Autofirmen haben die Positionsdaten von Geheimdienstmitarbeitern, Jogging-Tracker wissen den Aufenthaltsort von Soldaten im Ausland. Dass Apps grosse Mengen von Daten sammeln, ist ein Risiko.
Das Lauftraining mit der App kann ein Sicherheitsrisiko sein: Rekruten in einem amerikanischen Trainingszentrum.
Welche grossen Mengen von Daten Automobile heute sammeln, machte der «Spiegel» kurz vor Neujahr publik. Er berichtete über eine Sicherheitslücke bei der VW-Tochterfirma Cariad, die dazu führte, dass Daten von rund 800 000 Elektroautos im Internet abrufbar waren, praktisch ungeschützt. Darunter waren die Positionsdaten der Autos, jeweils übertragen beim Abschalten des Motors. Teilweise liessen sich diese Informationen mit Angaben zu den Besitzern – deren E-Mail-Adressen oder Handynummern – verknüpfen.
Dass diese Daten in falsche Hände gelangen könnten, ist ein unangenehmes Szenario. Denn die Standortdaten zeigen, welche Fahrzeuge zum Beispiel jeweils tagsüber in der Nähe des Bundesnachrichtendienstes standen oder regelmässig zum amerikanischen Luftwaffenstützpunkt in Ramstein fuhren. Diese Informationen stellen ein Sicherheitsrisiko dar.
Im Fall der Benutzerdaten von Fahrzeugen wie von VW oder Skoda gibt es keine Hinweise, dass Dritte darauf zugegriffen haben. Die Schwachstelle ist inzwischen behoben. Doch das Problem ist grösser.
Dass kommerzielle Smartphone-Apps und Geräte massenhaft Benutzerdaten sammeln, ist nicht nur eine Frage des Datenschutzes. Es betrifft auch Sicherheitskräfte, Militärangehörige oder Geheimdienstmitarbeiter. Die privaten Firmen horten Daten über sie, die sicherheitsrelevant sein können. Das ist eine Gefahr.
Die Daten geben – richtig ausgewertet und verknüpft – zum Beispiel Hinweise darauf, wo sich Militärstützpunkte befinden, wo Agenten aktiv sind oder welche Operationen die Sicherheitskräfte durchführen. Feindliche Staaten haben ein grosses Interesse an solchen Informationen.
Militärstützpunkte in Afghanistan identifiziert
Das Problem ist nicht neu. Und doch kommt es immer wieder zu neuen Vorfällen. Zum Beispiel bei Fitness-Trackern, welche Militärangehörige oder andere Sicherheitskräfte bei ihren Jogging-Runden verwenden.
Bereits 2018 konnten Reporter der niederländischen Plattform «De Correspondent» zusammen mit dem Recherchenetzwerk Bellingcat Hunderte von Personen in 69 Ländern identifizieren, die mutmasslich an heiklen Orten arbeiten. Das waren niederländische Soldaten im Irak, Angestellte von Hochsicherheitsgefängnissen und Militärstützpunkten sowie Mitarbeiter der Geheimdienste NSA in den USA, GRU in Russland oder MI6 in Grossbritannien.
Alle diese Personen hatten eine Fitness-Uhr von Polaris benutzt und ihre Daten öffentlich geteilt. Das hat gereicht, um sie mit Namen und Wohnadresse zu identifizieren. Mit anonymen Daten der Sport-Plattform Strava gelang es im gleichen Jahr, militärische Stützpunkte westlicher Streitkräfte in Syrien oder Afghanistan zu erkennen.
Obwohl dieses Risiko bekannt ist und Fitness-Tracker deswegen in heiklen Bereichen teilweise verboten sind, besteht das Problem weiterhin. Die französische Zeitung «Le Monde» hat im vergangenen Herbst gezeigt, dass die Bodyguards des damaligen US-Präsidenten Joe Biden oder jene des russischen Präsidenten Wladimir Putin über die Fitness-App Strava Standortinformationen teilten. Auf dem französischen Marinestützpunkt für Nuklearunterseeboote sind Smartphones zwar verboten, aber Fitness-Uhren gingen bei der Sicherheitskontrolle vergessen.
Nicht verschwiegen genug: Angehörige der französischen Nuklearunterseeboote haben Informationen über die App Strava geteilt.
Das Gefährliche an diesen Daten ist, dass sie – im richtigen Kontext interpretiert – zusätzliche Informationen preisgeben. Das können die Standorte geheimer Einrichtungen sein, das können Namen und Anschriften von Mitarbeitern im Sicherheitsbereich sein, es lassen sich womöglich auch zeitliche Abläufe wie Wachablösungen oder Reisepläne von Politikern herausfinden.
Diese Informationen sind vor allem für ausländische Geheimdienste interessant. Diese gelangen dank den grossen Datensammlungen privater Apps an Erkenntnisse, für die sonst aufwendige Spionageaktionen oder Observationen nötig wären. Teilweise können solche Informationen auch Kriminellen nützlich sein, wenn es darum geht, einen Überfall oder einen Ausbruch aus einem Gefängnis zu planen oder dafür einen Mitarbeiter anzuheuern.
Die Daten können aus Hackerangriffen stammen
Das grösste Potenzial gerade für Nachrichtendienste liegt aber im Zusammenführen von Daten aus verschiedenen Quellen. Das könnten Nutzerinformationen aus kommerziellen Apps sein oder Reiseangaben von Hotels oder Airlines. Wertvoll sind auch vertrauliche persönliche Daten über medizinische Behandlungen, Bewerbungen oder Finanztransaktionen.
Diese Datensätze können aus öffentlich zugänglichen Quellen stammen. Sie können aber auch die Beute von Cyberangriffen sein, entweder von Nachrichtendiensten selbst ausgeführt oder von Kriminellen, welche die Informationen dann in Foren im Darknet verkaufen. Bei China gibt es die Vermutung, hinter mehreren grossen Hackerangriffen zu stecken, um an Daten westlicher Bürger zu kommen. Auch niederländische Dienste haben die Methode des Hackings bereits angewendet.
Nachrichtendienste kaufen zudem Daten bei kommerziellen Anbietern ein, sogenannten Data-Brokers. Das können zum Beispiel Informationen von sozialen Plattformen sein, die zu Online-Identitäten kombiniert werden, oder Wirtschaftsdaten über Besitzverhältnisse bei Firmen.
Der militärische Nachrichtendienst der USA, die DIA, beschafft sich laut einem öffentlichen Bericht von 2021 kommerziell verfügbare Standortdaten von Smartphones weltweit. Die US-Geheimdienste würden eingekaufte Informationen generell dazu nutzen, Daten aus anderen Quellen anzureichern oder die eigenen Operationen und Agenten zu schützen.
Indem Nachrichtendienste grosse Datensätze mit persönlichen Informationen kombinieren, können sie Schattenlebensläufe von Personen erstellen. Diese können dazu dienen, mögliche Spione der Gegenseite zu identifizieren.
Umgekehrt können persönliche Informationen den Geheimdiensten auch nützlich sein, um mögliche Spione für eigene Aufgaben anzuwerben. Die Standortdaten verraten, wer an interessanten Orten arbeitet. Hobbys geben die Möglichkeit zur Kontaktaufnahme. Mit intimen Details zu sexuellen Vorlieben oder über psychische Erkrankungen kann eine Person unter Druck gesetzt werden, um vertrauliche Informationen preiszugeben.
USA erkennen Datensammlungen als Gefahr für Spionage
Die persönlichen Daten, gesammelt von Unternehmen, sind ein Sicherheitsrisiko. Das haben auch die USA erkannt. Die nationale Strategie zur Spionageabwehr von 2024 erwähnt explizit das Sammeln von persönlichen Daten als Bedrohung, die von ausländischen Geheimdiensten ausgeht. Auch China warnte kürzlich davor, dass öffentlich verfügbare Daten von ausländischen Geheimdiensten genutzt werden könnten.
Dass die amerikanische Politik in den letzten Monaten gegen chinesische Produkte wie die Videoplattform Tiktok, chinesische Hafenkräne oder E-Autos aus China vorgegangen ist, ist in diesem Zusammenhang zu sehen. Die USA fürchten, dass China die Informationen dieser Nutzer verwendet. Daten seien eine strategische Ressource, heisst es in der amerikanischen Strategie zur Abwehr gegnerischer Spionage. Der Schutz der Bürger sei ein zentraler Auftrag der Spionageabwehr.
Eine Möglichkeit, das Problem anzugehen, wäre die Verschärfung der Datenschutzbestimmungen. Diese sind in den USA eher lasch. Das hat Auswirkungen nicht nur auf die einzelnen Bürger, sondern auch auf die nationale Sicherheit, wie der australische Geheimdienstexperte Tom Uren letztes Jahr schrieb. Denn: Die ausländischen Geheimdienste hätten «die Mittel, das Motiv und die Möglichkeit, sich das Sammelsurium von Daten zunutze zu machen und Amerikas Interessen zu schaden».
Die amerikanischen Geheimdienste sind möglicherweise gar nicht interessiert an schärferen Datenschutzbestimmungen. Denn sie profitieren davon, dass sie selbst grosse Datensätze aufkaufen können – wie das auch ihre Feinde tun.
Diese Ausgangslage könnte sich allerdings in den nächsten Jahren ändern, zuungunsten der USA. Wenn chinesische Plattformen und Apps wie Tiktok oder Deepseek weltweit verbreitet sind, stehen diese Nutzerdaten dann möglicherweise nicht mehr zum Verkauf. Zugriff haben dann nur gegnerische Geheimdienste, nämlich jene aus China.
