11 02 2021

Smart-Home-Training: Trend mit Sicherheitsrisiko

Tobias Reicheldt Lifestyle & Gesundheit, Technologie sicherheit, smart home

In einer Welt der geschlossenen Fitnessstudios erlebt das Heimtraining eine ungeahnte Renaissance. Besonders die High-Tech-Variante der über das Internet vernetzten Trainingsgeräte verzeichnet enorme Wachstumsraten. Damit wird das Heimtraining allerdings auch zum potentiellen Sicherheitsrisiko.

Wenn US-Präsident Joe Biden und Gattin mit ihren Peloton-Fitnessrädern ins Weiße Haus umziehen, ist das nicht nur eine Nachricht für die Klatschspalten wert. Auch für den Secret Service und die Online-Spezialisten der Regierungszentrale bedeutet die Trainingsinitiative des Präsidenten eine Herausforderung, denn Sportgeräte mit Netzanschluss sind ein potentielles Einfallstor für Cyberattacken.

Sicherheitsrisiko hängt vom Anwender ab

Fitnessräder wie das von Peloton, aber auch andere Konzepte wie der interaktive Fitnessspiegel des deutschen Startups Vaha sind mit Kamera, Mikrofon und einer Internetverbindung ausgestattet. Für professionelle Hacker stellt es keine besondere Herausforderung dar, über diese Schnittstellen beispielsweise den Gesundheitszustand des Nutzers abzufragen, einschließlich aktueller Daten zu Herztätigkeit, Blutdruck und anderen Vitaldaten.

Bei Personen des öffentlichen Lebens, insbesondere bei Politikern, wären sensible Daten dieser Art auf dem schwarzen Markt und bei den Geheimdiensten zahlreicher Länder mehr als Gold wert. Doch auch bei normalen Anwender*innen ist die Möglichkeit, Smart-Home-Trainingsgeräte zu hacken, ein wichtiges Thema.

Das massenhafte Sammeln von Gesundheitsdaten stellt angesichts des damit verbundenen Aufwands und des geringen Nutzens für Hacker kein aussichtsreiches Geschäftsmodell dar. Allerdings lassen sich bei vernetzten Sportgeräten zunehmend drei andere Formen der Internetkriminalität beobachten.

An erster Stelle steht die Erpressung. Über einen eingeschleusten Trojaner erfolgt die Sperrung von Gerät und Steuersoftware. Für die Freigabe muss der gehackte Besitzer tief in die Tasche greifen.

Verbreitet ist auch der Missbrauch des Geräts als Sklave für DDoS-Angriffe. Aktionen dieser Art haben den massenhaften Angriff eines Servers durch Millionen von Anfragen zu Ziel. Die Angriffe erfolgen über gekaperte und ferngesteuerte Computer, so, wie sie auch in Smart-Home-Geräten enthalten sind.

Ständig steigender Beliebtheit erfreut sich auch der Missbrauch gekaperter Online-Fitnessgeräte für das Schürfen von Kryptowährung, dem Mining. Angesichts der Tatsache, dass beispielsweise ein Bitcoin derzeit rund 32.000 Euro wert ist und die Kursprognose steil nach oben weist, könnte sich diese Form der Cyberkriminalität in naher Zukunft als Massenphänomen herauskristallisieren.

Gerätehersteller geben Entwarnung

Peloton sieht in Cyberangriffen keine Bedrohung seines Geschäftsmodells. Das Unternehmen betont seine starken Datenschutzmaßnahmen und führt umfangreiche Sicherheitsroutinen ins Feld, die Anwender und Gerät schützen. Ein Schwerpunkt bei Peloton sind nach eigenen Angaben regelmäßig angesetzte Sicherheitsbewertungen, durchgeführt von unabhängigen Experten.

Zentrum des Sicherheitskonzepts bei Peloton ist die konsequente End-to-End-Verschlüsselung aller Datenflüsse zwischen Gerät und App. Dennoch ist vom Marktführer für Smart-Home-Trainingsgeräte keine Auskunft darüber zu erhalten, ob es bei ihren Anwendern bereits Hackerangriffe gegeben hat.

Bereitwilliger beantwortet Vaha die Frage nach dem Datenmissbrauch. Das deutsche Unternehmen versichert, dass bisher keine Fälle von Cyberkriminalität im Zusammenhang mit dem Fitnessspiegel zu verzeichnen seien. Zudem ist das Unternehmen verpflichtet, die deutschen DSGVO-Richtlinien (Datenschutz-Grundverordnung) zu befolgen.

Und schließlich gebe es auch noch die aktiven Maßnahmen durch den Anwender: ausschalten oder Kamera und Mikrofon deaktivieren. Gerade solche Hinweise nähren allerdings den Verdacht, dass Geräte dieser Gattung bei vollem Funktionsumfang in Sachen Sicherheit zumindest Fragen aufwerfen.

Wenn ein Smart-Home-Fitnessgerät nur im ausgeschalteten Zustand oder bei teilweise deaktivierten Funktionseinheiten wirklich datensicher ist, spielt Cyberkriminalität womöglich doch eine größere Rolle als von den Herstellern eingeräumt.