Die Bundestagswahl 2021 steht vor der Tür und viele Parteien nutzen im Wahlkampf partei-eigene Apps, um ihre Wähler:innen gezielter zu mobilisieren. In den Apps können Informationen vermerkt werden wie Tür geöffnet? Kandidat:in bekannt? Wahlabsicht vorhanden?
- Die wenigsten Parteien haben öffentlich zugängliche Wahlkampf-Apps
- Wahlkampf-Apps begründen Zugriffsberechtigungen teils schwammig
- Wahlkampf-Apps der Grünen und der SPD bestehen Datenschutz-Test
- Partei-App “Meine CDU” muss datenschutztechnisch nachgerüstet werden
Die Bundestagswahl 2021 steht an und es sind nur noch wenige Wochen bis zum entscheidenden Kreuz am 26. September. Insbesondere das Rennen zwischen Union, SPD und Grüne ist aktuellen Umfragen zufolge knapp. So wird wohl auch eine dieser Parteien den oder die zukünftige:n Bundeskanzler:in stellen. Viele der Parteien nutzen im Wahlkampf partei-eigene Apps, um ihre Wähler:innen gezielter zu mobilisieren. In den Apps können Informationen vermerkt werden wie Tür geöffnet? Kandidat:in bekannt? Wahlabsicht vorhanden? Dazu noch das Geschlecht und das ungefähre Alter der Befragten. Da es sich bei politischen Einstellungen um sensible Daten handelt, fragt sich, wie die Wahlkampf-Apps mit diesen Informationen umgehen.
Das Team von mediaTest digital hat deshalb die Apps der stärksten Parteien einer umfangreichen Datenschutz-Prüfung unterzogen. Dabei ist aufgefallen, dass nur die wenigsten Parteien öffentlich zugängliche Apps stellen. Für die meisten Apps muss man Mitglied sein, um diese nutzen zu können. Ohne Mitgliedschaft sind lediglich die Apps der CDU, der Grünen und der SPD prüfbar, weshalb nachfolgend die Apps dieser Parteien aufgeführt werden.
Meine CDU
Die offizielle Wahlkampf-App der CDU „CDU connect“ kann nur als Mitglied getestet werden. Die Prüfer von mediaTest digital haben deshalb die allgemeine Partei-App Meine CDU für Mitglieder und Anhänger:innen geprüft. In der App können Nutzer:innen Partei-Nachrichten und Termine einsehen sowie Anmeldungen zu Veranstaltungen vornehmen. Außerdem beinhaltet die App Wahlkampf-Tipps und bietet die Möglichkeit, Mitglieder per Beitrittserklärung zu werben. Die App ist in der Version 1.8.3 sowohl für iOS- als auch für Android-Geräte verfügbar.
Die Datenschützer konnten feststellen, dass die App sowohl auf Android- als auch auf iOS-Geräten Tracker und Analyse-Tools wie Facebook Analytics und Google Analytics zur Auswertung des Nutzungsverhaltens einsetzt. Die darüber erfassten Nutzer:innendaten sendet die App verschlüsselt an den App-Hersteller. Die Anwendung fordert auf beiden Betriebssystemen Zugriff auf das Mikrofon, die Kontakte und den dauerhaften Standort der Nutzer:innen an. Die Sicherheitsexperten stufen diese Berechtigungen als überprivilegiert ein, da diese nicht notwendig für den Funktionsumfang der App erscheinen. Als Begründung für die Zugriffsberechtigungen nennt die App Argumente wie „damit die App funktioniert“, welche eindeutig zu vage formuliert sind. Eine ausführliche Erklärung wäre an dieser Stelle angebracht.
Den Datenschützern ist weiterhin negativ aufgefallen, dass die Android-Version nur mit dem Signaturmechanismus v1 signiert ist. Dies macht sie angreifbar für die Janus vulnerability. Bei Janus handelt es sich um eine Android-Sicherheitslücke, die es Angreifern erlaubt, installierte Apps durch modifizierte Updates zu verändern, ohne ihre Signatur umzuwandeln. Eine Signatur mit v2 bietet mehr Schutz vor unbefugten Veränderungen und sollte stattdessen verwendet werden.
Grüne Wahlkampf-App
In der Grüne Wahlkampf-App können grüne Wahlkämpfer:innen ihre Wahlkampfaktivitäten beim Plakatieren und dem Tür-zu-Tür-Wahlkampf dokumentieren. Die App unterstützt zudem die Kreisverbände beim Organisieren ihrer Aktivitäten. Sie ist für iOS und Android in der Version 2.3.1 verfügbar.
Die Sicherheitsexperten von mediaTest digital konnten erfreulicherweise feststellen, dass die App keine Tracker oder Analyse-Tools zur Auswertung des Nutzungsverhaltens verwendet. Nutzer:innendaten werden zudem verschlüsselt und ausschließlich an den App-Hersteller übermittelt. Die App fordert Zugriff auf den dauerhaften Standort und die Fotogalerie an sowie bei iOS-Geräten zusätzlich auf die Kamera. Die Berechtigungen sind für den vollen Funktionsumfang der App erforderlich, weshalb die Datenschützer sie nicht als überprivilegiert einstufen. Nachholbedarf besteht allerdings in der Erläuterung der Berechtigungen. Diese sollten transparenter begründet werden, da Aussagen wie „Die App benötigt Zugriff auf die Fotos, um Bilder anzeigen zu können“ zu passiv und ungenau sind.
SPD Tür-zu-Tür
Auch die SPD führt ihren Wahlkampf mit App-Unterstützung und nutzt hierfür die Tür-zu-Tür App. In der App können die Wahlkämpfer:innen zwischen verschiedenen Fragebögen à 3 Fragen wählen und die Ergebnisse der Tür-Befragungen direkt in der App eintragen. Die vermerkten Ergebnisse stellt die App den Wahlkampfteams für den weiteren Wahlkampf zur Verfügung. Die Wahlkampf-App der SPD ist für Android- und iOS-Geräten in der Version 1.20 in den gängigen App Stores verfügbar.
Erfreulicherweise haben die Sicherheits-Tests ergeben, dass die App auf beiden Betriebssystemen keine externen Tracker oder Analyse-Tools einsetzt. Weiterhin ist den Datenschützern positiv aufgefallen, dass die Anwendung Nutzer:innendaten verschlüsselt an den App-Hersteller sendet. Eine Man-in-the-Middle-Attacke war in den Testläufen zwar erfolgreich, es wurden jedoch ausreichend Gegenmaßnahmen festgestellt. Die App fordert sowohl in der iOS- als auch in der Android-Version den Zugriff auf den dauerhaften Standort der Nutzer:innen via GPS oder WiFi ein. Da diese Berechtigung für die Ermittlung des Wahlkreises und somit für den vollen Funktionsumfang der Applikation notwendig ist, ordnen die Sicherheitsexperten sie nicht als überprivilegiert ein.
Fazit zu den Wahlkampf-Apps
Die Wahlkampf-Apps bieten Ehrenamtlichen eine digitale Möglichkeit, ihren Wahlkampf schnell, unkompliziert und modern zu führen. Die offiziellen Wahlkampf-Apps der Grünen und der SPD können Wahlkämpfer:innen auch aus datenschutzrechtlichen Gründen bedenkenlos nutzen. Die allgemeine Partei-App der CDU “Meine CDU” sollten die Hersteller datenschutztechnisch nachrüsten, da sie an einigen Punkten Schwachstellen vorweist. An dieser Stelle sei nochmals darauf hingewiesen, dass die Sicherheitsexperten die App “CDU connect” aufgrund von Zugänglichkeits-Hürden nicht prüfen konnten und deshalb keine Aussagen über das Sicherheitsniveau der offiziellen CDU Wahlkampf-App treffen können. Das Gleiche gilt für die Wahlkampf-Apps der übrigen Parteien im Bundestag.
https://appvisory.com/