Titelstorys in der WirtschaftsWoche

2013: Titelstory in der WirtschaftsWoche 3/2013 vom 14.1.2013 über die „fiesen Tricks“ der populärsten Smartphone-Apps

Sträfliche Ignoranz

Viele populäre Handy-Programme bedrohen ohne Wissen der Nutzer Privatsphäre und Unternehmensdaten. Der boomende Einsatz privater Smartphones in Unternehmen reißt schwere Sicherheitslücken. Die wichtigsten Android-Apps im Check.

In der Ruhmeshalle der Meisterspione wird Jan Koum einen Logenplatz bekommen. Denn dem 36-jährigen Chef des kalifornischen Mobilfunk-Startups WhatsApp ist gelungen, wovon Geheimagenten ein Leben lang träumen: ein Produkt zu entwickeln, das Menschen derart fasziniert, dass sie, um es zu nutzen, selbst intimste Daten preisgeben. Sie verraten, wen sie kennen, was sie lieben, wo sie sich gerade aufhalten, sogar welche Passwörter ihre Konten schützen oder welche Codes den Zugang zu ihren PCs öffnen.

Auch in Deutschland nutzen Millionen Menschen das Programm: An Weihnachten war das Smartphone das mit Abstand beliebteste Geschenk. Kaum ausgepackt, installierten die meisten Beschenkten eines der populärsten Handyprogramme weltweit: Koums Software WhatsApp.

Der Dienst ist so etwas wie die SMS des Facebook-Zeitalters. Denn er ermöglicht es, statt dröger Textnachrichten auch Fotos, Sprachnachrichten und Videos zu verschicken - kostenlos. Alleine an Silvester verschickten Smartphone-Nutzer weltweit 18 Milliarden Neujahrsgrüße via WhatsApp.

Was den meisten aber verborgen bleibt: Die nach einer Erhebung des Marktforschers Goldmedia beliebteste Applikation (App) der Deutschen spioniert ihre Nutzer gnadenlos aus. Wer den Dienst nutzen will, muss ihm uneingeschränkten Zugriff auf persönliche Informationen im Smartphone gewähren. Den entsprechenden Passus - gut versteckt im Kleingedruckten der Nutzungsbedingungen - klickt der Anwender bei der Installation meist ungesehen weg.

Eine sträfliche Ignoranz. Denn so bekommt die App Zugriff auf fast alle Nutzerdaten im Smartphone, das für immer mehr Menschen zum allumfassenden Alltagsbegleiter geworden ist, der mehr über Tagesablauf und Bekanntenkreis seines Besitzers weiß als dessen Partnerin oder Partner. Viele der Informationen überspielt die Software auf WhatsApp-Server in den USA und entzieht sie damit allen deutschen oder europäischen Datenschutzbestimmungen.

Damit ist der multimediale Nachrichtendienst aus Übersee zwar einer der dreistesten, aber beileibe nicht der einzige App-Produzent, der sich ungeniert an privaten Nutzer- oder Unternehmensdaten in Smartphones bedient. Das ist das besorgniserregende Ergebnis einer Analyse des IT-Sicherheitsdienstleisters Trend Micro im Auftrag der WirtschaftsWoche.

Anhand der 88 beliebtesten Android-Apps deutscher Smartphone-Nutzer haben die IT-Spezialisten seziert, wer welche Daten erfasst und womöglich auf die eigenen Server kopiert, auf welche Handyfunktionen die Programme meist ohne Wissen der Nutzer zugreifen und ob es Sicherheitslücken im Quellcode der Anwendungen gibt. Sammeln die Apps zu viele Minuspunkte, sollten sie auf geschäftlich genutzten Smartphones nicht zum Einsatz kommen.

Googles lizenzkostenfrei an Handyproduzenten abgegebenes Betriebssystem hat Apples iOS mittlerweile als erfolgreichste und meistverkaufte Smartphone-Software weit abgehängt (siehe Grafik unten). Zugleich gilt Android aber wegen der im Vergleich zu Apples rigiden Vorgaben laxeren Sicherheitskontrollen als besonders anfällig für Schnüffel-Apps. Zumal Apple mit dem Update auf iOS 6 die Hürden für Zugriffe auf Nutzerdaten nochmals erhöht hat. Dennoch sollten sich auch iPhone-Nutzer nicht in falscher Sicherheit wiegen - und bei der Installation neuer iOS-Apps genau prüfen, welche Rechte sie der Anwendung einräumen (siehe Kasten Seite 62).

Jede dritte App ist gefährlich

Die schwarze Liste der Top-Schnüffler liest sich wie das „Who's who“ der erfolgreichsten Handyprogramme (siehe Tabelle Seite 63). Besonders dreist greifen soziale Netzwerke wie Facebook und LinkedIn Daten ab. Aber auch Skype, Marktführer bei Internet-Telefonie, die Navigations-App von Navigon, das Online-Auktionshaus Ebay, der DB-Navigator der Deutschen Bahn oder der Einkaufshelfer Barcoo, der beim Shoppen Strichcodes entschlüsselt, stehen weit oben im Ranking gefährlichster Apps. 29 Apps, ein Drittel der untersuchten Anwendungen, stufen die Tester als „sehr kritisch“ oder „kritisch“ ein. „Ein Einsatz im Unternehmen ist nicht zu empfehlen“, warnt Raimund Genes, Technik-Chef bei Trend Micro. »

»Weitere 29 Programme sind zwar „weniger kritisch“. Aber auch dort entdeckten die Prüfer Schwachstellen, die vor einem Einsatz im Unternehmen geschlossen werden müssten. Auch dabei werden Standortdaten und Geräteidentifikation abgefragt und übertragen. Lediglich 30 Apps ziehen keine oder so wenig vertrauliche Daten ab, dass die Sicherheitsexperten sie als „unbedenklich“ bewerten.

Was viele Privatanwender schlicht nicht wissen, treibt den Sicherheitsverantwortlichen in den IT-Abteilungen der Unternehmen zunehmend Schweißperlen auf die Stirn. Auf sie rollt ein riesiges Sicherheitsproblem zu. Denn schon 53 Prozent der Manager und Mitarbeiter bringen private Smartphones mit ins Büro und setzen sie bei der Arbeit ein. Das ergab eine Erhebung der amerikanischen Marktforscher Forrester. „Bring your own device“ (Byod) nennen IT-Experten den Trend, der die Schutzwälle um die Firmen-IT so löchrig wie Schweizer Käse macht. Elektronikkonzerne wie Samsung bezeichnen den Byod-Trend als einen der wichtigsten Treiber der Branche.

Fundgrube für Betrüger

Die Firmen entlasten so zwar kurzfristig ihr IT-Budget, weil sie die Anschaffungskosten für Smartphones, Tablet-Computer und Laptops auf die Beschäftigten abwälzen. Doch damit wächst die Gefahr, dass sich die Mitarbeiter auch Apps herunterladen, die sensible Unternehmensdaten abgreifen. „Viele Manager nutzen Smartphones wie ihren PC, doch die Geräte lassen sich viel leichter ausspionieren“, mahnt Marko Rogge, Ex-Hacker und heute Chef der Beratungsfirma Omega Defense in Darmstadt.

Vertrauliche E-Mails und Unterlagen landen oft automatisch auf Smartphones, die weit schlechter abgesichert sind als der PC im Büro. „Nicht für den professionellen Einsatz entwickelte Endkundenprodukte gelangen unkontrolliert in Firmennetze und lassen sich nur noch schwer aufhalten“, kritisiert Wolfgang Straßer, Geschäftsführer des auf IT-Sicherheit spezialisierten Dienstleisters @-yet im rheinischen Leichlingen.

Dabei sind die so gesammelten Informationen eine wahre Fundgrube für Firmenspione, Betrüger oder gar Erpresser: Kundendaten: Ansprechpartner, Bestellhistorien oder Angebotskalkulationen - die sonst streng gehüteten Schätze von Vertrieblern, werden von Mitarbeitern in die Notizfelder ihrer Outlook- oder Notes-Kontakte kopiert. Nach dem nächsten »» Abgleich des Handys mit dem Büro-Rechner können Apps wie die LinkedIn, Facebook oder der Kurznachrichtendienst ICQ darauf zugreifen. Informationen, für deren Mitnahme Mitarbeiter nach der Kündigung vom Arbeitgeber schon wegen Datendiebstahls verklagt wurden - die Handysoftware kopiert sie skrupellos.

Passwörter: Ob Konto-PIN, Kreditkartendaten oder geheime Zugangscodes für Server, Konstruktionsdatenbanken und Sicherheitsbereiche im Unternehmen, solche Informationen hat fast jeder irgendwo in seinem Smartphone-Adressbuch abgelegt. Spätestens wenn Schnüffel-Apps darauf zugreifen, werden die sensiblen Codes unverschlüsselt über das Internet übertragen - und landen oft im Ausland auf Servern, von denen kein Anwender weiß, wie gut sie gegen Hacker geschützt sind.

Bewegungsprofile: Wohin Top-Manager reisen, wo sie sind, auch das protokollieren Anwendungen wie die Fotosoftware Instagram, WhatsApp oder auch die Tagesschau-App - und verknüpfen die Standortdaten der Smartphones zum Teil mit den IMEI- oder IMSI-Kenncodes von Handys, sozusagen deren Fingerabdruck. Bekommen Unbefugte Zugriff auf diese teils beim App-Anbieter gespeicherten Informationen, erfahren sie, wann sich ihre Zielpersonen wo aufhalten (siehe WirtschaftsWoche 29 2012). Ein Albtraum für Personenschützer, aber auch Privatleute, die von Einbrechern nicht zu Hause ausgespäht werden wollen. Ein Blick ins Bewegungsprofil verrät, wann sich ein Einbruch lohnt.

Nützliche Alltagshelfer

Die Flut der Handyprogramme ist längst nicht mehr zu überblicken - und welche Software welche Daten abgreift, schon gar nicht. Mit mittlerweile 800 000 Anwendungen rangiert Googles Play Store nach Hochrechnungen des US-Online-Dienstes The Social vor Apples App Store, der laut Hersteller 775 000 Programme umfasst.

Aber egal, wer gerade führt: Klar ist, ohne die mal nützlichen, mal unterhaltsamen Apps würden die High-Tech-Handys ihren Reiz verlieren. Mehr als die Hälfte der befragten deutschen Smartphone-Nutzer hat laut einer Umfrage von TNS Emnid auf seinem Telefon mehr als zehn Zusatzprogramme installiert, ein gutes Drittel sogar mehr als 20 (siehe Grafik rechts).

Sie verwandeln Smartphones in Taschenlampen oder Wasserwaagen, suchen Bahnverbindungen, warnen Temposünder vor Radarfallen oder werten Trainingsergebnisse beim Joggen aus - für nahezu jedes Alltagsproblem entwickeln Startups Lösungen.

Doch damit die Anwendungen ihr Potenzial entfalten können, fordern sie von ihren Nutzern Zugriffsrechte auf zentrale Funktionen des Smartphones. Mal auf den GPS-Standortsensor, mal auf die Kamera, mal auf die Adressliste - oft auf alles zugleich.

Und dabei schießen viele Apps, so die Erkenntnisse der Trend-Micro-Experten, weit übers Ziel hinaus. Wozu verlangt etwa die Online-Videothek YouTube Zugriff auf die Smartphone-Kamera. Für die Wiedergabe von Videos jedenfalls wird sie nicht benötigt. Wieso braucht die „Tagesschau“-App die exakte Position des Nutzers, wenn der Standort beim Lesen oder Ansehen der Nachrichten keine Rolle spielt? Wieso lassen sich die Apps der Lufthansa oder der Sparkassen das Recht einräumen, ohne dass es auf dem Touchscreen sichtbar ist, Anrufe zu beliebigen Anschlüssen zu tätigen? Wieso nimmt sich die Radio-App Last.fm das Recht heraus, alle Kalendereinträge auf dem Smartphone zu lesen - und zudem selbst Termine einzutragen?

Und selbst wenn weder Lufthansa noch Sparkassen tatsächlich vorhaben, die Telefonrechnungen ihrer App-Nutzer heimlich in die Höhe zu treiben - „nicht schädlich heißt nicht ungefährlich“, sagt Trend-Micro-Technik-Experte Genes. „Besonders wenn ein Gerät sowohl privat als auch geschäftlich genutzt wird, ist es wichtig, zu wissen, was Apps auf dem Smartphone tatsächlich anrichten, bevor sie installiert werden.“

Gerade Laien aber haben kaum Chancen, die Datentransfers zu überwachen. Zwar erscheint zumindest im offiziellen Google Store beim erstmaligen Herunterladen ein Hinweis, welche Zugriffs- und Übertragungsrechte der Nutzer der App einräumt. Doch was genau sich hinter den teils extrem knappen, teils aber auch seitenlangen Erklärungen verbirgt, erschließt sich kaum einem Durchschnittstelefonierer.

Problematisch sind auch Programme, die seriös erscheinen, aber im Hintergrund Fallen aufstellen. So fordert etwa die App der Programmzeitschrift „TV Spielfilm“ „den Zugriff auf die Telefonfunktionen des Geräts“. Der Erklärtext lässt Böses ahnen: „Telefon- und Seriennummer des Geräts auslesen und feststellen, ob ein Anruf getätigt wird beziehungsweise welche Nummer angerufen wird.“ Wozu das gut sein soll, beim Blättern im TV-Programm, verschweigt „TV Spielfilm“. Sicherheitsberater Rogge warnt: „Solch ein Hinweis würde mich veranlassen, diese Software nicht zu installieren.“

Andere Anwendungen führen ihre Nutzer sogar an der Nase herum. Wer etwa die App von Facebook herunterlädt, wird zwar um Erlaubnis gefragt, ob Facebook auf persönliche Kontakte im Adressbuch zugreifen darf. Doch bei einer Analyse der Datenströme auf dem Handy stieß Rogge auf Überraschendes: Daten werden bereits übertragen, bevor der Nutzer die Erlaubnis erteilt. „Der Datentransfer findet Sekundenbruchteile früher statt“, erklärt der Sicherheitsexperte. „Wenn ich abgelehnt hätte, die Daten wären längst aus dem Adressbuch kopiert.“

Bei privaten Smartphone-Nutzern hilft in solchen Fällen nicht einmal mehr Skepsis, ob selbst so verlockende Gratisangebote wie WhatsApp wirklich die Aufgabe fast jeglicher Privatsphäre wert sind.

Doch auch bei den technisch meist potenteren Unternehmen ist ein Glaubensstreit entbrannt, wie sich die Risiken eindämmen lassen: Ganz wenige, beispielsweise die Deutsche Telekom, fahren einen harten Kurs und sprechen ein generelles Verbot für alle Mitarbeiter aus, sich mit eigenen Geräten ins Firmennetz einzuklinken.

Andere Unternehmen suchen nach dem goldenen Mittelweg - und versuchen mithilfe sogenannter Mobile-Device-Management-Systeme allzu dreiste Schnüffel-Apps von den Handys ihrer Mitarbeiter fernzuhalten.

Selbst das stark spionagegefährdete Deutsche Zentrum für Luft- und Raumfahrt (DLR) in Köln-Porz erlaubt Forschern inzwischen, sich mit eigenen Smartphones ins Unternehmensnetz einzuloggen - allerdings nur unter strengen Voraussetzungen. So sind nur die besser kontrollierbaren Apple- und Windows-Geräte zugelassen. Und: „Die Mitarbeiter müssen erlauben, dass wir auf den Geräten eingreifen können“, erklärt Hans-Joachim Popp, Chief Information Officer beim DLR. „Sonst können wir die Sicherheitsanforderungen bei Projekten mit hoher Geheimhaltung nicht einhalten.“ Dazu gehört auch das Recht, alle Telefoninhalte notfalls von Ferne zu löschen.

Auch SAP hofft, die Sicherheitsprobleme mit Softwarehilfe in den Griff zu bekommen. „Der Trend, dass Mitarbeiter eigene Smartphones ins Unternehmen bringen, lässt sich nicht aufhalten“, ist Oliver Bussmann, Chief Information Officer beim Walldorfer Softwareriesen, überzeugt. Sein Ansatz: eine Software, die Smartphones quasi eine doppelte Identität verleiht - und Geschäftliches und Privates strikt voneinander trennt. Das Produkt mit dem Namen Afaria wurde von der Tochtergesellschaft Sybase entwickelt, SAP ist selbst der größte Pilotkunde.

Wenn die Technik hält, was sich Bussmann von ihr verspricht, profitiert sein Unternehmen gleich doppelt: SAP bekäme die lästigen Schnüffel-Apps in den Griff - und einen neuen Bestseller.

Co-Autor: Thomas Kuhn