Die Krux mit den Zugriffsrechten bei WhatsApp und Co.

Nahezu alle Berechtigungen, die die Apps verlangen, können missbräuchlich genutzt werden.
Nahezu alle Berechtigungen, die die Apps verlangen, können missbräuchlich genutzt werden.
Foto: Imago
Smartphones und Tablet-PCs werden erst mithilfe von Apps zu kleinen Alleskönnern. Doch mitunter fungieren sie auch als Daten-Kraken. Knackpunkt sind die „Zugriffsrechte“, die man als Nutzer bei Apps einräumen muss. Manche Apps verlangen sehr viele. Wie kann man „gut“ und „böse“ unterscheiden?

Essen. Muss eine Taschenlampen-App „WLAN-Verbindungen“ und „Daten aus dem Internet abrufen“ und soll sie „USB-Speicherinhalte ändern“ können? Mit solchen Begriffen hat man zu tun, wenn man ins ‚Kleingedruckte’ in den App-Stores taucht. Damit man Apps herunterladen kann, muss man den „Zugriffsrechten“ zustimmen. Manchmal sind das verdächtig viele.

Die „Superhelle LED Taschenlampe“ im Google Play-Store etwa verlangt insgesamt 13 einzelne Zugriffsrechte: „Netzkommunikation, Netzwerkverbindungen abrufen, Zugriff auf alle Netzwerke, WLAN-Verbindungen abrufen, Daten aus dem Internet abrufen, Telefonanrufe, Telefonstatus und Identität abrufen“ usw. „Zuviel“, sagt der Düsseldorfer App-Entwickler und Technik-Blogger Theo Tzaferis. Weil es ihm fragwürdig erscheint, dass eine bloße Lampen-Funktion solche Eingriffe in die Gerätefunktionen eines Handys verlangt.

"Nahezu alle Berechtigungen können missbräuchlich genutzt werden"

"Nahezu alle Berechtigungen könnten missbräuchlich genutzt werden", sagt Theo Tzaferis. "Die Berechtigung zum 'SMS lesen' kann, wie bei WhatsApp und Telegram, dazu genutzt werden, auf den Benachrichtigungscode zu warten und zu reagieren, oder aber auch um wirklich die SMS zu lesen und auf einem Server zu speichern". Für Tzaferis ein gutes Beispiel dafür, "dass eine Berechtigung harmlos sein kann und die Benutzerfreundlichkeit verbessert, gleichzeitig aber auch gefährlich sein kann, wenn die Berechtigung missbraucht wird".

Das Problem: In der Regel muss man die Zugriffsrechte im Paket akzeptieren. Sonst läuft die App nicht. WhatsApp etwa verlangt im Google-Play-Store 36 Zugriffsrechte. Die Facebook-App will 44, Googles Barcode-Scanner „Goggels“ will immerhin 11, der "Postfinder" der Deutschen Post verlangt bloß zwei Berechtigungen zum Zugriff auf bestimmte Handy-Funktionen.

Vorsicht vor Kostenlos-Apps

“Jede App benötigt Zugriff auf bestimmte Gerätefunktionen, für die sie die entsprechenden Rechte anfordern muss, sonst würde sie nicht funktionieren”, erklärt der Solinger App-Entwickler Daniel Schneller. Welche und wieviele es sind, hänge mit den Funktionen einer App zusammen, aber auch damit, „wie viel Mühe sich der Programmierer macht“ – und welche Absichten die App tatsächlich verfolgt. Gerade viele Kostenlos-Apps stehen im Ruf, Daten zu ziehen und dann Werbung zum Beispiel aufs Handy zu spielen. Irgendwie muss ja Geld damit verdient werden. Experten warnen: Wer als Nutzer einmal das „Okay“ gibt, räumt dem Programmierer den vollen Zugriff auf die gespeicherten Daten ein. 145 Zugriffsrechte hat Google insgesamt definiert.

Dass Apps Zugriff auf gespeicherte Daten haben, begründen Anbieter mit dem „Mehrwert“ für Nutzer. Die Zahl der Berechtigungen, die die Fahrplan-App der Düsseldorfer Rheinbahn vor dem Herunterladen abfragt, ist vergleichsweise klein, aber Zugriffe auf „Ortung“, Adressdaten und „Kalender“ gehören dazu.

Kann die App Kalendertermine und Adressen ausspionieren? Kann Sie den Nutzer unbemerkt orten?

Google verrät zu wenig über App-Berechtigungen

„Keine Daten werden an Dritte weitergereicht“, versichert Rheinbahn-Sprecher Georg Schumacher. Die Freigabe dieser Zugriffsrechte sei vielmehr nötig, damit die App etwa Fahrplanverbindungen direkt im Kalender speichern, das Fahrtziel direkt aus dem Adressbuch ziehen oder Nutzer unterwegs zur nächsten Haltestelle lotsen kann. Die Rheinbahn habe sich habe sich mit ihrer App "als Vorsatz gesetzt, nur so wenige Daten wie möglich vom Kunden zu verlangen". Bei "sehr vielen am Markt befindlichen Apps" sei das "leider nicht der Fall", teilt Schumacher mit.

Es ist zweifellos positiv, dass man als Nutzer darüber informiert wird, was eine App auf einem Handy machen kann. Zum Vergleich: Bei PC-Programmen hat man überhaupt keinen Einblick. Doch die Informationen die etwa Google in seinem Google-Play-Store gibt, sind nicht ausreichend, kritisiert Theo Tzaferis: „Google erzählt uns nirgends, wofür die Berechtigungen genutzt werden können“. Es wäre besser „wenn Google erklärte, welche positiven und welche negativen Zwecke mit den Berechtigungen einhergehen“, meint er.

Experten raten, Zugriffsrechte zu hinterfragen

Das ist auch aus Entwicklersicht problematisch: Thomas Clemens, bei der Deutschen Post verantwortlich für die "Postfinder"-App, berichtet von Kunden, die sich daran stoßen, dass die App zwar nur zwei Zugriffsrechte verlangt, darunter aber auch "auf SMS zugreifen will". Clemens versichert, "wir lesen keine SMS mit, die Berechtigung ist nötig, um das Handyporto für eine Postsendung abzurechnen". In Verträgen und Datenschutzbestimmungen mit dem App-Dienstleister sei geregelt, dass die App nicht dazu genutzt werde, irgendwelche Anwenderdaten auszuspionieren, versichert Clemens. Einzig festgehalten werden die "Abrufe in der Schnittstelle", also Daten von Handytyp und Betriebssystem-Version, wenn man sich ins System einlogge.

App-Entwickler Daniel Schneller kritisiert, dass Zugriffsrechte vielfach „die schlimmsten Assoziationen hervorrufen“ und manche Nutzer davon abhielten, eine App herunterzuladen, obwohl es eben nur um technisch nötige Zugriffe gehe. Schneller räumt jedoch ein: „Manche Anforderung von Zugriffsrechten sind eher darauf ausgerichtet, Daten über Anwender zu generieren”. Die Berechtigungen an sich sind für andere Apps gegebenenfalls absolut notwendig, um deren gewünschte Funktion zu realisieren. Aber sie könnten eben auch missbraucht werden.

App-Nutzer sollten die Zugriffsrechte hinterfragen

Was die Auswahl der Zugriffsrechte angeht, raten die Experten deshalb: Man sollte „kritisch abwägen, ob die Zugriffsrechte im Verhältnis zur App-Funktion stehen“. Das heißt dann vor allem: „Dass man sie auch durchliest“, sagt Daniel Schneller: "Das aber macht bis dato kaum jemand". Und man sollte sich gerade bei kostenlosen Hilfsprogrammen stets vor Augen halten: „Wenn Du nichts für ein Produkt bezahlst, dann bist Du oft das Produkt“. Letztlich bleibe Nutzern nichts anders übrig „als den Programmierern zu vertrauen“.

Wie vertrauenswürdig Apps sind, ist aus Sicht von Thomas Clemens auch eine Frage des App-Stores: "Android-Apps werden im Google-Store nach 24 Stunden freigeschaltet. Apple macht Qualitätskontrollen, die bis zu zwei Wochen dauern können, bevor eine App dann angeboten wird".

In Sachen Taschenlampen-App muss man jedenfalls nicht fünf, sieben oder gleich 13 Türen in sein Smartphone öffnen. Die Taschenlampen-App „Humberto Flashlight“ zum Beispiel will das Okay für nur ein Zugriffsrecht: „Fotos und Videos aufnehmen“. Das reicht offensichtlich, um bloß Licht zu spenden.

 
 

EURE FAVORITEN