Fitness-Apps wie Strava sind beliebt, da sie Strecken tracken und Auswertungen liefern. Doch der Hype hat auch Risiken, wie der Fall des französischen Präsidenten Macron zeigt: Seine Leibwächter gaben durch die Nutzung einer Lauf-App ungewollt sensible Informationen über seinen Aufenthaltsort preis.
Technische Hilfsmittel für die eigene Fitness erfreuen sich großer Beliebtheit. Vor allem Apps wie Strava sind praktische Helfer für Fitnessbewusste: Sie tracken die zurückgelegten Strecken und Kilometer pro Monat und liefern am Ende des Tages eine Auswertung. Doch der Hype um diese Tools hat auch seine Schattenseiten, wie der französische Präsident Emmanuel Macron erfahren musste: Seine Leibwächter hatten sich bei der Lauf-App angemeldet und dabei anscheinend zum Teil hochsensible Informationen wie den Aufenthaltsort des Präsidenten preisgegeben.
„Leider ist das keine Überraschung, denn es ist nicht das erste Mal, dass Strava und andere soziale Netzwerke ein Risiko für die Privatsphäre oder sogar die körperliche Sicherheit ihrer Nutzer darstellen“, sagt Jake Moore, IT-Sicherheitsexperte bei ESET.
So einfach kommt man an die Daten
Die französische Zeitung Le Monde, die hinter den Enthüllungen steckt, hat weitere Beispiele parat: In Israel soll ein Unbekannter über Strava an die Bewegungsprofile tausender israelischer Soldaten gelangt sein – und das mit einfachsten technischen Mitteln: Mit Hilfe eines Smartphones und der dazugehörigen App konnte der Unbekannte seinen Standort in die Nähe von Militärbasen und anderen kritischen Bereichen verlegen. Dadurch wurden andere Profile in der Nähe sichtbar, inklusive der bisherigen Bewegungsaktivitäten. In einigen Fällen ließ sich sogar der Wohnort des Militärpersonals herausfinden.
Welche Gefahr geht von solchen Fitness-Apps aus?
Die Fälle aus Frankreich und Israel zeigen: Ein laxer Umgang mit den eigenen Daten reicht oft aus, um hochsensible Standortdaten verfügbar zu machen. Das ist vor allem für Mitarbeiter in sensiblen Bereichen wie Politik und Militär problematisch, kann aber auch für private Nutzer zu Problemen führen: In England konnten Kriminelle einem App-Nutzer über öffentliche Bewegungsprofile Fahrräder im Gesamtwert von über 12.000 Pfund stehlen.
Das Dilemma: Kriminelle brauchen oft nicht mehr als einen Computer oder ein Smartphone, um an ihr Ziel zu gelangen. Gleichzeitig benötigen diese Apps Zugriff auf den genauen Standort, um wie gewünscht zu funktionieren.
„Apps wie Strava sind nicht per se gefährlicher als andere Anwendungen“, so Moore weiter. „Vielmehr sollten die Nutzer darauf achten, wie sie sie nutzen und welche Daten sie preisgeben.“
Wie kann ich meine Lauf-App sicherer machen?
Nutzer können die Datenschutzeinstellungen der meisten Tracking-Apps so konfigurieren, dass nur autorisierte Personen über die eigenen Aktivitäten informiert werden. Die Heatmap beispielsweise, auf der unter anderem eigene Laufrouten dargestellt werden, müssen Nutzer selbst aktivieren. Aber auch in anderen Einstellungen kann man noch ein paar Stellschrauben anziehen, um sicher zu bleiben.
Bei Strava gibt es beispielsweise im Einstellungsmenü den Punkt „Privatsphäre-Einstellungen“. Unter Umständen werden Daten hier freizügig dargestellt, zum Beispiel ist das eigene Profil und damit Name, Aktivitäten, Fotos und Statistiken öffentlich sichtbar. Die Sichtbarkeit des Profils kann auf Abonnenten beschränkt werden. Die Aktivitäten, zu denen auch Trainings und zurückgelegte Strecken gehören, lassen sich besser verbergen: Mit der Einstellung „Nur du“ kann nur der Nutzer seine eigenen Aktivitäten verfolgen. Die Gruppenaktivitäten, das sind beispielsweise Aufzeichnungen von gemeinsamen Läufen, lassen sich sogar ganz deaktivieren.
Zudem können Nutzer bei „Kartensichtbarkeit“ bestimmte Adressen definieren, an denen die App keine Start- und Endpunkte von Aktivitäten aufzeichnet. Auch hier können Aktivitätskarten für andere deaktiviert werden.
„Strava-Nutzer sollten die private Nutzung der App in Betracht ziehen und es sich zweimal überlegen, bevor sie die optionale Heatmap-Funktion aktivieren, insbesondere wenn sie den Verdacht haben, verfolgt zu werden oder in einem Bereich mit höheren Sicherheitsanforderungen arbeiten“, schließt Moore ab.
(vp/ESET Deutschland GmbH)