18. Juli 2011 - Mobile Endgeräte

Wie erkennt man, ob eine Smartphone-App vertrauenswürdig ist?

Mobile Applikationen für iPhone & Co erfreuen sich großer Beliebtheit, bei Nutzern und Datendieben gleichermaßen. Da stellt sich die Frage, wann man einer Smartphone-App noch vertrauen darf. Leider ist die Antwort gar nicht so einfach. Datenschutzerklärungen zum Beispiel sind bei Apps noch Mangelware.

wie-erkennt-man-ob-eine-smartphone-app-vertrauenswurdig-ist.jpeg
Viele Smartphone-Apps arbeiten ohne Datenschutzerklärung (Bild: Thinkstock)

Smartphone-Apps machen Schlagzeilen

Ob Lebensmittelhändler oder Bank, ob Wetterdienst oder Verkehrsunternehmen, kaum ein Unternehmen verzichtet noch darauf, eine eigene mobile Anwendung für Smartphones auf den Markt zu bringen. Schon kursiert die Frage unter Kollegen „Gibt es keine App dafür?“

Die Beliebtheit und schnell steigende Verbreitung der Apps für iPhone & Co hat sich auch unter den Datendieben herumgesprochen. So sind bereits mehrfach Apps entdeckt worden, die heimlich Positionsdaten und andere persönliche Informationen der Smartphone-Nutzer sammeln und an Dritte übertragen.

Smartphone-Apps sind wie jede Software zu behandeln

Mehr noch als bei Notebook und PC besteht bei Smartphones die Gefahr, dass unerlaubt Software aufgespielt wird. Die erhöhte Gefahr liegt insbesondere daran, dass die Sicherheitsausstattung vieler Smartphones und das Berechtigungsmanagement für mobile Endgeräte oftmals noch nicht so weit entwickelt ist, wie dies bei den seit langem im Einsatz befindlichen Computern der Fall ist.

Es darf jedoch in Ihrem Unternehmen kein Zweifel daran gelassen werden, dass Smartphone-Apps keine netten Gimmicks sind, sondern ernstzunehmende und durchaus gefährliche Software. Viele Sicherheitsforscher halten Smartphone-Apps sogar für die Achillesferse der modernen Datensicherheit.


Download:


Smartphone-Apps nur aus vertrauenswürdigen Quellen?

So wurden bereits mehrfach Apps im guten Glauben heruntergeladen und installiert, die sich später als Trojaner entpuppten. Ein wichtiger Rat ist deshalb, Smartphone-Apps nur aus zuverlässigen Quellen zu beziehen.

Doch dies ist leichter gesagt als getan. Es reicht nämlich nicht, nur mobile Applikationen zu installieren und zu nutzen, die auf den Download-Seiten der Smartphone-Anbieter oder der Anbieter der mobilen Betriebssysteme zu finden sind. Nicht nur für das mobile Betriebssystem Google Android mussten bereits mehrere Apps wieder aus dem Download-Bereich (wie Android Market) genommen werden, da diese in Wirklichkeit Spyware waren.

Es muss nicht gleich Spyware sein

Ganz gleich, woher die Smartphone-Nutzer in Ihrem Unternehmen die Apps beziehen, sollten Sie dazu raten, die mobilen Applikationen immer auf Schadsoftware zu prüfen und auf den Smartphones spezielle Sicherheitsprodukte zu betreiben wie einen mobilen Anti-Malware-Schutz und eine mobile Firewall.

Doch personenbezogene Daten können auch ohne Schadprogramme in Gefahr geraten. Denken Sie nur an unerlaubte Ortung und unerwünschte Werbung.

Die meisten Apps werden durch Werbung finanziert

Für 2012 erwarten Experten im Bereich mobiler Werbung, dass 69 Prozent aller Smartphone-Apps im Bereich sozialer Netzwerke eingesetzt werden, 54 Prozent werden dann für standortbezogene Dienste genutzt, die eine Ortung des Smartphones voraussetzen. Zudem sollen mindestens die Hälfte der Apps über Werbung finanziert werden, insbesondere über standortbezogene Werbung.

Offen bleibt erst einmal, ob sich die Nutzer dessen bewusst sein werden und ob sie dem auch bewusst zustimmen. Bislang ist es gar nicht so einfach, die Datenschutzrichtlinien von Apps auf die Nutzung von Standortdaten hin zu überprüfen, denn die meisten Apps haben gar keine Privacy Policy.

Fast 75 Prozent der Smartphone-Apps ohne Datenschutzerklärung

Das Future of Privacy Forum hat kürzlich berichtet, dass fast drei Viertel der beliebtesten Apps keine Datenschutzerklärung aufweisen, die der Nutzer prüfen könnte. Welche Daten zu welchem Zweck genutzt werden, bleibt somit erst einmal im Dunkeln. Daran ändert auch die Tatsache nichts, dass je nach mobilem Betriebssystem die Nutzer bei der Installation der App informiert werden, auf welche Art von Daten durch die App zugegriffen werden soll:

  • Zum einen stimmen an dieser Stelle viele Nutzer zu, um überhaupt installieren zu können. Denn ohne Zustimmung wird die Installation meist abgebrochen.
  • Zum anderen besteht nach der Installation vielfach keine Möglichkeit mehr, über die Datenzugriffe der App zu entscheiden.
  • Unklar bleibt ebenfalls, wie und für welchen Zweck die Daten genutzt werden sollen, wenn es keine Datenschutzerklärung gibt.

Selbst eine Signatur ist keine Garantie

Nun werden zunehmend Apps angeboten, die signiert wurden, deren Herkunft also mit einem digitalen Zertifikat bestätigt wird. Das klingt wie eine zusätzliche Sicherheit und wie ein Vertrauensmerkmal. Doch leider können Ihre Smartphone-Nutzer auch bei digital signierten Apps nicht einfach annehmen, für ihre Daten bestehe keine Gefahr. So musste zum Beispiel Symbian, der Anbieter des mobilen Betriebssystems Symbian OS, in der Vergangenheit einräumen, dass eine Smartphone-Apps signiert wurde, die in Wirklichkeit einen Trojaner enthielt.

Signierte Apps können aber nicht nur bei einem unzureichenden Prüfverfahren des Anbieters gefährlich sein: Datendiebe können digitale Zertifikate rauben und dazu missbrauchen, Schadprogramme als echte Software zu tarnen.

Externe Zertifizierung nicht für die breite Masse der Apps

Inzwischen werden Smartphone-Apps auch extern zertifiziert und mit einem Prüfsiegel versehen, zum Beispiel von TRUSTe. Doch die Kosten solcher Zertifizierungen werden dafür sorgen, dass die meisten Smartphone-Apps wohl ohne ein solches Zertifikat auf den Markt kommen werden. Vertrauenswürdige Apps zu finden, ist also wirklich nicht einfach. Im Download finden Sie deshalb weitere Tipps dazu.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln