DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Haben Sie einen Fit­ness­tracker?

Fit­ness­daten geben Mili­tär­ge­heim­nisse preis

Von welchem Her­steller, spielt kaum eine Rolle; fast alle Geräte bieten die Option, gesam­melte Daten wie z.B. die Leis­tungs- oder Geo­po­si­ti­ons­daten mit anderen Diensten im Internet zu teilen. Die eigenen Leis­tungen zu messen und zu spei­chern ist Kern­aufgabe der Tracker. Der Ver­gleich mit anderen Sportlern oder frü­heren indi­vi­du­ellen Kenn­zahlen wie gelaufene Kilo­meter oder benö­tigte Zeit moti­viert.

Gelaufene oder mit dem Fahrrad gefahrene Strecken zu erfassen und sie später auf einer Karte zu spei­chern, mit Bildern zu ver­sehen und zu bewerten gehört eben­falls selbst­ver­ständlich dazu; ent­weder in einer eigenen App des Her­stellers, oder auf einer Website oder Anwendung eines Dritt­an­bieters.

Einer dieser Anbieter ist Strava (strava.com), und dessen Aus­wer­tungen sorgen momentan für Schlag­zeilen.

Ein Feature von Strava ist, dass man die von zahl­reichen Benutzern hoch­ge­la­denen Daten als Heatmap auf einer Karte anzeigen lassen kann. Heatmaps zeigen Daten so an, dass z.B. bestimmte Wege sehr viel heller leuchten (z.B. mit hellgelb als Farbe) als wenig benutzte Wege, die z.B. in einem dunk­leren Rot ange­zeigt werden. Auf diese Weise kann man sehen, wo die belieb­testen Wege in der Gegend sind, oder wo man mög­li­cher­weise alleine ist, wenn man laufen oder Rad­fahren möchte.

Für Europa, die USA und Asien sind diese Heatmaps gerade in Bal­lungs­ge­bieten recht anonym. Inter­essant wird es aber bei Ländern, bei denen der Besitz solcher modernen Gadgets keine Selbst­ver­ständ­lichkeit ist, sondern Luxus; und bei denen die erho­benen Daten ent­weder von reichen Men­schen, Tou­risten oder von Mili­tär­per­sonal stammen.

Mili­tär­basen, mili­tä­rische sowie andere For­schungs­ein­rich­tungen und ähn­liche Kom­plexe haben ein großes Interesse daran, dass andere Per­sonen so wenig Kennt­nisse wie möglich über ihre Basen erlangen. Infor­ma­tionen über das Gebäu­de­layout und viel benutzte Wege sind aber dank der Fit­ness­tracker der Ange­stellten (und deren Unacht­samkeit) nun öffentlich ver­fügbar. Das ist in dem Fall bedenklich, da zu den “viel benutzten Wegen” auch die Routen von Patrouillen gehören, wenn die Tracker nicht abge­schaltet bzw. ständig getragen werden. Wenn Gebäude und die Wege zwi­schen diesen aus Sicher­heits­gründen auf Satel­li­ten­bildern ver­schleiert werden, kann man sich mittels der bekannt gewor­denen Heatmaps trotzdem einen guten Ein­druck über das Layout geheimer Ein­rich­tungen ver­schaffen, zumindest wenn die ent­spre­chenden Daten ins Netz über­tragen werden und die Fit­ness­tracker auf genau diesen Wegen getragen werden.

Das per­ma­nente Tragen ist aber für diese Tracker eben­falls ein Kern­zweck.

Damit stehen sich die Öffent­lich­legung von über Fit­ness­tra­ckern erho­benen Daten und die Geheim­haltung in beson­deren Ein­rich­tungen konträr gegenüber. Die Heatmaps von Strava wurden vor wenigen Tagen öffentlich mit diesem Problem in Ver­bindung gebracht; Strava ist hier aber nur eine Aus­wirkung eines grö­ßeren Pro­blems, denn dort werden die (frei­willig ein­ge­lie­ferten) Daten nur auf­be­reitet und der Öffent­lichkeit zur Ver­fügung gestellt. Die Öffent­lichkeit in diesem Fall sind aber eben auch Kri­mi­nelle, feind­liche Truppen und Länder oder Ter­ro­risten, die nun sehr viel leichter an Bewe­gungs­daten in mili­tä­ri­schen Ein­satz­ge­bieten kommen.

Es stimmt durchaus, dass Smart­phones noch wesentlich mehr Daten sammeln und auch über die dort gesam­melten Daten sehr auf­schluss­reiche Aus­wer­tungen gemacht werden können, aber der Haupt­un­ter­schied ist, dass diese Daten erstmal bei Apple oder Google liegen. Ein Angreifer müsste sich dort erst Zugang ver­schaffen; und das ist ein schwie­riges Unter­fangen. Eine öffent­liche, anonyme Abfrage der Daten hin­ter­lässt kaum Spuren und ist sehr viel schneller.

Diese Mög­lichkeit der Aus­wertung der Tra­cker­daten wurde erst vor Kurzem öffentlich bekannt. Wie lange dieses Wissen bereits bei Geheim­diensten etc. vor­handen war, kann man wie immer nur raten.

Die Gefährdung betrifft in diesem Fall vor allem Mili­tär­per­sonal, illus­triert aber die Gefahren eines allzu leicht­fer­tigen Umgangs mit Daten oder auch dem Internet of Things, zu dem die Fit­ness­tracker gehören.

Falls Sie einen Tracker ver­wenden, über­legen Sie sich doch bitte — wie bei jedem Device und jeder Website — wer die Daten tat­sächlich braucht oder ob Ihnen die private Nutzung der Daten (ohne das Teilen mit anderen Diensten) aus­reicht.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Hager, DATEV eG

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokus­sierung auf die Absi­cherung von Netz­werken sowie Bedro­hungen aus dem Internet in 1999, mit Arbeits­plätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in The­men­ge­bieten rund um Netz­werk­si­cherheit und Internet-Security.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.