Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
Ratgeber

Was untersuchen wir in App-Tests?

Ein Artikel von Mike Kuketz, veröffentlicht am 08.02.2016
Foto: Christoph Löffler, CC by 2.0

Eine App gleicht einer Blackbox. Vom Nutzer unbeobachtet, können Apps Aktionen durchführen, die mit ihrem eigentlichen Zweck nichts zu tun haben. Während herkömmliche App-Tests meist Funktionalität oder Nutzen einer App beleuchten, gilt unsere Aufmerksamkeit anderen Kriterien. Wir machen das sichtbar, was sich im Hintergrund bei der App-Nutzung abspielt.

Der Fokus unserer App-Tests richtet sich unter anderem auf die angeforderten Berechtigungen, wohin sich Apps verbinden und ob sie sensible Daten sicher oder unsicher auf dem Smartphone ablegen.

Im vorliegenden Beitrag informieren wir Sie über die fünf Kriterien, nach denen wir unsere App-Tests durchführen.

1. Welche Daten sieht die App?

Eine zentrale Sicherheitsfunktion der Android-Plattform ist das Berechtigungssystem. Dieses soll gewährleisten, dass Apps nur mit expliziter Zustimmung des Nutzers Informationen auf dem Gerät abfragen und Aktionen durchführen dürfen. Die Liste der benötigten Berechtigungen wird bei der Installation einer App angezeigt. Dabei kann es zum Beispiel um Kamerazugriff, externen Speicher oder um die Kontakte gehen. Um die App zu installieren, muss der Nutzer der Freigabe zustimmen. Dieses, bis Android 5.x vorherrschende Berechtigungssystem, ist in vielerlei Hinsicht problematisch:

  • Im „Berechtigungsdschungel“ kann ein Nutzer schnell den Überblick verlieren oder fühlt sich von den Berechtigungsanfragen schlicht überfordert.
  • Es ist nur möglich, alle Berechtigungen zu akzeptieren, oder die App nicht zu installieren. Einzelne Rechte lassen sich nicht verbieten, auch nicht im Nachhinein.
  • Die Zusammenfassung einzelner Berechtigungen in Gruppen erschwert es dem Nutzer zusätzlich, den Überblick zu behalten.

In unseren App-Tests werfen wir einen genauen Blick auf die gewährten Zugriffsrechte und listen diese vollständig auf.

In unserer Checkliste: App-Zugriffsrechte entschlüsselt (Android) haben wir für Sie eine Übersicht zusammengestellt, in der wir die Zugriffsrechte erläutern und erklären, für welche Funktionen sie gebraucht werden.  Wie das Berechtigungssystem bei Android funktioniert und welche Haken es dabei gibt, erfahren Sie detailliert in unserem Hintergrundtext: Ganz oder gar nicht: Rechtesystem für Apps.

2. Wohin verbindet sich die App?

Frisch gestartet verbinden sich Apps häufig mit dem Internet, um Daten zu empfangen und zu senden. Für den Nutzer ist meist nicht direkt klar, mit wem, wann und warum die App sich verbindet. Vor allem kommen folgende Gründe in Frage:

  • Funktion: Um tun zu können, was sie tun sollen, verbinden sich Apps mit den Servern des Anbieters. Eine Wetter-App überträgt zum Beispiel den Standort des Smartphones und erhält im Gegenzug den aktuellen Wetterbericht für diesen Ort.
  • Nutzerdaten: Die Aufzeichnung und Auswertung des Nutzerverhaltens ist vor allem auf Smartphones gängige Praxis. Dabei wird die Analyse oft von spezialisierten Firmen erledigt, die Kundenprofile erstellen, für die Daten über verschiedene Kanäle gesammelt werden. Die App verbindet sich häufig direkt mit dem Server des externen Anbieters.
  • Werbung: App-Anbieter erhalten Geld für eingeblendete Werbung. Zum Nachladen von Werbeanzeigen (zum Beispiel Werbebannern) verbinden sich Apps mit Servern von Werbeunternehmen.
  • Soziale Netzwerke: Viele Apps machen es Nutzern leicht, Informationen mit Freunden zu teilen. Trainiert man beispielsweise mit App-Unterstützung für einen Marathon-Lauf, so kann man zurückgelegte Distanzen und Bestleistungen automatisch auf Facebook mitteilen. Für diese Funktion stellt die App eine Verbindung zu Servern von sozialen Netzwerken her.

Sensible Informationen, wie etwa Benutzername und Passwort, sollten Apps in verschlüsselter Form übertragen. Dabei kommt das sogenannte TLS-Protokoll (Transport Layer Security) zum Einsatz. Für zusätzliche Sicherheit kann das „Certificate Pinning“ sorgen.

In unseren App-Tests prüfen wir, mit welchen Internetadressen sich die App verbindet, und weisen Sie darauf hin, welche Informationen übertragen werden. Wir analysieren auch, ob der App-Anbieter die dabei übertragenen Daten ausreichend verschlüsselt.

3. Wie sicher speichert die App meine Daten?

Während eine App läuft, schreibt sie häufig Informationen in den internen Speicher – zum Beispiel, um die Anmeldedaten für ein Online-Konto zu hinterlegen.

Diese sensiblen Daten müssen abgesichert werden, aus unterschiedlichen Gründen. So können etwa korrekt angewendete Verschlüsselungsverfahren davor schützen, dass Passwörter durch unbefugte Dritte ausgelesen werden.

In unseren App-Tests prüfen wir, wo die App sensible Daten ablegt und ob diese verschlüsselt gespeichert werden.

4. Was sagt die Datenschutzerklärung?

Generell sind App-Anbieter verpflichtet, die Datenschutzerklärung auf Deutsch zur Verfügung zu stellen, wenn sich ihre App an deutsche Kunden richtet. Darin muss der Anbieter darlegen, welche Daten er sammelt, wie er sie auswertet und ob er sie an Dritte weitergibt. Oft sind die Datenschutzerklärungen von Apps aber unzureichend, da sie den Nutzer zum Beispiel nicht ausreichend darüber informieren, warum Daten erhoben werden,  oder Drittanbieter wie Marketing- und Werbeagenturen nicht nennen, obwohl entsprechende Datenverbindungen stattfinden.

In unseren App-Tests werfen wir einen Blick auf die Datenschutzerklärung jeder getesteten App und prüfen, ob sich ihr Verhalten mit den Angaben in der Datenschutzerklärung deckt.

Was Datenschutz genau ist und wie die gesetzlichen Regelungen in Deutschland sind, erfahren Sie in unserem Hintergrundartikel: Was ist eigentlich Datenschutz?.

5. Werden nur notwendige Daten erhoben?

Nicht immer sind die Informationen, die eine App abfragt, dafür notwendig, das zu tun, was sie tun soll. So muss eine Wetter-App zur Darstellung des Wetterberichts nicht auf die Kontaktdaten zugreifen. Wir prüfen daher, ob bei der App-Nutzung nur jene Daten gesammelt und verarbeitet werden, die für den jeweiligen Anwendungszweck unbedingt erforderlich sind.

 

 

 

Artikel drucken:

Beitrag teilen:

Weitere Artikel

Checkliste 

Checkliste: Handy gegen Diebstahl sichern (Android)

Jedes Jahr gehen tausende Handys in Deutschland verloren oder werden gestohlen. Damit Sie für den Fall der Fälle gewappnet sind, können Sie Ihr Android-Handy entsprechend absichern. Selbst wenn das Gerät verschwunden bleibt: Ihre Daten und Passwörter sind dann geschützt.

Mehr Ratgeber 

YouTube Kids: Kinderschutz oder Werbeparadies?

YouTube Kids ist eine angepasste Version der YouTube-App. Die Inhalte sind gefiltert, Eltern können unter anderem ein Zeitlimit einrichten, bestimmte Kanäle blockieren oder nur selbst ausgewählte Inhalte zulassen. Wie zuverlässig ist die App?

Mehr Ratgeber 

Apps des Monats – die spannendsten im November

Der Videochat-Dienst Zoom hat bei der Verschlüsselung nachgebessert, der Firefox-Browser bei Transparenz und Datenschutzoptionen. Außerdem hielt der November Apps bereit, mit denen Sie YouTube, Facebook, Twitter & Co. ganz ohne die datenhungrigen Original-Apps nutzen können.

Mehr Ratgeber 

Wie im Internet Geld verdient wird – Markt und Macht der Werbebranche

Werbung macht kostenlose Internet-Dienste und Apps profitabel. Ohne Nutzer*innendaten und Verhaltensanalysen kommt dieses System nicht aus. Die Akteur*innen auf diesem Markt und ihre Geschäftspraktiken kennt allerdings kaum jemand.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

info@ituj.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Träger

Impressum Datenschutz