Welche Business Apps kann ich sicher nutzen?
Mobiles Arbeiten ist mittlerweile fester Bestandteil des Arbeitsalltags in Unternehmen. Um am digitalen Arbeitsplatz möglichst viel umzusetzen, nutzt ein Großteil der Firmen Business Apps. Da im Unternehmen viele sensible Daten gespeichert und ausgetauscht werden, spielt das Sicherheitsniveau der eingesetzten Unternehmens-Apps eine wichtige Rolle. Um bei der Vielzahl an Apps für Unternehmen nicht den Überblick zu verlieren und Firmendaten nicht in Gefahr zu bringen, hat mediaTest digital die drei sichersten Business Apps identifiziert.
Was sind Business Apps?
Business Apps, zu deutsch Unternehmens-Apps, sind Anwendungen, die zur Unterstützung betrieblicher Aufgabenstellungen und für geschäftliche Zwecke auf Mobilgeräten genutzt werden. Sie verfolgen das Ziel, die betriebliche Produktivität zu erhöhen und Arbeitsabläufe zu vereinfachen. Ob die Planung von Projekten, die Abhaltung von Team-Konferenzen oder die Koordinierung von Terminen: Für nahezu jeden Unternehmensbereich existiert eine Business App.
factro statt Trello
Trello ist eine Projektmanagement-Plattform, bei der User:innen gemeinsam ein Kanban-Board zur Visualisierung des Workflows gestalten. Die Trello-App ist für Android (v 2021.17.16645) und iOS (v 2021.16.1) verfügbar. Beide Versionen weisen in der Quellcode-Analyse schwache Sicherheitsergebnisse vor. So fordert die iOS-Version den Zugriff auf den Standort und das Adressbuch der Nutzer:innen ein. Die Android-Version verlangt zusätzlich den Zugriff auf die App-Liste des Geräts. Zudem verwendet die App diverse Analyse-Tools und baut Verbindungen in die nicht DSGVO-konformen Vereinigten Staaten auf.
Eine sichere Alternative zu US-Playern wie Trello oder Asana ist die Bochumer Projektmanagement-App factro (iOS & Android v 0.5.0). Die Daten werden auf deutschen Servern gehostet, sodass die App den deutschen Datenschutzrichtlinien unterliegt und nicht nur DSGVO-, sondern auch BDSG-konform ist. Während die iOS-Version sehr gute Testergebnisse lieferte, weist die Android-Version noch vereinzelt Schwachstellen auf. So verwendet die Android-App das Tracking-Tool Google Firebase Analytics und fordert den Zugriff auf die App-Liste ein.
Collaboard statt Miro
Miro ist ein digitales Whiteboard, das die Zusammenarbeit und das Brainstorming mit Kolleg:innen ermöglicht. Teams können damit in Echtzeit und asynchron arbeiten. User:innen können sich die Miro App für iOS und Android in der Version 3.10.1 downloaden. Die App überträgt bei jedem Zugriff Daten in die USA, da amerikanische Tracker wie Google Firebase Analytics eingebunden sind. Erst ab Enterprise Level bietet Miro Datensicherungen auf europäischen Servern an.
Die Schweizer Mindmapping-App Collaboard ist für iOS in der Version 1.5 verfügbar. Die App hostet Daten in Europa und bindet keine externen Tracking-Dienste an. Es besteht zudem die Möglichkeit, die Daten selbst On-Premises oder in der Cloud zu hosten. Die eingeforderten Berechtigungen, wie der Zugriff auf die Kamera, sind für die volle Funktionsweise der App (z.B. für das Hinzufügen von Foto-Karten) notwendig und gelten deshalb nicht als überprivilegiert. Collaboard arbeitet mit einer 256-Bit-Ende-zu-Ende-Verschlüsselung sowie einer 2 Faktor-Authentifizierung. Die App gilt daher als datenschutzfreundliche Online-Whiteboard-Option.
Jitsi Meet statt Zoom
Zoom ist eine Videokonferenz-App, die insbesondere im Zuge der Corona-Pandemie große Bekanntheit erlangt hat. Sie ist auf iOS- (v 5.8.6) und Android- (v 5.9.0.3502) Geräten verfügbar. Leider ist es um die sensiblen Daten der Nutzer:innen, die per App der nächsten Videokonferenz beiwohnen, nicht gut bestellt. Denn die Zoom-App fordert zahlreiche Berechtigungen ein, die als vermeidbar einzustufen sind. Dazu gehört mitunter das Mitlesen der Kontakte, des Kalenders oder des exakten Standorts der User:innen. Die Anwendung hat zudem keine durchgehende und ausreichende Verschlüsselung und setzt das Tracking-Tool Google Firebase Analytics ein.
Jitsi Meet ist eine Open Source-Software für Videokonferenzen und gilt als sichere Alternative zu Tools wie Zoom oder Microsoft Teams. Nutzer:innen können die Jitsi Meet-App auf iOS- (v 21.4.3) und Android- (v 21.4.1) Geräten downloaden. Die App macht zwar Gebrauch von Tracking-Tools wie Google CrashLytics, verglichen zur Konkurrenz schneidet Jitsi Meet hierbei jedoch deutlich besser ab. Die Android-Version aus dem F-Droid-Store enthält keine Analyse-Tools und kann deshalb als datenschutzfreundlichere Variante genutzt werden. Lediglich bei der iOS-Version liefert die statische Analyse Hinweise darauf, dass möglicherweise ein Problem mit der Certificate Transparency besteht.
Lesen Sie hier mehr über das Sicherheitsniveau der Jitsi Meet-App!
Fazit zu den Business Apps
Business Apps haben im Zuge der Corona-Pandemie eine hohe Relevanz erlangt und sind aktuell unverzichtbar. Ein Nachteil von vielen Business Apps ist jedoch, dass diese personenbezogenen Daten auf US-amerikanischen Servern hosten. Sie unterliegen damit nicht mittelbar der europäischen DSGVO. Es existieren jedoch viele alternative Business Apps, wie fracto oder Collaboard, die DSGVO-konform arbeiten und deshalb vorzuziehen sind. Die aufgelisteten Alternativen zu populären Business-Apps wie Zoom & Co. gewährleisten deutlich mehr Sicherheit in Sachen Datenschutz, was insbesondere im Unternehmenskontext unverzichtbar ist.