Da Strava nicht nur eine App ist, sondern sich als eine Art soziales Fitness-Netzwerk versteht, kann jeder seine Daten auf die Server des Unternehmens hochladen. Man kann sich dann direkt mit Freunden messen und zum Beispiel private Wettkämpfe veranstalten.

Was als praktisches Gadget für Fitness-Freunde gedacht war, wächst sich offenbar gerade zu einem veritablen Sicherheitsrisiko aus. Denn eine Strava-Weltkarte, die im Netz frei verfügbar ist, zeigt als sogenannte Heatmap Bewegungsprofile aller Nutzer - und darunter sind auch Militärangehörige in Krisenregionen wie Syrien, Afghanistan oder Mali. Klar zeichnen sich in der Karte Lauf- und Fahrstrecken auf Stützpunkten oder Militärflughäfen ab. Betroffen sind auch Standorte, an denen Bundeswehrsoldaten stationiert sind.

App erfasst gigantische Datenmengen

Die Option, die eigenen Laufrouten bei Strava hochzuladen, ist in der App standardmäßig aktiviert. Das ergibt auch Sinn, denn so sind die Daten unabhängig vom Smartphone gespeichert und können so etwa am PC abgerufen oder bei einem Wechsel des Smartphones direkt auf das neue Gerät geladen werden.

Wie Strava erklärt, fallen dabei gigantische Datenmengen an. So habe man bis September 2017 über eine Milliarde Aktivitäten der Nutzer aufgezeichnet, mit insgesamt drei Billionen einzelner Ortungspunkte. Die Nutzer hätten dabei eine Strecke von 27 Milliarden Kilometern zurückgelegt.

Aus diesen Daten erstellt Strava eine sogenannte Heatmap, die sämtliche Bewegungen der Mitglieder auf der Erdoberfläche als rote, orangefarbene oder gelbe Linien zeigt - je öfter die Strecke gelaufen oder gefahren wurde, desto heller die Farbe. Die Daten wurden dazu anonymisiert.

Schaut man auf diese Heatmap, so leuchten etwa große Teile der USA sowie West- und Mitteleuropa hell wie der Tag, weil dort sehr viele Aktivitäten aufgezeichnet werden. In Ländern wie Deutschland lassen sich wegen der Menge an Daten keine Rückschlüsse auf bestimmte Personengruppen ziehen.

Ganz anders dagegen sieht es zum Beispiel in Afghanistan aus. Das Land ist auf der Karte nahezu schwarz. Kaum ein Bewohner nutzt dort die App. Trotzdem gibt es vereinzelte Bewegungsspuren in dem Land am Hindukusch - zum Beispiel rund um den Flughafen von Kundus oder bei Masar-i-Scharif. Dort sind Stützpunkte der US-Armee. Somit dürfte es sich um Bewegungsspuren von Soldaten handeln, die dort mit der Strava-App trainierten. Auch die Bundeswehr ist weiter in Afghanistan aktiv, bis zu 980 deutsche Soldaten sind in dem Land stationiert. Camp Marmal in Masar-i-Sharif dient als Basis, auch dieser Stützpunkt ist durch die Strava-Karte grell ausgeleuchtet.

Die beiden genannten Stützpunkte sind offiziell bekannt und somit kein Geheimnis. Dennoch wird es den US-Militärs kaum gefallen, dass die beliebtesten Jogging-Strecken von GIs sowie Fußwege innerhalb der Stützpunkte öffentlich abrufbar sind. Auch Fahrtstrecken über Land sind mitunter auf der Heatmap zu erkennen - offenbar haben auch hier Militärangehörige vergessen, ihre Fitnesstracker abzuschalten. Weitere Leuchtpunkte und -linien finden sich in Afghanistan an Orten, an denen offiziell keine US-Soldaten stationiert sind. Möglicherweise handelt es sich dabei um geheime Stützpunkte.

Bundeswehr sensibilisiert Soldaten

Sven Janssen, Pressesprecher des Verteidigungsministeriums in Berlin, sagte unserer Redaktion, dass man sich der Problematik solcher Fitnesstracker bewusst sei: "Wir machen die Soldaten immer wieder darauf aufmerksam." Das passiere in der Heimat, aber auch bei Einsätzen im Ausland. Dazu sei immer ein IT-Sicherheitsexperte vor Ort.

Wichtig sei es, nicht nur während des Einsatzes auf die Daten zu achten, sondern auch danach. Viele Geräte würden Daten über längere Zeit speichern. Synchronisiere man sie dann zurück in der Heimat, könnten auch Daten aus Einsatzgebieten mit hochgeladen werden.

Gerade der aktuelle Fall zeige, dass eine hundertprozentige Sicherheit nicht möglich sei. In den ausländischen Stützpunkten seien immer auch Soldaten aus anderen Ländern, sagte Janssen. "Und darauf, wie die mit ihren Daten umgehen, darauf haben wir natürlich keinen Einfluss." Grundsätzlich sei den deutschen Soldaten der Einsatz von privaten Smartphones, Tablets oder Fitnesstrackern erlaubt. Über die Handys laufe auch die Kommunikation mit den Angehörigen in der Heimat.

Das US-Verteidigungsministerium hat bereits reagiert. Die aktuellen Veröffentlichungen zeigten die Notwendigkeit für Soldaten, sensibel mit Daten umzugehen, sagte Pentagon-Sprecherin Audricia Harris. Man empfiehlt dort, "öffentliche Profile im Internet auf ein Minimum zu beschränken". Das gelte auch für die sozialen Medien, erklärte Harris.

Das Sicherheitsrisiko hätte allerdings recht einfach vermieden werden können. Wie Strava mitteilte, könnten Kunden mit einer einfachen Datenschutz-Einstellung die Teilnahme am Kartenprojekt ablehnen.