Die finnische Fitnessfirma Polar hat die "Erforsche"-Funktion auf ihrer Mitgliederwebsite abgeschaltet. Normalerweise wird dort eine Karte bereitgestellt, auf der man nicht nur sehen kann, wo man selbst trainiert hat, sondern auch, wo andere Mitglieder unterwegs waren. Genau diese Karte verrät offenbar mehr, als es manchen Nutzern lieb ist.

Das jedenfalls berichtet die niederländische Zeitung "De Correspondent". Den Redakteuren ist es gelungen, über die von Polar bereitgestellte Karte nicht nur die sportlichen Aktivitäten normaler Nutzer nachzuverfolgen, sondern auch die von Soldaten im Auslandseinsatz sowie die von Geheimdienstmitarbeitern.

Besonders schwierig sei das nicht gewesen. Alles, was dazu nötig sei, sei eine ungefähre Vorstellung, in welchem Gebiet man suchen wolle. Hat man in der Karte dann erst einmal eine Person ausfindig gemacht, die interessant erscheint, kann man sich deren Trainingsaufzeichnungen anzeigen lassen.

Namen, Adressen, Trainingsgewohnheiten

Aus denen sind nicht nur regelmäßige Trainingsgewohnheiten ablesbar, sondern oft auch die Umrisse der Einrichtungen, in denen die fraglichen Personen arbeiten. Damit nicht genug: Weil viele Nutzer ihr Lauftraining zu Hause beginnen oder beenden, konnten die Redakteure oft nicht nur die Arbeitsstätte, sondern auch die private Adresse der Personen in Erfahrung bringen.

Die Arbeit wurde den Journalisten oft dadurch erleichtert, dass die Hobbysportler auf ihren Profilseiten bei Polar ihren Namen und ihre Heimatstadt angegeben hatten.

Insgesamt 6460 Polar-Nutzer, die sportliche Aktivitäten in oder in der Nähe von sensiblen Einrichtungen wie Militärbasen, Geheimdienstzentralen oder Lagern für Nuklearwaffen aufgezeichnet haben, wurden von den Redakteuren auf diese Weise untersucht. Bei einer Stichprobe von rund hundert dieser Personen gelang es ihnen, binnen wenigen Minuten deren Namen und Adressen mit einer Trefferquote von 90 Prozent zu ermitteln.

Mit diesen Erkenntnissen konfrontiert, nahm Polar die "Erforsche"-Funktion am vergangenen Freitag bis auf Weiteres vom Netz und arbeitet nun daran, ein solches Durchleuchten seiner Mitglieder künftig zu verhindern. Zudem habe das niederländische Verteidigungsministerium seine Mitarbeiter über den Vorgang informiert und plane, bestimmten Mitarbeitern künftig die Nutzung von Fitness-Apps und Wearables unter bestimmten Umständen zu untersagen, berichtet "De Correspondent" weiter.

Fall erinnert stark an Strava

Die Enthüllung erinnert sehr an einen Fall, der Ende Januar bekannt wurde. Damals hatte der australische Student Nathan Ruser eine ganz ähnliche Schwachstelle in der Fitness-App Strava gefunden. Mit wenig Aufwand ließen sich dadurch in der Aktivitätskarte der App die Trainings von Militärmitarbeitern etwa in Afghanistan sichtbar machen. So ließen sich auch versteckte Militärstützpunkte leicht ausfindig machen.

Das Problem war damals hausgemacht: Das Pentagon hatte seine Soldaten selbst dazu ermuntert, Fitnessarmbänder zu nutzen, und 2500 Fitbit-Armbänder an sie verteilt.

Die Meldung von "De Correspondent" zeigt nun, dass Stravas Mitbewerber aus dem Fall vom Januar wohl nichts gelernt und nichts unternommen haben, um Vergleichbares mit ihren Apps zu verhindern. Denn, so das Fazit von "De Correspondent": Auch mit den Apps von Runkeeper und Endomondo lassen sich ähnliche Muster ableiten. Dort sei es nur schwieriger, die Privatadressen der jeweiligen Nutzer herauszufinden. Bei Strava selbst soll, so die Journalisten, auch nicht hinreichend nachgebessert worden sein.