Ratgeber

Liste: Wichtige Identifier bei Android

Ein Artikel von , veröffentlicht am 12.09.2016, bearbeitet am12.01.2018

In unseren App-Tests und beim Thema Tracking erwähnen wir sie regelmäßig: Sogenannte Identifier, also Identitäts-Informationen wie Android-ID oder IMEI. Wir erklären, was die rätselhaften Abkürzungen bedeuten und was sie mit Privatsphäre zu tun haben.

Betriebssystemunabhängige Identifier

Viele Identifier sind vom Betriebssystem unabhängig und beziehen sich direkt auf die verwendete Hardware, also das konkrete Smartphone oder Tablet. Diese sind überwiegend so angelegt, dass Nutzer nicht selbst Änderungen vornehmen können, etvwa um ihre Identität zu verschleiern. Allerdings können einige Identifier modifiziert werden, wenn Nutzer ihr Gerät „rooten“ und damit erweiterte Rechte erhalten, sogenannte Root-Rechte.

Was mit dem Begriff Rooten gemeint ist, wozu es gut ist und welche Risiken damit einhergehen, erklären wir im Beitrag Vorsicht bei Jailbreak und Rooten.

Device-ID (auch Device Serial oder Hardware Serial)

Wie bei den meisten Geräten üblich, gibt es auch bei Android-Smartphones und -Tablets eine Seriennummer – die Device-ID. Sie dient bei der Kommunikation mit einem via USB verbundenen Computer zur Identifizierung des Android-Gerätes. Diese Nummer ist in der Regel so gespeichert, dass sie selbst das Zurücksetzen auf Werkseinstellungen übersteht. Apps können ohne weiteres darauf zugreifen, da sie von keiner Berechtigung geschützt ist.

Anwender können die gespeicherte Device-ID nur mit Root-Rechten ändern. Man kann sie aber anzeigen lassen. Meistens ist sie in den Geräte-Einstellungen unter „Über dieses Telefon → Status → Serial“ zu finden. Sie wird vom Hersteller der System-Software vergeben, die auch das Betriebssystem enthält.

Ab Android 8 benötigen Apps die Berechtigung "„Telefonstatus und Identität abrufen“", um auf die Device-ID zuzugreifen.

MAC-Adresse

Mit ihr werden die Netzwerk-Adapter identifiziert. Die Netzwerk-Adapter sind die Bauteile im Mobilgerät, die die WLAN- und Bluetooth-Verbindung herstellen. Es gibt also je Gerät eine MAC-Adresse für Bluetooth und eine für den WLAN-Adapter.

Die MAC-Adressen sind weltweit eindeutig – und lassen somit einen eindeutigen Rückschluss auf das Gerät zu. Sie sind fest im Gerät gespeichert und vom Nutzer nicht änderbar. Mit Root-Rechten ist es aber möglich, eine andere MAC-Adresse vorzugaukeln, wenn zum Beispiel Apps versuchen, die MAC-Adressen auszulesen.

Apps mit der Berechtigung „Netzwerkverbindungen abrufen",Bluetooth“, "Standort (grob und genau)" sowie "Zugriff auf alle Netzwerke"  können auf die MAC-Adressen zugreifen. Ab Android 6.0 wird sie normalen Apps bei den ersten drei Berechtigungen vorenthalten – sie bekommen auf Anfrage nur einen Standard-Eintrag (02:00:00:00:00:00) zu sehen. Mit der Berechtigung "Zugriff auf alle Netzwerke" lässt sich die WLAN-MAC-Adresse aber weiterhin ermitteln.

Die wichtigsten Berechtigungen bei Android haben wir in unserer Liste App-Zugriffsrechte entschlüsselt erklärt. Wie das Berechtigungssystem unter Android generell funktioniert, erfahren Sie im Beitrag Zugriffsrechte: Was darf meine App?

IMEI (für „International Mobile Station Equipment Identity“)

Sie identifiziert jedes Mobilfunk-Gerät weltweit eindeutig und ist normalerweise fest in der Hardware des Gerätes gespeichert. Die IMEI wird beim Kontakt zum Mobilfunknetz an den Netzbetreiber übertragen. Einige Netzbetreiber sperren Geräte anhand der IMEI, wenn diese als gestohlen gemeldet werden (in Deutschland derzeit nur Vodafone).

Es ist in Deutschland an sich nicht illegal, sie zu ändern, könnte aber gegen Nutzungsbedingungen verstoßen. Geschieht es, um eine Straftat zu verschleiern, ist es strafbar. Apps mit der Berechtigung „Telefonstatus und Identität abrufen“ können darauf zugreifen.

Mehr Informationen dazu finden Sie im Beitrag IMEI und SIM: Was hat das mit Sicherheit zu tun?

IMSI (für „International Mobile Subscriber Identity“)

Die IMSI (übersetzt „Internationale Mobilfunk-Teilnehmerkennung“) ist auf der SIM-Karte hinterlegt. Beim Kontakt zum Mobilfunknetz identifiziert sie das Telefon, beziehungsweise die SIM-Karte gegenüber dem Mobilfunkmast. Die IMSI zu ändern, kann den Kontakt zum Mobilfunknetz stören. Apps mit der Berechtigung „Telefonstatus und Identität abrufen“ können darauf zugreifen.

Im Beitrag IMEI und SIM: Was hat das mit Sicherheit zu tun? finden Sie auch weitere Informationen zur IMSI.

Telefonnummer

Sie ist weltweit eindeutig und kann nicht beliebig geändert werden. Apps mit der Berechtigung „Telefonstatus und Identität abrufen“ können darauf zugreifen.

IP-Adresse

Die IP-Adresse identifiziert ein Gerät im Internet (zum Beispiel einen Router mit Verbindung zum Internet). IP steht dabei für „Internet Protocol“. Die IP-Adresse ändert sich in der Regel häufig. Anhand der IP-Adresse lässt sich auf den groben Aufenthaltsort (Länderebene und größere Städte) schließen. Der Internetanbieter kann die IP-Nummern in der Regel einer realen Adresse und einem Anschlussinhaber zuordnen.

Betriebssystemspezifische Identifier unter Android

Android-ID (Auch "Android Device ID" oder "SSAID" für Settings.Secure)

Die Android-ID wird bei der ersten Inbetriebnahme vom Betriebssystem erstellt. Im Gegensatz zur „GSF Android-ID“ (siehe unten) ist sie auf jedem Android-Gerät vorhanden und identifiziert den jeweiligen Nutzer. Bei Geräten, die mehrere Nutzer verwalten können, gibt es für jedes Nutzer-Konto eine Android-ID.

Sie wird im lokalen Dateisystem gespeichert. Nutzer ohne Root-Rechte können sie weder ändern noch anzeigen lassen. Jede App kann aber ohne weitere Berechtigungen darauf zugreifen. Man kann sie sich daher mit Hilfe einer App anzeigen lassen. Durch Zurücksetzen auf Werkseinstellungen wird sie gelöscht. Beim nächsten Start wird dann eine neue SSAID erstellt.

Sie ist meist 16 Ziffern lang und besteht aus Zahlen und Buchstaben von A-F.

Ab Android 8 (Oreo) gibt es eine eigene Android-ID für jede App/Nutzer/Gerät-Kombination. Damit eignet sich die Android-ID nicht mehr zum Tracken von Nutzern über mehrere Apps hinweg.

GSF Android-ID

Die GSF Android-ID wird vom Google Services Framework (GSF), einem Hintergrundprogramm für Googles eigene Apps, verwaltet. Handelsübliche Android-Geräte, auf denen Google-Apps vorinstalliert sind, nutzen das GSF.

Die GSF Android-ID wird erstellt, wenn man das Gerät das erste Mal bei einem Google-Konto anmeldet. Sie wird auf dem Gerät gespeichert und kann durch Zurücksetzen auf Werkseinstellungen gelöscht werden.

Geschützt wird sie von der Berechtigung „Google Service-Konfiguration lesen“ – welche von zahlreichen Apps angefordert wird.

Sie ist meist 16 Ziffern lang und besteht aus Zahlen und Buchstaben von A-F.

Google Werbe ID (auch GAAID für Google Advertising ID)

Die Werbe-ID ist eine eindeutige ID für Werbezwecke, die von den Google-Play-Diensten bereitgestellt wird. Sie kann vom Anwender unter „Google Einstellungen → Werbung“ (Ab Android 6.0 über Google-Konto) zurückgesetzt werden. Für den Zugriff benötigen Apps lediglich die Berechtigung „Zugriff auf alle Netzwerke“ – welche fast alle Apps anfordern.

Eingerichtete Konten

Eine Liste der eingerichteten Konten können Apps mit der Berechtigung „Konten auf dem Gerät suchen“ abrufen (dies trifft auf etwa 20 Prozent aller Android-Apps zu).

Apps mit dieser Berechtigung können auch die E-Mail-Adresse auslesen, mit der man sein Google-Konto angelegt hat. Google empfiehlt App-Entwicklern, diese E-Mail-Adresse zu nutzen, um Ihre Nutzer zu identifizieren, da sie über Geräte hinweg funktioniert und das Zurücksetzen auf Werkseinstellungen meist überlebt.

Ab Android 8 genügt diese Berechtigung allein nicht mehr aus. Zusätzlich muss entweder der Nutzer explizit erlauben, dass eine App ein bestimmtes Konto sehen darf, oder die App hat über eine Schnittstelle direkten Zugriff auf das Konto einer anderen App, zum Beispiel, wenn beide Apps vom selben Hersteller kommen.

Installierte Apps

Jede installierte App kann "sehen", welche Programme noch auf einem Gerät vorhanden sind. Dafür ist keine besondere Berechtigung nötig. Der Nutzer kann diese Aktivität also nicht unterbinden.

Da die Zusammenstellung von Apps durchaus persönliche Vorlieben widerspiegelt, können Nutzer auch hierüber identifiziert werden, besonders im Zusammenspiel mit weiteren Daten. Auch kann die Verwendung bestimmter Apps beispielsweise Rückschlüsse auf Vorlieben oder den Gesundheitszustand des Nutzers zulassen. Wer ganz sicher gehen will, dass solche Informationen privat bleiben, sollte entsprechende Apps also nicht installieren.

Um zu sehen, welche App gerade läuft, ist die Berechtigung „Laufende Anwendungen abrufen“ nötig. Banking-Trojaner nutzen diese Möglichkeit, um zu sehen, ob der Nutzer gerade seine Banking-App öffnet, um dann ein gefälschtes App-Fenster darüber zu legen.

Build-Nummer

Die Build-Nummer ist eine sechs- bis zehnstellige Folge aus Buchstaben und Zahlen, welche das Android-Betriebssystem genau spezifiziert. Denn auch innerhalb einer Version, zum Beispiel Android 6.1, gibt es unterschiedliche Varianten. Die Build-Nummer ist sehr viel granularer als nur die Android-Versionsnummer und eignet sich in Kombination mit anderen Hardware-Kennungen gut, um einen "Fingerabdruck" des Gerätes zu erhalten.

Man kann sie sich anzeigen lassen unter "Einstellungen > Über dieses Telefon". Sie ist für alle Apps frei zugänglich und wird häufig abgefragt. Sie ändert sich allerdings auch mit jedem Update.

Herstellerspezifische IDs

Je nach Hersteller gibt es weitere eindeutige Bezeichner für ein Mobilgerät. Große Hersteller wie Motorola oder Samsung vergeben eine ID für jedes Gerät. Darüber werden dann beispielsweise Fehlerberichte zugeordnet, die vom Gerät an den Hersteller verschickt werden.

Weitere Artikel

Ratgeber 

Mobilsicher 2017: Unsere Top 10

Mehr als 200 Mobilsicher-Artikel sind in diesem Jahr erschienen: Hintergrundtexte, App-Tests, Anleitungen, Erklärvideos und aktuelle Meldungen zu Sicherheitslücken, Betrugsmaschen und vielem anderen. Diese zehn Texte haben unsere Leser und Leserinnen 2017 am meisten interessiert.

Mehr
App-Test 

CCleaner-App: Werbeschleuder mit wenig Mehrwert

Die App CCleaner verspricht, das Smartphone zu optimieren. Der Preis dafür ist hoch: Sechs Werbeanbieter können Daten aus der App erhalten, darunter auch Informationen über Ihren Standort. Zudem fordert sie heikle Berechtigungen.

Mehr
YouTube-Video 

Handy-Recycling

Smartphone-Recycling ist eine technische Herausforderung. Warum das so ist und wie Recycler es trotzdem hinkriegen – das erfahrt ihr im Video.

Ansehen
Checkliste 

iPhone weg – was tun?

Gerade bei den teuren iPhones ist ein Verlust schmerzhaft - und für Diebe sind sie eine besonders begehrte Beute. Mit diesen Tipps können Sie im Verlustfall den schlimmsten Schaden abwenden - und das Gerät mit etwas Glück sogar wiederfinden.

Mehr