Datenschutz schließlich betrifft die Datenschutzerklärung und Hinweise darauf, ob Daten anonymisiert an Dritte weitergegeben und dadurch eventuell monetarisiert werden.
Die Testergebnisse im Einzelnen: Acht Wearables bei der Datensicherheit mit Bestnoten
Von den 13 getesteten Geräten konnten 8 die umfangreichen Anforderungen in Sachen Datensicherheit laut AV-Test überzeugend erfüllen. Dafür erhielten sie die Bestnote drei von drei Sternen und das Prädikat „Sicher“. Bei dem vívofit 3 von Garmin bemängelten die Tester trotz vergebener Bestnote, dass Updates für die Firmware des Fitness-Trackers noch über eine unverschlüsselte Internet-Verbindung aufgespielt werden. Dieses solle der Hersteller ändern, so AV-Test. Neben dem vivofit 3 dürfen folgende Wearables beim Thema Datenschutz als vorbildlich gelten:
- Apple Watch Series 3
- Charge 2 von Fitbit
- Band 2 Pro von Huawe
- UP3 von Jawbone
- Steel HR von Nokia
- Fit 2 Pro von Samsung
- Spark 3 von TomTom
Insgesamt bescheinigte AV-Test den Herstellern von Fitness-Trackern große Fortschritte beim Datenschutz. Die Anzahl der „haarsträubenden Sicherheitsmängel“, die bei den Tests 2016 und 2015 noch bemängelt werden mussten, sei drastisch zurückgegangen.
AV-Test: Vier Wearables beim Datenschutz verbesserungswürdig
Im aktuellen AV-Test bekamen 4 der 13 Wearables, die auf dem Prüfstand lagen, zwei von drei möglichen Sternen für ihren Umgang mit dem Datenschutz. Anhand der Kritik der Tester an einzelnen Schwachstellen lässt sich gut nachvollziehen, wo die Fallstricke liegen. Der Fitness-Tracker Life S2000 von Medion beispielsweise überträgt Trainingsdaten über eine unverschlüsselte Funkverbindung, bei der sich der Empfänger zudem nicht einmal authentifizieren muss. Dadurch wäre es für Dritte sehr einfach möglich, die persönlichen Fitness-Daten abzufangen, so AV-Test.
Ähnlich lax beim Datenschutz in der internen Kommunikation agierte der Fitness-Tracker Now von Moov. In der Kategorie App-Sicherheit störten sich die Tester an im Klartext hinterlassenen Log-in-Daten in der App. Dies betraf die Geräte von Medien, Moov, Lenovo und das Mi Band 2 von Xiaomi. Bei der externen Kommunikation versagte nur der Fitness-Trecker HW01 von Lenovo, bei dem die unverschlüsselte Registrierung in der Cloud es Angreifern leicht macht, an persönliche Daten zu gelangen.
Eine ungenügende Datenschutzerklärung, die viele Fragen insbesondere zur anonymisierten Weiterleitung von Daten offenlässt, verhinderte beim A370 von Polar die Bestnote in der Gesamtwertung.
Wer sich also dafür entscheidet, dieses Gerät, das Mi Band 2 von Xiaomi, das Life S2000 von Medion oder Now von Moov zu benutzen, muss sich darüber bewusst sein, beim Thema Datensicherheit Kompromisse einzugehen. Vom Gebrauch des HW01 von Lenovo, der nur einen von drei Sternen in der Gesamtwertung des AV-Test aufweist, ist generell abzuraten.
Datensicherheit bei Wearables – der Ausblick
Nachrichten über Datenschutzskandale bei Facebook oder Hackerangriffe auf Online-Banken haben Verbraucher sensibilisiert. Die Hersteller von Fitness-Trackern gehen 2018 wesentlich professioneller mit Maßnahmen zur Datensicherheit um als in den Vorjahren, zeigt der AV-Test. Bereits jetzt sind beispielsweise Krankenkassen an den von Fitness-Trackern erhobenen persönlichen Daten interessiert und bieten Verträge an, bei denen gute Fitness-Werte mit preiswerteren Versicherungstarifen belohnt werden.
Diese Entwicklung dürfte andauern. So könnten etwa auch Berufskraftfahrer per Fitness-Tracker auf gefährliche Konzentrationsmängel hin überwacht werden. Noch hat der Gesetzgeber die Sparte Fitness-Tracker und die mit ihnen verbundenen Datenschutzfragen nicht explizit geregelt. Absehbar aber bleibt, dass sich der Einzelne überlegen sollte, ob er seine privaten Fitness- und Gesundheitsdaten wirklich mit Dritten teilen möchte oder es vorzieht, selbst die Kontrolle über diese sensiblen Informationen zu behalten.
Die jüngst vorgestellte Apple Watch der 4. Generation etwa wird die Fähigkeit haben, Elektrokardiogramme (EKG) aufzuzeichnen. Die Menge der von Wearables erfassten Daten wächst also weiter und damit auch das Risiko, dass Sie durch diese Daten mehr von sich preisgeben als gedacht.