Kurz vor Ende des Jahres 2023 erhielten wir von der Feuerwehr Cottbus die Anfrage für die Sicherheitsanalyse einer mobilen Applikation, die in der Praxis von Rettungskräften eingesetzt werden soll und dementsprechend nach Möglichkeit kein Sicherheitsrisiko für die Diensthandys der Männer und Frauen im Einsatz darstellen sollte. Natürlich waren wir hier gern bereit behilflich zu sein. Und das nicht nur, weil es sich bei der Applikation, um ein nützliches Werkzeug für die Behandlung von Kindernotfällen handelt.

Bei der Applikation handelt es sich um die Android-App „Pedi Help“. Diese umfasst nützliche Übersichten und Rechner, die Rettungskräften in Notfällen mit Kindern schnell und unkompliziert wichtige Daten zur Verfügung stellen. Über eine Skala lässt sich das Alter, Gewicht und die Größe des Kinders einstellen und dann dazu passend die benötigte Information darstellen bzw. errechnen. Beispielsweise kann so in Sekunden ermittelt werden, welche Normalwerte das Kind aufweisen müsste, wie Beatmungsmittel einzusetzen sind oder in welcher Dosis Schmerzmedikation zulässig ist – Selbst für jeden Komplettlaien ist hier unmittelbar zu verstehen, warum die Applikation nicht nur für Rettungskräfte nützlich sein kann.

Wir haben uns die Applikation (com.CreaBooSoft.PediHelp) in der Version 2.5 angesehen und den üblichen statischen und dynamischen Tests unterzogen.  Zuallererst muss man hierbei aber feststellen, dass obwohl die Applikation aus offensichtlichen Gründen hochinteressant für Rettungskräfte ist, sie aus sicherheitstechnischer Sicht für uns eigentlich das exakte Gegenteil darstellt. Um jedem Missverständnis aus dem Weg zu gehen: Für jeden, der „Pedi Help“ nutzen möchte ist das eine ausgezeichnete Nachricht!

Für uns relativ unspannend ist die Applikation deswegen, weil sie im Prinzip keine Funktionalität umsetzt, die angegriffen, abgehört oder anderweitig leicht manipuliert werden kann: Es gibt keine obligatorische Online-Kommunikation, die angegriffen werden könnte, keine Nutzer-Accounts (oder -daten), die geschützt werden müssten und keinen Zugriff auf und keine Erfassung von sensiblen Daten. Im Test konnten wir lediglich Kommunikation zu Unity-Servern und Google beobachten. Unity ist dabei die Entwicklungsumgebung mit der „Pedi Help“ realisiert wurde. Das hier zu Analyse- und Retargeting-Zwecken noch pseudonymisierte Nutzungsdaten gesammelt werden, ist dabei nichts Ungewöhnliches. Die statische Analyse identifiziert hier auch den dazugehörigen Tracker Unity3D Ads im App-Code und die Verwendung der Smartphone-spezifischen Advertising-ID lässt sich im Code nachweisen. Sicherheitstechnisch stellt der Sachverhalt aber wie gesagt kein Problem dar. Wenn dann könnte man hier eventuell aus Datenschutzsicht Bedenken aufwerfen.

Identifizierter Tracker

Womit wir auch zum Datenschutz kommen. Wie gesagt, können wir durch die praktischen Tests belegen, dass Nutzungsdaten an Unity, wie auch Google gehen. Das kann man sicher beanstanden, aber muss dabei auch einsehen, dass das im Prinzip mit jeder Android-Applikation heutzutage so ist. Google hat sowieso immer die Möglichkeit auf solche Daten zuzugreifen und das Vorhandensein „nur“ eines weiteren Trackers muss man eigentlich schon fast als vorbildlich bezeichnen. Außerdem hat der Entwickler hier auch keine andere Wahl mehr nachdem er sich für Unity3D als Entwicklungsumgebung entschieden hatte, was auch den Tracker zwangsläufig mit in seine App bringt.

„Datenschutzerklärung“

Das Einzige was man im Bereich Datenschutz dann noch anmerken kann, ist die Datenschutzerklärung. Diese ist wirklich sehr knapp, obwohl sie im Prinzip eigentlich fast alles Wichtige enthält. Dass der Entwickler selbst keine Daten erfasst und sammelt, glauben wir und konnten auch keine widersprüchlichen Indizien finden. Mindestens der Verweis auf die Datensammlung zu Analyse- und Werbezwecken durch den Unity-Tracker sollten hier aber noch ergänzt werden.

Insgesamt gibt es zu der Applikation aus sicherheitstechnischer Sicht und aus genannten Gründen dann auch nichts mehr hinzuzufügen: Ob auf privaten oder Diensthandys, ob im WiFi oder offline – Wir konnten beim Test kein realistisches Szenario identifizieren in dem die Nutzung der „Pedi Help“-App in irgendeiner Weise nennenswertes Schadpotential haben könnte. Gute Nachrichten also für die Rettungssanitäter der Feuerwehr Cottbus und alle, die mit der Applikation einfach nur vorbereitet sein möchten!