App-Test

App-Test DB-Navigator: Fahrplanauskunft und Ticketbuchung bei der Bahn

Ein Artikel von , veröffentlicht am 09.02.2016

DB Navigator ist eine kostenlose App der Deutschen Bahn, die unter anderem Nah- und Fernverbindungen des öffentlichen Verkehrsnetzes anzeigt. Registrierte Kunden können mit der App Tickets buchen und verwalten. Ein mögliches Problem: Tracking.

Was kann DB Navigator?

Mit dem DB Navigator können Nutzer Reiseverbindungen in Deutschland und Europa suchen. Registrierte Nutzer können zudem Tickets buchen und sich über Zugverspätungen informieren. Mit den Standortdaten des Smartphones lassen sich umliegende Reisemöglichkeiten und der Weg zum Bahnhof anzeigen. Ebenfalls integriert ist die Suche nach DB-eigenen Mietwagen und Fahrrädern.

Getestete Version: 15.10.p04.01 (5. Oktober 2015)

Link zum App-Store: Google Play Store Weblink: Website der Deutschen Bahn

Unser Test im Überblick:

Bei der Installation des DB Navigators verlangt die App Zugriff auf verschiedene Berechtigungen, was durch ihre Funktionalität nachvollziehbar ist. Nach dem Start der App verbindet sie sich zu diversen Adressen der Deutschen Bahn, aber auch zu Drittanbietern wie zum Beispiel Google oder dem Bezahldienst „Sofort Überweisung“. Ist man registrierter Nutzer der Deutschen Bahn und verknüpft seinen bestehenden Account mit der App, so werden sensible Informationen auf dem Smartphone gespeichert. Das Passwort wird verschlüsselt abgelegt. Es werden Nutzungsdaten erhoben und von Adobe Analytics verarbeitet. Der Nutzer kann die Datensammlung jedoch in den Einstellungen abstellen.

Hinweis: Zur Nutzung der App sind Google-Play-Dienste erforderlich.

Die Testergebnisse im Detail:

Getestet haben wir die Version 15.10.p04.01, die wir aus dem Play Store heruntergeladen haben. Dieser Test gibt keine Auskunft über abweichende Versionen.

Ausführliche Informationen dazu, wie unsere App-Rezensionen aufgebaut sind, welche Tests wir durchführen und was wir damit erreichen wollen, finden Sie im Hintergrundtext Was untersuchen wir in App-Rezensionen?

Welche Daten sieht die App DB Navigator?

Über das Berechtigungssystem hat die App auf diverse Informationen auf dem Smartphone Zugriff. Für eine App der Kategorie Navigation / Verkehr sind alle folgenden Berechtigungen nachvollziehbar:

In unserer Checkliste: App-Zugriffsrechte entschlüsselt (Android) finden Sie eine Übersicht, in der wir erklären, was sich hinter den Berechtigungen von Apps verbirgt. Der Hintergrundtext: Ganz oder gar nicht: Rechtesystem für Apps informiert darüber, wie das Berechtigungssystem bei Android insgesamt funktioniert und wo die Tücken liegen.

Wohin verbindet sich die App?

Deutsche Bahn: Für die Abfrage der Nah- und Fernverbindungen bzw. weitere Funktionen der App werden diverse Verbindungen zu Servern der Deutschen Bahn hergestellt. Die Kommunikation erfolgt größtenteils TLS-verschlüsselt. Teilweise werden die TLS-Zertifikate auf dem Mobilgerät dafür von der Deutschen Bahn überprüft (sogenanntes Certificate Pinning) - leider nicht konsequent. Das erleichtert es einem heimlichen Lauscher, beispielsweise Benutzername und Passwort, möglicherweise auch Kreditkarteninformationen abzufangen.

Im Hintergrundtext Wie sicher sind Internetverbindungen von Apps? erklären wir, was TLS und Certificate Pinning sind. Details zur Funktionsweise finden Sie im Beitrag TLS/SSL Fragen und Antworten.

Google: Unmittelbar nach jedem Start der App werden Verbindungen zu unterschiedlichen Google-Adressen aufgebaut. Der Grund: Die Entwickler greifen auf diverse Funktionen der Google-Play-Dienste zurück, die unter anderem für die Darstellung des Google-Kartenmaterials benötigt werden.

Bezahldienste: Für den Bezahldienst „Sofort Überweisung“ werden beim Ticket-Kauf weitere verschlüsselte Verbindungen geöffnet. Certificate Pinning wird hierbei nicht verwendet.

Wie sicher speichert die App meine Daten?

Kunden der Deutschen Bahn können ihr bestehendes Online-Konto mit der App verknüpfen. Dabei werden auf dem Smartphone unter anderem Vor- und Nachname, Konto-Name und Passwort gespeichert. Das Passwort wird verschlüsselt abgelegt. Weitere personenbezogene Daten wie Adresse, Kreditkartennummer oder Personalausweisnummer werden serverseitig gespeichert.

Wer physischen Zugriff auf das Smartphone erhält, kann vergangene Suchanfragen oder Bahn-Reisen rekonstruieren. Denn diese Informationen werden unverschlüsselt auf dem Gerät abgelegt.

Was sagt die Datenschutzerklärung?

Die im Google-Play-Store verlinkte Datenschutzerklärung verweist auf die „Datenschutzgrundsätze“ der Deutschen Bahn. Dort lassen sich keine Informationen zum DB Navigator finden. Die Datenschutzerklärung der App ist entweder hier oder nach der Installation unter „Einstellungen → Datenschutz“ einsehbar. Zum Zweck der Webanalyse setzt der DB Navigator den Analysedienst Adobe Analytics ein. Über eine integrierte Opt-Out Funktion kann der Nutzer dieser Datenerhebung widersprechen. Standardmäßig ist die Webanalyse nach der Installation aktiviert.

In unserer Schritt-für-Schritt-Anleitung erklären wir, wie Sie der Datenerhebung von Adobe Analytics widersprechen können.

Postalische Kontaktdaten registrierter Nutzer wie Name und Postanschrift oder auch die E-Mail-Adresse, können für Werbung per Post und für Marktforschung verwendet werden. Nutzer können dieser Verwendung der Daten mit einer E-Mail an ecommerce-datenschutz@bahn.de widersprechen.

Was eigentlich hinter dem Begriff "Datenschutz" steckt und wie die gesetzlichen Regelungen in Deutschland sind, erfahren Sie in unserem Hintergrundartikel: Was ist eigentlich Datenschutz?

Werden nur notwendige Daten erhoben?

Gegen das Prinzip der Datensparsamkeit wird zwar gesetzlich nicht verstoßen, dennoch sollten Nutzer wissen, dass ihre Daten zur Webanalyse erhoben und an US-amerikanische Unternehmen weitergeleitet werden oder Nutzerdaten für Werbung und Marktforschungszwecke verwendet werden.

Externe Dienstleister wie Adobe Analytics oder auch die Einbindung der Google-Play-Dienste sind hinsichtlich der Datensparsamkeit ebenfalls problematisch. Denn die Verwendung solcher Dienste macht auch immer die Übertragung von Nutzungsdaten erforderlich.

Unser Tipp:

Zum Anzeigen der Nah- und Fernverbindungen des öffentlichen Verkehrsnetzes können Sie die mobile Webseite der Deutschen Bahn über m.bahn.de aufrufen oder auf eine alternative App wie zum Beispiel „Transportr“ zurückgreifen.

Ticket-Buchungen sind über die mobile Webseite der Deutschen Bahn nicht mehr möglich. Wer also die Zusatzfunktionen der DB-Navigator-App verwenden und gleichzeitig Tracking verhindern möchte, sollte die Deaktivierung der Adobe Analytics Funktion in Betracht ziehen.

Kunden der Deutschen Bahn können der werblichen Verwendung ihrer Daten mit einer E-Mail an die Adresse ecommerce-datenschutz@bahn.de widersprechen.

Weitere Artikel

Checkliste 

Checkliste: iPhone und iPad im Alltag sichern

Von der Bildschirmsperre bis zum passwortgeschützten Einkauf im App-Store – Sie können einiges tun, damit Ihr iPhone oder iPad vor dem Zugriff Dritter und vor dummen Zufällen geschützt ist. Hier ist unsere Checkliste mit den wichtigsten Punkten.

Mehr
Ratgeber 

Verschlüsselte Messenger: Wire, Hoccer, Kontalk

Schnell mal eine Nachricht an Freunde und Bekannte schicken? Leicht gemacht, mit Instant Messengern. Dabei muss es schon lange nicht mehr WhatsApp sein. Hier stellen wir weitere sichere Messenger mit interessanten Features vor, die noch nicht so bekannt sind.

Mehr
YouTube-Video 

iPhone oder iPad weg – was tun?

Gerade bei den teuren iPhones oder iPads ist ein Verlust besonders schmerzhaft – und für Diebe sind sie eine besonders begehrte Beute. Mit diesen Tipps können Sie im Verlustfall den schlimmsten Schaden abwenden, und das Gerät vielleicht das Gerät sogar wiederfinden.

Ansehen
Ratgeber 

Marcel Bokhorst: “Closed source and privacy protection don’t go together very well”

Marcel Bokhorst from the Netherlands is the developer of the open source Android app FairEmail. Besides transparency and privacy, he thinks that an easy usability is essential for an app’s success. This is why he takes users’ feedback seriously, he told mobilsicher.

Mehr