Stif­tung Waren­test: Aus­ge­späht. Daten­schutz bei Apps — Kom­pe­tenz geht anders

Seit ges­tern abend schrei­ben vie­le über den neu­es­ten „Test” der Stif­tung Waren­test zum The­ma Apps. Also habe ich mir den Arti­kel erst ein­mal gekauft — 2,50 € ver­brann­tes Geld für kon­zen­trier­te Inkom­pe­tenz! „Schus­ter bleib bei Dei­nem Leis­ten” war mein ers­ter Gedan­ke, nach­dem ich den Arti­kel gele­sen habe — wir tes­ten ja auch kei­ne Kühl­schrän­ke. Mit dem zwei­ten Gedan­ken habe ich mich dann aber geär­gert, denn kei­ner der Arti­kel, den ich zu die­ser Ver­öf­fent­li­chung fand, hat sich nur ansatz­wei­se mit dem Inhalt aus­ein­an­der­ge­setzt, geschwei­ge denn ihn bewer­tet. Da wird fröh­lich abge­schrie­ben, im bes­ten Fall hat man den Arti­kel gele­sen, die meis­ten haben aber dies ver­mut­lich noch nicht ein­mal getan.

Selbst tages­schau und heu­te hal­ten die­sen Test für eine Nach­richt wert — scha­de, dass auch Qua­li­täts­an­ge­bo­te sol­che unsub­stan­tier­ten Bei­trä­ge ohne jede Über­prü­fung als ver­brei­tens­wer­te Nach­richt adeln.

Im Gegen­satz zu Gart­ner, die die Kri­te­ri­en ihrer Bewer­tung nie­mals trans­pa­rent machen, tut dies die Stif­tung Waren­test, was gut ist und ermög­licht, sich mit den Ergeb­nis­sen aus­ein­an­der zu set­zen. Die Test­kri­te­ri­en waren wie folgt:

Im Test: 63 exem­pla­risch aus­ge­such­te Zusatz­pro­gram­me „Apps” für die Smart­pho­ne-Betriebs­sys­te­me Andro­id, iOS oder Win­dows Pho­ne. Acht die­ser Apps wur­den im Test Navi­ga­ti­ons­sys­te­me auch auf ihre Navi­ga­ti­ons­funk­ti­on geprüft (sie­he Tabel­le …). Geprüft auf Sam­sung Gala­xy Nexus (Andro­id 4.0.2), Apple iPho­ne 4S (iOS 5.0.1) oder Nokia Lumia 800 (Win­dows Pho­ne 7.5).

Erhe­bungs­zeit­raum: Febru­ar bis April 2012.

METHODIK

Ziel war es her­aus­zu­fin­den, in wel­chem Umfang Apps Daten über Nut­zer und Nut­zer­ver­hal­ten (wie Start und Bedie­nen der Apps, Stand­ort, gespei­cher­te Kon­tak­te) und über das Smart­pho­ne (wie die Gerä­te­ken­nung) an wel­che Ser­ver­adres­sen sen­den. Wir ver­ban­den die Smart­pho­nes in den Stan­dard­ein­stel­lun­gen über einen als Wlan-Zugangs­punkt ein­ge­rich­te­ten Rech­ner mit dem Inter­net. Mit die­sem Rech­ner konn­te der Daten­ver­kehr pro­to­kol­liert, gege­be­nen­falls ent­schlüs­selt (SSL) und ana­ly­siert wer­den. Daten­schutz­er­klä­run­gen wur­den nicht unter­sucht.

DARSTELLUNG

Apps, die per­sön­li­che Daten wie Tele­fon­num­mern oder Namen nicht anony­mi­sie­ren, oder Apps, die Pass­wör­ter unver­schlüs­selt über­tra­gen, stu­fen wir als sehr kri­tisch ein. Apps, die für den Betrieb nicht not­wen­di­ge Daten wie Benut­zungs­sta­tis­tik über­tra­gen, stu­fen wir als kri­tisch ein. Unkri­tisch sind Apps, die kei­ne oder höchs­tens die für ihre Funk­ti­on erfor­der­li­chen Daten über­tra­gen.

Die Metho­dik ist (bewusst?) sehr unge­nau spe­zi­fi­ziert — kein Exper­te kann mit die­sen Anga­ben das Test­sze­na­rio nach­stel­len und über­prü­fen, was nicht seri­ös ist. Die Dar­stel­lung sug­ge­riert dar­über hin­aus, dass ein Test von Apps für die Platt­for­men Andro­id, iOS und Win­dows Pho­ne erfolg­te. Getes­tet wur­den in Wirk­lich­keit 18 Andro­id Apps, 44 iOS Apps und 1!!! Win­dows­Pho­ne App. Mit „Test” hat die­se Ver­suchs­an­ord­nung nun wirk­lich nichts zu tun, Aus­sa­gen über Win­dows Pho­ne sind mit die­sem Set­up schlicht unmög­lich.

Die Aus­wahl der Apps — war­um wel­che App ins Panel kam — ist nicht nach­voll­zieh­bar. Eben­so ist die Anzahl der getes­te­ten Apps irre­füh­rend — es wur­den zwar 63 Apps getes­tet, tat­säch­lich aber nur 60 ver­schie­de­ne Pro­gram­me, da 3 Apps (Klick­tel, guens­ti­ger, IMDB) für Andro­id und iOS par­al­lel getes­tet wur­den, was metho­disch kor­rekt ist. War­um wur­den die­se 3 kom­mer­zi­el­len Ange­bo­te durch den dop­pel­ten Test her­aus­ge­ho­ben? Ant­wort: Fehl­an­zei­ge.

Gera­de­zu arro­gant ist der Hin­weis, das man Daten­schutz­er­klä­run­gen nicht unter­sucht hat. Klar, wofür auch! Wenn die Stif­tung Waren­test Arn­ei­mit­tel unter­sucht, braucht sie die Bei­pack­zet­tel ver­mut­lich auch nicht lesen. Man hat ja einen gott­glei­chen Sta­tus in Deutsch­land, da braucht man sich nicht mit solch pro­fa­nen Rand­er­schei­nun­gen beschäf­ti­gen. So kommt man auch nicht auf die Idee, dass manch einer viel­leicht bewusst sei­ne Daten über­tra­gen oder tei­len will. Stif­tung Waren­test ent­schei­det, dass ein User dies nicht allein zu ent­schei­den hat- Apps, die Daten nicht anony­mi­siert über­tra­gen, sind per se sehr kri­tisch! Geht’s noch?

Jeder Leser weiss, wie sehr ich mich für Daten­schutz ein­set­ze. Aber es besteht nun ein­mal ein Rie­sen­un­ter­schied, ob eine App abso­lut ein­deu­tig auf Daten­über­tra­gun­gen hin­weist und ent­spre­chen­de Daten­schutz­er­klä­run­gen anbie­tet, wie dies bei­spiels­wei­se Nuan­ce tut, oder ob dies heim­lich im Hin­ter­grund erfolgt. Im ers­ten Fall ist es die Ent­schei­dung des Anwen­ders, ob er die App nut­zen will und die­sen Funk­tio­nen zustimmt (und ohne Zustim­mung die App ggf. gar nicht nut­zen kann), im zwei­ten Fall ist die App schlicht rechts­wid­rig. Die­sen Fakt zu igno­rie­ren macht den gesam­ten Test schlicht wert­los.

Stif­tung Waren­test stuft fol­gen­de Apps als sehr kri­tisch ein:

  • iTrans­la­te (iOS)
  • ALK Copi­lot Live Pre­mi­um Euro­pe (Andro­id)
  • Cle­ver tan­ken (iOS)
  • Sygic GPS Navi­ga­ti­on Wes­tern Euro­pe (Andro­id)
  • Face­book (iOS)
  • Food­s­pot­ting (iOS)
  • Gow­al­la (iOS)
  • Whats­app (iOS)
  • Yelp (iOS)

Wahr­haft revo­lu­tio­nä­re Erkennt­nis­se! Bei Whats­app ist das inak­zep­ta­ble Kom­mu­ni­ka­ti­ons­ver­hal­ten seit Mona­ten bekannt — trotz­dem hat sich die Lösung mitt­ler­wei­le auch in Fir­men sehr stark ver­brei­tet. Neben­bei: Whats­app weist jeden Anwen­der VOR Benut­zung dar­auf expli­zit hin:

The Whats­App Sites and Ser­vices are hosted in the United Sta­tes and are inten­ded for and direc­ted to Users in the United Sta­tes. If you are a User acces­sing the Whats­App Sites and Ser­vices from the European Uni­on, Asia, or any other regi­on with laws or regu­la­ti­ons gover­ning per­so­nal data collec­tion, use, and dis­clo­sure, that dif­fer from United Sta­tes laws, plea­se be advi­sed that through your con­ti­nued use of the Whats­App Sites and Ser­vices, which are gover­ned by U.S. law, this Pri­va­cy Noti­ce, and our Terms of Ser­vice, you are trans­fer­ring your per­so­nal infor­ma­ti­on to the United Sta­tes and you con­sent to that trans­fer.

Inso­fern ist die Kri­tik an dem auch mei­ner Mei­nung nach inak­zep­ta­blen Ver­hal­ten der Appli­ka­ti­on sehr rela­tiv — jeder Anwen­der stimmt dem Kom­mu­ni­ka­ti­ons­ver­hal­ten der App aus­drück­lich zu! Das­sel­be gilt für die Kri­tik an Face­book, Food­s­pot­ting, Gow­al­la und Yelp. Alle die­se Anbie­ter von Soci­al Net­work-Platt­for­men wei­sen auf ihre Daten­sam­mel­wut hin. Ich leh­ne des­halb schon lan­ge die meis­ten die­ser Platt­for­men ab. Das Pro­blem ist aber kein App-Pro­blem son­dern ein Pro­blem des Soci­al Net­wor­king, was aber in die­sem „Test” voll­stän­dig igno­riert wird. Das­sel­be fin­det auf dem her­kömm­li­chen PC statt ohne das des­we­gen vor den Brow­sern, die das ermög­li­chen, gewarnt wird.

Ich tei­le die Kri­tik von der Stif­tung Waren­test, das Inhal­te grund­sätz­lich ver­schlüs­selt über­tra­gen wer­den soll­ten, beson­ders bei Zugangs­da­ten. Aller­dings ist dies im Fal­le der hier — zu Recht — kri­ti­sier­ten Anwen­dun­gen iTrans­la­te, ALK, cle­ver tan­ken und Sygic weit­ge­hend belang­los, weil das mög­li­che Aus­spä­hen des Zugan­ges zu die­sen Platt­for­men nahe­zu bedeu­tungs­los ist. Wenn ich einen Smart­pho­ne-Anwen­der aus­spio­nie­ren will, wer­de ich ganz sicher nicht an die­sen 4 Apps anset­zen, dafür gibt es weit bes­se­re Wege, die die Stif­tung Waren­test offen­kun­dig nicht kennt.

Gera­de die Kri­tik an „cle­ver tan­ken” ist völ­lig über­zo­gen und gera­de­zu kon­tra­pro­duk­tiv. Die­se segens­rei­che App erlaubt es dem Anwen­der, dem Abzock­ver­hal­ten der Mine­ral­öl­kon­zer­ne zu begeg­nen. Wenn man sich nicht auf der Platt­form regis­triert, um selbst Ben­zin­prei­se zu mel­den, kann man die­se App pro­blem­los ohne jede Daten­über­tra­gung nut­zen. Dies geht aller­dings völ­lig in der Bewer­tung als sehr kri­ti­sche App unter. Sehr kri­tisch ist die­se App nur für Aral, Shell und all die ande­ren Fir­men, des­halb nut­ze ich sie regel­mä­ßig!

Ich tei­le auch die Kri­tik der Tes­ter, dass die Gerä­te­ken­nung nicht über­tra­gen wer­den soll­te, wobei in den meis­ten Fäl­len hier­aus kei­ne wirk­li­chen Pro­ble­me abzu­lei­ten sind.

Die gesam­te Kri­tik zeigt aller­dings, dass das grund­sätz­li­che Pro­blem nicht ver­stan­den wur­de, obwohl der Ber­li­ner Daten­schutz­be­auf­trag­te Alex­an­der Dix im Arti­kel expli­zit dar­auf hin­weist:

… Im Regel­fall lan­den die Daten in den USA, dort wird unse­re Auf­fas­sung von Daten­schutz nicht geteilt. Es gibt kein Aus­kunfts­recht und kein Recht auf Löschen gespei­cher­ter Daten. Die Nut­zer erfah­ren meist nicht ein­mal, wem etwas gesen­det wird. …

Exakt das ist das zen­tra­le Pro­blem, zusam­men mit den mit einer Daten­hal­tung in den USA ver­bun­de­nen Pro­ble­me, die sich aus der Anwen­dung des Patri­ot Act erge­ben. Aber das stört offen­kun­dig die meis­ten Anwen­der nur wenig, was auch mit gra­vie­ren­der Unkennt­nis zu erklä­ren ist. Man nutzt völ­lig schmerz­frei Drop­box, iCloud oder Goog­le Docs — ohne auch nur eine Sekun­de über die mög­li­chen Nach­tei­le nach­zu­den­ken. Kein Anwen­der wür­de auf die Idee kom­men, sei­ne Auto­schlüs­sel mit Stand­ort des Wagens vor dem Betre­ten sei­ner Fir­ma am Fir­men­tor auf­zu­hän­gen, das Auto wäre oft abends nicht mehr da.

Mit Ihren Daten machen die Anwen­der aber im Kern genau dies! Sie spei­chern ihre Daten völ­lig sorg­los auf ame­ri­ka­ni­schen Ser­vern, auf die FBI, CIA und ande­re staat­li­che ame­ri­ka­ni­sche Stel­len unein­ge­schränk­ten und schnel­len Zugriff haben. Ich weiss, vie­le sagen: „Ich habe nichts zu ver­ber­gen!”. Pri­ma, aber was geht es den ame­ri­ka­ni­schen Staat an? Ich bin sicher, dass vie­le Men­schen das nicht wol­len und bei bes­se­rer Auf­klä­rung die­se Ange­bo­te nicht nut­zen wür­den.

Inso­fern gilt für die­sen Test der Stif­tung Waren­test die Wer­tung „The­ma ver­fehlt.” Der Titel hät­te hei­ßen müs­sen: „Aus­ge­späht. Daten­spei­che­rung auf ame­ri­ka­ni­schen Ser­vern”, weil dies das Kern­pro­blem des Daten­schut­zes beschrie­ben hät­te. Dar­über berich­tet aber kaum eine Zei­tung in Deutsch­land.

Apps tes­tet man anders. Ganz anders. Wir bie­ten dies mit unse­rem App­Au­dit an, wo Anwen­der Apps gezielt auf ihr Komu­ni­ka­ti­ons­ver­hal­ten unter­su­chen las­sen kön­nen und man am Ende wirk­lich wis­sen, was geht, was nicht geht und was Sinn macht. Fra­gen Sie uns, wenn Sie mehr dar­über wis­sen wol­len.

Nach­satz:

Die völ­lig feh­len­de Kom­pe­tenz auf dem Gebiet der Mobi­li­ty hat die Stif­tung Waren­test schon im August 2011 ein­drucks­voll unter Beweis gestellt, als sie ver­schie­de­ne App Stores unter dem Titel „Unge­schütz­ter Daten­ver­kehr” tes­te­te. Damals kam der Andro­id Mar­ket (heu­te Plays­to­re) unter 10 Ange­bo­ten auf Platz 2! Der Store, der nach­weis­lich am meis­ten zur Ver­brei­tung von Mal­wa­re bei­getra­gen hat, ist das zweit­bes­te Ange­bot!!! War­um? Stif­tung Waren­test hat damals die Sicher­heit erst gar nicht getes­tet! Lei­der habe ich mir die­sen Test auch gekauft, als ich den o.a. Test kau­fen woll­te — wei­te­re 1,50 € für schlech­te Inhal­te ver­brannt!


Ande­re inter­es­san­te Bei­trä­ge:
Mobi­le Device Manage­ment (MDM) und Bring Your Own Device (BYOD) — Wir prä­mie­ren die bes­ten Arbei­ten von Aus­zu­bil­den­den zum The­ma
Vie­le Aus­zu­bil­den­de der diver­sen IT-Aus­bil­dungs­gän­ge ent­schei­den sich der­zeit für eine Abschluss­ar­beit zum The­ma Mobi­le Device Manage­ment (MDM) und eini­ge weni­ge auch für eine Arbeit zum The­ma Bring Your Own Device (BYOD). In vie­len Unter­neh­men, vor­wie­gend im Mit­tel­stand und in Unter­neh­men des öffen…
Neue Reli­gi­on Bring Your Own Device (BYOD) — jetzt fehlt nur noch die Bild-Zei­tung mit Volks-BYOD!
Der Hype um Bring Your Own Device (BYOD) kennt kei­ne Gren­zen und deut­sche Web­sei­ten sind sich nicht zu scha­de, den BYOD-Blöd­sinn unre­flek­tiert wei­ter zu ver­brei­ten. Eines der vie­len Bei­spie­le für einen sol­chen Arti­kel fiel mir gera­de bei IT​-Busi​ness​.de auf: Mehr als nur „Bring Your Own Device“ Auc…
Mobi­le Device Manage­ment (MDM) — Der Sup­port macht den Unter­schied
Ges­tern habe ich mich mit einem Bekann­ten getrof­fen, der frü­her den Sup­port bei einem unse­rer Part­ner lei­te­te und nun im Sup­port bei einem ame­ri­ka­ni­schen MDM-Her­stel­ler arbei­tet. Nach der Wie­der­se­hens­freu­de und dem Aus­tausch über vie­le Din­ge, die nicht hier­her gehö­ren, kamen wir auch auf die Arbeit …
datomo Mobi­le Device Manage­ment (MDM) 3.8 — 21 neue Fea­tures im neu­en Mas­ter-Release für Andro­id, Black­Ber­ry, iPho­ne, iPad und Win­dows Mobil…
Wir haben in den letz­ten Wochen bewusst dar­auf ver­zich­tet, eini­ge mög­li­che Zwi­schen­ver­sio­nen zu ver­öf­fent­li­chen, da wir so das neue Mas­ter-Release 3.8 schnel­ler und mit mehr neu­en Funk­tio­nen bereit­stel­len kön­nen. Dar­über hin­aus hal­ten wir trotz die­ser „Pau­se” unse­re extrem schnel­le Pro­dukt­pfle­ge ein…
MDM Essen­ti­als — Apple Enter­pri­se App Store (VPP) — How­To Anmel­dung und ers­ter Ein­kauf als Dia­show
Vor weni­gen Tagen haben wir im Bei­trag Apple’s Enter­prise App Store (Volu­me Purcha­se Pro­gram — VPP) in Deutsch­land ver­füg­bar auf das deut­sche VPP-Pro­gramm hin­ge­wie­sen. Seit­dem sind wir täg­lich gefragt wor­den, wie der kon­kre­te Ablauf sich gestal­tet, was man wie machen muss. Wir haben des­halb ein­ma…

2 Kommentare

Schreibe einen Kommentar»
  1. […] Jahr noch ein­mal deut­lich getoppt. Wir berich­te­ten hier­über in unse­ren Bei­trä­gen Stif­tung Waren­test: Aus­ge­späht. Daten­schutz bei Apps — Kom­pe­tenz geht anders und Stif­tung Waren­test tes­tet Tablets — Kom­pe­tenz­freie Urtei­le in „Es muss kein […]

  2. […] Juni-​Aus­ga­be 2012 Whats­App als ‘sehr kri­tisch’ bewer­tet, über den ich im Bei­trag Stif­tung Waren­test: Aus­ge­späht. Daten­schutz bei Apps — Kom­pe­tenz geht anders aus­führ­lich berich­tet habe. Denn die Anwen­dung über­trägt das gesam­te Adress­buch — […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.