1943748

Schwatzhafte Apps - Datenschutz am iPad

19.05.2014 | 12:12 Uhr |

Wer unterwegs mit dem iPad arbeitet, läuft Gefahr, dass seine Daten ausgespäht werden. Wir zeigen, welche Daten gesammelt werden und wie Sie sich schützen.

Mittlerweile lässt sich auch mit dem iPad ohne SIM-Karte unterwegs prima arbeiten, Hotels, Cafés, Bahnhöfe, Flughäfen – fast überall bieten Hotspots kostenlosen oder kostengünstigen Zugang zum Internet. Wenn man nicht nur lokal geladene Bücher lesen will, macht die Arbeit mit dem iPad erst dann Spaß. Genau hier lauern aber erhebliche Gefahren, böswillige Menschen können den Datenverkehr abhören und sogar mitschneiden ohne dass Sie das mitbekommen. Dementsprechend warnt der Chef von Europols Cybercrime-Abteilung Troels Oerting in einem Bericht bei BBC News vor der Nutzung unbekannter Hotspots. Mit teils neuen, aber meistens altbekannten Methoden locken illegale Datensammler Benutzer von iPad und anderen Tablets, Smartphones und Laptops in die Falle. Dazu schalten sie zwischen Hotspot und Internet einen speziellen Server, der einen „Man-in-the-middle-Angriff“ erlaubt. Er schneidet einfach den kompletten Datenverkehr mit, später lässt er sich auswerten. Nicht jede Aktion am iPad, die eine Internet-Verbindung nutzt, gibt Ihre persönlichen Daten preis, die Proxy-Server sammeln also auch viel Müll.

Häscher am Hotspot

Dementsprechend warnt er dringend davor, persönliche Daten via Tablet-PC, Smartphone oder Laptop an öffentlichen Hotspots über Apps, Programme oder Browser preiszugeben. Hacker stehlen aber nicht nur persönliche Daten wie Adressen und mehr, ihr Ziel sind Zugangsdaten zu Portalen und Bank-Accounts. Natürlich lassen sich auf diese Weise auch Online-Shopping-Aktivitäten mitschneiden und auswerten. Während viele große Portale sichere Verbindungen nutzen, tun das kleinere oft nicht. Bei der Nutzung von Apps kann der Benutzer nicht wissen, ob die Datenübertragung verschlüsselt läuft. Sicher ist die Nutzung des eigenen WLA Ns zu Hause.

Informationen preisgegeben

Wenn Sie unterwegs an einem entsprechend präparierten Hotspot etwa im Web surfen, ist die Ausbeute an Daten relativ gering. Lediglich festgehalten sind aufgerufene Webseiten, deren Abbildungen und so weiter – das kann im Zweifelsfall keinen Schaden anrichten. Websites, bei denen Sie sich zur Nutzung anmelden müssen, bergen da schon größere Gefahr: Wird die Verbindung zwischen Safari und dem Webserver nicht via SSL verschlüsselt, lassen sich Ihre Zugangsdaten leicht mitschneiden und später verwenden. So nutzen Sparkassen und andere Geldinstitute eine Verschlüsselung zwischen Ihrem Webbrowser und dem Bankserver. Ist sie intakt, kann auch ein Man-in-the-middle- Proxy keine verwertbaren Daten aufzeichnen. Europols Troels Oerting rät dennoch dringend davon ab, an Hotspots unterwegs Geldgeschäfte zu tätigen. Ganz anders in Ihrem privaten WLAN: Wenn Sie den WLA N-Zugang zu Ihrem Router mit einem langen, zufälligen Passwort und WPA2 geschützt haben, kann hier außer Ihnen selbst niemand Daten mitschneiden. Erst am nächsten Zwischenstopp der Daten, beim Provider, könnte ein Angriff stattfinden – für gewöhnliche Kriminelle ist das aber nicht machbar.

So schützen Sie sich gegen Hacker-Angriffe

Sicherheitsrisiko Apps

Komplett nicht abschätzen können Sie, welche Daten Apps auf iPad oder iPhone via Hotspot bei der Nutzung übermitteln und ob diese verschlüsselt übertragen werden. Das kleine grüne Schlosssymbol im Webbrowser, das SSL-Verschlüsselung signalisiert, fehlt bei der App. Dass die Apps sehr persönliche Daten zumindest nutzen und meist auch mit dem Server des App-Herstellers austauschen, können Sie oft zumindest ahnen: wenn eine App beim ersten Start um die Erlaubnis bittet, auf Ihre Kontakte, den aktuellen Ort, Kalender oder andere Apps und deren Daten zuzugreifen. In der Einstellung „Datenschutz“ zeigt Ihr iPad, welchen Apps Sie bereits Zugriff auf Daten gewährt haben – das lässt sich übrigens rückgängig machen. Potenziell übertragen diese Apps die Daten auch zum Server des App-Betreibers, wenn Sie aufgerufen werden und Internet-Verbindung haben. Dabei ist dies nicht begrenzt auf die von Ihnen erfassten Daten, viele Apps erfragen auch Ihren aktuellen Ort – ebenfalls nachdem Sie der Option zugestimmt haben.

Informationen freigeben

Viele Apps fragen bei der ersten Installation, ob sie auf den aktuellen Ort zugreifen und/oder Ihre Kontakte nutzen dürfen. Das ist zwar bequem, in aller Regel werden diese Informationen aber dann auch an den App-Hersteller beziehungsweise seine Server übertragen. iOS warnt Sie nicht nur davor, Sie können die Freigabe über die Einstellung „Datenschutz“ auch später rückgängig machen – dann sind Ihre Daten und die in Ihrem Adressbuch allerdings schon übertragen und lassen sich dort nicht mehr löschen.

Bequemlichkeit und Sammelwut

Ein auch von vielen Benutzern gewünschter Effekt ist schlicht der Bequemlichkeit geschuldet: Soll Ihnen eine App die nächste U-Bahn-Station samt Abfahrtzeit darstellen, muss sie Zugriff auf die Ortungsfunktion und damit auf Ihren Standort haben. Die Daten gehen natürlich zu den Servern des App-Betreibers. Wollen Sie einen Messenger nutzen und mit Freunden kommunizieren, wollen sie möglichst alle in der Liste der App finden, die den Messenger ebenfalls nutzen. Das klappt theoretisch händisch nach einigen Telefonaten, am einfachsten aber, wenn Sie der App Zugriff auf Ihre Adressen gewähren. Was dann passiert, ist klar: Die App überträgt die Daten aus Ihrem Adressbuch an den Server des Messenger-Herstellers und gleicht sie mit dort bereits vorhandenen Nutzerdaten ab – im Ergebnis bekommen Sie eine Liste mit möglichen Kommunikationspartnern. Was Sie dabei nicht unter Kontrolle haben, ist der Umfang des übertragenen Datenmaterials. Also ob etwa nur Namen und Mailadressen oder komplette Adressdatensätze auf die Reise gehen. Genau genommen müssten Sie – bevor Sie den Zugriff durch die App auf Kontakte erlauben – alle in Ihrem Adressbuch verzeichneten Personen fragen, ob Sie deren Daten einfach weitergeben dürfen. Neben der Bequemlichkeit, die sie bieten, sind komplette Datensätze inklusive Ortsdaten für jedes Unternehmen natürlich bares Geld wert. Trotz Datenschutzerklärung ist oft nicht nachvollziehbar, was mit Ihren Daten passiert, sind sie erst mal im Besitz eines App-Herstellers. Hier müssen Sie für jede App grundsätzlich entscheiden, ob Sie den Zugriff erlauben. Einige Apps, wie etwa Whatsapp am iPhone, funktionieren dann allerdings gar nicht. Ein auch von vielen Benutzern gewünschter Effekt ist schlicht der Bequemlichkeit geschuldet: Soll Ihnen eine App die nächste U-Bahn-Station samt Abfahrtzeit darstellen, muss sie Zugriff auf die Ortungsfunktion und damit auf Ihren Standort haben. Die Daten gehen natürlich zu den Servern des App-Betreibers. Wollen Sie einen Messenger nutzen und mit Freunden kommunizieren, wollen sie möglichst alle in der Liste der App finden, die den Messenger ebenfalls nutzen. Das klappt theoretisch händisch nach einigen Telefonaten, am einfachsten aber, wenn Sie der App Zugriff auf Ihre Adressen gewähren. Was dann passiert, ist klar: Die App überträgt die Daten aus Ihrem Adressbuch an den Server des Messenger-Herstellers und gleicht sie mit dort bereits vorhandenen Nutzerdaten ab – im Ergebnis bekommen Sie eine Liste mit möglichen Kommunikationspartnern. Was Sie dabei nicht unter Kontrolle haben, ist der Umfang des übertragenen Datenmaterials. Also ob etwa nur Namen und Mailadressen oder komplette Adressdatensätze auf die Reise gehen. Genau genommen müssten Sie – bevor Sie den Zugriff durch die App auf Kontakte erlauben – alle in Ihrem Adressbuch verzeichneten Personen fragen, ob Sie deren Daten einfach weitergeben dürfen. Neben der Bequemlichkeit, die sie bieten, sind komplette Datensätze inklusive Ortsdaten für jedes Unternehmen natürlich bares Geld wert. Trotz Datenschutzerklärung ist oft nicht nachvollziehbar, was mit Ihren Daten passiert, sind sie erst mal im Besitz eines App-Herstellers. Hier müssen Sie für jede App grundsätzlich entscheiden, ob Sie den Zugriff erlauben. Einige Apps, wie etwa Whatsapp am iPhone, funktionieren dann allerdings gar nicht.

Datenschleudern auf die Spur kommen

Normalerweise bekommen Sie nicht mit, welche Daten von Ihrem iPad an Server übertragen werden. Mithilfe eines Proxy-Servers, der eine Man-in-the-Middle-Attacke durchführt, lässt sich am Rechner anzeigen, welche Daten übertragen werden. Wir haben exemplarisch ein paar Apps ausprobiert. Die Ergebnisse lassen vermuten, dass es auch bei anderen Apps nicht viel besser aussieht. Unterwegs ist also Vorsicht geboten, wenn man seine Daten nicht „loswerden“ will. Viele App-Hersteller könnten hier nachbessern, sie sollten vor allem dem Benutzer mitteilen, welche Daten gezogen werden und wofür.

So surfen Sie auch mit dem Mac sicher im öffentlichen WLAN

Volle Transparenz

Um stichprobenartig auszuprobieren, welche Daten einzelne Apps transportieren und damit potenziell an einem präparierten Hotspot einem Hacker preisgeben, haben wir den Man-in-the-middle-Proxy Mitm auf unserem Rechner installiert und unserem Router vorgeschaltet. Auf diese Weise lässt sich einfach darstellen, welche Daten bei der Erstanmeldung und beim Betrieb der App fließen, ob diese verschlüsselt werden und ob nur das Nötigste übertragen wird. Während sich am Webbrowser über das kleine Schloss vor der URL und der grünen Darstellung der kompletten URL eine SSLVerbindung „erkennen“ lässt, bei der die Daten zwischen iPad und Server des Betreibers sicher sind, klappt das bei Apps nicht. Hebelt ein Hacker das SSL-Zertifikat aus und schiebt Ihnen ein gefälschtes über ein Profil unter, ist sogar eine vermeintlich sichere Verbindung gefährdet. Installieren Sie besonders unterwegs niemals Profile! Zurück zu unserem Test mit dem Proxy- Server. Wir haben ein paar Apps aus verschiedenen Bereichen geladen und uns bei Diensten angemeldet. Dabei sind wir jeweils der Bitte nach Freigabe der Kontakte nachgekommen. Unter den Messengern testen wir exemplarisch ICQ. Wie andere getestete Messenger ist auch die App nimmersatt und lädt sämtliche Telefonnummern all Ihrer Kontakte inklusive der Angabe, ob es sich um private oder geschäftliche Nummern handelt. Noch dreister ist Appme, der Messenger saugt die kompletten Daten mit Adressen, Mail und mehr. Die Apps von Xing und Linkedin nutzen innerhalb der App offensichtlich keine Verschlüsselung bei der Erstanmeldung, verlassen sich auf eine intakte verschlüsselte Internet-Verbindung, die der Proxy aushebelt – Account-Name und Passwort werden dargestellt. Später im Betrieb kommen sichere Tokens zum Einsatz. Die Twitter-App hingegen zeigt, wie es geht: Hier wird weder der Account-Name noch das Passwort sichtbar. Unsere stichprobenartigen Tests haben zwei Dinge gezeigt: Die Apps saugen Ihre Kontaktdaten begierig auf. Unterwegs sollten Sie die Dienste nur über die Mobilfunkverbindung nutzen, sonst am eigenen oder vertrauenswürdigen Hotspots.

0 Kommentare zu diesem Artikel
1943748