Sicherheitsforscher üben scharfe Kritik – Eindeutige Zuordnung und leichter Überblick über alle Läufe als echte Gefahr

Es gibt Berufe, bei denen absolute Geheimhaltung eine Grundvoraussetzung sind. So dürften etwa Soldaten im Auslandseinsatz aus Sicherheitsgründen oft nichts über ihren exakten Standort oder gar nähere Details zu jener Militärbasis, auf der sie sich befinden verraten. Das Problem dabei: Viele trennen dabei in ihren Köpfen private und militärische Aktivitäten allzu leichtfertig, und vergessen, dass die einen auch einen tiefen Einblick in die anderen geben können.

Polar

Mithilfe der Fitness-App der Firma Polar lassen sich die privaten Wohnorte einzelner Soldaten und Spione exakt herausfinden, wie eine gemeinsame Recherche von Bellingcat und der niederländischen Recherche-Plattform De Correspondent herausgefunden hat. Grund dafür ist, dass der Hersteller die Nutzer dazu animiert, ihre Workout-Ergebnisse über eine Plattform namens "Polar Flow" mit anderen zu teilen – womit diese sensible Details der Öffentlichkeit zugänglich machen.

Spurensuche

Mithilfe dieser Daten lasse sich etwa exakt feststellen, wo einzelne Soldaten auf einer Militärbasis wohnen, immerhin zeigen sie wo ein Lauf beginnt – und wo er endet. Besonders pikant ist dies, wenn sich an einem Ort besonders viele Fitnessaktivitäten zeigen, wo offiziell eigentlich gar keine Basis ist – diese also zur Geheimhaltung bestimmt ist. Einzelne Soldaten können dabei zunächst nur dann erkannt werden, wenn sie ihren Polar-Account mit einem Social Media-Account – etwa bei LinkedIn oder Facebook – verbunden haben. Aber selbst wenn dies nicht der Fall ist, ist es nicht sonderlich schwer eine nachträgliche Identifizierung vorzunehmen. Immerhin reisen all diese Personen auch regelmäßig nach Hause, wo ihre Laufaktivitäten ebenfalls fein säuberlich aufgezeichnet werden – womit auch das private Zuhause bekannt wäre.

grafik: bellingcat Wer weiß wo ein einzelner Lauf begonnen hat, weiß meist auch wo die Person wohnt – vor allem wenn man die Daten von vielen Läufen zum Vergleich zur Hand hat.

So konnten die Journalisten etwa einen hochrangigen Offizier identifizieren, der auf einer mit Nuklearwaffen ausgestatteten Militärbasis stationiert ist. Solche Informationen könnten für potentielle Angreifer von Interesse sein. Auch die Bewegungen von Geheimdienstmitarbeitern bei NSA und FBI konnten auf diese Weise nachvollzogen werden. Die Polar-Daten erlaubten den Forschern zudem das Aufspüren von Mitarbeitern von Nuklearanlagen, von russischen Soldaten auf der Krim aber auch von Soldaten, die im Kampfeinsatz gegen den Islamischen Staat sind.

Vorgeschichte

Ein ähnlicher Vorfall machte bereits Anfang des Jahres die Runde, als der Sicherheitsforscher Nathan Ruser aufzeigte, was sich mit den Fitness-Daten von Strava anfangen lässt. Der aktuelle Vorfall scheint aber sogar noch schwerwiegender zu sein, da Polar wesentlich mehr Daten über seine Nutzer publiziert, und auch das Abgreifen einfacher mache, wie die Entdecker des Problems kritisieren. So zeige Polar etwa alle Läufe einer einzelnen Person übersichtlich auf einer Weltkarte an – und zwar zurückgehend bis 2014.

grafik: bellingcat Selbst bei Orten, die auf Google Maps verpixelt wurden, sind Läufe zu finden.

Einige der Probleme können von den Nutzern selbst über die Privatsphäreneinstellungen abgefedert werden, die Polar-App mache es aber nicht gerade einfach, die eigenen Daten zu schützen, wie die Entdecker des Problems betonen. So ist es etwa bei anderen Fitness-Apps möglich die Wohn- und Arbeitsorte gezielt zu verschleiern – das geht hier nicht. Auch können Läufe im Nachhinein nur einzeln gelöscht werden, wer hier mehrer hundert Einträge hat, hat also einen sehr mühsamen Prozess vor sich. Vor allem aber würden auch viele eigentlich als "privat" markierte Läufe auf der Karte angezeigt, die dann über Start- und Endpunkte erst recht wieder zugeordnet werden können. Schlimmer wird dies noch dadurch, dass es ein leichtes sei, auch an die User-IDs der zugehörigen Nutzer zu kommen, wie die Forscher betonen.

Änderung

Dass sich Polar der Problematik zumindest in Teilen bewusst ist, zeigt eine Änderung der Privacy Policy im August 2017. Seitdem seien alle neuen Accounts von Haus aus auf "privat" gestellt, Nutzer müssten sich also explizit zum Teilen der Informationen entscheiden. Das ändert natürlich nichts daran, dass ein großer Teil der Polar-User wohl ihren Account zuvor angelegt haben, und viele Daten teilen, derer sie sich gar nicht bewusst sind. (apo, 9.7.2018)