ePrivacy-Studie: Nur die wenigsten Apps sind sicher

20.04.2015 - Das Beratungsunternehmen ePrivacy hat rund 730 Apps auf Datensicherheit und Datenschutz hin getestet. Im Fokus standen mobile Anwendungen, die sensible Daten �bermitteln. Das Ergebnis ist alarmierend.

"Die Reaktion auf das Angebot f�r Unternehmen, ihre Apps zu testen, war auch bei direkter Ansprache nicht besonders hoch. Das hat mich gewundert", sagt Professor Christoph Bauer, Gesch�ftsf�hrer des Beratungsunternehmens ePrivacy. Das hat jetzt doch getestet und eine Studie erstellt, die bez�glich Datensicherheit und Einhaltung des Datenschutzes bei mobilen Anwendungen erschreckende Ergebnisse liefert. Rund 730 Apps, unterteilt in die Branchen Kommunikation, Social Media, eHealth und mobiles Banking, wurden mittels einer selbstentwickelten Test-Software Labortests auf Basis eines basierten Pr�fkatalogs unterzogen. Man konzentrierte sich auf iOS- und Android-Anwendungen, von denen sensible Daten �bermittelt werden. Also Kreditkartendaten, PINs, Login-Informationen, Inhalte von Textnachrichten. Ausgew�hlt wurden die Apps aufgrund der h�chsten Download-Zahlen je Kategorie.

Das Ergebnis: Viele Anbieter werden den Anforderungen an Schutz und Sicherheit der Nutzerdaten nicht gerecht. 78 Prozent der Apps konnten die Daten nicht vor einem sogenannten Man-In-The-Middle-Angriff (MITM) sch�tzen. Die ePrivacy-Software simulierte eine dritte Partei, die sich zwischen App und Zielsystem schaltet und so versucht, Daten abzufangen. Bei 45 Prozent der Apps waren die Daten nicht noch einmal verschl�sselt: Es gelang personenbezogene und hochsensible Daten auszulesen. Bei den Kommunikations-Apps, getestet wurden hier vor allem E-Mail-Dienste, gelang das bei 68 Prozent Daten. Abfangen konnten die Tester Passw�rter, User-IDs, Inhalte, Empf�nger und Kontaktlisten. Auch bei den Banking-Apps sieht es nicht viel besser aus: "Bei 63 Prozent der Banken-Apps konnte man Benutzername und Passwort abfangen. Wenn eine IBAN verwendet wurde, konnte die auch ausgelesen werden", so Bauer. Bei Social-Media-Apps sind 60 Prozent nicht ausreichend gesch�tzt und bei den eHealth-Anwendungen liegt die Durchfallquote sogar bei 100 Prozent. Werte spezieller Zuckererkrankungen, Medikamentendosierungen, genutzter Insulinpr�parate waren f�r die "Hacker" offengelegt. Oft liegt die Angreifbarkeit der Daten alleine in der fehlerhaften Einbauung der Zertifikate, wie bei Messengern, die End-to-End-Verschl�sselung versprechen. "Oftmals sind Zertifikate nicht richtig eingebunden. Die sind zwar vorhanden, in der Umsetzung gibt es aber oft Fehler."

Beh�rden kommen mit der Pr�fung nicht hinterher

Und auch beim Datenschutz sieht es nicht viel besser aus. Bei 28 Prozent der untersuchten Apps ist �berhaupt keine Datenschutzerkl�rung �ber die App aufrufbar. Bei 37 Prozent ist sie vor dem Login nicht aufrufbar. Werden personenbezogene Daten, wie ein Login, verwendet und vom User erhoben, muss dieser laut Bundesdatenschutzgesetz davor einwilligen. In den anderen F�llen muss mindestens in der App eine Erkl�rung abgerufen werden k�nnen. "Anders, als wenn ein Dienst station�r genutzt wird, kann eine App noch auf andere Daten, zum Beispiel Kontakt- oder Kalenderinformationen, zugreifen. Deshalb gen�gt die Desktop-Datenschutzerkl�rung nicht f�r die App", erkl�rt Bauer.

Bei den Social-Media Apps fallen hier besonders viele Apps durch: 60 Prozent besitzen gar keine Erkl�rung, bei 80 Prozent konnte sie nicht vor einem Login abgerufen werden. Ein ganz klarer Gesetzesversto�. Eigentlich m�ssten da die Datenschutzbeh�rden der L�nder aktiv werden aber die k�men gar nicht hinterher, das alles zu pr�fen, sagt Bauer. Das Bayerische Landesamt f�r Datenschutzaufsicht (BayLDA) hat im vergangenen Jahr eine "Orientierungshilfe zu den Datenschutz-Anforderungen an App-Entwickler und App-Anbieter" ver�ffentlicht, die �ber alle Anforderungen an den Datenschutz informiert. Daraufhin wurden auch bei 30 Apps erhebliche M�ngel festgestellt und den Anbietern mit einem Bu�geld von bis zu 50.000 Euro, teilweise sogar bis zu 300.000 Euro, gedroht. Dennoch gibt es weit mehr Apps als die Beh�rden mit ihren geringen Kapazit�ten �berpr�fen k�nnen.

Die mobile Nutzung steigt st�ndig. Manche Studien wollen gar belegen, dass sie die Desktop-Nutzung im privaten Bereich schon �bertroffen habe. Und besonders gerne nutzen User Apps, nicht den mobilen Browser. "Das Thema Apps ist noch ein sehr junges Thema. Oftmals wurde und wird die App-Entwicklung ausgelagert, auch an freie Entwickler. Bisher war noch gar nicht bekannt, welche Sicherheitsstandards man einhalten muss. Da wurden traditionelle IT-Standards oft unterlaufen", erkl�rt sich Christoph Bauer die Misere. Doch aktuell haben die Hacker die gravierenden M�ngel noch nicht stark auf dem Schirm. Der MITM-Angriff werde im Mobile-Bereich noch nicht so viel genutzt. Auch dank der User, deren Vertrauen in die Kombination hochsensible Daten plus App noch nicht besonders gro� ist. "Wenn der Umgang mit Anwendungen wie Mobile Banking steigt, wird aber sicher auch die Anzahl der Hacker-Angriffe steigen." Doch auch der Umkehrschluss gilt: W�ren Apps ausreichend gesch�tzt, k�nnte das den Durchbruch f�r das Mobile Payment und Banking bedeuten, auf den schon so lange gewartet wird.

Doch mit der freiwilligen Pr�fung und auch dem Siegel, das ePrivacy f�r sichere und datenschutzkonforme Apps anbietet, l�uft es noch nicht wie erwartet. "Die, die sich pr�fen lassen, wollen meistens nur Pr�fung, Analyse und Beratung, aber nicht das ePrivacy App-Siegel. Das w�rde sagen: `Wir waren vorher nicht sauber und sind es erst jetzt.` Da ist man in diesem Bereich sehr sensibel." Nat�rlich will Bauer keine Namen unsicherer Apps nennen. Man will ja keine Reaktanz in der Branche erzeugen. Schlie�lich ist auch ePrivacy ein kommerzielles Unternehmen, das vom Testen und Beraten in diesem Bereich lebt.

Obwohl er ohnehin keine Apps nutzt, bei der hochsensible Daten eingegeben werden m�ssen, hat Bauer auch pers�nlich aus der Studie gelernt: "Einmal habe ich bei einem gro�en deutschen Mobilit�tsunternehmen Tickets bestellt in der App, da musste man auch Zahlungsinformationen eingeben. Das w�rde ich heute nicht mehr tun." (ks)

Diskussion:

Kommentar hinzuf�gen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vortr�ge zum Thema:

Bild: Markus B�ckle

Markus B�ckle (econda GmbH)

Die Herausforderungen im Datenschutz 2023 bew�ltigen

Datenschutzkonforme Personalisierungs- und Analyticsl�sungen werden f�r die Zukunft immer wichtiger. Wir zeigen Dir, welche M�glichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

Diese Herausforderungen gibt es 2023 durch den Datenschutz:
- Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten k�nnen.
- Wie Du das Kostenargument bew�ltigst
- Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
- Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken
Vortrag im Rahmen der Zukunftskonferenz 2023. Trends f�r ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr

eBakery

Die eCommerce Agentur f�r Ihren digitalen Erfolg: Von der Planung bis zum Live-Betrieb Ihrer Idee sind wir als 360 Grad eCommerce Agentur stets an Ihrer Seite. Sie haben schon einen Shop? Dann optimieren wir ihn um Sie ganz nach vorne zu bringen. …

Campaign - part of Bertelsmann Marketing Services

Als Teil der Bertelsmann Marketing Services erarbeitet Campaign seit �ber 25 Jahren unterschiedlichste Marketing- und Kommunikationsl�sungen mit der passenden Technologie und Ergebnisanalyse. Ob digitaler oder klassischer Kommunikationskanal: Campaig…

LOXXESS AG

Die LOXXESS AG ist ein spezialisierter Logistikdienstleister mit Schwerpunkt auf komplexe Outsourcing-Projekte in Industrie und Handel. Das mittelst�ndische, familiengef�hrte Unternehmen entwickelt f�r seine Kunden ma�geschneiderte L�sungen in den Be…

Akima Media

Die Akima Media GmbH (Mitglied in der DPRG) ist eine Full-Service-Kommunikationsberatung mit Sitz in M�nchen. 1995 als klassische PR-Agentur gestartet, haben wir unser Portfolio stetig weiterentwickelt und bieten heute wirkungsvolle Digitalkommunikat…

Schober Information Group Deutschland GmbH

Die Schober Information Group Deutschland GmbH ber�t und unterst�tzt Kunden strategisch mit On- und Offline-L�sungen sowie bei der systematischen Umsetzung von crossmedialen Kommunikations-, Werbe- und Verkaufsstrategien.

real media technic STAUDACHER GmbH

Grafik/ Fotografie/ Video, Software-Spezialanwendungen/ -dienstleistungen, Datenbanksysteme, Media-/Vermarktungsleistungen, Marketing, Direkt-Marketing (Kreation / Konzeption), Handelsmarketing

a+s DialogGroup GmbH

LET?S SKIP THE BLA! a+s DialogGroup GmbH ist eine der f�hrenden 360-Grad-Agenturen f�r Dialogmarketing. Wir machen Dialoge nicht nur einzigartig, sondern messbar. Handfeste Daten verraten uns schonungslos, wie unsere Kunden bei ihrer Zielgruppe in…

gkk dialogGroup GmbH

Wir glauben daran: nichts begeistert mehr als gute Dialoge. Begeisterung ist der Antrieb von allem - und begeisternde Dialoge sind die Grundlage f�r Fortschritt. Als f�hrende Customer Experience Management - Agentur Deutschlands gestalten wir die Zuk…

Optimizely GmbH

Optimizely unterst�tzt Unternehmen und Organisationen dabei, ihr digitales Potenzial auszusch�pfen. Mit der Digital-Experience-Plattform (DXP) setzt der f�hrende E-Commerce-Spezialist neue Ma�st�be in der Entwicklung hyper-personalisierter und dateng…

panadress marketing intellignce GmbH

panadress marketing intelligence geh�rt zu den f�hrenden Marketing-Data-Providern in Deutschland. Wir unterst�tzen unsere Kunden, Marketing und Vertrieb kundenzentriert auszurichten, um ihre Marktposition zu st�rken und weiter auszubauen. Mit der Pow…