Smartphone als Einfallstor für Hacker und Datenschutzverletzung
Das Smartphone kann als Einfallstor für Hacker missbraucht werden. Auch Datenschutz-Verletzungen sind schnell – und meistens unabsichtlich – geschehen. Wie gelingt es am besten, die Smartphone-Tür abzusichern und dennoch alle Möglichkeiten der Kommunikation für den Beruf nutzen zu können?

Gefahrenquelle: Kostenlose und neugierige Apps

Eine kostenlose App kann teuer werden, beziehungsweise Schaden anrichten. Nämlich dann, wenn diese App datenschutzwürdige Informationen aus der Firma (und dem Privatleben) abfragt, weiter verarbeitet und an (unbefugte) Dritte weiter gibt.

Zum Beispiel gibt es Apps für die Taschenlampen-Funktion, die wie selbstverständlich wissen wollen, wo man sich aufhält. Diese Apps fragen den Standort ab, was in diesem Kontext total irrelevant ist. Weiterhin wird oft die Gerätenummer abgefragt – auch das ist für die Funktion nicht nötig. Ganz neugierige Apps interessieren sich für den Telefonstatus und die Identität von Kommunikationspartnern – auf welcher Ebene auch immer. Sind diese Taschenlampen-Apps Spionage-Tools?

Der Verdacht liegt nahe, denn die einzige Erlaubnis, die man solchen Apps geben sollte, ist der Zugriff auf die Kamera. Denn der Kamerablitz oder das LED-Licht wird als Quelle für die Beleuchtung benutzt. Mehr Zugriff braucht diese App wirklich nicht.

Smartphone Navigations-App BerechtigungenEine App, die Sprache aufnimmt und weiterleitet (Messenger, Diktier-App) benötigt natürlich Zugriff auf das Mikrophon. Viele Apps verlangen diesen Zugriff ebenso, auch wenn diese Funktion gar nicht mit dieser App genutzt werden kann. Hier liegt die Gefahr darin, dass Sie Ihrem Smartphone erlauben, als mobile Wanze missbraucht zu werden.

Die Geheimhaltung von Firmeninterna – während einer vertraulichen Besprechung beispielsweise –  ist damit nicht gewährleistet. Sollte ein Hacker den Spitzel-Auftrag von der Konkurrenz mittels dieser App ausführen, dann können Sie ahnen, was passiert.

Bei wirklich geheimen Besprechungen und bei Gesprächen über Firmen-Strategien und Innovationen sollten die Smartphones aller Beteiligten am besten nicht im selben Raum sein – das wäre konsequent zu Ende gedacht.

Bei der Installation und Nutzung von allen Apps sollte man also darauf achten, dass man nur das freigibt und Zugriffsrechte dafür erteilt, was unbedingt nötig ist. Eine Navigations-App funktioniert natürlich nur, wenn sie auf den Standort zugreifen kann. Aber muss die Navi-App auch unbedingt die eigene Kontaktliste einlesen? Das müsste sie nur, wenn es einen Mehrwert gäbe, der dringend gebraucht würde. Aber seien wir mal ehrlich: Ist es nicht zu viel Bequemlichkeit, wenn man nicht mal mehr eine Straße und einen Ort als Ziel in die Navi-App eingeben mag?

Weiterführende Informationen über Malware auf Android Smartphones und wie man die Gefahr für das eigene Business vermeidet, bekommen Sie in diesem ausführlichen Artikel.

„Kontaktsuchende“ Apps und der Datenschutz

Smartphone WhatsAppOftmals werden gesammelte Daten zu Werbezwecken genutzt oder weiter gegeben. Dafür werden Telefonnummern, E-Mail-Adressen und weitere Kontaktdaten wie Geburtsdatum und ähnliches ausgelesen. Unsere Smartphones sind also wahre Daten-Oasen für Werbetreibende – und für Hacker! Verifizierter kann man Daten nicht erheben, in dem man ein gut gepflegtes Telefonbuch aus einem Smartphone bekommt.

Die Alarmglocken sollten also angehen, sobald eine App die eigene Kontaktliste „hinzufügen“ möchte. Damit erlaubt man dem Betreiber dieser App die Daten in die App-Struktur einzulesen. Eine Verarbeitung und Speicherung der Daten auf Anbieterseite ist dann möglich.

Genügend Apps versprechen, dass man sehen kann, mit wem man noch nicht auf dieser oder jenen Plattform verknüpft (befreundet) ist. Manch andere Network-App sendet sogar Einladungen für die Plattform an die gesammelten E-Mail-Adressen. Davon weiß der App-Nutzer meistens nichts oder er/sie sieht nur seinen Vorteil. Damit rechnen die Apps, dass der Mehrwert höher erscheint und die App-Nutzer daher die weitreichende Erlaubnis geben, auf private und geschäftliche Daten zuzugreifen.

Schauen wir uns WhatsApp einmal genauer an

WhatsApp ist ein Instant-Messaging-Dienst, mit dem Text- und Sprachnachrichten, aber auch Bild-, und Video-Dateien versendet und empfangen werden können. Laut Statista nutzten Ende 2016 55% der Deutschen diese App, weltweit waren es sogar 1,2 Milliarden Menschen.

Mit dem Akzeptieren der Nutzungsbedingungen erlaubt man wie selbstverständlich dem Unternehmen WhatsApp Inc., das übrigens seit 2014 zu Facebook gehört, die eigenen Kontakte auf dem Gerät auszulesen.

Interessant ist auch, dass man mit WhatsApp keine neuen Kontakte (aus der Ferne) über die reine Angabe einer Mobilfunknummer hinzufügen kann. Wer das Auslesen der Kontakte verboten hat, kann sich nur hinzufügen lassen! Und gibt damit indirekt den Schwarzen Peter an denjenigen, der einen hinzufügt. Denn dieser muss in der App Zugriff auf seine Kontakte gewähren. Damit macht sich der WhatsApp-Kontakt sogar strafbar, wenn man es rechtlich genau auslegt. Ein Beispiel aus der Praxis zeigt es auf.

Praxisbeispiel Datenschutz und Datenweitergabe

Neulich ist ein Fall bekannt geworden, der an sich in die familiäre Privatsphäre gehört, aber vor einem Amtsgericht verhandelt wurde. Das Amtsgericht Bad Hersfeld hat (mit Beschl. v. 15.05.2017, Az.: F 120/17 EASO) eine Mutter dazu verpflichtet, der Whatsapp-Nutzung ihres Kindes einen kontrollierenden Rahmen oder aber Grenzen zu setzen. Warum? Unter anderem, da die Gefahr bestehe, dass das Kind von Dritten kostenpflichtig abgemahnt werden könne. Denn auf dem Handy des Kindes waren Kontaktdaten gespeichert. Diese Daten wiederum können von WhatsApp ausgelesen und weitergegeben werden, was die Rechte der Betroffenen auf Schutz ihrer personenbezogenen Daten (in dem Fall: Kontaktdaten) verletzt.

Der folgende Auszug aus dem Beschluss des Amtsgerichts macht klar: Es wollte den dreizehnjährigen Jungen E. vor der Praxis der Datenerfassung und -weitergabe durch WhatsApp schützen:

E. wurden in der Kindesanhörung in altersgerechter Sprache die Begriffe Daten, Datenerfassung, Datenweitergabe und Schutz von Daten sowie Hintergründe hierzu erläutert. (…) In Bezug auf die von ihm benannte App „WhatsApp“ ist E. erläutert worden, in welcher Form und in welchem Umfang eine Datenweitergabe von seinem Smartphone über diese Applikation ab dem Moment der Installation laufend automatisiert erfolgt. Hierzu erklärte E., eine derartige Datenweitergabe über diese App habe er von sich aus weder gewollt noch von diesen Umständen bisher überhaupt gewusst.

Kurz gesagt: Eltern wurden dazu verdonnert, ihre Kinder von WhatsApp fernzuhalten, da dessen Umgang mit Daten nicht den Gesetzen in Deutschland entspreche. Geht es uns da nicht ähnlich? Wer macht sich Gedanken bei der Nutzung von WhatsApp darüber, dass die Datenweitergabe ohne unseren Willen und Wissen einfach erfolgt? Weiterhin erklärte das Gericht:

Wer den Messenger-Dienst „WhatsApp“ nutzt, übermittelt nach den technischen Vorgaben des Dienstes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen.

Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.

Besteht Abmahnungsgefahr, wenn keine Erlaubnis der Datenweitergabe bei der WhatsApp-Nutzung vorliegt?

Das gilt nun nicht nur für einen dreizehnjährigen Jungen, sondern das Gericht hat dieses (meines Erachtens) ja allgemeingültig festgestellt! Somit sind wir alle betroffen, sobald wir eine App nutzen, der wir erlauben (müssen), das eigene Adressbuch zu nutzen beziehungsweise den Zugriff darauf zu erlauben.

Wie sieht das nun im Business aus? Müssen wir allen Kontakten, die in unserem Smartphone-Adressbuch stehen, Bescheid geben, dass die Daten an WhatsApp weitergeleitet und diese dort genutzt werden? Ja, wir müssten jeden einzeln um Erlaubnis fragen! Könnten wir abgemahnt werden, sobald bekannt wird, dass wir WhatsApp beruflich sowie privat nutzen? Das Amtsgericht hat auf jeden Fall darauf aufmerksam gemacht, dass wir die Nutzungsbedingungen bei WhatsApp akzeptiert haben. Die Informationen, die gesammelt werden, hat WhatsApp hier zusammengestellt: Datenschutzrichtlinie.

Das Amtsgericht hat interessanterweise sogar im Beschluss noch eine Empfehlung für andere Messenger-Dienste mitgeteilt:

[…] Dies ist nach betreffender Recherche des Gerichts exemplarisch bei den Messenger-Diensten „Threema“ und „Hoccer“ gegeben. Die dahinter stehenden Betreiber aus Deutschland (www.hoccer.com) bzw. aus der Schweiz (www.threema.ch) intendieren keine Datenauswertung und -vermarktung in Bezug auf den Nutzer und seine Kontakte (Quelle: Stiftung Warentest, 8/2015, S. 47 ff.), weshalb nach deren rechtlicher Zusicherung auch keine Speicherung von Kontaktdaten auf deren Servern erfolgt.

Daraus könnte man indirekt die Empfehlung ableiten, auf andere Messenger auszuweichen, die es mit dem Datenschutz genauer nehmen.

Was können wir tun? Geht es soweit, dass wir ein WhatsApp-Smartphone haben müssen, in dem keine Kontaktdaten, kein Adressbuch vorhanden ist? Sollten wir nun ein reines Business-Smartphone besitzen, mit dem wir datenschutzkonform arbeiten können?

In der Praxis ist das bei vielen Freiberuflern und Selbstständigen gar nicht machbar, da hier teilweise auch eine Vermischung einhergeht. Da fragt der langjährige Facebook-Freund über WhatsApp an, ob man ein geschäftliches Angebot für ein Projekt abgeben möchte oder ähnliches.

Verantwortliche Unternehmen sollten sich mit dem Thema auseinandersetzen und über folgende Maßnahmen nachdenken:

  • Aufklären aller Mitarbeiter über Art und Umfang der Zugriffe auf Daten, die man als Nutzer diversen Apps bei der Installation erlaubt – was kann die Folge sein, wenn man Zugriff auf Kamera, Mikrofon, Standort und Kontakte gewährt?
  • Information der Belegschaft über die rechtlichen und geschäftlichen Risiken datensammelnder Apps auf Smartphones
  • Aufruf, auf das Installieren nicht zwingend notwendiger Apps zu verzichten
  • Sensibilisierung für Lausch- und Spionagefunktionen von Smartphone Apps auf dem privaten Handy, das ins Unternehmen mitgebracht wird
  • ggf. Regelungen, die eine Mitnahme privater Smartphones in sensible Unternehmensbereiche einschränken
  • Auswahl und Implementierungen von Sicherheits-Software für firmeneigene Smartphones gegen Datenlecks (z.B. Firewall-Lösungen)
  • Verfassen klarer Leitlinien für die Belegschaft, aus denen hervorgeht, welche Apps oder welche Typen von Apps auf Dienst-Smartphones erlaubt sind
  • Solche Regelungen lassen sich bei Firmenhandys auch technisch durchsetzen. Es lässt sich beispielsweise zentral für alle Geräte einstellen, was installiert werden kann und was nicht (Mobile Device Management)

Hiscox Kunden können mit einem Cyber eLearning ihre Mitarbeiter kostenlos über digitale Sicherheitsrisiken aufklären und für den korrekten Umgang mit Daten sensibilisieren.

Wir in der Redaktion sind gespannt, was in Zukunft noch in Sachen Datenschutz und Smartphone-Nutzung passiert. Ob es neue Urteile geben wird und welche Konsequenzen daraus erwachsen werden. Wie ist ihre Meinung dazu?

 

Nicole Y. JodeleitAutorin dieses Beitrags:

Nicole Y. Jodeleit ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen. Auf dem eigenen Blog Auto-Diva hat sie ihr Interesse für Autos und Technik zur Passion gemacht.