Eine öffentliche Heatmap des Fitnesstrackers “Strava” sorgt für Aufruhr, weil die gesammelten Daten Rückschlüsse auf geheime Militäranlagen und andere heikle Infrastrukturelemente zulassen. Ein kritische Blick auf die Kontroverse.

Fitness ist in letzten Jahren zur Ersatzreligion aufgestiegen, so berichten es diese Tage verschiedene Schweizer Medien. Eine verallgemeinernde Aussage, deren teilweise Wahrheit man vermutlich nicht ganz abstreiten kann: Im Naherholungsgebiet rund um den Greifensee tummeln sich an sonnigen und regnerischen Tagen gleichermassen Läufer, Biker und Ruderer. Alle auf der Suche nach einem Ausgleich zum Arbeitsalltag, der in vielen Fällen doch eher bewegungsarm ausfällt.

Fortschritte zu machen ist ein primäres Ziel für viele Hobbysportler: Eine höhere Schrittfrequenz, tieferer Puls und vor allem bessere Split-Zeiten sind für Läufer wichtige Messdaten, um abzuschätzen ob die Bemühungen an der frischen Luft die eigene Leistungsfähigkeit effektiv erhöht. Es gibt sie zwar noch, die Asketen, die in bester “Rocky”-Manier einfach ihre Kilometer abspulen und sich nicht darum kümmern, ob sie nun schneller oder langsamer waren als das letzte Mal – aber sie sind selten geworden. Der typische Hobbysportler misst seine Workouts mittels Sportuhren oder ähnlichen Gadgets von Garmin, Fitbit oder Nike. Oder direkt per Smarthone. Die Optionen sind mannigfaltig, der Markt mit derartigen Gerätschaften boomt.

Sind die Daten einmal erfasst, gilt es diese auszuwerten. Verschiedene Apps wie Runkeeper, Fitbit oder Nike’s Running Club buhlen hier um die Gunst der Hobbyathleten. Ein prominenter Anbieter ist auch Strava, der in den letzten Tagen für Schlagzeilen gesorgt hat. Strava, mit Sitz in San Francisco, vermarketet sich gezielt als das “Social Network für Athleten” und verfolgt diesen Ansatz konsequent: Wer regelmässig die selben Strecken läuft oder fährt, der kann sich in Toplisten mit anderen messen. Wer Freunde zu seiner Liste hinzufügt, kann diesen zu einem gelungenen Workout gratulieren und Kommentare hinzufügen. Eine hübsch gemacht Animation mit dem Titel “Flyby” erlaubt es sogar zu sehen, welche anderen Strava-Nutzer man bei der morgendlichen Rundfahrt gekreuzt oder – manchmal fast interessanter – überholt hat.

Betrachtet man diese Daten isoliert, also im Kontext eines einzelnen Laufes oder einer Velofahrt, so sind diese sicherlich nicht belanglos, aber kaum Grund für massive Bedenken der meisten Nutzer. Je mehr diese Daten aber korreliert werden, desto kritischer wird der Datenschutz-Aspekte: Eine Läuferin schrieb bereits in 2017 über ihre Bedenken, dass scheinbar Fremde ihre üblichen Laufrunden auskundschaften könnten. Die Angelegenheit wurde damals als Einzelfall weitgehend ignoriert, mit Hinweis auf die Einstellung zur Privatsphäre.

Deutlich weitere Wellen geschlagen hat nun die sogenannte “Global Heatmap”, die Strava jüngst der Öffentlichkeit zugänglich gemacht hat. Aus über eine Millarde geloggter Aktivitäten, rund zehn Terabyte Rohdaten, hat Strava eine internationale Heatmap gebaut, die aufzeigen soll, wo die beliebtesten Strecken und Ausgangsorte für sportliche Aktivitäten liegen. Ein Analyst der UCA namens Nathan Ruser witterte rasch, dass diese Art von “Big Data”-Auswertung nicht nur sportliche Hotspots zu Tage fördern würde, sondern auch andere interessante Lokalitäten.

So stellte sich rasch heraus, dass Apps wie Strava nicht nur von Hobbysportlern in weitgehend konfliktfreien westlichen Ländern, sondern auch von Soldaten in Kriesengebieten eingesetzt wird. Innert kürzesten Zeit wurden auf der Activity Map verschiedene, teils geheime oder undokumentierte, Armeestützpunkte identifiziert, teils direkt korrelierend mit Patrouillenrouten oder anderen kritischen Aspekten.

Die öffentliche Reaktion fiel erwartungsgemäss heftig aus: Es könne nicht angehen, dass die Leben von Soldaten durch derartige Bewegungsdaten aufs Spiel gesetzt würden. Strava reagierte mit einem Statement und machte darauf aufmerksam, dass das Freigeben dieser Bewegungsdaten nicht zwingend sei und deaktiviert werden könne.

Das ist nicht falsch, entbindet Strava aber nicht von der Verantwortung, mit den ihnen vorliegenden Daten sinngerecht umzugehen. Wer eine sehr liberale Sharing-Option als Standardeinstellung ausliefert, sollte seine Kunden sehr gezielt auf diese hinweisen – und den Opt-Out einfach machen. Bei Strava ist das kaum der Fall: Die Privacy Settings sind bestenfalls verwirrend und kommen, betrachtet man alle Kombinationsmöglichkeiten, in ca. sechs unterschiedlich ausgeprägten Stufen. Sogar Nutzer, die glauben ihre Einstellungen “sicherer” gemacht zu haben können unter Umständen immer noch kritische Bewegungsdaten preisgeben. Die Standardeinstellungen entsprechend weitgehend einem “Alle sehen alles”-Modell. Einen Endbenutzer ohne technische Expertise dafür verantwortlich zu machen, hier nicht die notwendigen Schritte treffen zu können ist absurd.

In einer Zeit, in der die Nutzung von zunehemend komplexerer und tiefgreifender technologischer Mittel immer mehr unseren Alltag penetriert, müssen Unternehmen strikter und unter Androhung harscherer Konsequenzen in die Verantwortung genommen werden. Der Fall Strava zeigt einmal mehr eindrücklich auf, wie wichtig der Kontext von Informationen für die Einschätzung derer Wichtigkeit oder Wert sein kann – eine wichtige Lektion auch für Firmen hierzulande, die gerne den Sekundärnutzen der ihnen zur Verfügung gestellten Daten abschätzen.

Strava Flyby Funktion: Risiko oder Feature?

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

• https://qz.com/1042852/using-a-fitness-app-taught-me-the-scary-truth-about-why-privacy-settings-are-a-feminist-issue/
• https://www.theguardian.com/technology/2018/jan/29/strava-secret-army-base-locations-heatmap-public-users-military-ban