Der Bundesrat gab vergangene Woche seine finale Zustimmung zur Bezahlkarte für Geflüchtete. Die ersten sind schon als Pilotprojekte an den Start gegangen. Doch ein IT-Sicherheitsexperte spricht von immensen Sicherheitsmängeln und Datenschutzverstößen.
Überhastet und teils mangelhaft: Das hat bei IT-Lösungen im öffentlichen Sektor in Deutschland schon fast Tradition. Auch die Bezahlkarte für Flüchtlinge ist da offenbar keine Ausnahme. Vergangene Woche erst durch den Bundesrat beschlossen, soll sie nun innerhalb eines Jahres in den Kommunen an den Start gehen. Einige haben die Bezahlkarten bereits auf den Weg gebracht und dabei auf Lösungen verschiedener Anbieter zurückgegriffen, die sich angesichts des großen Bedarfs die Hände reiben.
Doch vielleicht ging alles etwas zu schnell. Denn wie ein Bericht der IT-Sicherheitsexperten Tim Philipp Schäfers und Niklas Klee zeigt, weisen die Apps der Bezahlkartensysteme teils gravierende Sicherheitsmängel auf: „Uns ist aufgefallen, dass kaum Experten sich die Angebote genauer angucken”, sagt Schäfers. „Viele haben ein Interesse daran, möglichst schnell Lösungen anzubieten, wobei den späteren Nutzenden – den Geflüchteten – eine Lobby fehlt.”
Apps übermitteln Daten an Facebook und Google
Die von ihnen beanstandeten Mängel betreffen vor allem die mobilen Apps der Bezahlkartensysteme Socialcard, „Bezahlkarte“ und Givve. Besonders schwerwiegend ist, dass die zugehörigen Apps der Socialcard und der Givve Card eindeutig auf einzelne Personen identifizierbare Gerätekennungen samt Nutzungsdaten an Google und Facebook übermitteln. Dies passiere ohne die Zustimmung von Nutzerinnen und Nutzern und ohne entsprechende Beschreibung, was einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) darstellt, sagt IT-Sicherheitsexperte Tim Philipp Schäfers zu Payment and Banking.
Die Anbieter verwendeten dabei sogenannte Tracking-Bibliotheken, in denen das Verhalten von Nutzenden unter einer sogenannten Advertising-ID gespeichert wird, ohne dies auszuweisen. Außerdem benutzten sie Google Fonts in ihrer App, das sind Schriftformate, die extern geladen werden und damit zu einer Datenübertragung an Google führen. Secupay, das Unternehmen hinter der Socialcard, hatte dies in seinen Datenschutzbestimmungen sogar ausdrücklich ausgeschlossen.
Die Übermittlung der Google-Advertising-ID genüge, dass Facebook eine Verknüpfung zwischen Facebook-Nutzern und den übermittelten Daten herstellen könne, heißt es im Bericht. „Google und Facebook könnten so herausfinden, wer in Deutschland asylsuchend ist”, erklärt Schäfers im Gespräch mit Payment and Banking. Nutzende könnten beispielsweise mit personalisierter Werbung von Sprachschulen angesprochen werden und das ist nur die harmlose Variante. „Solche Informationen könnten Akteure auch nutzen, um politische Botschaften gezielt zu verbreiten”, sagt Schäfers.
Die Tracking-Bibliotheken bei Givve würden dafür verwendet, „um mögliche Fehlfunktionen in der App schnell erkennen und beseitigen zu können”, teilte Givve auf Anfrage mit. Dies sei zwar gängige Praxis, sagt Niklas Klee, da Crash-Analyse-Dienste über die Bibliotheken Informationen zu Abstürzen der App sammeln könnten. Jedoch gebe es dafür datenschutzfreundliche Alternativen. Givve hat die Mängel mittlerweile behoben, Tracker und Advertising-ID entfernt.
Zugriffsrechte ohne klaren Nutzungszweck
Die Anbieter Publk und Secupay, die hinte der Socialcard stehen, prüfen die Verwendung von Advertising-ID und Tracking-Bibliotheken nun. Auf die Socialcard setzen unter anderem Hannover, Hamburg und Leipzig. Ein weiterer Punkt bei der App von Socialcard ist, dass die für bestimmte Bereiche, wie dem Abfragen des Guthabens, die Zustimmung zu Drittanbieter-Cookies von Google anfragt. Zwar wird der Zweck dieser Cookies eindeutig ausgewiesen, doch schreiben die Sicherheitsexperten in ihrem Bericht: „Durch die vorliegende Umsetzung liegt ein De-facto-Zwang vor.” Die Freiwilligkeit der Datenübertragung, die die DSGVO fordert, könne hier also bezweifelt werden.
Außerdem verlange die App und die der Givve Card weitreichende Zugriffsrechte wie die Kamerafunktion, die Nutzung einer Advertising ID Permission oder dem Auslesen von Kontakten. Unklar sei, welchen Nutzungszweck diese erfüllten, heißt es im Bericht. Givve, ein Angebot von PL Gutscheinsysteme und Groupe Up wird bereits im Landkreis Greiz, Wartburgkreis und dem Saale-Orla-Kreis zum Einsatz verwendet.
Anbieter spricht von einem „banalen Fehler”
Die dritte Lösung „Bezahlkarte” der Anbieter Paycenter und Petafuel, die im Landkreis Günzburg, Fürstenfeldbruck, Traunstein und Straubing eingesetzt wird, wies dagegen laut dem Bericht Sicherheitsmängel auf ihrer Website auf, die von ihrer App angesteuert wird. Darauf fanden die Sicherheitsexperten eine „schwerwiegende Schwachstelle, die es ermöglicht, JavaScript mit in die Website einzuschleusen”. Nutzer könnten so Cookies anderer Nutzer stehlen und auswerten.
Paycenter und Petafuel begrüßen die Initiative der Sicherheitsexperten. Die Funde seien „qualitativ hochwertig” und korrekt abgebildet, schreiben die Verantwortlichen auf Anfrage. Die Lücke habe man innerhalb eines Tages geschlossen, teilt der Anbieter mit: „Dass die festgestellte Lücke, die ein banaler Entwicklungsfehler ist, aufgetreten ist, entspricht ganz klar nicht unseren Standards.” Durch den Fehler sei bis zur Behebung nachweislich kein Schaden entstanden. Sicherheitsexperte Niklas Klee bestätigt das. Der Fehler sei leicht zu beheben.
Weitere Mängel nicht ausgeschlossen
Die Probleme hätte man jedoch früher erkennen können, sagen die IT-Experten. Sie sehen ein strukturelles Problem. Die Anbieter hätten die Apps sehr kurzfristig aufgebaut und dabei schwerwiegende Fehler gemacht. „Wir wollen auch zukünftige Anbieter für diese Mängel sensibilisieren”, sagt Schäfers. Auch wenn es sich bisher um Pilotphasen handelt, seien die Mängel nicht zu unterschätzen. „Mich haben die Mängel in den Apps gewundert, weil die Banken, die hinter den Systemen stehen, das eigentlich schon seit Jahrzehnten machen.”
Schäfers möchte nicht ausschließen, dass es weitere Mängel bei den Angeboten gibt. „Wir konnten von außen nur aus der Sicht von Nutzenden überprüfen“, sagt Schäfers. „Die internen Strukturen konnten wir uns nicht angucken.” Wenn diese jedoch in ähnlicher Qualität aufgebaut sind, sei davon auszugehen, dass dort ähnliche Schwachstellen zu finden sind.