Mehr Daten, mehr Verantwortung – am Beispiel von STRAVA

Fitness ist in letzten Jahren zur Ersatzreligion aufgestiegen, so berichten es diese Tage verschiedene Schweizer Medien. Nun sorgt ausgerechnet eine öffentliche Heatmap des Fitness-Trackers «Strava» für Aufruhr. Die gesammelten Daten lassen Rückschlüsse auf geheime Militäranlagen und andere heikle Infrastrukturelemente zu. Ein kritischer Blick auf die Kontroverse.

Im Naherholungsgebiet rund um den Greifensee tummeln sich an sonnigen und regnerischen Tagen gleichermassen Läufer, Biker und Ruderer. Alle auf der Suche nach einem Ausgleich zum Arbeitsalltag, der in vielen Fällen doch eher bewegungsarm ausfällt. Fortschritte zu machen ist ein primäres Ziel für viele Hobbysportler: Eine höhere Schrittfrequenz, tieferer Puls und vor allem bessere Split-Zeiten sind für Läufer wichtige Messdaten, um abzuschätzen ob die Bemühungen an der frischen Luft die eigene Leistungsfähigkeit effektiv erhöht.

Es gibt sie zwar noch, die Asketen, die in bester “Rocky”-Manier einfach ihre Kilometer abspulen und sich nicht darum kümmern, ob sie nun schneller oder langsamer waren als das letzte Mal – aber sie sind selten geworden. Der typische Hobbysportler misst seine Workouts mittels Sportuhren oder ähnlichen Gadgets von Garmin, Fitbit oder Nike. Oder direkt per Smarthone. Die Optionen sind mannigfaltig, der Markt mit derartigen Gerätschaften boomt. 

Sind die Daten einmal erfasst, gilt es diese auszuwerten. Verschiedene Apps wie Runkeeper, Fitbit oder Nike’s Running Club buhlen hier um die Gunst der Hobbyathleten.

Ein prominenter Anbieter ist auch Strava, der in den letzten Tagen für Schlagzeilen gesorgt hat. Strava, mit Sitz in San Francisco, vermarktet sich gezielt als das “Social Network für Athleten” und verfolgt diesen Ansatz konsequent: Wer regelmässig dieselben Strecken läuft oder fährt, der kann sich in Toplisten mit anderen messen. Wer Freunde zu seiner Liste hinzufügt, kann diesen zu einem gelungenen Workout gratulieren und Kommentare hinzufügen. Eine hübsch gemacht Animation mit dem Titel “Flyby” erlaubt es sogar zu sehen, welche anderen Strava-Nutzer man bei der morgendlichen Rundfahrt gekreuzt oder – manchmal fast interessanter – überholt hat. 

Global Heatmap erhitzt die Gemüter

Betrachtet man diese Daten isoliert, also im Kontext eines einzelnen Laufes oder einer Velofahrt, so sind diese sicherlich nicht belanglos, aber kaum Grund für massive Bedenken der meisten Nutzer. Je mehr diese Daten aber korreliert werden, desto kritischer wird der Datenschutz-Aspekte: Eine Läuferin schrieb bereits 2017 über ihre Bedenken, dass scheinbar Fremde ihre üblichen Laufrunden auskundschaften könnten. Die Angelegenheit wurde damals als Einzelfall weitgehend ignoriert, mit Hinweis auf die Einstellung zur Privatsphäre. 

Deutlich weitere Wellen geschlagen hat nun die sogenannte «Global Heatmap», die Strava jüngst der Öffentlichkeit zugänglich gemacht hat. Aus über eine Milliarde geloggter Aktivitäten, rund zehn Terabyte Rohdaten, hat Strava eine internationale Heatmap gebaut, die aufzeigen soll, wo die beliebtesten Strecken und Ausgangsorte für sportliche Aktivitäten liegen. Ein Analyst der UCA namens Nathan Ruser witterte rasch, dass diese Art von «Big Data»-Auswertung nicht nur sportliche Hotspots zu Tage fördern würde, sondern auch andere interessante Lokalitäten. 

 

Solche Strecken bringen Sicherheitsverantwortliche nicht nur sportlich ins Schwitzen. Erraten Sie, wo sich diese Tour rund um ein fünfeckiges Gebäude befindet? (Quelle Strava Heatmap)

 

So stellte sich rasch heraus, dass Apps wie Strava nicht nur von Hobbysportlern in weitgehend konfliktfreien westlichen Ländern, sondern auch von Soldaten in Krisengebieten eingesetzt wird. Innert kürzesten Zeit wurden auf der Activity Map verschiedene, teils geheime oder undokumentierte, Armeestützpunkte identifiziert, teils direkt korrelierend mit Patrouillenrouten oder anderen kritischen Aspekten. 

Der Umgang mit Daten ist ein heisses Eisen

Die öffentliche Reaktion fiel erwartungsgemäss heftig aus: Es könne nicht angehen, dass die Leben von Soldaten durch derartige Bewegungsdaten aufs Spiel gesetzt würden. Strava reagierte mit einem Statement und machte darauf aufmerksam, dass das Freigeben dieser Bewegungsdaten nicht zwingend sei und deaktiviert werden könne. 

Das ist nicht falsch, entbindet Strava aber nicht von der Verantwortung, mit den ihnen vorliegenden Daten sinngerecht umzugehen. Wer eine sehr liberale Sharing-Option als Standardeinstellung ausliefert, sollte seine Kunden sehr gezielt auf diese hinweisen – und den Opt-Out einfach machen.

Bei Strava ist das kaum der Fall: Die Privacy Settings sind bestenfalls verwirrend und kommen, betrachtet man alle Kombinationsmöglichkeiten, in ca. sechs unterschiedlich ausgeprägten Stufen. Sogar Nutzer, die glauben ihre Einstellungen “sicherer” gemacht zu haben können unter Umständen immer noch kritische Bewegungsdaten preisgeben. Die Standardeinstellungen entsprechend weitgehend einem “Alle sehen alles”-Modell. Einen Endbenutzer ohne technische Expertise dafür verantwortlich zu machen, hier nicht die notwendigen Schritte treffen zu können ist absurd. 

In einer Zeit, in der die Nutzung von zunehmend komplexerer und tiefgreifender technologischer Mittel immer mehr unseren Alltag penetriert, müssen Unternehmen strikter und unter Androhung harscherer Konsequenzen in die Verantwortung genommen werden. Der Fall Strava zeigt einmal mehr eindrücklich auf, wie wichtig der Kontext von Informationen für die Einschätzung derer Wichtigkeit oder Wert sein kann – eine wichtige Lektion auch für Firmen hierzulande, die gerne den Sekundärnutzen der ihnen zur Verfügung gestellten Daten abschätzen. 

Weitere spannende Inhalte über Informationssicherheit finden Sie unter www.scip.ch > Blog

 

 

KEYPOINTS

  • Strava veröffentlicht in einer Heatmap Bewegungsdaten von Tausenden von Benutzern
  • Die Bewegungsdaten enttarnen, unter anderem, klassifizierte Armeeeinrichtungen
  • Strava will keine Verantwortung übernehmen und verweist auf die eigenen Privacy Settings.

 

Autor:

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

www.scip.ch

 

Lösung: Bezeichnenderweise sieht man auf der Heatmap oben natürlich das Pentagon in Washington D.C...