Ratgeber

Apps gecheckt: Islamische Gebets-Apps geben Standort weiter (Android)

Ein Artikel von , veröffentlicht am 21.03.2022
Eine App mit Islam-Bezug lässt auf die Religionszugehörigkeit schließen. Foto: iStock

Apps für gläubige Muslim*innen sind weit verbreitet – sie erinnern an Gebetszeiten und zeigen die richtige Gebetsrichtung an. Erschreckend viele dieser Programme geben dabei genaue Standortdaten an Dritte weiter.

[Update 15.05.2022: Zu dieser Testreihe gibt es eine Aktualisierung]

Sie erinnern an die korrekten Gebetszeiten, rezitieren Suren oder zeigen die richtige Gebetsrichtung, die Quibla, an jedem Ort der Welt an. Smartphone-Apps, die sich gezielt an praktizierende Muslim*innen wenden, erfreuen sich großer Beliebtheit – etliche kommen alleine in Googles Play-Store auf über 10 Millionen Downloads, der Marktführer hat sogar mehr als 50 Millionen Downloads.

Die Besonderheit bei Apps mit Islam-Bezug: Sie haben gleich zwei plausible Gründe, den Standort von Nutzer*innen regelmäßig abzufragen. Denn die korrekten Zeiten für die täglichen Gebete richten sich nach dem Stand der Sonne. Dieser wiederum hängt vom Ort ab, an dem man sich befindet. Selbiges gilt für die Quibla, also die Himmelsrichtung, in der die Stadt Mekka liegt.

Viele Apps dieser Art fragen daher die Berechtigung für den Standortzugriff ab. Diesen Umstand machen sich Datensammler*innen zunutze. Denn ob die Standortdaten nur zur Berechnung der Gebetsrichtung verwendet oder noch an andere Firmen weiterverkauft werden, sieht man als Nutzer*in nicht.

Neun Apps gaben Standort weiter

In unserer aktuellen Testreihe haben wir 13 Android-Apps für das islamische Gebet getestet, die jeweils die Gebetsrichtung und die Gebetszeiten anzeigen.

Dabei haben wir die acht Apps mit deutschsprachiger Beschreibung und den höchsten Download-Zahlen im Google Play-Store ausgewählt, sowie vier Apps, die zuvor schon durch Medienberichte aufgefallen waren. Zuletzt haben wir noch eine Empfehlung des Verbands der Islamischen Kulturzentren (VIKZ) in die Testgruppe aufgenommen.

Diese Apps haben wir untersucht:

 

Das Ergebnis: Neun der getesteten Apps erfassten den Standort des Gerätes und leiteten ihn an Drittfirmen weiter, die Werbe- und Marketingdienstleistungen anbieten oder Standortdaten weiterverkaufen (mehr dazu weiter unten). Diese Apps kamen gemeinsam auf mehr als 90 Millionen Downloads im Google Play-Store. Die Ergebnisse aller App-Tests finden Sie hier.

Standortdaten sind nicht anonym

Anders als oft von Akteur*innen aus der Datenindustrie beteuert, sind Standortdaten selten wirklich anonym. Oft können sie mit wenig Aufwand wieder den Personen zugeordnet werden, von denen sie stammen. Denn in der Regel wird zu jedem Standort auch ein Zeitpunkt und die Quelle erfasst – also wann und von welchem Gerät die Standortdaten gesendet wurden.

Selbst wenn dieses Gerät mit einer anonymen Nummer bezeichnet wird, kann man schon mit wenigen Datenpunkten von einem Gerät einen Standortverlauf erzeugen. Solche Verläufe sind leicht zu deanonymisieren. Man muss nur schauen, wo sich ein Handy nachts befindet, um zu erschließen, wo der oder die Besitzer*in höchstwahrscheinlich wohnt.

Wie einfach das sein kann, wurde schon einige Male eindrücklich vorgeführt, zuletzt vom dänischen Fernsehsender TV2, der einen Datensatz des Händlers Huq Industries untersucht hatte. Dabei gelang es den Journalist*innen, die alltäglichen Aufenthaltsorte und Gewohnheiten einzelner Personen zu bestimmen.

Unternehmen, die Standortdaten aus verschiedenen Apps kaufen und verarbeiten, erfassen in der Regel auch, aus welcher App der jeweilige Datenpunkt stammt. Das ist notwendig, um zum Beispiel Datenqualität und Bezahlung der Datenlieferanten nachzuvollziehen.

Bei Apps mit eindeutigem religiösem Bezug ist das besonders problematisch. Denn allein die Tatsache, dass jemand eine solche App nutzt, lässt einen Rückschluss auf dessen religiöse Überzeugung zu.

Informationen zur religiösen Überzeugung stehen aus gutem Grund unter besonderem Schutz. Sie dürfen nur nach expliziter, gesonderter Einwilligung erfasst werden. Ein allgemeiner Hinweis auf die Datenschutzbestimmungen, den man mit einem Klick bestätigen kann, ist nicht ausreichend. Nach unserer Einschätzung erfüllt keine der getesteten Apps diese Anforderung.

Von der App zum Militär

Neu ist das Problem nicht: In den letzten beiden Jahren haben Journalist*innen mindestens sieben islamische Gebets-Apps identifiziert, die nachweislich Standortdaten von Nutzer*innen verkauften. Darüber berichteten unter anderem das Technik-Magazin Motherboard und The Markup. Als Käufer der Daten konnte in diesen Recherchen das US-amerikanische Unternehmen X-Mode (inzwischen aufgekauft und umbenannt in „Digital Envoy Inc.“) identifiziert werden, das mit dem Verkauf von Standortdaten Geld verdient. Nach Medienberichten gehört auch das US-Militär zu den Kund*innen von X-Mode.

Google und Apple hatten nach der Berichterstattung alle Apps aus ihren Stores entfernt, die Daten an X-Mode lieferten. Warum es ein Problem sein könnte, wenn bewaffnete Akteure Standortdaten von muslimischen Gläubigen auf dem freien Markt einkaufen können, zeigt ein Blick in die Nachrichten: Der Völkermord an den Rohingya in Mayanmar oder die Unterdrückung der Uiguren in China sind nur besonders bekannte Beispiele für die Repressionen, denen muslimische Minderheiten in vielen Ländern ausgesetzt sind.

Aber auch im Kontext der üblichen Monetarisierung von Nutzerdaten durch interessensbasierte Werbung haben Informationen zur religiösen Überzeugung nichts zu suchen. Hier sei nur an den Fall von Cambridge Analytica erinnert, bei dem in großem Stil datenbasierte personalisierte Social-Media-Anzeigen im Wahlkampf um die US-Präsidentschaft eingesetzt wurden.

Das sagen islamische Dachverbände

Von den islamischen Dachorganisationen erhalten Gläubige in Deutschland bislang nur wenig Unterstützung bei der Auswahl von sicheren Gebets-Apps.

  • Der Zentralrat der Muslime konnte auf Anfrage von mobilsicher.de keine Empfehlung für eine sichere App geben.
  • Der Verband der Islamischen Kulturzentren (VIKZ) sprach sich gegenüber mobilsicher.de für die App „Fazilet Kalender: Gebetszeiten“ aus, die wir im Hinblick auf die Privatsphäre jedoch nicht empfehlen können.
Der Herausgeber der App „Fazilet Kalender", das türkische Verlagshaus für islamische Schriften und Publikationen, Fazilet Neşriyat, erfasste im Test neben dem genauen Gerätestandort auch eine eindeutige Gerätekennnummer (die Werbe-ID). Diese Kennnummer ist für die Funktionalität nicht notwendig und stellt ein unnötiges Risiko für die Nutzer*innen dar, da damit die erfassten Standorte mit Profilen verknüpft und deanonymisiert werden können.
  • Die türkisch-islamische Union der Anstalt für Religion (DITIB) äußerte sich bis Redaktionsschluss nicht auf unsere Anfrage.

Dabei sollte es technisch nicht allzu schwer sein, gläubigen Muslimen eine Gebets-App zur Verfügung zu stellen, die ohne die Weitergabe persönlicher Daten oder Kennnummern funktioniert. Sollte uns ein weniger bekanntes Produkt bei der Recherche entgangen sein, nehmen wir entsprechende Hinweise gerne entgegen.

Diese Firmen erhalten Standortdaten aus Gebets-Apps

Cell Rebel A/B

Die Firma mit Sitz in Schweden erfasst nach eigenen Angaben detaillierte technische Gerätedaten zusammen mit dem Standort, um daraus Netzabdeckungskarten zu erstellen. Sie verkauft Daten an Dritte, vor allem (aber nicht nur) an Telekommunikationsanbieter und Finanzinstitute. Vier der getesteten Apps lieferten Standortdaten an diese Firma, eine fünfte übermittelte nur die BSSID, aus der aber auch ein Standort abgeleitet werden kann.

Foursquare Labs Inc.

Die Firma mit Sitz in den USA bietet verschiedene standortbasierte Dienste an, zum Beispiel standortbasierte Werbung. Sie bietet für Geschäftskunden auch sogenannte Footfall-Daten an – das sind Datensätze mit Informationen darüber, an welchen Orten sich Personen wie bewegen. Eine der getesteten Apps lieferte Standortdaten an diese Firma.

Inneractive Ltd.

Werbedienstleister mit Sitz in Israel, wurde 2016 verkauft an die deutsche Firma Fyber, welche 2021 von dem US-Unternehmen Digital Turbine Inc. gekauft wurde. Digital Turbine bietet App-Anbietern viele Dienstleistungen an, um Apps zu monetarisieren und neue Nutzer*innen zu gewinnen. Eine der getesteten Apps lieferte Standortdaten an diese Firma.

InMobi Pte.

Großer Werbe-und Tracking-Dienstleister mit Sitz in Bengaluru, Indien. Eine der getesteten Apps lieferte den Standort an diese Firma.

Google LLC

Bei fünf Apps wurde der Standort an den Internetkonzern Google LLC übermittelt. Dies geschieht in der Regel, wenn Googles Kartendienst "Maps" eingebunden ist.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Firewall fürs iPhone: Lockdown kurz vorgestellt

Lange ließ Apple keine externen Werbeblocker zu. Inzwischen ist das Blocken unerwünschter App-Verbindungen auch auf iPhone und iPad möglich. Wir empfehlen die kostenlose und quelloffene Firewall-App Lockdown.

Mehr
Ratgeber 

Was sind eigentlich Metadaten?

Wenn Sie mit dem Smartphone Nachrichten versenden oder Fotos machen, fallen mehr Daten an, als für Sie sichtbar sind. Was solche Metadaten verraten und warum sie oft mehr aussagen, als man denkt, erfahren Sie hier.

Mehr
Ratgeber 

Fremde WLANs nutzen

Die drahtlose Verbindung ins Internet, WLAN, ist eine praktische Sache. Sie ist meistens schneller und günstiger als die mobile Datenübertragung. Wer WLAN-Zugänge mit Smartphone oder Tablet nutzen möchte, sollte jedoch ein paar Punkte beachten.

Mehr
Ratgeber 

Blue Mail-App im Test: Nicht empfehlenswert

Im Test der Version 1.9.3 übertrug die App das Passwort und den Nutzernamen von einem eingebundenen GMX-Konto TLS-verschlüsselt an Server von Blue Mail. Dies ist extrem problematisch, weil der Dienst damit theoretisch vollständigen Zugriff auf das eigene Mail-Konto haben kann. Update: In Version 1.9.4.2 ist das Problem behoben.

Mehr