Stellungnahme des TÜV-Verbands zur Cyber-Sicherheit smarter Fitnessgeräte

Grundlage der Angaben ist eine repräsentative Umfrage des Marktforschungsinstituts Forsa im Auftrag des TÜV-Verbands unter 1.002 Personen ab 16 Jahren

[datensicherheit.de, 08.01.2024] In einer aktuellen Stellungnahme warnt der TÜV-Verband, dass sogenannte Intelligente Sportgeräte und „Wearables“ wohl die Motivation für mehr Bewegungen steigern könnten, doch sei Vorsicht geboten: „Smarte Fitnessgeräte können zum Einfallstor für Cyber-Kriminelle werden!“ Sportler sollten daher Zugriffsrechte und Schnittstellen überprüfen und starke Passwörter verwenden. Der TÜV-Verband erläutert zudem, wie Nutzer von smarten Fitnessgeräten ihre persönlichen Daten schützen können.

TÜV-Verband: Bei smarten Fitnessgeräten sollte grundsätzlich auch auf Cyber-Sicherheit geachtet werden

Auch im neuen Jahr 2024 fassten viele Menschen den Vorsatz, mehr für ihre körperliche Fitness zu tun: Smarte Sportgeräte, intelligente Körperwaagen oder „Wearables“ könnten dabei helfen, Trainingsfortschritte und Vitalwerte aufzuzeichnen. Mit einigen Geräten könnten Sportler ihr Trainingserlebnis sogar personalisieren: „So lassen sich Workouts protokollieren, Trainingsparameter einstellen, Fitnessziele überwachen und individuelle Trainingspläne erstellen.“ Diese digitalen Helfer erleichterten nicht nur den Alltag, sondern könnten auch Sportmuffel motivieren.

Doch sie bergen auch Risiken, betont Marc Fliehe, Fachbereichsleiter für Digitalisierung und Bildung beim TÜV-Verband: „Da smarte Fitnessgeräte häufig mit dem Internet verbunden oder persönliche Bewegungs- und Gesundheitsdaten dort speichern, lohnt es sich, auch die Cyber-Sicherheit in den Blick zu nehmen.“ Deshalb sollten Verbraucher besonderen Wert auf die richtige Einrichtung und den sicheren Gebrauch dieser Geräte legen.

Aktuelle Ergebnisse einer repräsentativen Forsa-Umfrage im Auftrag des TÜV-Verbands

In elf Prozent der deutschen Haushalte steht demnach eine Intelligente Körperwaage – so ein Ergebnis einer repräsentativen Forsa-Umfrage im Auftrag des TÜV-Verbands unter 1.002 Personen ab 16 Jahren. „Smarte Körperwaagen messen neben dem Gewicht zum Beispiel auch den Körperfettanteil, die Muskelmasse, das Knochengewicht, den Wasseranteil, den Body-Mass-Index und den Puls und senden diese Daten per WLAN über das Internet oder direkt per ,Bluetooth’ an das Smartphone.“ Dort würden die Daten in der zugehörigen App übersichtlich dargestellt und ausgewertet.

Da smarte Fitness-Tracker sensible personenbezogene Daten speicherten, sollten Verbraucher ganz besonders auf die Cyber-Sicherheit dieser Geräte achten. Laut Umfrage hätten 65 Prozent der Bundesbürger große Sorge, dass privat genutzte Smart-Home-Geräte den Datenschutz verletzen oder persönliche Daten missbrauchen könnten.

TÜV-Verband empfiehlt, schon vor dem Kauf auf Cyber-Sicherheit zu achten

Schon vor dem Kauf personenbezogene Daten schützen!
Intelligente Fitnessgeräte verfügten oft über verschiedene Sensoren zur Messung der körperlichen Aktivität und der Vitalwerte. Sie würden häufig als „Wearables“ am Körper getragen – zum Beispiel in Form smarter Armbänder, smarter Kleidung oder smarter Kopfhörer. Darüber hinaus sammelten sie auch Daten zur Person und Standortdaten. „Cyber-Kriminelle nutzen personenbezogene Daten, um persönlichen oder finanziellen Schaden anzurichten“, warnt Fliehe. Hacker könnten solche Daten auch veröffentlichen, um Personen gezielt zu schädigen oder zu erpressen, indem sie mit der Veröffentlichung brisanter Daten drohten. Weiterhin könnten sie versuchen, die Kontrolle über vernetzte Geräte wie Smartphones zu erlangen.

Verbraucher sollten sich bereits vor dem Kauf über das Gerät informieren und potenzielle Risiken kennen!
Es sei wichtig, zu wissen, welche Sensoren das Gerät verwendet und welche Daten damit aufgezeichnet und gespeichert werden. Außerdem sollte nachvollziehbar sein, wo die Daten gespeichert und mit welchen Anwendungen (Apps) sie geteilt werden. Ein Blick auf den Hersteller lohne sich ebenfalls: Dieser sollte seriös sein und langfristig Sicherheits-Updates zur Verfügung stellen. Apps aus unsicheren Quellen enthielten oft Malware, mit der Cyber-Kriminelle sensible Daten abgreifen könnten. Hierzu könnten auch Erfahrungsberichte anderer Nutzer helfen. Mittlerweile gebe es auch Zertifizierung für die IT-Sicherheit smarter Geräten. Prüfzertifikate von unabhängigen Prüfstellen – wie z.B. das TÜV-Prüfzeichen „CyberSecurity Certified“ (CSC) – gäben Verbrauchern Orientierung beim Kauf.

Wie sich Nutzer smarter Fitnessgeräte laut TÜV-Verband vor Cyber-Angriffen schützen können:

1. Zugriffsrechte überprüfen!
Intelligente Fitnessgeräte würden häufig mit dem Smartphone verbunden. Dadurch könne es auf Daten und Funktionen wie Standort oder Kontaktliste zugreifen. Verbraucher sollten deshalb genau überprüfen, ob entsprechende Zugriffsberechtigungen für den Gebrauch des Gerätes tatsächlich notwendig sind und diese gegebenenfalls deaktivieren. Auch die Daten der Fitnessgeräte sollten nur bei Bedarf für das Smartphone freigegeben werden. Mit jedem Software-Update könne sich die Berechtigungsstruktur ändern. Sie sollte daher regelmäßig überprüft und gegebenenfalls angepasst werden.

2. Starke Passwörter und PINs verwenden!
Smarte Fitnessgeräte sollten immer mit Passwörtern oder PINs vor unbefugtem Zugriff geschützt werden. Auch das Smartphone und das genutzte WLAN-Netzwerk sollten durch sichere Passwörter geschützt werden – voreingestellte Passwörter sollten bei der Einrichtung des Gerätes sofort geändert und Benutzerkonten möglichst durch eine Zwei-Faktor-Authentifizierung (ZFA) geschützt werden. Ein Passwort-Manager könne helfen, sichere Passwörter zu erstellen und zu verwalten. Ein starkes Passwort bestehe aus mindestens zehn Zeichen, darunter Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

3. Auf richtige Verschlüsselung achten!
Ein ausreichend gesichertes Heimnetzwerk sei eine wichtige Voraussetzung für den Schutz von smarten Sportgeräten. „Bei WLAN-Routern empfiehlt sich der aktuellste Verschlüsselungsstandard WPA3.“

4. Schnittstellen kontrollieren!
Schnittstellen zwischen smarten Fitnessgeräten und anderen Geräten sollten nur dann aktiviert werden, wenn sie für die Funktionalität notwendig sind und auch verwendet werden – nach der Nutzung sollten sie wieder deaktiviert werden. „Je mehr Schnittstellen aktiviert sind, desto größer ist die Angriffsfläche für Cyber-Angriffe.“ Wenn möglich, sollte eine Verschlüsselung der Kommunikation aktiviert werden. Verbindungen zwischen Smartphone und „Wearable“ über „Bluetooth“ sollten nur mit PIN-Abfrage möglich sein. So werde sichergestellt, dass sich nur verifizierte Geräte mit dem „Wearable“ verbinden.

Fitness-Hype: TÜV-Verband rät generell zur Vorsicht

Messwerte wie zum Beispiel der Körperfettanteil bei einer smarten Körperwaage sollten lediglich als Richtwerte verwendet werden. Für eine detaillierte Analyse sollten Sportler einen Arzt aufsuchen. Smarte Fitnessgeräte könnten dabei helfen, bestimmte Fitnessziele zu erreichen. Nutzer könnten Fortschritte und Werte regelmäßig einsehen, sollten sich dabei aber nicht unter Druck setzen.

Eine Abhängigkeit von diesen Geräten könne negative Folgen haben. Auch einige Apps profitierten auf diese Weise: „In-App-Käufe zum Beispiel für detaillierte Werte oder Trainingspläne können mit hohen Kosten verbunden sein und den eigentlichen Spaß zur Kostenfalle machen“, so der abschließende Hinweis.

Weitere Informationen zum Thema:

datensicherheit.de, 10.07.2018
Fitness-App: Datenpanne könnte Mitarbeitern sensibler Bereiche schaden / Tim Berghoff kommentiert aktuelle Entdeckung einer Schwachstelle

datensicherheit.de, 12.09.2017
5. Verbraucherdialog in Mainz gestartet: Wearables im Fokus / Nutzung von Fitnessarmbändern u.a. muss unter Wahrung des Rechts auf informationelle Selbstbestimmung erfolgen

datensicherheit.de, 05.12.2016
Gesundheits-Apps und Wearables: Datenschutz ungenügend / Stichproben durch Datenschutzbehörden aus Bund und Ländern unterstreichen Handlungsbedarf