idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instanz:
Teilen: 
21.10.2020 12:31

Informatiker im Undercover-Einsatz

Patricia Achter Dezernat Kommunikation
Otto-Friedrich-Universität Bamberg

    Drei Forscher haben mehr als 200 Apps getestet: Geben die Anbieter persönliche Nutzerdaten auf Anfrage heraus?

    Auch in der Wissenschaft gibt es verdeckte Ermittler: Mit sogenannter „Undercover-Feldforschung“ haben drei Informatiker der Universitäten Bamberg und Hamburg sowie der TU Berlin die Anbieter von Apps auf die Probe gestellt. Sie wollten herausfinden, ob diese wie vorgeschrieben die persönlichen Nutzerdaten auf Anfrage herausgeben. „Unsere Studie zeigt, dass viele Anbieter ihrer gesetzlichen Auskunftspflicht nicht nachkommen“, sagt Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen an der Universität Bamberg. „Insgesamt haben wir 225 iOS- und Android-Apps untersucht. Bei den meisten Anbietern gab es etwas zu beanstanden.“ Die Studie wurde im August auf der internationalen IT-Sicherheits-Konferenz „ARES 2020“ vorgestellt und als beste Einreichung mit dem Best-Paper-Award ausgezeichnet.

    Ein Fünftel der App-Anbieter antwortete nicht

    Dominik Herrmann, Jens Lindemann von der Universität Hamburg und Jacob Leon Kröger von der TU Berlin haben die Verlaufsstudie zwischen 2015 und 2019 durchgeführt. Der Titel lautet: „How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps“. Für ihre Undercover-Untersuchung legten die Informatiker fiktive Nutzerprofile an, sodass insgesamt 225 App-Anbieter Zugang zu diesen persönlichen Daten bekamen. Rund ein Drittel der Apps stammte aus Deutschland, die anderen aus Ländern weltweit. In den Jahren 2015, 2018 und 2019 baten die Wissenschaftler die Anbieter darum, ihnen die persönlichen Daten zu nennen, die sie von ihnen gespeichert hatten. „Viele Anbieter – im Schnitt 20 Prozent – antworteten gar nicht, manche waren nicht einmal erreichbar“, erläutert Dominik Herrmann. Häufig seien die Antworten ungenügend gewesen, etwa weil sie unverständlich strukturiert waren oder die Links zu den angeforderten Daten nicht funktionierten. „Ein Anbieter hat uns versehentlich sogar die sensiblen Daten einer anderen Person geschickt.“

    DSGVO führte nicht zu einer Verbesserung

    Besonderes Augenmerk legten die Wissenschaftler auf die Unterschiede zwischen 2018 und 2019. Im Mai 2018 wurde die Datenschutz-Grundverordnung (DSGVO) eingeführt, die unter anderem das Recht auf Auskunft über personenbezogene Daten konkretisiert. „Nach der Einführung erwarteten wir einen positiven Trend“, so Dominik Herrmann. „Stattdessen ging die Zahl der akzeptablen Antworten tendenziell eher noch zurück: von 53 Prozent im Jahr 2018 auf 41 Prozent im Jahr 2019.“ Eine Antwort war für die Wissenschaftler akzeptabel, wenn der Anbieter entweder die angeforderten Nutzerdaten schickte oder wenn er glaubwürdig begründen konnte, dass die Daten nicht mehr gespeichert waren. Bedenklich findet das Forscherteam, dass rund drei Viertel der Anbieter nicht die Identität der antragstellenden Person überprüften. Positive Entwicklungen stellten die Forscher innerhalb der vier Jahre nur in einzelnen Bereichen fest, beispielsweise wurden den Anfragenden häufiger verständliche Daten zur Verfügung gestellt.

    Verbesserung durch mehr Ressourcen und Stichproben

    Was können Nutzerinnen und Nutzer tun, die nicht die gewünschte Auskunft erhalten? „Betroffene sollten sich an Datenschutzbehörden wenden, die derartige Verstöße verfolgen“, erklärt Dominik Herrmann. Er empfiehlt außerdem, Apps grundsätzlich mit Bedacht auszuwählen und möglichst wenig Persönliches preiszugeben – oder gar falsche Angaben zu machen, sofern möglich. Um die Vorschriften der DSGVO besser durchzusetzen, sieht das Forscherteam vor allem den Staat in der Pflicht: „Die zuständigen Aufsichtsbehörden benötigen mehr Budget und Personal, um ihre gesetzlich vorgesehene Aufgabe zu erfüllen. Sie könnten dann umfassende Stichprobenkontrollen durchführen oder branchenspezifische Richtlinien für Unternehmen erlassen. Idealerweise stellen uns App-Anbieter in Zukunft einheitliche und – automatisierte Schnittstellen für solche Auskunftsanfragen zur Verfügung. Dadurch könnten sie auf die fehleranfällige manuelle Bearbeitung verzichten.“

    Publikation (Open Access):

    Jacob Leon Kröger, Jens Lindemann, Dominik Herrmann. 2020. How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps. ARES '20: Proceedings of the 15th International Conference on Availability, Reliability and Security.
    https://dl.acm.org/doi/10.1145/3407023.3407057

    Englische Video-Präsentation der wichtigsten Ergebnisse (15 Minuten): https://vimeo.com/444158701

    Das Projekt stammt aus dem Forschungsschwerpunkt „Digitale Geistes-, Sozial- und Humanwissenschaften“ der Universität Bamberg. Weitere Informationen und aktuelle Meldungen zum Schwerpunkt finden Sie unter www.uni-bamberg.de/forschung/profil/digitale-geistes-sozial-humanwissenschaften. ¬¬


    Wissenschaftliche Ansprechpartner:

    Prof. Dr. Dominik Herrmann
    Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen
    dominik.herrmann@uni-bamberg.de
    www.uni-bamberg.de/psi

    Hinweis: Derzeit ist der Ansprechpartner ausschließlich per Mail erreichbar. Er behält seinen E-Mail-Account regelmäßig im Blick und meldet sich gerne zeitnah zurück.


    Originalpublikation:

    Jacob Leon Kröger, Jens Lindemann, Dominik Herrmann. 2020. How do app vendors respond to subject access requests? A longitudinal privacy study on iOS and Android Apps. ARES '20: Proceedings of the 15th International Conference on Availability, Reliability and Security.
    https://dl.acm.org/doi/10.1145/3407023.3407057


    Weitere Informationen:



    Bilder

    Dominik Herrmann erforscht unter anderem, ob App-Anbieter persönliche Daten auf Anfrage zur Verfügung stellen.
    Dominik Herrmann erforscht unter anderem, ob App-Anbieter persönliche Daten auf Anfrage zur Verfügun ...

    Jürgen Schabel/Universität Bamberg


    Merkmale dieser Pressemitteilung:
    Journalisten, Wirtschaftsvertreter, Wissenschaftler, jedermann
    Informationstechnik, Recht
    überregional
    Forschungsergebnisse, Wissenschaftliche Publikationen
    Deutsch


     

    Dominik Herrmann erforscht unter anderem, ob App-Anbieter persönliche Daten auf Anfrage zur Verfügung stellen.


    Zum Download

    x

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).