Apps sind ständige Begleiter für Nutzer von Smartphones und Tablets. Ihr Potenzial entfalten sie in der Regel erst mit den verwendeten Nutzerdaten. Sind diese nicht ausreichend geschützt, können sie von Hackern und Datensammlern abgefangen werden. Oft sind davon sogar die populärsten Apps in den Stores betroffen.
Die Experten für Mobile Security und Anbieter von IT-Sicherheitsdienstleistungen von mediaTest digital und TÜViT (TÜV NORD GROUP) warnen insbesondere vor der unverschlüsselten Übertragung vertraulicher Informationen und Datenschutzverstößen. Im Testlabor von mediaTest digital werden täglich Apps für alle gängigen Betriebssysteme auf Datensicherheit und die Einhaltung von Datenschutzrichtlinien des deutschen Bundesdatenschutzgesetzes geprüft.
Anhand der drei beliebten Apps "DFB" (iOS), "wetter.de" (Android) und "Weight Watchers" (Android) stellen die Fachleute Anwendungen mit schwerwiegenden Sicherheits- und Datenschutzverstößen vor.
DFB (iOS)
Mit der offiziellen DFB-App erhalten Fußballinteressierte Informationen und Neuigkeiten zu deutschen Nationalmannschaften und Ligen. Um über die Profis und Turniere auf dem Laufenden zu bleiben, ist die iOS-App hilfreich, jedoch ist sie sicherheitstechnisch äußerst problematisch: Passwort, Benutzername, Vorname, Nachname, Adresse, Telefonnummer und E-Mail-Adresse werden unverschlüsselt an den App-Anbieter übertragen. Insbesondere die unverschlüsselte Übertragung des Passworts birgt Risiken, die weit über das einzelne Konto hinausgehen. Alle Konten, in denen das gleiche Passwort genutzt wird, sind damit bedroht.
Die Experten von mediaTest digital empfehlen Nutzern der DFB-App für iOS, ihren Account zu löschen und die App zu deinstallieren. Anschließend sollten unbedingt die Passwörter aller Dienste geändert werden, in denen dasselbe Passwort verwendet wird. Die Sicherheitslücke der DFB-App ist leider kein Einzelfall. Doch obwohl es für Verbraucher kaum ersichtlich ist, ob eine Anwendung Passwörter unverschlüsselt überträgt, können Nutzer mit einfachen Verhaltensregeln für mehr Sicherheit sorgen: Es sollte niemals dasselbe Passwort für mehrere Dienste verwendet werden.
Zudem sollten Passwörter regelmäßig geändert werden. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt eine Länge von mindestens zwölf Zeichen und die Verwendung von Groß- und Kleinbuchstaben sowie Sonderzeichen.
wetter.de (Android)
Die Android-App "wetter.de" ist die mobile Version des Dienstes für Wetterberichte und ?vorhersagen von RTL interactive. Während sich die iOS-App noch relativ "harmlos" verhält und lediglich den Standort unverschlüsselt überträgt, hat es die Android-App umso mehr in sich: Hier werden die eindeutige Gerätekennung IMEI (International Mobile Equipment) sowie exakte Standortdaten unverschlüsselt an ein Werbe- und Analytics-Netzwerk übertragen. Dass darüber hinaus Suchanfragen und die Android Werbe-ID ohne Verschlüsselung übermittelt werden, wirkt daneben fast trivial.
Die IMEI fungiert als Fingerabdruck von mobilfunkfähigen Geräten. Sie spielt beispielsweise beim Sperren von gestohlenen oder verloren gegangenen Mobiltelefonen eine Rolle. Eine unverschlüsselte Übertragung der IMEI-Nummer an fremde Server – im Fall von wetter.de an ein Werbe- und Analytics-Netzwerk – ermöglicht die Erstellung von Nutzerprofilen durch unbefugte Dritte.
mediaTest digital warnt davor, dass die IMEI bei fehlender Verschlüsselung für Hacker mit Leichtigkeit abzufangen sei. Auch die unverschlüsselte Übertragung von Standortdaten ist bedenklich. Von der Nutzung der "wetter.de"-App für Android wird in Anbetracht der Sicherheitsverstöße abgeraten. Insgesamt machen sich nur wenige App-Anbieter die Mühe, Lokalisierungsdaten zu verschlüsseln. Daher sollte nach Möglichkeit auf standortbasierte Informationsdienste verzichtet werden, so die Fachleute von mediaTest digital und TÜViT.
Weight Watchers (Android)
Der Vorsatz, mit Hilfe von Diäten und Fitnessprogrammen abzunehmen, ist weit verbreitet. Während sich Weight Watchers als Anbieter für Diätpläne großer Beliebtheit erfreut, ist die Android-App in Punkto Datenschutz und Sicherheit problematisch. Im Security-Test wurde die unverschlüsselte Übertragung der Android Geräte-ID an ein Werbe?Netzwerk festgestellt. Zudem übermittelt die App sowohl Standortdaten an den Anbieter als auch unverschlüsselte Suchanfragen an einen Kartendienst.
Ebenfalls unverschlüsselt findet die Übermittlung von Suchanfragen und Lebensmitteleinträgen an ein Analytics-Netzwerk statt.. Weight Watchers für Android ist eine von vielen Apps, die anstelle der von Google vorgeschriebenen Werbe?ID die Geräte-ID zu Werbezwecken verwendet.
Die Verwendung der Werbe-ID hat für Nutzer zwei entscheidende Vorteile: In den Geräteeinstellungen kann der Verwendung der Werbe-ID zu interessenbasierter Werbung widersprochen werden. Zudem kann die Werbe-ID jederzeit zurückgesetzt werden. Bei der Geräte-ID ist dies nur über Umwege möglich. Indem Weight Watchers die Geräte-ID an ein Werbenetzwerk überträgt, widersetzt sich die App den "Google Play-Programmrichtlinien für Entwickler" und missachtet das Recht der Nutzer auf angemessene Verwendung ihrer Daten.