Eine Lauf-App, ein Urlaubsfoto, ein Live-Standort in WhatsApp: Standortdaten wirken harmlos, weil sie so alltäglich geworden sind. Genau darin liegt das Risiko. Aus einzelnen kleinen Hinweisen entsteht schnell ein Bewegungsprofil - und aus einem Bewegungsprofil werden private Gewohnheiten, berufliche Termine oder vertrauliche Unternehmensinformationen sichtbar.
Niemand muss deshalb sein Smartphone wegwerfen oder alle Apps löschen. Aber wer versteht, was Standortdaten verraten können, trifft bessere Entscheidungen: beim Teilen einer Laufstrecke, beim Posten aus dem Hotel, beim Nutzen von Dating-Apps oder bei der kurzen Live-Standortfreigabe in einer Gruppe.
Der Mai-Cyber-Snack macht genau das erlebbar: Er zeigt, wie aus scheinbar banalen App-Daten ein Sicherheitsproblem wird - privat, beruflich und manchmal sogar geopolitisch.
Was Standortdaten so verräterisch macht
Standortdaten werden erst richtig aussagekräftig, wenn sie wiederholt geteilt werden.
Ein einzelner Standortpunkt sagt oft wenig. Ein Muster sagt fast alles. Wer morgens regelmäßig von derselben Adresse startet, mittags immer in derselben Kantine ist und abends dieselbe Laufstrecke teilt, verrät damit nicht nur Orte. Er verrät Routinen.
Genau diese Routinen sind wertvoll: für Stalker, für Einbrecher, für Betrüger - und im Unternehmenskontext für Social Engineers, Wettbewerber oder Nachrichtendienste. Standortdaten beantworten Fragen, die niemand direkt gestellt hat: Wo wohnt jemand? Wann ist jemand nicht zu Hause? Mit wem trifft sich eine Führungskraft? Welche Firma wird gerade besucht?
Der Strava-Fall: Eine Joggingrunde, ein Flugzeugträger
Ein öffentliches Fitnessprofil kann mehr verraten als nur sportlichen Ehrgeiz.
Im März 2026 zeigte Le Monde eindrucksvoll, wie schnell aus einer privaten Fitnessaktivität eine Sicherheitslücke werden kann. Ein französischer Marineoffizier zeichnete am 13. März um 10:35 Uhr eine etwas mehr als sieben Kilometer lange Joggingrunde auf. Sein Strava-Profil war öffentlich. Die Route lag nicht in einem Park, sondern auf einem Schiff im östlichen Mittelmeer.
Durch die öffentlich sichtbaren Daten und den Abgleich mit Satellitenbildern konnte Le Monde die Position der Charles de Gaulle und ihres Begleitverbands bestimmen. Die Stationierung des Flugzeugträgers war nicht geheim. Die genaue Position nahezu in Echtzeit öffentlich sichtbar zu machen, war trotzdem hochproblematisch. Die französischen Streitkräfte erklärten später, die Nutzung habe nicht den geltenden Vorgaben entsprochen.
Die entscheidende Frage ist nicht: "Habe ich etwas Geheimes gepostet?" Sondern: "Was lässt sich aus meinen öffentlichen Signalen ableiten?"
Nicht nur Fitness-Apps verraten Orte
Strava ist nur das plakative Beispiel. Standortdaten entstehen an vielen Stellen: bei Fitness-Apps, bei Karten-Apps, bei Live-Standorten in Messenger-Gruppen, bei Snapchat, bei Dating-Apps und manchmal indirekt über Bilder auf Instagram, LinkedIn oder Facebook.
Follow the Money zeigte Ende 2024, wie sensibel solche Signale werden können. Das Rechercheteam legte drei fiktive Tinder-Profile an, verschob deren Standort digital in die Nähe von Militärbasen und identifizierte in kurzer Zeit mindestens 400 Soldaten. Durch Distanzangaben, Profilbilder und öffentliche Zusatzinformationen ließen sich Bewegungen, Funktionen und teilweise sogar Wohnadressen rekonstruieren - auch ohne Match.
Warum das privat gefährlich werden kann
Privat entstehen Risiken selten durch einen einzelnen Post. Sie entstehen durch Kombination. Ein öffentliches Laufprofil zeigt, wo jemand regelmäßig startet. Urlaubsfotos zeigen, dass die Wohnung gerade leer ist. Ein Live-Standort in einer großen Gruppe zeigt Fremden, wo jemand in diesem Moment unterwegs ist.
Auch Betrug wird dadurch glaubwürdiger. Eine Nachricht wie "Hi Papa, wie ist es in Lyon am Rhône-Ufer? Mein Handy ist kaputt und ich brauche dringend Geld für die Reparatur" wirkt ganz anders, wenn die Ortsangabe tatsächlich zu einem aktuellen Post passt. Standortdaten machen Social Engineering persönlicher.
Warum Standortdaten auch im Job heikel sind
Social-Media-Posts, Rezensionen und Standortsignale lassen sich oft zusammensetzen.
Im Job geht es nicht nur um die Sicherheit einzelner Personen. Standortdaten können verraten, an welchen Standorten ein Unternehmen gerade aktiv ist, welche Kunden besucht werden, wann Führungskräfte reisen oder welche Partner sich in derselben Stadt treffen.
Das klingt abstrakt, ist aber Alltag in der OSINT-Praxis. Ein LinkedIn-Post über "spannende strategische Veränderungen", ein Instagram-Foto aus einem Restaurant, eine Hotelbewertung und ein sichtbarer Standort auf einer Karte können zusammen eine Geschichte erzählen, die noch gar nicht öffentlich sein sollte: etwa eine Übernahme, eine Restrukturierung oder einen vertraulichen Kundentermin.
Ein typisches OSINT-Muster
Ein CEO postet über eine bevorstehende strategische Veränderung. Am selben Tag tauchen ein Restaurantfoto und eine Hotelbewertung auf. Allein sagt jedes Signal wenig. Zusammen kann daraus ein Hinweis auf eine vertrauliche Verhandlung entstehen.
Fünf Regeln, die wirklich helfen
Die wichtigsten Schutzmaßnahmen sind einfach - aber sie müssen bewusst angewendet werden.
1. Standortfreigaben bewusst setzen
Erlauben Sie Standortzugriff nur, wenn die App ihn für die konkrete Funktion wirklich braucht. Wenn möglich: nur während der Nutzung, nicht dauerhaft im Hintergrund.
2. Profile privat stellen
Fitness- und Social-Media-Profile sollten nicht standardmäßig öffentlich sein. Prüfen Sie Follower, Sichtbarkeit alter Aktivitäten und automatische Teilen-Funktionen.
3. Live-Standorte begrenzen
Live-Standorte nur mit Personen teilen, denen Sie wirklich vertrauen - und nur für den Zeitraum, in dem es notwendig ist.
4. Zeitversetzt posten
Urlaubsfotos, Laufstrecken und Geschäftsreisen besser erst veröffentlichen, wenn Sie nicht mehr vor Ort sind. Echtzeit ist selten nötig.
5. Fotos vor dem Posten prüfen
Restaurantnamen, Hotelketten, Konferenzbadges, Büroschilder oder Karten im Hintergrund können mehr verraten als der eigentliche Post.
Und was ist mit "Wo ist?" und "Find My Device"?
Geräteortung ist nicht automatisch schlecht. Wenn Sie "Wo ist?" oder "Find My Device" nutzen, um die eigenen Geräte wiederzufinden, ist das in der Regel sinnvoll. Kritisch wird es erst, wenn Sie Ihren Standort dauerhaft mit anderen Personen teilen. Dann gilt dieselbe Grundregel: nur mit Menschen, denen Sie wirklich vertrauen.
Was Awareness-Teams daraus mitnehmen sollten
Für CISOs und Awareness-Verantwortliche ist die wichtigste Lehre: Standortdaten sind kein reines Datenschutzthema. Sie sind ein Alltagsthema. Mitarbeitende teilen ihren Standort meistens nicht aus Leichtsinn, sondern weil eine App nützlich ist, ein Post harmlos wirkt oder eine Funktion bequem ist.
Verbote greifen deshalb zu kurz. Wirksamer sind konkrete Szenarien: Was verrät eine Laufroute? Was steht im Hintergrund eines Fotos? Wer ist in einer WhatsApp-Gruppe wirklich dabei? Welche App braucht den exakten Standort und welche nicht? Genau solche Fragen schaffen Urteilskraft.
Das passt auch zu anderen mobilen Risiken, etwa den Verhaltensregeln aus unserem Impuls Sicher unterwegs, und zur Grundfrage aus Online-Dienste und KI-Tools: Welche Daten gebe ich an fremde Dienste weiter - und warum?
Fazit
Standortdaten wirken unspektakulär. Aber gerade unspektakuläre Daten sind gefährlich, weil sie selten Misstrauen auslösen. Ein Ort, eine Uhrzeit, ein Foto, eine Distanzangabe - einzeln harmlos, zusammen aussagekräftig.
Nicht jeder muss immer wissen, wo Sie gerade sind. Und nicht jede App muss es auch wissen.
Quellen
Le Monde, 20. März 2026: "StravaLeaks: France's aircraft carrier located in real time by Le Monde through fitness app"; Associated Press, 20. März 2026.
Follow the Money, 14. Dezember 2024: "Looking for love and sex on Tinder, soldiers endanger national security".
