Wearables sind ein Datenschutz-Albtraum

Felix Disselhoff

Artikel vom 05.08.14

Sie baumeln am Handgelenk, tracken unsere Fitness und Bewegungen - und speichern diese teils vollkommen unverschlüsselt. Mehr noch.

Über die Ausgereiftheit von Gadgets wie dem Jawbone UP oder dem Fitbit Flex kann man streiten. Unbestritten ist jedoch der Erfolg der Wearables. Waren vor rund zwei Jahren die beiden Platzhirsche noch allein auf weiter Flur, so hat jetzt jeder Smartphone-Hersteller - mit Ausnahme von Apple - eigene smarte Armbänder im Angebot. Analysten sehen im Wearables-Segment einen Multi-Milliardenmarkt.

Doch während die Unternehmen bereits echte Dollar mit den Armbändern 2.0 verdienen, steckt die Technologie noch in den Kinderschuhen. Zumindest sind Forscher im Auftrag des Security-Unternehmens Symantec zu diesem Schluss gekommen. Um herauszufinden, wie sicher die Geräte mit den Daten ihrer Träger umgehen, haben sie öffentliche Plätze mit vielen Menschen und Sportveranstaltungen besucht. Für das Abfragen der Daten wurden Raspberry Pis mit einem Bluetooth-Adapter, einer SD-Karte und Akkus ausgestattet. Kostenpunkt: 75 Dollar. Es braucht also keine teure Hardware, um diese Daten auszuspähen.

So günstig lassen sich Daten ausspähen: Raspberry Pi mit Bluetooth-Dongle für 75 Dollar (© 2014 Symantec) - http://www.symantec.com/connect/blogs/how-safe-your-quantified-self-tracking-monitoring-and-wearable-tech

Das Ergebnis ist erschreckend: Rund 20 Prozent der "angezapften" Apps funken die Daten im Klartext. Das bedeutet, sie werden unverschlüsselt vom Handgelenk an ein Smartphone per Bluetooth übertragen und können somit problemlos ausgelesen werden. Da es sich beim verwendeten Protokoll um Bluetooth Low Energy handelt, besteht die Verbindung meist dauerhaft - insofern der Träger das zuvor nicht in den Einstellungen ändert.

Apps sind wahre Plappermäuler

Das ist insofern dramatisch, als dass viele Wearables und die angeschlossenen Apps nicht nur Fitnessdaten speichern, sondern auch die absolvierte Strecke auf einer Karte tracken und sensible Daten, wie den Namen, Mail-Adresse, Alter, Gewicht und viele weitere persönliche Informationen des Trägers vorhalten. Mit diesen Daten ist es Kriminellen wiederum möglich, Profile auf anderen Webseiten anzuzapfen. Kurzum: Ein gut abgesichertes Smartphone bringt Euch recht wenig, wenn Euer vermeintlich smartes Armband ungesichert funkt.

Was bedeutet das? Vor allem, dass Euer sogenanntes "quantified self", also die Vermessung Eures Lebens, mit einem fetten "Aber" kommt. Ihr könnt Eure Fitness, Eure Bewegungen in der Stadt und vieles weitere tracken und mit anderen teilen - aber müsst auch in Kauf nehmen, dass bei dieser Selbstvermessung andere mithören können. Denn wie die Forscher darüber hinaus herausgefunden haben, kommuniziert eine Wearables-App durchschnittlich mit fünf Webseiten - mitunter waren es sogar zwölf. Mitnichten tauscht die Software die gesammelten Informationen nur mit der Seite des Hersteller aus. Angeschlossen sind auch Dienste, die den Zustand der Hardware überprüfen und Updates über die Stabilität der App übermitteln. Das ist fraglos vernünftig, um das eigene Angebot zu verbessern. Doch nochmal: Ein Fünftel der ausgelesenen Daten wurden unverschlüsselt übermittelt - und könnten somit unverschlüsselt auf Daten von Firmen landen, von denen Ihr noch nie gehört habt.

Denn abgesehen vom technologischen Manko etlicher Modelle hatten 52 Prozent der Unternehmen, von deren Geräten die Forscher die Daten ausgelesen haben, auch keinerlei Datenschutzerklärung. Das bedeutet, es ist nicht nur nicht klar kommuniziert, wie die Unternehmen mit den gesammelten Daten umgehen, es offenbart auch, wie unwichtig dieser Aspekt in der Entwicklung noch zu sein scheint.

Welche Geräte im Einzelnen besonders leicht zu hacken waren, das verrät Symantec nicht. Allerdings ist es nicht das erste Mal, dass sich Sicherheitsexperten auf Tour begeben haben, um den Datenverkehr von Bluetooth-Gadgets "im Freien" zu überprüfen. Die Forscher Verónica Valeros und Sebastián García aus Argentinien hatten bereits 2013 nachgewiesen, wie einfach sich Bewegungsprofile von Nutzern erstellen lassen, die Bluetooth-Geräte mit integriertem GPS-Chip mit sich tragen.

Was könnt Ihr tun?

Symantec empfiehlt, Bluetooth nur bei Bedarf zu aktivieren. Ferner rät man zur Vorsicht, wenn unbekannte Dienste und Webseiten Zugriffe auf die gesammelten Daten haben wollen - besonders dann, wenn diese Services keinerlei Datenschutzerklärung ausgeben. Außerdem raten die Sicherheitsexperten dazu, auf das Mitteilen von Standortdaten in den sozialen Medien zu verzichten.

Mehr zu diesen Themen: