Joggingstrecken im Internet Wie die Fitness-App Strava israelische Militärs verraten konnte

Mit einem einfachen Trick konnte jeder Nutzer der App Strava die Bewegungen israelischer Soldaten auf geheimen Stützpunkten verfolgen. Dabei war das Problem seit Jahren bekannt.
Strava-Website: Virtuelle Joggingstrecken, auf denen andere aber tatsächlich liefen

Strava-Website: Virtuelle Joggingstrecken, auf denen andere aber tatsächlich liefen

Foto: ERIC BARADAT/ AFP

Kaum etwas spornt beim Joggen mehr an als besonders fitte Mitläufer. Nach diesem Prinzip funktionieren Fitness-Apps wie Strava: Wer seine Bewegungsdaten an die Server des App-Anbieters überträgt, kann sich laufend mit anderen Joggern vergleichen. Diese Funktion erweist sich nun wieder einmal als Sicherheitsproblem für Militärs.

Wie der britische »Guardian« unter Berufung auf die israelische Organisation FakeReporter berichtet , war es zum Beispiel möglich, einen Militärangehörigen auf einer geheimen Militärbasis zu verfolgen. Dabei offenbarte Strava nicht nur die Joggingstrecken um die Anlage selbst, sondern konnte auch die Reisen des Soldaten zu anderen Stützpunkten und ins Ausland rekonstruieren.

Die Erkenntnis ist an sich nicht neu: Bereits 2018 hatte das Pentagon Soldaten im Kampfeinsatz den Gebrauch solcher Apps untersagt. Gerade in Gebieten wie Syrien waren die Datenspuren von US-Soldaten auf den für jedermann öffentlichen »Heatmaps« von Strava so auffällig, dass das US-Militär sich um ihre Sicherheit sorgte. Zudem können solche Daten Truppenverlegungen offenbaren.

Auch ohne Namen identifizierbar

Die neue Enthüllung zeigt: Auch wer seine Trainingsdaten nicht für die Allgemeinheit sichtbar gemacht hat, konnte getrackt werden. Dazu bedurfte es eines einfachen Tricks: Ein Unbekannter hatte mehrere virtuelle Joggingstrecken angelegt, die durch Militärstützpunkte und an (bekannten) Geheimdienststandorten entlangführten. Auf diese Weise bekam der Angreifer Einsicht in die Daten von Personen, die – anders als er selbst – tatsächlich auf diesen Strecken unterwegs waren.

Der Fall zeigt den Unterschied zwischen vollständiger Anonymisierung und Pseudonymisierung. Strava erlaubt zwar, das eigene Profil privat zu stellen, sodass nur Bekannte und Freunde Zugriff auf alle Trainingsdaten haben. Was vielen nicht bewusst sein dürfte: Die Profile werden dennoch bei vermeintlichen Mitjoggern angezeigt, die sich auf der gleichen Strecke anmelden. Dabei wird zwar der volle Name entfernt , das angezeigte Profilbild und weitere Informationen offenbarten jedoch dennoch, ob es sich um die gleichen Läufer handelte. Taucht das Profilbild dann bei einem öffentlichen Event wie einem Marathonlauf auf, ist eine Identifizierung relativ einfach. Wer das nicht will, muss jede einzelne Joggingstrecke auf privat stellen – oder auf Apps wie Strava ganz verzichten.

Strava bedankte sich in einem Statement für die Hinweise und erklärte dem SPIEGEL, dass man das Problem mit den gefundenen Routen inzwischen beseitigt habe. Dennoch verweist das Unternehmen darauf, dass letztlich die Nutzerinnen und Nutzer selbst dafür verantwortlich sind, wie sie ihre Daten teilen: »Wir bieten leicht zugängliche Informationen darüber, wie Informationen auf Strava geteilt werden, und geben jedem Athleten die Möglichkeit, seine eigenen Datenschutzeinstellungen vorzunehmen.«

Die FakeReporter gaben inzwischen auf Twitter bekannt , dass hinter den verdächtigen Joggingrouten wohl kein ausländischer Geheimdienst steckt, sondern lediglich »ein anonymer israelischer Blogger und Geheimdienst-Enthusiast«, der die Möglichkeit einer solchen Attacke erproben und demonstrieren wollte. Ob jedoch in der Zwischenzeit andere diese Informationen ebenfalls nutzten, ist unbekannt.