Fitness‑Tracker‑Daten und die Ransomware‑Gefahr | WeLiveSecurity

Fitness‑Tracker‑Daten und die Ransomware‑Gefahr

Der Garmin-Hack zeigt, wie wichtig und anfällig Dienste von datengetriebenen Unternehmen sein können.

Der Garmin-Hack zeigt, wie wichtig und anfällig Dienste von datengetriebenen Unternehmen sein können.

Während der neunziger Jahre nahm der Einfluss von Ingenieursarbeit auf den Sport erheblich zu. Es kam zu vielen Entwicklungen und Innovationen bei Schuhen, Kleidung und vor allem Sportausrüstung, von Schlittschuhen über Fahrräder bis hin zu Golfbällen. Aber neben all den Luftkissen und „Pumps“ in Schuhen, aerodynamischen Helmen und Bällen fand eine weitere Transformation statt, die Demokratisierung von (Sport-)Leistungsdaten.

Mit der Entwicklung immer intelligenterer und kostengünstigerer Sensoren sowie der Hard- und Software, die zur Verarbeitung der davon erzeugten Daten erforderlich war, verbreitete sich die Nutzung von Sportleistungsdaten erst unter Profisportlern und bald Amateuren. Ein gutes Beispiel für diese Entwicklung in den Breitensport ist das SRM Power Meter von 1988. Dieser an der Kurbel eines Fahrrads angebrachte Sensor maß mithilfe von Dehnungsmessstreifen das ausgeübte Drehmoment und konnte in Kombination mit der Winkelgeschwindigkeit die Leistung des Radfahrers berechnen. Obwohl damals viele Radfahrer sehr interessiert an dem Gerät waren, hatten nur wenige die nötigen Ressourcen, die zum Kauf und, viel wichtiger noch, zur Analyse der Leistungsdaten nötig waren.

Abbildung 1: Das SRM Trainingssystem kam 1988 auf den Markt, erreichte 1991 den professionellen Radsport und konnte ab 2003/2004 Daten in Echtzeit übertragen.
Source: http://www.srm.de/fileadmin/_processed_/csm_Untitled-2_eb68291314.png

Das änderte sich einige Jahre später. Als Anfang der 2000er Jahre drahtlose Datenübertragungsstandards entwickelt wurden, fehlte nur noch die Umwandlung und Integration von persönlicher Kommunikation und Computern, um datengetriebene Sporttechnologie kommerziell erfolgreich zu machen.

Integration – Auftritt des Smartphones

Ab dem Jahr 2000 begannen sich Mobiltelefone mit dem entstehenden 3G-Netzwerk zu verbinden. Als dann am 9. Januar 2007 das iPhone der ersten Generation und anderthalb Jahre später das erste Android-Gerät veröffentlicht wurde, waren das Aufeinandertreffen von datengetriebener Sporttechnologie und der Social-Sharing-Lust der Verbraucher unvermeidlich.

Smartphones ermöglichten den Benutzern sowohl den Zugriff auf verschiedene Dienste als auch die Verbindung mit anderen Geräten. Das schloss auch Geräte mit anderen Kommunikationsstandards ein, wie Bluetooth und ANT +, die häufig in Pulsmessgeräten und Geschwindigkeitssensoren verwendet werden. Durch diese Protokolle können kleine oder spezialisierte Geräte mit Smartphones gekoppelt werden, die nicht nur wesentlich bessere Benutzeroberflächen und mehr Verarbeitungsleistung bieten, sondern auch einen Internetzugang zur Verbindung mit sozialen Medien, E-Mails und Servern.

Ein Datenboom

Das Zeitalter von Big Data stand (ebenfalls) bevor. Daher schien es zuerst, dass Sportdaten nur ein kleiner Bestandteil des durch neue Tracking- und Analysemethoden erzeugten unendlichen Datenstroms bleiben würden. Allerdings erwiesen sich die Sportdaten für Millionen neugieriger Menschen als sehr interessant, motivierend und sozial bedeutsam.

Eine neue Branche boomte als Herzfrequenz, Trittfrequenz, Geschwindigkeit, Höhe und Standort messende Geräte auf soziale Medien trafen. Der von SRM angestoßene Entwicklung brachte Gerätehersteller wie Garmin, Fitbit, Apple, Samsung und Wahoo – um nur einige zu nennen – auf den Plan. Sie generierten das Daten-Futter für Sport-Apps wie Strava, Zwift oder Runtastic, die ihren Nutzern die Möglichkeit zur Aufzeichnung, Analyse, Sharing und zur sozialen Interaktion boten. Diese Kombination machte süchtig.

Die Sportapp Strava meldete beispielsweise im Februar 2020 die Marke von 50 Millionen Mitgliedern überschritten zu haben und pro Monat um eine Million zu wachsen. Diese Mitglieder luden „mehr als 1 Milliarde Aktivitäten in den letzten 13 Monaten“ bei dem Dienst hoch.

Es geht also im Wesentlichen darum, dass Sportler die über ihre Sportcomputern, Uhren und Sensoren gesammelten Daten zusammen mit Standortinformationen auf Plattformen wie Strava hochladen.

Du weißt, dass Du süchtig bist, wenn sie es wegnehmen

Viele Sportler, egal ob Amateur oder Profi, neigen, Social-Media-Nutzern ähnlich, zum obsessiven Ausleben ihrer Leidenschaft. Sicherlich fördern Radfahrer, Triathleten, Läufer und Wanderer, mit ihrer Akkumulation riesiger Datenmengen auf Plattformen wie Strava, ihre eigene Datensucht.

Der große Erfolg von Plattformen wie Zwift verdeutlicht wieviele Daten geloggt werden und wieviele Menschen dahinterstehen. Zwift ist eine Indoor-Cycling App, die es Radfahrern erlaubt sich auf virtuellen Radtouren mit anderen Radfahrern zu messen, indem sie ihren Fahrrad-Heimtrainer mit einem Computer, Smartphone oder Smart-TV verbinden. Während der Quarantänemaßnahmen im Zuge der Corona-Pandemie nahmen die Nutzerzahlen von Zwift massiv zu und sogar Profiradfahrer, die nicht draußen trainieren konnten, stießen auf die Plattform. Vom 21. Januar 2020 bis zum 5. April 2020 stieg die Zahl der gleichzeitigen Nutzer der Plattform von 16.512 auf 34.940. Datengetriebener Sport ist auf einem Höhenflug!

Wenn nun plötzlich die Verbindungen zwischen den Sensoren zuhause und den sozialen Räumen der Plattformen unterbrochen werden würden, wären viele Benutzer sehr verärgert! Was würde passieren, wenn den Zwift-Usern plötzlich der Zugriff auf ihre Rennstrecken, In-App-Avatare oder Daten von einem Cryptolocker verschlüsselt werden würde?

Das dieses Szenario durchaus realistisch ist, zeigt der Hack von Garmin Connect.

Abbildung 2: Eine Zwift-Benutzerin mit „intelligentem“ Trainer und Fernseher
Source: https://news.zwift.com/en-WW/media_kits/

Das Erpressungspotenzial nimmt zu

Vor kurzem wurde bekannt, dass es bei Garmin, dem Marktführer des GPS- und Fitness-Tracking-Bereichs zu einem schwerwiegenden Sicherheitsvorfall gekommen war. „Garmin war das Opfer eines Cyberangriffs, bei dem einige unserer Systeme am 23. Juli 2020 verschlüsselt wurden. Infolgedessen wurden viele unserer Onlinedienste, darunter Website-Funktionen, Kundensupport, kundenorientierte Anwendungen und Unternehmenskommunikation, unterbrochen. Wir haben sofort begonnen, den Angriff zu untersuchen und mit der Wiederherstellung begonnen“, heißt es in der Mitteilung des Unternehmens.

Anschließend stellte man fest, dass ein Ransomware-Angriff auf die Systeme stattgefunden hatte. Die forensische Untersuchung zeigte, mit hoher Wahrscheinlichkeit, dass es sich um eine Attacke mit der Malware WastedLocker gehandelt haben muss. In diesem Fall wahrscheinlich von der Cybercrime-Gruppe Evil Corp durchgeführt.

Für die Kunden von Garmin bedeutete der mehrtägige Ausfall, dass sie weder Daten protokollieren noch veröffentlichen konnten. Jedoch zeigen andere in der letzten Zeit aufgetretene Ransomware-Vorfälle, dass es die Cyberkriminellen nicht dabei belassen den Zugriff auf Daten zu blockieren. Vielmehr stehlen sie diese auch durch Doxing und zufällige Datenlecks, versteigern sie in speziellen Untergrund-Marktplätzen und bilden sogar „Kartelle“, um mehr Käufer anzulocken.

Die Berichte nach dem Vorfall bei Garmin bestätigen dies sicherlich nicht, aber nach WastedLocker sollte diese Branche das Risiko und den Wert der Sportdaten ihrer Kunden, einschließlich der personenbezogenen Daten und Standorte, neu bewerten. Unter diesen Umständen ist der Wert von „Sportdaten“ um ein Vielfaches höher und sollte so gut geschützt werden wie Gesundheitsdaten.

Der Vorfall zeigt auch, dass Cyberkriminelle eine neue Möglichkeit gefunden haben, um Unternehmen zu erpressen. Daher können wir uns vorstellen, dass in Zukunft viele andere Unternehmen ähnlichen Angriffen zum Opfer fallen könnten. Fitnesscenter-Franchise-Unternehmen, Personal Trainer, Physiotherapeuten und ihre natürliche Überschneidung mit Gesundheitsdienstleistern ermöglichen hier negative Synergien.

Auch außerhalb des Sports könnten Malware-Angriffe, zum Beispiel bei den in letzter Zeit boomenden Lebensmittellieferdiensten, zunehmen. Diese verfügen oftmals über ein knappes Budget und sind auf die Verwendung von Standortdaten und  ihrer Kundendatenbanken mit persönlich identifizierbaren Informationen angewiesen. Deswegen, und aufgrund des geringeren Reifegrads ihrer Cybersicherheit, sind diese Unternehmen für Ransomware-Attacken vielleicht noch anfälliger als die auf Sportdaten fokussierten Dienstleister.

Erhöhung der Sicherheit

Wenn Sie Sportler sind, dann bedenken Sie, dass Ihre Daten sowie die Geräte- und Dienstintegration neue Bedrohungsvektoren erzeugen können. Falls Sie wissen oder vermuten, dass Ihre Daten durch einen Sicherheitsvorfall gestohlen wurden, dann fordern Sie Ihren Dienstanbieter nachdrücklich und proaktiv dazu auf, einen Monitoringdienst zum Schutz vor Identitätsdiebstahl anzubieten. Im Fall des Angriffs auf Garmin scheinen sich die Benutzer über den Verschlüsselungsstatus ihrer Daten im Klaren zu sein. In Fällen aber, bei denen die Wahrscheinlichkeit hoch ist, dass Ihre persönlichen Sportstatistiken und -daten in kriminellen Händen sind, sollten Sie mit gezielten Phishing-Angriffen oder Identitätsbetrugsversuchen in der nahen Zukunft rechnen.

Hier können Sie mitdiskutieren