Webinar: "Sicheres Arbeiten mit Apps" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

Sie wollen nicht warten? Sprechen Sie direkt mit uns!

STOYL-App im Datenschutz-Test

8 Okt, 2021

Wie sicher ist die STOYL-App aus Hannover?

Die hannoversche STOYL-App setzt sich für den Erhalt lokaler Anbieter:innen ein und setzt sich zum Ziel, ihre Existenzen zu schützen. Doch wie sieht es mit dem Schutz und der Sicherheit der Nutzer:innendaten aus? mediaTest digital hat den Test gemacht und der neuen App einer umfassenden Datenschutz-Prüfung unterzogen.

Über die STOYL-App

Die NwBiz GmbH aus Hannover entwickelte STOYL im März 2020, um lokale Unternehmen in Zeiten der Corona-Krise finanziell zu entlasten. Auf der damaligen STOYL-Plattform konnten Nutzer:innen Gutscheine und Produkte von hannoverschen Unternehmen erwerben und zu einem beliebigen Zeitpunkt einlösen. Die Umsätze gingen an die jeweiligen Partner. Nach den ersten staatlichen Lockerungen konnten sich viele Anbieter:innen wieder erholen und aus der „save the ones you love“-Plattform wurde die „support the ones you love“-App. Diese setzt sich für den Erhalt lokaler Anbieter:innen in Hannover ein. Neben Informationsmaterial über regionale Unternehmen bietet die App die Funktion einer virtuellen STOYL-Card an, die sich Nutzer:innen für ein bis sechs Monate kaufen können (ab 4,95€ mtl.). Mit dieser Karte können User:innen exklusive Angebote (z.B. Rabattiererungen) bei den Partnern wahrnehmen.

Ergebnisse der Datenschutz-Prüfung

Die STOYL-App ist für iOS und Android in der Version 1.0.2 verfügbar. Die Sicherheitsexperten von mediaTest digital konnten feststellen, dass die App externe Tracker und Analysetools wie Firebase Analytics zur Auswertung des Nutzungsverhaltens einsetzt. An diese Werbenetzwerke fließen Geräte-Metadaten, jedoch keine persönlichen Informationen. Nutzer:innendaten (z.B. Login-Informationen) sendet die Anwendung verschlüsselt an den App-Hersteller. Den Datenschützern ist außerdem aufgefallen, dass in der iOS-Version die „App Transport Security“ (ATS) deaktiviert ist. Es handelt sich hierbei um ein iOS-Feature, das einen sicheren Datentransport via HTTPS-Verbindungen voraussetzt. Da diese Funktion ausgeschaltet ist, muss das Backend der STOYL-App sicherstellen, dass alle Verbindungen kodiert sind. Erfreulicherweise wurden während des Testlaufs keine unverschlüsselten Verbindungen aufgebaut. Weiterhin fordert die App sowohl auf Android- als auch auf iOS-Geräten den Zugriff auf die Kamera und den Standort der User:innen ein. Da diese Berechtigungen jedoch für den vollen Funktionsumfang der App notwendig sind, werden diese nicht als überprivilegiert eingestuft. Eine Man-in-the-Middle-Attacke war in den Testläufen zwar erfolgreich, es wurden jedoch ausreichend Gegenmaßnahmen festgestellt.

Fazit: Ein Positivbeispiel in Sachen Datenschutz!

Die STOYL-App stellt nicht nur eine gute Möglichkeit dar, lokale Anbieter:innen zu unterstützen. Sie kann auch aus datenschutzrechtlichen Gründen bedenkenlos genutzt werden. Die Anwendung übermittelt persönliche Nutzer:innendaten verschlüsselt und ausschließlich an den App-Hersteller. Bei der deaktivierten ATS-Funktion handelt es sich zwar um einen kleineren Mangel, hierbei werden jedoch keine Nutzer:innen-Informationen in Gefahr gebracht. mediaTest digital empfiehlt die Nutzung der App deshalb weiter und freut sich über ein Positivbeispiel in Sachen App-Security aus der Stadt Hannover!

Testergebnisse

Die detaillierten Testergebnisse finden Sie hier:

 

Möchten Sie die eingesetzten Apps in Ihrem Unternehmen überprüfen lassen?

APPVISORY analysiert schnell und einfach Ihre Apps hinsichtlich Datenschutz- und Sicherheitsrisiken. Als Unternehmen können Sie die Vollversion 14 Tage lang kostenlos testen.

Das könnte Sie auch interessieren:

Whitepaper: Wie sicher ist iOS wirklich?

Lange Zeit galt der Mythos, dass Apple-Geräte immer sicher sind. In letzter Zeit scheint Apple seinen Status als uneinnehmbare Festung jedoch zu verlieren. Erfahren Sie in unserem 12-seitigen Whitepaper, wie Sie die Risiken umgehen können.

PRESSEKONTAKT

Karina Quentin | PR & Communication

press@appvisory.com
Telefon +49 (0)511 35 39 94 22
Fax +49 (0)511 35 39 94-12

Newsletter

Exklusive Tipps und Neuigkeiten rund um Apps und Mobile Sicherheit

Contact