Warum lohnt sich eine Firewall?
Fast jede App baut von Zeit zu Zeit eine Verbindung zum Internet auf, um nach Updates zu suchen, Nachrichten zu laden, Landkarten anzuzeigen und vieles mehr.
Diese Datenübertragungen laufen meistens im Hintergrund, Nutzer*innen merken davon nichts. Das nutzen manche Anbieter*innen aus. Denn oft haben die übermittelten Daten nichts mit der Funktion der App zu tun. Zum Beispiel, wenn Nutzerdaten an Tracking- und Analyse-Unternehmen weitergesendet werden.
Mit einer Firewall lässt sich das unterbinden.
Zwei Sperrprinzipien
Firewall-Apps für Android können den Datenverkehr von Apps auf zwei Arten beschränken: entweder, indem sie pauschal den gesamten Datenverkehr einer App sperren oder, indem sie Verbindungen zu Servern (IP-Adressen) blockieren, die dann für einzelne oder alle Apps nicht mehr aufrufbar sind. Wir haben für jeden dieser beiden Ansätze einen kostenlosen Vertreter ausgesucht, den wir hier vorstellen: NetGuard und die Firewall ohne Root.
Beide funktionieren auf handelsüblichen (nicht gerooteten) Geräten. Beide können auch System-Apps blockieren, die schon vom Gerätehersteller vorinstalliert wurden oder Bestandteil des Betriebssystems sind. Außerdem protokollieren sie den Datenverkehr und weisen auf Verbindungsversuche hin. Beide teilen auch einen Nachteil mit anderen gängigen Firewalls: Sie besetzen die VPN-Schnittstelle des Geräts, was es praktisch unmöglich macht, weitere VPN-Verbindungen zu schalten.
NetGuard: Der Alleskönner
NetGuard wurde vom Niederländer Marcel Bokhorst entwickelt. Der Programmcode ist quelloffen (Open Source) und kann damit von unabhängigen Dritten überprüft werden. NetGuard läuft ab Android 5.0 (Lollipop). Es gibt eine kostenlose Basisversion und eine kostenpflichtige Pro-Version.
Die kostenlose Version: Ganz oder gar nicht
Mit der kostenlosen NetGuard-Version können Sie den Datenverkehr einzelner Apps ganz sperren oder beschränken. Die Sperrmöglichkeiten sind aufgeteilt in den WLAN- und Mobilfunkverkehr. Außerdem besteht die Möglichkeit, der App den Datenverkehr nur dann zu erlauben, wenn Sie gerade mit ihr arbeiten.
NetGuard ist in Googles Play-Store oder auch im alternativen App-Store F-Droid erhältlich.
Wenn Sie die App nutzen, sollten Sie bedenken, dass manche Apps ohne Zugang zum Internet nicht richtig funktionieren. Ansonsten birgt die Firewall keine Risiken.
Die Pro-Version: Feintuning mit Blocklisten
Wenn Sie sich differenzierter mit dem Datenverkehr Ihres Geräts beschäftigen möchten, können Sie in Netguard für kleines Geld einige Zusatzfunktionen freischalten. So können Sie sich das Protokoll des geblockten Datenverkehrs anschauen und einzelne Internetadressen von Hand sperren.
Wer sich für die Pro-Version von Netguard entscheidet, sollte die App entweder aus F-Droid oder direkt als apk-Datei von der github-Seite des Entwicklers herunterladen. Nur in dieser Version können Sie vorgefertigte Blocklisten übernehmen und Netguard so zu einem Werbe- und Trackingblocker ausbauen, ohne eigenhändig alle unerwünschten Internetadressen blockieren zu müssen.
Weil Googles Play-Store keine Werbeblocker erlaubt, ist die Option zum Herunterladen von Blocklisten dort nämlich nicht enthalten. Die notwendige Zusatzfunktion "Netzwerkverkehr filtern" können Sie aber auch zuvor in der Play-Store-Version freischalten und die App im Anschluss durch die F-Droid-Version ersetzen.
Wie Sie die Blocklisten herunterladen und Netguard als Werbe- und Trackingblocker einstellen, erklärt IT-Experte Mike Kuketz auf seinem Blog.
Das Filterprinzip: Firewall ohne Root
Die Firewall ohne Root (früher: NoRoot Firewall) erlaubt es, die Verbindung zu einzelnen Internetadressen (auf Basis von IP-Adressen) zu sperren. Jede Internet-Adresse kann für jede App separat freigeschaltet oder gesperrt werden.
So kann man Zugriffe der E-Mail-App auf die Server des eigenen E-Mail-Anbieters beschränken oder die Wetter-App ihre Informationen nur vom Wetterdienst holen lassen. Alles andere wird gesperrt - egal ob es sich um Werbung, Analyse- oder Tracking-Dienste handelt.
Welcher Dienst sich hinter IP-Nummern oder Namen verbirgt, ist nicht immer erkennbar. Wer es genau wissen will, muss für unbekannte Verbindungen im Internet recherchieren.
Über den Entwickler der Firewall ohne Root, der sich Grey Shirts nennt, ist wenig bekannt. Es lassen sich jedoch auch nach mehreren Jahren und über fünf Millionen Downloads keine Hinweise im Netz finden, die gegen den Einsatz dieser App sprechen.
Ultra-Feintuning: Ports sperren
Um eine Internetverbindung aufzubauen, ist nicht nur eine genaue Adresse (die IP-Adresse) des Ziels, sondern auch ein Port erforderlich, über den man sich verbinden möchte.
Der Port ist vergleichbar mit der Eingangstür bei einem Haus. Es kann mehrere davon für eine einzige Adresse geben. Verschiedene solcher Ports werden für verschiedene Arten von Verbindungen genutzt. So laufen gewöhnliche Verbindungen zu einer Webseite in der Regel über Port 80. Port 443 hingegen wird genutzt, wenn eine Webseite verschlüsselt aufgerufen werden soll.
Die NoRoot Firewall erkennt nicht nur die Internetadresse, die eine App ansteuern will, sondern auch, welchen Port sie dabei wählt. Nutzer*innen können Verbindungen zu einzelnen Ports sperren - beispielsweise, um unverschlüsselte Webseiten-Aufrufe zu blockieren.