App-Sicherheit im Test

Von Michael Engel · 11.03.2013
Wer über ein Smartphone verfügt, wird diverse Apps darauf installiert haben. Mit der Taschenlampen-App etwa wird das Handy zur Lampe umfunktioniert. Andere Apps navigieren durch die Stadt. Doch leider nehmen es viele dieser Alltagshilfen mit dem Datenschutz nicht genau.
Junge Frau: "Meine Lieblings-App ist Skype, weil ich damit umsonst telefonieren kann und man sich auf dem Bildschirm sehen kann."

Junger Mann: "In letzter Zeit benutze ich eigentlich am meisten meine Navi-App. Zusätzlicher Vorteil, den diese Navi-App bietet, ist auch noch eine Blitzer-Warnung, um das Punktekonto in Flensburg ein wenig zu schonen."

Schülerin: "Also witzig finde ich das Spiel Fruit-Ninja, das ist ein Handy-Spiel, und damit kann man sich super die Zeit vertreiben."

Ohne Apps wären Smartphones nur halb so spannend: Sie machen das Mobiltelefon zur Wasserwaage. Mit der Barcode-App kann man Preise vergleichen, andere Apps finden heraus, welches Lied gerade im Radio gespielt wird.

Nur leider kann den Applikationen nicht immer getraut werden. Seit einem Jahr prüft das Unternehmen "mediaTest digital" solche Apps am laufenden Meter. Weit über 1000 sind es bereits, und jede dritte, so Sebastian Wolters aus der Geschäftsführung, fällt unten durch:

"Also, da gibt es die schlimmsten Szenarien. Im Prinzip kann alles nach außen gehen, was sich auf dem Telefon befindet. Und wie man sich vorstellen kann, wie man heute das Telefon nutzt, da ist im Prinzip das halbe Leben hinterlegt.

Spannend ist natürlich zu schauen, wo gehen die Daten hin, an welche Server? Ist das nur der App-Hersteller an sich oder sind das vielleicht sogar Vermarkter, die mit den Daten dann wiederum ganz andere Sachen anstellen können? Also da ist im Prinzip momentan noch wirklich freies Land und da kann alles passieren, was man sich so vorstellen kann."

Mit Hilfe der bösartigen Apps können Kriminelle zum Beispiel die Telefonate mitverfolgen und auch die E-Mail-Nachrichten mitlesen. Andere Apps spionieren das Bankkonto und lokale Daten wie Name und Aufenthaltsort aus und erstellen so ein komplettes Nutzerprofil in Echtzeit. Einige Apps fungieren als sogenannte "Bot Clients". In diesem Fall kann das infizierte Smartphone von einem "Bot-Net-Operator" sogar ferngesteuert und zum Beispiel für Kaufaktivitäten missbraucht werden.

Sebastian Wolters: "Also möglich ist erstmals alles, was man an Daten hinterlegt, zu missbrauchen. Ein Beispiel ist: Ich bezahle über per Kreditkarte über eine App. Diese Kreditkartendaten werden unverschlüsselt übermittelt. Jemand "hört mit" in Anführungsstrichen. Ich bin zum Beispiel in einem öffentlichen WLAN-Netz an einem Hotspot . Jemand bekommt diese Daten mit, hat dann meine Keditkartendaten und kann sich fröhlich bedienen."

Man kann es der App von außen leider nicht ansehen, was im Inneren mit den Daten passiert. Bösartige Apps erscheinen zudem völlig harmlos wie etwa die "Taschenlampen-App" oder Spiele-Apps, die wohl nicht zufällig kostenlos sind, in Wahrheit aber die Aufgabe haben, das mobile Telefon nach Strich und Faden auszuspionieren. "mediaTest digital" bietet hier seine Hilfe an. Eine Zielgruppe sind zum Beispiel die Mitarbeiter eines Unternehmens, die ihr eigenes Smartphone auch für die Unternehmenskommunikation nutzen.

Sebastian Wolters: "Da gibt’s diesen Begriff 'bring your own device', dass immer mehr Einzug hält, dass Mitarbeiter ihre eigenen Geräte mitbringen und somit auch ihre eigenen Apps natürlich nutzen. Aber sobald das natürlich in Verbindung mit Unternehmensdaten auf dem Geräten steht, entsteht da ein riesiges Sicherheitsproblem, diese Daten zu schützen. Für diese Unternehmen erstellen wir sozusagen einen abgeschotteten Appstore, den nennen wir Trusted Enterprise Appstore, in dem wirklich nur Apps drin sind, die auch von uns getestet und für sicher eingestuft wurden."

Doch nicht immer sind kritische Apps, die den Datenschutz mit Füßen treten, auch böswillige Apps. Dennis Weber – der Leiter des Prüfungslabors – ruft bei den App-Herstellern an, wenn etwas nicht stimmt:

"Natürlich können Fehler passieren im Rahmen des Projektes. Was schnell fertig werden muss, da passieren auch Fehler. Und sicherlich ist es auch möglich, dass einfach nur geschlampt wird. Das kann passieren. Also dementsprechend muss man sich so ein bisschen darauf verlassen, was die andere Seite sagt. Hat man da die Möglichkeit, dass es ein Update gibt. Dass der Fehler oder wie auch immer man das bewerten möchte, korrigiert wird. Oder sträuben die sich. Und wenn sich gesträubt wird, Ausreden gefunden werden, dann kann man davon ausgehen, dass da eventuell etwas nicht stimmt."

Apptesting.de – das Online-Portal von mediaTest digital – veröffentlicht die Test-Ergebnisse tagesaktuell. Bei fehlerhaften Apps werden die Unternehmen aufgefordert nachzubessern und die kritischen Merkmale abzustellen. Unternehmen wie die Deutsche Bahn, Amazon, die Sparkassen Versicherung, Media Markt und Rewe lassen ihre Apps bei dem hannoverschen Start-up-Unternehmen überprüfen, um ihren Kunden ein Gefühl der Sicherheit zu geben.

Mit "Trusted App" können App-Hersteller auch ein Gütesigel für die Sicherheit erwerben, das dem Nutzer signalisieren soll: Diese App ist vertrauenswürdig.

Sebastian Wolters: "Im Moment bezahlt uns das niemand. Das sind tatsächlich auch Image bildende Maßnahmen für uns. Das heißt, auf Apptesting.de findet man zum Beispiel auch Vergleichstests von Taxi-Apps. Einfach mal so die sechs, sieben Taxi-Apps, die man so findet im Store, im Vergleich. In erster Linie machen wir das tatsächlich auf eigene Kosten."

Wer aus dem Appstore oder von anderswo neue Programme auf sein Smartphone herunterladen möchte, ist also gut beraten, erst einmal nachzuschauen, ob man sich mit der Wunsch-App irgendwelche Probleme einfängt. Keine Chance für Cyberkriminelle.
Mehr zum Thema