Datenleck bei smarten Brillen überträgt biometrische Daten

Ein stil­les Alarm­si­gnal hat in der Tech­no­lo­gie­welt Auf­se­hen erregt. Durch­ge­si­cker­te Doku­men­te deu­ten dar­auf hin, dass belieb­te Smart-Bril­len heim­lich rohe bio­me­tri­sche Daten , wie Herz­fre­quenz und Gesichts­mus­ter , nahe­zu ohne Schutz an Cloud-Ser­ver über­mit­tel­ten. Das bedeu­tet, dass zutiefst per­sön­li­che Infor­ma­tio­nen mög­li­cher­wei­se unge­schützt zugäng­lich waren, wie ein auf­ge­schla­ge­nes Tage­buch, das auf einer Park­bank lie­gen gelas­sen wur­de. Wer war betrof­fen, und wie schwer­wie­gend ist die­ser Daten­schutz­ver­stoß ? Die Ant­wor­ten sind es wert, ver­stan­den zu werden.

Sicherheitsverletzung gefährdet Nutzer

Eine Sicher­heits­ver­let­zung bei einer Mul­ti­mo­dal-Smart­bril­le hat Benut­zer­da­ten offen­ge­legt und sie anfäl­lig für Miss­brauch gemacht. Zu den kom­pro­mit­tier­ten Daten­sät­zen gehör­ten per­sön­li­che Daten, Kon­to­an­mel­de­infor­ma­tio­nen und Finanz­in­for­ma­tio­nen, wodurch betrof­fe­ne Benut­zer einem unmit­tel­ba­ren Risi­ko von Iden­ti­täts­dieb­stahl, Kon­to­über­nah­me und Finanz­be­trug aus­ge­setzt sind. Da bekannt ist, dass gestoh­le­ne Daten lan­ge nach der ers­ten Offen­le­gung in kri­mi­nel­len Netz­wer­ken kur­sie­ren, wer­den die Fol­gen die­ses Vor­falls wahr­schein­lich nicht bei der ers­ten Wel­le von Opfern enden. Offen­ge­leg­te Daten, ein­schließ­lich voll­stän­di­ger Namen und Sozialversicherungsnummern, ermög­li­chen es Cyber­kri­mi­nel­len, betrü­ge­ri­sche Akti­vi­tä­ten durch­zu­füh­ren, die Opfer finan­zi­ell und per­sön­lich ver­wüs­ten können.

Sensible Gesundheitsdaten online aufgedeckt

Per­sön­li­che Gesund­heits­in­for­ma­tio­nen gelan­gen weit über kli­ni­sche Mau­ern hin­aus und tau­chen in Wer­be­netz­wer­ken, For­schungs­da­ten­ban­ken und unge­si­cher­ten Ser­vern in einem Aus­maß auf, das Regu­lie­rungs­be­hör­den und Sicher­heits­for­scher nur schwer ein­däm­men können.

Eine Stu­die, die 465 Gesund­heits­sys­te­me unter­such­te, stell­te in 14 % der Fäl­le PHI-Lecks fest. Die Unter­su­chung von Pro­Pu­bli­ca ging noch wei­ter und iden­ti­fi­zier­te medi­zi­ni­sche Daten von mehr als fünf Mil­lio­nen US-Pati­en­ten und Mil­lio­nen wei­te­ren inter­na­tio­nal, zusam­men mit mehr als 16 Mil­lio­nen online expo­nier­ten medi­zi­ni­schen Scans. Allein in den Ver­ei­nig­ten Staa­ten waren offen­bar mehr als 13,7 Mil­lio­nen medi­zi­ni­sche Tests ohne Geneh­mi­gung zugäng­lich. Cen­sys iden­ti­fi­zier­te 14.004 öffent­li­che IP-Adres­sen, die aktiv Gesund­heits­ge­rä­te und Daten­sys­te­me offenlegen.

Die betrof­fe­nen Daten­ka­te­go­rien umfas­sen nahe­zu jede Dimen­si­on der medi­zi­ni­schen Geschich­te eines Pati­en­ten. Labor­be­fun­de, Medi­ka­men­te, Behand­lungs­plä­ne, Kran­ken­haus­dia­gno­sen mit ent­spre­chen­den Daten sowie Bild­da­tei­en ein­schließ­lich Rönt­gen­auf­nah­men, MRTs und CT-Scans wur­den in zugäng­li­chen oder unzu­rei­chend gesi­cher­ten Sys­te­men gefun­den. Auch das Surf­ver­hal­ten auf Anbie­ter-Web­sites , ein­schließ­lich Sei­ten­ti­teln und URLs , wur­de als gesund­heits­be­zo­ge­ne geschütz­te Gesund­heits­in­for­ma­ti­on eingestuft.

Die Expo­si­ti­on erstreckt sich auch auf Ver­brau­cher­tech­no­lo­gie. Fit­ness-Apps erfas­sen Schritt­an­zah­len, Herz­fre­quenz und Kalo­rien­ver­brauch. Such­an­fra­gen offen­ba­ren Sym­pto­me und chro­ni­sche Erkran­kun­gen. Apo­the­ken­käu­fe legen sowohl ver­schrei­bungs­pflich­ti­ge als auch rezept­freie Medi­ka­men­ten­nut­zung offen. Stand­ort­da­ten kön­nen auf Besu­che in Kli­ni­ken, Apo­the­ken oder Bera­tungs­zen­tren hin­wei­sen und ermög­li­chen so die Erstel­lung detail­lier­ter Gesund­heits­pro­fi­le ohne eine ein­zi­ge kli­ni­sche Aufzeichnung.

Die De-Iden­ti­fi­zie­rung bie­tet nur begrenz­ten Schutz. Von Namen befrei­te Daten­sät­ze blei­ben durch Pati­en­ten-IDs, sel­te­ne Dia­gno­sen, Geburts­da­ten und lon­gi­tu­di­na­le Mus­ter ver­knüpf­bar. Der UK-Bio­bank-Daten­satz, der rund 413.000 Teil­neh­mer umfasst, ent­hielt Kran­ken­haus­dia­gno­sen mit Daten sowie Geschlecht und Geburts­mo­nat , genug Detail, um die Iden­ti­fi­zie­rung erheb­lich einzuschränken.

FTC und HHS haben bei­de gewarnt, dass ein­ge­bet­te­te Tra­cker auf gesund­heits­be­zo­ge­nen Web­sites geschütz­te Infor­ma­tio­nen an Drit­te über­mit­teln kön­nen, was HIP­AA-Com­pli­ance-Beden­ken auf­wirft. Die Unter­schei­dung zwi­schen Expo­si­ti­on und Daten­pan­ne wird immer gerin­ger : Sobald Daten zugäng­lich sind, fol­gen das Risi­ko der Pro­fil­bil­dung, Iden­ti­täts­in­fe­renz und Dis­kri­mi­nie­rung unmit­tel­bar. UK Bio­bank stell­te etwa 80 recht­li­che Take­down-Anträ­ge an Git­Hub zwi­schen Juli und Dezem­ber 2025, nach­dem For­scher ver­se­hent­lich ein­ge­schränk­te Gesund­heits­da­ten­sät­ze durch hoch­ge­la­de­nen Ana­ly­se­code ver­öf­fent­licht hat­ten, was zur Ent­fer­nung von rund 500 Repo­si­to­ries führte.

Quellenangabe

• https://support.microsoft.com/en-us/defender/national-public-data-breach-what-you-need-to-know
• https://www.wired.com/story/149-million-stolen-usernames-passwords/
• https://www.f5.com/glossary/security-breaches
• https://us.norton.com/blog/privacy/data-breaches-what-you-need-to-know
• https://www.contrastsecurity.com/glossary/sensitive-data-exposure
• https://www.kaspersky.com/resource-center/threats/what-is-a-security-breach
• https://hsph.harvard.edu/information-technology/news/recent-security-breaches-and-what-to-do-if-your-data-is-exposed/
• https://www.youtube.com/watch?v=_VvroWGpV_4
• https://www.fortinet.com/resources/cyberglossary/data-breach
• https://www.f‑secure.com/us-en/identity-theft-checker