Strava in der Kritik: Fitness-App mit Sicherheitsrisiko

Nürnberg - Eigentlich wollte der Hersteller der Fitness-App Strava nur Werbung für seine neue Landkarte machen. Doch das ging nach hinten los. Denn es wurde bekannt: Über die Anwendung sind die Aufenthaltsorte der Nutzer sichtbar – auch in Franken kann das zum Risiko werden.

Wer trainiert, teilt seine Ergebnisse gern mit anderen. Zum Vergleich. Zur Motivation. Zur Befriedigung der Eitelkeit. Weltweit nutzen hunderttausende Freizeitsportler dafür die Anwendung Strava. Die App empfängt das GPS-Signal von Fitnessuhren und Smartphones und stellt die zurückgelegte Strecke visuell dar. So kann der Nutzer seine Aktivitäten verfolgen. "Wir sind das soziale Netzwerk für jene, die nach Fitness und sportlichem Erfolg streben. Mach mit!", wirbt Strava auf der Website.

Anfang November 2017 erklärt ein Strava-Mitarbeiter stolz, dass die Karte verbessert wurde. Sie enthalte nun eine Milliarde Aktivitäten, drei Billionen geografische Datenpunkte sowie zehn Terabyte Datenmaterial. Leuchtende Linien zeigen auf einer digitalen Landkarte, wo auf der Welt geschwommen, gelaufen und Rad gefahren wird. Die Daten sind nicht live, sondern stammen von Aktivitäten bis September 2017.

Auch in Franken nutzen viele Sportler die Strava-App. Auf der sogenannten "Heatmap", der digitalen Landkarte, ist deutlich zu erkennen, dass rund um die Nürnberger Altstadt entlang der Stadtmauer häufig gejoggt wird. Auch der Wöhrder See und der Tiergarten sind beliebte Ziele von Läufern. Dabei offenbart die Anwendung sogar, wer da unterwegs ist. Zu sehen ist das schon nach einer einfachen Anmeldung bei Strava.

Australischer Student bringt Stein ins Rollen

Das Institut für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen weist auf die Gefahren durch die Verwendung von Strava hin. Zwar sei die Karte "ein größtenteils harmloses Tool", doch ließen sich darüber sogar "einzelne Militärangehörige" identifizieren.

Dass mit der App geheime Stützpunkte der US-Armee im Ausland sichtbar werden, darauf machte der australische Student Nathan Ruser vor wenigen Tagen per Twitter aufmerksam. Weil die Soldaten offenbar das GPS-Signal ihrer Fitnessuhren während des Trainings auf dem Gelände nicht ausgestellt hatten, wurden die Aktivitäten aufgezeichnet. Weil die einheimische Bevölkerung die App nur selten nutzt, stechen die Routen der Soldaten in Syrien, Irak oder Afghanistan besonders hervor. Was besonders schwer wiegt: Auch während der Patrouille außerhalb der Militärbasis ließen die Soldaten den Fitnesstracker mitlaufen. Das, so Ruser, verstoße gegen die Operations-Security-Anweisung, dass keine sensiblen Informationen weitergegeben werden sollen.

Heatmap deaktivieren

Strava-Chef James Quarles machte währenddessen in einem offenen Brief darauf aufmerksam, dass Nutzer die Sichtbarkeit ihrer Aktivitäten regeln und die Heatmap deaktivieren können.

Wie die Chicago Tribune berichtet, verteilte 2013 das US-amerikanische Verteidigungsministerium 2500 Fitnessuhren an die Soldaten, um die Fettleibigkeit zu bekämpfen. Auch in Kabul, Bagdad und in weniger besiedelten Gebieten Afghanistans werden Aktivitäten angezeigt. Der Journalist Adam Rawnsley entdeckte eine ungewöhnliche Joggingstrecke am Strand von Mogadischu in Somalia; in der Nähe wird eine CIA-Basis vermutet.

Das westfälische Institut für Internet-Sicherheit hat elf Militärbasen rund um den Globus getestet. Das Ergebnis: "Am Beispiel der Panzerkaserne Böblingen konnten wir nicht nur einzelne Personen klar identifizieren, sondern auch über deren teils öffentlich zugängliche Lauf-Historie feststellen, wo diese Personen zu welcher Zeit stationiert waren. Von elf von uns identifizierten Personen konnten wir bei sechs eine Stationierung bei mindestens einer weiteren Militärbasis oder deren Dienst- und Urlaubszeiten feststellen."

Versenden von Schadsoftware

Zwar seien die einzelnen Informationen für Angreifer uninteressant. Aber in gebündelter Form könne enormer Schaden angerichtet werden, erklärt Matteo Cagnazzo, wissenschaftlicher Mitarbeiter im Gespräch mit der NZ. Je mehr ein Angreifer über eine Person weiß, desto besser kann er eine echt aussehende E-Mail generieren und den Inhalt entsprechend anpassen. Der Empfänger soll so zum Öffnen verleitet werden. Tut er das, installiert sich eine Schadsoftware auf dem Firmencomputer.

Cagnazzo betont, dass sich das Problem nicht nur auf Militärstützpunkte beschränkt. Auch Firmen könnten ein Angriffsziel sein. Vor ihrer Haustür beginnen nicht selten die Radrouten der eigenen Mitarbeiter. Wer wo arbeiten, steht damit relativ schnell und einfach fest. Auch in der Region ranken sich Lauf- oder Radfahrstrecken rund um Firmengelände – wie zum Beispiel bei Adidas in Herzogenaurach. Dort wird auch auf dem firmeneigenen Sportplatz mit dem Fitnesstracker gelaufen. Weil sich die Sportler mit ihrem Strava-Account untereinander vernetzen, kann auch auf Kollegen geschlossen werden. So mancher gibt in seinem Profil sogar an, mit welchen Laufschuhen er unterwegs ist.

Experte: Alltagsmuster ist erkennbar

Für den deutschen Sicherheitsforscher Tobias Schneider bergen die preisgegebenen Daten der Soldaten eine große Gefahr. Im Interview mit der Chicago Tribune erklärte er: "Das ist ein klares Sicherheitsrisiko. Man kann ein Alltagsmuster erkennen. Man kann sehen, wo jemand, der auf einem Gelände wohnt, die Straße entlangläuft, um zu trainieren." Was das Sicherheitsrisiko betrifft, ist Stefan Hansen, Geschäftsführer des Instituts für Sicherheitspolitik an der Christian-Albrechts-Universität zu Kiel, gespaltener Meinung. In Deutschland sieht er durch die App kein Sicherheitsrisiko, erklärt er auf Anfrage der NZ. Erstens würde Deutschland kaum "geheime" Einrichtungen betreiben. Und zweitens würden die Soldaten in Deutschland darauf hingewiesen werden, keine Meldungen in sozialen Medien zu verfassen, aus denen sich Informationen über aktuelle Einsätze und Liegenschaften ableiten lassen würden.

"Auffällig" seien für Hansen aber Laufrouten innerhalb und rund um Kasernenanlagen wie im amerikanischen Teil des Camp Marmal in Afghanistan. Dass US-Soldaten ihre Laufrouten ins Netz laden, zeuge von "fehlender Sensibilisierung" bei den Armeeangehörigen. Dass die militärischen Standorte dadurch bekannt würden, sieht er weniger kritisch. Fremden Nachrichtendiensten seien diese Anlagen zweifellos bekannt.