Unerwartetes Informationsleck: Fitness-Netzwerk "Strava"

Die Fitnesshelfer fürs Handgelenk generieren eine Fülle von Daten – wie viel man sich bewegt hat, wie viele Kalorien verbraucht wurden und auch, welche Strecke man morgens gejoggt oder mit dem Fahrrad gefahren ist. Alle Informationen kann man auch einem entsprechenden Internetportal wiederfinden und so seinen eigenen Fortschritt dokumentieren. Auch Militärangehörige möchten natürlich ihre eigene Fitness erhalten und steigern – auch und besonders, wenn man sich auf einem weit von der Zivilisation entfernten Außenposten befindet. Da wird morgens und/oder Abends einfach eine Runde um die Basis gejoggt. So weit, so gut.
In einer im November 2017 veröffentlichten Karte des Portals „Strava“ wurden Daten aller registrierten Nutzer zu einer „Heatmap“ zusammengeführt, die sehr anschaulich macht, wie verbreitet die App ist und wo die Benutzer ihre täglichen Joggingrunden drehen. Das Straßen- und Wegnetz ist deutlich zu sehen

In einer im November 2017 veröffentlichten Karte des Portals „Strava“ wurden Daten aller registrierten Nutzer zu einer „Heatmap“ zusammengeführt, die sehr anschaulich macht, wie verbreitet die App ist und wo die Benutzer ihre täglichen Joggingrunden drehen. Das Straßen- und Wegnetz ist deutlich zu sehen. In den Ballungszentren sind die Aktivitäten natürlich am stärksten, was auch zu erwarten war. Bewegt man sich allerdings in die weniger aktiven Gegenden, findet man auch in Krisenregionen vereinzelte helle Flecken. Genau diese Flecken sind das Problem: es handelt sich hier um Militär-Stützpunkte, in denen Nutzer ihre Aktivitäten aufzeichnen.

Die Karten sind recht genau. Man kann deutlich den Aufbau einer Basis daran ablesen und sogar regelmäßg genutzte Routen – ein Analyst bezeichnete diese Daten als „nicht wirklich toll für die OpSec“ (operational security), was durchaus ein Understatement ist. Streitkräfte geben sich normalerweise zugeknöpft, wenn es um Informationen wie Truppenstärke, Truppenbewegungen, Aufenthaltsorte und Grundrisse ihrer Einrichtungen geht – man kann dabei in den Heatmaps sogar deutlich sehen, welche Bereiche eines Stützpunktes weniger frequentiert sind. Insofern dürften die Berichte bei den Betroffenen sehr wenig Begeisterung hervorrufen.

Grundsätzlich kann man einer Fitness-App auch verbieten, bestimmte Daten mit der angeschlossenen Cloudplattform zu teilen – wenn man die Einstellung denn vornimmt. Dies scheint in mehreren Fällen unterblieben zu sein. Die Folge dieses Fauxpas dürfte nun sein, dass man darüber nachdenkt, diese Geräte aus bestimmten Bereichen einfach zu verbannen.

Diese Überlegung ergibt nicht nur für Militärangehörige Sinn: auch im privaten oder geschäftlichen Bereich haben viele Menschen vielleicht kein Interesse daran, dass ihre Bewegungen nachvollziehbar sind. Wer einen Fitness-Tracker oder eine entsprechende App einsetzt, sollte sich daher dringend mit der Frage auseinandersetzen, ob und welche Daten er wirklich teilen möchte, insbesondere wenn die Daten in einer Web-Plattform gespeichert werden. Im vorliegenden Fall wurden potenziell vertrauliche Daten unbeabsichtigt und ohne negative Intention öffentlich gemacht. Auch dieser Möglichkeit muss man Rechnung tragen.

Wird die Plattform von außen kompromittiert, dann sind potenziell weit mehr als die die eigenen (Bewegungs-) Daten offengelegt. Die Diskussion um Fitnesstracker und deren Angreifbarkeit wird immer wieder geführt – und auch unter Datenschutzgesichtspunkten ergeben sich hier spannende Fragen. So haben einige Krankenkassen bereits Tarife eingeführt, die den Versicherten Vergünstigungen einräumen – wenn sie die Daten aus einem Fitnesstracker mit der Versicherung teilen. 

Geräte wie Fitnesstracker, Smartwatches und ähnliches müssen als das gesehen werden, was sie sind: als Datenquellen, über deren Aktivitäten man sich nicht immer bewusst ist. Die Geräte und die zugehörigen Apps akkumulieren Daten, auch wenn sie gerade nicht aktiv genutzt werden und das Gerät in der Tasche / auf dem Tisch liegt. Jeder Nutzer sollte daher genau prüfen, welche Daten seine Geräte sammeln. Das gilt auch und besonders für Geräte, die Standortdaten aufzeichnen. Je nach Konfiguration ist es möglich, seine Bewegungsdaten über mehrere Jahre hinweg nachzuverfolgen – für zahlreiche Menschen ein unangenehmer Gedanke.

Datenhungrige Geräte und Anwendungen werden zunehmend zu einem Problem: viele Informationen können potenziell genutzt werden, um Schaden anzurichten. Viele Apps haben sich in Hinsicht auf ihre Absicherung in der Vergangenheit nicht mit Ruhm bekleckert: sowohl Fitness-Apps als auch Banking-Apps und andere sind bereits durch Sicherheitslücken negativ aufgefallen.
Selbst, wenn einzelne Informationen für sich genommen unkritisch sind, gewähren sie im Zusammenhang unter Umständen Einblicke, die weder gewollt noch gewünscht sind. Für ausreichend motivierte Angreifer ist es ohne großen Aufwand möglich, Daten zu sammeln. Man sollte es ihnen daher nicht leichter machen als nötig.
Schauen Sie sich die Einstellungen der Geräte und Apps an und hinterfragen folgendes:

• Welche Daten werden dort gesammelt?
• Sind die Daten notwendig für die Funktionalität der App?
• Wofür verwenden Sie das Gerät?
• Werden hier Firmendaten gespeichert oder verarbeitet? Hierzu zählen insbesondere Emails und Dokumente. In Betrieben sollte es eine eindeutige Regelung über die Verwendung privater Geräte für Firmenzwecke geben.
• Bewegen Sie sich mit dem Gerät in besonders gesicherten oder zutrittsbeschränkten Bereichen?

In aktuellen Betriebssystem ist es in der Regel möglich, einer App den Zugriff auf bestimmte Daten zu verweigern, wie etwa die Standortdaten, Kontaktliste, Fotos, Kamera etc. Erwägen Sie sorgfältig ob eine bestimmte App überhaupt Zugriff erhalten soll. Gerade auf Firmengeräten sollte der Grundsatz „Vertrauen ist gut, Kontrolle ist besser“ gelten, damit firmeneigene Daten auch innerhalb des Betriebs bleiben. Hier sollten Administratoren erwägen, nur bestimmte Apps zuzulassen und ein Mobile Device Management einzusetzen, mit dem die Geräte abgesichert und verwaltet werden können.