Pokémon Go

Tipps für Datenschutz & IT-Sicherheit

Florian Maier beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig. Er schreibt hauptsächlich für die Portale COMPUTERWOCHE und CIO.
Eine App in aller Munde: Der überwältigende Erfolg des mobilen Augmented-Reality-Spiels Pokémon Go fördert nicht nur den Spieltrieb, sondern auch die Machenschaften von Hackern und Kriminellen.

Spielegigant Nintendo hat sich vor einiger Zeit dazu entschlossen, auch auf dem Mobile-Games-Sektor tätig zu werden, statt seine Produkte nur im Zusammenspiel mit der eigenen Hardware an den Mann und die Frau zu bringen. Mit dem Hype, den das erste App-Produkt Pokémon Go ausgelöst hat, haben auch die Japaner selbst nicht gerechnet. Doch wo der Hype tobt, sind meist auch Kriminelle und Hacker nicht weit.

Pokémon-Fake-Apps: Augmented-Reality-Gefahr?

Kurz nach dem US-Release der App Pokémon Go für iOS- und Android-Devices meldete sich der erste Security-Anbieter zu Wort. Bei Proofpoint hatte man bereits eine manipulierte Android-Variante des Games entdeckt, die einen Trojaner an Bord hatte. Insbesondere Pokémon-Fans die nicht in Australien, Neuseeland oder den USA leben, liefen Gefahr auf eine solche gefälschte App hereinzufallen, denn die offizielle Version war bis vor kurzem nur in genannten Ländern verfügbar.

Pokémon Go ist inzwischen auch im deutschen Google Play Store verfügbar. Neben der offiziellen App finden sich hier auch zahlreiche Pokémon-"Guides", -"GPS Apps" und -"Tutorials".
Pokémon Go ist inzwischen auch im deutschen Google Play Store verfügbar. Neben der offiziellen App finden sich hier auch zahlreiche Pokémon-"Guides", -"GPS Apps" und -"Tutorials".

Die Security-Spezialisten von RiskIQ zählen inzwischen über 170 Fake-Apps die im Zusammenhang mit Pokémon Go stehen. Chad Salesbury, Spezialist für mobile Malware bei RiskIQ, schätzt rund die Hälfte dieser Apps, die den Spielern unter anderem Cheats, Tipps oder Songs aus dem Game versprechen, als risikobehaftet ein. Und selbst wenn diese Versprechen eingelöst werden: die gefährlichen Apps verlangen in der Regel umfassende Zugriffsrechte - etwa auf Kamera, Kontaktlisten oder Social-Media-Accounts. Generell ist jede Art von persönlichen Daten für Cyberkriminelle und Hacker verwertbar - sei es durch Missbrauch oder Verkauf.

Salisbury hat nach eigenen Angaben auch eine Pokémon-Fake-App aufgespürt, die den Spielern zwar Cheats für das mobile Augmented-Reality-Spiel liefert, dafür aber auch die Berechtigung einholt, SMS zu verschicken. Angreifer könnten diese Funktion nutzen, um Textnachrichten an teure Sondernummern zu verschicken und so Geld zu generieren. "User die inoffizielle Apps herunterladen sind sich meist nicht im Klaren darüber, dass sie gerade dabei sind, sensible Daten aus der Hand zu geben. Sie denken, Produkte wie ein Pokémon Go Music Player seien harmlos", warnt Salisbury.

Pokémon Go: Deutschland-Release für iOS & Android

Seit diesem Mittwoch steht Pokémon Go nun auch im deutschen Google Play Store und AppStore zum Download zur Verfügung. Die Gefahr, Opfer von Malware und Datendiebstahl zu werden mag durch den offiziellen Release gesunken sein, doch die Natur des Pokémon-Spiels fördert noch ganz andere Praktiken zu Tage. Aufgabe des Spielers ist es nämlich, digitale Pokémons in der realen Welt zu finden und einzufangen. Um die kleinen Fantasie-Viecher anzulocken, lassen sich digitale Lockstoffe in der realen Welt "ablegen" - quasi Geocaching mit Pokémons.

In O’Fallon, Missouri, USA berichteten verschiedene Medien von einem Vorfall, der beweisen soll, dass Kriminelle Pokémon Go für ihre Zwecke nutzen. Scheinbar hatte eine Bande von Straßenräubern ihre Opfer mit der Nintendo-App lokalisiert, angelockt und diese anschließend ausgeraubt. Die Täter wurden später von der Staatsmacht aufgespürt, wie das Police Department auf seiner Facebook-Präsenz verkündet. Sie werden verdächtigt, weitere Raubüberfälle nach demselben Muster durchgeführt zu haben. Das O’Fallon Police Department warnt daher: "Wenn Sie diese App (oder andere dieser Art) nutzen oder Kinder haben, die dies tun, bitten wir Sie Vorsicht walten zu lassen, wenn Sie Fremde über ihren Aufenthaltsort informieren".

Pokémon-Go-Tipps: Sicheres AR-Vergnügen

Doch es gibt auch Stimmen, die die Warnungen vor Malware und Datendiebstahl für überzogen halten. So zum Beispiel die Experten des finnischen Security-Anbieters F-Secure. Deren Sicherheitsberater Sean Sullivan wird im Unternehmensblog bezüglich des oben genannten Raubüberfalls in den USA zitiert: "Die Räubergeschichte ist Unsinn und wurde gehypt. Die Presse konnte nicht widerstehen über die Geschichte zu berichten."

Auch mit dem zuletzt aufgekommenen Vorwurf, App-Entwickler Niantic könne über Pokémon Go die Inhalte von Google-Accounts einsehen oder abgreifen, räumt Sullivan auf. Dass App-Hersteller auf E-Mail-Adresse, IP-Adresse, besuchte Webseiten und Standort der Nutzer zugreifen kann, sei zwar möglich und auch zu diskutieren, allerdings sei eine solche Praxis "typisch für die meisten Apps", wie der Security-Experte preisgibt. Auch die "Süddeutsche Zeitung" war in einem Artikel auf den Google-Zugriffsvorwurf gegen Niantic eingegangen und hatte dabei Entwarnung gegeben: "Wer Pokémon Go spielt, muss sich keine Sorgen um seine Daten machen." Verschiedene Medien hatten berichtet, die Entwickler des Spiels hätten vollständigen Zugriff auf die Google-Konten ihrer Nutzer. Tatsächlich handelte es sich dabei um einen Bug in der iOS-Version - die Pokémon-Go-App hatte mehr Zugriffsberechtigungen als nötig angefordert. Inzwischen ist dieser Fehler behoben.

Völlig sorglos sollten Pokémon-Go-Begeisterte trotzdem nicht mit der gehypten App umgehen. F-Secure empfiehlt, in jedem Fall die eigenen Datenschutzeinstellungen zu überprüfen und notfalls auch ein Gmail-unabhängiges Google-Konto zu erstellen. Sicherheitsanbieter G Data hat hingegen einige Tipps für Pokémon-Begeisterte zusammengetragen, die Wert auf IT-Sicherheit legen. Diese wollen wir Ihnen natürlich nicht vorenthalten:

  • Installieren Sie nur Apps aus vertrauenswürdigen Quellen

  • Schützen Sie Ihr Gerät mit Sicherheits-Software

  • Prüfen Sie die Berechtigungen, die Apps bei der Installation anfordern

  • Behalten Sie Ihre Privatsphäre im Blick: GPS-Koordinaten werden nicht nur an die Entwickler weitergegeben, sondern unter Umständen auch an andere, fremde Personen, die ebenfalls User sind

  • Vermeiden Sie Kostenfallen durch sogenannte Mikro-Transaktionen oder In-Game-Käufe

Pokémon-Jagd: Tipps für die physische Sicherheit

Neben Datenschutz- und IT-Security sollten Pokémon-Go-Fanatiker unbedingt auch auf ihre physische Sicherheit achten. Glauben Sie nicht? Hier bitteschön, die bislang kuriosesten Pokémon-Go-Unfälle:

Datenschutz: Neue Geschäftsmodelle mit Pokémons?

Sicher ist jedenfalls, dass der unerwartete Erfolg von Pokémon Go dafür sorgen wird, dass Kriminelle und Cyberkriminelle nach Wegen Ausschau halten, die massive User-Basis des AR-Games auszubeuten. Die Zukunft der populären App könnte allerdings auch ohne das Zutun von Kriminellen weiterhin von Datenschutz-Bedenken geprägt sein, wie die "New York Times" berichtet: "Die Ansiedelung des Spiels in der realen Welt eröffnet Niantic neue, spannende Möglichkeiten, Geld zu verdienen. Fast-Food-Restaurants, Coffee Shops und andere Einzelhändler könnten künftig zu gesponserten Locations werden, die die Spieler mit virtueller Beute anlocken."

Wie Tech Crunch berichtet, sollen die ersten gesponserten Locations mit dem Japan-Release von Nintendos Hit-Game kommen. Demnach hat Nintendo einen Deal mit dem Fast-Food-Riesen McDonald’s abgeschlossen, der alle rund 3.000 Restaurants im Land der aufgehenden Sonne zu virtuellen Pokémon-Trainingsräumen macht. Wie Bloomberg berichtet, hat alleine die Nachricht von der Kooperation dafür gesorgt, dass die Aktien von McDonald’s Japan um satte 23 Prozent an Wert zugelegt haben - der größte Zuwachs seit 2001.

F-Secure bringt mögliche Folgen einer solchen Entwicklung auf den Punkt: "Diese Partnerschaften könnten neue Sorgen entfachen über das Teilen der Standortdaten der Spieler mit Werbepartnern. Aber derzeit scheinen die Menschen überaus bereit zu sein, in die Welt hinaus zu gehen und sich selbst als Pokémon-Go-Spieler bekanntzumachen."

Die Polizei Bochum erwischte einige Stunden nach dem Deutschland-Release von Pokémon Go den ersten Autofahrer bei der Monsterjagd während der Fahrt.
Die Polizei Bochum erwischte einige Stunden nach dem Deutschland-Release von Pokémon Go den ersten Autofahrer bei der Monsterjagd während der Fahrt.
Foto: KeongDaGreat - shutterstock.com

Damit hat auch die deutsche Polizei bereits erste Erfahrungen gesammelt: Wie die Polizei Bochum mitteilt, wurde schon kurz nach dem Deutschland-Release von Pokémon Go der erste Autofahrer erwischt, der am Steuer auf der Jagd nach Pokémons war. Die Folge für den 24-jährigen: eine Ordnungswidrigkeitenanzeige. Merke: "Don't Pokémon and drive!"

Mit Material von IDG News Service & dpa.