Fitnessdaten gefährden die militärische Sicherheit
Geräte, die das eigene Workout-Programm bis ins Detail festhalten, erfreuen sich einer immer größeren Popularität. Doch was vielen nicht bewusst ist: Die dabei gesammelten Daten sind zum Teil öffentlich und können so gerade in sensiblen Bereichen zur echt
Es gibt Berufe, bei denen absolute Geheimhaltung eine Grundvoraussetzung ist. So dürfen Soldaten im Auslandseinsatz aus Sicherheitsgründen oft nichts über ihren exakten Standort oder gar nähere Details zu jener Militärbasis, auf der sie sich befinden, verraten. Das Problem dabei: Viele trennen in ihren Köpfen private und militärische Aktivitäten allzu leichtfertig und vergessen, dass die einen auch einen tiefen Einblick in die anderen geben können.
Verräterische Daten
Mithilfe der Fitness-App der Firma Polar lassen sich die privaten Wohnorte einzelner Soldaten und Spione exakt herausfinden, wie eine gemeinsame Recherche von Bellingcat und der niederländischen Rechercheplattform De Correspondent ergeben hat. Grund dafür ist, dass der Hersteller die Nutzer dazu animiert, ihre Workout-Ergebnisse über eine Plattform namens Polar Flow mit anderen zu teilen – womit diese sensible Details der Öffentlichkeit zugänglich machen.
Auf Basis dieser Daten lasse sich etwa exakt feststellen, wo einzelne Soldaten auf einer Militär- basis wohnen, immerhin zeigen sie, wo ein Lauf beginnt und wo er endet. Sehr pikant ist das, wenn sich an einem Ort besonders viele Fitnessaktivitäten zeigen, an dem offiziell eigentlich gar keine Basis sein soll – diese also zur Geheimhaltung bestimmt ist. Einzelne Soldaten können dabei zunächst nur dann erkannt werden, wenn sie ihren Polar-Account mit einem Social-Media-Konto – etwa bei Linkedin oder Facebook – verbunden haben. Aber selbst wenn das nicht der Fall ist, ist es nicht sonderlich schwer, eine nachträgliche Identifizierung vorzunehmen. Immerhin reisen all diese Personen auch regelmäßig nach Hause, wo ihre Laufaktivitäten ebenfalls fein säuberlich aufgezeichnet werden, womit auch das private Zuhause bekannt wäre. Über diese Information lässt sich mit etwas Recherche dann wieder der Bezug zu einer realen Person herstellen.
So konnten die Journalisten etwa einen hochrangigen Offizier identifizieren, der auf einer mit Nuklearwaffen ausgestatteten Militärbasis stationiert ist. Solche Informationen könnten für Angreifer von Interesse sein. Auch die Bewegungen von Geheimdienstmitarbeitern bei NSA und FBI konnten auf diese Weise nachvollzogen werden. Die Polar-Daten erlaubten den Forschern zudem das Aufspüren von Mitarbeitern von Nuklearanlagen, von russischen Soldaten auf der Krim, aber auch von Soldaten, die gerade im Kampfeinsatz gegen den „Islamischen Staat“stehen.
Kein Einzelfall
Ein ähnlicher Vorfall machte bereits Anfang des Jahres die Runde, als der Sicherheitsforscher Nathan Ruser aufzeigte, was sich mit den Fitnessdaten von Strava anfangen lässt. Das aktuelle Beispiel scheint aber noch schwerwiegen- der zu sein, da Polar wesentlich mehr Daten über seine Nutzer veröffentlicht und auch das Abgreifen einfacher mache, wie die Entdecker des Problems kritisieren. So zeige Polar etwa alle Läufe einer einzelnen Person übersichtlich auf einer Weltkarte an – und zwar zurückgehend bis 2014. Auf diese Weise könne man bei jemandem, der regelmäßig aktiv ist, die Aufenthaltsorte auch Jahre später noch nachvollziehen. Die gelieferten Daten umfassen neben der absolvierten Route auch die Geschwindigkeit im Verlauf der Strecke sowie den Puls. Insgesamt 6500 Profile von Nutzern haben die Forscher bislang erstellt.
Einige der Probleme können von den Nutzern selbst über die Privatsphäreneinstellungen abgefedert werden, die Polar-App mache es aber nicht gerade einfach, die eigenen Daten zu schützen, wie die Entdecker des Problems betonen. So ist es etwa bei ande- ren Fitness-Apps möglich, die Wohn- und Arbeitsorte gezielt zu verschleiern – das geht hier nicht. Auch können Läufe im Nachhinein nur einzeln gelöscht werden, wer regelmäßig aktiv ist, hat also einen sehr mühsamen Prozess vor sich. Vor allem aber werden auch viele eigentlich als „privat“markierte Läufe auf der Karte angezeigt, die dann über Start- und Endpunkt erst recht wieder zugeordnet werden können. Schlimmer werde dies dadurch, dass es ein Leichtes sei, auch an die UserIDs der zugehörigen Nutzer zu kommen, warnen die Forscher. Damit könne dann wieder ein Rückschluss auf eine reale Person gezogen werden.
Privatsphäreeinstellungen
Dass sich Polar der Problematik zumindest in Teilen bewusst ist, zeigt eine Änderung der Privacy Policy im August 2017. Seitdem seien alle neuen Accounts von Haus aus auf „privat“gestellt, Nutzer müssten sich also explizit zum Teilen der Informationen entscheiden. Das ändert natürlich nichts daran, dass viele Polar-User ihren Account wohl zuvor angelegt haben und zahlreiche Daten teilen, derer sie sich gar nicht bewusst sind.