Daten­schutz bei Apps Welche Apps Ihre Daten ausspähen

17
Daten­schutz bei Apps - Welche Apps Ihre Daten ausspähen

Viele Apps über­tragen persönliche Informationen der Smartphone-Besitzer an Daten­sammler – manche sogar unver­schlüsselt. Für den Service, den diese Apps bieten, zahlen Nutzer mit ihrer Privatsphäre.

Carla ist verreist. Lust aufs Hotel­restaurant hat sie nicht. Lecker Essen sucht sie lieber über ein Zusatz­programm ihres Smartphones, die „App“ Foodspotting, was so viel wie „Essen auskund­schaften“ heißt. Gute Tipps bekommt sie zuhauf. Das will Carla so. Was sie weder will noch weiß: Die App kund­schaftet nicht nur das Essen aus. Sie sendet gleich­zeitig all ihre gespeicherten E-Mail-Adressen in die USA. Ebenfalls auf Reisen gehen die Gerätekennung und eine Benut­zungs­statistik der App. Beides landet auch bei einer US-Firma namens flurry. Sie sammelt Daten en gros.

Foodspotting birgt zwei Risiken: Die App sendet Carlas Adress­buch nicht anonymisiert, sondern im Klar­text. Oben­drein sind die Adressen auf dem Weg in die USA angreif­bar. Die App über­trägt sie unver­schlüsselt, das heißt nicht sicher. Sie bietet lediglich den Sicher­heits­stan­dard einer Post­karte (http statt https).

Was die Apps verraten, wollten wir genau wissen und prüften 63 Zusatz­programme für Smartphones. 9 Apps unserer Stich­probe, die wie Foodspotting intime Daten weitergeben, bewerten wir als sehr kritisch. Weitere 28 sind kritisch – sie senden über­flüssige Daten. Lediglich 26 Programme machen das, was der Anwender erwartet. Sie senden nichts oder nur die für die Funk­tion der App erforderlichen Informationen. Natürlich braucht zum Beispiel die HRS-App für die Suche nach einem Hotel in der Nähe den Stand­ort. Und damit Video­clips von YouTube oder ZDFme­diathek richtig laufen, muss das Smartphone tech­nische Angaben preis­geben. Dagegen ist nichts einzuwenden.

Bei unserer Unter­suchung trafen wir allerdings häufig auf diese vier Unsitten:

  • Unnötig. Apps verschi­cken Daten, die nicht zum Betrieb erforderlich sind. Beispiel „Mobile Metronom“ (Android): Es gibt wie ein Metronom den Takt an, sendet dabei aber die Geräte-ID und den genutzten Mobil­funkanbieter an eine Fremdfirma.
  • Ungefragt. Sie verschi­cken Daten heimlich. Beispiele: Foodspotting, Gowalla, Whatsapp und Yelp. Sie über­tragen Teile des Adress­buchs, ohne vorab die Zustimmung des Nutzers einzuholen.
  • Unver­schlüsselt. Wer ein ungesichertes WLan-Netz statt der teuren Mobil­funk­flatrate nutzt, lädt Neugierige zum Mitlesen ein. Bei iTrans­late ist der zu über­setzende Text unver­schlüsselt, bei Clever tanken das Pass­wort. Wer aus Faulheit stets dasselbe Pass­wort nutzt, gefährdet so Online­banking und E-Mail-Post­fach.
  • Nicht anonymisiert. Einige Zusatz­programme senden echte Namen, reale Telefon­nummern oder E-Mail-Adressen als Klar­text und nicht als anonymisierte Zeichenkette (Hash-Wert).

Fragwürdige Technik

Apps von sozialen Netz­werken holen sich auf dem Smartphone gespeicherte Kontakt­daten, teils ungefragt. Facebook und Co. gleichen die Adress­bücher ihrer Mitglieder ab. Mit diesem Wissen erkennen die Netz­werke Freundes­kreise und verbinden sie: „Personen, die du vielleicht kennst.“ Das hilft, neue Kontakte zu knüpfen und alte zu pflegen. Beispiel Whatsapp. Über dieses Programm schi­cken sich Freunde kostenlos Nach­richten, Fotos und Video­clips. Der Vorteil steht außer Frage, die von der App genutzte Technik schon. Denn es geht besser: Die Adress­bücher lassen sich anonymisiert als sogenannte Hash-Werte über­tragen und abgleichen. Das sind Zeichen­folgen, die den Rück­schluss auf Klar­namen erschweren.

Keines der sozialen Netz­werke im Test anonymisiert. Nicht einmal Facebook, obwohl die App im Gegen­satz zu den anderen vieles richtig macht. Facebook ist das einzige geprüfte Netz­werk, das die Nutzer fragt, ob es die Kontakt­daten senden soll. Die App über­trägt verschlüsselt – also immerhin mit der Sicherheit eines Briefes und nicht offen lesbar wie eine Post­karte.

Heimliche Daten­sammelei

Wozu die vielen Daten, ist die Frage. Viele Apps finanzieren sich über Werbung. Christian Gollner, Rechts­referent bei der Verbraucherzentrale Rhein­land-Pfalz, sagt: „Mit einer App wird keine Software, sondern eine Dienst­leistung verkauft. Es entsteht eine Dauer­beziehung.“ In deren Verlauf verfeinern Analysten das Kunden­profil. Wem und was gemeldet wird, bleibt meist ungenannt. Speicher- und Lösch­fristen? Fehl­anzeige auch hier.

Daten­sammler wie flurry, localytics und mobclix tauchen im Test wieder­holt auf. Die vom Smartphone gesendeten Informationen sind oft an sie adressiert. Laut Eigendar­stellung analysieren sie die Daten, um Apps attraktiver zu machen und erfolg­reicher zu werben. Sie können vermeintlich harmlose Informationen bündeln und dem jeweiligen Smartphone zuordnen. Zu welchem Smartphone die Daten gehören, verrät die Gerätekennung. Mit ihr lassen sich Profile des Geräten­utzers erstellen.

Wert­volle Kunden­profile

Carla zum Beispiel nutzt neben Foodspotting auch die App „QR Droid“. Sie liest Internet­adressen aus, die in selt­sam verwürfelten Pixel­bildern, QR-Codes, versteckt sind. Die tauchen immer öfter auf Plakaten und in Zeitungen auf. Sie führen zum Beispiel zu Gewinn­spielen und Werbung. QR Droid verbindet sofort. Das lästige Eintippen von Internet­adressen entfällt. Risiken und Neben­wirkungen: Die gescannten Kodes erlauben der App Rück­schlüsse auf Interessen und Neigungen, auf gelesene Zeitungen und wahr­genom­mene Werbung. Die App nimmt sich aber auch das Recht, auf Carlas Adress­buch zuzugreifen, nutzte es aber während unseres Tests nicht.

Daten­sammler verknüpfen die Informationen. Sie generieren daraus Kunden­profile, den heiligen Gral der Werbebranche. Das Smartphone bringt sie weiter als jede Technik zuvor. Von allen elektronischen Spielzeugen gibt es kein persönlicheres. Es weiß, mit wem wir Kontakt haben, mit welcher App wir was tun, wo wir sind. Das ermöglicht individuelle Werbung. Da präsentiert sich nicht irgend­ein Pizza­bäcker, sondern nur der nächst­gelegene. Je genauer Werbung zum Empfänger passt, desto eher nimmt er sie wahr. Der Versender Amazon macht es vor. Die Artikel­suche löst Vorschläge aus, meist sogar passende, etwa einen neuen Autor mit dem vom Kunden bevor­zugten Schreibstil. Das klingt nicht schlecht, doch die Methode ist fragwürdig. Dr. Alexander Dix, Berliner Beauftragter für Daten­schutz, mahnt: „Sie fragen uns nicht, sie beob­achten uns.“

Den Vorteil persönlich zuge­schnittener Werbung sehen auch Daten­schützer. Sie sind nicht gegen Apps, sondern für ein Umdenken. Apps müssen trans­parenter werden. Jeder Nutzer sollte wissen, welche Daten gesammelt, warum und wem gemeldet werden. Das alles in klarem, verständlichem Deutsch – lesbar auf einem Hand­ydis­play, statt im Juristen­deutsch auf mehreren DIN-A4-Seiten verteilt. Eine App sollte den Kunden nicht heimlich ausspähen. Namen, Telefon­nummern, E-Mail-Adressen sollten anonymisiert werden. Apps sollten nicht Adress­bücher abgleichen, sondern nur vom Nutzer freigegebene Einträge. Nur dann könnte Carla gut essen, ohne ausgespäht zu werden.

17

Mehr zum Thema

17 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

youle23 am 15.06.2016 um 10:28 Uhr
Umfrage zu Fitness-Apps

Hallo Zusammen,
ich führe aktuell eine empirische Untersuchung zum Thema "Qualität und Risiken von Fitness-Apps" durch. Dabei geht es vor allem um den Datenschutz und die Datenrechte der Nutzer. Es dauert ca. 8 min. Ich freu mich über eure Teilnahme !
https://fitnessappsjsubt.sawtoothsoftware.com/cgi-bin/ciwweb.pl?hid_studyname=Fitness_Apps&hid_pagenum=0

noyse am 25.10.2012 um 14:35 Uhr
öffi app

@Paule_Puhmann
Kontaktdaten lesen -> wenn man vom standort zu einem Kontakt via öffentliche Geleitet werden will ist das wohl voraussetzung. Für mich kein Problem.
Ohne Wissen der Eigentümer Kalendertermine hinzufügen oder ändern und E-Mails an Gäste senden -> schon mal öffi ausprobiert? keine ahnung was man da machen muss um das zu forcieren, aber wenn ich eine verbindung in den kalender übernehmen will muss ich das erst anstossen.
Kalendertermine sowie vertrauliche Informationen lesen-> muss man wohl auch wenn in den terminen orte drin stehen und man möchte dorthin via öffentliche muss öffi das wohl lesen können.
Ansonsten ist im play link ja auch nur aufgelistet was die berechtigungen bedeuten und was schädliche apps mit diesen Berechtigungen anstellen könnten.
das zb ALK email und pw unverschlüsselt übertragen werden ist natürlich kritisch, aber das die vielen rechte ein problem darstellen sollen verstehe ich nicht. die vorbildliche app TomTom Navigation braucht wesentlich me

Profilbild Stiftung_Warentest am 05.09.2012 um 12:29 Uhr
"Spionierende" Apps

@Paule_Puhmann: Wir hatten im Test mehrfach das Ergebnis, dass die Apps sich mehr Berechtigungen erlauben als sie dann wirklich ausnutzen. Wir haben ja gemessen, welche Daten wirklich an wen und wie gesendet werden. Die Berechtigung bedeutet nur, dass die App dies könnte, heißt aber nicht dass sie dies auch wirklich tut. Und natürlich gibt es bei Apps in kurzen Abständen immer wieder neue Versionen – so auch bei diesen beiden Apps. Ob und was die aktuellste Version der Apps tatsächlich an Daten sendet, könnte nur ein neuer Test zeigen. Nichts desto trotz ist es natürlich gut, dass die Nutzer sensibel sind für die Berechtigungen, die sie einer App geben, da haben Sie völlig Recht!

Paule_Puhmann am 01.09.2012 um 01:16 Uhr
Sowohl die Öffi- als auch die DB-App spionieren

Laut google play spionieren sowohl Öffi - ÖPNV Auskunft als auch der DB Navigator aus: "Kontaktdaten lesen", "Kalendertermine sowie vertrauliche Informationen lesen" und "Ohne Wissen der Eigentümer Kalendertermine hinzufügen oder ändern und E-Mails an Gäste senden" sind wohl kaum Berechtigungen, die eine App benötigt, um mir zu sagen, wann die nächste Bahn kommt.
Bin bin etwas verwirrt über Ihren Test.
Quelle:
https://play.google.com/store/apps/details?id=de.schildbach.oeffi&feature=nav_result
https://play.google.com/store/apps/details?id=de.hafas.android.db&feature=nav_other

Profilbild Stiftung_Warentest am 27.08.2012 um 19:54 Uhr
Tagesschau-App

@p.lorenz: Mit Hilfe der Cydia App PMP lässt sich das nicht nachprüfen, was wir geprüft haben. Wir haben das tatsächliche Sendungsverhalten geprüft und nicht nur eine Analyse der Software vorgenommen. Die App „PMP“ analysiert nur intern die Struktur der Software – einen Rückschluss auf das wirkliche Sendungsverhalten der App, also welche Daten gehen wirklich raus? – lässt sich mit der genannten App nicht machen.