Spionage mit der Kita-App
Apps, die Kindertagesstätten unterstützen, weisen teils gravierende Datenschutz- und Sicherheitsmängel auf – einige verkaufen Daten sogar an Dritte
Kita-Apps sollen den Alltag in Kindertagesstätten erleichtern. Eltern können darüber beispielsweise Berichte über die Entwicklung ihres Kindes abrufen oder mit Erzieherinnen und Erziehern kommunizieren. Einige von diesen Anwendungen weisen jedoch gravierende Sicherheitsmängel auf. Zu diesem Schluss kommen Forschende der Ruhr-Universität Bochum (RUB), der Westfälischen Hochschule und des Bochumer Max-Planck-Instituts für Sicherheit und Privatsphäre gemeinsam mit einem Industriepartner. Sie analysierten 42 Kita-Apps aus Europa und den USA im Hinblick auf Sicherheit und Datenschutz. Bei einigen Apps konnten sie auf private Fotos der Kinder zugreifen; mehrere Anwendungen griffen ohne Einverständnis persönliche Daten von Nutzern ab und teilten diese mit Drittanbietern.
„Laut der europäischen Datenschutzgrundverordnung und dem US-amerikanischen Children’s Online Privacy Protection Act unterliegen Daten von Kindern einem besonderen Schutz“, sagt Maximilian Golla, Forscher am Max-Planck-Institut für Sicherheit und Privatsphäre. „Leider mussten wir feststellen, dass viele Apps diesen Schutz nicht gewährleisten können.“ Die Analysen erfolgten in Kooperation mit der Aware7 GmbH, einem Diensteister für IT-Sicherheit. Das Team kontaktierte alle App-Hersteller vor der Veröffentlichung und machte sie auf die Schwachstellen aufmerksam.
Millionenfache Nutzung
Für die Studie analysierten die Forscher Android-Kita-Apps, die sie im Google Play Store fanden und die mindestens folgende Funktionen besitzen: Die Entwicklung der Kinder sowie besondere Aktivitäten können in Form von Notizen, Fotos und Videos in der App festgehalten werden; die App besitzt eine Messenger-Funktion, über die das Kita-Personal mit den Eltern kommunizieren kann; die App unterstützt das Kita-Management bei administrativen Prozessen wie der Rechnungsstellung, dem Erstellen von Zeitplänen oder der Gruppenorganisation. Die am weitesten verbreiteten Apps Bloomz und brightwheel wurden bereits mehr als eine Million Mal aus dem Google Play Store heruntergeladen. Alle Apps zusammengenommen kommen auf etwa drei Millionen Downloads.
Persönliche Daten werden teils verkauft
Von den untersuchten Apps wiesen acht gravierende Sicherheitsprobleme auf, die es Angreiferinnen und Angreifern beispielsweise ermöglichen würden, private Fotos der Kinder einzusehen. Bei 40 Apps stellten die Forscher fest, dass sie die Eltern sowie Erzieherinnen und Erzieher beobachten: Sie sammeln die Telefonnummer und E-Mail-Adresse der Nutzerin oder des Nutzers sowie Informationen zum verwendeten Gerät und zur Verwendung der App, etwa wann auf welchen Button geklickt wurde. Diese und andere Informationen teilen und verkaufen die Hersteller an Drittanbieter. So schreibt ein App-Entwickler: „... Daten zu Geschäftszwecken an Partner weitergeben, z. B. die durchschnittliche Anzahl der Windelwechsel pro Tag ...”. Häufig werden die Daten an Amazon, Facebook, Google oder Microsoft für gezielte Werbekampagnen weitergegeben.
Mangelhafte Datenschutzerklärungen
„Wir haben uns auch die Datenschutzerklärungen der Anbieter angesehen“, erklärt Maximilian Golla. „Dabei ergab sich ein erschreckendes Bild. Viele der Erklärungen haben noch nicht einmal erwähnt, dass sie Daten von Kindern verarbeiten, geschweige denn, dass sie Daten sammeln und verkaufen, obwohl sie das nach den gesetzlichen Vorschriften Europas und der USA müssten.“
Dahinter müssen jedoch nicht unbedingt böse Absichten stecken. „Wir vermuten, dass es sich um technische und organisatorische Probleme handelt“, so Matteo Große-Kampmann, der am Horst-Görtz-Institut für IT-Sicherheit der RUB promoviert hat und nun bei Aware7 arbeitet. Laut Angaben der Forscher handeln manche Anbieter fahrlässig, weil die verlinkte Datenschutzerklärung nicht konform ist, unter anderem weil sie keine Angaben über die Datenverarbeitung in der App oder über die angebotenen Dienstleistungen enthält und häufig seit vielen Jahren nicht mehr angepasst wurde.
Gerade weil es um die Daten von Kindern geht, erhoffen sich die Forschenden mit ihrer Arbeit auf dieses sensible Thema aufmerksam machen zu können. „Kita-Verantwortliche, Kita-Träger und Eltern können natürlich nicht selbst jede App analysieren“, sagt Matteo Große-Kampmann. „Aber am Ende des Tages müssen sie die Verantwortung für die Entscheidung tragen, welche App eingeführt wird.“
Richtlinien und Checklisten wären sinnvoll
Sich Kita-Apps grundsätzlich zu verweigern, stellt laut Maximilian Golla keine praktikable Lösung dar, gerade weil es auch Anbieter ohne Sicherheitsprobleme gibt, die datenschutzkonform agieren. „Wenn es keine offizielle App gibt, dann nutzen die Eltern eben Messenger-Dienste wie WhatsApp, was gerade aus Datenschutzsicht die schlechteste aller Lösungen darstellt”, sagt er. Sinnvoll wäre es laut den IT-Experten daher, wenn Fachleute Richtlinien und Checklisten erstellen würden. So könnten beispielsweise staatlich verantwortliche Stellen Empfehlungen aussprechen und an die Trägervereine der Kitas weitergeben.
Die Arbeiten fanden im Rahmen des Exzellenzcluster CASA statt, gefördert von der Deutschen Forschungsgemeinschaft (EXC 2092 – 390781972).
RUB/Julia Weiler