DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Apps als Daten­sammler

Apps als Datensammler

Die mobile IT ent­wi­ckelt sich rasant und ver­ändert unser Arbeits- und Frei­zeit­ver­halten. Gesetz­liche Rege­lungen können da nicht immer Schritt halten. Spielen mehrere dieser Trends zusammen ergibt sich ein nicht uner­heb­liches Sicher­heits­risiko.

Der erste Trend ist das erstaun­liche Wachstum von „Bring your own device“, also die Mög­lichkeit private End­geräte in die Unter­­nehmens-IT ein­zu­binden. Eine globale Umfrage von CISCO ergab, dass weltweit 89 % aller IT-Abtei­­lungen den Mit­ar­beitern und Mit­ar­bei­te­rinnen in irgend­einer Form ermög­lichen, ihre eigenen Geräte im Unter­nehmen zu inte­grieren. Das kann eine kleine Lösung sein, die es den Mit­ar­beitern ermög­licht ihre geschäft­lichen E-Mails auf dem pri­vaten Smart­phone zu lesen. Es kann aber auch eine hoch­ent­wi­ckelte Lösung sein, die es den Ange­stellten ermög­licht eine Reihe von geschäft­lichen Anwen­dungen unterwegs zu nutzen.

Smart­phones

Der zweite Trend betrifft letztlich jeden von uns, auch wenn er uns nicht immer bewusst ist. Es handelt sich um das unauf­fällige Sammeln per­sön­licher Daten durch unsere Smart­phones. Es gibt Unter­nehmen, die diese per­sön­lichen Nut­zungs­daten sammeln und zu Geld machen, indem sie sie an Wer­be­trei­bende ver­kaufen. Gerade große Unter­nehmen haben oft ein gestei­gertes Interesse an Nut­zungs­daten – sei es, um eine App zu opti­mieren oder mehr über die Anwender zu erfahren. Ein Smart­phone bietet durch GPS, ständige Online-Ver­­­bindung, Bewe­gungs­sen­soren, Kamera und mehr eine Vielzahl von Mög­lich­keiten, Daten zu sammeln.
 
Wie werden diese Daten gesammelt? Das funk­tio­niert alles über die Apps. Jeder, der ein Smart­phone besitzt hat min­destens ein paar Apps darauf laufen. Viele dieser Apps, ins­be­sondere solche, die wenig oder nichts kosten sind aus Teilen pro­gram­miert, die aus Dritt­quellen stammen, soge­nannten Soft­ware­ent­wick­lungssets (Soft­ware­de­ve­lopment Kits). Häufig werden App-Ent­­wickler dafür bezahlt, dass sie solche Bau­teile in ihre Apps inte­grieren. Oftmals ist es der einzige Zweck dieser Bau­sätze Daten zu sammeln. Wenn ein Anwender eine App her­un­terlädt hat er letztlich kaum eine Mög­lichkeit fest­zu­stellen, ob sie einen Trackingcode enthält. Der User erhält zwar eine Mit­teilung darüber, welche Berech­tigung die App ein­fordert, viele Nutzer klicken aber einfach über die Infor­mation hinweg. In einer welt­weiten Unter­su­chung stellten Daten­schützer des Global Privacy Enforcement Network (GPEN) fest, dass von 1211 Apps für iOS und Android rund 75 Prozent auf min­destens eine Funktion, oft sogar mehrere Funk­tionen wie Kon­takte, Standort, Kamera, Kalender, Geräte-ID oder Mikrofon zugreifen.

Da die meisten App-Anbieter nicht aus­rei­chend darüber infor­mieren, sind sich die Nutzer der App meistens nicht darüber im Klaren, wie viele private Infor­ma­tionen sie tat­sächlich her­aus­geben.

Feh­lende gesetz­liche Rege­lungen

Bis es aus­rei­chende gesetz­liche Rege­lungen gibt, steuern die Daten­schutz­be­auf­tragten der ein­zelnen Länder dagegen. Bei­spiels­weise gibt es einen Leit­faden für App-Ent­­wickler, die der Düs­sel­dorfer Kreis, ein Gremium der Daten­schutz­be­auf­tragten des Bundes und der Länder online zur Ver­fügung stellt. Dieser Leit­faden ist durchaus auch für App-Nutzer inter­essant.

Hier kann man ersehen, wie kom­pli­ziert das mobile Daten­schutz­recht durch den inter­na­tio­nalen Einsatz der Apps ist. Ist der App-Anbieter in Deutschland, so gelten deutsche Rechts­normen. Befindet sich der Sitz des  App-Anbieters innerhalb des Euro­päi­schen Wirt­schafts­raums, gelten die Rechts­normen des jewei­ligen Landes. Außerhalb des Euro­päi­schen Wirt­schafts­raumes greift das deutsche Daten­schutz­recht nur, wenn über die App per­so­nen­be­zogene Daten in Deutschland erhoben und ver­wendet werden.

Fazit

Da die Nutzung pri­vater End­geräte im Unter­nehmen steigt, ist es wichtig, dass es ent­spre­chende gesetz­liche Regu­larien gibt, die die Pri­vat­sphäre des Anwenders und die Daten des Unter­nehmens schützen. Außerdem wäre es hilf­reich, wenn die Smar­t­­phone-Her­steller sich dazu ent­schließen könnten, das Daten­sammeln an den End­ge­räten zu blo­ckieren. Denn bislang sammeln Her­steller von Smar­t­­phone-Betriebs­­­sys­­­temen Daten über Nutzer. Dies zu unter­binden ist möglich, aber vom jewei­ligen Betriebs­system abhängig und nicht trivial.

Bild © Aey / Fotolia.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekann­ten­kreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare