Ratgeber

Was untersuchen wir in App-Tests?

Ein Artikel von , veröffentlicht am 08.02.2016

Eine App gleicht einer Blackbox. Vom Nutzer unbeobachtet, können Apps Aktionen durchführen, die mit ihrem eigentlichen Zweck nichts zu tun haben. Während herkömmliche App-Tests meist Funktionalität oder Nutzen einer App beleuchten, gilt unsere Aufmerksamkeit anderen Kriterien. Wir machen das sichtbar, was sich im Hintergrund bei der App-Nutzung abspielt.

Der Fokus unserer App-Tests richtet sich unter anderem auf die angeforderten Berechtigungen, wohin sich Apps verbinden und ob sie sensible Daten sicher oder unsicher auf dem Smartphone ablegen.

Im vorliegenden Beitrag informieren wir Sie über die fünf Kriterien, nach denen wir unsere App-Tests durchführen.

1. Welche Daten sieht die App?

Eine zentrale Sicherheitsfunktion der Android-Plattform ist das Berechtigungssystem. Dieses soll gewährleisten, dass Apps nur mit expliziter Zustimmung des Nutzers Informationen auf dem Gerät abfragen und Aktionen durchführen dürfen. Die Liste der benötigten Berechtigungen wird bei der Installation einer App angezeigt. Dabei kann es zum Beispiel um Kamerazugriff, externen Speicher oder um die Kontakte gehen. Um die App zu installieren, muss der Nutzer der Freigabe zustimmen. Dieses, bis Android 5.x vorherrschende Berechtigungssystem, ist in vielerlei Hinsicht problematisch:

  • Im „Berechtigungsdschungel“ kann ein Nutzer schnell den Überblick verlieren oder fühlt sich von den Berechtigungsanfragen schlicht überfordert.
  • Es ist nur möglich, alle Berechtigungen zu akzeptieren, oder die App nicht zu installieren. Einzelne Rechte lassen sich nicht verbieten, auch nicht im Nachhinein.
  • Die Zusammenfassung einzelner Berechtigungen in Gruppen erschwert es dem Nutzer zusätzlich, den Überblick zu behalten.

In unseren App-Tests werfen wir einen genauen Blick auf die gewährten Zugriffsrechte und listen diese vollständig auf.

In unserer Checkliste: App-Zugriffsrechte entschlüsselt (Android) haben wir für Sie eine Übersicht zusammengestellt, in der wir die Zugriffsrechte erläutern und erklären, für welche Funktionen sie gebraucht werden.  Wie das Berechtigungssystem bei Android funktioniert und welche Haken es dabei gibt, erfahren Sie detailliert in unserem Hintergrundtext: Ganz oder gar nicht: Rechtesystem für Apps.

2. Wohin verbindet sich die App?

Frisch gestartet verbinden sich Apps häufig mit dem Internet, um Daten zu empfangen und zu senden. Für den Nutzer ist meist nicht direkt klar, mit wem, wann und warum die App sich verbindet. Vor allem kommen folgende Gründe in Frage:

  • Funktion: Um tun zu können, was sie tun sollen, verbinden sich Apps mit den Servern des Anbieters. Eine Wetter-App überträgt zum Beispiel den Standort des Smartphones und erhält im Gegenzug den aktuellen Wetterbericht für diesen Ort.
  • Nutzerdaten: Die Aufzeichnung und Auswertung des Nutzerverhaltens ist vor allem auf Smartphones gängige Praxis. Dabei wird die Analyse oft von spezialisierten Firmen erledigt, die Kundenprofile erstellen, für die Daten über verschiedene Kanäle gesammelt werden. Die App verbindet sich häufig direkt mit dem Server des externen Anbieters.
  • Werbung: App-Anbieter erhalten Geld für eingeblendete Werbung. Zum Nachladen von Werbeanzeigen (zum Beispiel Werbebannern) verbinden sich Apps mit Servern von Werbeunternehmen.
  • Soziale Netzwerke: Viele Apps machen es Nutzern leicht, Informationen mit Freunden zu teilen. Trainiert man beispielsweise mit App-Unterstützung für einen Marathon-Lauf, so kann man zurückgelegte Distanzen und Bestleistungen automatisch auf Facebook mitteilen. Für diese Funktion stellt die App eine Verbindung zu Servern von sozialen Netzwerken her.

Sensible Informationen, wie etwa Benutzername und Passwort, sollten Apps in verschlüsselter Form übertragen. Dabei kommt das sogenannte TLS-Protokoll (Transport Layer Security) zum Einsatz. Für zusätzliche Sicherheit kann das „Certificate Pinning“ sorgen.

In unseren App-Tests prüfen wir, mit welchen Internetadressen sich die App verbindet, und weisen Sie darauf hin, welche Informationen übertragen werden. Wir analysieren auch, ob der App-Anbieter die dabei übertragenen Daten ausreichend verschlüsselt.

3. Wie sicher speichert die App meine Daten?

Während eine App läuft, schreibt sie häufig Informationen in den internen Speicher – zum Beispiel, um die Anmeldedaten für ein Online-Konto zu hinterlegen.

Diese sensiblen Daten müssen abgesichert werden, aus unterschiedlichen Gründen. So können etwa korrekt angewendete Verschlüsselungsverfahren davor schützen, dass Passwörter durch unbefugte Dritte ausgelesen werden.

In unseren App-Tests prüfen wir, wo die App sensible Daten ablegt und ob diese verschlüsselt gespeichert werden.

4. Was sagt die Datenschutzerklärung?

Generell sind App-Anbieter verpflichtet, die Datenschutzerklärung auf Deutsch zur Verfügung zu stellen, wenn sich ihre App an deutsche Kunden richtet. Darin muss der Anbieter darlegen, welche Daten er sammelt, wie er sie auswertet und ob er sie an Dritte weitergibt. Oft sind die Datenschutzerklärungen von Apps aber unzureichend, da sie den Nutzer zum Beispiel nicht ausreichend darüber informieren, warum Daten erhoben werden,  oder Drittanbieter wie Marketing- und Werbeagenturen nicht nennen, obwohl entsprechende Datenverbindungen stattfinden.

In unseren App-Tests werfen wir einen Blick auf die Datenschutzerklärung jeder getesteten App und prüfen, ob sich ihr Verhalten mit den Angaben in der Datenschutzerklärung deckt.

Was Datenschutz genau ist und wie die gesetzlichen Regelungen in Deutschland sind, erfahren Sie in unserem Hintergrundartikel: Was ist eigentlich Datenschutz?.

5. Werden nur notwendige Daten erhoben?

Nicht immer sind die Informationen, die eine App abfragt, dafür notwendig, das zu tun, was sie tun soll. So muss eine Wetter-App zur Darstellung des Wetterberichts nicht auf die Kontaktdaten zugreifen. Wir prüfen daher, ob bei der App-Nutzung nur jene Daten gesammelt und verarbeitet werden, die für den jeweiligen Anwendungszweck unbedingt erforderlich sind.

 

 

 

Weitere Artikel

Google 

So minimieren Sie die Datenübertragung zu Google

In der Smartphone-Welt funktioniert Android ohne Google kaum. Doch wer die Standard-Einstellungen für seinen Aufenthaltsort, seine Fotos oder eingetippte Suchbegriffe verändert, kann die Datenübertragung an das verknüpfte Google-Konto stark einschränken. Wir zeigen, welche Optionen es gibt.

Mehr
Reportage 

Notruf 112: Am Telefon Leben retten

Egal ob Unfall, Feuer oder Flut: Im Notfall wählt man 112. Aber wo ruft man da eigentlich an? Wer sind die Leute, die jeden Tag Notrufe annehmen, und: Können sie Anrufer übers Handy orten? Wir haben eine der rund 250 deutschen Rettungsleitstellen besucht und uns umgesehen.

Mehr
YouTube-Video 

F-Droid: Alternativer Store für Android-Apps

Es gibt neben dem Play-Store noch andere Bezugsquellen für Android-Apps. Eine davon ist der alternative App-Store F-Droid. Er sticht mit seinem strengen „Free and Open-Source“- Konzept als besonders transparent, verbraucher- und datenschutzfreundlich hervor.

Ansehen
Ratgeber 

Android One: Pures Android für aktuellere Geräte

Bei Android One passen Hersteller das Android-System nicht selbst für ihre Geräte an, sondern bekommen eine fertige Version von Android-Entwickler Google. Auch Handys und Tablets, die nicht von Google produziert werden, bekommen so schneller Updates. Das macht sie sicherer - und Google stärker.

Mehr