SECURITY POLICIES

8 Arten von Apps, die Ihre Daten gefährden können

Lesedauer 9 Min.

Wie viele Apps haben Sie auf Ihren Geräten installiert? Vermutlich sind es viel mehr, als Ihnen spontan einfällt. Heutzutage nutzen wir Apps für fast alles, von der Kommunikation mit anderen bis zur elektronische Einkaufsliste. Leider weisen viele Anwendungen Mängel und Sicherheitslücken auf. So gefährden sie unter Umständen die Sicherheit der Daten - gerade dienstlich genutzter Geräte - teils massiv.

Gerade auf mobilen Geräten werden wertvolle Daten gespeichert – seien es unsere eigenen, die von Arbeitgebern, Kollegen oder Kunden. So lässt sich nicht nur Werbung individualisiert einspielen, sondern lassen sich die sensiblen Informationen sogar gewinnbringend verkaufen. Da sich viele App-Anbieter außerhalb der Europäischen Union befinden (und deren Cloud-Server), ist die EU-Datenschutzgrundverordnung (DSGVO) für sie nur eine wenig beachtenswerte Randnotiz. Vor diesem Hintergrund sollten wir beim Verwenden von Applikationen höchste Vorsicht walten lassen und unsere Daten bestmöglich schützen. Denn niemand möchte als komplett gläserne Person im Internet ausgenutzt werden.

Beliebte Apps und damit verbundene Risiken

Das Problem mit dem Datenschutz beginnt bereits vor dem ersten Aufrufen des Programms. Die meisten von uns lesen AGBs (Allgemeine Geschäftsbedingungen) – wenn überhaupt – eher nachlässig. Wenn wir eine neue App installieren oder uns auf einer neuen Website anmelden wollen, klicken wir alle entsprechenden Hinweise eher genervt weg. Und so machen wir den Weg frei für das hemmungslose Abzapfen von Fotos, Kontakten, Standort oder Gesundheitsdaten.

Dabei sollten wir vor allem dann aufmerksam sein, wenn eine App oder ein Dienst Zugriff auf sensible Daten anfordert – und erst recht, wenn diese für das Funktionieren der Anwendung nicht wichtig sind. Das gilt übrigens nicht nur für unsere privaten persönlichen Daten, sondern ebenso  für dienstliche Informationen.

TOS:DR – Terms of Service: Didn’t Read 

Die Website „Terms of Service: Didn’t Read“ und das entsprechende Browser-Plugin helfen, die AGB verschiedener Apps in Sachen Datenschutz zu bewerten. Zwar kann die Einordnung in die Kategorien A (sehr hoher Datenschutz) bis F (sehr geringer Datenschutz) keinen kompletten Überblick darüber geben, wie datensicher eine App wirklich ist. Sie hilft aber, Nutzern näherzubringen, worauf sie bei der Auswahl achten sollten. 

Werfen wir einen Blick auf besonders beliebte Apps, die ein potenzielles Risiko für die Datensicherheit im Unternehmen darstellen:

1. KI-(künstliche Intelligenz) basierte Anwendungen

Seit 2022 erobern fortschrittliche maschinelle Lernsprachmodelle wie ChatGPT das Internet. Auf den ersten Blick scheint ChatGPT ein praktisches Tool zu sein, das komplexe Texte zusammenfasst, neue Geschäftsideen entwickelt oder beim Schreiben einer Antwort auf eine wichtige E-Mail hilft. Allerdings sollte man sich bewusst sein, dass die Entwickler jeden Ihrer Eingaben nutzen können, um die Funktionalität von ChatGPT zu verbessern. Es sammelt nicht nur Ihre Kontodaten und Geräteinformationen, sondern auch alle Daten, die Sie der Anwendung freigeben. Dies birgt ein ernsthaftes Risiko und es wurde bereits ein Datenleck bei ChatGPT bestätigt. Dieses wurde durch eine Sicherheitslücke in einer Open-Source-Bibliothek verursacht, die es ChatGPT-Benutzern ermöglichte, Chatdaten anderer Benutzer einzusehen.

Die fragwürdige Sicherheit der OpenAI-Tools hat besorgte Reaktionen verschiedener Behörden hervorgerufen. Italien beispielsweise verbot ChatGPT im März 2023 mit der Begründung, dass "die massenhafte Erhebung und Speicherung personenbezogener Daten zum 'Training' des Algorithmus" keine rechtliche Grundlage habe. Nur einen Monat später hob Italien das Verbot jedoch auf. Der Grund: OpenAI hatte seine Datenrichtlinie geändert, um Benutzern zu ermöglichen, entsprechende Einstellungen vorzunehmen, die verhindern, dass ChatGPT ihre Eingaben zur Verbesserung der Technologie verwendet.

Selbst der Technologieriese Samsung hat seinen Mitarbeitern verboten, ChatGPT und andere generative KI-Tools am Arbeitsplatz zu verwenden. Diese Entscheidung wurde getroffen, nachdem vertrauliche Daten, einschließlich des Quellcodes des Unternehmens, von Mitarbeitern, die ChatGPT verwendeten, online geleakt wurden. Das Unternehmen überprüft nun Sicherheitsmaßnahmen, um eine sichere Umgebung für den sicheren Einsatz generativer KI zu schaffen, und entwickelt angeblich seinen eigenen KI-Dienst für Mitarbeiter.

Benutzer von ChatGPT müssen sich bewusst sein, dass das Eingeben persönlicher oder sensibler Informationen in den Chat - sei es die eigenen, die des Arbeitgebers oder der Kunden - die Datensicherheit gefährden kann. Am besten ist es, keine vertraulichen Daten mit generativen KI-Tools zu teilen, um zu vermeiden, dass sie online durchsickern, da dies auch den Ruf eines Unternehmens schädigen kann. 

 

2. Kostenlose Übersetzungstools

Die Umwandlung von Texten in verschiedene Sprachen macht sehr viel Arbeit. Einfach geht es mit Übersetzungstools. Gerade wenn größere Mengen Text eingegeben werden, können sie aber zum Sicherheitsrisiko für das ganze Unternehmen werden. Ein einzelnes Wort übersetzen zu lassen, ist sicherlich ungefährlich. Problematisch wird es, wenn man ganze Absätze oder sogar Dokumente übersetzen lässt. Kopiert beispielsweise ein Mitarbeiter der Rechtsabteilung den Inhalt eines vertraulichen Vertragsdokuments in eine nicht sichere Übersetzungsapp, kann das fatale Folgen haben: Verstoß gegen die DSGVO, Weitergabe von hochsensiblen Unternehmensdaten und Betriebsgeheimnissen usw. Achten Sie penibel darauf, welche Daten Sie in Übersetzungstools eingeben. Seien Sie besonders vorsichtig bei kostenfreien Online- oder Offline-Übersetzern, deren Geschäftsmodell im besten Fall das Anzeigen von passender Reklame ist.

3. Konvertierungstools

Das Dokument ist zu groß für die E-Mail, das Word-Dokument muss schnell in ein PDF umgewandelt werden? Kostenlose Konvertierungstools versprechen Abhilfe. Im Grunde gelten alle Punkte des vorigen Punktes auch hier. Für die Konvertierung müssen die Dateien immer zu irgendeinem Cloud-Server hochgeladen werden – ein potenzielles Sicherheitsrisiko. Verwenden Sie daher immer nur solche Apps, die vorher durch Ihre IT-Abteilung als sicher klassifiziert wurden. Und denken Sie vor dem Absender darüber nach, was Sie gerade in fremde Hände geben.

4. Geteilte Online-Kalender

Geteilte Kalender arbeiten meist mit Kontaktlisten. Wenn Sie Ihren Kalender mit jemandem teilen, bekommt der Anbieter potenziell Zugriff auf sensible Informationen, und sei es nur die E-Mail-Adresse des Empfängers. Ist die App also nicht gut abgesichert, stellt sie ein mögliches Risiko des ungewollten Datentransfers dar. Zusätzlich sind nicht alle Kalender-Apps intuitiv verständlich, sodass Nutzer oftmals Daten mit anderen teilen, ohne es zu wollen. So wissen sie manchmal nicht, ob der geteilte Kalender tatsächlich nur bei dem entsprechenden Kollegen ankommt oder ob nicht doch ein Dritter Einblick bekommen kann.

5. Notizen- und Journal-Apps

Bei Notizen-Apps kommt es sehr darauf an, wofür Sie sie verwenden. Nutzen Sie diese nur als elektronischen Einkaufzettel, ist das meist unproblematisch. Schwieriger wird es, wenn Sie Mitschriften aus internen Meetings oder gar Passwörter in der App notieren (für letztere sollten Sie übrigens immer einen Password Manager verwenden). In Notizen-Apps können oft auch Fotos, Videos oder Sprachaufnahmen abgelegt werden. Das erweitert das Spektrum der Daten, die darüber geleakt werden können.

6. Öffentlich zugängliche Filesharing-Apps

Werden Filesharing-Apps falsch verwendet, können Fremde Zugriff auf sensible Daten bekommen. Zugangslinks sollten daher immer nur mit denjenigen geteilt werden, für deren Augen sie bestimmt sind. Gleichzeitig arbeiten die meisten Filesharing-Dienste in der Cloud. Wird der Anbieter oder ein einzelner Account kompromittiert, können sensible Daten nach außen gelangen. Transparente (!) Verschlüsselungslösungen – entweder direkt in der App oder außerhalb davon – helfen, die Datensicherheit zu erhöhen.

7. Messenger

Über Messenger versenden wir Dateien, Text- oder Sprachnachrichten, Fotos und Videos oder starten Sprach- oder Videocalls. Entsprechend viele Berechtigungen verlangen die Apps auf den Geräten, z.B. Zugriff auf die Kamera, das Mikrofon oder die auf dem Gerät gespeicherten Daten. Zusätzlich arbeiten nicht alle Messenger mit einer zuverlässigen Verschlüsselungstechnologie. Werden sie angegriffen, haben Hacker Zugriff auf alle gespeicherten Daten, darunter viele sensible und personenbezogene Daten.

Abhilfe kann eine Verschlüsselung leisten, wenn sie richtig eingesetzt wird. Die meisten Messengerdienste verschlüsseln die Daten auf ihrem Weg durch das Netz („Data in Motion“). Einige bieten zusätzlich eine Ende-zu-Ende-Verschlüsselung. Hierdurch wird es selbst für den App-Anbieter unmöglich, die Nachrichten zu entschlüsseln. Lediglich die kommunizierenden Parteien sind in der Lage, die Nachrichten zu lesen.

8. Smart Apps für Remote-Steuerung

Schauen, was der Hund zuhause macht oder von der Arbeit aus schon mal die Heizung zuhause hochdrehen? Kein Problem mit Apps für die Steuerung von SmartHome-Geräte. Dazu notwendige Anwendungen sind für Angreifer eine beliebte Spielwiese. Geraten sie in falsche Hände, erhalten Fremde Zugriff auf das SmartHome, können es nach Belieben steuern und darauf gespeicherte Daten stehlen.

Alle hier genannten Apps speichern Daten oft in der Cloud, die wiederum ein eigenes Sicherheitsrisiko darstellen kann. Weiterhin besteht immer die Gefahr, dass die Dienste, die hinter der Cloud stehen, ausfallen. Was geschieht dann mit den gespeicherten Daten? Nicht vergessen sollten wir auch, dass gerade kostenfreie Apps ein Geschäftsmodell benötigen, um sich zu tragen. Die Finanzierung läuft meist über Werbung, Spenden, die Nutzung von Daten für eigene Zwecke oder den Verkauf von Daten an Dritte. Letzteres muss in den AGB aufgeführt und aktiv bestätigt werden. Hier lohnt es sich, eben doch etwas Zeit in das Lesen der Geschäftsbedingungen zu investieren und genau zu prüfen, welches Sicherheitsrisiko Sie mit der Verwendung der App eingehen.

Der Fall Roe vs. Wade: Wenn Daten plötzlich besonders schützenswert werden 

Welch (schlimme) Folgen das unbeabsichtigte Herausgeben sensibelster Daten haben kann, zeigt ein aktuelles Beispiel aus den USA: Dort wurden nach der Entscheidung des Surpreme Court in einigen Bundesstaaten Abtreibungen für illegal erklärt. In der Folge wurde Frauen davon abgeraten, Zyklus- oder vergleichbare Apps zu nutzen. Verschiedene Quellen hatten gezeigt, dass diese Apps nun gegen ihre Nutzerinnen verwendet werden könnten – beispielsweise wenn es darum ging, potenziell illegale Abtreibungen zu verfolgen. Wie die Washington Post schreibt, können die App-Daten „im Rahmen polizeilicher Ermittlungen über die IP-Adresse einzelnen Personen zugeordnet werden.“
Das Beispiel zeigt: Daten und Informationen, die normalerweise eher als private Informationen behandelt werden, können durchaus sehr schnell höchst sensibel werden..

 

Bei Fragen: IT oder Security-Experten fragen

 

Apps machen uns das Leben leichter, im Privatleben ebenso wie bei der Arbeit. Doch wo Licht ist, ist auch Schatten: Jede Anwendung birgt ihre eigenen Risiken. Nicht immer ist es Ihnen möglich, alle Gefahren zu erfassen und einzuschätzen. Scheuen Sie insbesondere im Arbeitsleben nicht davor zurück, Ihre IT-Abteilung oder das Security-Team um Rat zu bitten. Die Experten wissen am besten, welche Apps Sie installieren oder deren Online-Ableger verwenden dürfen. Und welche Alternativen vielleicht die bessere und sichere Wahl sind.