Update verfügbar

Update verfügbar

Über diesen Podcast

Das monatliche Update des Bundesamts für Sicherheit in der Informationstechnik (BSI) läuft ganz einfach. Es geht von selbst ins Ohr und liefert die aktuellsten Neuerungen: Die Digitalthemen der letzten Wochen in einem großen Patch für Sie - immer am Monatsende. Unsere Moderatoren Ute Lange und Michael Münz liefern brandaktuelle Neuigkeiten, fesselnde Gäste und erstaunliche Geschichten rund um Digitalisierung, Cybercrime und Zukunftstechnologien - leicht verdaulich und klug erzählt.
Jetzt abonnieren und schon heißt es alle vier Wochen: Update verfügbar!
https://update-verfuegbar.podigee.io/feed/mp3
https://de-de.facebook.com/bsi.fuer.buerger
https://twitter.com/BSI_Bund
https://www.youtube.com/BundesamtfürSicherheitinderInformationstechnik
oder per E-Mail an: mail@bsi-fuer-buerger.de

von und mit Ute Lange, Michael Münz

Abonnieren

Follow us

Transkript

Zurück zur Episode

„Update Verfügbar – ein Podcast des BSI“

Transkription für Folge 35, 27.09.2023:

Transkription für Folge 35, 27.09.2023: Fitness-Apps – Was sie über euch verraten können

Moderation: Ute Lange, Michael Münz Gast: Martin Gobbin Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Moderation: ____________________________________________________________________________

Ute Lange: Hallo und herzlich willkommen zu einer neuen Folge von Update verfügbar, dem Podcast für Sicherheit im digitalen Alltag. Mein Name ist Ute Lange.

Michael Münz: Mein Name ist Michael Münz, und eigentlich mache ich zu der Uhrzeit, zu der wir diese Folge aufnehmen, eigentlich schon längst meine Jogging Runde. So wie viele andere Leute auch, habe ich in der Coronazeit angefangen, abends dann joggen zu gehen und hab mir dann irgendwann gedacht, ich wüsste ja gerne, wie viel und wie lange ich laufe und ob ich besser oder schlechter werde, und hab mir dann eine App runtergeladen, die einfach mitläuft, während ich laufe, und ich bin aber mal gespannt, ob ich das nach dieser Folge auch weiterhin so machen werde.

Ute Lange: Ja, ich auch, weil ich benutze auch so ein Tracking oder so eine App für einige Dinge, und wir werden genau darüber heute sprechen, was mit den Daten zum Beispiel passiert, die wir in so einer App oder diesen Trackern sammeln beziehungsweise irgendjemand anvertrauen, und wir haben uns jemanden eingeladen, der uns schon mal mit seinem Wissen über, wie formuliere ich das jetzt elegant, körpernahe Datenanwendung beeindruckt hat.

Michael Münz: Ähm, ja, ich denke ich, also, ich weiß natürlich, wen du meinst, aber ich kann mir auch gut vorstellen, dass ihr wisst, wen Ute meint. Er war im November bei uns zu Gast zum Thema Smart Toys, also Spielzeug fürs Kinderzimmer, aber auch Spielzeug fürs Elternzimmer, und bei den ganzen Themen, die wir jetzt für diese Folge zusammengestellt haben, haben wir gedacht, da fragen wir doch einfach mal zu dem Thema Gesundheit und Fitness. Er ist Technikredakteur bei Stiftung Warentest, und ich sag mal willkommen zurück, Martin Gobbin.

Martin Gobbin: Vielen Dank, freue mich hier zu sein.

Ute Lange: Ja, ich freue mich auch, dass du wieder da bist. Wir hatten in den letzten Folgen viele Gäste, die schon mal da waren. Also das scheint gerade irgendwie so ein Lauf zu sein, dass ihr gerne zum zweiten Mal kommt zu uns in den Podcast, und wie Michael schon gesagt habe, bei den Fragen, die wir uns für das heutige Thema Fitness und Gesundheits App überlegt haben, war uns sofort klar, dafür kommst eigentlich nur du in Frage. Deswegen auch von mir ein ganz herzliches Willkommen!

Michael Münz: Wie Ute schon sagte, wir neigen beide dazu, zum Beispiel unsere Schritte zu zählen. Also, es gibt schon ein paar Tage, wo wir uns gegenseitig dann sozusagen zur Motivation oder zum neidisch machen, sagen, wie viele Schritte wir gelaufen sind, und lassen die einfach so diese App, die das mitzählt, auch so ganz unbedarft ein bisschen mitlaufen. Und wie gesagt, beim Joggen mache ich das auch. Ich hab ne App, die stoppt die Zeit, stoppt die Entfernung, die macht so eine schöne Karte von meiner Strecke, die ich gemacht habe, und fragt mich dann, ob ich ein Foto hochladen will oder ob ich es bleiben lasse, und am Ende rechnet sie mir so die Gesamtheit vor, und das finde ich ja. Eigentlich finde ich das ja ganz, ganz cool, muss ich sagen.

Ute Lange: Ich glaube, die nutze ich auch. Die hat auch so eine nette Stimme, und die sagt dann jeden Kilometer, wie viel Minuten ich dafür gebraucht habe. Das teile ich jetzt nicht mit euch da draußen. Vielleicht haltet ihr mich dann für eine Schnecke. Ich bin gerade nicht so gut im Training, aber die motiviert schon, finde ich, nur, was passiert dann noch so? Also ich meine, du lädst ja vielleicht auch mal Fotos hoch. Machst du das nicht? Habe ich nicht schon mal welche gesehen, so der Sonnenuntergang am Rand?

Michael Münz: Ja, ja, genau wenn ich auf der Nordbrücke stehe zum Beispiel, und das sieht toll aus, dann mache ich natürlich ein Foto und lade das auch in der App hoch. Also, da landet schon, wenn ich so eine dreiviertel Stunde, Stunde unterwegs bin, landen da schon viele Daten, und ich frage mich gerade, bei wie vielen dieser Punkte, die ich gerade aufgezählt habe, Martin schon gedacht hat, der macht was? Da werden die sich bei dem App Hersteller und bei anderen Datenkraken aber mal richtig freuen. Martin, wie siehst du das?

Martin Gobbin: Ja, also, einige Daten, die da aufgezeichnet werden, können natürlich gerade in der Kombination dann schon kritisch sein. Also, es kommt natürlich erst mal viele Gesundheitsdaten zusammen. Da ist die Herzfrequenz, da ist teilweise EKG, da ist der Blutdruck, die Sauerstoffsättigung, Dann gibt's ja auch sowas wie Kalorienverbrauch. Aber es geht auch bis hin zu eben wirklich ganz sensiblen Sachen. Also, einige Apps protokollieren eben auch die Medikamenteneinnahme. Das heißt, dann wird auch klar, was du eben für Krankheiten hast. Es gibt welche, die den weiblichen Zyklus protokollieren. Daraus lässt sich auch auch einiges ablesen. Es gibt doch einige, die wollen die Stimmung und das Stresslevel interpretieren. Aus den Daten also, da kommen wirklich Daten raus, die man gerade in Werbenetzwerk Hinsicht auch ausnutzen kann, um Menschen eben mit personalisierter Werbung in Gesundheitsthemen eben zuzuballern.

Ute Lange: Ja, vielleicht fangen wir mal ganz von vorne an, weil ich frage mich jetzt schon generell, ob da so eine gute Idee ist, was wir da manchmal machen Michael. Es ist ja nichts dagegen einzuwenden, wenn man sportlich aktiv ist oder auch gesundheitsbewusst ist, sich da vielleicht so ein bisschen Hilfe zu holen. Also, da gibt es ja, wie ich jetzt in der Recherche gelesen habe, mehr als 1000 Angebote da draußen. Also, du hast schon erwähnt, meine Gefühle oder meine Achtsamkeit oder eben wie schnell laufe ich, und wir haben uns so ein bisschen umgehört. Nicht nur wir beide nutzen das, sondern haben auch die Azubis vom BSI mal gefragt, die hatten wir ja beim letzten mal schon angekündigt, sitzen auch welche und lauschen hier. Die Mäuschen im Hintergrund haben wir ja angekündigt und wollten mal so hören, wie die das machen, und da kam raus, die einen sagen so und die anderen so, und deswegen hoffen wir, dass wir da vielleicht ein bisschen mehr Klarheit mit dir kriegen. Aber Michael, vielleicht fangen wir mal ganz vorne an mit den Apps. Also du hast dir deine ausgesucht, weil und nach welchen Kriterien und was sagt Martin dazu, wie soll man das denn machen? Also wo fange ich an, wenn ich so was nutzen will?

Michael Münz: Ich habe tatsächlich einfach gesucht nach Tracking App, und der Hersteller meiner App ist einer, den ich auch aus anderen Bereichen kannte, und dann dachte ich, da kann ich ja nichts falsch machen. Die machen ja auch sonst gute Produkte. Dann nehme ich die mal, und wie gesagt, und seit drei Jahren führe ich die schönen Daten und freue mich dann auch noch darüber, wenn die mir da schöne Statistiken draus basteln oder so. Jetzt war ich da verhältnismäßig frei in der Auswahl, was das Gerät angeht. Aber, Martin, ich weiß, dass man eigentlich, wenn man sich schon für einen, zum Beispiel für ein Betriebssystem entschieden hat, man gar nicht mehr die große Auswahl hat, um sich eine App zu suchen, die vielleicht auch datenschutzrechtlich alle Aspekte abdeckt, die mir wichtig sind.

Martin Gobbin: Ja, also, es stimmt beides, man ist eingeschränkt, man ist aber auch gleichzeitig frei. Also in vielen Fällen wird es eben so sein, dass du auch die App nimmst, die vom selben Anbieter stammt wie eben deine Smartwatch, weil die App ist einfach für das Gerät optimiert, die kann dort besonders viel rauslesen. Die Geräte, die Smartwatches, werden eben so hergestellt, dass sie mit fremden Apps nicht ganz so viele Daten teilen können wie mit der Anbieter Eigenapp, weil der Anbieter will ja, dass du die App verwendest und mit ihm Daten teilst, und es geht sogar noch einen Schritt weiter. Auch schon bei der Wahl der Smartwatch, bist du teilweise auch schon eingeschränkt, weil, wenn du eben eine Apple-Watch hast, die kooperiert ja nur mit I-Phones, und bei bestimmten Uhren von Samsung ist es auch so, dass die zum Beispiel nur mit Android Handyscreen, aber insbesondere die meisten Daten auch wieder nur mit Samsung Handys teilen. Das heißt, die Wahl deiner Smartwatch ist Teil vom Handy abhängig, und die App Wahl ist dann wiederum teilweise von der Smartwatch abhängig. Es gibt aber durchaus freie Apps, also so was wie Strava oder Runkeeper oder die ganzen Sport Hersteller wie Puma, Nike, Adidas, die haben alle eigene Fitness-Apps. Da kann es aber eben sein, dass sie nicht ganz so viel Datenzugriff haben wie die Anbieter App der Smartwatch und es kommt dann einfach drauf an, was will ich mit der App machen. Das ist, glaube ich, das entscheidende Kriterium bei der Wahl der App. Will ich zum Beispiel jetzt richtig für ein Rennen trainieren, geht es mir also um die Leistung, dann ist eine andere App gut, als wenn ich zum Beispiel abnehmen will. Es gibt eben ja auch Fitness App. Die haben gleich so Ernährungsberatung mit drinnen. Es gibt welche, die haben gleich so Video, Anleitung mit drinnen, wo auch Workouts auszusehen sind, die ich nachmachen kann, wo ich angeleitet werde. Es gibt welche, mit denen kann ich dann weniger beim Joggen, aber vielleicht beim Wandern oder Fahrradfahren kann ich Gegenden entdecken, oder ich kann auch ganz viel Spaß haben. Es gibt eine Fitness App, die nennt sich Zombies Run, und das ist quasi ein Hörspiel, und während man das hört, kommen immer wieder Zombieattacken, und da muss man ganz schnell rennen, um zu überleben, damit sie dir das Hirn nicht wegfressen. Dann geht das Hörspiel weiter, dann irgendwann kommt der nächste Angriff der Zombies. Also, man kann eben beim Sport machen auch viel Spaß haben.

Michael Münz: Ich glaube, dass ich bei meinem ersten Lauf wie ein Zombie aussah und die vielen Menschen vor mir gerannt sind nach einem Kilometer mit meiner roten Birne.

Ute Lange: Ich erinnere mich da dran, aber ich muss mir gerade, denke ich so, vielleicht wäre das für mich. Ich bin ja nicht so trainiert beim Joggen, hab ich gesagt. Aber vielleicht mal zum Ernst der Lage zurück. Das heißt also, ich muss schon einige Kriterien bedenken, wenn ich mich für so eine App entscheide, vielleicht auch für mehrere. Das hängt vom Gerät ab, das hängt vielleicht auch davon ab, was ich damit machen will. Aber wir sprechen ja heute auch so ein bisschen über, wo gehen meine Daten hin und so? Man kriegt ja, egal, bei welchem man sich anmeldet, so schöne Datenschutzerklärungen und ganz viele andere Sachen, die man lesen. Muss ich das wirklich alles durchlesen, oder gibt es da Standards, die solche Apps erfüllen müssen, auf die ich mich verlassen kann, wenn ich mir so was runterlade und dann nutze?

Martin Gobbin: Also, es gibt da keine Mindeststandards, die irgendwie gesetzlich erfüllt werden müssen. Es gibt aber natürlich oft Funktionen oder Einstellungsmöglichkeiten, mit denen ich was für den Datenschutz tun kann. Bei den Datenschutzerklärungen ist es natürlich so, dass die oft, ich sage mal, 80 oder 100 Seiten lang sind. Sie sind in Juristendeutsch geschrieben, sie sind technisch sehr komplex, sie sind oft schwamm und lückenhaft. Wir testen die ja regelmäßig. Das ist sehr unerfreulich. Das heißt ja natürlich, im Idealfall sollte man das lesen. Aber sein wir ehrlich, das macht kein Mensch, weil ich habe auf dem Handy 100 Apps. Ich kann nicht 100 Datenschutzerklärung, 80 Seiten lesen. Ich kann aber ein paar Dinge tun, um eben ja die Datenweitergabe zu minimieren. Also, es gibt ja zum Beispiel teilweise die Möglichkeit, dass ich meine Smartwatch und das Handy eben lokal synchronisiere, also nicht über die Cloud. Dann landen eben auch keine Daten der Cloud. Ich kann natürlich darauf achten, dass ich nicht auf Social Media etwas teile, also nicht damit angebe, wie schnell ich gestern wieder gerannt bin. Ich kann, wenn ich die App erstmal starte, kann ich oft natürlich festlegen, dass ich nur technisch notwendige Tracker oder Cookies eben haben möchte, und es gibt auch oft bestimmte Privacy Einstellungen, dass man sagt, bestimmte sensible Teile meiner Laufroute möchte ich nicht eben hochgeladen wissen, damit zum Beispiel der Wohnort oder der Arbeitsort geschützt bleibt.

Michael Münz: Ich frage mich eigentlich also, für wen sind denn jetzt die Daten interessant, wie ich meinen Körper am Rhein entlang schleppe? Also, du hast jetzt selbst, du hast vorhin schon Werbung erwähnt, und dann denke ich, na gut, dann kriege ich halt Werbung für irgendein Mittel, was ich im besten Falle dann doch nicht kaufe. Oder findest du das jetzt ein bisschen naiv?

Martin Gobbin: Ich würde es jetzt nicht naiv nennen, aber ich glaube, es ist vielleicht nicht jedem klar, für wen die Daten alles interessant sein können. Also, ich würde zunächst mal Tracker und Hacker denken. Also, das größte sind eben die Tracker, also die vollkommen legale Verwendung der Daten. Wir hatten ja schon gesagt, das sind teilweise sehr sensible Daten dabei. Das kann die Herzgesundheit sein, Medikamente, Zyklus, Stimmung, Schlafanalyse, Kalorienverbrauch, und das ist schon zusammen mit der Location, die ja auch klar wird. Also wo du wohnst, kann man da schon ziemlich gutes Profil darausbauen. Du wirst also ein Nutzer, und man kann dir dann eben sehr gut personalisierte Werbung schicken, und wir hatten ja eben auch thematisiert, gerade so psychische Faktoren, wie Stimmung, Stresslevel oder eben auch Hinweise auf Medikamente. Die deuten ja etwas über deine Lebensumstände an, und das heißt, wenn du gerade in einer psychischen Krisensituationen bist, dann kann das eben auch eine Firma nutzen, um dich jetzt mit ihrer Werbung eben zuzuballern und das eben ausnutzen, dass du gerade in der Krisensituation bist. Natürlich, ich kann das langfristig auch sein. Es ist zum Beispiel bei Autoversicherungen teilweise schon so, dass die bitten, wenn du Daten mit uns teilst, dann kriegst du einen günstigeren Beitrag, und das wäre natürlich hier auch denkbar, dass die Krankenkasse sagt, wenn du bestimmte Daten deiner Fitness-App ja mit uns teilst, kriegst du einen niedrigen Beitrag, aber wenn die dann erst mal sehen, dass du verschiedene Risikofaktoren hast, kann natürlich sein, dass die die anheben. Das ist die rein legale Seite, es gibt aber durch auch die illegale Seite. Also, wenn du zum Beispiel immer um 19 bis 20 joggen gehst, kann das für einen Hacker, der kriminell ist, sehr interessant sein, weil er weiß, wann kann er bei dir einbrechen oder noch schlimmer, wo kann er dich abfangen? Wo kann er dich kidnappen? Es gibt auch noch andere Beispiele. Also, es war vor ein paar Jahren mal so, da wurden quasi US Militärbasen darüber entlarvt, dass Soldaten dort mit ihren Smartwatches immer laufen gegangen sind, und das war eine geheime Militärbasen, und über die Daten von Fitness Trackern wurde dann quasi klar, wo im nahen Osten die US Militärbasen hat. Und wenn wir einmal bei der USA sind, noch ein Beispiel dazu: in diversen US Staaten ist Abtreibung ja inzwischen kriminalisiert, und wenn ich quasi über die Fitness App mein Zyklus auswerte und dann kommt das Bewegungsprofil erzogen, und dann stellt die meinetwegen fest, okay, ich hatte ein paar Monate keinen Zyklus, habe mich dann aus meinem Bundesstaat, wo Abtreibung kriminalisiert ist, wegbewegt in einen anderen Bundesstaat, wo man abtreiben kann, war von der Geolocation her anscheinend in einer Abtreibungsklinik und komme dann wieder und habe wieder einen Zyklus. Dann kann ich im schlimmsten Fall strafverfolgt werden.

Ute Lange: Das finde ich jetzt gerade noch gruseliger als dein Zombie Hörspiel. Also das finde ich eine Vorstellung, die möchte ich, glaube ich, nicht in meinem Leben haben, dass man mich so gläsern sieht und dass ich dann unter Umständen auch solche Konsequenzen zu befürchten habe. Du hattest vielleicht schon über die geheimen Standorte und vielleicht die kriminellen Energien gesprochen. Ich würde nochmal gerne über andere Aspekte sprechen, nämlich was kann denn noch damit gemacht werden, was für mich hilfreich sein kann? Also, ich meine, es ist ja nicht nur die dunkle Seite, nicht nur der Macht, sondern auch der Apps. Aber was, was gibt es aus eurer Sicht? Du beschäftigst dich ja sehr häufig mit so einen Vorteil. Also wo kann es mir auch vielleicht in meinen Lebensumständen, nicht nur im sportlichen Bereich, eine Unterstützung bieten?

Martin Gobbin: Also das Fitness Apps und Smartwatches boomen ist ja kein Zufall. Die haben natürlich viele tolle Seiten und sind in vielerlei Hinsicht hochgradig sinnvoll. Sie führen für viele Bällchen zu mehr Bewegung. Das heißt, Menschen werden dadurch fitter, gesünder. Man kann präzise auf ein Ziel hin trainieren, weil eben Daten erfasst, ausgewertet werden. Ich kann Fortschritte erkennen. Ich kann vielleicht auch mehr Spaß an der Bewegung haben, als manche Menschen ohne so einer Art von Gamification haben. Also man kann ja Trophäen sammeln, man kann Punkte sammeln. Es ist ja eindeutig Motivation über Gamification oder auch über soziale Kontrolle, weil ich eben auf Facebook hochladen kann, wie schnell ich gestern gerannt bin. Also das klappt ja von der Motivation her alles. Ich kann mein Training richtig gut planen, ich kann es gut auswerten. Also wie gesagt, dass die Erfolg haben, ist kein Zufall, denn sie haben eben, was Gesundheit und Sport angeht, eindeutig Vorteile.

Michael Münz: Jetzt ist es ja so, dass zum Beispiel so eine Fitness App Anbieter, Unternehmen ist, dass sich in diesen Themen gut auskennt. Wie gut kennen sie sich denn mit den Datenschutz aus? Also wie sicher kommt denn das auch bei mir an? Habt ihr da schon mal Sicherheitslücken gefunden, wo ihr gesagt habt, Leute, da müsst ihr aber auf jeden Fall nachbessern.

Martin Gobbin: Also, Sicherheitslücken in dem Sinne haben wir nicht gefunden. Aber wir haben eben gerade, was den Datenschutz betrifft, also, dass die etwas zu fleissig Daten teilen, auch mit Werbenetzwerken, das haben wir durchaus gefunden, oder dass eben in den Datenschutzerklärungen viele Mängel sind, dass sich also nicht an die europäische Datenschutzgrundverordnung gehalten wird, die Hersteller, ich glaube, das ist relativ unterschiedlich. Es gibt ja einige, die kommen aus der Sport Branche. Die haben sicherlich inzwischen auch Fachpersonal mit Formatik Bereich angestellt. Dann gibt es andere wie Google und Samsung, die eben direkt aus dem IT Bereich kommen und jetzt eher quasi auch auch in den Sportbereich reinragen. Also, ich glaube, da ist es schwer zu sagen, wie da das Fachwissen ist. Ich glaube, dass die alle inzwischen genug Fachwissen haben. Dennoch kommt es halt immer wieder auch zu Vorfällen trotz all dieser Vorsichtsmaßnahmen. 2021 gab es ein großes Datenleck bei einem Drittanbieter. Get Help hieß der, da waren 61 Millionen Datensätze ungeschützt, und davon waren verschiedene Fitnessanbieter betroffen: Fitbit, Google, Apple und 61 Millionen Datensätze ist eine ganze Menge, und das kann immer wieder vorkommen, wie wir es in anderen Branchen auch gesehen haben.

Ute Lange: Wie gehe ich denn am besten vor? Also, diese 80 Seiten lesen wir alle nicht, und wir können so ein paar default Einstellungen machen. Was sind so eure Tipps, wenn ich mich jetzt für eine entscheide und vielleicht auch gar nicht so eine große Auswahl habe, weil ich schon ein Gerät habe, das verknüpft ist mit was anderem? Was ist da so ein Tipp aus eurer Sicht?

Martin Gobbin: Also, das entscheidende ist da, glaube ich, die Datensparsamkeit, dass man eben so wenig Daten teilt wie möglich. Das heißt, wenn ich die Daten auch lokal, also das Handy und die Smartwatch, wenn ich das lokal verbinden kann, ohne Cloud zu synchronisieren, dann ist das die bessere Variante. Wie gesagt möglich, nichts auf Social Media teilen, nur notwendigen Trackern und gucke, ich zustimmen und eben gucken, was hat die jeweilige App für Datenschutzeinstellung, was kann ich da verbessern? Kann ich eben zum Beispiel bestimmte Teile meiner Laufruhe schützen, damit die nicht übertragen werden? Also, die meisten Apps bieten da gewisse Datenschutzeinstellungen, die man optimieren kann.

Michael Münz: Jetzt hatten wir in den vergangenen Folgen ja auch immer mal Beispiele für Geräte, die mit im Netz sind, also Smart TV, Kaffeemaschinen, Staubsauger, Roboter, und wir haben gelernt in den vergangenen Jahren, dass jedes Gerät, das ein Zugang hat zum Internet, auch in irgendeiner Form ein Einfallstor sein kann für Hacker, die sich dann darüber in mein Heimnetzwerk einloggen. Ist das bei Wearables genauso wie bei den anderen Haushaltsgeräten oder bei Smart Home Anwendungen?

Martin Gobbin: Ja, denn jedes internetfähige Gerät kann erst mal gehackt werden, und ich hatte eben schon gesagt, es gab eben vor ein paar Jahren auch einen recht großen Hack, und deswegen gelten eben hier in punkto IT Sicherheit auch dieselben Regeln, die sonst bei allen vernetzten Geräten gelten. Das heißt, ich sollte, wenn möglich, automatische Updates einstellen, weil da muss ich mich nicht selber darum kümmern. Wenn ich doch manuelle Updates einstelle, dann soll ich möglichst nicht warten. Die Updates nerven manchmal so. Dann sagt man: Ach mach ich morgen, mach ich übermorgen, also lieber nicht warten, weil die Updates eben dafür da sein können, wirklich sich als Lücken zu stopfen. Ganz wichtig ist auch, das Handy, auf der die App ist, zu sperren. Ich hab neulich in meiner Freizeit ein Handy gefunden von einer Dame, deren Mann ich angerufen habe. Das hätte war völlig ungesperrt. Also kein PIN Code, kein Passwort, gar nichts. Ich konnte auf alles zugreifen. Dann kann ich natürlich auch auf die Fitness Daten zugreifen. Ganz wichtig natürlich auch die Passwort Politik. Wenn möglich, ist ein Passwort Manager eine ziemlich gute Wahl. Wenn ich kein Passwort Manager haben will, sollte ich zumindest überall ein anderes Passwort verwenden, damit nicht bei einem Hack meines Passworts gleich alle meine Accounts betroffen sind. Und dann eben gelten die typischen Regeln: mindestens acht Zeichen, im Idealfall noch länger. Großschreibung, Kleinschreibung, Zahlen, Buchstaben, Sonderzeichen, alles schön mischen, keine real existierenden Wörter, kein Geburtstag, kein Haustier, Name, nicht sowas wie eins, fünf, sechs, sieben, acht, nicht Passwort oder so? Also das kennt man und vielleicht als letzte Hinweise noch. Man kann das noch stärken durch die sogenannte zwei Faktor Authentifizierung. Das heißt, dass ich dann eben für meine Fitness App nicht nur ein Passwort verwende, sondern zum Beispiel auch noch der Fingerabdruck eingelesen wird, die sich öffnet, und dann, wie gesagt, wenn möglich, alles lokal statt in der Cloud machen, und man kann auch ab und zu mal gucken, bin ich mit meinen Accounts vielleicht schon Opfer eines Hacks geworden? Da gibt es ja zum Beispiel die Seite haveibeenpwned, und da kann man eben schauen, ob meine Daten schon betroffen sind von einem vorherigen Hack.

Ute Lange: Ich finde das so cool, Martin, dass du jetzt die Platte mit dem Sprung bist, weil das sind so Sachen, die Michael glaube ich, seit wir den Podcast machen, in fast jeder Folge gesagt haben. Wir brauchen den fast nichts mehr hinzuzufügen. Du hast jetzt die ganze Liste durch. Das ist ganz schön, weil wir haben manchmal das Gefühl, dass wir das so häufig sagen, dass uns keiner mehr zuhört. Heute kam es mal von unserem Gast. Das ist super. Vielen dank dafür!

Michael Münz: Ich frage mich, bei wie vielen Leuten, die es gerade gehört haben, so die Alarm Glocke losging mit: Ach so, ich habe ja auch noch ein Passwort, eins, drei, fünf, sechs, sieben, acht, das kann ja also so gut, wie das verbreitet ist, kann ich ja durchaus sein, dass ihr gerade jemand zugehört hat und gedacht hat: Ah, stimmt, da habe ich ja was. Aber noch mal zurück, bei Rutan ist es ja auch so, dass wir immer propagiert haben, Standard Passwörter und so ändern. Kommen die zum Teil mit so standard Passwörtern an, und muss ich mir dann auch die Mühe machen, natürlich das dann auch entsprechend zu ändern, damit nicht jeder, der meine Uhr von weitem sieht, schon weiß: Ah, ja, mit viermal die null bin ich drin.

Martin Gobbin: Ähm, das kann ich jetzt gar nicht sagen, das wird sehr unterschiedlich sein. Ich glaube nicht, dass es da eine Branche und weite Regelung gibt, sondern das kommt wirklich aufs Gerät an. Aber ja, wenn ein Default Passwort eingestellt ist, dann sollte man es auf jeden Fall ändern, denn oft sind es dann solche Sachen wie null, null, null oder eins, zwei, drei und vier, und das sind die ersten Sachen, die Hacker eben bei einem versuchten Angriff ausprobieren.

Ute Lange: Also ich habe jetzt nochmal eine andere Frage, Martin, weil ich selber habe nicht so ein Wearable, aber meine beste Freundin, mit der ich im Sommer 14 Tage Urlaub auf einer norddeutschen Insel mache, die hat so ein Ding, und die hat uns dann abends, wenn wir lange am Strand waren, immer sagen können, oh, heute sind wir 18 Kilometer gelaufen oder so und so viel, 1000 Schritte, und ich muss sagen, das hat mich schon irgendwie gefreut, weil wir waren ja auch sehr viel unterwegs. Ich habe das nur auf meinem Smartphone, also ich hab das nicht verknüpft. Wie ist das denn, wenn da so ne eingebaute Gesundheitsüberwachungsmaschine in dem Smartphone ist und man solche Daten hat, werden die auch irgendwo hin übertragen, und muss ich da auch nochmal irgendwas einstellen? Weil ich bin jetzt doch ein bisschen nachdenklich geworden, ob ich diese, ich bin so stolz auf mich Geschichte durch diese Daten so toll finde in Zukunft.

Martin Gobbin: Also den Schrittzähler, den viele Handys inzwischen haben, den kann man meist ausstellen. Natürlich ist es auch so, dass das Handy noch viele andere Daten sammelt. Das kann ja zum Beispiel auch sehen. Nicht nur wie viele Schritte hast du gemacht, sondern wo hast du die Schritte lang gemacht, also deine ganzen Aufenthaltsorte. Aber was natürlich das Handy im Normalfall, wenn man keine Smartwatch hat, nicht weiß, ist eben die ganzen Gesundheitsdaten. Handy kann eben kein EKG messen, und es kann keine Schlafanalyse machen, es kann nicht den Puls oder den Blutdruck oder den Sauerstoffgehalt im Blut messen. Also, solche Gesundheitsdaten liegen dem Handy dann eben logischerweise nicht vor.

Michael Münz: Dazu noch eine Frage. Wenn ich jetzt aber tatsächlich so ein Wearable habe, wie gut kann ich mich denn auf dessen Analyse verlassen? Also, schickt mich das auch im richtigen Moment auf die Rennbahn, oder vertut es sich da? Wie sind da eure Erfahrungen? Kann man sich auf das verlassen, was die einem so empfehlen?

Martin Gobbin: Also, wenn wir die bewerten, gibt es alle möglichen Noten, und das deutet schon an, dass die sehr unterschiedlich präzise sind. Also als Referenzgeräte nehmen wir dann meist medizinische Geräte, mit denen wir das Gegentesten, und es ist manchmal erschreckend, dass die schon bei ganz einfachen Daten sehr unterschiedlich liegen. Also zum Beispiel bei der Pulsmessung, und auf der Pulsmessung basieren viele andere Werte, die gar nicht gemessen werden, sondern die reine Interpretation sind, die eben auf der Pulsmessung beruhen. Wenn die Pulsmesser schon falsch ist, und die liegen oft daneben, dann ist der Rest eben auch logischerweise falsch. Dann, wenn wir meinetwegen jetzt unsere Versuchspersonen mit drei Smartwatches gleichzeitig durchschicken, stehen oft auf drei Geräten auch drei recht unterschiedliche Kilometerangaben, also die Streckenlänge, würde man ja auch denken, ist relativ leicht zu messen oder die Schrittanzahl. Aber da kommt es teilweise auch zu sehr unterschiedlichen Messungen. Dann ist es natürlich ganz klar bei sowas wie EKG oder Schlafanalyse, da können die nicht mit medizinischen Geräten mithalten. Also das EKG bei einer Smartwatch ist ja ein Kanal und medizinisches Fachgerät, da sind deutlich mehr Kanäle. Dann ist es auch so. Es gibt Studien, dass zum Beispiel bei dunkelhäutigen Menschen bestimmte Messdaten häufiger falsch sind. Da gibt's Erklärungen für. Das würde jetzt zu lange dauern. Aber das heißt, da gibt es leider unterschiedliche Messungen, wie qualitativ gut die sind, und aber weiteres Problem sind die Folgefehler dann, wie gesagt, wenn die tatsächlich gemessenen Daten schon falsch sind, dann sind Interpretationsgeschichten wie Kalorienverbrauch oder Regenerationszeit dann auf jeden Fall falsch. Also, die Präzision ist leider nicht immer so, wie man sich das wünscht.

Michael Münz: Heißt, ich muss mir, wenn ich mir tatsächlich jetzt Gedanken mache nach dieser Folge, wie ich mich vernünftig messen lassen möchte. Also neben den ganzen Datenschutz und digitalen Alltag Security Tipps, die wir eigentlich schwerpunktmäßig sprechen, sollten wir unter Hörerinnen und Hörern auf jeden Fall auch mit auf den Weg geben, dass sie sich auch angucken, wie genau die Daten denn auch unter gesundheitlichen Aspekten verarbeitet werden. Also nicht, dass man da auf falsche Ratschläge hört, dann an der Stelle.

Martin Gobbin: Ja, weil das kann ja auch tatsächlich zu unbeabsichtigten Folgen führen. Also, wenn ich jetzt zum Beispiel die Uhrnutzung abnehme, und die misst meinen Puls falsch. Sie misst also meinetwegen ein viel zu hohen Puls, dann wird eben auch der berechnete Kalorienverbrauch auch zu hoch ausfallen. Dann denke ich, super, hab schon heute schon 2000 Kalorien verbraucht, also kann ich das Stückchen Torte ruhig noch essen. Aber sie hat sich eben beim Puls vermessen und damit auch bei den Kalorien, und dann esse ich eben mehr, als ich eigentlich wollte, und nehme nicht ab, weil die Uhr sich vermessen hat. Deswegen ist Präzision eben natürlich eine der allerwichtigsten Eigenschaften einer Smartwatch.

Ute Lange: Also, ich habe jetzt gerade mitgenommen aus dem, was du berichtet hast, mit der Präzision mancher Messung das Gefühl, vielleicht war ich auf meiner norddeutschen Insel doch gar nicht so viele Kilometer unterwegs, wie mir das suggeriert wurde.

Martin Gobbin: Oder sogar mehr! Kann auch sein.

Ute Lange: Oder sogar mehr. Also ja, aber am Ende ist es ja vielleicht auch wurscht, weil ich habe mich einfach schön erholt. Die Luft war gut, das Meer hat gerauscht, und der Sonnenuntergang war traumhaft jeden Abend. Aber das ist so eins für meine Takeaways, dass das vielleicht auch so ein bisschen was ist. Wenn ich daran glauben möchte, dann glaube ich es halt. Aber ich weiß nicht, ob es präzise genug ist, und vielleicht brauche ich dafür dann auch gar nicht. Aber Michael, was hast du denn heute mitgenommen? Nutzt du deine App weiterhin und lädst du auch nochmal Fotos hoch und solche Dinge, wenn du unten am Rhein dich sportlich betätigt, wie hast du das gesagt? Dein Büro, Körper bewegst?

Michael Münz: Ähm, ja, also ich bin gerade so ein bisschen hin und hergerissen, weil einerseits höre ich natürlich gerne, dass ich brav war und gut gelaufen bin und das alles gemacht habe. Ich schaue mir, glaube ich, noch mal die App, die ich habe, an, inwiefern die Daten teilt, und das mit der Datensparsamkeit werde ich, glaube ich, auch nochmal genauer berücksichtigen. Da muss ich jetzt tatsächlich nicht jedes Foto hochladen, was ich auf der Strecke mache. Es reicht, wenn ich mir die dann hinterher ausdruck und an die Wand hängen.

Ute Lange: Oder in deinem Bekanntenkreis rumschickst, damit wir teilhaben an den schönen Sonnenuntergänge am Rhein.

Michael Münz: Das, was Martin gesagt hat, dass man halt weiß, wann ich wo war, das ist auch so ein bisschen dieses Ding, was wir auch mal im Urlaub hatten, weil wir hatten ja mal so eine Folge, wo man uns durchsucht hat und dann festgestellt hat, die Ute war von dann bis dann in diesem Land und von da bis da in dem Land und so, also, dass da jemand auch ein Muster daraus ziehen kann und weiß, wann ich wo bin, das hat mich auch ein bisschen nachdenklich gemacht. Da werde ich, glaube ich, auch in Zukunft mal vielleicht auch ein bisschen meinen Rhythmus ändern, und jetzt habe ich ja dummerweise schon auch angekündigt, zu welcher Tageszeit oder Abendszeit ich laufen gehe zum Beginn dieser Folger.

Ute Lange: Normalerweise!

Michael Münz: Ich muss heute meinen ganzen Alltag nochmal neu sortieren, glaube ich. Das ist so das, was ich jetzt beim Martin mitgenommen.

Ute Lange: Okay, wir hoffen, ihr da draußen, die uns jetzt zuhört, ihr habt auch das eine oder andere mitnehmen können und überlegt oder prüft nochmal, was eure Fitness Apps und Wearables so alles teilen, und ob ihr das wirklich möchtet und ob euch vielleicht auch was aufgegangen ist. Also ich zum Beispiel nach der Folge mit diesen Urlaub teilen auf Social Media, ich mach das ja gar nicht mehr, wie du gemerkt hast Michael. Wenn ich wieder da bin, zeige ich vielleicht mal, wo ich war, aber nicht während ich da bin, weil ich möchte nicht, dass mir jemand analog die Wohnung ausräumt. Aber Martin, ganz, ganz herzlichen dank! Es war, wie wir erhofft haben, sehr erkenntnisreich. Du darfst gerne auch noch ein drittes mal kommen, wenn wir wieder ein Thema haben, wo wir an dich denken. Ich hoffe, es war für dich auch ein angenehmes Gespräch, und du magst dann auch nochmal wiederkommen, falls wir dich noch mal fragen.

Martin Gobbin: Sehr gerne.

Michael Münz: Wir gucken da noch mal, dass es zu einer Zeit ist, wo dein Fußballverein vielleicht gerade nicht spielt.

Martin Gobbin: Ja, die dürften heute auf über 120 Kilometer kommen, und so viel habe ich noch nie geschafft mit meiner Fitness App.

Ute Lange: So, und dann könnt ihr da draußen, wenn ihr die Folge hört, jetzt vielleicht auch so ein bisschen rausfinden und an welchem Tag wir das aufgenommen haben. Aber das ist ja irrelevant, weil ihr könnt es dann ja hören, so oft ihr wollt, und auch auf allen Kanälen des BSI. Wir wollen aber noch ein bisschen in die nächste Folge gucken. Was machen wir denn da oder nein? Erst mal ganz herzlichen Dank an Martin, dass du den Abend mit uns verbracht!

Michael Münz: Genau auch von mir danke dir, Martin, und wir sehen uns bestimmt noch mal wieder und sprechen uns.

Martin Gobbin: Sehr gerne. Vielen Dank an euch. Schönen Abend!

Michael Münz: Dankeschön! So Ausblick! Genau das war das Thema. Ja. Beim nächsten Mal geht es um so Sachen wie Stimme, Augen, Iris, Fingerabdruck, also Biometrie, und was wir mit diesen Dingen, wenn sie irgendwo erfasst werden, machen können. Also ihr wisst schon, Daumen drauf legen auf das Telefon, zack, geht es auf oder Gesichtserkennung, und das Handy entsperrt. Also was steckt da eigentlich drinnen, und was müssen wir darüber wissen, wenn wir uns wie selbstverständlich mit diesen digitalen Anwendungen im Alltag umgeben?

Ute Lange: Ja, und wir würden gerne wissen, ob ihr aus dieser Folge was mitgenommen habt oder mögt ihr uns erzählen, wie ihr eure Wearables benutzt habt und jetzt vielleicht mit anderen Augen seht? Schraubt ihr vielleicht vor der nächsten Jogging oder Wanderrunde nochmal an den Einstellungen? Gerne auf den BSI Kanälen, auf Facebook, Instagram, Twitter, Mastodon so wie YouTube oder auch per Email? Heute lasse ich dich die Adresse nochmal sagen, Michael.

Michael Münz: Podcast@bsi.bund.de, da bitte hinschreiben.

Ute Lange: Genau, wir freuen uns immer über Post von euch, und damit wünschen wir euch einen schönen Herbst.

Michael Münz: Genau, wir sprechen im Oktober wieder in der nächsten Folge, und bis dahin eine gute Zeit. Ach so, nicht vergessen, den Podcast liken, folgen oder was auch immer eure App hergibt, damit ihr die nächste Folge auch nicht verpasst. Das hätten wir fast vergessen. Also bis nächstes mal! Tschüss!

Ute Lange: Tschüss!

Besuchen Sie uns auch auf: https://www.bsi.bund.de/ https://www.facebook.com/bsi.fuer.buerger https://twitter.com/BSI_Bund https://www.instagram.com/bsi_bund/ https://social.bund.de/@bsi Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn