‚StravaLeaks‘: Le Monde verfolgt Standort französischen Flugzeugträgers in Echtzeit über Fitness-App

 (lemonde.fr)
2 Punkte von GN⁺ 2026-03-21 | 1 Kommentare | Auf WhatsApp teilen
  • Ein französischer Marineoffizier lud Trainingsdaten mit öffentlichem Profil in der Fitness-App Strava hoch, wodurch die genaue Position des im Mittelmeer operierenden Flugzeugträgers Charles de Gaulle in Echtzeit offengelegt wurde
  • Le Monde glich die Daten mit Satellitenbildern ab und bestätigte die Position des Trägers nordwestlich von Zypern, etwa 100 km vor der türkischen Küste
  • Da mit dem Iran verbundene Kräfte im Kontext des Kriegs im Nahen Osten bereits zwei französische Militärbasen angegriffen haben, stellt die Veröffentlichung solcher Standortdaten eine schwerwiegende Sicherheitsbedrohung dar
  • Nach dem Strava-Einsatz von Leibwächtern des Präsidenten im Herbst 2024 und der Offenlegung von Patrouillenplänen eines Atom-U-Boots im Januar 2025 tritt dieselbe Sicherheitslücke wiederholt auf
  • Der Generalstab der französischen Streitkräfte räumte ein, dass gegen die geltenden Richtlinien verstoßen wurde, doch ohne strukturelle Verbesserungen der digitalen Sicherheit dürfte sich das Problem auch beim nächsten Flugzeugträger wiederholen

Überblick über den Vorfall: Preisgabe der Trägerposition über Strava

  • Am 13. März um 10:35 Uhr lud der französische Marineoffizier „Arthur“ (Pseudonym) Daten hoch, die seine mit einer Smartwatch aufgezeichnete rund 7 km lange Laufeinheit in 35 Minuten auf dem Deck des Schiffs zeigen
  • Da das Strava-Profil auf „öffentlich (public)“ eingestellt war, konnte jeder über diese Trainingsaufzeichnung die genaue Position des Flugzeugträgers nahezu in Echtzeit erkennen
  • Le Monde bestätigte dadurch, dass sich die Charles de Gaulle nordwestlich von Zypern in einem Seegebiet des Mittelmeers etwa 100 km vor der türkischen Küste befand
  • Die französische Marinekampfgruppe bestand neben dem Flugzeugträger aus mindestens drei Fregatten und einem Versorgungsschiff

Hintergrund: Verlegung in den Nahen Osten und Sicherheitsrisiken

  • Am 3. März ordnete Präsident Macron die Verlegung in den Nahen Osten an; die Entscheidung fiel unmittelbar nach den Angriffen Israels und der USA auf den Iran
  • Die Charles de Gaulle sollte ursprünglich bis Mai im Rahmen einer NATO-Übung in der Ostsee operieren, wurde jedoch kurzfristig umdisponiert
  • Am 6. März gaben die französischen Behörden offiziell die Passage durch die Straße von Gibraltar bekannt
  • Mindestens zwei französische Militärbasen in der Region Nahost wurden von mit dem Iran verbundenen Kräften angegriffen; bei einem Drohnenangriff im Nordirak wurden ein französischer Soldat getötet und sechs verletzt
  • In einer solchen Lage präzise Positionsdaten des Flugzeugträgers auf eine öffentlich zugängliche Website hochzuladen, ist gefährlich fahrlässig

Abgleich der Daten: Bestätigung per Satellitenbild

  • Le Monde verfolgte mithilfe von Arthurs Strava-Daten die Route der Charles de Gaulle
      1. Februar: Trainingsaufzeichnung nahe der Küste der französischen Halbinsel Cotentin
    • 26.–27. Februar: Während der Träger im schwedischen Malmö vor Anker lag, zeichnete Arthur Aktivitäten an Land in Kopenhagen, Dänemark, auf
      1. März: Aktivität im Mittelmeer nordwestlich von Zypern
  • Auf einem rund eine Stunde nach Arthurs Lauf aufgenommenen Satellitenbild war die Silhouette des 262 m langen Flugzeugträgers klar zu erkennen
  • Die Laufroute zeigte kreisförmiges Laufen auf einem fahrenden Schiff und lag etwa 6 km von der Stelle entfernt, an der das Satellitenbild aufgenommen wurde
    • Möglich ist entweder, dass sich das Schiff nach Arthurs Lauf weiterbewegt hatte, oder dass er sich auf einem der Begleitschiffe befand

Weitere Entdeckungen: Mehrere offengelegte Strava-Profile

  • Neben Arthur veröffentlichte mindestens eine weitere Person mit öffentlichem Strava-Profil Trainingsdaten mit Standortinformationen von einem Schiff im Einsatz
  • Einige öffentliche Profile enthielten sogar Fotos vom Schiffsdeck, Bilder anderer Soldaten und Fotos von im Schiffsinneren installierten Fitnessgeräten

Reaktion des Generalstabs der französischen Streitkräfte

  • Der Generalstab der französischen Streitkräfte erklärte, dass das öffentliche Hochladen der Laufstrecke auf Strava „nicht den geltenden Richtlinien entsprach“
  • Zugleich hieß es, Matrosen würden „regelmäßig über die entsprechenden Richtlinien informiert“
  • Außerdem wurde betont, dass „digitale Hygiene (digital hygiene)“ Bestandteil aller Voraussetzungen vor einem Einsatz sei
  • Weiter hieß es, „die Führung werde geeignete Maßnahmen ergreifen“

Frühere Sicherheitslücken bei StravaLeaks

  • Im Herbst 2024 legte die Le-Monde-Recherche „StravaLeaks“ Sicherheitslücken offen, die durch die Strava-Nutzung von Leibwächtern der Präsidenten Frankreichs, der USA und Russlands entstanden
    • Dabei ließ sich die Identität der Leibwächter und ihrer Familien feststellen, ihre Bewegungen verfolgen und sogar der künftige Bewegungsablauf der Präsidenten vorhersagen
  • Im Januar 2025 legten Besatzungsmitglieder französischer Marine-SSBNs über Strava Informationen zu den Patrouillenplänen der U-Boote offen
    • Die Marine erklärte damals, dies sei auf „Unachtsamkeit einzelner Personen“ zurückzuführen und stelle keinen Vorfall dar, der den Betrieb der Basis in Ile Longue beeinträchtige

Nächster Flugzeugträger und offene Aufgaben

  • Der nächste französische Flugzeugträger **France Libre („Freies Frankreich“) ** soll die Charles de Gaulle voraussichtlich um 2038 ersetzen
  • Er soll bis zu 40 Flugzeuge aufnehmen können und mit drei Flugzeugkatapulten sowie Ausrüstung für Drohnen versehen sein
  • Präsident Macron sagte, beim Bau würden „die besten Talente der Nation, die seltenste Expertise und die anspruchsvollste Berufung“ mobilisiert
  • Ob Matrosen ihre Trainingsaufzeichnungen künftig weiterhin über öffentliche Konten teilen oder auf privat umstellen werden, bleibt eine ungelöste Aufgabe

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-03-21
Hacker-News-Kommentare
  • Vor etwa drei Jahren starb ein ehemaliger russischer U-Boot-Kommandant, der in einen Raketenangriff verwickelt gewesen sein soll, bei dem 23 ukrainische Zivilisten getötet wurden
    Berichten zufolge wurde sein Bewegungsprofil über Strava nachverfolgt
    Verwandte Artikel: CNN-Bericht, GIJN-Fallstudie zu Ermittlungen mit Strava
  • Solche Probleme mit dem Leaken von Standortdaten sind beim Militär häufig
    Es ist schwer, Soldaten die Nutzung von Handys und Internet vollständig zu verbieten, und meist liegt es an Naivität und dem Wunsch, Unannehmlichkeiten zu vermeiden
    Auch in der Ukraine passiert das noch immer
    • Vor 15 Jahren war unsere Brigade in einer Übung, und die Gegenseite (OPFOR) nutzte Tinder, um den Standort des Hauptquartiers per Triangulation zu ermitteln
      Mithilfe der standortbezogenen 1-Meilen-Angaben von Tinder wurde ein Beschussszenario simuliert, was den Brigadekommandeur extrem verärgerte
    • Früher gab es einen Fitness-Tracker, der nur Standorte ohne Benutzernamen veröffentlichte
      Auf der Irak-Karte tauchten rechteckige Routen auf, die von US-Soldaten stammten, die innerhalb ihrer Basis joggten
      Es war nicht geheim, zeigte aber, wie leicht Standortdaten nach außen dringen
    • Wenn selbst Vorgesetzte sichere Kommunikations-Apps wie Signal nicht richtig nutzen, ist es schwer, dafür nur die Soldaten verantwortlich zu machen
    • Selbst wenn direkte Standortfreigaben unterbunden werden, kann schon der reine Internetzugang durch Informationsbeschaffung über Datenbroker riskant werden
    • In den ersten zwei Jahren des Krieges wurden Soldaten, die solche Regeln missachteten, meist getötet oder verwundet
      In letzter Zeit verhängt das russische Verteidigungsministerium harte Strafen gegen Soldaten, die nahe der Front Telegram oder ukrainische Kommunikationsnetze nutzen
  • Es ist fraglich, ob der Standort eines Flugzeugträgers überhaupt geheim sein muss
    Ich denke, vor Satelliten lässt er sich kaum verbergen
    • Wenn ein Feind die Aktivitäten in Online-Konten von Militärangehörigen verfolgt und daraus Rang, Einheit und Fachgebiet kombiniert, kann er weit mehr als nur den Standort herausfinden
      Auch ohne Satelliten lässt sich so schon eine Menge erfahren
    • Laut Naval Gazing ist die Geheimhaltung des Standorts eines Flugzeugträgers nur eine Schicht der Überlebensfähigkeit
      Man sollte sie als eines von mehreren Verteidigungsmitteln sehen, nicht als vollständige Tarnung
    • Ein Flugzeugträger ist 17.000 m² groß und etwa so hoch wie ein 25-stöckiges Gebäude
      Das ist keine Struktur, die man verstecken kann; Tarnung ist eher die Aufgabe von U-Booten
    • Aufklärungssatelliten liefern keinen Echtzeitstandort, sondern oft nur Positionen von vor einigen Stunden
      Echtzeit-GPS-Daten sind für die Lenkung von Raketen deutlich nützlicher
    • Wenn ein Strava-Konto mit einem bestimmten Besatzungsmitglied verknüpft wird, besteht sogar das Risiko, dessen Bewegungen an Land nachzuverfolgen
  • Auch in den USA wurden früher einmal geheime Stützpunkte über Strava offengelegt
    (Artikel im The Guardian)
    Ich frage mich, ob Flugzeugträger Satelliteninternet nutzen oder nur in Küstennähe synchronisieren
    Falls Ersteres zutrifft, sollte der App-Zugang per Whitelist-Ansatz eingeschränkt werden
  • Die ehemalige CIA-Mitarbeiterin Sarah Adams behandelte das Thema im Podcast Your Phone Isn’t Safe Right Now
    Dort stellte sie 100 Wege vor, um auf Reisen den digitalen Fußabdruck zu verringern, und nannte Fitness-Apps und Dating-Apps als größte Bedrohung
  • Ich glaube nicht, dass es im Mittelmeer ein Land gibt, das einen Flugzeugträger nicht orten könnte
    Es ist schließlich kein Stealth-Schiff
    • Im Mittelmeer vielleicht, aber auf dem offenen Ozean ist die Ortung deutlich schwieriger
      Denn Satelliten können nicht alle Seegebiete in Echtzeit überwachen
    • Wie beim Verschwinden von MH370 war selbst ein riesiges Flugzeug schwer zu finden
      Die Ortung von Schiffen auf offener See ist keineswegs trivial
    • Ein U-Boot über Strava zu finden, wäre deutlich beeindruckender gewesen
    • Die Positionsbestimmung über eine öffentliche API und der Einsatz staatlicher Satellitenkapazitäten sind zwei völlig unterschiedliche Dinge
      Die meisten Staaten verfügen nicht über Aufklärungssatelliten
    • In jüngerer Zeit ist mit zivilen Satellitennetzwerken wie Planet Labs ein gewisses Maß an Tracking möglich geworden, doch es gibt weiterhin Grenzen
  • Wie das Sprichwort „Loose lips sink ships“ sagt, kann auch leichtfertige Handynutzung ein Schiff in Gefahr bringen
    • Vermutlich funktionierte Strava über einen Internetzugang an Bord
      Die IT-Abteilung der französischen Marine sollte riskante Apps per Sperrrichtlinie verwalten
    • Bei privaten Handys weiß man nie, welche Software installiert ist, und schon allein die Internetverbindung birgt ein hohes Risiko der Datenerfassung
      Solche Situationen zeigen ein mangelndes Sicherheitsbewusstsein beim Militär
  • Die Charles de Gaulle fährt mit einer Marschgeschwindigkeit von 27 Knoten, was die Berechnung des Lauftempos völlig verfälscht
    Die Strava-Statistiken könnten dadurch stark verzerrt sein
    • Auch Zivilisten laufen manchmal auf dem Deck von Kreuzfahrtschiffen, wobei Geschwindigkeits- und Distanzdaten absurd ausfallen
    • In der im Artikel gezeigten Route gibt es Abschnitte, die sich entgegen der Fahrtrichtung des Schiffs bewegen
      Wahrscheinlich war der Flugzeugträger damals nur langsam unterwegs
    • 7,2 km mit einem Schnitt von 4:38, und die sich wiederholende Route deutet darauf hin, dass das Schiff eine Wendeschleife fuhr
      Vielleicht, um die Annäherung an den Libanon zu verzögern
    • Auch Kalorienberechnungen auf Basis der Herzfrequenz führen zu ähnlichen Fehlern
      Es gibt Fälle, in denen durch bestimmte Medikamente der tägliche Kalorienverbrauch unrealistisch hoch angezeigt wird
  • Ein Flugzeugträger ist von der Küste aus schon bei nur 10 m Höhe aus etwa 28 Meilen Entfernung mit bloßem Auge sichtbar
    Von großen Teilen der Mittelmeerküste aus hätte man ihn wohl beobachten können
    • Ich frage mich, ob es eine Regel gibt, nach der Strava in Küstennähe erlaubt ist, aber bei sensiblen Operationen verboten wird
      Oder ob dieser Fall einfach ein Beispiel für genau ein solches riskantes Verhalten ist
    • Schon die Form der Laufroute kann Rückschlüsse auf Kurs und Geschwindigkeit zulassen
  • Nebenbei gefragt: Ich frage mich, ob solche Fitness-Apps die Bewegung eines Schiffs kompensieren
    Auf Kreuzfahrtschiffen joggen ja ebenfalls viele Menschen, daher könnten die Daten gegenüber der Realität verzerrt sein