Worauf Sie bei App-Berechtigungen achten müssen

Die Funktion „App Insights“ des AVG-Virenscanners hilft Ihnen, Ihre installierten Apps zu klassifizieren. Damit wird auf einen Blick sichtbar, welche Anwendungen eine größere Anzahl kritischer Berechtigungen haben.

Privatsphäre ist ein hohes Gut und wer mit seinem Smartphone keine bösen Überraschungen erleben möchte, sollte sich mit dem Thema App-Berechtigungen auseinandersetzen. Wir erläutern in diesem Artikel, welche Berechtigungen es gibt und warum nicht jede App-Berechtigung automatisch böse ist.

Welche Berechtigungen gibt es? Ein Überblick zu den Berechtigungsgruppen laut Google
Zunächst stellen wir die Auswirkungen erteilter Berechtigungen vor - denn wer weiß schon, was wirklich passiert, wenn eine App die Berechtigung erhält, "Sonstiges" zu verwenden?

Das müssen Sie zu den Berechtigungen wissen:
Einstellungen für Mobildaten

Hat eine App diese Berechtigung, kann Sie auf Einstellungen der Internetverbindung und der Dateneinstellungen zugreifen. Auch ein Zugriff auf empfangene Daten aus dem Internet kann hierunter fallen.

Fazit zu den Berechtigungen
Während viele Hersteller ihre Apps auf die Berechtigungen reduzieren, die tatsächlich zum Betrieb benötigt werden, gibt es noch immer schwarze Schafe, die mit Berechtigungen Schindluder betreiben. Dabei können persönliche Daten ausgelesen werden, Nachrichten verfasst und unbewusst Anrufe getätigt werden. Einige der Funktionen können Kosten verursachen (z.B. durch verfasste SMS und MMS), andere die Privatsphäre stark einschränken - wie zum Beispiel durch das Aufnehmen von Audioinformationen ohne das Wissen des Nutzers. So wird das Smartphone schnell zu einem umfassenden Überwachungsgerät.

Um diese Eingriffe zu unterbinden, sollten Nutzer sich im Klaren sein, welche Berechtigungen verlangt und erteilt werden. Auch sollte bekannt sein, was sich hinter den einzelnen Berechtigungen verbirgt.

Die meisten Smartphone-Nutzer checken vor der Installation einer App die von dieser benötigten Berechtigungen. Oft tritt dabei ein mulmiges Gefühl auf, wenn sensible Daten wie Standort, Kamera, Mikrofon oder Kontakte freigegeben werden sollen. Besonders, wenn die App für den normalen Betrieb keinen Zugriff auf diese Ressourcen benötigt, ist Skepsis angebracht. Bestes Beispiel dafür ist noch immer die mittlerweile berühmte Taschenlampe, die weder ihre Kontakte noch ihren Standort wirklich braucht, um die LED zu aktivieren. Anders sieht es dann bei der Kamera aus - diese wiederum muss eventuell auch von der Taschenlampen-App angesprochen werden, um das integrierte Blitzlicht zu aktivieren. Soll heißen: Nicht jede angeforderte Berechtigung ist von Haus aus böse oder ein Einfallstor für den Datenmissbrauch - oftmals verwenden die Apps und Services die Daten schlicht für die Funktion des jeweiligen Angebotes. Trotzdem: Seien Sie stets wachsam, wenn es um das Verteilen von Berechtigungen geht - schließlich wollen Sie nicht Opfer eines Spyware-Angriffes werden.

Appchecker zum Einschätzen von Berechtigungen
Unter https://appcheck.mobilsicher.de finden Sie den sogenannten "Appchecker". Das Projekt des gemeinnützigen Vereins iRights e.V. und dem Institut f. Technik u. Journalismus überprüft kostenfreie Apps mit einem Fokus auf eventuelle Datenschutz-Verstöße der Betreiber. Ein Schnelltest untersucht die APK-Datei der App danach, welche Berechtigungen angefordert werden und ob Werbung, Tracker oder so genannte "In-App-Käufe" enthalten sind. Ein Volltest der jeweiligen App und Anwendung kann mit einer eigens entwickelten App durchgeführt werden. Der Volltest analysiert dann die angesprochenen Websites, mit der die jeweilige App kommuniziert und welche Daten ausgetauscht werden. Nach Abschluss der Tests wird dann ein "Privacy Score" ausgestellt, der von 1-5 abgestuft ist. Der Wert 1 bedeutet dabei, dass von der App kein Risiko ausgeht, da keine sicherheitsrelevanten Daten an Drittanbieter übermittelt werden. Die 2 steht für geringes Risiko und bewertet die App als "noch empfehlenswert" (z.B. Apps, die ein Benutzerkonto verwenden, den Standort für Services abrufen und ähnliches).

Schon bei einem Score von 3 spricht man von einem mittleren Risiko - die Installation sollte überdacht werden. Bei diesen Apps werden etwa Werbe-IDs ausgelesen, um eine gezielte Nutzung dieser Daten zu ermöglichen. Ansonsten sind die Apps nicht weiter auffällig und können genutzt werden. Bei einem schlechteren Score von 4 kommt es zu ungesicherten Datenübermittlungen, der Weitergabe von persönlichen Daten oder von Daten, die einen Ruckschluss auf den tatsächlichen Nutzer ermöglichen. Im Score 5 werden dann die "sehr problematischen" Apps eingestuft: Standortdaten werden ausgelesen und mit anderen Kennnummern kombiniert und sind dadurch in der Lage, ein komplettes Bewegungsprofil der Nutzer und Nutzerinnen anzufertigen.

Die Appchecker-Website bietet die Möglichkeit, die getesteten Programme zu filtern und unterschiedliche Ansprüche abzuprüfen. So können Apps ohne Werbung, vollgetestete Apps oder Apps ohne Internetzugriff gezielt gesucht werden. Natürlich ist auch möglich, die getesteten Apps nach Privacy-Score zu filtern - nutzen Sie dafür das Dropdown-Menü und den Eintrag "Filter". Hier können Sie den gewünschten Score auswählen und die Ergebnisse anzeigen lassen.

Berechtigungen vor der Installation manuell überprüfen
Schauen Sie sich zum Überprüfen von eventuell fragwürdigen Apps zunächst die Bewertungen im Playstore von Google an: Besonders die verbreiteten, billig produzierten Fake-Apps fallen mit einem sehr gespaltenen Lager von Bewertenden auf. Neben zahlreichen 1-Sterne Bewertungen von Kundinnen und Kunden, die völlig unzufrieden sind und sich über die Fehler der App auslassen, finden sich ansonsten ausschließlich 5-Sterne Bewertungen, in denen die App über den grünen Klee gelobt wird. Gesunde Zwischentöne fehlen hier - raten Sie, welche der Bewertungen echt sind und welche nur zur Download-Motivation künstlich erstellt wurden. Bei genauerem Hinsehen wird auffallen, dass die positiven Bewertungen alle bemerkenswert ähnlich gefasst sind, während die negativen Bewertungen offene Hinweise auf Fake-Apps darlegen.

Bereits vor der Installation können Sie überprüfen, welche Berechtigungen die ausgewählte App ansprechen möchte. Öffnen Sie dafür die Download-Seite der App im Playstore und klicken Sie auf die Schaltfläche "Weitere Informationen". Ganz unten finden Sie den Abschnitt Berechtigungen und einen Reiter mit der Aufschrift "Details Ansehen". Hier bekommen Sie eine Zusammenfassung zu den benötigten bzw. verlangten Berechtigungen der App.

Überprüfen Sie App-Berechtigungen selbst
Nach der Installation einer App können Sie die erteilten Berechtigungen einsehen, um einen Überblick zu den vergebenen Berechtigungen zu erhalten - oder um Berechtigungen im Nachhinein zu entziehen. Öffnen Sie dazu die Einstellungen des Smartphones und suchen Sie den Eintrag "Apps". Hier wird eine Liste, der zurzeit installierten Apps angezeigt. Mit einem Klick auf die App-Bezeichnung öffnet eine Detailseite, die Ihnen die Berechtigungen der App zeigt. Auch unter dem Reiter Datenschutz in den Einstellungen können Sie den Berechtigungsmanager finden - dieser fasst zusammen, welche App eine jeweilige Berechtigung hat.

Unter Android 11 kommt nun erstmals eine sehr wirksame Funktion in das Betriebssystem: Lang nicht benutzte Apps verlieren nach einer bestimmten Zeit alle einmal vergebenen Berechtigungen. So soll ein ungewolltes Datenleck vermieden werden. Nach erneutem Öffnen der Funktion müssen dann die Berechtigungen erneut vergeben werden. Keine Sorge: Vor dem Berechtigungs-Entzug werden Sie informiert und können, wenn notwendig, widersprechen.

Wer sich ausführlicher mit dem Thema App-Berechtigungen auseinandersetzen möchte und dabei in der Android-eigenen Ansicht zu wenig Übersicht findet, kann sich mit einer externen Lösung behelfen: Der "Permission Manager" erstellt eine Liste der installierten Apps und lässt anhand eine dieser Berechtigungen schnell und unkompliziert vergeben und entziehen. In der "Permissions"-Ansicht finden sich die verschiedenen Berechtigungen des Systems und die Information, welche App zum aktuellen Zeitpunkt Zugriff auf die einzelnen Berechtigungen hat. Auch Anfragen für bestimmte Berechtigungen lassen sich so anzeigen und einen Überblick zur Daten-Lust des eigenen Smartphones gewinnen. Nutzen Sie die Möglichkeit, die jeweiligen Apps wieder in ihre Schranken zu verweisen!

Android 12: Das Privatsphäre Dashboard
Der Ruf nach mehr Privatsphäre ist auch am Android-Mutterkonzern Google nicht vorbeigegangen. Mit dem neu eingeführten Privatsphäre Dashboard (zu finden unter Einstellungen-Datenschutz) soll eine grafische Übersicht dabei helfen, die Berechtigungen und die Datenweitergabe per Smartphone zu kontrollieren. Die übersichtliche Grafik verrät, welche Daten im Laufe des letzten Tages verwendet wurden. Sie finden in der Detailübersicht sogar eine Zeitachse, die Hintergrundaktivitäten und Zugriffshäufigkeiten in den letzten 24 Stunden anzeigt. Die Option "Berechtigungen verwalten" führt Sie direkt in den bereits angesprochenen Berechtigungs-Manager und gibt Ihnen die Möglichkeit, dort die vergebenen Berechtigungen zu betrachten - und eventuell zu entziehen.

Eine ebenfalls neu integrierte Funktion ist die Option, die Genauigkeit der Standortweitergabe zu beeinflussen. Dabei können Nutzerinnen und Nutzer auswählen, ob einer App tatsächlich der genaue Standort angezeigt wird, oder ob sich das Programm mit einer ungefähren Position begnügen muss. Während Navi-Apps mit genauen Standorten arbeiten sollten, um möglichst gut zu funktionieren, muss man sich die Frage stellen, ob einer Werbe-App eine Angabe zur aktuellen Stadt nicht auch ausreicht. Sie können die Einstellung in den Standort-Berechtigungen oder beim ersten Verwenden der App auswählen und festlegen, welche Daten an die App übermittelt werden - Sie finden hier einen entsprechenden Schalter.

AVGSicherheit - App-Berechtigungen einsehen
Das Thema Berechtigungen und deren Kontrolle beschäftigt auch Sicherheits-Apps wie die Antiviren-Software "AVG Antivirus". Der kostenlose Virenscanner enthält eine hilfreiche Zusatzfunktion, mit deren Hilfe zahlreiche interessante Infos abgerufen werden können. Die "App-Insights", die Sie über das Menü im linken Bildschirmrand erreichen, verrät, wie hoch die Nutzungsdauer bestimmter Apps ist und welche Berechtigungen eine App verwendet. Ein Filter gibt zudem an, welche Apps überdurchschnittlich viele Berechtigungen einsetzen und welche Apps genügsamer sind. Eine Detailansicht verrät dann, welche Berechtigungen im Einzelnen vergeben sind und wie diese genutzt werden können.

Sophos-App: Berechtigungen anpassen
Der kostenlose Virenscanner "Sophos Intercept" ist ein speziell auf Smartphones ausgerichtetes Multitalent, das besonders in der Darstellung von vergebenen Berechtigungen unter Android Vorteile hat. Unter der Option "App-Sicherheit" wird die Vertrauenswürdigkeit der einzelnen Apps bewertet und auch beschrieben, zu welchem Zeitpunkt der letzte Scan ausgeführt wurde. Wann immer die App verdächtige Aktivitäten oder Dateien identifiziert, werden diese Objekte in einer übersichtlichen Liste angezeigt.

Unter den App-eigenen Einstellungen können Sie außerdem die "App-Reputation"-Option verwenden. Wie der Name bereits verrät, bewertet die App andere Anwendungen nach deren Vertrauenswürdigkeit und gibt bei übermäßigen Berechtigungen eine Warnung aus. In einer Detailansicht können die Anhaltspunkte der Bewertung überprüft werden und so der Grund für die Warnung nachvollzogen werden. Sollte es sich um eine begründete Warnung handeln, können Sie die Berechtigungen entsprechend begrenzen oder entziehen. Sie können sich jedoch auch jederzeit dafür entscheiden, die Einschätzung der Software zu ignorieren und der App weiter zu vertrauen.

Auch die Virenscanner-Funktion der Sophos-App bietet eine Analysefunktion zu den installierten Apps auf dem Smartphone. Unter dem Menü "Privacy Advisor" sehen Sie jede vergebene und angefragte Berechtigung, die eine der installierten Apps auf ihrem Smartphone betrifft. Auch nicht gewährte Berechtigungen werden angezeigt, markiert durch ein rotes Symbol.

Die Detailansicht der Apps zeigt die Klassifizierung angefragter und eventuell erteilter Berechtigungen. Hier können Sie direkt aktiv werden und die Berechtigungen verwalten. Gehen Sie über die Option "Berechtigung ändern", bringt Sie die App direkt in die Verwaltung, in der sie die Berechtigungen anpassen können. Besonders übersichtlich wird die Darstellung durch die integrierten Sortier-Optionen: Neben der Listenansicht nach Namen ist auch die Anzahl der Berechtigungen oder eine Anordnung nach der Anzahl angefragter Berechtigungen gut geeignet, um schwarze Schafe aus dem App-Store zu erkennen.

Unser Fazit
Achten Sie bei der Vergabe von App-Rechten auf die tatsächliche Notwendigkeit. Nicht jede angeforderte Berechtigung ist zwingend notwendig und viele Apps gehen unnötig sorglos mit den angefragten Berechtigungen um.

Um sich effektiv vor Angriffen mit Spyware und Co. zu schützen, sollten Sie sich stets nach möglichst wenig invasiven Apps umschauen. Dabei hilft ein Blick auf die App-Bewertungen oder der Einsatz zusätzlicher Tools und Services: Oftmals werden allzu datengierige Apps schnell identifiziert und entsprechend bewertet. Achten Sie auch bei bereits installierten Apps immer wieder regelmäßig auf die erteilten Berechtigungen: Zwar bietet Android mittlerweile recht gute Privacy-Einstellungen, doch können immer wieder einzelne Datenlecks auftreten.