Mit welchem Ziel wurde die Studie über Kita-Apps gestartet?
Kita-Apps erheben und verarbeiten unweigerlich Daten über Kinder. Aus Forschungssicht stellt sich die Frage, ob und wie diese Applikationen solche Daten auch schützen. Laut Datenschutz-Grundverordnung (DSGVO) und internationalen Gesetzen sind kindbezogene Daten besonders schützenswert. Wir haben also eine Studie entworfen, um zu analysieren, mit welchen Maßnahmen Hersteller solcher Apps die hochsensiblen Daten schützen und welche Herausforderungen dabei auftreten. Ziel war es, den aktuellen Stand der IT-Sicherheit und des Datenschutzes der Apps zu verstehen und zu helfen, sie sicherer und datenschutzfreundlicher zu gestalten. Dabei ging es uns nicht darum, einzelne Hersteller an den Pranger zu stellen oder zu loben. Die Ergebnisse unserer Studie haben wir kostenfrei mit allen Herstellern geteilt und sie – zum Teil in unserer Freizeit – bei der Behebung von Problemen unterstützt.
Welche Gefahren und Risiken haben Sie festgestellt?
Bei unserer Studie handelt es sich lediglich um eine Momentaufnahme der IT-Sicherheit und des Datenschutzes der untersuchten Applikationen vom November 2021. Nachdem wir die Ergebnisse mit den Herstellern geteilt hatten, konnten diese viele der gefundenen Schwachstellen schließen. Dieser Prozess nennt sich im Fachjargon „Responsible Disclosure“ und hat sich in den letzten Jahren etabliert. Übrigens zeigen unsere Ergebnisse nicht, dass KitaApps schlechter oder besser als andere Typen von Apps sind: Ähnliche Ergebnisse würde man wahrscheinlich auch dort erhalten. Bei unserer Analyse fanden wir zum Teil gravierende und fatale Sicherheitslücken.
Können Sie Beispiele für solche Sicherheitslücken geben?
Bei einigen Apps wurden alle Daten „frei zugänglich“ im Internet abgespeichert, sodass sich Personen mit grundlegendem IT-Verständnis Zugriff darauf hätten verschaffen können. Zu diesen Daten gehörten Bilder und Videos von Kindern, Textnachrichten an Eltern oder Abrechnungen von Dienstleistungen. Des Weiteren entdeckten wir, dass einige Hersteller nicht allgemein anerkannten Best Practices folgten und daher Schwachstellen in den Applikationen hatten, die leicht vermeidbar gewesen wären. Neben technischen fanden wir auch organisatorische Probleme, die von den Herstellern nicht vollständig gelöst werden konnten. In unserer Analyse stießen wir auf Datenschutzerklärungen, die nicht die Daten enthielten, die sie laut DSGVO hätten enthalten müssen. Beispiel hierfür sind fehlende Angaben zu Datenschutzbeauftragten oder zur Nutzung der erhobenen Daten.
Worauf müssen Kitas bei der Auswahl von Apps achten?
Die von uns untersuchten Apps wurden von Kitas eingeführt, um die Verwaltung, aber auch die Kommunikation mit Eltern zu digitalisieren und zu vereinheitlichen. Die Entscheidung für eine bestimmte Applikation beruht natürlich auf individuellen Kriterien – aber dazu müssen auf jeden Fall IT-Sicherheit und Datenschutz gehören. Die Personen, die die Entscheidung treffen, sollten darauf achten, ob die Datenschutzerklärungen der Firmen transparent sind und ersichtlich wird, was mit den gesammelten Daten geschieht, mit wem sie geteilt werden und wozu sie genutzt werden sollen.
Was könnte den Kitas denn bei der Entscheidungsfindung helfen?
Wir empfehlen den zuständigen Verbänden, Behörden und Interessensvertretungen, Handlungsempfehlungen zu entwickeln. An diesen können sich die Verantwortlichen in Kitas orientieren, um die Entscheidung für eine bestimmte App zu treffen.
Dr.-Ing. Tobias Urban arbeitet am Institut für Internet-Sicherheit – if(is) in Gelsenkirchen und forscht an Themen zu Sicherheit, Datenschutz und Privatheit im Internet. Außerdem ist er als Business Development Manager tätig.