Datendiebstahl über Android-Apps

Von 101 untersuchten Android-Apps übermittelten 56 Apps persönliche Daten. Was stellen Datendiebe aber mit Ihren Informationen an? Wir verraten, welche Gefahren durch die Datenweitergabe drohen und haben die unsichersten Apps aus unserem Testlabor in einer Galerie zusammengefasst.

Bereits über 7,8 Milliarden Android-App-Downloads verzeichnet allein der Android Market. Alle 5 bis 10 Sekunden kommen 1000 Downloads für Android-Smartphones und -Tablets hinzu. Darüber freuen sich nicht nur die Betreiber und Entwickler der Applikationen. Auch die Werbeindustrie und kriminelle Organisationen dürften sich über diese Zahlen freuen.

Kostenlose Apps finanzieren sich meist über In-App-Werbung, kostenpflichtige Apps verzichten dagegen überwiegend darauf. Das Verhältnis auf dem Android Market von Gratis-Apps zu kostenpflichtigen Android-Tools liegt derzeit bei etwa 2:1.

Android-App-Nutzern sollte klar sein, dass Entwickler Applikationen nicht aus Langeweile entwickeln. Auch sie müssen von etwas leben. Damit Sie Applikationen kostenlos nutzen dürfen, ist die Werbung allerdings das kleinere Übel. Bedenklich sind da eher die Apps, die Ihre Daten an Entwickler oder Werbefirmen ungefragt weitergeben.

Verräterische Apps möchte kein Android-Nutzer haben. Wer sich Applikationen auf sein Smartphone installiert, kann aber damit rechnen, ausspioniert zu werden. Zahlreiche Studien haben das längst belegt. Eine im letzten Jahr vom Wall Street Journal in Auftrag gegebene Studie etwa fand heraus: Von 101 untersuchten Apps (iOS und Android) übermittelten 56 die Geräte-Kennung, 47 die Standortdaten und fünf sogar persönliche Daten, wie Geschlecht und Alter.

Ratgeber: Schützen Sie sich - Datenspionage bei Smartphones verhindern

Auch die von uns getesteten Apps übermittelten überwiegend die Geräte-Kennung, auf Englisch International Mobile Station Identity, kurz IMEI. Aber auch Standort- und Gerätedaten als auch Netzwerk- und Provider-Informationen fielen auf. Die Applikationen gehen mit Ihren Daten bisweilen recht großzügig um.

In unserem Test wollten wir zudem wissen, ob bezahlte Apps grundsätzlich sicher sind und Gratis-Apps sich dagegen über den Handel mit Ihren privaten Daten bezahlt machen. Unter den 47 Apps mit einer Testnote von schlechter als 4,0 in der Kategorie Sicherheit waren 11 Applikationen kostenpflichtig. Die Bezahlung von Applikationen ist also keine 100-prozentige Garantie.

Die Hauptzielgruppe Ihrer Daten sind überwiegend die App-Hersteller selbst. Über Analyseunternehmen, wie etwa Flury, wird das Nutzerverhalten untersucht. Viele dürften das von Software-Installationen auf Desktop-Rechnern kennen. Seriöse Softwareentwickler fragen ihre Nutzer, ob Sie anonymisierte Nutzungsstatistiken dem Entwickler zur Verfügung stellen. Diese Daten dienen meist zur Verbesserung der Software, um etwa eine bessere Benutzeroberfläche, auf Englisch User Interface, kurz UI, zu programmieren und so etwa die Benutzerfreundlichkeit (Usability) zu erhöhen.

Aber auch die Werbeindustrie zeigt ein reges Interesse an persönlichen Informationen. Google sammelt Daten etwa für seinen Dienst AdMob. Der Suchmaschinen-Gigant garantiert so seinen Werbekunden eine zielgruppengerechte Platzierung der Werbeinhalte. Denn das Geschäft mit Ihren Daten ist einträglich. Innerhalb eines Jahres erzielte Google zum 3. Quartal 2011 allein durch das mobile Werbegeschäft 2,5 Milliarden US-Dollar Brutto-Umsatz.

PC-WELT und mediaTest digital schicken regelmäßig Apps ins Testlabor. Auf die Kategorie Sicherheit legen wir dabei besonders großen Wert. In dieser Galerie finden Sie verräterischsten Apps aus unserer Testreihe. In unserer Test-Galerie finden Sie unsichersten Android-Apps aus unserem Testlabor.

Liest man die Liste der gesammelten Informationen, treten zunächst wenige Bedenken auf. Daten wie die des genutzten Mobilfunkbetreibers, des genutzten WLANs, Name des Smartphone-Herstellers, Smartphone-Typ oder die Betriebssystemversion klingen harmlos.

Ausschlaggebend ist, wer diese Datensätze für welchen Zweck nutzt. Handelt es sich um ein seriöses Werbenetz, wird Sie künftig nur personalisierte Werbung treffen. Wenn sich Gratis-Apps über Werbung finanzieren, warum sollten es nicht wenigstens auf Sie abgestimmte Verbraucherinformationen sein?

Dennoch: Die Summe der gesammelten Daten macht´s. Denn interessant wird es für Datensammler vor allem dann, wenn mehrere Datensätze einem Gerät zugeordnet werden können. Oder noch besser: Die persönlichen Informationen können dem Smartphone-Nutzer oder Tablet-Anwender selbst zugewiesen werden.

So lässt sich aus den gesammelten Daten ein Nutzerprofil erstellen. Fortan halten die Datensammler Ihre Gewohnheiten fest. Über die GPS-Daten erfahren Sie zum Beispiel etwas über Ihre Einkaufsgewohnheiten. Auch das Nutzerverhalten gibt Aufschluss, wo Sie etwa im Internet surfen und welche Inhalte Sie besonders interessieren.

Wie ein solches Profil entstehen könnte, zeigen wir im Folgenden. Die eindeutige Geräte-Kennung, auf Englisch International Mobile Station Identity (IMEI) ist an sich eine gute Sache. Wie die Fahrzeug-Identifizierungsnummer eines Autos wird diese Nummer nur für ein UMTS oder GMS-fähiges Handy vergeben. Mit der IMEI lässt sich also ein bestimmtes Touchscreen-Handy eindeutig identifizieren. Dabei besteht die Handy-Identität aus einer 15-stelligen Seriennummer.

Anders als beim Auto lässt sich mit dieser Nummer das Gerät unter Umständen wieder auffinden. Notieren Sie sich deshalb Ihre IMEI und bewahren Sie diese daheim auf. Wird Ihr Geräte etwa gestohlen, kann die Polizei mit der Geräte-Kennung das Handy orten. Vorausgesetzt die Ortung des Handys dient zur Aufklärung einer schweren Straftat, etwa einem Raubüberfall.

Tipp: Wie Sie Ihr Handy bei Verlust dennoch orten, sperren und empfindliche Daten löschen, lesen Sie in unserem Ratgeber „Im Notfall: Bei Smartphone-Verlust“.

Auch die Werbeindustrie freut sich über Ihre IMEI. Lässt sich mit ihr doch ein Nutzerprofil anlegen. Zunächst kann mit der Nummer nur das Gerät zugeordnet werden. Legen Sie aber über die App ein Nutzerprofil an, erhält der Datensammler unter Umständen auch Ihre persönlichen Daten. Künftig lässt sich seine Datenbank personifiziert pflegen.

Möglich wird das, wenn Sie sich für einen Dienst registrieren. Möchten Sie mit einer Radio-App etwa eine Liste Ihrer Lieblingssender verwalten, ist ein Nutzerprofil zwangsläufig notwendig. Ob das Login nun verschlüsselt erfolgt und wer Zugriff auf den Datensatz erhält, lässt sich oft nur über einen Sicherheits-Test feststellen.

Erst kürzlich tauchten auf dem Android Market schädliche Apps auf (wir berichteten). Die Apps aktivierten unbemerkt Dienste im Hintergrund. So gelangten Kriminelle an persönliche Daten, wie Kontakte, Telefonnummern und die IMEI-Nummern.

Aber auch der unverschlüsselte Versand von Login-Daten durch Apps könnte Kriminellen Tür und Tor öffnen. Vor allem, wenn Sie über ein öffentliches Netzwerk surfen und Dritte so die Daten abgreifen. Die Radio-App Jango etwa versendet Ihre Login-Daten unverschlüsselt.

Die Ermittlung der Standort-Daten kann durchaus Sinn machen. Ortsbezogene Dienste, sogenannte Location Based Services, funktionieren natürlich nur, wenn Ihre Standortdaten auch von der App genutzt werden dürfen. Die Wetter-App „Beautiful Widgets“ etwa zeigt die Wettervorhersage Ihres Einzugsgebietes an. Die Datenschutz-Analyse verlief aber zumindest bei dieser App zufriedenstellend. Daten wurden nicht an Dritte weitergegeben.

Stutzig sollten Sie werden, wenn eine App Ihre Standortdaten abruft, obwohl das Tool diese nicht benötigt, um richtig zu funktionieren. In der Test-Galerie finden Sie etwa die App Scannerpro, mit der Sie Barcodes und QR-Codes fotografieren und über das Internet Informationen dazu erhalten. Der GPS-Standort ist für die Funktionalität irrelevant. Verzichten Sie dann lieber auf solche Applikationen. Tipp: Deaktivieren Sie die GPS-Funktion Ihres Smartphones und schalten Sie diese nur ein, wenn Sie einen ortsbezogenen Dienst auch wirklich nutzen.

Wenn es um Sicherheit geht, sind vor allem Sie selbst gefragt. Da eine App immer einen potentiellen Zugriff auf persönliche Daten und Funktionen haben könnte, gibt es nur einen Weg das Risiko so gering wie möglich zu halten. Bevor Sie eine Applikation aus dem Internet herunterladen, informieren Sie sich zuvor über den Herausgeber und beachten Sie die Nutzerkommentare.

Haben Sie sich für eine App entschieden, achten Sie bei der Installation darauf, auf welche Daten die App zugreifen möchte. Fordert die Applikation mehr Rechte ein, als für die Funktionalität benötigt wird, verzichten Sie lieber auf diese Applikation. Zumindest sollten Sie die Rechte des Tools einschränken dürfen.

Auf Ihrem Smartphone oder Tablet sollten Sie entsprechende Sicherheitssoftware installieren, wie Sie das auf Ihrem Desktop-Rechner oder Notebook auch machen. In unserem Ratgeber "So schützen Sie Ihr Smartphone umfassend" erhalten Sie Tipps, wie Sie Ihre persönlichen Daten Ihres Smartphones oder Tablets auch bei Diebstahl vor unberechtigten Zugriff schützen und welche Sicherheitssoftware auf jedes Android-Gerät gehört.

Standardmäßig sind Ihre Daten auf Android-Geräten nicht verschlüsselt. Mit unserem Ratgeber „So verschlüsseln Sie Android-Smartphones“ erhalten Sie eine Schritt-für-Schritt-Anleitung, wie Sie mittels entsprechender Verschlüsselungsapplikationen Ihre Privat-Daten vor fremden Blicken schützen.

Neben Sicherheits-Software für mobile Geräte beinhalten Touchscreen-Geräte auch selbst einige Schutzfunktionen, die vom Nutzer nur aktiviert werden müssen. In wenigen Schritten können Sie Ihr Smartphone effektiv gegen Datenklau und Diebstahl schützen. Wie das geht, lesen Sie in unserem Ratgeber „Smartphone mit simplen Bordmitteln schützen“ .

Welche Bedrohungen für Smartphones mit Android existieren und welche Sicherheits-Apps davor schützen, klärt Moderatorin Alexandra Polzin zusammen mit PC-WELT-Redakteur Arne Arnold. Viel Spaß beim Anschauen!