Wie verschiedene Medien berichten, legt die Fitnesstracking-App Strava nicht nur per öffentlich zugänglicher Heat-Maps die Aktivitäten ihrer Nutzer offen – sie verrät dabei auch die Standorte geheimer Militärbasen samt der Trainingsrouten der dort stationierten Soldaten. Ein Sicherheitsrisiko, das wir näher beleuchtet haben. Mit erschreckendem Ergebnis.
Die Global Heatmap von Strava ist ein größtenteils harmloses Tool. Es zeigt auf einer Weltkarte die anonymisierten sportlichen Aktivitäten der Nutzer an. So kann eingesehen werden, in welchen Landstrichen besonders viel gelaufen, gejoggt oder Rad gefahren wird. Dass Orte wie der Münchner Olympiapark da hell aufleuchten, ist wenig überraschend. Wenn es jedoch ein Ort in der afghanischen Wüste tut, könnte dies Neugierde wecken. Afghanistan ist auf der Karte größtenteils in schwarz getaucht. Einzelne leuchtende Flecken weisen auf Großstädte hin, aber auch auf Militärstützpunkte. Dort laufen Soldaten ihre Bahnen, um sich fit zu halten – und markieren dabei auf der Strava Heatmap unbewusst ein Ziel für Terroranschläge.
Strava wird aber noch präziser. Die Nutzer können ihre Lieblingsstrecken als Segmente markieren. Diese Segmente sind nicht nur öffentlich einsehbar, es werden auch öffentliche Bestenlisten dafür geführt, in der die Nutzer meist mit Klarnamen auftauchen. In einer kleinen Fallstudie hat sich das if(is) elf Militärbasen rund um den Globus auf der Strava Heatmap näher angeschaut, um zu prüfen, ob einzelne Militärangehörige darüber zu identifizieren. Bei zehn Basen waren Segmente angelegt. In jeder Basis konnte mindestens ein Militärangehöriger identifiziert werden.
Am Beispiel der Panzerkaserne in Böblingen konnten wir nicht nur einzelne Personen klar identifizieren, sondern auch über deren teils öffentlich zugängliche Lauf-Historie feststellen, wo diese Personen zu welcher Zeit stationiert waren. Von elf von uns identifizierten Personen konnten wir bei sechs eine Stationierung bei mindestens einer weiteren Militärbasis oder deren Dienst- und Urlaubszeiten feststellen. Strava stellt zwar die Möglichkeit bereit, solche Daten geheim zu halten, doch ist standardmäßig ein öffentlicher Zugriff eingestellt. Unsere Beispiele wurden per Hand ermittelt, doch ist es durchaus möglich, diese Daten automatisch abzugreifen.
Der Fall zeigt, dass die zunehmende Vernetzung und Transparenz des Einzelnen unbeabsichtigte Folgen haben kann. Strava hatte bei der Heatmap sicher keine Verletzung der Privatsphäre im Sinn, sie kann sogar als nützliches Tool zur Benennung stark ausgelasteter Wegstrecken verwendet werden, doch sie ermöglicht auch die einfache Identifikation Militärangehöriger oder anderer gefährdeter Personen und deren Aufenthaltsorte.
Detaillierte Infos auf: https://www.cagnazzo.de/using-stravas-heatmap-to-identify-and-track-military-personnel/ (Englisch)