App-Berechtigungen

Zugriffsrechte: Was darf meine App?

Ein Artikel von , veröffentlicht am 09.02.2016, bearbeitet am15.07.2016

Wer Apps auf seinem Android-Handy oder -Tablet installiert, wird irgendwann aufgefordert, Zugriffsrechte zu genehmigen. Aber was bedeuten diese Zugriffsrechte eigentlich, woher kommen sie und wozu sind sie gut? Worauf es ankommt, zeigt dieser Artikel.

Ob Adressbuch, Anrufliste oder Ortsdaten - Smartphones speichern zahlreiche sensible Daten. Zusätzlich ermitteln eingebaute Sensoren ständig weitere Daten wie Umgebungstemperatur, Höhe oder den Neigungswinkel des Gerätes. Dafür benötigen sie Zugriffsrechte.

Wer diese Informationen für uninteressant hält, könnte überrascht werden: So ließe sich theoretisch durch die Verknüpfung der genannten Daten ermitteln, ob der Träger des Smartphones nüchtern ist oder nicht, denn schon ein leicht taumelnder Gang führt zu völlig anderen Messwerten.

Daher sollte nicht jede App allzu einfach Zugriff auf Daten und Funktionen des Gerätes bekommen. Unter anderem deshalb hat Google sein Betriebssystem so konstruiert, dass jede einzelne App streng getrennt von allen anderen Apps und vom Betriebssystem läuft.

Man spricht bei dieser Konstruktion auch von einer „Sandbox“ (Sandkasten), in der Apps laufen. Um aus dieser Sandbox heraus auf Sensoren und Funktionen des Betriebssystems zugreifen zu können, braucht jede App die entsprechenden Zugriffsrechte. Diese Zugriffsrechte entscheiden darüber, was eine App alles auf dem Gerät tun kann.

Zugriffsrechte bei verschiedenen Android-Versionen

Zwischen den Android-Versionen 5.1 (Lollipop) und 6.0 (Marshmallow) wurde das Rechtesystem grundlegend überarbeitet. Nutzer von Android-Versionen bis 5.1 (Lollipop) haben nicht viel Einfluss auf die Rechtevergabe: Entweder stimmen sie bei der Installation allen Rechten zu, oder verzichten auf die Installation der App. Änderungen an den Rechten sind nach der Installation kaum mehr möglich.

Anders verhält es sich ab der Version Android 6.0 (Marshmallow). Viele Rechte einer App können bei dieser Version angezeigt und einzeln entfernt werden. Programme können bei Android 6.0 einzelne Rechte auch erst anfordern, wenn sie im Betrieb benötigt werden. Allerdings werden viele Zugriffsrechte im neuen System automatisch gewährt und müssen gegebenenfalls manuell wieder entzogen werden.

Der folgende Text bezieht sich größtenteils auf beide Systeme. Einzelheiten, die nur das alte oder nur das neue System betreffen, sind ausgewiesen.

Wie das neue System ab Android 6.0 genau funktioniert, erklären wir im Beitrag Neue Ära: Rechteverwaltung mit Android 6.0. Dort erfahren Sie, welche Zugriffsrechte automatisch gewährt werden, und wie Sie die gesamte Berechtigungsliste anzeigen lassen können.

Was draufsteht ist auch drin

Um zum Beispiel auf Kamera, SD-Karte oder auf die Telefonfunktion zugreifen zu können, müssen die Programmierer ihrer App explizit eine Liste mitgeben, auf der die Rechte dafür verzeichnet sind. Diese Liste befindet sich in der Datei „AndroidManifest.xml“, die jede Android-App braucht, um zu funktionieren. Die Rechte in dieser Datei werden auf technischer Ebene von den einzelnen Teilen des Betriebssystems abgefragt.

Bis zur Android-Version 5.1 (Lollipop) gilt: Beim Installieren einer App wird direkt aus dieser AndroidManifest.xml-Datei eine für Menschen lesbare Liste der Zugriffsrechte erzeugt und den Nutzern angezeigt. Ab Version 6.0 (Marshmallow) erscheint die Anzeige nicht mehr beim Installieren, sondern erst, wenn die Berechtigung tatsächlich von der App benötigt wird.

Für alle Versionen gilt: Es handelt sich bei der Anzeige nicht um ein bloßes Etikett für die Nutzer, auf dem alles mögliche stehen könnte. Im Gegenteil: Apps sind technisch auf das begrenzt, was Ihnen an Zugriffsrechten eingeräumt wurde. Diese Rechte kann die App nach der Installation nur noch durch ein Update ändern.

Wer es ganz genau wissen will, kann sich die AndroidManifest.xml-Datei seiner Apps sogar im Original anzeigen lassen - zum Beispiel mit der App „Dexplorer“.

Was die einzelnen Zugriffsrechte dann tatsächlich bedeuten und wozu sie gut sind, ist oft schwer zu verstehen. Wir haben in unserer Liste App-Zugriffrechte entschlüsselt (Android) die wichtigsten Bezeichnungen verständlich erklärt.

Misstrauen angebracht

Verlangt eine App Rechte, die nicht unmittelbar im Zusammenhang mit der Funktion der App stehen, sollte das misstrauisch machen. Wenn etwa ein Taschenrechner Zugriff auf WLAN, GPS-Daten und Adressbuch haben möchte, könnte er sich später als Datenspion entpuppen.

Zahlreiche Apps fordern wesentlich mehr Berechtigungen an, als für ihre Funktion notwendig wäre. Sie übermitteln gesammelte Nutzerdaten über das Internet auf Server, wo sie zusammengefasst und weiterverkauft werden. Für Nutzerdaten existiert ein eigener Markt.

Wie weit verbreitet diese Datensammlerei ist, zeigte schon 2012 ein Test der Stiftung Warentest: Neun von 62 untersuchten Apps erhielten darin die Bewertung „sehr kritisch“, weil sie unter anderem Namen und Telefonnummern ungefragt und unverschlüsselt an Dritte versendeten.

Auch wenn es trivial klingt: Man kann sich auch einfach gegen die Installation von Apps mit übergriffigen Zugriffsrechten entscheiden. Fast immer gibt es eine bessere Alternative. Apps, die Ihre Privatsphäre in der Regel respektieren, finden sich zum Beispiel im alternativen App-Store F-Droid.

Warum die Apps im App-Store F-Droid weniger Daten sammeln und wie man ihn benutzt, erklären wir im Beitrag F-Droid: Verbraucherfreundlicher App-Store für Android.

Rechte-Gruppen bis Android 5.9

Mit dem Update auf die Play-Store-Version 4.8.20 (Juni 2014) hat Google eine Neugliederung des Berechtigungssystems vorgenommen. Seitdem werden die Rechte, die Nutzer bei der Installation angezeigt bekommen, großzügig in Kategorien eingeteilt.

Da sich diese Kategorien im Detail relativ oft ändern, verweisen wir an dieser Stelle auf die Support-Seite von Google, wo die aktuelle Einteilung mit Erläuterungen für Versionen bis Android 5.9 gelistet ist.

Problematisch ist diese Kategorisierung, wenn Nutzer Ihre Apps aus Googles Play-Store automatisch aktualisieren lassen. Denn Apps können sich seit der Play-Store-Version 4.8.20 dabei ungefragt weitere Berechtigungen einholen: Wenn die neue Berechtigung zu einer bereits vorhandenen Berechtigungsgruppe gehört, wird der Nutzer nicht mehr darüber informiert. Es erscheint lediglich der missverständliche Hinweis: „Die App erfordert keine besonderen zusätzlichen Berechtigungen“.

Hat eine App beispielsweise die Berechtigung „SMS empfangen“ aus der Gruppe „SMS“ eingefordert, kann sie durch ein Update ohne zusätzlichen Hinweis auch die App-Berechtigung „SMS senden“ einfordern, wodurch Kosten entstehen können.

Aus diesem Grund ist die Funktion „Automatisch Aktualisieren“ mit Bedacht zu verwenden. Ab Android 6.0 werden neue Rechte, die durch Updates zustande kommen, immer abgefragt.

Wie Sie die automatische Update-Funktion für Apps aus dem Play-Store ausschalten oder ganz nach ihren Bedürfnissen konfigurieren können, erklären wir Schritt für Schritt im Beitrag: Apps aus dem Play-Store aktualisieren.

Rechte anzeigen und einschränken

Mit sehr aufwendigen Verfahren ist es auch vor Android 6.0 (Marshmallow) möglich, Apps einzelne Rechte zu entziehen. Dazu entwickelte die Universität des Saarlandes ursprünglich die kostenfreie „SRT AppGuard“, die jedoch neuerdings nur noch als Testversion kostenlos verfügbar ist.

Wer sich nicht durch die einzelnen Rechte-Listen der Apps kämpfen will, kann sich die Rechte aller installierten Apps auch übersichtlich sortiert und gegliedert anzeigen lassen. Das erledigt beispielsweise die kostenlose israelische App "MyPermissions“.

Mehr zum Thema im Internet

Weitere Artikel

Ratgeber 

5 Gründe, warum Smartphones sicherer sind als einfache Mobiltelefone

Sind moderne Smartphones unsicherer als ihre Vorfahren, die einfachen Mobiltelefone? Regelmäßige Berichte über Sicherheitslücken bei iPhone, Android und Co. nähren diese Annahme. Dieser Eindruck täuscht. Warum, stellen wir im Folgenden vor.

Mehr
App-Test 

Dating-App Lovoo im Test (Android): Unverantwortlich

LOVOO ist eine Dating-App, mit der man neue Leute kennenlernen kann. Im Test fanden wir drastische Datenschutzprobleme und Sicherheitslücken: So überträgt die App Alter, Wohnort und Informationen zur sexuellen Orientierung unverschlüsselt an Drittanbieter.

Mehr
App-Test 

Musikstreaming-App Spotify im Test (iOS)

Spotify auf iOS: Beinahe 200 Millionen Menschen streamen über Spotify Musik. Viele von ihnen greifen per Smartphone auf Spotify zu, auch per iPhone und iPad. Wir haben den Datenfluss und die Datenschutzpraxis der iOS-App getestet.

Mehr
Ratgeber 

Navi-Apps im Check: Google Maps

Google Maps ist die beliebteste Navi-App für das Smartphone, auch bei Apple-Nutzern. Doch wer sie nutzt, verrät Google auch, wo er sich befindet – und vieles mehr. Welche Daten sammelt die praktische Landkarte und wie kann man sich davor schützen?

Mehr