Laufevents – Paradies für Stalker?
Laufevents sind offizielle Veranstaltungen, weshalb der Datenschutz da per se schon eine schwierige Sache ist. Denn nimmst du an einem offiziellen Wettkampf teil, willigst du meist in die Weitergabe von personenbezogenen Daten wie Name, Privatadresse und Geburtsdatum ein. Das öffnet gewisse Tore.
Hand aufs Herz: Wer hat sich schonmal dabei erwischt, einen Läufer zu „googlen“? Die Zielzeit eines vermeintlich gleichaltrigen oder gar älteren Athleten, den man während des Rennens partout nicht einholen oder abschütteln konnte, herauszufinden, ist innerhalb von wenigen Sekunden erledigt. Alles, was ich dafür brauche, ist die Startnummer. Die Eingabe der Ziffern in die Suchmaske der Ergebnisliste spuckt mir alle Daten aus, die ich für eine tiefgreifende Recherche einer Person benötige. Vollständiger Name, Verein oder Team, Jahrgang, Gesamtplatz, Altersklassen-Wertung. Ich kann mir sogar die entsprechenden Laufbilder anschauen, weshalb auch immer ich das tun sollte.
Doch spinnen wir das Thema einmal weiter. In Fachkreisen spricht man bei dieser Vorgehensweise vom sogenannten „Reverse Engineering“. Und das öffnet gefährliche Türen.
Gezielte Spionage bei Laufevents
Das „Reverse Engineering“ bezeichnet den Vorgang, aus einem bestehenden fertigen System oder einem meistens industriell gefertigten Produkt Konstruktionselemente durch Untersuchung der Strukturen, Zustände und Verhaltensweise zu extrahieren. Aus dem fertigen Objekt wird somit wieder ein Plan erstellt. Oft wird hierbei natürlich versucht, eine 1:1-Kopie eines Objekts anzufertigen, welches man selber nicht entwickelt hat.
Diese Vorgehensweise lässt sich aber auch auf unser Beispiel übertragen. Denn anhand einer einzigen Nummer, lassen sich nicht nur personenbezogene Daten extrahieren, sondern auch weitere Rückschlüsse ziehen. Nachdem ich die „Bib“ also in die Ergebnisliste eingetragen habe, erhalte ich einen Namen, mit dem ich schon viel anfangen kann.
Ich könnte zum Beispiel schauen, ob die Person ein Profil auf einem der gängigen Sportler-Plattformen besitzt. Das ist natürlich meist der Fall, schließlich müssen die Aktivitäten auch irgendwo hochgeladen und dokumentiert werden, um den Trainingsfortschritt analysieren zu können. Sollte der Athlet auf der weltweit größten Plattform registriert sein, habe ich den „Honeypot“ gefunden. Wer seinen Account so eingestellt hat, dass sämtliche Aktivitäten und Informationen öffentlich zugänglich sind, könnte sein blaues Wunder erleben.
Die legale Grauzone
Laufklamotten anziehen, Schuhe schnüren, das Haus verlassen und den Run per GPS-Uhr starten. Klingt nach dem Alltag eines jeden Läufers. Wo also ist der Haken? Er versteckt sich in der Routine, die wir Ausdauersportler nahezu täglich abspulen: Die Uhr sofort beim Loslaufen zu starten. Und da das in der Regel auch direkt nach Verlassen der eigenen vier Wände passiert, könnte das gefährliche Rückschlüsse zulassen. Denn der genaue Wohnort ist jetzt auf den Meter genau für alle erkennbar. Anhand einer einzigen Startnummer lässt sich im Zweifel also genau recherchieren, in welcher Stadt und in welcher Straße eine Person wohnt.
Zwar können Start und Ziel mit einem Radius von bis zu 1600 Meter auf der Plattform unsichtbar gestellt werden, allerdings greift die Einstellung ausschließlich auf zukünftige Aktivitäten. Wer also schon Jahre von Trainingsdaten hochgeladen hat, muss also entweder vergangene Läufe löschen oder umziehen. Beides keine Option.
Alles im Griff?
Der Zugriff auf deine Standortdaten ist wohl eine der sensibelsten Berechtigungen, die eine App anfordern kann. Dies wird noch wichtiger, wenn die besagte Software den Standort dauerhaft oder im Hintergrund verfolgt – das ist, weshalb auch immer, bei Fitness-Apps Standard. Die größte Plattform für Ausdauersportler rühmt sich damit, die Privatsphäre der Nutzer ernst zu nehmen und selbstverständlich auch zu wahren. Allerdings hat sich die Plattform in der Vergangenheit einige Fehltritte geleistet.
Im Zusammenhang von Standort-Daten gehen die Datenschutzbedenken auf das Jahr 2018 zurück, als die „Heatmap“ der App – eine Karte, auf der farblich visualisiert ist, wo die Nutzer am häufigsten laufen – versehentlich den Standort mehrerer geheimer Armeestützpunkte enthüllten. Obwohl die Datenerfassung für diese „Heatmap“ eigentlich anonymisiert ist, können diese Daten de-anonymisiert werden. Zugegeben: Dafür bedarf es schon „Hacker“-Skills. Aber darum geht es ja nicht.
Selbstverständlich bietet die Plattform an, das eigene Profil ausschließlich für Abonnenten sichtbar zu stellen. Frech ist jedoch, dass es keine Möglichkeit, die Profilseite vollständig zu verbergen – selbst wenn du dein Profil ausschließlich mit „Abonnenten“ teilen möchtest. Es wird immer eine öffentliche Version mit eingeschränkten Details geben, die andere nicht sehen können. Problematisch ist zudem, dass Aktivitäten, die ausschließlich von „Abonnenten“ oder nur von dir selbst gesehen werden können, weder in Segment-Bestenlisten angezeigt werden, noch den Herausforderungen angerechnet werden.
Und darum geht es doch? Ein Segment im eigenen Dorf zu erobern oder durch „Challenges“ motiviert zu werden. Immaterielle Kronen und der Abschluss virtueller Kronen nur im Austausch meiner eigenen Lauf-Daten? Kein fairer Deal.
Ein Schelm, der Böses dabei denkt
Das Auslesen deiner Lauf-Daten kann diverse Probleme verursachen. Angefangen bei den Routen, die du regelmäßig läufst. Denn sind wir mal ehrlich – wer hat schon die Zeit und die Muße sich für jede Lauf-Einheit auch eine neue Strecke zu überlegen? In der Regel spulen wir die „Hausrunde“ doch routiniert ab. In Kombination mit den Trainingstagen kann dein eigenes Lauf-Verhalten also detailliert rekonstruiert werden. Entweder kann dir jemand auf deiner Jogging-Runde also „zufällig“ begegnen oder deine Wohnung leerräumen. Abwegig? Bei Weitem nicht!
Einem Radfahrer aus dem britischen Essex wurden Fahrräder im Wert von 12.500 Pfund gestohlen. Adam Jones dachte nach dem Einbruch, dass es jemand gewesen sein muss, der ihn kennt, weil er den Diebstahl als sehr gezielt und persönlich empfand. Er sollte Recht behalten haben: Die Diebe nutzten die Plattform, um schnelle Radfahrer und ihre Wohnorte ausfindig zu machen, um während der langen Ausfahrten zuzuschlagen.
Und auch ein Kumpel von mir wurde über die Plattform „gestalked“. Allerdings mit einem Happy-End: Er und seine „Verfolgerin“ sind mittlerweile verlobt. Daten„schutz“ kann eben doch manchmal eine gute Sache sein. (Text: Robin Siegert)