Eine Milliarde Läufe und Radfahrten, drei Billionen Datenpunkte, zehn Terabyte Informationen: Der Hersteller der Fitness-App Strava hat im November 2017 eine eindrucksvolle Landkarte veröffentlicht. Die Macher sprechen von einer "heat map". Linien, die Flammen ähneln, zeigen, welche Routen die Nutzer der App nehmen, wenn sie joggen, schwimmen oder Fahrrad fahren. Je öfter sie eine Wegstrecke zurücklegen, desto "heißer" die Aktivität, desto heller leuchten die zurückgelegten Strecken auf der Karte. Die Daten laden Nutzer hoch, wenn sie die App auf ihrem Smartphone installieren oder Fitness-Armbänder wie Tomtom oder Fitbit nutzen.
Nun stellt sich heraus: Die Karte gibt auch sensible Informationen über Militärstandorte preis. Anhand der Daten lassen sich teils sehr detaillierte Routen erkennen. Unbeabsichtigt hat Strava kartografiert, wie sich Soldaten weltweit in und um Militärbasen bewegen.
Ein Student aus Australien, Nathan Ruser, machte am Wochenende in einem Tweet auf das Problem aufmerksam. Seither listen Konfliktforscher und andere Fachleute beinahe im Minutentakt Orte auf, die "mitten im Nirgendwo" liegen - und an denen den Strava-Daten zufolge Menschen Sport gemacht haben. Da liegt die Vermutung nahe, dass es sich auch um Soldaten aus internationalen Einsätzen handelt.
Auch Bundeswehr-Soldaten nutzen Strava
"Auch in Rukla in Litauen und im afghanischen Masar-i-Scharif finden sich Bewegungsmuster, die Hinweise darauf geben, wo Soldaten im Einsatz sind", sagt Thomas Wiegold. Der Journalist und Militärexperte schreibt auf seinem Blog Augengeradeaus über Sicherheitspolitik und beschäftigt sich intensiv mit der Bundeswehr. "An diesen Orten sind auch deutsche Soldaten stationiert, sie könnten ebenfalls Geodaten preisgegeben haben." Wiegold hat entsprechende Screenshots in seinem Blog veröffentlicht.
In Mali, ebenfalls ein Einsatzgebiet der Bundeswehr, lassen sich nach kurzer Suche Informationen über Strava-Nutzer finden. Programmierer können über eine technische Schnittstelle bei Strava direkt nach bestimmten Regionen suchen. Solche "Segmente", wie Strava sie nennt, haben eine eigene URL und können öffentliche Profile anzeigen oder auflisten, wer dort am regelmäßigsten Sport getrieben hat. Eine kurze Prüfung der SZ zeigt: In der Nähe eines malischen Flughafens, an dem die Bundeswehr aktiv ist, finden sich auf diesen Bestenlisten auch Personen, die deutsch klingende Vornamen tragen. Auf eine Anfrage der SZ hat die Bundeswehr nicht reagiert.
Der Bundeswehr ist eigentlich bewusst, dass Geodienste für Soldaten problematisch sein können. Im "Sicherheitshinweis Nr. 02/2016" warnte sie Soldaten davor, Pokémon-Go auf ihren Handys zu spielen. Über die GPS-Funktion ihrer Smartphones könnten sie lokalisiert und verfolgt werden. "Deutsche Soldaten erhalten regelmäßig Belehrungen, in denen sie darauf hingewiesen werden, wie problematisch Geodaten seien können", sagt Wiegold. So könnten auch vermeintlich harmlose Fotos Aufenthaltsorte und Bewegungsmuster verraten, wenn die Standortinformationen nicht manuell entfernt werden.
Die Daten können noch lange nach dem Einsatz in der Cloud landen
Wiegold glaubt, dass die Verantwortlichen das Problem durchaus erkannt hätten. Vielen Soldaten sei aber nicht bewusst, dass Fitness-Tracker und Pulsuhren Standortdaten auch noch lange nach dem Einsatz hochladen können. "Während sie im Ausland sind, deaktivieren die Soldaten dann brav ihr Internet und den Upload, wie es ihnen gesagt wurde. Aber der GPS-Sensor bleibt an. Und wenn sie nach Hause ins Wlan kommen, landen alle Daten gesammelt in der Cloud und sind öffentlich einsehbar."
Kritischer als für die Bundeswehr sind die aktuellen Strava-Daten für andere Nationen. "Vor allem für Briten, Franzosen und US-Amerikaner könnte das heikel werden", sagt Wiegold. Die Einsätze der Bundeswehr seien allesamt durch den Bundestag mandatiert und dementsprechend öffentlich bekannt. "Andere Staaten können ihre Soldaten aber auch an Einsatzorte schicken, ohne das vorher anzukündigen." Das größte Risiko für die Bundeswehr sieht Wiegold nicht darin, dass bislang unbekannte Basen enthüllt werden könnten. "Manche Soldaten tracken ihre Bewegungen nicht nur beim Sport, sondern dauerhaft. Darüber könnten zum Beispiel die Laufwege von Patrouillen öffentlich werden."
Sogar aus einem Atomkraftwerk gibt es Strava-Aufzeichnungen
Die Daten decken einen Zeitraum von 2015 bis September 2017 ab. Der Journalist Adam Rawnsley weist etwa auf ungewöhnliche Bewegungsprofile hin, die im Norden von Rakka zu sehen sind. Der syrische Ort war bis Oktober 2017 die Hochburg des Islamischen Staates (IS), immer wieder kam es dort zu Kämpfen.
Die Strava-Karte zeigt, in welchen Gebieten die Soldaten womöglich aktiv sind - sowohl in den Basen als auch um sie herum. Darauf weist unter anderem der BBC-Journalist Aliaume Leroy hin. Aus den Jogging-Routen lasse sich außerdem rekonstruieren, wie die Standorte aufgebaut sind. All das können militärisch wertvolle Informationen sein. Sogar ein Mitarbeiter eines britischen Atomkraftwerks hat anscheinend seine Bewegungsdaten am Arbeitsplatz veröffentlicht.
Die Webseite mit der Strava-Karte ist öffentlich und funktioniert wie Google Maps. Orte lassen sich gezielt suchen. Dann lässt sich entweder so lange in das Bild hinein- oder aus dem Bild herauszoomen, bis Aktivitäten sichtbar werden. In der App lässt sich einstellen, ob eigene Daten als privat abgespeichert werden sollen. Dann sind sie für Dritte nicht einsehbar. Die meisten Nutzer haben diese Option nicht aktiviert. Womöglich ist ihnen nicht bewusst, was mit ihren Daten passiert und welche Konsequenzen das haben könnte.
Das US-Militär warnt seit Jahren vor Geodaten
Auch über Dienste wie Google Earth, die Satellitenbilder nutzen, lassen sich militärische Basen orten. Doch da die Strava-Daten sehr aktuell sind, zeigen sie mitunter Orte, die auf Google Maps nicht verzeichnet sind. Für das Programm werden oft veraltete Satellitenfotos verwendet.
Strava erklärte der Technik-Seite The Verge, dass die Daten anonymisiert und aggregiert angezeigt würden. Es ließen sich also keine Rückschlüsse auf das Verhalten einzelner Personen ziehen. In der App ist es möglich, einen Korridor von bis zu einem Kilometer zu bestimmen, der geheim gehalten wird. So soll sichergestellt werden, dass diese Routen öffentlich geteilt werden können, ohne dass der Wohnort oder der Arbeitsplatz erkennbar wird.
Das US-Militär warnt seit Jahren vor Diensten mit Ortungsdaten. 2007 veröffentlichten Soldaten Fotos von Helikoptern, die in einer Militärbasis im Irak landeten. In den Fotos waren die Geodaten enthalten. Kurz darauf soll es einen Angriff mit Mörsergranaten gegeben haben, der möglicherweise damit in Zusammenhang stand.
Mitarbeit: Felix Ebert
