Ratgeber

Was untersuchen wir in App-Tests?

Ein Artikel von , veröffentlicht am 08.02.2016
Foto: Christoph Löffler, CC by 2.0

Eine App gleicht einer Blackbox. Vom Nutzer unbeobachtet, können Apps Aktionen durchführen, die mit ihrem eigentlichen Zweck nichts zu tun haben. Während herkömmliche App-Tests meist Funktionalität oder Nutzen einer App beleuchten, gilt unsere Aufmerksamkeit anderen Kriterien. Wir machen das sichtbar, was sich im Hintergrund bei der App-Nutzung abspielt.

Der Fokus unserer App-Tests richtet sich unter anderem auf die angeforderten Berechtigungen, wohin sich Apps verbinden und ob sie sensible Daten sicher oder unsicher auf dem Smartphone ablegen.

Im vorliegenden Beitrag informieren wir Sie über die fünf Kriterien, nach denen wir unsere App-Tests durchführen.

1. Welche Daten sieht die App?

Eine zentrale Sicherheitsfunktion der Android-Plattform ist das Berechtigungssystem. Dieses soll gewährleisten, dass Apps nur mit expliziter Zustimmung des Nutzers Informationen auf dem Gerät abfragen und Aktionen durchführen dürfen. Die Liste der benötigten Berechtigungen wird bei der Installation einer App angezeigt. Dabei kann es zum Beispiel um Kamerazugriff, externen Speicher oder um die Kontakte gehen. Um die App zu installieren, muss der Nutzer der Freigabe zustimmen. Dieses, bis Android 5.x vorherrschende Berechtigungssystem, ist in vielerlei Hinsicht problematisch:

  • Im „Berechtigungsdschungel“ kann ein Nutzer schnell den Überblick verlieren oder fühlt sich von den Berechtigungsanfragen schlicht überfordert.
  • Es ist nur möglich, alle Berechtigungen zu akzeptieren, oder die App nicht zu installieren. Einzelne Rechte lassen sich nicht verbieten, auch nicht im Nachhinein.
  • Die Zusammenfassung einzelner Berechtigungen in Gruppen erschwert es dem Nutzer zusätzlich, den Überblick zu behalten.

In unseren App-Tests werfen wir einen genauen Blick auf die gewährten Zugriffsrechte und listen diese vollständig auf.

In unserer Checkliste: App-Zugriffsrechte entschlüsselt (Android) haben wir für Sie eine Übersicht zusammengestellt, in der wir die Zugriffsrechte erläutern und erklären, für welche Funktionen sie gebraucht werden.  Wie das Berechtigungssystem bei Android funktioniert und welche Haken es dabei gibt, erfahren Sie detailliert in unserem Hintergrundtext: Ganz oder gar nicht: Rechtesystem für Apps.

2. Wohin verbindet sich die App?

Frisch gestartet verbinden sich Apps häufig mit dem Internet, um Daten zu empfangen und zu senden. Für den Nutzer ist meist nicht direkt klar, mit wem, wann und warum die App sich verbindet. Vor allem kommen folgende Gründe in Frage:

  • Funktion: Um tun zu können, was sie tun sollen, verbinden sich Apps mit den Servern des Anbieters. Eine Wetter-App überträgt zum Beispiel den Standort des Smartphones und erhält im Gegenzug den aktuellen Wetterbericht für diesen Ort.
  • Nutzerdaten: Die Aufzeichnung und Auswertung des Nutzerverhaltens ist vor allem auf Smartphones gängige Praxis. Dabei wird die Analyse oft von spezialisierten Firmen erledigt, die Kundenprofile erstellen, für die Daten über verschiedene Kanäle gesammelt werden. Die App verbindet sich häufig direkt mit dem Server des externen Anbieters.
  • Werbung: App-Anbieter erhalten Geld für eingeblendete Werbung. Zum Nachladen von Werbeanzeigen (zum Beispiel Werbebannern) verbinden sich Apps mit Servern von Werbeunternehmen.
  • Soziale Netzwerke: Viele Apps machen es Nutzern leicht, Informationen mit Freunden zu teilen. Trainiert man beispielsweise mit App-Unterstützung für einen Marathon-Lauf, so kann man zurückgelegte Distanzen und Bestleistungen automatisch auf Facebook mitteilen. Für diese Funktion stellt die App eine Verbindung zu Servern von sozialen Netzwerken her.

Sensible Informationen, wie etwa Benutzername und Passwort, sollten Apps in verschlüsselter Form übertragen. Dabei kommt das sogenannte TLS-Protokoll (Transport Layer Security) zum Einsatz. Für zusätzliche Sicherheit kann das „Certificate Pinning“ sorgen.

In unseren App-Tests prüfen wir, mit welchen Internetadressen sich die App verbindet, und weisen Sie darauf hin, welche Informationen übertragen werden. Wir analysieren auch, ob der App-Anbieter die dabei übertragenen Daten ausreichend verschlüsselt.

3. Wie sicher speichert die App meine Daten?

Während eine App läuft, schreibt sie häufig Informationen in den internen Speicher – zum Beispiel, um die Anmeldedaten für ein Online-Konto zu hinterlegen.

Diese sensiblen Daten müssen abgesichert werden, aus unterschiedlichen Gründen. So können etwa korrekt angewendete Verschlüsselungsverfahren davor schützen, dass Passwörter durch unbefugte Dritte ausgelesen werden.

In unseren App-Tests prüfen wir, wo die App sensible Daten ablegt und ob diese verschlüsselt gespeichert werden.

4. Was sagt die Datenschutzerklärung?

Generell sind App-Anbieter verpflichtet, die Datenschutzerklärung auf Deutsch zur Verfügung zu stellen, wenn sich ihre App an deutsche Kunden richtet. Darin muss der Anbieter darlegen, welche Daten er sammelt, wie er sie auswertet und ob er sie an Dritte weitergibt. Oft sind die Datenschutzerklärungen von Apps aber unzureichend, da sie den Nutzer zum Beispiel nicht ausreichend darüber informieren, warum Daten erhoben werden,  oder Drittanbieter wie Marketing- und Werbeagenturen nicht nennen, obwohl entsprechende Datenverbindungen stattfinden.

In unseren App-Tests werfen wir einen Blick auf die Datenschutzerklärung jeder getesteten App und prüfen, ob sich ihr Verhalten mit den Angaben in der Datenschutzerklärung deckt.

Was Datenschutz genau ist und wie die gesetzlichen Regelungen in Deutschland sind, erfahren Sie in unserem Hintergrundartikel: Was ist eigentlich Datenschutz?.

5. Werden nur notwendige Daten erhoben?

Nicht immer sind die Informationen, die eine App abfragt, dafür notwendig, das zu tun, was sie tun soll. So muss eine Wetter-App zur Darstellung des Wetterberichts nicht auf die Kontaktdaten zugreifen. Wir prüfen daher, ob bei der App-Nutzung nur jene Daten gesammelt und verarbeitet werden, die für den jeweiligen Anwendungszweck unbedingt erforderlich sind.

 

 

 

Artikel drucken:

Beitrag teilen:

Weitere Artikel

Ratgeber 

Passwortsperre für Google Drive bei iOS einrichten

Auch Nutzer von Apples iOS bewahren sensible Daten auf Google Drive auf, die geschützt werden sollten. Dafür lässt sich auf dem iPhone oder iPad ein Sicherheitscode vorschalten. Wir zeigen, wie man die vierstellige Zahlenkombination einrichtet oder ändert.

Mehr Ratgeber 

Messenger-App Signal kurz vorgestellt

Signal gehört zu den beliebtesten sicheren Messengern, sein Verschlüsselungsprotokoll gilt als Goldstandard in der Kryptoszene. Lange konnte man innerhalb der App seine Telefonnummer nicht ändern – jetzt ist auch das möglich.

Mehr Ratgeber 

Navi-Apps im Check: Apples „Karten“

Die Navi-App für iOS heißt schlicht "Karten". Apple verwendet dafür Geodaten anderer Anbieter. Das hat Nachteile: zum Beispiel dauert es länger, Darstellungsfehler zu beheben. Apple plant daher ein großes Update mit eigenem Kartenmaterial ab Herbst 2018. Nutzerdaten bleiben laut Apple immer anonym.

Mehr Kommentar 

Gesichtserkennung in Apps: Was soll da schon schiefgehen?

Selfies in Apps hochzuladen und mit Filtern zu bearbeiten, ist für viele Nutzer*innen schon lange normal. Doch die Selbstporträts können in Datenbanken landen, auf die schon jetzt Sicherheitsbehörden und Staaten zugreifen.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz