Ratgeber

Was untersuchen wir in App-Tests?

Ein Artikel von , veröffentlicht am 08.02.2016

Eine App gleicht einer Blackbox. Vom Nutzer unbeobachtet, können Apps Aktionen durchführen, die mit ihrem eigentlichen Zweck nichts zu tun haben. Während herkömmliche App-Tests meist Funktionalität oder Nutzen einer App beleuchten, gilt unsere Aufmerksamkeit anderen Kriterien. Wir machen das sichtbar, was sich im Hintergrund bei der App-Nutzung abspielt.

Der Fokus unserer App-Tests richtet sich unter anderem auf die angeforderten Berechtigungen, wohin sich Apps verbinden und ob sie sensible Daten sicher oder unsicher auf dem Smartphone ablegen.

Im vorliegenden Beitrag informieren wir Sie über die fünf Kriterien, nach denen wir unsere App-Tests durchführen.

1. Welche Daten sieht die App?

Eine zentrale Sicherheitsfunktion der Android-Plattform ist das Berechtigungssystem. Dieses soll gewährleisten, dass Apps nur mit expliziter Zustimmung des Nutzers Informationen auf dem Gerät abfragen und Aktionen durchführen dürfen. Die Liste der benötigten Berechtigungen wird bei der Installation einer App angezeigt. Dabei kann es zum Beispiel um Kamerazugriff, externen Speicher oder um die Kontakte gehen. Um die App zu installieren, muss der Nutzer der Freigabe zustimmen. Dieses, bis Android 5.x vorherrschende Berechtigungssystem, ist in vielerlei Hinsicht problematisch:

  • Im „Berechtigungsdschungel“ kann ein Nutzer schnell den Überblick verlieren oder fühlt sich von den Berechtigungsanfragen schlicht überfordert.
  • Es ist nur möglich, alle Berechtigungen zu akzeptieren, oder die App nicht zu installieren. Einzelne Rechte lassen sich nicht verbieten, auch nicht im Nachhinein.
  • Die Zusammenfassung einzelner Berechtigungen in Gruppen erschwert es dem Nutzer zusätzlich, den Überblick zu behalten.

In unseren App-Tests werfen wir einen genauen Blick auf die gewährten Zugriffsrechte und listen diese vollständig auf.

In unserer Checkliste: App-Zugriffsrechte entschlüsselt (Android) haben wir für Sie eine Übersicht zusammengestellt, in der wir die Zugriffsrechte erläutern und erklären, für welche Funktionen sie gebraucht werden.  Wie das Berechtigungssystem bei Android funktioniert und welche Haken es dabei gibt, erfahren Sie detailliert in unserem Hintergrundtext: Ganz oder gar nicht: Rechtesystem für Apps.

2. Wohin verbindet sich die App?

Frisch gestartet verbinden sich Apps häufig mit dem Internet, um Daten zu empfangen und zu senden. Für den Nutzer ist meist nicht direkt klar, mit wem, wann und warum die App sich verbindet. Vor allem kommen folgende Gründe in Frage:

  • Funktion: Um tun zu können, was sie tun sollen, verbinden sich Apps mit den Servern des Anbieters. Eine Wetter-App überträgt zum Beispiel den Standort des Smartphones und erhält im Gegenzug den aktuellen Wetterbericht für diesen Ort.
  • Nutzerdaten: Die Aufzeichnung und Auswertung des Nutzerverhaltens ist vor allem auf Smartphones gängige Praxis. Dabei wird die Analyse oft von spezialisierten Firmen erledigt, die Kundenprofile erstellen, für die Daten über verschiedene Kanäle gesammelt werden. Die App verbindet sich häufig direkt mit dem Server des externen Anbieters.
  • Werbung: App-Anbieter erhalten Geld für eingeblendete Werbung. Zum Nachladen von Werbeanzeigen (zum Beispiel Werbebannern) verbinden sich Apps mit Servern von Werbeunternehmen.
  • Soziale Netzwerke: Viele Apps machen es Nutzern leicht, Informationen mit Freunden zu teilen. Trainiert man beispielsweise mit App-Unterstützung für einen Marathon-Lauf, so kann man zurückgelegte Distanzen und Bestleistungen automatisch auf Facebook mitteilen. Für diese Funktion stellt die App eine Verbindung zu Servern von sozialen Netzwerken her.

Sensible Informationen, wie etwa Benutzername und Passwort, sollten Apps in verschlüsselter Form übertragen. Dabei kommt das sogenannte TLS-Protokoll (Transport Layer Security) zum Einsatz. Für zusätzliche Sicherheit kann das „Certificate Pinning“ sorgen.

In unseren App-Tests prüfen wir, mit welchen Internetadressen sich die App verbindet, und weisen Sie darauf hin, welche Informationen übertragen werden. Wir analysieren auch, ob der App-Anbieter die dabei übertragenen Daten ausreichend verschlüsselt.

3. Wie sicher speichert die App meine Daten?

Während eine App läuft, schreibt sie häufig Informationen in den internen Speicher – zum Beispiel, um die Anmeldedaten für ein Online-Konto zu hinterlegen.

Diese sensiblen Daten müssen abgesichert werden, aus unterschiedlichen Gründen. So können etwa korrekt angewendete Verschlüsselungsverfahren davor schützen, dass Passwörter durch unbefugte Dritte ausgelesen werden.

In unseren App-Tests prüfen wir, wo die App sensible Daten ablegt und ob diese verschlüsselt gespeichert werden.

4. Was sagt die Datenschutzerklärung?

Generell sind App-Anbieter verpflichtet, die Datenschutzerklärung auf Deutsch zur Verfügung zu stellen, wenn sich ihre App an deutsche Kunden richtet. Darin muss der Anbieter darlegen, welche Daten er sammelt, wie er sie auswertet und ob er sie an Dritte weitergibt. Oft sind die Datenschutzerklärungen von Apps aber unzureichend, da sie den Nutzer zum Beispiel nicht ausreichend darüber informieren, warum Daten erhoben werden,  oder Drittanbieter wie Marketing- und Werbeagenturen nicht nennen, obwohl entsprechende Datenverbindungen stattfinden.

In unseren App-Tests werfen wir einen Blick auf die Datenschutzerklärung jeder getesteten App und prüfen, ob sich ihr Verhalten mit den Angaben in der Datenschutzerklärung deckt.

Was Datenschutz genau ist und wie die gesetzlichen Regelungen in Deutschland sind, erfahren Sie in unserem Hintergrundartikel: Was ist eigentlich Datenschutz?.

5. Werden nur notwendige Daten erhoben?

Nicht immer sind die Informationen, die eine App abfragt, dafür notwendig, das zu tun, was sie tun soll. So muss eine Wetter-App zur Darstellung des Wetterberichts nicht auf die Kontaktdaten zugreifen. Wir prüfen daher, ob bei der App-Nutzung nur jene Daten gesammelt und verarbeitet werden, die für den jeweiligen Anwendungszweck unbedingt erforderlich sind.

 

 

 

Weitere Artikel

Ratgeber 

Apps gecheckt: Diese 11 Mental-Health-Apps halten dicht (Android)

Apps zur Unterstützung bei psychischen Problemen sollten niemandem verraten, wer sie nutzt. Unsere Testreihe liefert erfreuliche Ergebnisse: Von 16 Mental-Health-Apps hielten elf dicht, nur fünf versendeten eindeutige IDs.

Mehr
Ratgeber 

App-Check: Kindersicherung Kaspersky SafeKids

Bei Privatsphäre und Datensicherheit gibt es für die Kindersicherungs-App Minuspunkte: Eltern können ihre Kinder damit genau überwachen, zum Beispiel Suchbegriffe und Chatverläufe mitlesen. Sämtliche Daten vom überwachten Gerät landen beim Anbieter, der sie ebenfalls einsehen könnte.

Mehr
YouTube-Video 

Apps gecheckt: E-Scooter-Apps

Anbieter von E-Scootern wissen viel über ihre Nutzer*innen. Passen die Firmen gut auf diese wichtigen Daten auf? Oder geben sie sie an andere weiter? Wir haben die Apps von Lime, Tier, Bird, Voi und Bolt analysiert. Natürlich mussten wir dazu Roller fahren. Alles für die Wissenschaft!

Ansehen
Checkliste 

Checkliste: Handy weg – was tun? (Android)

Ihr Smartphone oder Tablet wurde gestohlen oder ist verloren gegangen? Mit unserer Checkliste können Sie jetzt den Schaden begrenzen. Verbundene Online-Konten lassen sich über den Computer sperren, eventuell können Sie Ihr Gerät auch orten.

Mehr