Service Apps im Test: Fazit, Ergebnisse & Testverfahren
Mehr zum Thema: o2 Deutsche Telekom Vodafone Sunrise Swisscom- Service-Apps im Test: Apps der Netzbetreiber in Deutschland, Österreich und der Schweiz
- Deutschland: Mein O2, Mein Vodafone & Mein Magenta im Test
- Österreich: Mein Magenta Austria, Drei Kundenzone & Mein A1 Telekom im Test
- Schweiz: My Swisscom & My Sunrise im Test
- Service Apps im Test: Fazit, Ergebnisse & Testverfahren
Fazit - Josefine Milosevic, RedakteurinEine gute Service-App dürfen Kundinnen und Kunden heutzutage von ihren Netzbetreibern erwarten. Wer sein halbes Leben mit dem Smartphone organisiert, will auch hier so viel wie möglich in Eigenregie managen. Kein Wunder also, dass sich die Mobilfunk- und Fest...
Fazit - Josefine Milosevic, Redakteurin
Eine gute Service-App dürfen Kundinnen und Kunden heutzutage von ihren Netzbetreibern erwarten. Wer sein halbes Leben mit dem Smartphone organisiert, will auch hier so viel wie möglich in Eigenregie managen.
Kein Wunder also, dass sich die Mobilfunk- und Festnetzbetreiber ins Zeug legen und durch die Bank brauchbare Apps anbieten. Im Vergleich zum Vorjahr haben sich die Ergebnisse weiter verbessert, schlechter als "gut" geht keiner der Kandidaten über die Ziellinie.
Einen ganz großen Sprung bei der Sicherheit macht Vodafone – von "ausreichend" auf "sehr gut". Den Gesamtsieg bei der Securityprüfung holt sich Telefónica O2. Knapp dahinter landet Swisscom, die sich mit überragender Funktionalität den Gesamtsieg im DACH-Vergleich sichern. In Österreich hat Magenta die Nase vorne.
Hier die Testergebnisse zum Download:
So haben wir getestet
umlaut hat alle Anwendungen in folgenden vier Sicherheitskategorien geprüft: Datenschutz, Verbindungssicherheit und Verschlüsselung, Identitätsdiebstahl sowie Sicherheit des Quellcodes. Die Angriffsszenarien orientierten sich an den Richtlinien zur sicheren Programmierung von Apps des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Projects (OWASP).
Viele Tests wurden von umlaut selbst entwickelt, das Testing pro App nahm mehrere Tage in Anspruch. Zudem hat umlaut drei neue Tests in der Kategorie "Identitätsdiebstahl und Rechteausweitung" hinzugefügt, was jedoch nicht zu größeren Unterschieden bei den diesjährigen Security-Ergebnissen geführt hat.
Alle Ergebnisse wurden zur Kontrolle von zwei Ingenieuren verifiziert. Aus Sicherheitsgründen haben wir jedoch auf die genaue Beschreibung der einzelnen Schwachstellen verzichtet, um etwaigen kriminellen Handlungen vorzubeugen.
Wie gut die App-Hersteller den Datenschutz umgesetzt haben, war in unserem Test der wichtigste Aspekt und wurde demnach auch mit den meisten Punkten gewichtet. Geprüft haben wir in dieser Kategorie, ob die Apps personenbezogene Daten wie Log-in- und Benutzerinformationen ausreichend geschützt im lokalen Speicher der App und im externen Smartphonespeicher ablegen. Das schließt auch die Identifikationsdaten zwischen Server und App mit ein.
Denn wenn die App diese Identifikationsdaten nicht löscht, könnte man den Nutzer anhand dieser Informationen eindeutig ermitteln und auslesen, wann und wie oft er sich eingeloggt hat. Zusätzlich wurde geprüft, ob sensitive Daten per Screenshot festgehalten oder kopiert werden können und welche Berechtigungen die App erfordert.
Verschlüsselung ist essenziell
Wie gut der Datenfluss zwischen App und Server abgesichert ist, war ebenfalls ein Testkriterium. Dabei wurde überprüft, ob die Anwendung mit aktuellen Verschlüsselungsmethoden arbeitet und ob sie den gesamten Datenverkehr ausschließlich gesichert überträgt.
Punktabzug gab es, wenn die App unnötige Informationen an den Server sendet oder personenbezogene Daten nicht DSGVO-konform überträgt. Zudem wurde der korrekte Umgang der App mit SSL-Zertifikaten als digitalem Identitätsnachweis untersucht.
In der Kategorie „Identitätsdiebstahl“ hat umlaut während des Testings versucht, die eigenen Rechte innerhalb der App auszuweiten. Wenn es Angreifern in diesem Szenario gelänge, bestimmte Autorisierungsmechanismen der Apps zu umgehen oder das Nutzerpasswort zu stehlen, könnten sie auf Daten anderer Anwender zugreifen. Theoretisch wären davon alle Kunden betroffen, die die entsprechende App verwenden.
Kritisch ist es auch, wenn eine Anwendung keinen Schutz gegen Klonung besitzt. Angreifer könnten dann eine exakte Kopie der Applikation erstellen, alle persönlichen Daten entnehmen und sich als Nutzer ausweisen.
Der Quellcode kann ebenfalls Einfallstor für Angriffe sein. Darum wurde hier kontrolliert, ob die Komponenten von Drittanbietern sicher implementiert wurden und die App wichtige Dateien verschleiert ablegt. Der Quellcode kann ebenfalls Einfallstor für Angriffe sein. Darum wurde hier kontrolliert, ob die Komponenten von Drittanbietern sicher implementiert wurden und die App wichtige Dateien verschleiert ablegt.
