Fit bleiben, der Gegner schaut zu
Nicht viel zu sehen auf diesem Kartenbild da oben, oder? Wer genauer hinguckt, entdeckt zwei helle Regionen, einen eher links, einen eher rechts im Bild. Zoomen wir doch mal ran:
Das Muster das sich da abzeichnet, kommt dem einen oder anderen vielleicht bekannt vor. Vor allem, wenn er schon mal mit der Bundeswehr in Afghanistan war… Der gleiche Ausschnitt als Karte, hier von Open Street Map
… und noch ein bisschen näher:
und bei Google Maps ist es sogar noch besser erkennbar (aber Ausschnitte von Google Maps zu zeigen, ist immer so ein rechtliches Problem).
Die beiden dunklen Karten oben stammen aus einem Projekt der Plattform Strava, die die Daten von Fitness-Trackern auswertet, die mit dem Internet verbunden sind. Da fallen Unmengen von Daten an, die viele Sportler zur Auswertung ihres Trainings nutzen – aber diese zusammengeführten Daten lassen sich natürlich auch dazu gebrauchen, zu zeigen, wo überall auf der Welt gerade Menschen sportlich aktiv sind und ihre Daten von dieser Aktivität ins Internet schicken.
Und zu den Menschen, die überdurchschnittlich körperlich aktiv sind, gehören vor allem – Soldaten. Überall, und sei die Basis noch so abgelegen, trainieren sie, und wenn sie aus den Industriestaaten des Westens kommen, haben sie gerne einen Fitness-Tracker mit Internetverbindung. Dabei vergessen sie offensichtlich oft genug, diese Tracker wie zum Beispiel Fitbit vom Internet abzukoppeln.
Das Ergebnis ist oben auf den Karten und hier gut erkennbar:
Wenn im Norden Afghanistans ausgerechnet bei Kundus und bei Masar-i-Scharif (der Ort ist leider auf dieser Karte nicht gekennzeichnet) starke Trainingsaktivitäten in einer Region auffallen, dürfte es sich um Militärbasen handeln – was im Fall von Camp Marmal und Kundus leicht nachzuvollziehen ist.
Diese Art von Nachrichtengewinnung aus offenen Quellen, Open Source Intelligence, scheint in diesem Fall recht ergiebig. Auf Twitter, wo ich das auch nur zufällig gesehen habe, kursieren jedenfalls schon etliche Hinweise auf Militärstützpunkte, die sich über diese globale Aktivitäten-Karte gut finden lassen – vor allem in abgelegenen Landstrichen.
Fitness and social media company Strava releases activity heat map. Excellent for locating military bases (h/t to @Nrg8000). https://t.co/n5RWcI7BJF pic.twitter.com/7zzNcYV42e
— Tobias Schneider (@tobiaschneider) January 27, 2018
Somebody forgot to turn off their Fitbit. Markers trace known military outposts, supply and patrol routes. pic.twitter.com/7YTzoqKgDl
— Tobias Schneider (@tobiaschneider) January 27, 2018
My focus is on Syria, but obviously works all over. French military base Madama in Niger: pic.twitter.com/1e9SRR73xS
— Tobias Schneider (@tobiaschneider) January 27, 2018
So much cool stuff to be done. Outposts around Mosul (or locals who enjoy running in close circles around their houses): pic.twitter.com/wHItJwYUUI
— Tobias Schneider (@tobiaschneider) January 27, 2018
You can literally spend less than a minute on Stravas new data service and find sensitive sites. Nice patriot position you have there pic.twitter.com/eYS8TOuT0F
— Lost Weapons (@LostWeapons) January 27, 2018
Secret military base near Arlit, Niger, revealed as a white dot in a sea of black, because Western soldiers didn’t turn off their Fitbits. pic.twitter.com/zQuwZAAUpK
— Ben Taub (@bentaub91) January 28, 2018
Und bei weitem nicht nur für westliche Truppen:
this is what Alakurtti military base in Russia looks like in the heat map pic.twitter.com/6Wu2zFHwNa
— Virpi Heikkilä 🐾 (@VirpiHeikkila) January 27, 2018
This is Dandong/Sinuiju. One of the busiest cross-border trade hubs between #China and #DPRK. As you can see from the heat map, there is some movement across the border, more heavily on the #Chinese side of course. pic.twitter.com/sy5D74cOXN
— Strategic Sentinel (@StratSentinel) January 28, 2018
Entdeckt hat das übrigens der hier
Strava released their global heatmap. 13 trillion GPS points from their users (turning off data sharing is an option). https://t.co/hA6jcxfBQI … It looks very pretty, but not amazing for Op-Sec. US Bases are clearly identifiable and mappable pic.twitter.com/rBgGnOzasq
— Nathan Ruser (@Nrg8000) January 27, 2018
… und jetzt erreicht es auch die Medien:
U.S. soldiers are revealing sensitive and dangerous information by jogging
Fitness tracking app gives away location of secret US army bases
Natürlich ließe das sich leicht verhindern. Die Nutzer solcher Geräte und Apps müssten nur in der Gebrauchsanweisung nachsehen, wie sich der permanente Upload ihrer Daten ins Internet unterbinden lässt…
Nachtrag: In den Kommentaren meinte ein Leser auch die Kaserne in Rukla wo die eFP stationiert ist ist auch ziemlich sauber.
Ich bin mir da nicht so sicher. Die OpenStreetMap-Karte von Rukla
… und die Strava Heatmap der Gegend:
Ich hätte da schon ne Vorstellung, wo das eFP-Bataillon stationiert ist.
Und noch ein Nachtrag: Gao in Mali habe ich mir auch mal angesehen; Camp Castor ist auch so ein Hotspot…
Das ist ein ziemlich interessanter Artikel! Ich denke mal, dass vielen Leuten (mich eingeschlossen) gar nicht bewusst ist, welchen digitalen Fußabdruck sie im täglichen Leben hinterlassen. Das wäre eigentlich ein Fall für den S2-Unterricht ;)
Hab mir auch mal die Seite angeschaut. Man kann anscheinend bestimmte Orte auch zensieren lassen z.b die Kaserne in Volkach ist zensiert, aber auf Google Maps dann wieder in voller Pracht.
Der Übungsplatz bei Munster ist auch relativ sauber von den GPS Marken auch die Kaserne in Rukla wo die eFP stationiert ist ist auch ziemlich sauber.
Zeigt mal wieder wie wichtig OPSEC in diesen modernen Zeiten ist.
[Im Hinblick auf Rukla bin ich mir da nicht so sicher. Siehe Nachtrag oben. T.W.]
Ich hatte 2013 das Beispiel während meines Einsatzes bei Facebook. Da meinte dann mal Radio Andernach mit ihren Moderatoren einfach eine öffentliche Veranstaltung zu erstellen mittem im Camp Marmal. Führte dazu das ich mit wenigen Klicks gefühlt das halbe deutsche Kontingent MeS samt Facebookprofile am Start hatte. Zudem Zeitpunkt, Ort (mit GPS Koordinaten) etc…
Leider alles sehr fraglich. Ebenso die Bundeswehrgruppe auf Facebook wo man mit einer Umfrage direkt seinen Standort eingeben kann incl. Profil bei der Einstellung… oder einfach mal bei Instagram nach „Soldatin“ suchen. Viel Spaß ;)
@TW
Sorry für den Fehler hatte zuviele Karten von Kasernen offen. Oberviechtach war eins der sauberen. Mea Culpa. Die Graf Zeppelin Kaserne ist zensiert aber man kann schön die Leichtathletikanlage sehen und wo die Herren ihre Runden anfangen. GÜZ ist auch zensiert und man kann die Leichtathletikanlage sehen aber dafür ist auf dem Übungsplatz wieder sehr wenig.
Die StO sind ja im wesentlichen bekannt. Und die anderen werden von Einheiten genutzt, die sich des Problems bewußt sind ^^
Im übrigen ist das Teil jeder Sicherheitsbelehrung bzw. Einsatzvorbereitung.
Es dürfte auf der Hand liegen, dass dies nicht nur öffentlich einsehbare Auswirkungen hat (Außenposten, Patrouillienrouten, usw.), sondern dieses Unternehmen gerade zum Primärziel ALLER Geheimdienste geworden ist, um die einzelnen Besitzer zu identifizieren!
„ ….. Und zu den Menschen, die überdurchschnittlich körperlich aktiv sind, gehören vor allem – Soldaten….. „.
…. Äh nein, zumindest bei der Bundeswehr nicht mehr so … siehe die Begründung für Fitnesskost 2.0 ….
@Alex
Na ja, das sind aggregierte Daten, der Einzelne ist da nicht identifizierbar – aber darum geht es doch auch gar nicht. Es geht darum, „pattern of life“ zu identifizieren, wo laufen die meisten lang, wo laufen Leute auf komischen Wegen etc.
Das Problem sind nicht die Jogging Routen um die Kasernen herum, sondern die GPS Marken die auftauchen wo eigentlich keine sein sollten.
Die sind dann irgendwon im nirgendwo von Afrika und dem Mittleren Osten wo man eigentlich nicht draufkommen würde aber auf einmal leuchtet es schön auf der Karte und man hat schon den Umfang der Basis und die Position.
@T.Wiegold
Natürlich. Das Armband nimmt aber auch GPS-Daten auf, wenn keine Verbindung nach draußen besteht. So ist es doch ganz interessant, wer genau die FBI Akademie besucht https://twitter.com/JUSTSHEKEL/status/957443182119342081 oder die NSA: https://twitter.com/JUSTSHEKEL/status/957445981930426368.
Ich bin mir nicht sicher, ob Patters of Life so gewinnbringend sind, da sie offenbar statische Orte umschrieben sind. Wenn das hier stimmt, kann man wohl schon mit ein wenig Aufwand Personen identifizieren, da die einzelnen Aktivitäten mit einer ID versehen seien: https://twitter.com/Paulmd199/status/957483461060698112
Das macht z.B. Entführungen oder Einbrüche (da man Gewohnheiten erkennen kann) einfacher.
Und natürlich verkauft Strava die Daten zu Analysezwecken.
Wenn es dem Gegner hilft, Routen von Patrouillen damit aufzudecken, ist das schon ein Problem. Oder Muster darin (auch wenn das eigentlich nicht passieren sollte).
Schon heftig!
Ich weiß schon warum ich kein Fitness-Armband habe, mein Smartphone auch mal liegen lasse (und ausschalte), mir kein Amazon Echo oder ähnliches besorge, nicht permanent dem Netz alles mitteile und mein Haus nicht drahtlos bedienbar mache.
Das hat alles in meinen Augen viel mehr Nachteile als Vorteile.
Fitnessarmband/Smartwatch im Einsatz finde ich auch völlig fehl am Platz.
Danke für diesen Artikel.
Wie aktuell sind denn diese Daten immer? Stündlich oder täglich oder Echtzeit?
Der einzelne ist nicht identifizierbar?
https://twitter.com/LostWeapons/status/957794408413278208
@Fitness-Hauke:
„Wie aktuell sind denn diese Daten immer? Stündlich oder täglich oder Echtzeit?“
Weder noch. Das sind Daten aus 2017 (und evtl. früher). Also am ehesten „jährlich“.
@all
Weil’s interessant aussieht, habe ich Camp Castor in Gao/Mali oben noch als Bild nachgetragen.
@Max: Es sind auch personenbezogene Daten von (meiner Vermutung nach) deutschen Soldaten im Einsatz abrufbar. Und zwar aus 2018! Sehen sie selbst:
[Wie von Ihnen angeregt, habe ich den Link rausgenommen – da wird jemand mit vollem Namen genannt, der seinen Wohnort – ein Bundeswehr-Stationierungsort – offen angibt. Das hier zu posten, wirft Fragen des Persönlichkeitsrechts auf; deshalb lieber nicht. T.W.]
Dabei handelt es sich um persönliche Daten, die im Internet für jeden frei zugänglich sind. Eine einfache google-Suche und ein wenig Gehirnschmalz genügen um diese Infos in 15 Minuten ausfindig zu machen. Ein deutscher Soldate mit vollem Namen, Heimatstandort und sportlichen Routinen im Camp Castor…
Ein wenig Nachhilfe im korrekten und sicherheitsbewussten Umgang mit dem Internet wäre mMn angebracht.
@Interessierter Mitleser | 29. Januar 2018 – 12:19
Es wäre sogar eine Prüfung angebracht in wieweit sowas ein Dienstvergehen darstellt. Vor nicht all zu guter Zeit gab es das gute alte Prinzip TOZZ Angaben nicht über offene Kanäle zu kommunizieren.
Mir ist klar, dass es von den Streitkräften heute nicht mehr gewollt ist diese Maxime im Tagesdienst durchzusetzen.
Aber im Einsatz?
Na zum Glück ist noch niemand den Geocachern auf die Schliche gekommen…. 😉
Es zeigt sich wieder einmal, dass die jahrelang ignorierten Warnhinweise seitens der IT-Community/Cyber-Defense Community vielleicht ja jetzt einmal zum Umdenken anregen. Es ist erschreckend auf wie vielen Besprechungen – noch nicht einmal eingestuft – das private Smarttelephon fast schon zum guten Ton gehört.
Die Werbekampagne des BMVg bezüglich Attraktivität durch Internetanbindung wie zu Hause führt zu einer Erwartungshaltung und fehlender Sensibilisierung auf Seiten der Soldaten. Mit allen – zum Glück noch nicht – eintretenden Konsequenzen.