Worauf Sie bei App-Berechtigungen achten müssen
Die Funktion „App Insights“ des AVG-Virenscanners hilft Ihnen, Ihre installierten Apps zu klassifizieren. Damit wird auf einen Blick sichtbar, welche Anwendungen eine größere Anzahl kritischer Berechtigungen haben.
30.06.2022 - 11:46 Uhr
Privatsphäre ist ein hohes Gut und wer mit seinem Smartphone keine bösen Überraschungen erleben möchte, sollte sich mit dem Thema App-Berechtigungen auseinandersetzen. Wir erläutern in diesem Artikel, welche Berechtigungen es gibt und warum nicht jede App-Berechtigung automatisch böse ist.
Welche Berechtigungen gibt es? Ein Überblick zu den Berechtigungsgruppen laut Google
Zunächst stellen wir die Auswirkungen erteilter Berechtigungen vor - denn wer weiß schon, was wirklich passiert, wenn eine App die Berechtigung erhält, "Sonstiges" zu verwenden?
Das müssen Sie zu den Berechtigungen wissen:
-
Einstellungen für Mobildaten
Hat eine App diese Berechtigung, kann Sie auf Einstellungen der Internetverbindung und der Dateneinstellungen zugreifen. Auch ein Zugriff auf empfangene Daten aus dem Internet kann hierunter fallen. -
Fotos, Medien und Daten
Diese Berechtigung ermächtigt die App, auf gespeicherte Daten zuzugreifen und die Daten zu verwenden. Ein Zugriff auf die Daten kann den Inhalt des internen Speichers freigeben, aber auch das Lesen, Ändern und Löschen von Daten eines externen Speichers. Auch um USB-Speicher wie SD-Cards zu formatieren, muss die App über diese Berechtigung verfügen. -
Geräte ID und Anrufinformationen
Hinter dieser Berechtigung versteckt sich die Erlaubnis, die Geräte ID und die Rufnummer des Gerätes zu lesen und festzustellen, ob aktuell ein Telefonat läuft. Ebenfalls kann dabei festgestellt werden, mit wem aktuell gesprochen wird (bzw. mit welcher Nummer). Doch die Berechtigung geht noch weiter: Es kann ebenfalls die Möglichkeit geben, Telefonstatus und Identität des Nutzers zu ermitteln. -
Geräte- und App-Verlauf
Über den Geräte- und App-Verlauf kann die App feststellen, welche Apps derzeit aktiv sind, den systeminternen Status ablesen, Protokolldaten lesen und Web-Verläufe und Lesezeichen lesen. -
Identität
Diese zentrale Ermächtigung kann einer App erlauben, die Konto- und Profilinformationen eines Gerätes zu verwenden. Hierdurch kann eine App Konten suchen, die eigene Kontaktkarte lesen (Name, Kontaktdaten, etc.), Konten entfernen oder hinzufügen oder die eigenen Kontaktdaten ändern. -
In-App Käufe
Der Klassiker aus dem Playstore: Eine App erhält die Berechtigung, Sie zum Kaufen von Zusatzfunktionen in der App aufzufordern. Besonders bei Spielen, die für junge Kundinnen und Kunden attraktiv gestaltet wurden, kann das zu bösen Überraschungen am Monatsende führen. -
Informationen zu Bluetooth-Verbindungen
Mit der Berechtigung erhält die App Zugriff auf Bluetooth-Einstellungen des Gerätes. Auch das Übertragen von Informationen per Bluetooth auf Geräte in der Umgebung gehört in diese Berechtigung. -
Kalender
Über die Berechtigung Kalender erhält eine App Zugriff auf die Kalenderinformationen des Gerätes. Kalendertermine können so gelesen, geändert oder gelöscht werden. Auch ohne Wissen des Nutzers können Termine hinzugefügt, geändert oder gelöscht werden - auch E-Mails an Gäste können versendet werden. -
Kamera
Je nach Gerät kann die Steuerung der Kamera das Anfertigen von Bildern und Videos beinhalten. Teilweise wird der Kamerazugriff verwendet, um die LED als Taschenlampe zu verwenden. -
Kontakte
Über die Berechtigung Kontakte kann die App die abgespeicherten Kontaktdaten verwenden, sie lesen und verändern. -
Mikrofon
Durch den Zugriff der Mikrofon-Berechtigung kann das Programm auf das Mikrofon des Telefons zugreifen. Auch das Aufnehmen von Audioinhalten ohne aktives Telefonat kann hiervon betroffen sein. Ein Grund dafür, warum Edward Snowden seine Telefone manipuliert und die integrierten Mikrofone entfernt. -
SMS
Zwar hat die SMS als Kommunikationsmedium einen Großteil ihrer Bedeutung verloren, als Berechtigung ist die SMS-Erlaubnis jedoch noch immer sehr mächtig: Durch die aktivierte Berechtigung können SMS und MMS versendet, empfangen und gelesen werden. Besonders ärgerlich: Durch das Senden von SMS und MMS können hohe Kosten entstehen. -
Standort
Ebenfalls ein Dorn im Auge eines jeden Datenschützers ist die Berechtigung des Standort-Zugriffs durch Apps. Aktivieren Sie diese Berechtigung, kann die App den Standort des Telefons verwenden. Darunter fallen ein ungefährer Standort auf Basis der Netzabdeckung sowie ein genauer Standort per GPS- und Netzwerkortung. -
Telefon
Mit der Telefon-Berechtigung kann eine App die Anruffunktion und die Anruflisten verwenden. Je nach Tarif können durch ungewollte Anrufe zusätzliche Kosten entstehen. Unter die Berechtigung "Telefon" fallen das Anrufen von Telefonnummern, das Bearbeiten der Anrufliste, das Umleiten von ausgehenden Anrufen und die Änderung des Telefonstatus - jeweils auch ohne das aktive Zutun des Nutzers. -
Wearable-Daten
Mit dem Einzug von Smartwatch und Co. kommen einige weitere Datenquellen auf die Nutzer zu. Durch die erteilte Freigabe können Apps die Daten aus der Uhr ablesen, Herzfrequenzen und Co. zum Beispiel. Auch eine interne Analyse der Daten kann ohne das Zutun des Nutzers erfolgen. -
WLAN-Informationen
Mit der Berechtigung zur WLAN-Verbindungsinformation kann eine App ermitteln, ob WLAN eingeschaltet ist und welche Geräte mit dem Netzwerk verbunden sind. Auch Infos über die Verbindung selbst können eingeholt werden. Übrigens: Anhand von WLAN-Daten kann ein sehr genauer Standort des Nutzers erstellt werden. -
Sonstiges
Unter der Bezeichnung "Sonstiges" findet sich die Berechtigung, Einstellungen des Geräteentwicklers oder anwendungsspezifische Berechtigungen. Darunter finden sich tiefe Eingriffe in die Privatsphäre des Nutzers. So kann im sozialen Stream geschrieben werden (je nach Einstellung des betreffenden sozialen Netzwerks), abonnierte Feeds ausgelesen werden, und einiges mehr.
Fazit zu den Berechtigungen
Während viele Hersteller ihre Apps auf die Berechtigungen reduzieren, die tatsächlich zum Betrieb benötigt werden, gibt es noch immer schwarze Schafe, die mit Berechtigungen Schindluder betreiben. Dabei können persönliche Daten ausgelesen werden, Nachrichten verfasst und unbewusst Anrufe getätigt werden. Einige der Funktionen können Kosten verursachen (z.B. durch verfasste SMS und MMS), andere die Privatsphäre stark einschränken - wie zum Beispiel durch das Aufnehmen von Audioinformationen ohne das Wissen des Nutzers. So wird das Smartphone schnell zu einem umfassenden Überwachungsgerät.
Um diese Eingriffe zu unterbinden, sollten Nutzer sich im Klaren sein, welche Berechtigungen verlangt und erteilt werden. Auch sollte bekannt sein, was sich hinter den einzelnen Berechtigungen verbirgt.
Die meisten Smartphone-Nutzer checken vor der Installation einer App die von dieser benötigten Berechtigungen. Oft tritt dabei ein mulmiges Gefühl auf, wenn sensible Daten wie Standort, Kamera, Mikrofon oder Kontakte freigegeben werden sollen. Besonders, wenn die App für den normalen Betrieb keinen Zugriff auf diese Ressourcen benötigt, ist Skepsis angebracht. Bestes Beispiel dafür ist noch immer die mittlerweile berühmte Taschenlampe, die weder ihre Kontakte noch ihren Standort wirklich braucht, um die LED zu aktivieren. Anders sieht es dann bei der Kamera aus - diese wiederum muss eventuell auch von der Taschenlampen-App angesprochen werden, um das integrierte Blitzlicht zu aktivieren. Soll heißen: Nicht jede angeforderte Berechtigung ist von Haus aus böse oder ein Einfallstor für den Datenmissbrauch - oftmals verwenden die Apps und Services die Daten schlicht für die Funktion des jeweiligen Angebotes. Trotzdem: Seien Sie stets wachsam, wenn es um das Verteilen von Berechtigungen geht - schließlich wollen Sie nicht Opfer eines Spyware-Angriffes werden.
Appchecker zum Einschätzen von Berechtigungen
Unter https://appcheck.mobilsicher.de finden Sie den sogenannten "Appchecker". Das Projekt des gemeinnützigen Vereins iRights e.V. und dem Institut f. Technik u. Journalismus überprüft kostenfreie Apps mit einem Fokus auf eventuelle Datenschutz-Verstöße der Betreiber. Ein Schnelltest untersucht die APK-Datei der App danach, welche Berechtigungen angefordert werden und ob Werbung, Tracker oder so genannte "In-App-Käufe" enthalten sind. Ein Volltest der jeweiligen App und Anwendung kann mit einer eigens entwickelten App durchgeführt werden. Der Volltest analysiert dann die angesprochenen Websites, mit der die jeweilige App kommuniziert und welche Daten ausgetauscht werden. Nach Abschluss der Tests wird dann ein "Privacy Score" ausgestellt, der von 1-5 abgestuft ist. Der Wert 1 bedeutet dabei, dass von der App kein Risiko ausgeht, da keine sicherheitsrelevanten Daten an Drittanbieter übermittelt werden. Die 2 steht für geringes Risiko und bewertet die App als "noch empfehlenswert" (z.B. Apps, die ein Benutzerkonto verwenden, den Standort für Services abrufen und ähnliches).
Schon bei einem Score von 3 spricht man von einem mittleren Risiko - die Installation sollte überdacht werden. Bei diesen Apps werden etwa Werbe-IDs ausgelesen, um eine gezielte Nutzung dieser Daten zu ermöglichen. Ansonsten sind die Apps nicht weiter auffällig und können genutzt werden. Bei einem schlechteren Score von 4 kommt es zu ungesicherten Datenübermittlungen, der Weitergabe von persönlichen Daten oder von Daten, die einen Ruckschluss auf den tatsächlichen Nutzer ermöglichen. Im Score 5 werden dann die "sehr problematischen" Apps eingestuft: Standortdaten werden ausgelesen und mit anderen Kennnummern kombiniert und sind dadurch in der Lage, ein komplettes Bewegungsprofil der Nutzer und Nutzerinnen anzufertigen.
Die Appchecker-Website bietet die Möglichkeit, die getesteten Programme zu filtern und unterschiedliche Ansprüche abzuprüfen. So können Apps ohne Werbung, vollgetestete Apps oder Apps ohne Internetzugriff gezielt gesucht werden. Natürlich ist auch möglich, die getesteten Apps nach Privacy-Score zu filtern - nutzen Sie dafür das Dropdown-Menü und den Eintrag "Filter". Hier können Sie den gewünschten Score auswählen und die Ergebnisse anzeigen lassen.
Berechtigungen vor der Installation manuell überprüfen
Schauen Sie sich zum Überprüfen von eventuell fragwürdigen Apps zunächst die Bewertungen im Playstore von Google an: Besonders die verbreiteten, billig produzierten Fake-Apps fallen mit einem sehr gespaltenen Lager von Bewertenden auf. Neben zahlreichen 1-Sterne Bewertungen von Kundinnen und Kunden, die völlig unzufrieden sind und sich über die Fehler der App auslassen, finden sich ansonsten ausschließlich 5-Sterne Bewertungen, in denen die App über den grünen Klee gelobt wird. Gesunde Zwischentöne fehlen hier - raten Sie, welche der Bewertungen echt sind und welche nur zur Download-Motivation künstlich erstellt wurden. Bei genauerem Hinsehen wird auffallen, dass die positiven Bewertungen alle bemerkenswert ähnlich gefasst sind, während die negativen Bewertungen offene Hinweise auf Fake-Apps darlegen.
Bereits vor der Installation können Sie überprüfen, welche Berechtigungen die ausgewählte App ansprechen möchte. Öffnen Sie dafür die Download-Seite der App im Playstore und klicken Sie auf die Schaltfläche "Weitere Informationen". Ganz unten finden Sie den Abschnitt Berechtigungen und einen Reiter mit der Aufschrift "Details Ansehen". Hier bekommen Sie eine Zusammenfassung zu den benötigten bzw. verlangten Berechtigungen der App.
Überprüfen Sie App-Berechtigungen selbst
Nach der Installation einer App können Sie die erteilten Berechtigungen einsehen, um einen Überblick zu den vergebenen Berechtigungen zu erhalten - oder um Berechtigungen im Nachhinein zu entziehen. Öffnen Sie dazu die Einstellungen des Smartphones und suchen Sie den Eintrag "Apps". Hier wird eine Liste, der zurzeit installierten Apps angezeigt. Mit einem Klick auf die App-Bezeichnung öffnet eine Detailseite, die Ihnen die Berechtigungen der App zeigt. Auch unter dem Reiter Datenschutz in den Einstellungen können Sie den Berechtigungsmanager finden - dieser fasst zusammen, welche App eine jeweilige Berechtigung hat.
Unter Android 11 kommt nun erstmals eine sehr wirksame Funktion in das Betriebssystem: Lang nicht benutzte Apps verlieren nach einer bestimmten Zeit alle einmal vergebenen Berechtigungen. So soll ein ungewolltes Datenleck vermieden werden. Nach erneutem Öffnen der Funktion müssen dann die Berechtigungen erneut vergeben werden. Keine Sorge: Vor dem Berechtigungs-Entzug werden Sie informiert und können, wenn notwendig, widersprechen.
Wer sich ausführlicher mit dem Thema App-Berechtigungen auseinandersetzen möchte und dabei in der Android-eigenen Ansicht zu wenig Übersicht findet, kann sich mit einer externen Lösung behelfen: Der "Permission Manager" erstellt eine Liste der installierten Apps und lässt anhand eine dieser Berechtigungen schnell und unkompliziert vergeben und entziehen. In der "Permissions"-Ansicht finden sich die verschiedenen Berechtigungen des Systems und die Information, welche App zum aktuellen Zeitpunkt Zugriff auf die einzelnen Berechtigungen hat. Auch Anfragen für bestimmte Berechtigungen lassen sich so anzeigen und einen Überblick zur Daten-Lust des eigenen Smartphones gewinnen. Nutzen Sie die Möglichkeit, die jeweiligen Apps wieder in ihre Schranken zu verweisen!
Android 12: Das Privatsphäre Dashboard
Der Ruf nach mehr Privatsphäre ist auch am Android-Mutterkonzern Google nicht vorbeigegangen. Mit dem neu eingeführten Privatsphäre Dashboard (zu finden unter Einstellungen-Datenschutz) soll eine grafische Übersicht dabei helfen, die Berechtigungen und die Datenweitergabe per Smartphone zu kontrollieren. Die übersichtliche Grafik verrät, welche Daten im Laufe des letzten Tages verwendet wurden. Sie finden in der Detailübersicht sogar eine Zeitachse, die Hintergrundaktivitäten und Zugriffshäufigkeiten in den letzten 24 Stunden anzeigt. Die Option "Berechtigungen verwalten" führt Sie direkt in den bereits angesprochenen Berechtigungs-Manager und gibt Ihnen die Möglichkeit, dort die vergebenen Berechtigungen zu betrachten - und eventuell zu entziehen.
Eine ebenfalls neu integrierte Funktion ist die Option, die Genauigkeit der Standortweitergabe zu beeinflussen. Dabei können Nutzerinnen und Nutzer auswählen, ob einer App tatsächlich der genaue Standort angezeigt wird, oder ob sich das Programm mit einer ungefähren Position begnügen muss. Während Navi-Apps mit genauen Standorten arbeiten sollten, um möglichst gut zu funktionieren, muss man sich die Frage stellen, ob einer Werbe-App eine Angabe zur aktuellen Stadt nicht auch ausreicht. Sie können die Einstellung in den Standort-Berechtigungen oder beim ersten Verwenden der App auswählen und festlegen, welche Daten an die App übermittelt werden - Sie finden hier einen entsprechenden Schalter.
AVGSicherheit - App-Berechtigungen einsehen
Das Thema Berechtigungen und deren Kontrolle beschäftigt auch Sicherheits-Apps wie die Antiviren-Software "AVG Antivirus". Der kostenlose Virenscanner enthält eine hilfreiche Zusatzfunktion, mit deren Hilfe zahlreiche interessante Infos abgerufen werden können. Die "App-Insights", die Sie über das Menü im linken Bildschirmrand erreichen, verrät, wie hoch die Nutzungsdauer bestimmter Apps ist und welche Berechtigungen eine App verwendet. Ein Filter gibt zudem an, welche Apps überdurchschnittlich viele Berechtigungen einsetzen und welche Apps genügsamer sind. Eine Detailansicht verrät dann, welche Berechtigungen im Einzelnen vergeben sind und wie diese genutzt werden können.
Sophos-App: Berechtigungen anpassen
Der kostenlose Virenscanner "Sophos Intercept" ist ein speziell auf Smartphones ausgerichtetes Multitalent, das besonders in der Darstellung von vergebenen Berechtigungen unter Android Vorteile hat. Unter der Option "App-Sicherheit" wird die Vertrauenswürdigkeit der einzelnen Apps bewertet und auch beschrieben, zu welchem Zeitpunkt der letzte Scan ausgeführt wurde. Wann immer die App verdächtige Aktivitäten oder Dateien identifiziert, werden diese Objekte in einer übersichtlichen Liste angezeigt.
Unter den App-eigenen Einstellungen können Sie außerdem die "App-Reputation"-Option verwenden. Wie der Name bereits verrät, bewertet die App andere Anwendungen nach deren Vertrauenswürdigkeit und gibt bei übermäßigen Berechtigungen eine Warnung aus. In einer Detailansicht können die Anhaltspunkte der Bewertung überprüft werden und so der Grund für die Warnung nachvollzogen werden. Sollte es sich um eine begründete Warnung handeln, können Sie die Berechtigungen entsprechend begrenzen oder entziehen. Sie können sich jedoch auch jederzeit dafür entscheiden, die Einschätzung der Software zu ignorieren und der App weiter zu vertrauen.
Auch die Virenscanner-Funktion der Sophos-App bietet eine Analysefunktion zu den installierten Apps auf dem Smartphone. Unter dem Menü "Privacy Advisor" sehen Sie jede vergebene und angefragte Berechtigung, die eine der installierten Apps auf ihrem Smartphone betrifft. Auch nicht gewährte Berechtigungen werden angezeigt, markiert durch ein rotes Symbol.
Die Detailansicht der Apps zeigt die Klassifizierung angefragter und eventuell erteilter Berechtigungen. Hier können Sie direkt aktiv werden und die Berechtigungen verwalten. Gehen Sie über die Option "Berechtigung ändern", bringt Sie die App direkt in die Verwaltung, in der sie die Berechtigungen anpassen können. Besonders übersichtlich wird die Darstellung durch die integrierten Sortier-Optionen: Neben der Listenansicht nach Namen ist auch die Anzahl der Berechtigungen oder eine Anordnung nach der Anzahl angefragter Berechtigungen gut geeignet, um schwarze Schafe aus dem App-Store zu erkennen.
Unser Fazit
Achten Sie bei der Vergabe von App-Rechten auf die tatsächliche Notwendigkeit. Nicht jede angeforderte Berechtigung ist zwingend notwendig und viele Apps gehen unnötig sorglos mit den angefragten Berechtigungen um.
Um sich effektiv vor Angriffen mit Spyware und Co. zu schützen, sollten Sie sich stets nach möglichst wenig invasiven Apps umschauen. Dabei hilft ein Blick auf die App-Bewertungen oder der Einsatz zusätzlicher Tools und Services: Oftmals werden allzu datengierige Apps schnell identifiziert und entsprechend bewertet. Achten Sie auch bei bereits installierten Apps immer wieder regelmäßig auf die erteilten Berechtigungen: Zwar bietet Android mittlerweile recht gute Privacy-Einstellungen, doch können immer wieder einzelne Datenlecks auftreten.
