Läufst du noch oder sharest du schon? In Zeiten von Social Media wird auch das tägliche, wöchentliche, halbjährliche Work-out zum Ereignis: Wer etwas auf sich hält, nimmt seine Fitnessdaten nicht nur per Smartphone, Smartwatch oder Tracker zur Selbstmotivation auf, sondern teilt diese mit virtuellen Trainingspartnern, mit Freunden – oder gleich öffentlich. Per GPS wird aufgezeichnet, wo jemand gerade entlangjoggt oder -radelt, wie schnell und wie lange. Wenn derjenige auch seine Körperfunktionen aufzeichnet, gibt es Daten zum Puls, Blutdruck und Kalorienverbrauch gleich dazu.

In welchem Maße andere das alles wirklich wissen wollen, sei dahingestellt. Aber Plattformen wie Strava, die das Teilen von Fitnessdaten über Tracker wie Fitbit oder die Apple Watch ermöglichen, sind beliebt.

Offenbar auch unter Soldaten. Das fand Nathan Ruser heraus, Student der Internationalen Sicherheit im australischen Canberra. Bereits im November hatten die Betreiber der Fitnesstracking-App Strava eine globale Heatmap mit Daten von Läufen veröffentlicht, die Nutzer zwischen 2015 und 2017 mit der Plattform geteilt hatten. Ruser untersuchte die Karte auf Gebiete wie Syrien, Irak und Afghanistan und entdeckte überraschend viele Einträge, die auf Camps von Hilfsorganisationen und bekannte und weniger bekannte Militärstützpunkte hinwiesen.

Schnell begannen weitere Nutzer auf Twitter, die Heatmap zu analysieren. Sie fanden einen einzelnen Radfahrer in der als Area 51 bekannten US-Air-Force-Basis in Nevada. Sie fanden Jogger in der Nähe eines Staudamms in Syrien, wo die USA mutmaßlich einen Stützpunkt aufbaut. Der Journalist Jeffrey Lewis vom Onlinemagazin The Daily Beast entdeckte Strava-Nutzer auf dem Gebiet eines lange Zeit geheim gehaltenen Raketenkommandos in Taiwan. Und andere fanden dank Strava neue Hinweise auf einen möglichen CIA-Stützpunkt in Dschibuti. Auch das Camp Marmal der Bundeswehr in Afghanistan sei zu finden, schreibt der Journalist und Bundeswehrexperte Thomas Wiegold in seinem Blog.

Auf Patrouille vergessen, das Tracking auszuschalten

Nun werden die Daten auf der Heatmap nicht in Echtzeit angezeigt und sie sind auch nicht mit einzelnen Konten verknüpft. Sie stellen lediglich dar, wo auf der Welt die Nutzer mit Fitnesstrackern in den vergangenen beiden Jahren gelaufen sind.

Ein Problem sehen Sicherheitsforscher und Militärexperten darin trotzdem. Denn auch wenn die Daten in den meisten Fällen keine wirklich geheime Stützpunkte enthüllen, lassen sich aus ihnen Rückschlüsse ziehen, die gegen die Prinzipien der Operations Security (Op-Sec) verstoßen: Derzufolge sind Soldaten angehalten, keine Details ihrer Mission mit der Öffentlichkeit zu teilen, schon gar nicht in den sozialen Netzwerken.

"Das ist ein klares Sicherheitsrisiko", sagte der deutsche Sicherheitsforscher Tobias Schneider im Gespräch mit der Washington Post. "Man kann ein Alltagsmuster erkennen. Man kann sehen, wo jemand, der auf einem Gelände wohnt, zum Training die Straße runterläuft." Wer die Daten genauer analysiere, könne darin Informationen finden, die nicht für die Öffentlichkeit bestimmt sind. "Diese Art von Nachrichtengewinnung aus offenen Quellen, Open Source Intelligence, scheint in diesem Fall recht ergiebig", schreibt Wiegold. 

Ein weiteres Problem: Viele Nutzer von Strava tragen ihren Fitnesstracker nicht nur, während sie tatsächlich joggen oder Rad fahren, sondern den ganzen Tag über. Auf der Heatmap von Strava werden einzelne Touren angezeigt, die von Militärstützpunkten ausgehen und zu lang sind, um einen Lauf darzustellen. Hierbei könnte es sich um Patrouillen oder Nachschubrouten handeln, vermuten Experten wie Schneider. Auch wenn die Daten veraltet sind, könnten sie damit Geheimdiensten oder Angreifern Einblicke über das mögliche Verhalten von Soldaten liefern, was noch einmal eine andere Qualität hat als einfache Satellitenbilder.