SECURITY POLICIES

Datenkraken auf dem Handy: Vorsicht vor diesen 7 Apps

16 Nov 2022

    Erst mit den richtigen Apps machen Smartphones so richtig Spaß: bei der Kommunikation mit Freunden und Kollegen, auf Social Media, beim Sport oder als elektronische Einkaufsliste. Leider weisen viele Anwendungen Mängel und Sicherheitslücken auf. So gefährden sie unter Umständen die Sicherheit der Daten - gerade dienstlich genutzter Geräte - teils massiv.

    Wie viele Apps haben Sie auf Ihrem Smartphone installiert? Vermutlich sind es viel mehr, als Ihnen spontan einfällt. Einige nutzten Sie täglich, andere haben Sie vielleicht schon wieder vergessen. Eines haben aber alle Anwendungen gemeinsam: einen unstillbaren Hunger nach Daten. Und dabei beschränkt es sich nicht auf die Telefonnummer oder die aktuelle Position. Je sensibler und personenbezogener die gespeicherten Informationen sind, desto wertvoller werden sie für die App-Anbieter.

     

    Sie haben schnell erkannt, dass gerade auf mobilen Geräten wertvolle Daten gespeichert werden – seien es unsere eigenen, die von Arbeitgebern, Kollegen oder Kunden. So lässt sich nicht nur Werbung individualisiert einspielen, sondern lassen sich die sensiblen Informationen sogar gewinnbringend verkaufen. Da sich viele App-Anbieter außerhalb der Europäischen Union befinden (und deren Cloud-Server), ist die EU-Datenschutzgrundverordnung (DSGVO) für sie nur eine wenig beachtenswerte Randnotiz. Vor diesem Hintergrund sollten wir beim Verwenden von Applikationen höchste Vorsicht walten lassen und unsere Daten bestmöglich schützen. Denn niemand möchte als komplett gläserne Person im Internet ausgenutzt werden.

     

    Beliebte Apps und damit verbundene Risiken

    Das Problem mit dem Datenschutz beginnt bereits vor dem ersten Aufrufen des Programms. Die meisten von uns lesen AGBs (Allgemeine Geschäftsbedingungen) – wenn überhaupt – eher nachlässig. Wenn wir eine neue App installieren oder uns auf einer neuen Website anmelden wollen, klicken wir alle entsprechenden Hinweise eher genervt weg. Und so machen wir den Weg frei für das hemmungslose Abzapfen von Fotos, Kontakten, Standort oder Gesundheitsdaten.

    Dabei sollten wir vor allem dann aufmerksam sein, wenn eine App oder ein Dienst Zugriff auf sensible Daten anfordert – und erst recht, wenn diese für das Funktionieren der Anwendung nicht wichtig sind. Das gilt übrigens nicht nur für unsere privaten persönlichen Daten, sondern ebenso  für dienstliche Informationen.

     

    TOS:DR – Terms of Service: Didn’t Read 

    Die Website „Terms of Service: Didn’t Read“ und das entsprechende Browser-Plugin helfen, die AGB verschiedener Apps in Sachen Datenschutz zu bewerten. Zwar kann die Einordnung in die Kategorien A (sehr hoher Datenschutz) bis F (sehr geringer Datenschutz) keinen kompletten Überblick darüber geben, wie datensicher eine App wirklich ist. Sie hilft aber, Nutzern näherzubringen, worauf sie bei der Auswahl achten sollten. 

     

    Werfen wir einen Blick auf besonders beliebte Apps, die ein potenzielles Risiko für die Datensicherheit im Unternehmen darstellen:

     

    1. Kostenlose Übersetzungstools

    Die Umwandlung von Texten in verschiedene Sprachen macht sehr viel Arbeit. Einfach geht es mit Übersetzungstools. Gerade wenn größere Mengen Text eingegeben werden, können sie aber zum Sicherheitsrisiko für das ganze Unternehmen werden. Ein einzelnes Wort übersetzen zu lassen, ist sicherlich ungefährlich. Problematisch wird es, wenn man ganze Absätze oder sogar Dokumente übersetzen lässt. Kopiert beispielsweise ein Mitarbeiter der Rechtsabteilung den Inhalt eines vertraulichen Vertragsdokuments in eine nicht sichere Übersetzungsapp, kann das fatale Folgen haben: Verstoß gegen die DSGVO, Weitergabe von hochsensiblen Unternehmensdaten und Betriebsgeheimnissen usw. Achten Sie penibel darauf, welche Daten Sie in Übersetzungstools eingeben. Seien Sie besonders vorsichtig bei kostenfreien Online- oder Offline-Übersetzern, deren Geschäftsmodell im besten Fall das Anzeigen von passender Reklame ist.

     

    2. Konvertierungstools

    Das Dokument ist zu groß für die E-Mail, das Word-Dokument muss schnell in ein PDF umgewandelt werden? Kostenlose Konvertierungstools versprechen Abhilfe. Im Grunde gelten alle Punkte des vorigen Punktes auch hier. Für die Konvertierung müssen die Dateien immer zu irgendeinem Cloud-Server hochgeladen werden – ein potenzielles Sicherheitsrisiko. Verwenden Sie daher immer nur solche Apps, die vorher durch Ihre IT-Abteilung als sicher klassifiziert wurden. Und denken Sie vor dem Absender darüber nach, was Sie gerade in fremde Hände geben.

     

    3. Geteilte Online-Kalender

    Geteilte Kalender arbeiten meist mit Kontaktlisten. Wenn Sie Ihren Kalender mit jemandem teilen, bekommt der Anbieter potenziell Zugriff auf sensible Informationen, und sei es nur die E-Mail-Adresse des Empfängers. Ist die App also nicht gut abgesichert, stellt sie ein mögliches Risiko des ungewollten Datentransfers dar. Zusätzlich sind nicht alle Kalender-Apps intuitiv verständlich, sodass Nutzer oftmals Daten mit anderen teilen, ohne es zu wollen. So wissen sie manchmal nicht, ob der geteilte Kalender tatsächlich nur bei dem entsprechenden Kollegen ankommt oder ob nicht doch ein Dritter Einblick bekommen kann.

     

    4. Notizen- und Journal-Apps

    Bei Notizen-Apps kommt es sehr darauf an, wofür Sie sie verwenden. Nutzen Sie diese nur als elektronischen Einkaufzettel, ist das meist unproblematisch. Schwieriger wird es, wenn Sie Mitschriften aus internen Meetings oder gar Passwörter in der App notieren (für letztere sollten Sie übrigens immer einen Password Manager verwenden). In Notizen-Apps können oft auch Fotos, Videos oder Sprachaufnahmen abgelegt werden. Das erweitert das Spektrum der Daten, die darüber geleakt werden können.

     

    5. Öffentlich zugängliche Filesharing-Apps

    Werden Filesharing-Apps falsch verwendet, können Fremde Zugriff auf sensible Daten bekommen. Zugangslinks sollten daher immer nur mit denjenigen geteilt werden, für deren Augen sie bestimmt sind. Gleichzeitig arbeiten die meisten Filesharing-Dienste in der Cloud. Wird der Anbieter oder ein einzelner Account kompromittiert, können sensible Daten nach außen gelangen. Transparente (!) Verschlüsselungslösungen – entweder direkt in der App oder außerhalb davon – helfen, die Datensicherheit zu erhöhen.

     

    6. Messenger

    Über Messenger versenden wir Dateien, Text- oder Sprachnachrichten, Fotos und Videos oder starten Sprach- oder Videocalls. Entsprechend viele Berechtigungen verlangen die Apps auf den Geräten, z.B. Zugriff auf die Kamera, das Mikrofon oder die auf dem Gerät gespeicherten Daten. Zusätzlich arbeiten nicht alle Messenger mit einer zuverlässigen Verschlüsselungstechnologie. Werden sie angegriffen, haben Hacker Zugriff auf alle gespeicherten Daten, darunter viele sensible und personenbezogene Daten.

    Abhilfe kann eine Verschlüsselung leisten, wenn sie richtig eingesetzt wird. Die meisten Messengerdienste verschlüsseln die Daten auf ihrem Weg durch das Netz („Data in Motion“). Einige bieten zusätzlich eine Ende-zu-Ende-Verschlüsselung. Hierdurch wird es selbst für den App-Anbieter unmöglich, die Nachrichten zu entschlüsseln. Lediglich die kommunizierenden Parteien sind in der Lage, die Nachrichten zu lesen.

     

    7. Smart Apps für Remote-Steuerung

    Schauen, was der Hund zuhause macht oder von der Arbeit aus schon mal die Heizung zuhause hochdrehen? Kein Problem mit Apps für die Steuerung von SmartHome-Geräte. Dazu notwendige Anwendungen sind für Angreifer eine beliebte Spielwiese. Geraten sie in falsche Hände, erhalten Fremde Zugriff auf das SmartHome, können es nach Belieben steuern und darauf gespeicherte Daten stehlen.

     

    Alle hier genannten Apps speichern Daten oft in der Cloud, die wiederum ein eigenes Sicherheitsrisiko darstellen kann. Weiterhin besteht immer die Gefahr, dass die Dienste, die hinter der Cloud stehen, ausfallen. Was geschieht dann mit den gespeicherten Daten? Nicht vergessen sollten wir auch, dass gerade kostenfreie Apps ein Geschäftsmodell benötigen, um sich zu tragen. Die Finanzierung läuft meist über Werbung, Spenden, die Nutzung von Daten für eigene Zwecke oder den Verkauf von Daten an Dritte. Letzteres muss in den AGB aufgeführt und aktiv bestätigt werden. Hier lohnt es sich, eben doch etwas Zeit in das Lesen der Geschäftsbedingungen zu investieren und genau zu prüfen, welches Sicherheitsrisiko Sie mit der Verwendung der App eingehen.

     

    Der Fall Roe vs. Wade: Wenn Daten plötzlich besonders schützenswert werden 

    Welch (schlimme) Folgen das unbeabsichtigte Herausgeben sensibelster Daten haben kann, zeigt ein aktuelles Beispiel aus den USA: Dort wurden nach der Entscheidung des Surpreme Court in einigen Bundesstaaten Abtreibungen für illegal erklärt. In der Folge wurde Frauen davon abgeraten, Zyklus- oder vergleichbare Apps zu nutzen. Verschiedene Quellen hatten gezeigt, dass diese Apps nun gegen ihre Nutzerinnen verwendet werden könnten – beispielsweise wenn es darum ging, potenziell illegale Abtreibungen zu verfolgen. Wie die Washington Post schreibt, können die App-Daten „im Rahmen polizeilicher Ermittlungen über die IP-Adresse einzelnen Personen zugeordnet werden.“
    Das Beispiel zeigt: Daten und Informationen, die normalerweise eher als private Informationen behandelt werden, können durchaus sehr schnell höchst sensibel werden..

     

     

    Bei Fragen: IT oder Security-Experten fragen

     

    Apps machen uns das Leben leichter, im Privatleben ebenso wie bei der Arbeit. Doch wo Licht ist, ist auch Schatten: Jede Anwendung birgt ihre eigenen Risiken. Nicht immer ist es Ihnen möglich, alle Gefahren zu erfassen und einzuschätzen. Scheuen Sie insbesondere im Arbeitsleben nicht davor zurück, Ihre IT-Abteilung oder das Security-Team um Rat zu bitten. Die Experten wissen am besten, welche Apps Sie installieren oder deren Online-Ableger verwenden dürfen. Und welche Alternativen vielleicht die bessere und sichere Wahl sind.