Wie leicht persönliche Daten zu einem Sicherheitsrisiko werden, zeigt die Fitness-App Fitbit. Wie nun bekannt wurde, lassen sich über eine öffentliche Karte des Herstellers Strava die Lage von geheimen US-Militärbasen und andere hochgradig sensible Informationen fremder Streitkräfte in Ländern wie Afghanistan und Syrien einsehen. Die App Fitbit wird von Millionen Nutzern auf der Welt verwendet, um Joggingrouten aufzuzeichnen. Die Karte, die nun im Internet verfügbar ist, stellt Lauf- und Bewegungsrouten von Millionen Menschen auf der ganzen Welt zwischen 2015 und September 2017 dar. In den Konfliktgebieten in Afghanistan und Syrien sind Angehörige der US-Armee sowie auch russische Militärs meist die einzigen Nutzer der App – und zeichnen ihre täglichen Aktivitäten damit in leuchtenden Linien ins Internet.
Auch auf deutschen Militärbasen werden Apps von Strava eifrig verwendet, wie die Daten zeigen. Die Hauptbasis des deutschen Kontingents in Afghanistan im Feldlager Camp Marmal nahe der Stadt Mazar-i-Scharif ist etwa deutlich zu sehen (siehe Bild oben), ebenso wie ein unweit gelegenes Lager der afghanischen Armee, Camp Shaheen. Letzteres war erst im April 2017 Schauplatz einer blutigen Taliban-Attacke mit zumindest 140 Toten. Weitere Beispiele für auf der Heatmap auffindbaren Militärbasen der Bundeswehr zählt der Journalist Thomas Wiegold auf.
Das wirft die Frage auf, wie sehr das Bundesverteidigungsministerium Fitbit und ähnliche Apps als potentielle Sicherheitsbedrohung bei Einsätzen in Afghanistan und anderswo betrachtet. Welche Maßnahmen sind getroffen worden, um die versehentliche Preisgabe sensibler Daten durch Bundeswehr-Angehörige zu verhindern? Eine entsprechende Anfrage von netzpolitik.org beantwortete das Bundesverteidigungsministerium zunächst nicht. Ministeriumssprecher Holger Neumann sagte am Montag in der Bundespressekonferenz, es gebe in jedem Kontingent einen IT-Sicherheitsbeauftragten, der für das Thema vor Ort sensibilisiere. Man müsse sich aber damit abfinden, „dass wir relativ gläsern sind“.
Die Fitbit-Daten können die Sicherheit von Militäranlagen auf unterschiedliche Arten kompromittieren, schreibt der Wissenschafter John Scott Trailton von der Forschergruppe Citizens Lab in Kanada auf seiner Webseite. Durch die grellen Linien ließen sich einerseits geheime Basen entdecken, aus den Daten lasse sich zudem die Aktivitätsrate an einzelnen Orten zeigen. Aus der Information lässt sich aber laut Trailton auch ein Nutzungsprofil erstellen, mit dem etwa Patrouillenrouten sichtbar werden. Selbst die Identifizierung einzelner Nutzer durch ihre Verhaltensmuster ist denkbar.
Pentagon teilte Fitbit-Geräte an Soldaten aus
Das US-Militär trug in der Vergangenheit selbst zu der hohen Verbreitung von Fitbit unter seinen Soldaten bei. Als Teil eines Pilotprogramms zur Bekämpfung von Übergewicht verteilte das Verteidigungsministerium rund 2.500 Fitbit-Geräte unter Militärangehörigen, berichtet die Washington Post. Offenbar war die öffentliche Verwendung der Daten bisher kaum geregelt, denn die Datenübertragung lässt sich bei den Strava-Apps zwar deaktivieren, das geschah aber offenkundig in vielen Konfliktzonen nicht durchgängig.
Die Nutzung von sozialen Medien und datenintensiven Apps durch Soldaten im Kampfeinsatz ist schon seit längerem Thema. Im Jahr 2012 riet die Bundeswehr ihren Soldaten etwa von der Verwendung von Facebook ab, nachdem Soldaten dem Darsteller in einem Antikriegsfilm angeblich Drohnachrichten geschickt hatten. Über beliebte Plattformen wie Instagram lässt sich nach Standorten suchen, womit in Konfliktzonen potentiell heikle Informationen öffentlich zugänglich sind. Standortbezogene Daten werden umgekehrt auch von Streitkräften zur Aufklärung gekauft. Twitter bot etwa über seine „Firehose“ eine Auswahl von Millionen Tweets zur Echtzeit-Überwachung an, die auch vom US-Militär und autoritären Staaten gerne gekauft werden.
Update 29.1.2018: Zum Artikel wurde die Stellungnahme von Ministeriumssprecher Neumann hinzugefügt.
