Apps zum Navigieren senden automatisch den aktuellen Standort des Smartphones an die App-Hersteller. Bucht man ein Hotel via Handy, erhält die Buchungsfirma automatisch die Mailadresse oder Kreditkartendetails. Diese Daten sind für den Gebrauch der App nötig. Einige Apps versenden aber auch Daten, welche die Hersteller nichts angehen. Oder sie bedienen Werbefirmen mit den Daten der App-Besitzer.
Die IT-Sicherheitsfirma Scip AG in Zürich testete für saldo zwanzig verbreitete Apps. Die Experten untersuchten während zwei Wochen, welche Daten Apps auf den Smartphones ohne Wissen ihrer Besitzer abholen, ob diese Daten verschlüsselt übermittelt werden und ob sie direkt an weitere Unternehmen verschickt werden. Geprüft wurden die App-Versionen für Android-Geräte und iPhones.
Ergebnis: 9 der 20 Apps wollen Daten abschöpfen, die nicht nicht zwingend für das Funktionieren der App nötig sind. 11 Apps versenden ohne das Wissen der Smartphonebesitzer unverschlüsselt Daten. Und 15 Apps senden Nutzerdaten an Werbekunden oder andere Datensammler (siehe Tabelle).
Erlaubnis zum Ausspionieren
Die App-Hersteller fordern zum Beispiel Einblick ins Adressbuch, in den Kalender, in private SMS oder in die Anruflisten. Zu diesem Zweck verlangen sie von den Handybesitzern die Erlaubnis, Zugang zu diesen Daten zu erhalten. Die Coop-App verlangte im Test 12 solcher Berechtigungen, die Facebook-App nicht weniger als 42. Die andern lagen dazwischen.
Oft sind die Handybesitzer gezwungen, die Zustimmung zum Spionieren zu geben, weil sonst eine App gar nicht funktioniert. Das Chat-Programm WhatsApp zum Beispiel fordert den Zugriff auf alle Namen und Telefonnummern im Adressbuch des Handys. Verweigert man den Zugriff, ist die App unbrauchbar.
Fast die Hälfte der Apps verlangen Berechtigungen, die es nicht braucht. So will die App Brightest Taschenlampe wissen, wo sich der Benutzer befindet. Oder die Wetter-App Weather Pro will mit der Handykamera Bilder und Videos aufnehmen können. Die Spiele-App «Ich Einfach Unverbesserlich» will Lesezeichen für Websites lesen.
Datennutzung bleibt geheim
Stossend: Was WhatsApp, Skype und Co. mit den persönlichen Daten machen und an wen sie die Informationen weiterverkaufen, ist nicht nachprüfbar. Kommt hinzu: 11 der 20 Apps im Test senden einen Teil dieser Daten unverschlüsselt. Das heisst: Wer will, kann die übermittelten Informationen ohne das Wissen der Handybesitzer abfangen. Dazu genügt ein Gratis-Programm aus dem Internet. Bei der «Blick»-App lässt sich ermitteln, welche Artikel jemand liest und welche Bilder er anschaut. Bei der App von Booking.com erfährt man dank unverschlüsselter Landkarten, wo die Benutzer die nächsten Ferien planen.
Immerhin: Alle 20 untersuchten Apps übermittelten heikle Daten wie Passwörter oder Mailadressen generell verschlüsselt. Damit sind sie für Hacker nur noch schwer einsehbar.
Laut Scip AG könnten App-Hersteller sämtliche Daten problemlos verschlüsseln. Experte Stefan Friedli: «Die Verschlüsselung von Daten ist heute kein Luxus, sondern ein Recht des Konsumenten.»
Aus Daten entstehen persönliche Profile
15 der 20 Apps senden die persönlichen Daten an weitere Unternehmen, die Daten sammeln. Das können etwa Werbeagenturen sein oder Firmen, die Daten aus den verschiedensten Quellen sammeln und daraus persönliche Profile erstellen. Zu den ausspionierten Daten gehören etwa der Name des Providers, Aufenthaltsorte oder Mailadresse. Einige Apps wie jene der Migros, von Local.ch oder WeatherPro verwenden das Programm Google Analytics, welches das Surfverhalten des Handybesitzers verfolgt. Diese Daten werden auf Servern in den USA gespeichert.
Besonders negativ fällt in dieser Beziehung die SBB-Mobile-App auf. Sie sendet die Standortdaten unverschlüsselt heimlich an Werbefirmen. Damit erfahren diese, wo sich die Handybesitzer gerade aufhalten.
saldo hat die Schweizer App-Hersteller mit den Mängeln ihrer Apps konfrontiert. Die SBB geben zu, dass Werber aufgrund der Standortdaten den App-Nutzern ungefragt «regionale Angebote» unterbreiten können. Diese Funktion liesse sich aber deaktivieren.
Das Medienhaus Ringier als Herstellerin der «Blick»-App verspricht, ab Anfang des nächsten Jahres alle Daten nur noch verschlüsselt zu übermitteln. Man werte die Daten im Übrigen nicht personenbezogen aus. Ringier kenne weder Namen noch Wohnort der App-Kunden.
Migros und Coop geben an, dank der Trackerfunktion, die das Surfverhalten ausspioniert, ihre App «laufend verbessern zu können». Ins gleiche Horn blasen Post und Swisscom, Herstellerin der Local-App. Sprich: Die App-Hersteller sammeln möglichst alle Daten, die die Smartphones hergeben.
So können sie sich schützen
Android-Handys
Im Google Play Store sieht man vor dem Kauf, welche Berechtigungen eine App einfordert. Mit dem Kauf stimmt der Nutzer der Erlaubnis zum Ablesen der Daten automatisch zu.
Auf den meisten Android-Smartphones ist es nur mit Spezialkenntnissen möglich, den Apps Zugriffe auf Kontakte oder Speicherkarte zu untersagen. Handys von Oneplus oder Huawei bieten eine entsprechende Funktion.
iPhones
Im iTunes-Store von Apple erfährt man die verlangten Berechtigungen erst, wenn die App installiert ist. Immerhin: Die App fragt nach der Erlaubnis für den Zugriff auf bestimmte Daten.
iPhone-Besitzer können nach der Installation noch einzelne Berechtigungen ablehnen. So gehts: Gehen Sie in die «Einstellungen», wählen Sie «Datenschutz». Hier können Sie einstellen, welche Apps Zugriff auf Adressbuch, Fotos oder auf Ihren aktuellen Aufenthaltsort haben dürfen. Zudem kann man unter % «Ortungsdienste» % «Systemdienste» die Funktion «Häufige Orte» deaktivieren, mit der Apple Standortdaten sammelt. Unter «Einstellungen» sieht man zudem im unteren Teil der Liste eine Aufstellung aller Apps. Auch hier können Sie die Zugriffe einstellen.
Achtung: Bei einem Update kann eine App neue Berechtigungen verlangen. So will die Facebook-App in der aktuellen Version Zugriff auf jeden Text, den man im Handy kopiert. Darum: Bei einem Update aufpassen, bevor man Zustimmungen zum Mitlesen erteilt.
