Mit Sicherheit sind nicht nur die zu nutzenden WM-Apps in Katar eine große Herausforderung.
Denn zur Einreise in das Land ist die Installation zweier Apps erforderlich bzw. nachzuweisen. Dabei handelt es sich zum einen um die Covid-App Ehteraz sowie um die offizielle WM-App Hayya.
Datenschützer:innen wie der IT-Security-Experte des norwegischen Senders NRK Øyvind Vasaasen schlagen Alarm:
Beide WM-Apps werden als unsicher eingestuft, da der Umgang mit den Nutzer:innendaten und den Berechtigungen risikoreich ist. Die Ergebnisse unserer statischen App-Analyse bestätigen diesen Umstand.
Datenschutz-Beurteilung
Zur Beurteilung des Sicherheitsniveaus hat der Datenschutz-Experte Vasaasen sowohl die WM-App Ehteraz als auch die App Hayya einer Prüfung unterzogen.
Dazu wurden die Apps mithilfe der App Risk Management-Lösung APPVISORY zusätzlich auf Sicherheitsrisiken im Quellcode geprüft.
Nachfolgend die Ergebnisse der Datenschutz-Analyse im Überblick.
Ehteraz
Ehteraz ist eine Covid-App, die sich alle Besucher:innen im Alter von über 18 Jahren bei der Einreise nach Katar downloaden und installieren müssen. Offiziell dient sie der Kontaktnachverfolgung zur Eindämmung der Corona-Pandemie. Allerdings erhält die WM-App zahlreiche Zugriffsrechte auf das Smartphone der User:innen.
Hierzu zählt das Lesen, Löschen und Ändern sämtlicher Inhalte auf dem Gerät, der Aufbau einer Bluetooth- und WiFi-Verbindung, das Überschreiben anderer Anwendungen sowie die Blockade des Schlafmodus auf dem Smartphone.
Der App Scan (iOS v 8.0.1 & Android v 12.4.7) schlägt vor allem hinsichtlich der weitreichenden Zugriffsrechte auf die Standortdaten der User:innen Alarm.
Dies kommunizierte auch Vasaasen – die App könne auf den Standort des Handys zugreifen, Anrufe tätigen und die Bildschirmsperre außer Kraft setzen.
Hayya to Quatar
Bei Hayya to Qatar 2022 handelt es sich um die offizielle WM-App, mit der User:innen die Hayya Card verwalten können. Diese ist für die Einreise nach Katar, den Stadionbesuch sowie die Nutzung der öffentlichen Verkehrsmittel notwendig.
Auch wenn die Zugriffsberechtigungen hier weniger weitreichend sind, ist die Hayya App kritisch zu bewerten.
Denn diese verlangt den Zugriff auf den genauen Standort sowie die Freigabe der persönlichen Daten und dieses nahezu ohne Einschränkungen.
Zudem kann verhindert werden, dass das Smartphone in den Ruhezustand geht und die Netzwerkverbindungen des Gerätes abgefragt werden.
Der App Scan bestätigt die Ergebnisse und identifiziert darüber hinaus bei der Android-Version der Hayya App (v 8.1.1.3628) den Einsatz diverser Tracking-Tools wie Google Firebase Analytics und die Abfrage von Datenbanken wie SMS und Kontakte.
WM-Apps erlauben Kontrolle der Nutzer:innen
User:innen, die die Apps auf ihr Smartphone herunterladen, akzeptieren die Nutzungsbedingungen der beiden WM-Apps. Sie können den Zugriffsrechten nicht widersprechen, auch nicht teilweise, da diesen nur im vollen Umfang zugestimmt werden kann.
Wer die Apps nutzt, bringt den App-Herstellern viel Vertrauen entgegen, – was nicht nur angesichts der umstrittenen Menschenrechtslage in dem Land nicht uneingeschränkt möglich ist.
Die Gefahr ist groß, dass die Daten in den WM-Apps von den katarischen Sicherheitsbehörden für andere Zwecke missbraucht werden.
Die WM-Apps sind somit nicht mit dem Datenschutz vereinbar.
Die FIFA hat sich zu den geäußerten Sicherheitsbedenken bisher noch nicht geäußert.
Also lassen Sie sich gut beraten.
