Onlinedating und Sicherheit

Wie sicher sind Onlinedating-Apps aus der Sicht von Privatsphäre und Datenschutz?

Dating-Apps, auch Singlebörsen genannt, sollten eigentlich zur Partnervermittlung dienen – um andere Menschen kennenzulernen und Spaß zu haben – aber nicht um personenbezogene Daten freizügig zur Verfügung zu stellen. Leider gibt es bei Online-Dating-Diensten ernsthafte Bedenken hinsichtlich Sicherheit, Privatsphäre und Datenschutz. Auf dem Mobile World Congress (MWC21) präsentierte Tatyana Shishkova, Senior Malware Analyst bei Kaspersky, einen Bericht über die Sicherheit von Onlinedating-Apps. In diesem Blog werden wir uns mit den Schlussfolgerungen beschäftigen, die sie aus der Studie der meistbenutzten Online-Dating-Dienste in puncto Datenschutz, Sicherheit und Privatsphäre zog und was die Benutzer tun können, um auf der sicheren Seite zu bleiben.

Sicherheit bei Dating-Apps: Was sich in den letzten vier Jahren verändert hat

Unsere Experten haben vor einigen Jahren eine ähnliche Studie durchgeführt. 2017 erforschten sie neun beliebte Online-Dating-Dienste und es stellte sich heraus, dass die Dating-Apps ernsthafte Probleme bezüglich sicheren Datentransfer von Benutzerdaten sowie Datenspeicherung und dem Zugriff durch andere Benutzer aufwiesen. Das sind die größten Gefahren, die 2017 ermittelt und im Bericht erfasst wurden:

  • Sechs der neun untersuchten Apps blenden den Standort der Benutzer nicht aus.
  • Bei vier der Apps war es möglich den echten Namen des Benutzers herauszufinden und andere Social-Media-Accounts der entsprechenden Benutzer ausfindig zu machen.
  • Vier Dating-Applikationen ermöglichten es Außenstehenden Daten abzufangen, die über die App weitergeleitet wurden und teilweise sensible Informationen enthielten.

Uns interessierte wie die Dinge 2021 aussehen und entschlossen uns die Online-Singlebörsen erneut unter die Lupe zu nehmen. Bei der Studie wurden die neun beliebtesten Dating-Apps geprüft: Tinder, OKCupid, Badoo, Bumble, Mamba, Pure, Feeld, Happn und Her. Beim Vergleich mit den Ergebnissen von 2017 gibt es kleine Unterschiede, denn der Partnervermittlungsmarkt im Internet hat sich leicht verändert. Abgesehen davon, hat sich bei den meistbenutzten Apps in den letzten vier Jahren nicht allzu viel geändert.

Sicherheit des Datentransfers und der Datenspeicherung

In den letzten vier Jahren gab es immerhin erhebliche Verbesserungen bezüglich des Datentransfers zischen der App und dem Server. Erstens verwenden alle neun Apps inzwischen Verschlüsselung. Zweitens verfügen alle über einen Mechanismus, der vor Angriffen per Zertifikat-Spoofing schützt: Sobald ein gefälschtes Zertifikat entdeckt wird, hören die Apps sofort auf Daten zu übertragen. Mamba zeigt zusätzlich eine Warnung an, die darauf hinweist, wenn die Verbindung nicht sicher ist.

Was die Daten betrifft, die auf den Geräten der Benutzer gespeichert werden, könnten potenzielle Angreifer immer noch Zugriff darauf erhalten, wenn sie es irgendwie schaffen Superuser-, bzw. Root-Rechte zu erlangen. Das ist allerdings eher ein unwahrscheinliches Szenario. Abgesehen davon, würden Superuser-Zugriffsrechte in den falschen Händen bedeuten, dass das Gerät vollkommen schutzlos ist und in diesem Fall wäre der Datendiebstahl bei der Dating-App das kleinste Problem des Opfers.

Das Kennwort wird in Klartext gemailt

Zwei der neun untersuchten Apps – Mamba und Badoo – verschicken die Kennwörter von neu registrierten Benutzern in Klartext. Da viele Menschen sich nicht die Mühe machen, ihr Kennwort direkt nach der Registrierung zu ändern (manche ändern es nie) und außerdem in der Regel sich auch nicht großartig um E-Mail-Sicherheit kümmern, ist diese Methode für eine Dating-App gar nicht geeignet. Ein potenzieller Hacker kann das Kennwort ganz leicht herausfinden, indem er entweder die eingehenden Mails des Benutzers abfängt oder das E-Mail-Konto hackt. Mit dem Kennwort kann der Hacker dann auf das Konto der Dating-App zugreifen, vorausgesetzt, dass vorher keine Zwei-Faktor-Authentifizierung eingerichtet wurde.


Bericht von Tatyana Shishkova auf dem MWC21

Profilbild ist Pflicht

Eins der Probleme von Dating-Diensten ist, dass Screenshots von Unterhaltungen und Profilen gemacht und dann für Doxing, Shaming und andere bösartige Absichten missbraucht werden könnten. Leider ermöglicht nur eine der neun Apps für Partnervermittlung ein Konto ohne Foto zu erstellen (bzw. ohne ein Foto, über das der Benutzer leicht identifiziert werden kann). Zudem können die Screenshots bei dieser App ganz bequem deaktiviert werden. Eine andere App, Mamba, bietet eine kostenlose Funktion, die es ermöglicht das Profilbild verschwommen anzuzeigen und nur die Benutzer, die über Ihre ausdrückliche Erlaubnis verfügen, können das Foto normal sehen. Auch andere Apps bieten diesen Service, allerdings nur gegen Gebühr.

Dating-Apps und soziale Netzwerke

Alle Apps, abgesehen von Pure, ermöglichen es den Benutzern sich über ihre Social-Media-Accounts anzumelden, meistens über Facebook. Es ist außerdem die einzige Anmeldeoption für alle, die ihre Telefonnummer nicht mit der App teilen möchten. Wenn das Facebook-Konto nicht „respektabel“ genug ist (zu neu oder zu wenig Freunde), bleibt dem Benutzer nichts anderes übrig, als die Telefonnummer anzugeben.

Das Problem bei Anmeldungen über die sozialen Medien ist, dass die meisten Apps die Profilbilder von Facebook direkt auf das neue Konto in der Dating-App herunterladen. Durch die Fotos kann das Konto auf der Dating-Plattform dann kinderleicht mit dem Konto auf den sozialen Netzwerken in Verbindung gebracht werden.

Darüber hinaus ermöglichen – und empfehlen sogar – viele Dating-Apps das Profil mit Social-Media-Accounts und anderen Onlinediensten zu verknüpfen, wie beispielsweise mit Instagram oder Spotify, damit neue Fotos und Lieblingslieder automatisch dem Dating-App-Profil hinzugefügt werden können. Auch wenn es keine todsichere Methode gibt, um ein Konto bei einem anderen Service zu identifizieren, kann jemand mit den Informationen des Benutzerprofils auf jeden Fall auf anderen Websites gefunden werden.

Standort, Standort, Standort

Einer der umstrittensten Aspekte von Dating-Apps ist möglicherweise, dass die meisten dieser Anwendungen Zugriffsrechte auf den Standort der Benutzer verlangen. Von den neun mobilen Dating-Apps, die wir untersucht haben, ist es bei vier – Tinder, Bumble, Happn und Her – Pflicht den Standortzugriff zu aktivieren. Bei drei der Apps können die präzisen Koordinaten des Benutzers durch eine allgemeine Regionangabe ersetzt werden, aber nur in der kostenpflichtigen Version. Happn bietet diese Option nicht, aber in der kostenpflichtigen Version kann die Entfernung zwischen Ihnen und anderen Benutzern ausgeblendet werden.

Mamba, Badoo, OkCupid, Pure und Feeld erfordern keine Standortzugriffsrechte: Die Benutzer dieser Apps können ihre Region auch in der kostenfreien Version manuell angeben. Beachten Sie allerdings, dass auch diese Apps für die Online-Partnersuche die Option anbieten, automatisch Ihre Koordinaten zu erfassen. Besonders bei Mamba ist es empfehlenswert diese Option zu deaktivieren, denn die Anwendung ist in der Lage Ihre Entfernung zu anderen Benutzern mit einer erschreckenden Genauigkeit zu bestimmen: Die Abweichung beträgt maximal ein Meter!

Im Allgemeinen, wenn ein Benutzer der App erlaubt die Entfernung zu anderen Benutzern anzuzeigen, ist es in der Regel nicht schwierig den genauen Standort zu berechnen, beispielsweise mit Programmen für Triangulation oder GPS-Spoofing. Nur zwei der vier Dating-Apps, die ausschließlich mit Standortzugriffsrechten funktionieren – Tinder und Bumble – versuchen die Benutzer vor dieser Art von Programmen zu schützen.


Zu den größten Problemen von Dating-Apps zählt das Zugriffsrecht auf den Standort der Benutzer

Schlussfolgerungen

Rein technisch gesehen wurde die Sicherheit der Dating-Apps in den letzten vier Jahren erheblich verbessert – alle Onlinedating-Dienste verwenden inzwischen Verschlüsselung und sind in der Lage Man-in the-Middle-Angriffe (MITM) effektiv abzuwehren. Die meisten Apps verfügen über Bug-Bounty-Programme, die hilfreich sind, um Schwachstellen zu entdecken und schnell zu patchen.

Was die Privatsphäre und den Datenschutz betrifft, sieht die Sache allerdings nicht allzu rosig aus: Die Apps sind absolut nicht darum bemüht, die Benutzer vom Oversharing abzuhalten. Viele Leute veröffentlichen weit mehr Daten über sich selbst als vernünftig ist und sind sich nicht bewusst oder ignorieren einfach welche Folgen das haben kann: Doxing, Stalking, Datenlecks und andere Online-Schikanen.

Natürlich ist Oversharing kein Problem, das nur durch Dating-Apps entsteht – bei den sozialen Medien sieht es nicht besser aus. Aber da Dating Apps in der Regel für die Partnersuche verwendet werden, veröffentlichen die Benutzer Daten, die sie höchstwahrscheinlich auf keiner anderen Onlineplattform posten würden. Außerdem ist zu bedenken, dass Dating-Dienste meistens wesentlich weniger Kontrolle darüber haben, mit wem genau die Benutzer ihre Daten teilen.

Aus diesem Grund empfehlen wir allen Benutzern von Dating-Apps (und auch anderen Apps) genau zu überlegen, welche Daten geteilt werden können und welche nicht.

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.