Der Video-Stream ruckelt, Webseiten bauen sich im Schneckentempo auf, die Software für die Teamarbeit streikt? Wenn Sie finden, dass Ihr Internet zu langsam ist, können Sie überprüfen, ob Ihr Anbieter das liefert, was Sie bezahlen. Mit einem so genannten Speed-Checker lässt sich die Geschwindigkeit des eigenen Netzwerks messen.
Auf dem Smartphone funktionieren Speed-Checker fürs WLAN am besten als App. Viele Firmen und Projekte bieten entsprechende Produkte kostenlos im Google Play-Store an. Trotz sehr guter Nutzer*innenbewertung sind viele davon allerdings nicht empfehlenswert.
In unserer Testreihe haben wir 14 Speed-Checker-Apps für Android unter die Lupe genommen und ihr Datensendeverhalten analysiert. Nur zwei davon schnitten bei Privatsphäre und Sicherheit gut ab.
Gut zu wissen
- Für unsere App-Analysen setzen wir unser neu entwickeltes Testsystem App-Checker ein. Die Auswertung zu Speed-Checkern ist der Auftakt unserer neuen Beitragsreihe, in der wir Testergebnisse einordnen.
- Alle Testberichte zu finden Sie in der App-Checker-Datenbank. Mehr Infos zur Einführung in diesem Video.
Speed-Checker auf einen Blick
Wie funktionieren Speed-Checker?
Speed-Checker-Apps verbinden Ihr Smartphone oder Tablet mit einem Mess-Server. Der sendet eine bestimmte Datenmenge auf Ihr Gerät und vom Gerät an den Server. Dabei misst er, wie lange der Transfer dauert und berechnet daraus die Upload- und Download-Rate, zum Beispiel 80 Mbps und 20 Mbps.
Warum fragen Speed-Checker nach der Berechtigung Standort?
Manche Apps begründen das damit, dass nur so der nächstgelegene Mess-Server gefunden werden kann, denn in der Regel haben die Tools mehrere in ihrer Liste. Das ist aber unplausibel: Die geografische Zuordnung anhand der IP-Adresse ist dafür genau genug.
Viele Speed-Checker können nicht nur die Geschwindigkeit des WLANs, sondern auch die des Mobilfunknetzes messen. Mit diesen Messungen können Funklöcher im Mobilfunknetz bestimmt werden. Für diese Funktion ist die Standortabfrage nötig und plausibel. Wer seinen Standort in solch einer App freigibt, kann helfen, Netzabdeckungskarten zu erstellen. In der Hand der Bundesnetzagentur sind diese Daten besonders wirkungsvoll, denn die Behörde kontrolliert, ob die Anbieter ihrer Versorgungspflicht nachkommen.
Warum senden Speed-Checker-Apps den Standort an Dritte?
In unserem Test haben einige Apps die Standort-Koordinaten des Testgerätes nicht nur erfasst, sondern auch an andere Firmen geschickt.
Akzeptabel ist das, wenn eine App Dienste Dritter einbindet, ohne dabei überflüssige Daten zu teilen. Viele Speed-Checker haben zum Beispiel eine Kartenfuktion, auf der man den Ort der eigenen Messung anzeigen lassen kann. Dabei kommen Kartendienste wie OpenStreetMap zum Einsatz. Seriöse Kartendienste erfassen dabei keinerlei zusätzliche Kennnummern, mit denen sie das Gerät identifizieren können.
Als problematisch bewerten wir, wenn Apps den Standort beispielsweise zusammen mit der Werbe-ID an Werbefirmen versenden. Wie Standortdaten im großen Stil ausgewertet und zur Überwachung genutzt werden können, zeigt eine Recherche des Norwegers Martin Gundersen (zusammengefasst bei netzpolitik.org).
Unsere Testsieger
Schlichter Speed-Messer ohne Zusatzfunktionen. Angeboten von dem freien Entwickler Federico Dossena aus Italien. Fragt keine Berechtigungen ab und erfasste im Test keine unnötigen Daten. Kostenlos, werbefrei und quelloffen, erhältlich im F-Droid-Store. Dort gibt’s einen Spenden-Button für den Entwickler. [Zum Test]
Eine App der Bundesnetzagentur mit vielen Zusatzfunktionen. Neigt laut Nutzerkommentaren aber zu plötzlichen Abstürzen - dies kam auch bei unserem Test vor. Fragt den Standort ab, die Messung funktioniert aber auch ohne. Kostenlos und werbefrei, erhältlich im Google Play-Store. [Zum Test]
Testbedingungen
Wir testen Apps unter möglichst realistischen Bedingungen. Voreinstellungen wurden übernommen und Nutzerdialoge entsprechend der Empfehlung beantwortet. Wenn eine App im Test zum Beispiel nach der Berechtigung „Standort“ fragte und dabei angab, dass sie dann besser funktioniere, haben wir im Test zugestimmt. Nur wenn Wahlmöglichkeiten gleichwertig dargestellt waren haben wir App-Abfragen abgelehnt. Getestet wird mit Android Version 8.0
Sechs Apps erfassten die Router-Kennung (BSSID)
Sechs von 14 Apps erfassten die Kennnummer des WLAN-Netzes, mit dem das genutzte Gerät verbunden war, die so genannte BSSID. Jeder WLAN-Router bringt eine solche eindeutige Nummer mit.
Da WLAN-Router relativ selten Ihren Standort verändern, eignen sie sich zur Standortbestimmung. Es gibt Firmen, die Datenbanken mit gesammelten BSSIDs und den zugehörigen Standorten betreiben.
Erstellt werden solche Standortlisten, indem die Netzwerkkennung gemeinsam mit den GPS-Daten erfasst wird – zum Beispiel mit Hilfe von Tools wie Speed-Checker-Apps. Wer sich schon einmal gefragt hat, wie Google den Standort von Android-Geräten erfassen kann, obwohl das GPS ausgeschaltet ist – das ist einer der Tricks dahinter.
Apps, die die BSSID erfassen, ordnen wir grundsätzlich als sehr kritisch ein, weil Anbieter damit den Standort ohne die Abfrage der Standortberechtigung bestimmen und/oder Datenbanken für diesen Zweck aufbauen können.
Weiterhin gehen wir davon aus, dass Nutzer*innen den Zusammenhang von BSSID und Standort in der Regel nicht kennen. Selbst wenn in der Datenschutzerklärung der App steht, dass die BSSID ausgelesen wird, ist also fraglich, ob eine informierte Entscheidung darüber getroffen werden kann.
WiFi Speed Test - Internet Speed von Zoltán Pallagi [Test]
Open Nettest von SPECURE GmbH [Test]
Simple Speedcheck von Internet Speed Test, Etrality [Test]
Speedcheck von Internet Speed Test, Etrality [Test]
SPEEDCHECK Internet Speed Test von Internet Speed Test, Etrality [Test]
Speedtest - DSL Internet Geschwindigkeit Testen von Ookla [Test]
Auf Anfrage von mobilsicher.de erklärte der Entwickler Zoltán Pallagi, dass seine App die BSSID nicht erfasse, wenn man die Berechtigung Standort verweigert. Die App funktioniere dann genauso gut. Die anderen Hersteller reagierten bis zur Veröffentlichung nicht auf unsere Anfrage.
Vier Apps sendeten Standort und WLAN-Kennung an Dritte
Bei vier getesteten Apps wurde die BSSID im laufenden Betrieb an eine dritte Partei übertragen – in drei Fällen an das kanadische Unternehmen Tutela Technologies Ltd. (alle Apps des Anbieters Etrality GmbH, siehe obige Liste), in einem Fall an die irische Firma Speedchecker Ltd. ("WiFi Speed Test – Internet Speed" von Zoltán Pallagi).
Die Apps der Etrality GmbH erfassten zusätzlich den GPS-Standort des Gerätes, wenn dieser während der Einrichtung freigegeben wurde. Den Standort erhielt nicht nur der Anbieter der App, sondern auch das US-amerikanische Werbenetzwerk MoPub (Twitter), sowie das französische Unternehmen Smart, das ebenfalls in der Werbebranche tätig ist.
Die drei Apps der deutschen Etrality GmbH kommen gemeinsam auf mehr als 16 Millionen Downloads im Google Play-Store. Dort werden sie unter den ersten zehn Treffern gelistet und erreichen jeweils sehr gute Nutzer*innenbewertungen.
Auch die App des Anbieters Ookla teilt den Standort einem Drittanbieter mit – dem US-amerikanischen Unternehmen Pixalate Inc., einem Dienstleister für Betrugsschutz.
Vier Apps erfassten eindeutige Handy-Kennungen
Drei ebenfalls millionenfach heruntergeladene Android-Apps des Anbieters V-SPEED.eu sowie die App des Anbieters Ookla erfassten im Test nicht nur den Standort, sondern auch die Kennung IMSI. Das steht für „International Mobile Subscriber Identity“.
Diese Zahlenkombination ist nicht auf dem Gerät gespeichert, sondern gehört zu der eingelegten SIM-Karte. Beim Kontakt zum Mobilfunknetz meldet sich das Smartphone mit dieser Nummer beim Funkmast an. So lässt sich der grobe Standort von Geräten ermitteln. Der Mobilfunkanbieter kann die IMSI-Nummer Personen zuordnen.
Warum der App-Anbieter die IMSI erfasst, ist unklar. Zur Ermittlung des Mobilfunkanbieters wäre dies nicht notwendig.
Eine App erfasste neben der IMSI auch noch die IMEI. Die Abkürzung steht für „International Mobile Station Equipment Identity“. Jedes verkaufte Gerät weltweit besitzt eine solche eindeutige Kennung aus 15 Ziffern.
Sowohl die IMEI als auch die IMSI stufen wir als sensible Daten ein, da sie eindeutig auf ein Gerät schließen lassen und sich oft jahrelang nicht ändern. Erst beim Geräte- oder SIM-Karten-Wechsel ändern sich diese Kennungen.
Internet Speed Test von V-SPEED.eu [Test]
FIREPROBE Speed Test von V-SPEED.eu [Test]
Speed Test Light 5G / 4G LTE / WiFi von V-SPEED.eu [Test]
Speedtest - DSL Internet Geschwindigkeit Testen von Ookla [Test]
Der Anbieter V-SPEED.eu erläuterte auf Anfrage von mobilsicher.de, dass die erfassten Daten nicht für Werbezwecke oder Profiling eingesetzt werden, sondern nur, um Abdeckungskarten zu erstellen. Ab Android 10 werde sowohl IMSI als auch IMEI von den Apps der Firma nicht mehr erfasst.
Unsichere Internetverbindungen bei vier Apps
Vier Apps bauten im Test unverschlüsselte Internetverbindungen auf. Eine Transportverschlüsselung mit dem verbreiteten TLS-Protokoll gehört zum absoluten Mindeststandard beim Thema Sicherheit. Angreifer*innen können die übertragenen Daten ansonsten manipulieren.
In der Praxis wird das vor allem für Phishing-Angriffe genutzt: Über die unsichere Verbindung können Angreifer*innen zum Beispiel Nachrichten auf das Gerät schleusen, die zum Herunterladen einer Datei oder zur Angabe von Logindaten auffordert. Da diese Meldung scheinbar von der App selber kommt, wirkt sie vertrauenswürdiger.
Internet Speed Test - Geschwindigkeitstest Wifi von ECO MOBILE VN [Test]
Open Nettest von SPECURE GmbH [Test]
SpeedTest Master Lite - speedtest wlan von Test speed internet & Net meter [Test]
WiFi Master - Free Speedcheck Internet Speed Test von Yuanbo Tech LLC. [Test]
Quelloffene App enthält Facebook-Baustein
Die App der österreichischen Firma SPECURE GmbH hat nach eigenen Angaben den Quellcode der App offengelegt und die App teilweise mit öffentlichen Geldern der EU entwickelt. Umso fragwürdiger ist, dass die App einen Analysedienst von Facebook nutzt, der bei jedem App-Start eine eindeutige Kennnummer (die Werbe-ID) aus der App an Facebook überträgt.
Durch die übermittelte Werbe-ID erfährt das US-Unternehmen, dass Nutzer*innen die App verwenden und wann sie sie öffnen. Diese Informationen können bestehenden Facebook- und Instagram-Konten zugeordnet werden. Warum dies gerade bei Facebook ein Problem darstellt, können Sie in unserem Beitrag Facebooks unsichtbare Datensammlung nachlesen.
Fazit: Privatsphäre kein Kriterium
Obwohl die Auswahl an Speed-Checker-Apps für Android groß ist, gibt es nur wenige empfehlenswerte Produkte. Selbst das Kriterium „Open Source“ ist kein Garant für Datensparsamkeit, wie die App Open Nettest zeigt.
Gerade bei Werkzeug-Apps spielt die Vorschlag-Funktion von Google die entscheidende Rolle dafür, welche Apps häufig installiert werden. Schließlich suchen die meisten Nutzer*innen nicht nach einem bestimmten Hersteller, sondern einfach nach einem gut bewerteten Tool.
Bei den Empfehlungen im Google-Play-Store – das zeigt die Testreihe eindrücklich – ist die Privatsphäre aber kein Kriterium.
• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten. • Die App AdAway (Android) erkennt viele Tracking-Verbindungen und blockiert sie.
• Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.
