Service-Apps der alternativen Mobilfunker: Ergebnisse, Fazit & Testverfahren
- Service-Apps der alternativen Mobilfunkanbieter im Test
- Aldi Talk, Mein Blau und Congstar
- Freenet Mobilfunk, Klarmobil.de und Lidl Connect
- Mein Otelo, Smartmobil.de, Ay Yildiz
- Service-Apps der alternativen Mobilfunker: Ergebnisse, Fazit & Testverfahren
Fazit von Josefine Milosevic, RedakteurinIn Bezug auf Funktionalität gibt es keine gravierenden Mängel. Alle Anbieter präsentieren die wichtigsten Informationen übersichtlich auf dem Startbildschirm. Die Spitzenreiter in den Kategorien „Funktionalität“ und „Service“ bieten darüber hina...
Fazit von Josefine Milosevic, Redakteurin
In Bezug auf Funktionalität gibt es keine gravierenden Mängel. Alle Anbieter präsentieren die wichtigsten Informationen übersichtlich auf dem Startbildschirm. Die Spitzenreiter in den Kategorien „Funktionalität“ und „Service“ bieten darüber hinaus Extras wie die Möglichkeit zur Smartphone-Bestellung, Gerätereparatur oder einen Rückrufservice der Hotline.
Besondere Beachtung gilt dem Sicherheitsaspekt, den unser Partner umlaut getestet hat. Hier holt sich Congstar mit der Gesamtnote „überragend“ vor Smartmobil, Blau und Otelo (alle „sehr gut“) den Sieg. Einen Coup landet Aldi, der im Security-Check ebenfalls mit „überragend“ abgeschnitten hat und sich damit in der Gesamtnote von „gut“ auf „sehr gut“ verbessert hat. Für einen Platz noch weiter vorne im Punkteranking fehlt es der App noch an Extras.
Auch Lidl hat deutlich zugelegt und holt sich ein „sehr gut“: Bei der Funktionalität konnte der Discounter mit Zusatzfeatures punkten. Der neue Look sorgt für eine deutlich bessere Bedienbarkeit, alle wichtigen Dinge finden sich im Dashboard auf der Startseite. Neu im Test ist Ay Yildiz, die sich wacker geschlagen haben und auch bei der Sicherheit sehr gut aufgestellt sind.
Hier stehen Ihnen die detaillierten Gesamt-Ergebnisse zum Download bereit:
So testet connect
Während die Funktionalität und die Handhabung der Service-Apps bei connect getestet wurden, überprüfte unser Partner umlaut deren Sicherheit.
umlaut hat die Anwendungen in vier Sicherheitskategorien geprüft: Datenschutz, Verbindungssicherheit und Verschlüsselung, Identitätsdiebstahl sowie Sicherheit des Quellcodes. Die Angriffsszenarien orientierten sich an den Richtlinien zur sicheren Programmierung von Apps des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Projects (OWASP). Viele Tests wurden von unserem Partner umlaut selbst entwickelt, das Testing pro App nahm mehrere Tage in Anspruch.
Zudem hat umlaut einen neuen Test in der Kategorie „Identitätsdiebstahl und Rechteausweitung“ hinzugefügt sowie mehrere Tests verschärft, was zu größeren Unterschieden bei den diesjährigen Security-Ergebnissen geführt hat im Vergleich zum letzten Jahr. Alle Ergebnisse wurden zur Kontrolle von zwei Ingenieuren verifiziert. Aus Sicherheitsgründen haben wir jedoch auf die genaue Beschreibung der einzelnen Schwachstellen verzichtet, um etwaigen kriminellen Handlungen vorzubeugen.
Wie gut die App-Hersteller den Datenschutz umgesetzt haben, war in unserem Test der wichtigste Aspekt und wurde demnach auch mit den meisten Punkten gewichtet. Geprüft haben wir in dieser Kategorie, ob die Apps personenbezogene Daten wie Login- und Benutzerinformationen ausreichend geschützt im lokalen Speicher der App und im externen Smartphonespeicher ablegen.
Das schließt auch die Identifikationsdaten zwischen Server und App ein. Denn wenn die App diese Identifikationsdaten nicht löscht, könnte eine bösartige App diese unter Umständen auslesen und so das Nutzerkonto übernehmen. Zusätzlich wurde geprüft, ob sich sensitive Daten per Screenshot festhalten oder kopieren lassen und welche Berechtigungen die App erfordert.
Verschlüsselung ist essenziell
Wie gut der Datenfluss zwischen App und Server abgesichert ist, war ebenfalls ein Kriterium. Dabei wurde überprüft, ob die Anwendung mit aktuellen Verschlüsselungsmethoden arbeitet und ob sie den gesamten Datenverkehr ausschließlich gesichert überträgt. Punktabzug gab es aber auch, wenn eine App unnötigerweise Informationen an den Server sendet oder personenbezogene Daten nicht DSGVO-konform überträgt. Zudem wurde im Test der korrekte Umgang der App mit SSL-Zertifikaten als digitalem Identitätsnachweis untersucht.
In der Kategorie „Identitätsdiebstahl“ hat umlaut während des Testings versucht, die eigenen Rechte innerhalb der App auszuweiten. Wenn es Angreifern in diesem Szenario gelänge, bestimmte Autorisierungsmechanismen der Apps zu umgehen, könnten sie auf Daten anderer Anwender zugreifen. Theoretisch wären davon alle Kunden betroffen, die die betreffende App verwenden.
Kritisch ist es auch, wenn eine Anwendung keinen Schutz gegen Klonung besitzt. Angreifer könnten dann eine exakte Kopie der Applikation erstellen, alle persönlichen Daten entnehmen und sich als Nutzer ausweisen. Der Quellcode kann ebenfalls ein Einfallstor für Angriffe sein. Aus diesem Grund wurde in den Tests kontrolliert, ob die Komponenten von Drittanbietern sicher implementiert wurden und ob die App wichtige Daten verschleiert.
