Aktuelles, Experten, Studien - geschrieben von dp am Mittwoch, Oktober 21, 2020 19:24 - noch keine Kommentare
App-Anbieter im Fokus: DSGVO-Recht auf Auskunft über personenbezogene Daten
Prof. Dr. Dominik Herrmann berichtet über Undercover-Feldforschung bei App-Anbietern
[datensicherheit.de, 21.10.2020] Die Otto-Friedrich-Universität Bamberg berichtet in ihrer aktuellen Meldung über „Informatiker im Undercover-Einsatz“: Demnach haben drei Forscher bei mehr als 200 Apps getestet, ob die Anbieter persönliche Nutzerdaten auf Anfrage herausgeben. Viele Anbieter hätten gar nicht geantwortet, manche seien nicht einmal erreichbar gewesen. Antworten seien ungenügend gewesen, etwa weil sie unverständlich strukturiert gewesen seien oder die Links zu den angeforderten Daten nicht funktioniert hätten.
Prof. Dr. Dominik Herrmann: Informatiker legten fiktive Nutzerprofile an, so dass 225 App-Anbieter Zugang zu deren persönlichen Daten bekamen
Studie zeigt, dass viele App-Anbieter gesetzlicher Auskunftspflicht nicht nachkommen
Auch in der Wissenschaft gebe es verdeckte Ermittler: Mit sogenannter Undercover-Feldforschung hätten drei Informatiker der Universitäten Bamberg und Hamburg sowie der TU Berlin die Anbieter von Apps auf die Probe gestellt – sie wollten herausfinden, ob diese wie vorgeschrieben die persönlichen Nutzerdaten auf Anfrage herausgeben.
„Unsere Studie zeigt, dass viele Anbieter ihrer gesetzlichen Auskunftspflicht nicht nachkommen“, berichtet Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen an der Universität Bamberg. Insgesamt hätten sie 225 „iOS“- und „Android“-Apps untersucht. „Bei den meisten Anbietern gab es etwas zu beanstanden.“ Die Studie sei im August 2020 auf der internationalen IT-Sicherheits-Konferenz „ARES 2020“ vorgestellt und als beste Einreichung mit dem „Best-Paper-Award“ ausgezeichnet worden.
App-Anbieter schweigen lieber – ein Fünftel antwortete nicht
Professor Herrmann, Jens Lindemann von der Universität Hamburg und Jacob Leon Kröger von der TU Berlin hätten die Verlaufsstudie mit dem Titel „How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps“ zwischen 2015 und 2019 durchgeführt. Für ihre „Undercover-Untersuchung“ hätten die Informatiker fiktive Nutzerprofile angelegt, so dass insgesamt 225 App-Anbieter Zugang zu diesen persönlichen Daten bekommen konnten.
Rund ein Drittel der Apps habe aus Deutschland gestammt, die anderen aus Ländern weltweit. In den Jahren 2015, 2018 und 2019 hätten die Wissenschaftler die Anbieter darum gebeten, ihnen die persönlichen gespeicherten Daten zu nennen. „Viele Anbieter – im Schnitt 20 Prozent – antworteten gar nicht, manche waren nicht einmal erreichbar“, erläutert Herrmann. Häufig seien die Antworten ungenügend gewesen, etwa weil sie unverständlich strukturiert gewesen seien oder die Links zu den angeforderten Daten nicht funktioniert hätten. „Ein Anbieter hat uns versehentlich sogar die sensiblen Daten einer anderen Person geschickt.“
Drei Viertel der App-Anbieter prüften nicht Identität des Antragstellers
Besonderes Augenmerk legten die Wissenschaftler nach eigenen Angaben auf die Unterschiede zwischen 2018 und 2019, da im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) eingeführt wurde, die unter anderem das Recht auf Auskunft über personenbezogene Daten konkretisiert. „Nach der Einführung erwarteten wir einen positiven Trend“, so Professork Herrmann. Stattdessen sei die Zahl der akzeptablen Antworten tendenziell eher noch zurückgegangen: „Von 53 Prozent im Jahr 2018 auf 41 Prozent im Jahr 2019.“
Eine Antwort sei für die Wissenschaftler akzeptabel gewesen, „wenn der Anbieter entweder die angeforderten Nutzerdaten schickte oder wenn er glaubwürdig begründen konnte, dass die Daten nicht mehr gespeichert waren“. Bedenklich findet das Forscherteam, „dass rund drei Viertel der Anbieter nicht die Identität der antragstellenden Person überprüften“. Positive Entwicklungen hätten die Forscher innerhalb der vier Jahre nur in einzelnen Bereichen festgestellt, „beispielsweise wurden den Anfragenden häufiger verständliche Daten zur Verfügung gestellt“.
Apps grundsätzlich mit Bedacht auswählen und möglichst wenig Persönliches preisgeben!
Auf die Frage, was Nutzer tun könnten, die nicht die gewünschte Auskunft erhalten, antwortet Herrmann: „Betroffene sollten sich an Datenschutzbehörden wenden, die derartige Verstöße verfolgen.“ Er empfehle außerdem, Apps grundsätzlich mit Bedacht auszuwählen und möglichst wenig Persönliches preiszugeben – oder gar falsche Angaben zu machen, sofern möglich.
Um die Vorschriften der DSGVO besser durchzusetzen, sieht das Forscherteam vor allem den Staat in der Pflicht: „Die zuständigen Aufsichtsbehörden benötigen mehr Budget und Personal, um ihre gesetzlich vorgesehene Aufgabe zu erfüllen. Sie könnten dann umfassende Stichprobenkontrollen durchführen oder branchenspezifische Richtlinien für Unternehmen erlassen. Idealerweise stellen uns App-Anbieter in Zukunft einheitliche und automatisierte Schnittstellen für solche Auskunftsanfragen zur Verfügung. Dadurch könnten sie auf die fehleranfällige manuelle Bearbeitung verzichten.“
Weitere Informationen zum Thema:
Jacob Leon Kröger, Jens Lindemann, Dominik Herrmann, 2020
How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps. ARES ’20: Proceedings of the 15th International Conference on Availability, Reliability and Security.
Universität Bamberg
Digitale Geistes-, Sozial- und Humanwissenschaften
datensicherheit.de, 28.08.2020
Kontaktdaten: Risiken auch bei Erfassung mit Apps und Webservern
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren