Strava Fitness-App verrät sensible militärische Geodaten

So sieht die Strava-Heatmap von München aus. Deutlich lassen sich die Lauf- und Radstrecken erkennen, die beidseitig entlang der Isar verlaufen.

(Foto: Screenshot Strava.com)
  • Die Fitness-App Strava gibt unbeabsichtigt Standorte von geheimen Militärbasen und Patrouillen-Routen von Soldaten preis.
  • Eigentlich protokollieren Sportler mit der App ihre Lauf- und Radstrecken. Doch offenbar nutzen Soldaten im Auslandseinsatz den Dienst ebenfalls.
  • Betroffen sind auch Stützpunkte der Bundeswehr, etwa in Afghanistan und Litauen.
Von Simon Hurtz und Hakan Tanriverdi

Eine Milliarde Läufe und Radfahrten, drei Billionen Datenpunkte, zehn Terabyte Informationen: Der Hersteller der Fitness-App Strava hat im November 2017 eine eindrucksvolle Landkarte veröffentlicht. Die Macher sprechen von einer "heat map". Linien, die Flammen ähneln, zeigen, welche Routen die Nutzer der App nehmen, wenn sie joggen, schwimmen oder Fahrrad fahren. Je öfter sie eine Wegstrecke zurücklegen, desto "heißer" die Aktivität, desto heller leuchten die zurückgelegten Strecken auf der Karte. Die Daten laden Nutzer hoch, wenn sie die App auf ihrem Smartphone installieren oder Fitness-Armbänder wie Tomtom oder Fitbit nutzen.

Nun stellt sich heraus: Die Karte gibt auch sensible Informationen über Militärstandorte preis. Anhand der Daten lassen sich teils sehr detaillierte Routen erkennen. Unbeabsichtigt hat Strava kartografiert, wie sich Soldaten weltweit in und um Militärbasen bewegen.

GPS Die Spuren der Touren
GPS-Tracking von Radfahrern

Die Spuren der Touren

Millionen Fahrradfahrer weltweit zeichnen ihre Fahrten mit verschiedenen Apps auf. Diese GPS-Daten könnten Städten helfen, ihre Verkehrsplanung erheblich zu verbessern.   Von Tim Farin

Ein Student aus Australien, Nathan Ruser, machte am Wochenende in einem Tweet auf das Problem aufmerksam. Seither listen Konfliktforscher und andere Fachleute beinahe im Minutentakt Orte auf, die "mitten im Nirgendwo" liegen - und an denen den Strava-Daten zufolge Menschen Sport gemacht haben. Da liegt die Vermutung nahe, dass es sich auch um Soldaten aus internationalen Einsätzen handelt.

Auch Bundeswehr-Soldaten nutzen Strava

"Auch in Rukla in Litauen und im afghanischen Masar-i-Scharif finden sich Bewegungsmuster, die Hinweise darauf geben, wo Soldaten im Einsatz sind", sagt Thomas Wiegold. Der Journalist und Militärexperte schreibt auf seinem Blog Augengeradeaus über Sicherheitspolitik und beschäftigt sich intensiv mit der Bundeswehr. "An diesen Orten sind auch deutsche Soldaten stationiert, sie könnten ebenfalls Geodaten preisgegeben haben." Wiegold hat entsprechende Screenshots in seinem Blog veröffentlicht.

In Mali, ebenfalls ein Einsatzgebiet der Bundeswehr, lassen sich nach kurzer Suche Informationen über Strava-Nutzer finden. Programmierer können über eine technische Schnittstelle bei Strava direkt nach bestimmten Regionen suchen. Solche "Segmente", wie Strava sie nennt, haben eine eigene URL und können öffentliche Profile anzeigen oder auflisten, wer dort am regelmäßigsten Sport getrieben hat. Eine kurze Prüfung der SZ zeigt: In der Nähe eines malischen Flughafens, an dem die Bundeswehr aktiv ist, finden sich auf diesen Bestenlisten auch Personen, die deutsch klingende Vornamen tragen. Auf eine Anfrage der SZ hat die Bundeswehr nicht reagiert.

Der Bundeswehr ist eigentlich bewusst, dass Geodienste für Soldaten problematisch sein können. Im "Sicherheitshinweis Nr. 02/2016" warnte sie Soldaten davor, Pokémon-Go auf ihren Handys zu spielen. Über die GPS-Funktion ihrer Smartphones könnten sie lokalisiert und verfolgt werden. "Deutsche Soldaten erhalten regelmäßig Belehrungen, in denen sie darauf hingewiesen werden, wie problematisch Geodaten seien können", sagt Wiegold. So könnten auch vermeintlich harmlose Fotos Aufenthaltsorte und Bewegungsmuster verraten, wenn die Standortinformationen nicht manuell entfernt werden.

Die Daten können noch lange nach dem Einsatz in der Cloud landen

Wiegold glaubt, dass die Verantwortlichen das Problem durchaus erkannt hätten. Vielen Soldaten sei aber nicht bewusst, dass Fitness-Tracker und Pulsuhren Standortdaten auch noch lange nach dem Einsatz hochladen können. "Während sie im Ausland sind, deaktivieren die Soldaten dann brav ihr Internet und den Upload, wie es ihnen gesagt wurde. Aber der GPS-Sensor bleibt an. Und wenn sie nach Hause ins Wlan kommen, landen alle Daten gesammelt in der Cloud und sind öffentlich einsehbar."

Kritischer als für die Bundeswehr sind die aktuellen Strava-Daten für andere Nationen. "Vor allem für Briten, Franzosen und US-Amerikaner könnte das heikel werden", sagt Wiegold. Die Einsätze der Bundeswehr seien allesamt durch den Bundestag mandatiert und dementsprechend öffentlich bekannt. "Andere Staaten können ihre Soldaten aber auch an Einsatzorte schicken, ohne das vorher anzukündigen." Das größte Risiko für die Bundeswehr sieht Wiegold nicht darin, dass bislang unbekannte Basen enthüllt werden könnten. "Manche Soldaten tracken ihre Bewegungen nicht nur beim Sport, sondern dauerhaft. Darüber könnten zum Beispiel die Laufwege von Patrouillen öffentlich werden."