Die UEFA EM 2020 ist im vollen Gange und Deutschland steht vor dem letzten Gruppenspiel. Gespannt wird das Spiel, wie auch alle weiteren Länderspiele, von Fußball-Fans verfolgt – sei es beim Public Viewing, Zuhause vor dem Fernseher oder per EM-App über das Smartphone.
Die häufig genutzten Fußball-Apps bieten den Vorteil, dass die Spiel-Ergebnisse immer und überall einsehbar sind und Fußballbegeisterten somit keine Neuigkeit während des vierwöchigen Turniers entgeht. Viele Sportinteressierte nutzen bereits diverse EM-Apps oder erwägen den Download einer solchen App für die nervenaufreibenden K.o.-Spiele. Doch wie sind die EM-Apps datenschutztechnisch aufgestellt? Die Sicherheitsexperten von mediaTest digital haben die beliebtesten EM-Apps für die UEFA EURO 2020 unter die Lupe genommen und sie auf ihren Umgang mit Nutzerdaten geprüft.
UEFA Euro 2020 Offiziell
UEFA EURO 2020 ist die offizielle App des europäischen Fußballverbandes und der diesjährigen EM 2021. Die App bietet neben umfangreichen Statistiken einen Spielplan und einen Live-Ticker zu allen EM-Spielen. Sie ist aktuell für iOS (v 7.11.1) und Android (v 7.11.2) verfügbar. Bei beiden Versionen konnten die Datenschutzexperten die Nutzung von Trackern und Analyse-Tools feststellen, darunter Google Firebase Analytics und Facebook Analytics. Logindaten, Server-Details und der Vor- und Nachname der Nutzer:innen werden an den Analytics-Dienst Gigya übertragen. Gigya identifiziert Nutzer:innen geräteübergreifend, fasst die gesammelten Daten zu Nutzerprofilen zusammen und leitet entsprechende Marketingmaßnahmen ein. Da die Server des App-Herstellers in den USA liegen, werden Nutzerdaten in die Vereinigten Staaten übermittelt. In den Tests war eine Man-in-the-Middle (MitM)-Attacke möglich, jedoch nicht während des Anmelde- und Login-Prozesses. Somit konnte keine Übertragung von nutzergenerierten Inhalten festgestellt werden. Die App fordert zudem den Zugriff auf die Standortdaten der Nutzer:innen via WiFi oder GPS an. In der Android-Version erbittet die App zusätzlich den Zugriff auf das Kontaktbuch der Nutzer:innen.
Sportschau-App
Nicht nur als Sportsendung im Ersten informiert die „Sportschau“ über aktuelle Ereignisse aus dem Sportbereich. Auch mobil hält sie sportbegeisterte Nutzer:innen auf dem neusten Stand und versorgt diese in der Sportschau-App mit Topmeldungen, einem umfassenden EM-Spielplan und einem Live-Stream aller deutschen EM-Spiele. Die App steht iOS- und Android-Nutzer:innen in der Version 2.9.22 zur Verfügung. Die Tests haben ergeben, dass die Sportschau-App sowohl auf iOS- als auch Android-Geräten Tracker und Analyse-Tools einsetzt und Nutzerdaten an Dienste wie Facebook, Instagram und Google sendet. Weiterhin ist den Sicherheitsexperten aufgefallen, dass die App auf Android-Geräten Clear Text Traffic, also die unverschlüsselte Übermittlung von Informationen, zulässt. Diese Funktion sollte deaktiviert werden, da momentan unsichere HTTP-Verbindungen möglich sind und somit Nutzerdaten von Dritten ausgelesen werden könnten.
Kicker Fußball News-App
kicker ist vielen als wöchentlich erscheinende Sportzeitschrift des Olympia Verlags bekannt. Neben EM-News in analoger Form, informiert kicker die Nutzer:innen mobil über die aktuellen EM-Ereignisse in der kicker App. Sowohl in der iOS- (v 6.11.1) als auch in der Android-Version (v 6.11.0) konnten die Sicherheitsexperten von mediaTest digital die Verwendung von Tracking- und Analyse-Tools feststellen. Login-Daten und der Vor- und Nachname der Nutzer:innen werden verschlüsselt an den App-Hersteller gesendet. Auf iOS-Geräten konnten über 20 weitere Serververbindungen festgestellt werden, darunter zu Facebook, Google und der Analyticsdienst Xiti. Auf Android konnten in den Sicherheitstest Verbindungen zu sieben Drittanbietern identifiziert werden. Die Server der kicker-App befinden sich in den USA, somit werden Nutzerdaten auch in die USA übermittelt. Mehr Unabhängigkeit von amerikanischen Unternehmen wäre an dieser Stelle wünschenswert. Für iOS-Geräte empfehlen die Experten von mediaTest digital zudem die Anpassung der App Transport Security, da momentan unsichere HTTP-Verbindungen möglich sind.
EM 2020 in 2021-App
Die EM 2020 in 2021-App des Herstellers TorAlarm GmbH ist in der Version 5.7.2 für iOS und 5.7.6 für Android verfügbar. Sie bietet den Nutzer:innen einen übersichtlichen EM-Spieleplan und liefert ihnen den aktuellen Spielstatus sowie Hintergrundberichte rund um die UEFA EURO 2020. Die Sicherheitstests haben ergeben, dass die App Nutzerdaten an diverse Tracking- und Analyse-Dienste wie Facebook und Google sendet. Da sich die Server des App-Anbieters in den USA befinden, gehen diese Informationen den Weg in die Vereinigten Staaten. Die Datenschützer konnten zudem ermitteln, dass Nutzerdaten an zahlreiche Werbedienste wie Amazon Ads oder Google Ads fließen. Negativ aufgefallen ist weiterhin, dass die eingeforderten Berechtigungen auf iOS-Geräten ausschließlich Werbezwecken dienen. Sie sind daher als überprivilegiert einzustufen. Die Begründung einiger Berechtigungen sind sehr rudimentär und lassen vermuten, dass diese zur Zweckerfüllung der App nicht benötigt werden. Dazu zählt beispielsweise die Aktivierung von Bluetooth zur Identifikation anderer Geräte im Netzwerk. Auf Android-Geräten empfehlen die Sicherheitsexperten von mediaTest digital zudem, dass die App Transport Security angepasst wird, da momentan unsichere HTTP-Verbindungen erlaubt sind. Dadurch besteht die Gefahr, dass Nutzerdaten von unbefugten Dritten abgefangen und mitgelesen werden.
Kein Tor verpassen dank EM-Apps – Aber mit Vorsicht!
Die Verwendung der EM-Apps empfehlen die Experten von mediaTest digital unter Vorbehalt. Die EM-Apps bieten den Nutzer:innen eine gute Möglichkeit, die EM zeit- und ortsunabhängig zu verfolgen und kein wichtiges Ereignis zu verpassen. Den Nutzer:innen sollte jedoch auch bewusst sein, dass alle Apps Gebrauch von Analyse- und Tracking-Tools machen und die ermittelten Nutzerdaten bei vielen Apps in die USA gesendet werden.