WEBINAR: "Die Gefahren von iOS" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

Sie wollen nicht warten? Sprechen Sie direkt mit uns!

STOYL-App im Datenschutz-Test

8 Okt, 2021

Wie sicher ist die STOYL-App aus Hannover?

Die hannoversche STOYL-App setzt sich für den Erhalt lokaler Anbieter:innen ein und setzt sich zum Ziel, ihre Existenzen zu schützen. Doch wie sieht es mit dem Schutz und der Sicherheit der Nutzer:innendaten aus? mediaTest digital hat den Test gemacht und der neuen App einer umfassenden Datenschutz-Prüfung unterzogen.

STOLY APP

Version: iOS & Android 1.0.2

CVSS SCORE

0.0 (low)

U

ANALYSE-ERGEBNIS

  • Einsatz externer Tracker und Analysetools
  • Keine Übertragung persönlicher Informationen an Dritte
  • Datenübertragung ist verschlüsselt
  • Zugriffe: Kamera & Standort

Über die STOYL-App

Die NwBiz GmbH aus Hannover entwickelte STOYL im März 2020, um lokale Unternehmen in Zeiten der Corona-Krise finanziell zu entlasten. Auf der damaligen STOYL-Plattform konnten Nutzer:innen Gutscheine und Produkte von hannoverschen Unternehmen erwerben und zu einem beliebigen Zeitpunkt einlösen. Die Umsätze gingen an die jeweiligen Partner. Nach den ersten staatlichen Lockerungen konnten sich viele Anbieter:innen wieder erholen und aus der „save the ones you love“-Plattform wurde die „support the ones you love“-App. Diese setzt sich für den Erhalt lokaler Anbieter:innen in Hannover ein. Neben Informationsmaterial über regionale Unternehmen bietet die App die Funktion einer virtuellen STOYL-Card an, die sich Nutzer:innen für ein bis sechs Monate kaufen können (ab 4,95€ mtl.). Mit dieser Karte können User:innen exklusive Angebote (z.B. Rabattiererungen) bei den Partnern wahrnehmen.

Ergebnisse der Datenschutz-Prüfung

Die STOYL-App ist für iOS und Android in der Version 1.0.2 verfügbar. Die Sicherheitsexperten von mediaTest digital konnten feststellen, dass die App externe Tracker und Analysetools wie Firebase Analytics zur Auswertung des Nutzungsverhaltens einsetzt. An diese Werbenetzwerke fließen Geräte-Metadaten, jedoch keine persönlichen Informationen. Nutzer:innendaten (z.B. Login-Informationen) sendet die Anwendung verschlüsselt an den App-Hersteller. Den Datenschützern ist außerdem aufgefallen, dass in der iOS-Version die „App Transport Security“ (ATS) deaktiviert ist. Es handelt sich hierbei um ein iOS-Feature, das einen sicheren Datentransport via HTTPS-Verbindungen voraussetzt. Da diese Funktion ausgeschaltet ist, muss das Backend der STOYL-App sicherstellen, dass alle Verbindungen kodiert sind. Erfreulicherweise wurden während des Testlaufs keine unverschlüsselten Verbindungen aufgebaut. Weiterhin fordert die App sowohl auf Android- als auch auf iOS-Geräten den Zugriff auf die Kamera und den Standort der User:innen ein. Da diese Berechtigungen jedoch für den vollen Funktionsumfang der App notwendig sind, werden diese nicht als überprivilegiert eingestuft. Eine Man-in-the-Middle-Attacke war in den Testläufen zwar erfolgreich, es wurden jedoch ausreichend Gegenmaßnahmen festgestellt.

Fazit: Ein Positivbeispiel in Sachen Datenschutz!

Die STOYL-App stellt nicht nur eine gute Möglichkeit dar, lokale Anbieter:innen zu unterstützen. Sie kann auch aus datenschutzrechtlichen Gründen bedenkenlos genutzt werden. Die Anwendung übermittelt persönliche Nutzer:innendaten verschlüsselt und ausschließlich an den App-Hersteller. Bei der deaktivierten ATS-Funktion handelt es sich zwar um einen kleineren Mangel, hierbei werden jedoch keine Nutzer:innen-Informationen in Gefahr gebracht. mediaTest digital empfiehlt die Nutzung der App deshalb weiter und freut sich über ein Positivbeispiel in Sachen App-Security aus der Stadt Hannover!

Testergebnisse

Die detaillierten Testergebnisse finden Sie hier:

 

CHECKLISTE
5 Tipps zur sicheren App-Auswahl

Nutzen Sie unsere Checkliste, um zukünftig selbst über den Einsatz bestimmter Apps entscheiden zu können. Mit Tipps und Erklärungen untermauert hilft Sie Ihnen zukünftig im Entscheidungs- und App-Freigabe-Prozess.

App-Auswahl Checkliste sicherer Freigabeprozess

Das könnte Sie auch interessieren:

Whitepaper: Wie sicher ist iOS wirklich?

Lange Zeit galt der Mythos, dass Apple-Geräte immer sicher sind. In letzter Zeit scheint Apple seinen Status als uneinnehmbare Festung jedoch zu verlieren. Erfahren Sie in unserem 12-seitigen Whitepaper, wie Sie die Risiken umgehen können.
Update-Prüfung Corona-Warn-App

Update-Prüfung Corona-Warn-App

Die Corona-Warn-App wurde im Oktober geupdatet und beinhaltet jetzt auch einen QR-Code-Scan. Wie schneidet sie dabei datenschutzrechtlich ab?

Lage der IT-Sicherheit in Deutschland

Lage der IT-Sicherheit in Deutschland

Das BSI bestätigt, was Sicherheitsexperten schon lange wissen: Die IT-Sicherheit in Deutschland ist kritisch. Wie müssen wir darauf reagieren?

PRESSEKONTAKT

Karina Quentin | PR & Communication

press@appvisory.com
Telefon +49 (0)511 35 39 94 22
Fax +49 (0)511 35 39 94-12

Contact