Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) prüft immer wieder routinemäßig Mobile-Apps auf deren konformen Umgang mit personenbezogenen Daten. Dabei kann des interne Verhalten der Apps so genau analysiert werden, wie es sonst nur der Entwickler der App wissen kann. Techniken aus dem Bereich der Schadcodeanalyse machen es möglich.

DYNAMISCHE ANALYSE

Hiermit können Datenflüsse sichtbar gemacht werden, die eine App mit den involvierten Servern durchführt. Wenn man diese Datenflüsse auf Netzwerkebene protokolliert und dazu „Man-in-the-Middle“-Techniken in der Laborumgebung einsetzt, kann nicht nur festgestellt werden, wann und mit welchen Servern eine App kommuniziert, sondern oft auch welche Daten an diese übertragen werden.

STATISCHE ANALYSE

Der Quelltext der App kann soweit rekonstruiert werden, dass die genaue Implementierung nachvollzogen werden kann. Statische Analysen mittels Reverse-Engineering-Techniken machen dies möglich. Bei Android basierten Apps kann man so beispelsweise feststellen welche Daten mit der Berechtigung „Kontakte lesen“ tatsächlich ausgelesen werden und was damit passiert.

FORENSISCHE ANALYSE

Dies bedeutet, dass die Datenspuren ausgewertet werden, die die Nutzung einer App auf dem Gerät hinterlässt. Dies ist möglich wenn man die Sicherheitsrestriktionen durch „Rooting“ oder „Jailbreak“ umgeht. Man kann hier Rückschlüsse  auf das interne Verhalten einer App ziehen, da die meisten Apps Daten in einer App-eigenen lokalen Datenbank abspeichern. Hier kann dann bei einer Prüfung schon einmal die Frage kommen, inwiefern ein in den Konfigurationsdateien im Klartext gespeichertes Passwort den Anforderungen an die Zugangskontrolle nach der Anlage zu § 9 BDSG noch erfüllen kann.

VIELE APPS MIT DATENSCHUTZMÄNGELN

Wie das BayLDA im letzten Jahresbericht veröffentlichte, wurden bei ca. 70% der geprüften Apps Mängel festgestellt:
So wurden Geräte- bzw. Kartenkennungen oftmals ohne Erfordernis und Einwilligung übertragen. Standortdaten wurden unnötig häufig oder unverhältnismäßig genau erfasst. Logging wurde oft sehr intensiv eingesetzt (z. T. mit personenbezogenen Daten). Auch Reichweitenmessungsverfahren wurden oft bei Apps mangelhaft eingesetzt. Teilweise erfolgte eine unverschlüsselte Übertragung der Zugangsdaten über HTTP und diverse Male erfolgte nur eine mangelhafte Löschung personenbezogener Daten bei der Deinstallation der App.
Bei diesen technischen Prüfungen von Apps hendelt es sich nicht mehr nur um Ausnahmen. Wie Thomas Kranig, der Präsident des BayLDA in seinem Bericht schreibt:
„Technische App-Prüfungen sind mittlerweile ein fester Bestandteil unseres ‚Werkzeugkastens‘ und werden sowohl bei Datenschutzbeschwerden über eine App als auch proaktiv und anlasslos für Kontrollen eingesetzt.“