Smartphones – datenschutzfreundlich und sicher

Was wir unter Datenschutz Handy verstehen:

Ein Smartphone, bei dem die Privatsphäre und Sicherheit des Nutzers an erste Stelle stehen. Es gibt dem Nutzer die Kontrolle über seine Daten: so wird verhindert, dass Daten ungefragt erfasst und hochgeladen werden. Es eignet sich für den DSGVO-konformen Einsatz im geschäftlichen Umfeld wie auch für Privatpersonen, die dem Wort Privatsphäre Leben einhauchen möchten.

Einleitung

Ein modernes Smartphone ist ein komplexes Gerät mit nahezu endlos vielen Funktionen und Einsatzmöglichkeiten. Nicht weniger komplex ist die installierte Software: in einem Dschungel an Apps und einer Fülle an schützenswerten Daten gilt es den Überblick zu behalten.
Doch wie gelingt das? Wer kann worauf zugreifen? Wohin werden meine Daten geschickt?

Wie vereinbar sind die Begriffe Datenschutz und Sicherheit mit so undurchsichtigen Systemen?

Auf dieser Seite erörtern wir die größten Probleme, die sich Datenschutz und Sicherheit entgegenstellen und zeigen Lösungen und Alternativen.

Datenschutz

Das übliche Smartphone erzeugt und speichert haufenweise sensible Daten: ausgestattet mit zahlreichen Sensoren und gefüttert mit persönlichen Informationen beherbergt ein Smartphone Datenberge, die es zu schützen gilt. Doch wie sicher sind unsere Daten auf dem Gerät, können wir auf die Hersteller des Geräts oder des Betriebssystems vertrauen, unser Bedürfnis nach Privatsphäre zu achten?
Zunächst muss klargestellt werden, dass der Nutzer eines Angebots (sei es nun eine App, Website, o.Ä.) den allgemeinen Geschäftsbedingungen und der Datenschutzerklärung des Anbieters zustimmt. Erhebt nun also eine App weitere, über die Nutzung hinausgehende Daten, um diese zur „Verbesserung der Benutzererfahrung“ zu verwenden, wurde dem zuvor zugestimmt. So gesehen handelt es sich hierbei um eine legale Art der Datensammlung.

„Big Data“, also die Datenanalyse von nutzergenerierten Daten im großen Stil, ist mittlerweile zum Volkssport geworden. Das Geschäftsmodell vieler kleiner und großer Unternehmen basiert auf der Analyse von Daten und der Nutzung sowie dem Verkauf der daraus gewonnen Erkenntnisse. Insbesondere Werbenetzwerke häufen Informationen über ihre Nutzer (aus verschiedenen Quellen; Nutzer werden über Dienste, Websites und längere Zeiträume hinweg verfolgt).1 Dies wird praktiziert um zielgerichtete, gerne auch standortbezogene Werbung schalten zu können.2 Auch neben dem E-Commerce werden in vielen anderen Branchen massiv Daten erhoben, gekauft und verarbeitet, wie zum Beispiel bei Versicherern, dem Scoring wie etwa bei der Schufa, durch staatliche Stellen oder im Wahlkampf.3 Beispiele für hier erhobene Daten sind besuchte Websites und getätigte Suchanfragen, das Surfverhalten, Informationen zum Kauf- und Konsumverhalten, Daten die Rückschlüsse auf die Gesundheit bzw. den Lebensstil einer Person zulassen, Fahrstil und viele mehr.4 Oft wird die Datenweitergabe auch an Vorteile gekoppelt, wie etwa Rabatte oder Prämien.5

Probieren Datensammler uns zur Herausgabe unserer Daten zu ködern?6 Oder können wir darauf vertrauen, dass Daten über uns nur nach unserer ausdrücklichen Zustimmung (wie es bspw. die DSGVO vorsieht) sowie zu unserem Gunsten erfasst werden? Die Videos in der linken Spalte können bei der Meinungsbildung unterstützen.

Sicherheit

Im Gegensatz zum Problemfeld der „legalen Datensammlung“ (s.o.) bezieht sich dieser Abschnitt auf die Themen, die einen ungewollten Zugriff auf Systeme ermöglichen:

Zunächst gilt es Grundlegendes wie eine Bildschirmsperre zur Zugangskontrolle und eine Vollverschlüsselung (um Zugriff auf die Daten im Falle eines Verlusts oder Diebstahls des Handys zu verhindern) umzusetzen.7
Betrachtet man nicht gerade die Fälle, in denen sich der Nutzer dazu verleiten lässt eine gefälschte8 bzw. infizierte App aus einem Store / von einer Website zu laden oder einen dubiosen Link9.2 oder E-Mail-Anhang zu öffnen, geht es beim Thema Sicherheit hauptsächlich um Sicherheitslücken.

Immer wieder werden in Anwendungen (sei es nun eine App, im Web oder ein Betriebssystem)9 Schwachstellen gefunden, die von Kriminellen oder anderen Instanzen wie Staaten ausgenutzt werden können um sich Zugang zu einem geschützten System zu verschaffen.10
Softwarehersteller wie Google und Apple sind grundsätzlich darauf aus, bekannt gewordene Sicherheitslücken so schnell wie möglich zu schließen. Dies wird über Aktualisierungen (Updates) realisiert. Da viele Smartphonehersteller jedoch ältere Geräte aus wirtschaftlichen Gründen nicht mehr pflegen (vielleicht um Anreize zu schaffen neue Geräte zu kaufen?), erhalten diese irgendwann keine Updates mehr. Während dies bei Updates, die neue Funktionen einführen in der Regel verkraftbar ist, werden fehlende Sicherheitsupdates gerne mit Unbenutzbarkeit des Geräts gleichgesetzt. Auch politische Entscheidungen können angemessener und geplanter Update-Versorgung im Weg stehen, wie kürzlich am Beispiel der USA und Huawei ersichtlich geworden ist.11 Noch bestehende Sicherheitslücken bleiben dann offen und ausnutzbar.

Häufig sind es solche Geräte, deren Hersteller dem installierten Betriebssystem zusätzliche Software (wie abgeänderte Oberflächen, eigene App-Stores, Apps von – oder Schnittstellen zu Drittanbietern, etc.) beifügen, die bereits nach absehbarer Zeit nicht mehr gewartet werden. Denn diese zusätzliche Software, die von Nutzern oft als Ballast (daher engl. Bloatware) empfunden wird, muss auch an Updates des Betriebssystems angepasst und getestet werden. Hierdurch entstehen nicht nur zeitliche Verzögerungen zwischen dem Bereitstellen eines Updates für das Betriebssystem und einer Auslieferung an die Nutzer,12 sondern bietet zusätzliche Software auch weitere Angriffsfläche und enthält z.T. selbst Sicherheitslücken.

Keine Software ist frei von Fehlern: Anzahl bekannt gewordener Sicherheitslücken der mobilen Betriebssysteme Android und iOS (Y-Achse) im Verlauf der letzten fünf Jahre (X-Achse). [Quelle]

Weitere Hürden

im professionellen Umfeld…

Was also tun?

Neugierig geworden? Hier Weiterlesen:

[1] Wikipedia Artikel – Web Analytics (Deutsch, wikipedia.de)
[2] Beispiel für standortbasierte Angebote: Facebook Place Tips (Englisch, theverge.com)
[3.1] Schneider, Rosin, Schneider 2009: Datenmissbrauch verhindern: Wirkungsvoller Schutz für persönliche Daten Mit Tipps zur Vorbeugung von Datenklau. Beuth Verlag S.40 ff. (Deutsch, google.de)
[3.2] Rechtsgrundlage für Datenverarbeitung zur Ausübung öffentlicher Gewalt: Art. 6 Abs. 1 lit. e DSGVO (Deutsch, dejure.org)
[3.3] Aus der Praxis: US-amerikanisches Gesetz, das US-Firmen verpflichtet, Daten an US-Behörden weiterzugeben, selbst wenn diese nicht in den USA gespeichert sind. (Deutsch, wikipedia.org)
[3.4] Im Entwurf: E-Evidence Verordnung: Nackt per Gesetz (Deutsch, zeit.de)
[3.5] Staatlich betriebene Websites setzen Nutzer verfolgende Dienste ein (Englisch, ft.com)
[3.6] Wikipedia Artikel – Cambridge Analytica – Einflussnahme auf US-Wahlkämpfe (Deutsch, wikipedia.org)
[4.1] Einsatz von Big-Data unter Versicherern (Englisch, ft.com)
[4.2] Über von Versicherungen eingesetzte Methoden (Wearables und AI) zur Datensammlung (Englisch, qz.com)
[5.1] Beispiele dafür: Kundenkarten mit Rabatt, Payback-Programm, Kredikarten mit Startguthaben oder günstigen Bedingungen, etc.
[5.2] Relevant: Firmen sagen Ehescheidungen voraus (Deutsch, zeit.de)
[6.1] Über die Aufrichtigkeit von UI-Design (Englisch, alistapart.com)
[6.2] 7 Verbraucherschutzorganisationen klagen gegen Google wegen Verstoßes gegen DSGVO (Englisch, beuc.eu)
[6.3] Facebook benutzt „Dark Patterns“ zum Unterlaufen der DSGVO (Englisch, techcrunch.com)
[7] Mehr Informationen vom BSI hierzu: Schutz für Smartphone und Co. (Deutsch, bsi-fuer-buerger.de)
[8] Gefaktes Spiel im App Store eingestellt: Apple entfernt Original (Deutsch, heise.de)
[9.1] Aktuelles App-Beispiel: WhatsApp gehackt, bitte Update einspielen (Deutsch, heise.de)
[9.2] Beispiel für Ausnutzung von Lücken in Apples iOS: Pegasus (Deutsch, wikipedia.de)
[10] Ausnutzung von Sicherheitslücken durch die CIA (Englisch, wired.com)
[11] Google sperrt Android-Updates und den Play Store für Huawei (Deutsch, heise.de)
[12] J. Gold Associates Forschungsbericht 2016: Android in the Business Environment: Is It Safe? S. 8, Abschnitt: Lack of rapid updating (Englisch, jgoldassociates.com)