Stif­tung Waren­test: Aus­ge­späht. Daten­schutz bei Apps — Kom­pe­tenz geht anders

Seit ges­tern abend schrei­ben vie­le über den neu­es­ten „Test” der Stif­tung Waren­test zum The­ma Apps. Also habe ich mir den Arti­kel erst ein­mal gekauft — 2,50 € ver­brann­tes Geld für kon­zen­trier­te Inkom­pe­tenz! „Schus­ter bleib bei Dei­nem Leis­ten” war mein ers­ter Gedan­ke, nach­dem ich den Arti­kel gele­sen habe — wir tes­ten ja auch kei­ne Kühl­schrän­ke. Mit dem zwei­ten Gedan­ken habe ich mich dann aber geär­gert, denn kei­ner der Arti­kel, den ich zu die­ser Ver­öf­fent­li­chung fand, hat sich nur ansatz­wei­se mit dem Inhalt aus­ein­an­der­ge­setzt, geschwei­ge denn ihn bewer­tet. Da wird fröh­lich abge­schrie­ben, im bes­ten Fall hat man den Arti­kel gele­sen, die meis­ten haben aber dies ver­mut­lich noch nicht ein­mal getan.

Selbst tages­schau und heu­te hal­ten die­sen Test für eine Nach­richt wert — scha­de, dass auch Qua­li­täts­an­ge­bo­te sol­che unsub­stan­tier­ten Bei­trä­ge ohne jede Über­prü­fung als ver­brei­tens­wer­te Nach­richt adeln.

Im Gegen­satz zu Gart­ner, die die Kri­te­ri­en ihrer Bewer­tung nie­mals trans­pa­rent machen, tut dies die Stif­tung Waren­test, was gut ist und ermög­licht, sich mit den Ergeb­nis­sen aus­ein­an­der zu set­zen. Die Test­kri­te­ri­en waren wie folgt:

Im Test: 63 exem­pla­risch aus­ge­such­te Zusatz­pro­gram­me „Apps” für die Smart­pho­ne-Betriebs­sys­te­me Andro­id, iOS oder Win­dows Pho­ne. Acht die­ser Apps wur­den im Test Navi­ga­ti­ons­sys­te­me auch auf ihre Navi­ga­ti­ons­funk­ti­on geprüft (sie­he Tabel­le …). Geprüft auf Sam­sung Gala­xy Nexus (Andro­id 4.0.2), Apple iPho­ne 4S (iOS 5.0.1) oder Nokia Lumia 800 (Win­dows Pho­ne 7.5).

Erhe­bungs­zeit­raum: Febru­ar bis April 2012.

METHODIK

Ziel war es her­aus­zu­fin­den, in wel­chem Umfang Apps Daten über Nut­zer und Nut­zer­ver­hal­ten (wie Start und Bedie­nen der Apps, Stand­ort, gespei­cher­te Kon­tak­te) und über das Smart­pho­ne (wie die Gerä­te­ken­nung) an wel­che Ser­ver­adres­sen sen­den. Wir ver­ban­den die Smart­pho­nes in den Stan­dard­ein­stel­lun­gen über einen als Wlan-Zugangs­punkt ein­ge­rich­te­ten Rech­ner mit dem Inter­net. Mit die­sem Rech­ner konn­te der Daten­ver­kehr pro­to­kol­liert, gege­be­nen­falls ent­schlüs­selt (SSL) und ana­ly­siert wer­den. Daten­schutz­er­klä­run­gen wur­den nicht unter­sucht.

DARSTELLUNG

Apps, die per­sön­li­che Daten wie Tele­fon­num­mern oder Namen nicht anony­mi­sie­ren, oder Apps, die Pass­wör­ter unver­schlüs­selt über­tra­gen, stu­fen wir als sehr kri­tisch ein. Apps, die für den Betrieb nicht not­wen­di­ge Daten wie Benut­zungs­sta­tis­tik über­tra­gen, stu­fen wir als kri­tisch ein. Unkri­tisch sind Apps, die kei­ne oder höchs­tens die für ihre Funk­ti­on erfor­der­li­chen Daten über­tra­gen.

Die Metho­dik ist (bewusst?) sehr unge­nau spe­zi­fi­ziert — kein Exper­te kann mit die­sen Anga­ben das Test­sze­na­rio nach­stel­len und über­prü­fen, was nicht seri­ös ist. Die Dar­stel­lung sug­ge­riert dar­über hin­aus, dass ein Test von Apps für die Platt­for­men Andro­id, iOS und Win­dows Pho­ne erfolg­te. Getes­tet wur­den in Wirk­lich­keit 18 Andro­id Apps, 44 iOS Apps und 1!!! Win­dows­Pho­ne App. Mit „Test” hat die­se Ver­suchs­an­ord­nung nun wirk­lich nichts zu tun, Aus­sa­gen über Win­dows Pho­ne sind mit die­sem Set­up schlicht unmög­lich.

Die Aus­wahl der Apps — war­um wel­che App ins Panel kam — ist nicht nach­voll­zieh­bar. Eben­so ist die Anzahl der getes­te­ten Apps irre­füh­rend — es wur­den zwar 63 Apps getes­tet, tat­säch­lich aber nur 60 ver­schie­de­ne Pro­gram­me, da 3 Apps (Klick­tel, guens­ti­ger, IMDB) für Andro­id und iOS par­al­lel getes­tet wur­den, was metho­disch kor­rekt ist. War­um wur­den die­se 3 kom­mer­zi­el­len Ange­bo­te durch den dop­pel­ten Test her­aus­ge­ho­ben? Ant­wort: Fehl­an­zei­ge.

Gera­de­zu arro­gant ist der Hin­weis, das man Daten­schutz­er­klä­run­gen nicht unter­sucht hat. Klar, wofür auch! Wenn die Stif­tung Waren­test Arn­ei­mit­tel unter­sucht, braucht sie die Bei­pack­zet­tel ver­mut­lich auch nicht lesen. Man hat ja einen gott­glei­chen Sta­tus in Deutsch­land, da braucht man sich nicht mit solch pro­fa­nen Rand­er­schei­nun­gen beschäf­ti­gen. So kommt man auch nicht auf die Idee, dass manch einer viel­leicht bewusst sei­ne Daten über­tra­gen oder tei­len will. Stif­tung Waren­test ent­schei­det, dass ein User dies nicht allein zu ent­schei­den hat- Apps, die Daten nicht anony­mi­siert über­tra­gen, sind per se sehr kri­tisch! Geht’s noch?

Jeder Leser weiss, wie sehr ich mich für Daten­schutz ein­set­ze. Aber es besteht nun ein­mal ein Rie­sen­un­ter­schied, ob eine App abso­lut ein­deu­tig auf Daten­über­tra­gun­gen hin­weist und ent­spre­chen­de Daten­schutz­er­klä­run­gen anbie­tet, wie dies bei­spiels­wei­se Nuan­ce tut, oder ob dies heim­lich im Hin­ter­grund erfolgt. Im ers­ten Fall ist es die Ent­schei­dung des Anwen­ders, ob er die App nut­zen will und die­sen Funk­tio­nen zustimmt (und ohne Zustim­mung die App ggf. gar nicht nut­zen kann), im zwei­ten Fall ist die App schlicht rechts­wid­rig. Die­sen Fakt zu igno­rie­ren macht den gesam­ten Test schlicht wert­los.

Stif­tung Waren­test stuft fol­gen­de Apps als sehr kri­tisch ein:

  • iTrans­la­te (iOS)
  • ALK Copi­lot Live Pre­mi­um Euro­pe (Andro­id)
  • Cle­ver tan­ken (iOS)
  • Sygic GPS Navi­ga­ti­on Wes­tern Euro­pe (Andro­id)
  • Face­book (iOS)
  • Food­s­pot­ting (iOS)
  • Gow­al­la (iOS)
  • Whats­app (iOS)
  • Yelp (iOS)

Wahr­haft revo­lu­tio­nä­re Erkennt­nis­se! Bei Whats­app ist das inak­zep­ta­ble Kom­mu­ni­ka­ti­ons­ver­hal­ten seit Mona­ten bekannt — trotz­dem hat sich die Lösung mitt­ler­wei­le auch in Fir­men sehr stark ver­brei­tet. Neben­bei: Whats­app weist jeden Anwen­der VOR Benut­zung dar­auf expli­zit hin:

The Whats­App Sites and Ser­vices are hosted in the United Sta­tes and are inten­ded for and direc­ted to Users in the United Sta­tes. If you are a User acces­sing the Whats­App Sites and Ser­vices from the European Uni­on, Asia, or any other regi­on with laws or regu­la­ti­ons gover­ning per­so­nal data collec­tion, use, and dis­clo­sure, that dif­fer from United Sta­tes laws, plea­se be advi­sed that through your con­ti­nued use of the Whats­App Sites and Ser­vices, which are gover­ned by U.S. law, this Pri­va­cy Noti­ce, and our Terms of Ser­vice, you are trans­fer­ring your per­so­nal infor­ma­ti­on to the United Sta­tes and you con­sent to that trans­fer.

Inso­fern ist die Kri­tik an dem auch mei­ner Mei­nung nach inak­zep­ta­blen Ver­hal­ten der Appli­ka­ti­on sehr rela­tiv — jeder Anwen­der stimmt dem Kom­mu­ni­ka­ti­ons­ver­hal­ten der App aus­drück­lich zu! Das­sel­be gilt für die Kri­tik an Face­book, Food­s­pot­ting, Gow­al­la und Yelp. Alle die­se Anbie­ter von Soci­al Net­work-Platt­for­men wei­sen auf ihre Daten­sam­mel­wut hin. Ich leh­ne des­halb schon lan­ge die meis­ten die­ser Platt­for­men ab. Das Pro­blem ist aber kein App-Pro­blem son­dern ein Pro­blem des Soci­al Net­wor­king, was aber in die­sem „Test” voll­stän­dig igno­riert wird. Das­sel­be fin­det auf dem her­kömm­li­chen PC statt ohne das des­we­gen vor den Brow­sern, die das ermög­li­chen, gewarnt wird.

Ich tei­le die Kri­tik von der Stif­tung Waren­test, das Inhal­te grund­sätz­lich ver­schlüs­selt über­tra­gen wer­den soll­ten, beson­ders bei Zugangs­da­ten. Aller­dings ist dies im Fal­le der hier — zu Recht — kri­ti­sier­ten Anwen­dun­gen iTrans­la­te, ALK, cle­ver tan­ken und Sygic weit­ge­hend belang­los, weil das mög­li­che Aus­spä­hen des Zugan­ges zu die­sen Platt­for­men nahe­zu bedeu­tungs­los ist. Wenn ich einen Smart­pho­ne-Anwen­der aus­spio­nie­ren will, wer­de ich ganz sicher nicht an die­sen 4 Apps anset­zen, dafür gibt es weit bes­se­re Wege, die die Stif­tung Waren­test offen­kun­dig nicht kennt.

Gera­de die Kri­tik an „cle­ver tan­ken” ist völ­lig über­zo­gen und gera­de­zu kon­tra­pro­duk­tiv. Die­se segens­rei­che App erlaubt es dem Anwen­der, dem Abzock­ver­hal­ten der Mine­ral­öl­kon­zer­ne zu begeg­nen. Wenn man sich nicht auf der Platt­form regis­triert, um selbst Ben­zin­prei­se zu mel­den, kann man die­se App pro­blem­los ohne jede Daten­über­tra­gung nut­zen. Dies geht aller­dings völ­lig in der Bewer­tung als sehr kri­ti­sche App unter. Sehr kri­tisch ist die­se App nur für Aral, Shell und all die ande­ren Fir­men, des­halb nut­ze ich sie regel­mä­ßig!

Ich tei­le auch die Kri­tik der Tes­ter, dass die Gerä­te­ken­nung nicht über­tra­gen wer­den soll­te, wobei in den meis­ten Fäl­len hier­aus kei­ne wirk­li­chen Pro­ble­me abzu­lei­ten sind.

Die gesam­te Kri­tik zeigt aller­dings, dass das grund­sätz­li­che Pro­blem nicht ver­stan­den wur­de, obwohl der Ber­li­ner Daten­schutz­be­auf­trag­te Alex­an­der Dix im Arti­kel expli­zit dar­auf hin­weist:

… Im Regel­fall lan­den die Daten in den USA, dort wird unse­re Auf­fas­sung von Daten­schutz nicht geteilt. Es gibt kein Aus­kunfts­recht und kein Recht auf Löschen gespei­cher­ter Daten. Die Nut­zer erfah­ren meist nicht ein­mal, wem etwas gesen­det wird. …

Exakt das ist das zen­tra­le Pro­blem, zusam­men mit den mit einer Daten­hal­tung in den USA ver­bun­de­nen Pro­ble­me, die sich aus der Anwen­dung des Patri­ot Act erge­ben. Aber das stört offen­kun­dig die meis­ten Anwen­der nur wenig, was auch mit gra­vie­ren­der Unkennt­nis zu erklä­ren ist. Man nutzt völ­lig schmerz­frei Drop­box, iCloud oder Goog­le Docs — ohne auch nur eine Sekun­de über die mög­li­chen Nach­tei­le nach­zu­den­ken. Kein Anwen­der wür­de auf die Idee kom­men, sei­ne Auto­schlüs­sel mit Stand­ort des Wagens vor dem Betre­ten sei­ner Fir­ma am Fir­men­tor auf­zu­hän­gen, das Auto wäre oft abends nicht mehr da.

Mit Ihren Daten machen die Anwen­der aber im Kern genau dies! Sie spei­chern ihre Daten völ­lig sorg­los auf ame­ri­ka­ni­schen Ser­vern, auf die FBI, CIA und ande­re staat­li­che ame­ri­ka­ni­sche Stel­len unein­ge­schränk­ten und schnel­len Zugriff haben. Ich weiss, vie­le sagen: „Ich habe nichts zu ver­ber­gen!”. Pri­ma, aber was geht es den ame­ri­ka­ni­schen Staat an? Ich bin sicher, dass vie­le Men­schen das nicht wol­len und bei bes­se­rer Auf­klä­rung die­se Ange­bo­te nicht nut­zen wür­den.

Inso­fern gilt für die­sen Test der Stif­tung Waren­test die Wer­tung „The­ma ver­fehlt.” Der Titel hät­te hei­ßen müs­sen: „Aus­ge­späht. Daten­spei­che­rung auf ame­ri­ka­ni­schen Ser­vern”, weil dies das Kern­pro­blem des Daten­schut­zes beschrie­ben hät­te. Dar­über berich­tet aber kaum eine Zei­tung in Deutsch­land.

Apps tes­tet man anders. Ganz anders. Wir bie­ten dies mit unse­rem App­Au­dit an, wo Anwen­der Apps gezielt auf ihr Komu­ni­ka­ti­ons­ver­hal­ten unter­su­chen las­sen kön­nen und man am Ende wirk­lich wis­sen, was geht, was nicht geht und was Sinn macht. Fra­gen Sie uns, wenn Sie mehr dar­über wis­sen wol­len.

Nach­satz:

Die völ­lig feh­len­de Kom­pe­tenz auf dem Gebiet der Mobi­li­ty hat die Stif­tung Waren­test schon im August 2011 ein­drucks­voll unter Beweis gestellt, als sie ver­schie­de­ne App Stores unter dem Titel „Unge­schütz­ter Daten­ver­kehr” tes­te­te. Damals kam der Andro­id Mar­ket (heu­te Plays­to­re) unter 10 Ange­bo­ten auf Platz 2! Der Store, der nach­weis­lich am meis­ten zur Ver­brei­tung von Mal­wa­re bei­getra­gen hat, ist das zweit­bes­te Ange­bot!!! War­um? Stif­tung Waren­test hat damals die Sicher­heit erst gar nicht getes­tet! Lei­der habe ich mir die­sen Test auch gekauft, als ich den o.a. Test kau­fen woll­te — wei­te­re 1,50 € für schlech­te Inhal­te ver­brannt!


Ande­re inter­es­san­te Bei­trä­ge:
Mobi­le Device Manage­ment — Vor­sicht vor US-Anbie­tern
Ein Kom­men­tar von Klaus Düll in Mobi­le Busi­ness 5.15 Die aktu­el­le Aus­ga­be von Mobi­le Busi­ness 5.15 befasst sich in einem Schwer­punkt­the­ma mit Device Manage­ment und der Fra­ge der Stand­ort­vor­tei­le deut­scher MDM-Her­stel­ler. In die­sem Zusam­men­hang erschien in die­sem Heft ein Kom­men­tar von Klaus Düll, d…
datomo Mobi­le Device Manage­ment — kos­ten­lo­ser Test mit Andro­id, Black­Ber­ry, iPho­ne, iPad, Nokia, Win­dows Mobi­le und ande­ren OS
Wir haben auf der CeBIT 2012 sehr viel gelernt. Ein ganz wich­ti­ger Punkt war und ist, dass das The­ma Mobi­le Device Manage­ment sich zu einem zen­tra­len The­ma in Unter­neh­men ent­wi­ckelt hat. Wir haben vie­le sehr posi­ti­ve Reak­tio­nen mit unse­rer Test­ak­ti­on auf der CeBIT 2012 erhal­ten und haben wäh­rend der…
MDM-Essen­ti­als — Mobi­le Device Manage­ment (MDM) kos­ten­los? Die Bedeu­tung von Open Source für MDM
Gele­gent­lich wer­de ich gefragt, ob es kos­ten­lo­se oder Open Source MDM-Sys­te­me gibt. Hin­sicht­lich der Fra­ge nach kos­ten­lo­sem Mobi­le Device Manage­ment ist mei­ne Ant­wort stets eine ein­fa­che Gegen­fra­ge: „Arbei­ten Sie kos­ten­los?” Damit ist die Fra­ge für die meis­ten beant­wor­tet. Denn kein Her­stel­ler und D…
MDM Essen­ti­als — Gerä­te­aus­wahl und deren Bedeu­tung für die Kos­ten
Kos­ten spie­len in jedem Unter­neh­men eine wich­ti­ge Rol­le und inso­fern gera­ten die Kos­ten der Mobi­li­ty zuneh­mend in den Blick der Ver­ant­wort­li­chen. Bevor wir auf die Kos­ten ein­ge­hen kön­nen, müs­sen wir zunächst die bestim­men­den Fak­to­ren betrach­ten. Bis vor kur­zem war auf die­sem Feld die Welt noch ‘in …
War­um Mobi­le Device Manage­ment (MDM) aus Euro­pa kom­men muss — Demo­cra­cy Now berich­tet über Spio­na­ge der NSA
Heu­te früh bin ich auf netz​po​li​tik​.org auf einen sehr inter­es­san­ten Bei­trag von Mar­kus Becke­dahl gestos­sen — USA: Ex-NSA-Ange­stel­ler erzählt vom Über­wa­chungs­staat. Hier­durch bin ich auf das oben ver­link­te Video von Demo­cra­cy Now, einer ame­ri­ka­ni­schen Bür­ger­rechts­be­we­gung gesto­ßen. Ich emp­feh­le jed…

2 Kommentare

Schreibe einen Kommentar»
  1. […] Jahr noch ein­mal deut­lich getoppt. Wir berich­te­ten hier­über in unse­ren Bei­trä­gen Stif­tung Waren­test: Aus­ge­späht. Daten­schutz bei Apps — Kom­pe­tenz geht anders und Stif­tung Waren­test tes­tet Tablets — Kom­pe­tenz­freie Urtei­le in „Es muss kein […]

  2. […] Juni-​Aus­ga­be 2012 Whats­App als ‘sehr kri­tisch’ bewer­tet, über den ich im Bei­trag Stif­tung Waren­test: Aus­ge­späht. Daten­schutz bei Apps — Kom­pe­tenz geht anders aus­führ­lich berich­tet habe. Denn die Anwen­dung über­trägt das gesam­te Adress­buch — […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.