Cybersecurity: Fünf Tipps, wie Sie Ihre Fitness-Apps vor ungewollten Zugriffen schützen
Von wegen "einsamer Läufer". Wer vernetzte Sport-Apps nutzt, hinterlässt vielfach unbewusst detaillierte Datenspuren im Netz.
Foto: dpaIch gestehe, auch ich hab's schon getan: Tracks meiner Laufrunden nach Feierabend oder die Routen meiner Hüttentouren in den Bergen mit Freunden geteilt. Geteilte Freude ist halt doppelte Freude – und sei es die über Trainingsfortschritte bei der Vorbereitung auf den nächsten Wettbewerb oder eben eine gemeisterte Höhenwanderung.
Und weil das nicht bloß für mich gilt, sondern offenbar für Millionen von Freizeitsportlern, wird aus dem individuellen Mitteilungsbedürfnis im Verbund mit laxen Datenschutzeinstellungen bei Smartphones, Fitnesstrackern und Gesundheits-Apps allzu oft und allzu leicht ein gravierendes Sicherheitsrisiko. Für einzelne Personen genauso wie für Unternehmen.
Jüngst haben Recherchen der französischen Zeitung Le Monde enthüllt, dass Angehörige der Sicherheitsgruppe von Frankreichs Präsident Emmanuel wochenlang die Verläufe ihrer Trainingsrunden öffentlich geteilt haben. Alles, was es brauchte, um die Aufenthaltsorte und Laufwege nachzuvollziehen, war ein Konto bei der Fitness-App Strava und etwas Feinarbeit in den Programmeinstellungen.
Was dem Fall, neben der Prominenz der verräterischen Läufer, besondere Brisanz verleiht, ist, dass die Sache alles andere als ein Einzelfall ist - und auch für die Zukunft nicht ausgeschlossen werden kann.
Zwar haben die Entwickler vieler Apps, Strava eingeschlossen, bei den Sicherheitseinstellungen inzwischen nachgeschärft, aber offensichtlich ist es für leichtsinnigen Anwendern noch immer viel zu einfach, beim vernetzten Training gut sichtbare Datenspuren ins Netz zu legen. Denn der Macron-Vorfall ist nur das jüngste Beispiel einer unseligen Kette von Cybervorfällen in Verbindung mit Gesundheits-Apps. Dabei wurden höchstpersönliche Daten entweder durch unsichere App-Einstellungen oder IT-Schwachstellen bei den Anbietern von Gesundheitsdiensten publik.
Pulsverläufe, Alkoholkonsum - öffentlich im Netz einsehbar
Erst 2022 hatten Angehörige des israelischen Militärs Identitäten, Standorte, Bewegungsprofile und sogar die Standorte eigentlich als geheim klassifizierter Standorte vermutlich unbeabsichtigt öffentlich gemacht, berichtete die israelische Tageszeitung Haaretz, weil sie ihre Trainingsaktivitäten bei Strava unzureichend gegen das Mitlesen durch Dritte abgesichert hatten. 2021 entdeckten Sicherheitsforscher eine ungesicherte Datenbank in der GetHealth-Plattform, die unter anderem Informationen mit Gesundheits- und Wellness-Apps wie FitBit, GoogleFit ode 23andMe austauscht. Betroffen waren mehr als 61 Millionen Datensätze, darunter Benutzerprofile, Fitness- und Herzfrequenzverläufe, Puls, Schlafaufzeichnungen, Geburtsdaten, physische Beschreibungen und geografische Standorte.
Und 2018 sorgten gar zwei große Fitness-Leaks für Aufsehen. Zum einen hatte der Anbieter der Fitness-App PumpUp, sensible Daten seiner Nutzer ohne Passwortschutz in der Amazon-Cloud gespeichert. Damit standen von Benutzern übermittelte Gesundheitsinformationen wie Größe, Gewicht und andere Datenpunkte wie Koffein- und Alkoholkonsum, Rauchhäufigkeit, gesundheitliche Bedenken, Medikamente und Verletzungen offen erreichbar im Netz. Eine Funktion der Fitness Polar wiederum in Verbindung mit Strava ermöglichte es Schnüfflern – ähnlich wie jüngst bei Macrons Bodyguards – über eine unzureichend gesicherte Datenschnittstelle sowohl Nutzer- als auch Bewegungsprofile auszulesen.
Wie verräterisch die verfügbaren Daten waren, beschrieben die Datenermittler von Bellingcat in ihrer Analyse am Beispiel von Militärstandorten: „Suchen Sie einen Militärstützpunkt, wählen Sie eine dort veröffentlichte Übung aus, um das zugehörige Profil zu identifizieren, und sehen Sie, wo diese Person sonst noch trainiert hat. Da die Menschen dazu neigen, ihre Fitness-Tracker ein- und auszuschalten, wenn sie ihr Haus verlassen oder betreten, markieren sie unwissentlich ihre Häuser auf der Karte.“
Reale Gefahr auch für Firmenverantwortliche
Und weil viele Nutzer in ihren App-Konten oft ihren vollen Namen samt Profilbild veröffentlichen, ist es für Dritte ein Leichtes, detaillierte Personenprofile zu erstellen. Das ist längst nicht nur ein Risiko für Militärangehörige, sondern auch für andere exponierte Persönlichkeiten, wie Vorstandsmitglieder von Unternehmen, Politikerinnen und Politiker oder andere Prominente.
Dass und wie sehr gerade Repräsentanten von Unternehmen im Visier von Kriminellen aber auch potenziellen Attentätern mit staatlicher Unterstützung stehen, haben erst im Sommer dieses Jahres die möglichen Anschlagspläne gegen den Rheinmetall-Vorstandschef Armin Papperger ans Licht gebracht. Aus dem Cyberrisiko Datendiebstahl, kann auf diese Weise allzu leicht auch eine ganz reale Gefahr für Schutzpersonen werden – auch und gerade in Unternehmen.
Angesichts potenzieller Gefahren und Datenlecks aufs regelmäßige Training zu verzichten, sollte wegen der grundsätzlich segensreichen Wirkungen des Sports allerdings keine Option sein. Wohl aber der kritische Blick in die Konfiguration von Smartphone, Fitnesstracker oder Trainings-App. Fünf Tipps, wie sich dagegen schützen, selbst ausgespäht zu werden:
So bleiben Ihre Trainingsdaten unter Ihrer Kontrolle
1. Als wichtigste Maßnahme gilt es dann, die Sichtbarkeit seiner Daten auf „privat“ oder „nur für mich“ einzustellen – sofern das nicht bereits ab Werk in der App hinterlegt ist.
2. Fitnessrelevante Daten aus verschiedenen Apps, also beispielsweise dem Lauftracker, einem Ernährungsratgeber und dem im Handy ohnehin erzeugten Bewegungsprofil zusammenzuführen, mag verlockend sein, einen ganzheitlichen Blick auf die eigene Gesundheit zu gewinnen. Gleichzeitig aber birgt jede verknüpfte App das Risiko, dass bei Sicherheitslücken in einem Dienst gleich sämtliche Personendaten für Hacker und Kriminelle erreichbar werden. Sicherer ist also, die Datenfreigabe einzuschränken.
3. Wer Trainings-Apps installiert, muss dabei in der Regel den Zugriff der App auf die Ortungsdienste des Telefons erlauben. Meist gibt es dabei die Option, den Zugriff nicht ständig, sondern nur beim tatsächlichen Gebrauch der App zuzulassen. Das verhindert, dass die Anwendungen auch jenseits des Sports Bewegungsdaten erfassen und die Betreiber der Programme so noch viel genauere Personenprofile erstellen … die dann wieder gehackt werden können.
4. Auch für die digitale Fitness gilt: Wenn die App nichts kostet, zahlt der Nutzer mit seinen Daten. Leider gilt allerdings der Umkehrschluss nicht genauso: dass, wer einen kostenpflichtigen Trainingsdienst abonniert, auf die Vertraulichkeit seiner Daten setzen kann. Wer also eine neue Fitness-App auf seinem Smartphone installiert, sollte vor der Auswahl des Programmes im Steckbrief der App nachlesen, welche Daten die App erfasst und wie sie diese verarbeitet. Entsprechende Angaben müssen die Entwickler in Apples App Store oder Googles PlayStore inzwischen veröffentlichen.
5. Und schließlich eine vermeintlich banale aber leider oft ignorierte Regel, die für PC-Programme genauso gilt wie für Trainings-Apps: Halten Sie alle Software aktuell und installieren Sie verfügbare Updates möglichst rasch. Denn es nützt gar nichts, wenn man zwar abschaltet, dass eine App die persönlichen Laufrouten öffentlich im Netz sichtbar macht, alle persönlichen Daten aber aufgrund eines nicht per Update geschlossenen Programmfehlers dennoch für Hacker erreichbar bleiben.
Viel Aufwand ist das alles nicht für etwas mehr Privatsphäre und (Daten-) Sicherheit beim vernetzten Sport. Seit ich meine Apps entsprechend angepasst habe, laufe ich entspannter. Und kann meine Tracks und Ergebnisse dennoch mit all jenen Freunden teilen, bei denen ich das will. Aber eben auch nur noch mit denen.
Lesen Sie auch: Gesichtserkennungsdienste im Netz verblüffen mit bemerkenswert zuverlässigen Suchergebnissen. Ihre Entwickler eher damit, wie bedenkenlos sie den Datenschutz ignorieren.