Innenminister Gerhard Karner (ÖVP) gab am Mittwoch vor dem Ministerrat bekannt, dass die Nutzung von TikTok auf Diensthandys im Bereich des Bundes aus Sicherheitsbedenken untersagt werden soll.
Peter Schartner, Mitwirkender von „Informatik Austria“, bezieht nun Stellung: Dieser Schritt sei zwar nachvollziehbar, aber nicht ausreichend: Statt über einzelne Apps und deren Verbot nachzudenken (das man mit Sicherheit umgehen wird), sollte die EU versuchen, alle Betreiber zur Einhaltung der DSGVO und anderer relevanter Gesetze zu motivieren.
„Dieser Schritt ist nachvollziehbar, aber unabhängig vom konkret genutzten Service bzw. der konkret genutzten mobilen App“, erklärt Peter Schartner, Assoziierter Professor für IT-Sicherheit an der Universität Klagenfurt. Statt über einzelne Apps und
deren Verbot nachzudenken (das man mit Sicherheit umgehen wird), sollte die EU versuchen, alle Betreiber zur Einhaltung der DSGVO und anderer relevanter Gesetze zu motivieren.
Denn Apps würden häufig eine Menge persönlicher Daten sammeln. Möglich sei das, indem sie vor der Installation die zugehörigen Berechtigungen anfordern, um auf bestimmte Funktionen und Daten des Telefons zuzugreifen: „Eine App, die Kommunikation ermöglicht, benötigt beispielsweise Zugriff auf das Internet, SMS oder die Kontakte. Eine Navigationsapp wiederum benötigt Standortinformationen.“ Das Problem: „Apps können möglicherweise mehr Berechtigungen anfordern, als sie tatsächlich benötigen“, sagt Schartner. „Auf diese Weise können sie Daten erfassen, die mit dem eigentlichen Zweck der App gar nichts mehr zu tun haben.“ Daten, die dann in unterschiedlichster Weise genutzt und missbraucht werden können: „In den falschen Händen können sie für schädliche Zwecke verwendet werden, wie für Identitätsdiebstahl oder Betrug.“
Hinzu komme, dass für personenbezogene Daten in manchen Regionen der Welt ein höherer Schutz gelte (z.B. die DSGVO der EU), als in anderen.
Geschäftsgeheimnisse können in falsche Hände geraten
Während Nutzer:innen auf privaten Handys selbst darüber bestimmen können, welche Daten sie teilen, ist dies auf dem Firmenhandy nicht möglich. „Verschärft wird die Problematik, sobald es nicht mehr nur um meine Daten geht (über die ich bestimmen kann), sondern um (inner-)betriebliche Daten“, bestätigt Schartner. „Mit letzteren können dann natürlich – je nach Berechtigungen und Ausgestaltung der App – auch Geschäftsgeheimnisse abfließen.“ Das könne direkt in Form von Kommunikationsinhalten passieren, aber auch indirekt über Bewegungsprofile, aus denen beispielsweise Routen und häufig besuchte Orte ableitbar sind.
Schartners Fazit: „Die Entscheidung, ob die Nutzung privater Apps bzw. die private Nutzung gewisser Services auf einem Diensthandy zulässig ist, muss wohlüberlegt sein. Unabhängig von Erlaubnis oder Verbot sollte dies dann jedoch auch kontrolliert werden“, rät Schartner zu Konsequenz. „Beispielweise durch sogenannte Mobile-Device-Management-Systeme, die verpflichtende Nutzung firmeninterner App-Stores oder Security-Suites, welche die Installation von Apps oder den Zugriff auf Webseiten einschränken oder verhindern können.“ Private Apps auf Diensthandys zu verbieten, aber dennoch zu dulden sei jedenfalls eine schlechte Wahl.
„Ein gewisses Schutzniveau kann die Trennung von beruflicher und privater Nutzung bieten, die je nach Betriebssystem und/oder Endgerät unterschiedlich ausgeprägt sein kann“, ergänzt Schartner. „Ziel ist jedenfalls, dass sich berufliche und private Daten nicht vermischen und die Apps nicht auf die Daten des jeweils anderen Bereichs zugreifen können.“
Wichtigster Schritt: Sensibilisierung
„Neben all den technischen Möglichkeiten ist die Sensibilisierung der Mitarbeiter:innen bzgl. der Risiken und Schulung bzgl. der möglichen Gegenmaßnahmen und des korrekten Verhaltens unerlässlich“, ist Schartner überzeugt. Denn die erste Barriere gegenüber den Angreifer:innen seien sehr oft die eigenen Mitarbeiter:innen. „Mit einem betriebsweiten Problembewusstsein kann so die eine oder andere Gefahr erkannt und gebannt werden, bevor sie im Unternehmen schädliche Wirkung entfaltet. De facto sollten Awareness und Schulung daher sogar der erste Punkt in der Liste der „Gegenmaßnahmen“ sein!“
„Das Internet vergisst nichts“
Doch egal, ob Diensthandy oder Privathandy: Beim Umgang mit persönlichen Daten im Internet ist generell Vorsicht geboten.
„Das Internet vergisst nichts“, warnt Schartner. „Daten, die man einmal aus der Hand gegeben hat, sind meist nur noch mit großem Aufwand löschbar.“
Wie verhalte ich mich richtig?
Wichtig ist jedenfalls, dass man sich darüber informiert, wozu der Service-Anbieter (App-Anbieter) die Daten benötigt und verwendet. Hierbei kann die Datenschutzinformation hilfreich sein. In ihr sollte im Idealfall jedenfalls enthalten sein, zu welchem Zweck und auf welcher Grundlage bestimmte Daten (und im Sinne der Datenminimalisierung nichts darüber hinaus) verarbeitet werden. Des Weiteren sollte nach Lesen der Datenschutzinformation auch klar sein, an wen die Daten unter welchen Umständen weitergegeben werden, welche Rechte man als betroffene Person geltend machen kann und wie man diese Rechte geltend machen kann. Findet man derartige Informationen nicht, oder sind diese nicht plausibel bzgl. der Funktionalität der entsprechenden App oder des Service, dann sollte man im Einzelfall entscheiden, ob und in welchem Umfang die App bzw. der Service genutzt wird.Ansprechspersonen für Medienanfragen: kontakt@informatikaustria.at
Weitere Informationen: Die Plattform „Informatik Austria“ ist ein Zusammenschluss der Informatikinstitute der österreichischen Universitäten. Ziel ist die Vernetzung, Verstärkung und Kommunikation der heimischen Informatik.
Presse-Berichterstattung: