Ratgeber

App-Module: Wie Apps Sie verfolgen

Ein Artikel von , veröffentlicht am 30.05.2017, bearbeitet am29.09.2020
Bild: Pixabay CC0 / mwewering

In vielen Apps stecken Software-Bausteine von Analysediensten oder Werbefirmen. Für Entwickler*innen sind sie praktisch, für Nutzer*innen oft ein Ärgernis. Denn viele solcher Module sammeln fleißig Daten und schicken sie an Dritte.

Praktisch: Bausteine für App-Funktionen

Module sind fertige Software-Bausteine, die Entwickler*innen in eine App einbauen können. Im Jargon nennt man so einen Baustein SDK, kurz für "Software Development Kit". Ein SDK übernimmt in der Regel eine Standardfunktion, etwa Bilder anzeigen oder den Anwender ein Datum auswählen lassen.

Viele Entwickler*innen stellen ein SDK bereit, damit andere sie in ihre Apps integrieren können. Der Einsatz von solchen Funktionsmodulen ist ein sinnvolles Konzept: Das Rad muss nicht jedes Mal neu erfunden werden, sondern bestehendes Wissen kann als fertiger Baustein weitergegeben werden.

So können Fehler behoben und Funktionen ergänzt werden und jede*r Entwickler*in kann sich auf das konzentrieren, was er oder sie am besten kann.

Hilfreich bis kritisch: Bausteine für Analyse

Eine Kategorie dieser Bausteine sind so genannte Analysemodule. Sie tragen nicht direkt zur Funktionalität der App bei, sind aber dennoch oft sinnvoll. Sie sollen Fehler in der App nachvollziehbar machen, damit Entwickler*innen die Ursache einfacher beheben können.

Allerdings ist die Grenze zwischen Analyse und Marketing fließend. Analysedienste kommen auch zum Einsatz, um zu messen, ob eine Werbekampagne erfolgreich war oder um herauszufinden, für welche Werbung sich jemand interessiert. Klassische Dienste zur Absturzanalyse erfassen zum Beispiel viele technische Daten. Dienste zur Nutzer*innen- und Marketing-Analyse erfassen auch inhaltliche Daten, zum Beispiel, worauf jemand geklickt hat.

Analyse-Module werden von Firmen bereitgestellt, die in der Regel auch die Analyse übernehmen. Die Entwickler*innen bekommen dann ein aufbereitetes Ergebnis zu sehen. Die Nutzer*innendaten selbst, die ein Analysemodul ausliest, landen hingegen bei der Analysefirma. Welche Analysedienste in einer App eingebunden sind, erfahren Sie in der Regel nicht.

Aus Datenschutzperspektive sind Analysemodule ein Graubereich. Es ist durchaus legitim und erlaubt, dass ein App-Anbieter ein Analyseunternehmen beauftragt. Dabei wird ein Vertrag geschlossen, rechtlich gesehen bleibt der Anbieter der "Besitzer" der gesammelten Daten. Er ist weiterhin für ihre Sicherheit und die rechtmäßige Verwendung verantwortlich. Einige Analysedienste - die meist kostenpflichtig sind - arbeiten so, zum Beispiel der deutsche Anbieter "Adjust".

Bei anderen Firmen ist die Sache weniger klar, zum Beispiel bei Facebooks kostenlosem Analysedienst, "Facebook Analytics". Hier muss man aufgrund von Faceooks Datenschutzbestimmungen davon ausgehen, dass Facebook die zur Analyse gesammelten Daten auch aus eigenen Interessen mit bestehenden Nutzerprofilen verknüpft.

Es kommt also auf die Auswahl des Dienstleisters an.

Hier haben wir mehr Infos zu Analysediensten, die als SDK besonders häufig vorkommen: App-Module vorgestellt.

App-Tracking über Werbemodule

Die meisten Entwickler*innen möchten für ihre Arbeit an einer App bezahlt werden. Leider sind die wenigsten Anwender*innen bereit, Geld dafür auszugeben. An dieser Stelle kommen Werbemodule ins Spiel.

Viele Entwickler*innen finanzieren sich durch Werbung. Laut einer 2016 durchgeführten Studie enthalten mehr als 41 Prozent aller Apps im Google Play-Store mindestens ein SDK für Werbung. Es ist durchaus üblich, dass Werbemodule verschiedener Anbieter in einer App zu finden sind.

Werbemodule werden von sogenannten Werbenetzwerken bereitgestellt. Das sind Unternehmen, die sich darauf spezialisiert haben, mit Hilfe von Nutzer*innenprofilen Werbung zielgenau zu verteilen. Sie versuchen daher stets herauszufinden, ob sie zu einer bestimmten Person bereits ein Profil haben. Dafür fragen sie eine Kennnummer vom Gerät ab. Bei iOS ist das die Apple Ad-ID, bei Android die Google Werbe-ID.

Befindet sich ein Profil mit der entsprechenden Werbe-ID in der Datenbank, bekommen Nutzer*innen dazu passende Werbung angezeigt. Gleichzeitig haben Werbenetzwerke ein Interesse daran, ihre Profile weiter zu ergänzen. Deshalb versuchen sie, über die Nutzer*innen so viele weitere Informationen wie möglich zu sammeln: Zum Beispiel, welche App jemand gerade nutzt, welches Gerät, von welchem Standort aus und vieles mehr.

Auch hier gilt: Den Namen der eingebundenen Werbenetzwerke erfahren Sie in der Regel nicht.

Der Autor dieses Textes hat diese Module als Android-Spezialist in einer Studie zwischen Februar und April 2017 genau untersucht. Die komplette Studie finden Sie auf seiner Webseite.

Kostenlose Module und ihr Preis

Module, die nicht zur eigentlichen Funktionalität von Apps beitragen – also Analyse- und Werbemodule –, haben ihren Preis. Zunächst einmal benötigt jedes Modul Speicherplatz. Zweitens benötigen Analyse- und Werbemodule zusätzliches Datenvolumen: Statistiken und weitere Informationen müssen hoch-, Werbung heruntergeladen werden.

In manchen Apps gehen 90 Prozent des Datenverkehrs nur auf solche Module zurück. Zusätzlich werden Rechenkapazität, Arbeitsspeicher und Akku benötigt. Und: Einige dieser „Drittanbieter-Helfer“ scheinen ziemlich gierig nach Daten zu sein. Oft tun sie weit mehr, als von den Entwickler*innen beabsichtigt.

Einige Analyse- und Werbe-Module sind dafür bekannt, aggressiv in die Privatsphäre der Anwender*innen einzudringen – und sich auch ansonsten lästig zu verhalten, etwa Pop-ups und unangemessene Werbung anzuzeigen.

Dazu kommt, dass sie nicht selten als Einfallstor für Schadprogramme dienen. Zum einen auf Grund von Programmierfehlern, zum anderen, weil die Betreiber der Werbenetzwerke in der Regel nicht prüfen, ob die Anzeigen, die sie verteilen, vielleicht Schadprogramme enthalten.

In unserem Beitrag Werbe-Apps: Von nervig bis gefährlich erklären wir, warum Werbung ein Sicherheitsrisiko ist.

Große Firmen, massig Analyse

Praktisch jedes Werbemodul greift auf mindestens einen „Identifier“ zu, also auf eine Information, mit der ein*e Nutzer*in einem Profil zugeordnet werden kann. Meistens ist das die Werbe-ID (für Apple oder Google). Werbeanbieter, die sich an die Vorgaben durch die europäische Datenschutz-Grundverordnung (DSGVO) halten, fragen darüber hinaus keine weiteren Kennnummern ab.

Bei Android-Geräten wird ansonsten oft auch die Android-ID übertragen, seltener die IMEI, WiFi-MAC-Adresse, Seriennummer oder Telefonnummer. Nicht selten werden diese Daten völlig unverschlüsselt und im Klartext übertragen – ein gefundenes Fressen für alle, die unterwegs „mitschneiden“.

Wird das gleiche SDK in mehreren der installierten Apps verwendet, lassen sich aus den gesammelten Daten umfangreiche Anwender*innenprofile erstellen. Über die erfassten Identifier lassen sich die einzelnen Sammlungen leicht verknüpfen. Für Analysemodule gilt das ebenso.

Eine Studie der Universität Oxford hat eine Million Android-Apps analysiert und schließt, dass der größte Teil der Apps (88 Prozent) über eingebaute Module eine Datenverbindung mit Google vorsehen, knapp die Hälfte (43 Prozent) mit Facebook und ein Drittel (34 Prozent) mit Twitter.

Es gibt eine Menge Merkmale und Kennnummern, mit denen ein Smartphone eindeutig identifizierbar ist. Mehr dazu hier: Was sind Identifier?

Entwickler*innen wählen selbst

Was kaum jemandem klar ist: Alle Berechtigungen der eigentlichen App gelten auch für die Module einer App. Hat eine App zum Beispiel Zugriff auf das Adressbuch, so haben die eingebauten Module diesen Zugriff ebenfalls.

Da in den meisten Fällen der Quelltext der Module nicht offenliegt, können Entwickler*innen nicht prüfen, was ein Modul tatsächlich tut, sondern müssen sich auf die Angaben des Herstellers verlassen.

Allerdings gibt es oft eindeutige Hinweise: So fordern einige Module viele Berechtigungen. Damit ein*e Entwickler*in dieses Modul einbinden kann, muss die App so programmiert werden, dass sie die Berechtigungen erhält, die das Modul benötigt.

Programmierer*innen bekommen also durchaus mit, wenn potenziell viele Daten ausgelesen werden. Wer solche Module einbindet, nimmt die Privatsphäre von Nutzer*innen also nicht sehr ernst.

Was App-Berechtigungen sind und wie man sie einschränken kann, erklären wir hier: Alles rund um App-Berechtigungen (Android).

Weitere Artikel

Ratgeber 

Android-Apps ersetzen: Textbearbeitung

Die Apps von GoogleDocs und Microsoft Office sind auf vielen Android-Geräten schon vorinstalliert. Doch wer seine Dokumente diesen Konzernen anvertraut, gibt sie auch zur Analyse frei. Zwei gute App-Alternativen finden Sie hier.

Mehr
YouTube-Video 

Was kann Apples neue Offline-Suche? (iOS 13)

Die Funktion "Offline-Suche" erweitert den Dienst "mein iPhone suchen". Apple will damit auch Geräte auffindbar machen, die keine Verbindung zum Internet haben. Die Technik setzt auf Bluetooth und andere Apple-Geräte in der Nähe. Im Video testen wir die neue Funktion.

Ansehen
Ratgeber 

Android-Apps ersetzen: Kontakte

Die Kontakte-App bei Android kommt häufig von Google. Standardmäßig landen damit alle Ihre Adressbuchdaten im Internet. Wenn Sie das nicht möchten, sollten Sie die Synchronisation abschalten - oder die App gleich ganz vom Handy werfen.

Mehr
YouTube-Video 

Suchen ohne Google: DuckDuckGo und Co.

Eingetippte Suchbegriffe verraten viel über unseren Alltag. Wer mit Google sucht, verrät dem Anbieter also Einiges von sich, denn die Suchmaschine speichert viele Daten. Andere Dienste fragen weniger Informationen vom Nutzer ab. Wir stellen die besten alternativen Suchmaschinen vor.

Ansehen