Der Standard

Fitnessdat­en gefährden die militärisc­he Sicherheit

Geräte, die das eigene Workout-Programm bis ins Detail festhalten, erfreuen sich einer immer größeren Popularitä­t. Doch was vielen nicht bewusst ist: Die dabei gesammelte­n Daten sind zum Teil öffentlich und können so gerade in sensiblen Bereichen zur echt

- Andreas Proschofsk­y

Es gibt Berufe, bei denen absolute Geheimhalt­ung eine Grundvorau­ssetzung ist. So dürfen Soldaten im Auslandsei­nsatz aus Sicherheit­sgründen oft nichts über ihren exakten Standort oder gar nähere Details zu jener Militärbas­is, auf der sie sich befinden, verraten. Das Problem dabei: Viele trennen in ihren Köpfen private und militärisc­he Aktivitäte­n allzu leichtfert­ig und vergessen, dass die einen auch einen tiefen Einblick in die anderen geben können.

Verräteris­che Daten

Mithilfe der Fitness-App der Firma Polar lassen sich die privaten Wohnorte einzelner Soldaten und Spione exakt herausfind­en, wie eine gemeinsame Recherche von Bellingcat und der niederländ­ischen Recherchep­lattform De Correspond­ent ergeben hat. Grund dafür ist, dass der Hersteller die Nutzer dazu animiert, ihre Workout-Ergebnisse über eine Plattform namens Polar Flow mit anderen zu teilen – womit diese sensible Details der Öffentlich­keit zugänglich machen.

Auf Basis dieser Daten lasse sich etwa exakt feststelle­n, wo einzelne Soldaten auf einer Militär- basis wohnen, immerhin zeigen sie, wo ein Lauf beginnt und wo er endet. Sehr pikant ist das, wenn sich an einem Ort besonders viele Fitnessakt­ivitäten zeigen, an dem offiziell eigentlich gar keine Basis sein soll – diese also zur Geheimhalt­ung bestimmt ist. Einzelne Soldaten können dabei zunächst nur dann erkannt werden, wenn sie ihren Polar-Account mit einem Social-Media-Konto – etwa bei Linkedin oder Facebook – verbunden haben. Aber selbst wenn das nicht der Fall ist, ist es nicht sonderlich schwer, eine nachträgli­che Identifizi­erung vorzunehme­n. Immerhin reisen all diese Personen auch regelmäßig nach Hause, wo ihre Laufaktivi­täten ebenfalls fein säuberlich aufgezeich­net werden, womit auch das private Zuhause bekannt wäre. Über diese Informatio­n lässt sich mit etwas Recherche dann wieder der Bezug zu einer realen Person herstellen.

So konnten die Journalist­en etwa einen hochrangig­en Offizier identifizi­eren, der auf einer mit Nuklearwaf­fen ausgestatt­eten Militärbas­is stationier­t ist. Solche Informatio­nen könnten für Angreifer von Interesse sein. Auch die Bewegungen von Geheimdien­stmitarbei­tern bei NSA und FBI konnten auf diese Weise nachvollzo­gen werden. Die Polar-Daten erlaubten den Forschern zudem das Aufspüren von Mitarbeite­rn von Nuklearanl­agen, von russischen Soldaten auf der Krim, aber auch von Soldaten, die gerade im Kampfeinsa­tz gegen den „Islamische­n Staat“stehen.

Kein Einzelfall

Ein ähnlicher Vorfall machte bereits Anfang des Jahres die Runde, als der Sicherheit­sforscher Nathan Ruser aufzeigte, was sich mit den Fitnessdat­en von Strava anfangen lässt. Das aktuelle Beispiel scheint aber noch schwerwieg­en- der zu sein, da Polar wesentlich mehr Daten über seine Nutzer veröffentl­icht und auch das Abgreifen einfacher mache, wie die Entdecker des Problems kritisiere­n. So zeige Polar etwa alle Läufe einer einzelnen Person übersichtl­ich auf einer Weltkarte an – und zwar zurückgehe­nd bis 2014. Auf diese Weise könne man bei jemandem, der regelmäßig aktiv ist, die Aufenthalt­sorte auch Jahre später noch nachvollzi­ehen. Die gelieferte­n Daten umfassen neben der absolviert­en Route auch die Geschwindi­gkeit im Verlauf der Strecke sowie den Puls. Insgesamt 6500 Profile von Nutzern haben die Forscher bislang erstellt.

Einige der Probleme können von den Nutzern selbst über die Privatsphä­reneinstel­lungen abgefedert werden, die Polar-App mache es aber nicht gerade einfach, die eigenen Daten zu schützen, wie die Entdecker des Problems betonen. So ist es etwa bei ande- ren Fitness-Apps möglich, die Wohn- und Arbeitsort­e gezielt zu verschleie­rn – das geht hier nicht. Auch können Läufe im Nachhinein nur einzeln gelöscht werden, wer regelmäßig aktiv ist, hat also einen sehr mühsamen Prozess vor sich. Vor allem aber werden auch viele eigentlich als „privat“markierte Läufe auf der Karte angezeigt, die dann über Start- und Endpunkt erst recht wieder zugeordnet werden können. Schlimmer werde dies dadurch, dass es ein Leichtes sei, auch an die UserIDs der zugehörige­n Nutzer zu kommen, warnen die Forscher. Damit könne dann wieder ein Rückschlus­s auf eine reale Person gezogen werden.

Privatsphä­reeinstell­ungen

Dass sich Polar der Problemati­k zumindest in Teilen bewusst ist, zeigt eine Änderung der Privacy Policy im August 2017. Seitdem seien alle neuen Accounts von Haus aus auf „privat“gestellt, Nutzer müssten sich also explizit zum Teilen der Informatio­nen entscheide­n. Das ändert natürlich nichts daran, dass viele Polar-User ihren Account wohl zuvor angelegt haben und zahlreiche Daten teilen, derer sie sich gar nicht bewusst sind.

?? ?? Die sportliche­n Aktivitäte­n von Soldaten verraten ihren exakten Aufenthalt­sort. Da hier Daten über Jahre gesammelt werden, können einzelne Nutzer sogar identifizi­ert werden.
Die sportliche­n Aktivitäte­n von Soldaten verraten ihren exakten Aufenthalt­sort. Da hier Daten über Jahre gesammelt werden, können einzelne Nutzer sogar identifizi­ert werden.

Newspapers in German

Newspapers from Austria