Wie Fitness-Apps Militärgeheimnisse preisgeben

Die unsichtbare Spur

Jedes Mal, wenn ein Soldat seine Laufschuhe schnürt und in einer Fitness-App auf „Start“ tippt, beginnt die Aufzeichnung einer Spur von GPS-Daten. Für die meisten Nutzer sind diese Daten harmlos – ein Protokoll von morgendlichen Joggingrunden und Wochenend-Radtouren. Aber für Militärangehörige, Geheimagenten und Sicherheitspersonal können dieselben Daten die Standorte geheimer Basen, Atomwaffenträger und Staatsoberhäupter verraten.

Das Problem ist nicht neu. Seit mindestens 2018 stehen Fitness-Tracking-Plattformen – allen voran Strava – im Zentrum wiederholter Verstöße gegen die operative Sicherheit (OPSEC), die einige der weltweit sensibelsten militärischen Informationen für jeden mit einer Internetverbindung zugänglich gemacht haben.

Wie Standortdaten zu Informationen werden

Fitness-Apps funktionieren, indem sie die GPS-Koordinaten eines Nutzers während des Trainings in regelmäßigen Abständen aufzeichnen. Wenn Nutzer ihre Workouts öffentlich hochladen, kann jeder die Route, den Zeitstempel und den Standort einsehen. Für sich genommen mag ein einzelner Jogginglauf bedeutungslos erscheinen. Geheimdienstanalysten verwenden jedoch eine Technik, die als Pattern-of-Life-Analyse bezeichnet wird: die Aggregation vieler Datenpunkte im Laufe der Zeit, um Routinen zu kartieren, Einrichtungen zu identifizieren und sogar zukünftige Bewegungen vorherzusagen.

Stravas globale Heatmap – eine Visualisierung von Milliarden von GPS-Datenpunkten seiner Nutzer – macht dies noch einfacher. Die Heatmap leuchtet hell, wo viele Menschen trainieren, und dunkelt in abgelegenen Gebieten ab. Im Jahr 2018 bemerkte der australische Forscher Nathan Ruser leuchtende Joggingpfade mitten in den syrischen und afghanischen Wüsten, die die genauen Umrisse und Patrouillenrouten von nicht genannten US-amerikanischen und verbündeten Militärbasen nachzeichneten.

Eine Reihe von Verstößen

Der Heatmap-Vorfall von 2018 war nur der Anfang. Nachfolgende Untersuchungen ergaben ein alarmierendes Muster:

• 2018: Stravas Heatmap enthüllte US-Militärbasen in Afghanistan, Syrien, Irak und sogar eine mutmaßliche CIA-Einrichtung in Somalia. Das Pentagon leitete eine sofortige Überprüfung ein.
• 2018: Forscher fanden heraus, dass die Fitness-App Polar Namen und Wohnadressen von Personal in Guantánamo Bay, Drohnenbasen und Atomwaffenlagern identifizieren konnte, wie von Bellingcat berichtet.
• 2022: Die israelische NGO FakeReporter deckte eine Strava-Sicherheitslücke auf, die 100 Personen in sechs streng geheimen israelischen Militäreinrichtungen identifizierte.
• 2024: Die #StravaLeaks-Recherche von Le Monde identifizierte 26 US-amerikanische Secret-Service-Agenten, 12 französische Sicherheitskräfte und 6 russische Agenten anhand ihrer öffentlichen Strava-Profile – und lokalisierte die Standorte von Präsident Biden und Trump und sogar das Hotel, in dem Biden vor einem Treffen mit Chinas Xi Jinping übernachtete.

Warum es immer wieder passiert

Nach dem Skandal von 2018 verbot das US-Verteidigungsministerium geolokalisierungsfähige Geräte für eingesetzte Truppen. Soldaten dürfen Fitnesstracker mit sich führen, müssen aber die GPS-Funktionen in Einsatzgebieten deaktivieren. Andere NATO-Verbündete gaben ähnliche Anweisungen heraus.

Dennoch kommt es aus mehreren Gründen weiterhin zu Verstößen. Erstens sind Richtlinien schwer durchzusetzen, wenn persönliche Geräte im Spiel sind. Der US Secret Service teilte Le Monde mit, dass er den Social-Media-Konsum von Agenten in ihrer Freizeit nicht verbieten kann. Zweitens ist vielen Nutzern einfach nicht bewusst, dass ihre Profile standardmäßig öffentlich sind. Drittens schafft die Kultur des Teilens von Fitness-Erfolgen auf sozialen Plattformen eine ständige Versuchung, Sicherheitsprotokolle zu umgehen.

Open-Source-Intelligence auf Autopilot

Was Lecks von Fitness-Apps besonders gefährlich macht, ist, dass sie kein Hacking erfordern. Alle Daten werden freiwillig hochgeladen und sind öffentlich einsehbar. Geheimdienstexperten nennen dies Open-Source-Intelligence (OSINT) – Informationen, die aus frei verfügbaren Quellen gesammelt werden. Ein feindlicher Akteur muss lediglich Strava durchsuchen, Benutzernamen mit LinkedIn-Profilen oder öffentlichen Aufzeichnungen abgleichen und ein detailliertes Bild von militärischen Bewegungen erstellen.

Die Technik ist leicht skalierbar. Automatisierte Skripte können Tausende von Profilen scrapen, Aktivitätscluster in der Nähe bekannter militärischer Einrichtungen kartieren und Anomalien kennzeichnen – wie z. B. eine plötzliche Zunahme der Laufaktivität in einem leeren Meeresabschnitt, wodurch Journalisten im Jahr 2026 die Position des französischen Atomflugzeugträgers Charles de Gaulle im Mittelmeer bestätigten, nachdem ein Matrose einen 7-Kilometer-Lauf an Deck auf Strava protokolliert hatte.

Was Nutzer tun können

Sicherheitsexperten empfehlen mehrere Schritte für alle in einer sensiblen Position: Alle Fitnessprofile auf privat setzen, die GPS-Aufzeichnung während der Arbeit deaktivieren, Stravas eingebaute Privatzonen verwenden, um Start- und Endpunkte zu verbergen, und das Teilen von Trainingsdaten auf öffentlichen Plattformen vermeiden. Für militärische Organisationen ist die Lektion klar: Konsumententechnologie und operative Sicherheit stehen in einem permanenten Spannungsverhältnis, und kein Policy-Memo kann das individuelle Bewusstsein ersetzen.