+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

Was sagen Bewertungen über IT-Sicherheitslösungen

Hält die Security-App, was sie verspricht? Das ist eine berechtigte Frage, doch die Antwort ist nicht leicht. Anerkannte Produkttests helfen.

Die Suche nach dem richtigen Schutz

Kaum eine Woche vergeht, ohne dass die Medien von Online-Attacken und Hackern berichten. Die Internetkriminellen lassen sich immer neue Angriffsmethoden einfallen. Man liest von diversen Erpresser-Viren, Banking-Trojanern und spionierenden Smartphone-Apps. Bei so vielfältigen Bedrohungen braucht man einen guten Schutz, der sich auf die neuen Gefahren einstellt.

Wie steht es um Ihre Endgeräte? Ist Ihr Smartphone richtig geschützt? Das ist nicht nur für Sie privat ein wichtiges Thema. Wenn Sie Ihr Smartphone auch für Ihre Arbeit nutzen dürfen, dann betrifft dies zusätzlich den Datenschutz im Unternehmen. Sind Sie sich sicher, dass zum Beispiel die Sicherheits-App auf Ihrem Smartphone tatsächlich einen guten Schutz bietet?

Bewertungen in App-Stores reichen nicht

Viele Nutzer orientieren sich dort, wo sie die Security-Apps auf das eigene Smartphone herunterladen können: im App-Store, bei Android-Geräten bei Google Play. Dort findet man zu jeder App die Anzahl der bisherigen Downloads, die durchschnittliche Bewertung in Sternen und oftmals auch Nutzerkommentare. Wurde die Security-Apps schon häufig heruntergeladen, ist die Anzahl der Bewertungssterne hoch und sind die Kommentare durchweg positiv, glaubt man, eine gute App gefunden zu haben.

Leider sind die Informationen in den App-Stores nicht ausreichend, um eine gute Security-App zu finden. Zum einen können die Nutzer, die kommentieren und Sterne vergeben, in aller Regel nicht wirklich beurteilen, ob die Funktionen für Sicherheit sorgen oder nicht. Oftmals stehen Komfort, leichte Bedienbarkeit, schnelle Installation und guter Preis im Mittelpunkt. Keine Frage, das sind ebenfalls wichtige Kriterien. Über die Schutzwirkung für das Smartphone und Ihre Daten darauf sagen sie aber nichts aus.

Es gibt noch ein weiteres Problem mit den Bewertungen in App-Stores: Sie können gefälscht und gekauft sein. Es sind Fälle bekannt, in denen ganz gezielt gute Kommentare zu Apps gekauft und veröffentlicht wurden, die sich später als schädlich oder nutzlos erwiesen. Es ist deshalb wichtig, andere Quellen bei der Suche nach Security-Apps zu nutzen.

Viele Security-Apps fallen in Tests durch

Anerkannte Institute wie die Fraunhofer-Institute, Stiftung Warentest und AV-Test prüfen regelmäßig, wie gut Security-Apps sind – leider nicht immer mit einem positiven Ergebnis: Im Mai 2016 zum Beispiel meldeten die Forscher des Fraunhofer SIT (Sichere Informationstechnologie), dass sie Lücken in Android-Sicherheits-Apps gefunden hatten. Betroffen waren weltweit bis zu 675 Millionen Installationen bei Nutzern.

Durch Ausnutzung der Schwachstellen konnten Angreifer etwa die Schutzfunktion der Sicherheits-Apps abschalten, ohne dass die Nutzer es merkten. Auch persönliche Daten wie Adressbuch oder Kalender ließen sich stehlen. Im schlimmsten Fall konnte die Sicherheits-App selbst in Erpresser-Software (Ransomware) verwandelt werden, mit deren Hilfe Verbrecher zum Beispiel das Handy sperren konnten, um auf diese Weise vom Smartphone-Besitzer letztlich ein hohes Lösegeld zu erpressen.

Die wesentliche Ursache für viele der gefundenen Schwachstellen bei Security-Apps lag darin, dass die Apps im Stundentakt Updateinformationen herunterladen, zum Beispiel Muster für die Erkennung von Viren. Diese Informationen kommen von den Herstellerservern. Die Apps prüften aber nicht ausreichend, ob das Update möglicherweise manipuliert war.

Im Februar 2017 berichteten die Forscher des Fraunhofer SIT, dass sie Lücken in Android-Passwort-Management-Apps gefunden hatten. Solche Lösungen werden eingesetzt, um Passwörter sicher zu speichern. Sicherheitslücken in diesen Tools können also massive Folgen haben.

Anerkannte Testberichte helfen weiter

Das Brisante dabei: Bei der Meldung an die Datenschutzaufsicht ist eine Frist von 72 Stunden zu beachten. Wird sie grundlos überschritten, droht dem Unternehmen schon deshalb ein Bußgeld. Ausreden von der Art „Unser Mitarbeiter hat uns die Panne intern nicht verraten“ gelten dabei nicht. Die Antwort darauf wäre: „Dann bringen Sie Ihren Mitarbeitern eben bei, dass Datenpannen gleich zu melden sind.“

In der Praxis wird es darauf hinauslaufen, dass eine Meldung an die Datenschutzaufsicht künftig relativ häufig notwendig ist. Die ersten Aufsichtsbehörden (etwa das  bayerische Landesamt für Datenschutzaufsicht) stellen dafür schon Online-Formulare bereit. Ausnahme: Benachrichtigung der Betroffenen Ob den Betroffenen, um deren Daten es geht, „etwas passieren“ kann, spielt bei der Meldepflicht keine Rolle. Dieser Aspekt wird erst wichtig, wenn es um die Benachrichtigung der Betroffenen geht. Sie ist gesondert geregelt (Art. 34 DSGVO). Die Betroffenen müssen nur dann benachrichtigt werden, wenn ihnen „voraussichtlich ein hohes Risiko droht“. Am Beispiel des  verschlüsselten Laptops wird wieder deutlich, was das bedeutet: Sind die Daten auf dem Laptop nach dem Stand der Technik verschlüsselt, droht kein hohes Risiko, wenn er Unbefugten in die Hände gerät. Die Folge: Die Betroffenen müssen nicht benachrichtigt werden.

Neue Spielregeln im Überblick

Die Security-Apps mit den Sicherheitslücken hatten durchaus positive Bewertungen bei den App-Stores. Kein Wunder also, woher sollten die Nutzer von den Schwachstellen wissen, die die Forscher später entdeckten. Es empfiehlt sich deshalb, dass Sie sich an anerkannten Testberichten orientieren, die nicht nur auf Nutzererfahrungen beruhen, sondern die tatsächlich professionelle Produkttests auswerten.

Beispiele für solche Testberichte zu Security-Apps finden Sie regelmäßig etwa bei AV-Test (https://www.av-test.org/de/antivirus/). Auch Stiftung Warentest (https://www.test.de) nimmt Security-Apps unter die Lupe. Ganz gleich, welches anerkannte Prüfinstitut Sie als Quelle nutzen: Sie werden dort nicht nur Nutzerkommentare finden, sondern Ergebnisse von Sicherheitstests.

Solche Tests sollten Ihre Entscheidungsgrundlage sein.