Next Generation SharePoint
22.02.18 - 22.02.18
In München

BIG DATA Marketing Day
22.02.18 - 22.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

Pokemon GOPokémon GO heißt der neueste Hype auf dem Smartphone: Die Augmented Reality-App versetzt kleine virtuelle Monster in die reale Welt – und bringt genauso reale Datenschutz-Bedenken mit. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam.

Via GPS stoßen die Nutzer der App auf mehr als 100 Pokémons, die sie einfangen und gegeneinander kämpfen lassen. Vor einer Woche kam das Spiel aus den USA nach Deutschland und führt seither nahezu alle App-Charts an. Kurzweilig und spaßig ist die App, dafür jedoch verlangt Pokémon GO sehr viele Zugriffsrechte: Unter Android greift Version 0.29.2 auf Identität, Kontakte, Standort, Fotos und Medien, den Speicher sowie die Kamera zu. Darüber hinaus ruft Pokémon GO Daten aus dem Internet sowie Netzwerkverbindungen ab, steuert den Vibrationsalarm, führt Pairing mit Bluetooth-Geräten durch, verwendet Konten auf dem Gerät und deaktiviert den Ruhezustand des Smartphones. „Aufgrund der Augmented Reality-Basis des Spiels ist die Vielzahl der notwendigen Berechtigungen noch verständlich. Denn um Pokémon GO nutzen zu können, ist ein Großteil der Berechtigungen unabdingbar. Aber insgesamt ist unklar, auf welche Daten die App tatsächlich zugreift und was mit ihnen passiert“, sagt Christian Heutger, Geschäftsführer der PSW GROUP.

So äußert die Entwickler-Firma Niantic, übrigens als Start-up innerhalb des Google-Konzerns gegründet, bereits beim Login, dass „bestimmte Informationen“ eingeholt werden, „die zur Identifizierung genutzt werden können“. Welche Daten wie gespeichert werden geht nicht konkret aus den Datenschutzbedingungen hervor. „Je nachdem, wie die Daten nämlich gespeichert werden, wäre es entweder extrem leicht oder extrem schwer, aus kombinierten Daten Nutzerprofile anzulegen. Durch die GPS-Informationen wird zudem jeder Wegpunkt, den der Nutzer beim Spielen zurücklegt, aufgezeichnet und gespeichert, womöglich sogar veröffentlicht oder auch an Dritte weitergegeben. Daraus lassen sich hervorragend und kinderleicht Bewegungsprofile erstellen, die nachvollziehbar werden lassen, wo der User lebt und arbeitet, wo er sich gern aufhält und auch, mit wem er befreundet ist“, veranschaulicht Heutger.

Schwammige Formulierungen: Welche Daten werden gesammelt und was passiert mit ihnen?

Zwar ist nicht alles an der Datenschutzrichtlinie negativ, denn immer hin ist sie deutschsprachig veröffentlicht und Kinder unter 13 Jahren sind durch ein Elternteil bzw. einen gesetzlichen Vertreter zu ermächtigen. „Es fällt jedoch auf, dass sich Niantic weitgehend unklar ausdrückt. Schwammige Formulierungen lassen keinen Rückschluss darauf zu, welche Daten tatsächlich gesammelt oder weitergegeben werden“, bemängelt Christian Heutger. Dies äußert sich in Formulierungen wie: „Protokolldaten können solche Informationen enthalten wie die Internetprotokoll (IP)-Adresse, Useragent, Browser-Art, Betriebssystem, die Webseite, die ein Nutzer vor dem Zugriff auf unsere Services besucht hat, die Seiten oder Funktionen unserer Services, die ein Nutzer aufgesucht hat sowie die Zeit, die er auf diesen Seiten oder mit diesen Funktionen verbracht hat, Suchbegriffe, die Links in unseren Services, die ein Nutzer angeklickt hat und weitere statistische Daten.“

Schwammig formuliert sind auch die Aufklärung über Informationen, die von Mobilgeräten gesendet werden, beispielsweise „Wir erheben bestimmte Informationen, die Ihr Mobilgerät (oder das des von Ihnen ermächtigen Kindes) sendet [...]“ oder: „Wir könnten diese Informationen nutzen, um die Services bereitzustellen und unsere Services zu verbessern [...]“. Auch wenn es um die Weitergabe von Informationen an Drittanbieter geht, fällt der Konjunktiv extrem auf: Nahezu jeder Absatz beginnt mit „Wir könnten…“. „Es sträuben sich mir die Nackenhaare, wenn ich lesen muss, dass jegliche Informationen über den Spieler, die sich im Besitz von Niantic oder in dessen Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte weitergegeben werden, wenn das Unternehmen dies nach eigenem Ermessen für notwendig und angemessen erachtet“, kritisiert Heutger.

„Die Datenschutzrichtlinie ist ganz nach dem Motto "Friss, oder stirb" gestaltet: Entweder der Nutzer lässt sich gefallen, dass seine Daten wichtiger als deren Schutz sind, oder er fängt gar nicht erst an zu spielen. Denn einmal angemeldet, verbleiben gesammelte Daten selbst nach Löschung des Spiel-Accounts beim Entwickler, werden archiviert und munter weiterverwendet. In welchem Land das geschieht, ist unklar“, so das Fazit des IT-Sicherheitsexperten.

Weitere Informationen finden Sie hier.

www.psw-group.de
 

GRID LIST
Tb W190 H80 Crop Int 1431db6de97d039e8bbf4414f9561437

EU-DSGVO: E-Mail-Verschlüsselung ist Pflicht

Am 25. Mai ist es soweit: Dann endet die zweijährige Übergangsfrist für die Umsetzung der…
Tb W190 H80 Crop Int D496d4e654a82d3a5db63f080e72dbc4

Wie ECM-Lösungen bei der Umsetzung der DSGVO unterstützen

Am kommenden Sonntag ist europäischer Datenschutztag. Vor allem die Entscheider in…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security