Whitepaper: Datensicherheit und Datenschutz von Apps

Exposé

Datensicherheit und Datenschutz von mobilen Anwendungen sind ein Thema, das für Nutzer und Anbieter hochrelevant ist. Viele Konsumenten sind zurückhaltend bei der Nutzung von Apps, da sie Mängel beim Schutz und bei der Sicherheit ihrer personenbezogenen und anderer Daten befürchten. Für Anbieter ist es schwierig, aktuelle Sicherheitsanforderungen abzudecken, da Technologien sich weiterentwickeln und damit die Anforderungen an Datenschutz und Datensicherheit steigen. Dies trifft gerade auf mobile Apps mit ihren vielfältigen Funktionen und Anwendungsbereichen zu.

ePrivacy hat in Labortests rund 730 Apps auf Basis eines fundierten Prüfkatalogs im Hinblick auf Datensicherheit und Datenschutz analysiert. Dabei verfolgt ePrivacy das Ziel, einen Beitrag zur Verbesserung der Datensicherheit und des Datenschutzes zu leisten. Dieses Whitepaper gibt einen Überblick über den aktuellen Stand in punkto Datensicherheit und Datenschutz bei mobilen Apps, beschreibt das angewandte Prüfverfahren und präsentiert die wichtigsten Testergebnisse. Die vorliegende Analyse will Anwender und Anbieter über die aktuelle Situation aufklären, konkrete Lücken aufzeigen und Empfehlungen zur Verbesserung der Datensicherheit und des Datenschutzes mobiler Anwendungen geben.

Executive Summary

Die Labortests legten offen, dass viele Anbieter von mobilen Anwendungen (Apps) grundlegenden Anforderungen an Sicherheit und Schutz von Nutzerdaten nicht gerecht werden. Die vorliegende Studie konzentriert sich dabei auf mobile Anwendungen, von denen häufig sensible Daten übermittelt werden, deren Missbrauch einen erheblichen wirtschaftlichen Schaden zur Folge haben kann. Zu solchen Daten gehören etwa Kreditkartendaten der Nutzer, PINs, Login-Daten oder Inhalte von Textnachrichten.

Auslesbarkeit von personenbezogenen Daten wie Kontodaten, PINs und Kontaktlisten

Apps lassen sich bezüglich Inhalt und Funktion in verschiedene Kategorien einteilen. In fast allen Kategorien konnten Mängel beim Schutz personenbezogener Daten festgestellt werden. Über 60% der getesteten Apps aus dem Bereich Kommunikation gaben ungeschützt Informationen der Nutzer, wie etwa empfangene Textnachrichten oder Kontaktlisten preis. Auch wurde nicht immer eine SSL-Verschlüsselung verwendet. Kontodaten, PINs und Überweisungen konnten bei über der Hälfte aller Banking-Apps abgefangen werden. Ebenso war es bei 60% der Apps aus der Kategorie Social Media möglich, Datenverkehr abzufangen und auszulesen. Bei diesen Daten handelt es sich beispielsweise um Textnachrichten, Bilder und Kontaktlisten. Schlechte Ergebnisse gab es auch in der Kategorie eHealth. Hier ließen sich bei ausnahmslos allen geprüften Apps die personenbezogenen Daten und weitere Daten auslesen. Außerdem wurde überwiegend keine SSL-Verschlüsselung eingesetzt.

Kontaktdaten des Anbieters fehlen häufig

Damit die Nutzer sich bei datenschutzrechtlichen Problemen mit dem Anbieter in Verbindung setzen können, sollten Kontaktdaten angegeben werden. Besonders die Ergebnisse der Social-Media-Apps waren bezeichnend; Mehr als die Hälfte der Anbieter (60%) geben keine Kontaktdaten innerhalb der Anwendung an.

Fehlende Verfügbarkeit der Datenschutzerklärung vor und nach dem Login

Von großer Bedeutung ist auch die Datenschutzerklärung einer App. Bestenfalls sollte sie bereits vor einem potenziellen Login aufrufbar sein, um den Nutzer darüber aufzuklären, was mit seinen Daten geschieht. Im Bereich „Mobile Banking“ konnte die Datenschutz-erklärung bei über einem Drittel der Apps (35%) vor dem Login nicht aufgerufen werden. Apps der Kategorie Kommunikation bieten zu 32% weder vor noch nach dem Login eine Datenschutzerklärung an. Bei den Social-Media- und E-Health-Apps wurden ebenfalls schlechte Werte ermittelt.