Läufst du noch oder sharest du schon? In Zeiten von Social Media wird auch das tägliche, wöchentliche, halbjährliche Work-out zum Ereignis: Wer etwas auf sich hält, nimmt seine Fitnessdaten nicht nur per Smartphone, Smartwatch oder Tracker zur Selbstmotivation auf, sondern teilt diese mit virtuellen Trainingspartnern, mit Freunden – oder gleich öffentlich. Per GPS wird aufgezeichnet, wo jemand gerade entlangjoggt oder -radelt, wie schnell und wie lange. Wenn derjenige auch seine Körperfunktionen aufzeichnet, gibt es Daten zum Puls, Blutdruck und Kalorienverbrauch gleich dazu.

In welchem Maße andere das alles wirklich wissen wollen, sei dahingestellt. Aber Plattformen wie Strava, die das Teilen von Fitnessdaten über Tracker wie Fitbit oder die Apple Watch ermöglichen, sind beliebt.

Offenbar auch unter Soldaten. Das fand Nathan Ruser heraus, Student der Internationalen Sicherheit im australischen Canberra. Bereits im November hatten die Betreiber der Fitnesstracking-App Strava eine globale Heatmap mit Daten von Läufen veröffentlicht, die Nutzer zwischen 2015 und 2017 mit der Plattform geteilt hatten. Ruser untersuchte die Karte auf Gebiete wie Syrien, Irak und Afghanistan und entdeckte überraschend viele Einträge, die auf Camps von Hilfsorganisationen und bekannte und weniger bekannte Militärstützpunkte hinwiesen.

Schnell begannen weitere Nutzer auf Twitter, die Heatmap zu analysieren. Sie fanden einen einzelnen Radfahrer in der als Area 51 bekannten US-Air-Force-Basis in Nevada. Sie fanden Jogger in der Nähe eines Staudamms in Syrien, wo die USA mutmaßlich einen Stützpunkt aufbaut. Der Journalist Jeffrey Lewis vom Onlinemagazin The Daily Beast entdeckte Strava-Nutzer auf dem Gebiet eines lange Zeit geheim gehaltenen Raketenkommandos in Taiwan. Und andere fanden dank Strava neue Hinweise auf einen möglichen CIA-Stützpunkt in Dschibuti. Auch das Camp Marmal der Bundeswehr in Afghanistan sei zu finden, schreibt der Journalist und Bundeswehrexperte Thomas Wiegold in seinem Blog.

Auf Patrouille vergessen, das Tracking auszuschalten

Nun werden die Daten auf der Heatmap nicht in Echtzeit angezeigt und sie sind auch nicht mit einzelnen Konten verknüpft. Sie stellen lediglich dar, wo auf der Welt die Nutzer mit Fitnesstrackern in den vergangenen beiden Jahren gelaufen sind.

Ein Problem sehen Sicherheitsforscher und Militärexperten darin trotzdem. Denn auch wenn die Daten in den meisten Fällen keine wirklich geheime Stützpunkte enthüllen, lassen sich aus ihnen Rückschlüsse ziehen, die gegen die Prinzipien der Operations Security (Op-Sec) verstoßen: Derzufolge sind Soldaten angehalten, keine Details ihrer Mission mit der Öffentlichkeit zu teilen, schon gar nicht in den sozialen Netzwerken.

"Das ist ein klares Sicherheitsrisiko", sagte der deutsche Sicherheitsforscher Tobias Schneider im Gespräch mit der Washington Post. "Man kann ein Alltagsmuster erkennen. Man kann sehen, wo jemand, der auf einem Gelände wohnt, zum Training die Straße runterläuft." Wer die Daten genauer analysiere, könne darin Informationen finden, die nicht für die Öffentlichkeit bestimmt sind. "Diese Art von Nachrichtengewinnung aus offenen Quellen, Open Source Intelligence, scheint in diesem Fall recht ergiebig", schreibt Wiegold. 

Ein weiteres Problem: Viele Nutzer von Strava tragen ihren Fitnesstracker nicht nur, während sie tatsächlich joggen oder Rad fahren, sondern den ganzen Tag über. Auf der Heatmap von Strava werden einzelne Touren angezeigt, die von Militärstützpunkten ausgehen und zu lang sind, um einen Lauf darzustellen. Hierbei könnte es sich um Patrouillen oder Nachschubrouten handeln, vermuten Experten wie Schneider. Auch wenn die Daten veraltet sind, könnten sie damit Geheimdiensten oder Angreifern Einblicke über das mögliche Verhalten von Soldaten liefern, was noch einmal eine andere Qualität hat als einfache Satellitenbilder.

Das US-Militär will die Sache überprüfen

Die Heatmap an sich ist zwar anonym, andere Teile von Strava aber sind es nicht. Über die Website und App lässt sich etwa direkt nach Segmenten suchen: Strecken, die von Nutzern erstellt wurden, und die zum Wettkampf mit anderen einladen. Wer die URL der Segmente ausliest, kann sich alle Nutzer anzeigen lassen, die diese absolviert haben. Und mit diesem Wissen wiederum lassen sich Nutzer theoretisch verfolgen, wie ein Twitternutzer demonstriert. Ein Soldat ließ sich so über eine Aktivität in einem Militärstützpunkt im Irak über Strava bis zurück nach Hause verfolgen.

In einer Stellungnahme weist Strava auf die Privatsphäreneinstellungen in der App hin: "Die Heatmap schließt Aktivitäten aus, die als privat markiert wurden, oder in einer privaten Zone aufgenommen wurden", sagt das Unternehmen. In der App lassen sich Gebiete mit einem Radius bis zu einem Kilometer als privat markieren. Die dort aufgenommenen Fitnessdaten werden nicht öffentlich geteilt. Doch diese Zonen müssen die Nutzer von selbst festlegen, was offenbar viele Nutzer nicht wissen oder schlicht ignorieren.

Auch wenn die Entdeckungen von Nathan Ruser vermutlich keine direkten Folgen für die Sicherheit von Soldaten haben werden (ausländische Geheimdienste haben ihre eigenen Quellen), macht der Fall letztlich einmal mehr ein generelles Problem deutlich: Je vernetzter der Alltag, desto mehr Daten werden geteilt und desto mehr mögliche Verknüpfungen werden möglich. Für die meisten Nutzer mögen Fitnesstracker ein neuer Weg sein, sich zu motivieren und die Trainingsleistung mit anderen zu teilen. Doch auch diese Daten können unter Umständen missbraucht werden.

Das US-Militär kennt die Probleme, die durch Smartphones und soziale Medien für die Operations Security entstehen. Deshalb gibt es eigentlich schon länger Richtlinien für deren Nutzung. Fitnesstracker wurden hier offenbar bislang nicht gesondert berücksichtigt, doch das könnte sich nun ändern. Man wolle die Angelegenheit untersuchen, heißt es in einer aktuellen Stellungnahme des Militärs. Ein Sprecher der australischen Truppen äußerte sich ähnlich. Einige Soldaten würden sich in dieser Woche wohl eine Lektion anhören dürfen, vermutet Tobias Schneider.