Eine Fitnessapp des Anbieters Polar hat ungeahnte Auswirkungen auf die Privatsphäre: Die App ermöglicht über eine Verknüpfung von Workouts die Identifizierung einzelner Mitarbeiter – auch bei Geheimdiensten und dem Militär.
Die Fitness-App „Polar Flow“ des gleichnamigen finnischen Herstellers gibt mehr Daten Preis, als sie sollte. Wie Forscher herausgefunden haben, können über die maschinenlesbare Schnittstelle (Application Programming Interface, API) Verknüpfungen verschiedener Workouts vorgenommen werden. So könnte etwa die Heimadresse eines Nutzers ermittelt werden – auch dann, wenn dieser etwa an einem bekannten Geheimdienststandort oder an einer Militärbasis trainiert.
Vor rund zwei Monaten hatten Forscher bereits gezeigt, zu welchen Datenschutzproblemen Fitnessapps führen können. Damals wurden durch sogenannte Heatmaps beim Dienst Strava die Orte von bislang geheimen Militärbasen identifiziert.
Rückblick bis 2014 möglich
Die unabsichtliche Weitergabe der Daten ist bei der Polar-Fitnessapp allerdings deutlich umfassender, denn die Explore-API zeigt nicht nur die aktuell angeschauten Trainingsdaten an, sondern kombiniert alle Sessions eines Nutzers unter einer ID, wenn dieser grundsätzlich der Veröffentlichung von Workouts zugestimmt hat. Die Daten können je nach Anmeldedatum des Nutzers bis in das Jahr 2014 zurückreichen.
Wer also in der Nähe einer Militärbasis trainiert und später von seinem Haus aus eine Joggingrunde dreht, kann seine private Adresse verraten. In einer gemeinsamen Untersuchung von Bellingcat und der niederländischen Zeitung „De Correspondent“ konnten so nach Angaben der Beteiligten rund 6.500 einzelne Nutzer identifiziert werden, die an rund 200 „sensiblen“ Orten arbeiten sollen. Das Team hatte zuvor zahlreiche Daten automatisiert von der Seite abgerufen (sogenanntes Scraping).
Nutzer müssen Risiken bedenken
Nutzer, die in sensiblen Bereichen tätig sind, sollten sich bewusst machen, welche Informationen sie einem Clouddienst anvertrauen und welche nicht: „Das vorliegende Beispiel zeigt, dass selbst ein Privatgerät, dass sonst keine Verbindung zur Infrastruktur eines Betriebs hat, zum Sicherheitsrisiko werden kann,“ betont der Sicherheitsexperte Tim Berghoff von G Data.
„Wenn die Privatadressen von Mitarbeitern in Schlüsselpositionen öffentlich bekannt werden, hat dies unter Umständen weitreichende Auswirkungen. Was für die meisten ‘nur’ ein unangenehmer Gedanke ist, kann beispielsweise für KRITIS-Unternehmen zum echten Problem werden,“ erläutert Berghoff. Gerade im militärischen Bereich können diese Informationen zur persönlichen Gefahr für Mitarbeiter und deren Familien werden.
Polar sieht vor allem die Nutzer in der Verantwortung, die eigenen Daten zu schützen. Diese müssten über ein Opt-In explizit zustimmen, dass Workouts auch öffentlich kommuniziert werden, sagte das Unternehmen dem Portal ZD Net. Die meisten Nutzer dürften sich allerdings nicht bewusst sein, dass die Informationen zur Identifikation des eigenen Wohnortes führen können. Das Unternehmen hat die Explore-API nach den Berichten vorsorglich abgeschaltet, um den Vorfall zu untersuchen. Polar hat die Standardeinstellung zum Teilen von Daten im vergangenen Jahr überarbeitet und teilt nun weniger Informationen mit der Öffentlichkeit. Auf alte Accounts wurden die neuen Standardeinstellungen allerdings nicht übertragen.
Mögliche Gegenmaßnahmen
Unternehmen können sich schützen, indem sie Mobile-Device-Management-Lösungen auf den Dienstgeräten ihrer Mitarbeiter installieren. Damit kann der Zugriff auf bestimmte Applikationen wie etwa WhatsApp, Fitnessapps oder andere Programm eingeschränkt oder komplett verhindert werden. Mindestens genauso wichtig ist aber die Aufklärung der Mitarbeiter über entsprechenden Risiken. Denn wie das vorliegende Beispiel zeigt, können auch privat in die Firma gebrachte Geräte zu unvorhersehbaren Problemen führen.