App‑Berechtigungen auf dem Prüfstand | WeLiveSecurity

App‑Berechtigungen auf dem Prüfstand

Wir erklären, warum Apps nur die Berechtigungen bekommen sollten, die wirklich notwendig sind.

Wir erklären, warum Apps nur die Berechtigungen bekommen sollten, die wirklich notwendig sind.

Wann immer Freunde eine spannende neue App vorschlagen oder wir eine Werbeaktion sehen, für die ein App-Download nötig ist, drücken viele eifrige den Download-Button, um die App gleich benutzen zu können. Dabei denkt man zu wenig darüber nach, welche Berechtigungen die App eigentlich benötigt. Wer wägt schon zwischen App-Funktionalität und eingeforderten Berechtigungen ab? Hält man sich wirklich damit auf, die von der App geforderten Berechtigungen genau zu prüfen? Leider lautet die Antwort auf diese Fragen wahrscheinlich „nein“ oder bestenfalls „manchmal“.

Oktober ist der Monat, der sich besonders mit Cybersecurity und Datenschutz befasst und darauf aufmerksam machen soll. Deshalb nehmen wir hier das wichtige Thema „wirklich notwendige App-Berechtigungen“ unter die Lupe.

App-Berechtigungen sind kompliziert und nicht immer ist sofort ersichtlich, wofür eine App bestimmte Berechtigungen benötigt. Wiederum ist es manchmal auch glasklar, wieso eine App eine spezielle Berechtigung nicht braucht. Nehmen wir beispielsweise eine App, welche die Batterieleistung darstellt: Braucht diese App wirklich eine GPS-Berechtigung und damit Kenntnis über den genauen Aufenthaltsort oder die Berechtigung dafür, einen neuen Account erstellen zu können? – Eher nicht.

Kürzlich habe ich die Netflix Dokumentation „The Great Hack“ geschaut. Diese stellte die Firma Cambridge Analytica vor und analysierte, wie die hauptsächlich über Social Media gesammelten Daten eingesetzt wurden, um Wähler zu beeinflussen. Der Erzähler, Professor David Carroll, äußerte Bedenken darüber, dass wenn seine Tochter 18 Jahre alt ist, schon rund 70.000 Datenpunkte über ihre Person existieren und sie genau beschreiben. Der Kernpunkt der Dokumentation ist jedoch, dass Datensammlungen heute sogar Öl als die weltweit kostbarste Währung überholt haben.

Viele dieser Datenpunkte stammen von Informationen, die freiwillig über Social Media und dergleichen geteilt wurden. Es ist besorgniserregend, wenn Daten zusammenhangslos gesammelt werden oder aus nicht vermuteten Quellen stammen. Nehmen wir unsere vorherige Beispiel-App: Dass eine Batterie-App meine GPS-Daten und damit meinen Aufenthaltsort erfahren möchte, erscheint willkürlich. Will die Firma mein Gerät orten? Warum brauchen sie gerade diese Daten? Die gleiche Berechtigung ist im Gegensatz dazu bei einer Navigations-App einleuchtend und sinnvoll. Ohne meinen genauen Aufenthaltsort kann die App mich nicht navigieren. Es würde sich wie eine kleine Zeitreise anfühlen – Man müsste wieder eine Karte hervorholen und seinen Standort darauf irgendwie wiederfinden.

Taschenlampen-Apps sind besonders dafür bekannt, unnötig viele Berechtigungen einzufordern. Diese wollen meist Berechtigungen, um beispielsweise auf Kontaktdaten und das Mikrofon zugreifen zu können. Möchte die Taschenlampen-App mich belauschen und ausspionieren, mit wem ich befreundet bin? Die Antwort ist „nein“. Aber es gibt unzählige Firmen, die solche Daten gerne kaufen. Im Jahr 2013 stellte die FTC einige Entwickler von Taschenlampen-Apps zur Rede, da die von den Apps gesammelten Daten nicht mit den jeweiligen Datenschutzbestimmungen der Anbieter übereinstimmten. Das große Problem war: Der User hatte nicht explizit zugestimmt, dass seine Daten gesammelt werden dürfen. Wenn Apps ihre Berechtigungen und Datenschutzbestimmungen offenlegen – und das tun sicherlich die meisten – und die gesammelten und genutzten Daten mit der Vereinbarung übereinstimmen, dann müssen wir als User aufmerksam sein und bestimmen, welche Daten wir preisgeben möchten. Wenn die App mehr Daten als nötig sammelt, muss man überlegen, ob die Funktionen der App im Verhältnis zu den preisgegebenen Informationen stehen.

Ein Praxistest

Wer eine augenscheinlich nützliche App herunterladen möchte, sollte daran denken, dass man die Wahl hat. Viele Apps mit gleicher Funktion verlangen oft ganz unterschiedliche Berechtigungen. Um das besser zu veranschaulichen, habe ich einige „Battery-Saver“ aus dem Google Play Store miteinander verglichen. In der nachfolgenden Tabelle sind die ersten 5 Apps gelistet (in der Reihenfolge, wie sie mir angezeigt wurden):

Diese Tabelle zeigt, wie unterschiedlich die Anzahl der geforderten Berechtigungen ist und wie verschieden Kern-Berechtigungen wie Aufenthaltsbestimmung und Datei-Zugriff von Apps, mit ansonsten gleicher Funktion, verlangt werden.

Zum guten App-Management auf dem Smartphone gehört deshalb, die Berechtigungen richtig zu verwalten und regelmäßig zu prüfen. Anstatt an der Bushaltestelle Candy Crush zu spielen, sollte man die paar freien Minuten beispielsweise dafür nutzen, unbenutzte Apps zu deinstallieren und App-Berechtigungen zu überprüfen.

App-Berechtigungen überprüfen

Unter Einstellungen -> Apps -> App-Berechtigungen kann man überprüfen, welche Berechtigungen einer App gegeben wurden. In der Anwendungsliste scrollt man bis zur gesuchten App. Dann sollte man sich einen Moment Zeit nehmen und darüber nachdenken, welche Berechtigung die betreffende Anwendung wirklich benötigt und welche nicht.

Es gibt auch die Möglichkeit, Berechtigungen nach Kategorien zu bearbeiten. Hierfür wählt man zum Beispiel die Berechtigung „Kamerazugriff“ aus. Eine Liste der Apps, die auf die Kamera zugreifen dürfen, öffnet sich. Genau wie eben, kann man per Schieberegler entscheiden, ob eine App auf die Kamera zugreifen darf, oder nicht. Wer einer App eine bestimmte Berechtigung verweigert, muss nicht unbedingt befürchten, dass diese dann nicht mehr funktioniert. Die Funktionalität der Anwendung kann aber unter Umständen eingeschränkt sein.

Wenn Daten wirklich mehr wert sind als Öl, dann ist es umso wichtiger, dass wir den Wert unserer Daten verstehen lernen. Denn einige Firmen wollen aus unseren Daten Profit schlagen. Als Konsumenten müssen wir die Initiative ergreifen und aktiv dagegen vorgehen. Oder zumindest verstehen, welche Daten von Firmen als Gegenleistung dafür gesammelt werden, dass man eine App benutzen kann.

Hier können Sie mitdiskutieren