Datensicherheit Fitness Tracker

Fitness-Tracker, Armbänder und Smartwatches sind praktische Begleiter beim Sport. Nur: Was passiert eigentlich mit den gesammelten Daten und wie gut sind sie geschützt?

Datenklau bei Jogginglauf?

Fitness Tracker messen Schritte, Entfernung, Puls und Kalorienverbrauch – und übertragen all diese Werte via Bluetooth an eine App und ins Internet. Wie sicher ist das und was könnten Dritte überhaupt mit den Daten anfangen?

Früher war es einfach, Joggen zu gehen. Mehr als ein Paar Laufschuhe brauchte es nicht. Vielleicht noch eine kurze Hose, ein T-Shirt und Sportsocken. Einfach, unkompliziert, überall – mit dieser Philosophie verbreitete sich die Jogging-Bewegung seit den 1960er-Jahren von den USA über die ganze Welt. Heute, mehr als 50 Jahre später, sehen Läufer anders aus. Sie tragen hautenge, atmungsaktive Funktionskleidung, das Smartphone in einer Binde am Arm und am Handgelenk ein Armband, um Puls, Schritte und zurückgelegte Strecke zu messen. So sehen sie beim Mineralwasser danach sofort, ob sich die Quälerei gelohnt hat: Kalorienverbrauch, Rundenzeit, Durchschnitts- und Spitzengeschwindigkeit, Temperatur, Schrittlänge und und und. Je teurer die Geräte, desto umfangreicher sind die Möglichkeiten – aber auch die Daten, die von den Anbietern auf ihren Servern gespeichert werden.

Bisher werden Fitness-Daten ohne persönliche Angaben wie Name und Anschrift verwaltet. Doch die Sorge, dass Anbieter ihre Nutzer ausspähen und deren Daten anderweitig vermarkten, wird immer wieder genannt. Natürlich wäre es auch für Krankenversicherungen durchaus interessant, etwas über das Bewegungsverhalten ihrer Mitglieder zu erfahren. Wer in den USA etwa durch einen Tracker eine gute Fitness nachweisen kann, erhält bei seinem privaten Krankenversicherer einen günstigeren Tarif. In Deutschland ist der Umgang mit derlei Daten allerdings deutlich restriktiver.

Gegen das Solidarprinzip

Zwar bezuschussen auch einige deutsche Krankenkassen den Kauf von Smartwatches oder Fitnessarmbändern, um ihre Versicherten zu mehr Bewegung zu animieren. Die IKK classic hält sich hier bewusst zurück – auch weil der Kauf eines Geräts an sich schließlich noch kein Beitrag zu einer gesünderen Lebensweise darstellt. An eine Übermittlung von Daten ist die Förderung anderer deutscher Krankenkassen allerdings nicht gekoppelt. Denn noch gilt in Deutschland das Solidarprinzip, dass eine gesundheitsbezogene Prämienbemessung in der gesetzlichen Krankenversicherung ausschließt.

Abgesehen davon, kann aber jeder, der ein Fitness-Armband nutzen möchte, schon bei der Kaufentscheidung selbst für etwas mehr Datensicherheit sorgen. Die auf Antiviren-Software spezialisierte Firma AV-Test hat neun Fitness Armbänder auf ihre Sicherheit überprüft und durchaus einige Datenlecks gefunden. Zwar folgen die Apps der getesteten Tracker bei der Übertragung der Daten ins Internet allesamt aktuellen Sicherheitsstandards.

Auf andere Kriterien können Nutzer allerdings gezielt achten:

So gut wie alle Fitness-Armbänder kommunizieren via Bluetooth mit einer entsprechenden Smartphone-App. Nach dem sogenannten Pairing, sobald also eine Verbindung zwischen Tracker und Handy zustande gekommen ist, sollte das Armband für andere Geräte unsichtbar sein – und bei einer vorübergehenden Unterbrechung auch bleiben.

Gute Tracker senden ihre Daten verschlüsselt, weniger gute Geräte funken im Klartext. Sie wären eine leichte Beute und könnten mit anderen oder selbst programmierten Apps abgefangen werden, sofern sich der ungebetene Lauscher innerhalb der Reichweite befindet.

In jedem Fall sollte der Tracker ein Smartphone, an das er sendet, zuvor nach einer PIN oder Authentifizierung fragen. Ein Fitness-Armband im Versuch von AV-Test etwa übergab seine Daten allzu bereitwillig jedem Smartphone mit Bluetooth und vorinstallierter Fitness-App.

Ein Kriterium, das für Laien schwer zu überprüfen ist, ist die Programmierung und die Sicherheit der Apps. Sie sollten ihren Programmcode verschleiern, um nicht von Hackern nachgebaut zu werden. In einem kleinen Versuch konnte AV-Test eine solche Späh-App programmieren und Daten abgefangen. Die Experten konnten sogar Daten manipulieren und wieder zurückschicken und so zum Beispiel die ganze Tagesleistung mit einem Klick wieder auf null setzen.

Bildnachweis Headergrafik: © Fotolia

Passende Artikel