Das Smartphone als Sicherheitsrisiko
Mehrere Medien berichteten heute über das Verbot zur Nutzung privater Mobiltelefone und Smartwatches in Teilen des Bundesverteidigungsministeriums und in den Liegenschaften der Bundeswehr.
Grund dafür sei die erhöhte Spionagegefahr, die von Ländern wie Russland oder China ausgehe. Offenbar hat man Sorge, dass Angehörige des Ministeriums oder der Bundeswehr über ihre privaten Endgeräte ausgespäht werden können.
Und das nicht ohne Grund.
Bereits 2018 wies nach diesem Bericht der BBC ein australischer Student nach, dass sich über nachverfolgte Joggingrouten in der Fitness-App Strava US-amerikanische Militärbasen identifizieren und Bewegungsprofile stationierter Soldaten erstellen ließen – klassische OSINT, ganz ohne technischen Angriff.
Und auch in echten Kampfeinsätzen spielen Smartphone-Daten eine tödliche Rolle: NBC News berichtete im Januar 2023, dass ukrainischen Streitkräften die Ortung russischer Soldaten über deren Gerätedaten gelang – ein Lehrbuchfall von SIGINT. Diese Informationen wurden für einen Raketenangriff genutzt, bei dem 89 russische Soldaten ums Leben kamen.
Diese Beispiele verdeutlichen zweierlei: welche konkreten Schäden durch das Abfangen und Auswerten persönlicher Daten entstehen können – und wie viele passive Angriffsflächen moderne Smartphones und Smartwatches bieten.
Denn während das gezielte Ausspähen von Personen früher mit erheblichem technischen und personellen Aufwand verbunden war, machen wir es potenziellen Gegnern heute denkbar einfach. Wir tragen die potenziellen Spione selbst in unserer Hosentasche.
Neben allgemeinen Nutzungs- und Metadaten lassen sich Standortdaten, Mobilfunksignale, Kontakte und Informationen zu installierten Apps sammeln und auswerten. Was einzeln betrachtet harmlos erscheint, kann miteinander verknüpft und zur umfassenden Profilbildung genutzt werden – und liefert Angreifern damit auch die Grundlage für gezieltes Social Engineering.
Im schlimmsten Fall ermöglichen Mikrofon- und Kamerazugriffe sogar live durchgeführte Angriffe: sensible Gespräche belauschen, Innenräume oder Dokumente fotografieren.
Dabei müssen solche Angriffe nicht zwingend von staatlichen Akteuren ausgehen – und das ist aus meiner Sicht der eigentlich wichtige Punkt für den privaten Bereich.
Denn wir teilen unsere privatesten Daten oft bereitwillig mit Konzernen und Datenbrokern, die daraus Profile erstellen und diese an den Meistbietenden verkaufen. Das können Werbefirmen sein – im harmlosen Fall wissen Werbetreibende sehr viel über dich. Im weniger harmlosen Fall landen dieselben Daten bei staatlichen Akteuren oder Nachrichtendiensten.
Dass das Problem keine rein abstrakte Bedrohung ist, zeigte eine lesenswerte investigative Recherche von BR und netzpolitik.org aus Juli 2024. Den Journalisten gelang es, über frei erwerbliche Daten von Datenbrokern Standortprofile von Mitarbeitenden sensibler Sicherheitsbehörden zu rekonstruieren – inklusive Wohn- und Arbeitsorte. Teilweise konnten die Arbeitsplätze der Betroffenen bis auf einzelne Abteilungen genau zugeordnet werden.
Auch staatliche Behörden greifen auf diese Daten zurück: In den USA haben Behörden wie ICE oder das FBI nachweislich Standortdaten aufgekauft, die US-Bürger durch die Nutzung scheinbar harmloser Apps wie Wetter- oder Navigationsanwendungen erzeugt hatten – möglich durch das sogenannte Data-Broker-Loophole, das es Behörden ermöglicht, Daten käuflich zu erwerben, für die sie sonst einen richterlichen Beschluss benötigen würden. Diese Daten wurden anschließend für Ermittlungs- und Einsatzmaßnahmen genutzt.
Was bei Militärangehörigen als offensichtliches Sicherheitsrisiko gilt und dort mit einem klaren Verbot geregelt wird – institutionelle OPSEC – betrifft uns also alle.
Wir sollten uns daher fragen, in welchem Kontext wir unsere Geräte nutzen, welche Daten wir mit welchen Apps teilen – und wann es sinnvoll ist, das Handy einfach auszuschalten. Persönliche OPSEC, wenn man so will. Nicht nur für die Privatsphäre, sondern auch für unseren Seelenfrieden.