App-Test

Instagram im Test: Es bleibt in der Familie

Ein Artikel von , veröffentlicht am 07.10.2017
Bild: CC0 Pixabay / geralt

Mit der App von Instagram lassen sich Bilder und Videos bearbeiten und veröffentlichen. Wie alle Facebook-Dienste sammelt auch Instagram viele Daten und gibt sie an andere Dienste von Facebook weiter. Allerdings ganz offen – wie ein Blick unter die Haube zeigt.

Was kann Instagram?

Instagram ist ein Dienst, bei dem man eigene Bilder und Videos bearbeiten und veröffentlichen kann. Diese Inhalte können dann von anderen abonniert und kommentiert werden. Der Dienst ist für das Mobilgerät optimiert.

Weitere Details zur Funktionalität von Instagram können Sie in unserem Beitrag Instagram: Bilder ohne Ende nachlesen.

Instagram hat weltweit 700 Millionen regelmäßige Nutzer und gehört seit 2012 zum Facebook-Konzern. Gegen Bezahlung kann man auf Instagram Werbeanzeigen schalten oder eigene Beiträge besonders hervorheben.

Unser Test zusammengefasst

Instagram speichert alle Informationen, die man auf die Plattform hochlädt, alle Angaben, die man dort macht, alle Aktivitäten, die man dort durchführt.

Darüber hinaus erfasst Instagram nicht sehr viele Daten, darunter allerdings die eindeutige Device-ID. Damit können Profile verknüpft werden, selbst wenn man sich mi einem falschen Namen anmeldet.

Alle gesammelten Daten – auch Inhalte – werden mit Mitgliedern der Facebook-Gruppe geteilt; viele Daten auch mit anderen, nicht näher benannten Dienstleistern. Erfreulich: In unserem Test konnten wir keine Verbindungsversuche zu dritten Parteien feststellen – mit Ausnahme von Facebook.

Fazit: Instagram sammelt heimlich keine Daten – sondern ganz offen. Die meisten davon liefert man selber. Dabei bleiben die meisten Informationen in der Facebook-Familie.

Die Technische Analyse führte der IT-Experte Mike Kuketz durch.

Übermittelte Informationen im Überblick:

  • E-Mail-Adresse und / oder
  • Telefonnummer
  • Device-ID (Eindeutige Geräte-Kennung, nicht veränderbar)
  • Werbe-ID (Eindeutige Kennung, veränderbar. Ändert sich beim Zurücksetzen auf Werkseinstellungen)
  • Alles, was man selber in Instagram angibt, hochlädt oder macht.

Unser Test im Detail

Getestet haben wir die Version 16.0.0.13.90 aus Apples App-Store, und das Betriebssystem iOS 11.0.1. Dieser Test gibt keine Auskunft über abweichende Versionen.

Ausführliche Informationen dazu, wie unsere App-Rezensionen aufgebaut sind, welche Tests wir durchführen und was wir damit erreichen wollen, finden Sie im Hintergrundtext Was untersuchen wir in App-Rezensionen?

Auf welche Daten kann die App zugreifen?

Unter iOS erhalten Apps automatisch Zugriff auf bestimmte Funktionen, zum Beispiel auf die Internetverbindung. Von den Berechtigungen, die man als Nutzer abwählen kann, fragt Instagram nach folgenden:

  • Standort
  • Fotos
  • Mikrofon
  • Kamera
  • Siri & Suchen
  • Mitteilungen
  • Kontakte
  • Hintergrundaktualisierung
Wie Sie Zugriffsrechte bei Apple-Geräten verwalten, erklären wir im Beitrag App-Berechtigungen beim iPhone.

Wohin verbindet sich die App?

Alle Verbindungen, die Instagram aufbaut, sind mit TLS verschlüsselt. Auf zusätzliche Sicherheit durch Cert-Pinning verzichtet die App.

Was TLS und Cert-Pinning bedeutet, erfahren Sie im Beitrag Fragen und Antworten zu SSL/TLS

1. Instagram.com (Hauptdienst) Noch bevor man sich bei Instgram eingeloggt oder ein neues Konto registriert hat, werden folgende Informationen übermittelt:

  • Eingestellte Sprache
  • iPhone-Modell und iOS-Verison
  • Apple-Werbe-ID (IDFA oder IFA genannt = Identifier for Advertisers, kann verändert werden)

Um Instagram zu nutzen, muss man sich anmelden. Das geht mit einem bestehenden Facebook-Konto oder indem man ein Konto bei Instagram anlegt. Macht man letzteres, überträgt Instagram folgende Informationen:

  • E-Mail-Adresse oder Telefonnummer (selbst angegeben)
  • Name (selbstgewählt)
  • Passwort zur Authentifizierung (selbstgewählt)
  • Device-ID (Eindeutige, hardware-gebundene Kennung. Nur getestet bei Anmeldung per E-Mail)

Kurios: Die Registrierung über die E-Mail-Adresse wird nicht verifiziert. Man kann also auch eine E-Mail Adresse erfinden. Die E-Mail-Adresse kommt erst zum Einsatz, wenn man sein Passwort zurücksetzen möchte.

Während man die App nutzt, gehen neben technischen Daten wie etwa Verbindungstyp und -geschwindigkeit folgende Informationen (zusätzlich zu den bereits genannten) an Instagram:

  • Device-ID (Eindeutige, hardwaregebundene Kennung.
  • Von der App vergebene Nutzer-ID
  • Uhrzeit und Zeitzone

Und natürlich alles, was man selber in der App tut, zum Beispiel:

  • Welche Profile man sich anschaut
  • Welche Fotos man liked
  • Ob und was man kommentiert
  • Alle Suchangaben, die man macht

2. Facebook Instagram nimmt regelmäßig Verbindung zu Facebook auf – unabhängig davon, ob man sich mit einem Facebook-Konto bei Instagram angemeldet hat oder nicht. Folgendes wird dabei übermittelt:

  • Apple-Werbe-ID (IDFA oder IFA genannt = Identifier for Advertisers, kann verändert werden)
  • iPhone-Modell und iOS-Version
  • Mobilfunkanbieter: o2
  • Zeitzone

Hinweis: Instagram und Facebook gehören zum selben Konzern und tauschen untereinander Daten aus. Daher genügt die Werbe-ID schon als gemeinsame Kennung, um die Daten von beiden Diensten zu verknüpfen.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung bleibt so vage wie möglich. Eine der wenigen ganz eindeutigen Informationen: Instagram räumt sich das Recht ein, sämtliche erhobenen Daten – auch Inhalte, wie etwa gepostete Fotos - mit Unternehmen des Facebook-Konzerns zu teilen. Zum Konzern gehören neben Facebook auch WhatsApp.

Außerdem können „bestimmte“ Daten an Dienstleister und Werbepartner weitergegeben werden. Zu diesen Daten gehören auf jeden Fall eindeutige Kennnummern: Sie können explizit weitergegeben und zur Schaltung von personalisierten Inhalten und personalisierter Werbung eingesetzt werden. Welche Daten noch weitergegeben werden und welche ausgeschlossen sind, bleibt unklar.

Instagram versucht auch, die europäischen Datenschutzgesetze zu unterlaufen: NutzerInnen müssen zustimmen, dass ihre Daten in jedes beliebige Land übertragen werden dürfen, in dem dann ausdrücklich andere Gesetze gelten.

Instagram gibt an, dass gesammelte Daten nach dem Löschen eines Kontos eine Zeit lang aufgehoben werden. Wie lange, wird nicht genannt. Alle Informationen können im Falle eines Verkaufes an den neuen Besitzer übergehen.

Der Dienst ist offiziell ab 13 Jahren, Informationen von Personen unter 13 Jahren löscht Instagram nach eigenen Angaben umgehend.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Messenger 

Facebook-Messenger wird sicherer – Fragen bleiben dennoch

Auf Mobilgeräten kümmert sich mit dem Facebook Messenger eine eigene App um Chats innerhalb des sozialen Netzwerks. Die App soll in Kürze eine Funktion zum Verschlüsseln aller Nachrichten mitbringen. Unklar bleibt, welche Informationen Facebook weiterhin auswertet.

Mehr
YouTube-Video 

Android-Handy weg? So können Sie es orten

Wenn Sie Ihr Handy verlegt haben, können Sie es ganz leicht selbst orten. Dazu müssen Sie die Funktion "Mein Gerät finden" aktivieren und sich in Ihr Google-Konto einloggen. Wie das Orten genau funktioniert und was Sie aus der Ferne sonst noch unternehmen können, erklären wir im Video.

Ansehen
Ratgeber 

Bezahlen mit dem Handy: So funktioniert die NFC-Technik

An vielen Supermarktkassen kann man inzwischen mit dem Handy kontaktlos bezahlen. Die Daten werden dabei per NFC-Technik übertragen. Doch wie funktioniert diese Nahfeldkommunikation und wo liegen Risiken? Wir geben einen Überblick.

Mehr
YouTube-Video 

Fahrplan-App Öffi: Wir sind Fan!

Im Juli 2018 flog die Fahrplan-App namens "Öffi" aus dem Google Play-Store. Während noch an einer Lösung gearbeitet wird, haben wir die kostenlose App für Bus und Bahn auf Funktionalität und Datensicherheit getestet. Ergebnis: Eure Daten bleiben, wo sie hingehören - bei euch. Und praktisch ist die App außerdem.

Ansehen