Webinar: "Sicheres Arbeiten mit Apps" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

Sie wollen nicht warten? Sprechen Sie direkt mit uns!

Wahlkampf-Apps im Datenschutz-Test

1 Sep, 2021

Wahlkampf-Apps: Welche Partei macht das Rennen?

Die Bundestagswahl 2021 steht an und es sind nur noch wenige Wochen bis zum entscheidenden Kreuz am 26. September. Insbesondere das Rennen zwischen Union, SPD und Grüne ist aktuellen Umfragen zufolge knapp. So wird wohl auch eine dieser Parteien den oder die zukünftige:n Bundeskanzler:in stellen. Viele der Parteien nutzen im Wahlkampf partei-eigene Apps, um ihre Wähler:innen gezielter zu mobilisieren. In den Apps können Informationen vermerkt werden wie Tür geöffnet? Kandidat:in bekannt? Wahlabsicht vorhanden? Dazu noch das Geschlecht und das ungefähre Alter der Befragten. Da es sich bei politischen Einstellungen um sensible Daten handelt, fragt sich, wie die Wahlkampf-Apps mit diesen Informationen umgehen.

Das Team von mediaTest digital hat deshalb die Apps der stärksten Parteien einer umfangreichen Datenschutz-Prüfung unterzogen. Dabei ist aufgefallen, dass nur die wenigsten Parteien öffentlich zugängliche Apps stellen. Für die meisten Apps muss man Mitglied sein, um diese nutzen zu können. Ohne Mitgliedschaft sind lediglich die Apps der CDU, der Grünen und der SPD prüfbar, weshalb nachfolgend die Apps dieser Parteien aufgeführt sind.

Meine CDU

Die offizielle Wahlkampf-App der CDU „CDU connect“ kann nur als Mitglied getestet werden. Die Prüfer von mediaTest digital haben deshalb die allgemeine Partei-App Meine CDU für Mitglieder und Anhänger:innen geprüft. In der App können Nutzer:innen Partei-Nachrichten und Termine einsehen sowie Anmeldungen zu Veranstaltungen vornehmen. Außerdem beinhaltet die App Wahlkampf-Tipps und bietet die Möglichkeit, Mitglieder per Beitrittserklärung zu werben. Die App ist in der Version 1.8.3 sowohl für iOS- als auch für Android-Geräte verfügbar.

Die Datenschützer konnten feststellen, dass die App sowohl auf Android- als auch auf iOS-Geräten Tracker und Analyse-Tools wie Facebook Analytics und Google Analytics zur Auswertung des Nutzungsverhaltens einsetzt. Die darüber erfassten Nutzer:innendaten sendet die App verschlüsselt an den App-Hersteller. Die Anwendung fordert auf beiden Betriebssystemen Zugriff auf das Mikrofon, die Kontakte und den dauerhaften Standort der Nutzer:innen an. Die Sicherheitsexperten stufen diese Berechtigungen als überprivilegiert ein, da diese nicht notwendig für den Funktionsumfang der App erscheinen. Als Begründung für die Zugriffsberechtigungen nennt die App Argumente wie „damit die App funktioniert“, welche eindeutig zu vage formuliert sind. Eine ausführliche Erklärung wäre an dieser Stelle angebracht.

Den Datenschützern ist weiterhin negativ aufgefallen, dass die Android-Version nur mit dem Signaturmechanismus v1 signiert ist. Dies macht sie angreifbar für die Janus vulnerability. Bei Janus handelt es sich um eine Android-Sicherheitslücke, die es Angreifern erlaubt, installierte Apps durch modifizierte Updates zu verändern, ohne ihre Signatur umzuwandeln. Eine Signatur mit v2 bietet mehr Schutz vor unbefugten Veränderungen und sollte stattdessen verwendet werden. Auffällig ist zudem, dass die App seit Dezember 2018 nicht mehr geupdatet wurde. App-Updates können kritische Schwachstellen beseitigen, weshalb eine Aktualisierung der „Meine CDU“-App dringend vorgenommen werden sollte.

Grüne Wahlkampf-App

In der Grüne Wahlkampf-App können grüne Wahlkämpfer:innen ihre Wahlkampfaktivitäten beim Plakatieren und dem Tür-zu-Tür-Wahlkampf dokumentieren. Die App unterstützt zudem die Kreisverbände beim Organisieren ihrer Aktivitäten. Sie ist für iOS und Android in der Version 2.3.1 verfügbar.

Die Sicherheitsexperten von mediaTest digital konnten erfreulicherweise feststellen, dass die App keine Tracker oder Analyse-Tools zur Auswertung des Nutzungsverhaltens verwendet. Nutzer:innendaten werden zudem verschlüsselt und ausschließlich an den App-Hersteller übermittelt. Die App fordert Zugriff auf den dauerhaften Standort und die Fotogalerie an sowie bei iOS-Geräten zusätzlich auf die Kamera. Die Berechtigungen sind für den vollen Funktionsumfang der App erforderlich, weshalb die Datenschützer sie nicht als überprivilegiert einstufen. Nachholbedarf besteht allerdings in der Erläuterung der Berechtigungen. Diese sollten transparenter begründet werden, da Aussagen wie „Die App benötigt Zugriff auf die Fotos, um Bilder anzeigen zu können“ zu passiv und ungenau sind.

SPD Tür-zu-Tür

Auch die SPD führt ihren Wahlkampf mit App-Unterstützung und nutzt hierfür die Tür-zu-Tür App. In der App können die Wahlkämpfer:innen zwischen verschiedenen Fragebögen à 3 Fragen wählen und die Ergebnisse der Tür-Befragungen direkt in der App eintragen. Die vermerkten Ergebnisse stellt die App den Wahlkampfteams für den weiteren Wahlkampf zur Verfügung. Die Wahlkampf-App der SPD ist für Android- und iOS-Geräten in der Version 1.20 in den gängigen App Stores verfügbar.

Erfreulicherweise haben die Sicherheits-Tests ergeben, dass die App auf beiden Betriebssystemen keine externen Tracker oder Analyse-Tools einsetzt. Weiterhin ist den Datenschützern positiv aufgefallen, dass die Anwendung Nutzer:innendaten verschlüsselt an den App-Hersteller sendet. Eine Man-in-the-Middle-Attacke war in den Testläufen zwar erfolgreich, es wurden jedoch ausreichend Gegenmaßnahmen festgestellt. Die App fordert sowohl in der iOS- als auch in der Android-Version den Zugriff auf den dauerhaften Standort der Nutzer:innen via GPS oder WiFi ein. Da diese Berechtigung für die Ermittlung des Wahlkreises und somit für den vollen Funktionsumfang der Applikation notwendig ist, ordnen die Sicherheitsexperten sie nicht als überprivilegiert ein.

Fazit zu den Wahlkampf-Apps

Die Wahlkampf-Apps bieten Ehrenamtlichen eine digitale Möglichkeit, ihren Wahlkampf schnell, unkompliziert und modern zu führen. Die offiziellen Wahlkampf-Apps der Grünen und der SPD können Wahlkämpfer:innen auch aus datenschutzrechtlichen Gründen bedenkenlos nutzen. Die allgemeine Partei-App der CDU „Meine CDU“ sollten die Hersteller datenschutztechnisch nachrüsten, da sie an einigen Punkten Schwachstellen vorweist. An dieser Stelle sei nochmals darauf hingewiesen, dass die Sicherheitsexperten die App „CDU connect“ aufgrund von Zugänglichkeits-Hürden nicht prüfen konnten und deshalb keine Aussagen über das Sicherheitsniveau der offiziellen CDU Wahlkampf-App treffen können. Das Gleiche gilt für die Wahlkampf-Apps der übrigen Parteien im Bundestag.

Testergebnisse

Die detaillierten Testergebnisse finden Sie hier:

Haben Sie Fragen zur Sicherheit Ihrer eingesetzten Mobilgeräte?

Das könnte Sie auch interessieren:

Whitepaper: Wie sicher ist iOS wirklich?

Lange Zeit galt der Mythos, dass Apple-Geräte immer sicher sind. In letzter Zeit scheint Apple seinen Status als uneinnehmbare Festung jedoch zu verlieren. Erfahren Sie in unserem 12-seitigen Whitepaper, wie Sie die Risiken umgehen können.

PRESSEKONTAKT

Karina Quentin | PR & Communication

press@appvisory.com
Telefon +49 (0)511 35 39 94 22
Fax +49 (0)511 35 39 94-12

Newsletter

Exklusive Tipps und Neuigkeiten rund um Apps und Mobile Sicherheit

Contact