Aktuelles, Branche - geschrieben von am Donnerstag, Juli 28, 2016 18:02 - noch keine Kommentare

Pokémon GO: Reale Datenschutz-Probleme durch virtuelle Monster

Neue Augmented-Reality-App mit großem Datenhunger

[datensicherheit.de, 28.07.2016] Datenschutz-Bedenken meldet die PSW GROUP angesichts der immer weiter um sich greifenden neuen Augmented-Reality-App „Pokémon GO“ für Smartphones an. Damit werden kleine virtuelle Monster in die reale Welt projiziert, sie kann aber auch zu unklaren Datenabflüssen führen.

„Pokémon GO“ verlangt sehr viele Zugriffsrechte

Mit Hilfe von GPS stoßen die Nutzer dieser App auf mehr als 100 „Pokémons“, die sie einfangen und gegeneinander kämpfen lassen. Vor Kurzem sei das Spiel aus den USA nach Deutschland gekommen und führe seither nahezu alle App-Charts an. Kurzweilig und spaßig sei die App wohl, dafür jedoch verlange „Pokémon GO“ sehr viele Zugriffsrechte – so greife unter „Android“ die Version 0.29.2 auf Identität, Kontakte, Standort, Fotos und Medien, den Speicher sowie die Kamera zu. Darüber hinaus rufe „Pokémon GO“ Daten aus dem Internet sowie Netzwerkverbindungen ab, steuere den Vibrationsalarm, führe Pairing mit Bluetooth-Geräten durch, verwende Konten auf dem Gerät und deaktiviere den Ruhezustand des Smartphones.
Aufgrund der Augmented-Reality-Basis des Spiels sei die Vielzahl der notwendigen Berechtigungen noch verständlich. Denn um „Pokémon GO“ nutzen zu können, sei ein Großteil der Berechtigungen unabdingbar. „Aber insgesamt ist unklar, auf welche Daten die App tatsächlich zugreift und was mit ihnen passiert“, sagt Christian Heutger, Geschäftsführer der PSW GROUP.

Erstellung von Bewegungsprofilen

So äußere die Entwickler-Firma Niantic, übrigens als Start-up innerhalb des Google-Konzerns gegründet, bereits beim Login, dass „bestimmte Informationen“ eingeholt würden, „die zur Identifizierung genutzt werden können“.
Welche Daten aber wie gespeichert werden, gehe nicht konkret aus den Datenschutzbedingungen hervor. „Je nachdem, wie die Daten nämlich gespeichert werden, wäre es entweder extrem leicht oder extrem schwer, aus kombinierten Daten Nutzerprofile anzulegen, erläutert Heutger. Durch die GPS-Informationen werde zudem jeder Wegpunkt, den der Nutzer beim Spielen zurücklegt, aufgezeichnet und gespeichert, womöglich sogar veröffentlicht oder auch an Dritte weitergegeben. „Daraus lassen sich hervorragend und kinderleicht Bewegungsprofile erstellen, die nachvollziehbar werden lassen, wo der User lebt und arbeitet, wo er sich gern aufhält und auch, mit wem er befreundet ist“, warnt Heutger.

Datenschutzrichtlinie ganz nach dem Motto „Friss oder stirb!“

Zwar sei nicht alles an der Datenschutzrichtlinie negativ, denn immerhin sei sie deutschsprachig veröffentlicht und Kinder unter 13 Jahren seien durch ein Elternteil bzw. einen gesetzlichen Vertreter zu ermächtigen.
Es falle jedoch auf, dass sich Niantic weitgehend unklar ausdrücke. „Schwammige Formulierungen lassen keinen Rückschluss darauf zu, welche Daten tatsächlich gesammelt oder weitergegeben werden“, bemängelt Heutger. Dies äußere sich in Formulierungen wie: „Protokolldaten können solche Informationen enthalten wie die Internetprotokoll (IP)-Adresse, Useragent, Browser-Art, Betriebssystem, die Webseite, die ein Nutzer vor dem Zugriff auf unsere Services besucht hat, die Seiten oder Funktionen unserer Services, die ein Nutzer aufgesucht hat sowie die Zeit, die er auf diesen Seiten oder mit diesen Funktionen verbracht hat, Suchbegriffe, die Links in unseren Services, die ein Nutzer angeklickt hat und weitere statistische Daten.“
Schwammig formuliert sei auch die Aufklärung über Informationen, die von Mobilgeräten gesendet werden, beispielsweise „Wir erheben bestimmte Informationen, die Ihr Mobilgerät (oder das des von Ihnen ermächtigen Kindes) sendet […]“ oder: „Wir könnten diese Informationen nutzen, um die Services bereitzustellen und unsere Services zu verbessern […]“.
Auch wenn es um die Weitergabe von Informationen an Drittanbieter geht, falle der Konjunktiv extrem auf: Nahezu jeder Absatz beginne mit „Wir könnten…“. Heutgers Kritik hierzu: „Es sträuben sich mir die Nackenhaare, wenn ich lesen muss, dass jegliche Informationen über den Spieler, die sich im Besitz von Niantic oder in dessen Kontrollbereich befinden, an Regierungen oder Strafverfolgungsbehörden oder private Beteiligte weitergegeben werden, wenn das Unternehmen dies nach eigenem Ermessen für notwendig und angemessen erachtet.“
Die Datenschutzrichtlinie sei ganz nach dem Motto „Friss oder stirb!“ gestaltet: Entweder der Nutzer lasse sich gefallen, dass seine Daten wichtiger als deren Schutz seien, oder er fange gar nicht erst an zu spielen. Denn einmal angemeldet, verblieben gesammelte Daten selbst nach Löschung des Spiel-Accounts beim Entwickler, würden archiviert und munter weiterverwendet. „In welchem Land das geschieht, ist unklar“, so Heutger.

Christian Heutger, Geschäftsführer PSW Group

© PSW Group

Christian Heutger kritisiert unklare Datenweiterverwendung

Weitere Informationen zum Thema:

PSW GROUP, 15.07.2016
Pokémon GO: virtuelle Monster bringen reelle Datenschutz-Probleme



Kommentieren

Kommentar

Current ye@r *

Kooperation

TeleTrusT – Bundesverband IT-Sicherheit e.V.

Schulungsangebot

mITSM ISO 27001 Zertfifizierungs Audit

Partner

ZIM-BB
fit4sec

Gefragte Themen


Datenschutzhinweis