IT-Sicherheit Wie Kita-Apps Eltern und Kinder ausspionieren können
Forscher haben 42 Apps überprüft und teils gravierende Datenschutz- und Sicherheitsmängel festgestellt. Einige Apps verkaufen sogar die Daten ihrer Nutzerinnen und Nutzer an Dritte.
Kita-Apps sollen den Alltag in Kindertagesstätten erleichtern. Eltern können darüber beispielsweise Berichte über die Entwicklung ihres Kindes abrufen oder mit Erzieherinnen und Erziehern kommunizieren. Einige von diesen Anwendungen weisen jedoch gravierende Sicherheitsmängel auf. Zu diesem Schluss kommen Forschende der RUB, der Westfälischen Hochschule und des Bochumer Max-Planck-Instituts für Sicherheit und Privatsphäre gemeinsam mit einem Industriepartner. Sie analysierten 42 Kita-Apps aus Europa und den USA im Hinblick auf Sicherheit und Datenschutz. Bei einigen Apps konnten sie auf private Fotos der Kinder zugreifen; mehrere Anwendungen griffen ohne Einverständnis persönliche Daten von Nutzern ab und teilten diese mit Drittanbietern.
Die Ergebnisse stellt das Team um Dr. Matteo Große-Kampmann, der am Horst-Görtz-Institut für IT-Sicherheit der RUB promovierte, und Dr. Maximilian Golla vom Max-Planck-Institut für Sicherheit und Privatsphäre im Juli 2022 in Sydney auf dem „22nd Privacy Enhancing Technologies Symposium“ vor, welche als wichtigste Konferenz im Bereich der Privacy-Forschung gilt. Die Ergebnisse sind vorab online veröffentlicht.
„Laut der europäischen Datenschutzgrundverordnung und dem US-amerikanischen Children’s Online Privacy Protection Act unterliegen Daten von Kindern einem besonderen Schutz“, sagt Maximilian Golla. „Leider mussten wir feststellen, dass viele Apps diesen Schutz nicht gewährleisten können.“
Die Analysen erfolgten in Kooperation mit der AWARE7 GmbH. Das Team kontaktierte alle App-Hersteller vor der Veröffentlichung und machte sie auf die Schwachstellen aufmerksam.
Persönliche Daten werden teils verkauft
Von den untersuchten Apps wiesen acht gravierende Sicherheitsprobleme auf, die es Angreiferinnen und Angreifern beispielsweise ermöglichen würden, private Fotos der Kinder einzusehen. Bei 40 Apps stellten die Forscher fest, dass sie die Eltern sowie Erzieherinnen und Erzieher beobachten: Sie sammeln die Telefonnummer und E-Mail-Adresse der Nutzerin oder des Nutzers sowie Informationen zum verwendeten Gerät und zur Verwendung der App, etwa wann auf welchen Button geklickt wurde. Diese und andere Informationen teilen und verkaufen die Hersteller an Drittanbieter. So schreibt ein App-Entwickler: „... Daten zu Geschäftszwecken an Partner weitergeben, z. B. die durchschnittliche Anzahl der Windelwechsel pro Tag ...”. Häufig werden die Daten an Amazon, Facebook, Google oder Microsoft für gezielte Werbekampagnen weitergegeben.
Mangelhafte Datenschutzerklärungen
„Wir haben uns auch die Datenschutzerklärungen der Anbieter angesehen“, erklärt Maximilian Golla. „Dabei ergab sich ein erschreckendes Bild. Viele der Erklärungen haben noch nicht einmal erwähnt, dass sie Daten von Kindern verarbeiten, geschweige denn, dass sie Daten sammeln und verkaufen, obwohl sie das nach den gesetzlichen Vorschriften Europas und der USA müssten.“
Dahinter müssen jedoch nicht unbedingt böse Absichten stecken. „Wir vermuten, dass es sich um technische und organisatorische Probleme handelt“, so Matteo Große-Kampmann.
