Smartphones App-solutes Risiko

Viele Smartphone-Apps weisen zum Teil gravierende Sicherheitsprobleme auf, wie eine Studie zeigt. Unter den populärsten Apps fiel sogar jede Dritte durch den Test. Experten rufen nach dem Gesetzgeber - und warnen die Nutzer vor Leichtsinn.
Von Christopher Krämer
Smartphones: Nutzer installieren im Schnitt 23 Apps auf ihren Geräten. Doch offenbar sind viele der Programme nicht sicher

Smartphones: Nutzer installieren im Schnitt 23 Apps auf ihren Geräten. Doch offenbar sind viele der Programme nicht sicher

Foto: Apple / Samsung Handout/ picture alliance / dpa

Hamburg - Eine Milliarde Nachrichten pro Tag: Die Smartphone-App WhatsApp zum Versenden und Empfangen von kostenlosen Kurznachrichten war auf bestem Wege, die SMS überflüssig zu machen. Doch im September schreckten Medienberichte die User auf: die Nutzerkonten ließen sich relativ leicht durch Dritte kapern.

Sicherheitslecks bei Apps - neu ist diese Entwicklung nicht. Schon im Juni schlug Stiftung Warentest Alarm: Bei einem Test von 63 Programmen wurden 9 Applikationen als "sehr kritisch" und weitere 28 als "kritisch" bewertet. Erst vor wenigen Tagen warnte die Verbraucherschutzministerin Ilse Aigner: "Zahlreiche Smartphone-Apps greifen auf Daten zu, die sie für ihren eigentlichen Zweck gar nicht brauchen", kritisierte die Ministerin.

Wie häufig diese Fälle sind, war bislang unklar. Nun zeigt eine neue Studie eines auf App-Sicherheit spezialisierten Unternehmens: Offenbar sind viel mehr Programme betroffen als gedacht.

Das Unternehmen Media Test Digital hat in den vergangenen zwei Jahren rund 900 Apps für Apples Betriebssystem iOS und für Googles Android getestet. Jede dritte App wies zum Teil gravierende Sicherheitsmängel auf: Sie übermittelte ungefragt sensible Nutzerdaten wie Gerätenummern oder den Standort, sendete vom Nutzer bestätigte Daten unverschlüsselt oder schickte Daten des Nutzers an fragwürdige Empfänger wie Werbetreibende.

Jede dritte App fiel durch

Unter den betroffenen Apps finden sich prominente Beispiele aus den vergangenen Monaten: So verstieß beispielsweise die App der Airline Easy Jet genauso gegen die Testkriterien wie auch das Programm des Urlaubsvergleichsportals Expedia  oder die Applikation des Fußball-Magazins "11 Freunde".

Die Kriterien für die drei- bis viertägigen Tests pro Applikation stammen von Media Test Digital selbst. "Bislang gibt es keine international gültigen Standards, um die Sicherheit von Apps zu beurteilen", sagt Sebastian Wolters, CEO von Media Test Digital. Es handele sich aber um offensichtliche Verstöße gegen die Datensicherheit. Viele andere Programme verletzten die Kriterien zwar nicht, sind aber ebenfalls problematisch: "Wenn wir das deutsche Bundesdatenschutzgesetz zum Maßstab nehmen würden, würden 70 bis 80 Prozent der Apps durch den Test fallen", sagt Wolters.

Repräsentativ ist die Untersuchung allerdings nicht. Schließlich hat Media Test Digital nur rund 900 Apps getestet. Insgesamt sind aber für iOS und für Android jeweils rund 700.000 Applikationen erhältlich. Doch die Auswahl basiert auf einem wichtigen Wert: Der Downloadzahl. Damit deckt die Statistik die bei Nutzern beliebtesten Applikationen ab.

Rückgang bei Apple, Zuwachs bei Google

Von den Problemen sind Apple und Google gleichermaßen betroffen. Allerdings verläuft die Entwicklung gegenläufig. Bei Apple verstieß im Jahr 2012 etwas mehr als ein Viertel der getesteten Anwendungen gegen die Testkriterien. Im Jahr 2011 hatte dieser Anteil noch bei rund 33 Prozent gelegen.

Anders sieht die Entwicklung bei Googles Betriebssystem Android aus: Hier stieg die Zahl der betroffenen Programme von rund 33 Prozent im Jahr 2011 noch einmal deutlich auf fast 44 Prozent im Jahr 2012 an.

Apps sind für viele Nutzer aus ihrem Alltag nicht mehr wegzudenken. Die kleinen Programme haben sich in kurzer Zeit rasant verbreitet. Mitte des Jahres überschritt die Zahl der Downloads bei Apples App Store die Marke von 30 Milliarden. Im Jahr 2011 haben allein die deutschen Nutzer rund 962 Millionen Apps auf ihre Smartphones geladen.

Laut einer Studie des Branchenverbands Bitkom hat jeder Smartphone-Nutzer in Deutschland im Schnitt rund 23 Apps installiert. Der überwiegende Teil der Programme sind für die Nutzer kostenlos und finanzieren sich zum Beispiel durch Werbung. Anfang des Jahres schätzte Bitkom den Anteil der kostenpflichtigen Applikationen auf rund 12 Prozent. Der Umsatz durch Verkaufserlöse und Werbung ist stark gestiegen: Er lag in Deutschland im vergangenen Jahr bei rund 210 Millionen Euro, dies entsprach einem Anstieg von 123 Prozent zum Vorjahr.

Peter Schaar: "Die Situation muss sich grundlegend ändern"

Die Testergebnisse halten einige Experten für erschreckend. "Diese Entwicklung ist sehr bedenklich", sagt Lina Ehrig, Referentin für Telekommunikation, Post und Medien beim Bundesverband der Verbraucherzentralen. Die Zahlen zeigen, dass die Sicherheit von Applikationen eine große Herausforderung darstellt", sagt Arne Schönbohm, Vorsitzender der BSS AG und Präsident des deutschen Cyber-Sicherheitsrats. Auch der Bundesdatenschutzbeauftragte Peter Schaar hält den Zustand für nicht akzeptabel: "Diese Situation muss sich grundlegend ändern", sagt Schaar.

Denn gegenwärtig gehen Nutzer von unsicheren Apps hohe Risiken ein. Im schlimmsten Fall verlieren sie die Kontrolle über ihre persönlichen Daten. Das ist auch deswegen ein Problem, weil Smartphones in immer größeren Maße in persönlichen Lebensbereichen zum Einsatz kommen. "Es geht dabei um sensible Daten. Das gilt besonders, weil zum Beispiel mobile Banking und elektronisches Bezahlen mit dem Smartphone immer wichtiger werden", sagt Lina Ehrig vom Bundesverband der Verbraucherzentralen. Geraten solche Daten in die falschen Hände, kann das teuer werden.

"Nutzer gehen ein handfestes finanzielles Risiko ein, wenn sie unsichere Apps auf ihrem Smartphone installieren. Das gilt zum Beispiel, wenn Passwörter oder die elektronische Identität entwendet werden", sagt IT-Sicherheitsexperte Arne Schönbohm. Dann kann es zum Beispiel passieren, dass Dritte unter falschem Namen Waren bestellen. "Online-Versandhäuser können Muster erkennen, wenn beispielsweise plötzlich bestimmte, wiederverkaufbare Güter wie Parfüm zu kriminellen Zwecken an eine neue Adresse geschickt werden, vielleicht sogar ins Ausland. Völlig sicher sind diese Systeme aber nicht", warnt Schönbohm.

"Das Risiko ist enorm"

Auch für Unternehmen sind unsichere Apps ein Risiko, wenn Mitarbeiter solche Programme auf ihre Firmen-Smartphones laden. "Hacker können über dieses Einfallstor in das Firmennetzwerk gelangen und dort sensible Daten stehlen", sagt Schönbohm. Diese Gefahr sieht Sebastian Wolters von Media Test Digital auch: "Das Risiko ist angesichts der Vielzahl von Sicherheitslücken enorm, sensible Firmendaten zu verlieren", sagt Wolters.

Warum aber bestehen überhaupt so viele Sicherheitsprobleme? In vielen Fällen handelt es sich schlicht um Fehlfunktionen. Android ist dabei im Nachteil gegenüber Apples geschlossenem System iOS. "Für Entwickler von Android-Apps ist der Aufwand gewaltig, weil sie ihre Applikationen auf eine Vielzahl von Endgeräten anpassen müssen", sagt Wolters. Deshalb könne es vorkommen, dass zum Beispiel die Verschlüsselung von Daten nicht zuverlässig funktioniere. Zum anderen kommen die meisten Apps nicht aus Deutschland. Viele Entwickler denken deshalb gar nicht in den Kategorien des deutschen Datenschutzgesetzes.

Können Apple und Google eine effektive Überprüfung überhaupt leisten?

Experten sehen auch die Betreiber der App-Shops in der Pflicht. Schließlich behalten sowohl Google als auch Apple rund 30 Prozent des Kaufpreises jeder Applikation. "Die Verbraucher sollten erwarten dürfen, dass die Apps sicher sind, die sie im Store von Apple oder Google downloaden", sagt Ehrig. "Verstößt eine App gegen datenschutzrechtliche Vorgaben, sollte der Dienst nicht in den App-Store aufgenommen werden", sagt der Bundesdatenschutzbeauftragte Peter Schaar.

Eigentlich müssen Apple und Google selbst ein Interesse daran haben, die Sicherheitsstandards noch besser zu überwachen. "Beide müssen erkennen, dass sie langfristig ihr Geschäftsmodell mit Apps gefährden, wenn die Sicherheitsprüfungen nicht besser werden", sagt Arne Schönbohm.

Fraglich ist aber, ob die Unternehmen dies überhaupt leisten können, angesichts der schieren Masse von Apps. Wie intensiv die Kontrollen ausfallen, ist unklar. Bei Apple sollen diese Tests zeitlich schwanken, von wenigen Minuten bis mehreren Tagen. Bei Google gibt es überhaupt keine Zulassungstests, aber das Unternehmen prüft bereits veröffentlichte Apps auf Schadsoftware.

Google und Apple blocken ab

"Bei der Masse an Anwendungen und Updates können Apple oder Google eine genaue Prüfung nicht gewährleisten", sagt Sebastian Wolters. Beide Unternehmen schließen eine Haftung für Inhalte von Drittanbietern in den Nutzungsbedingungen ihrer App-Shops aus. Bei Googles Android kommt hinzu, dass User die Programme von einer Vielzahl von App-Shops beziehen können.

Google sagte zunächst eine Stellungnahme zu den Zahlen von Media Test Digital zu. Trotz mehrmaliger Nachfragen blieb der Konzern jedoch schließlich stumm.

Apple lehnte gegenüber manager magazin online eine Stellungnahme ab. Auch allgemeine Fragen, inwiefern Apple neue Applikationen testet, bevor sie im App Store angeboten werden, wollte das Unternehmen nicht beantworten.

Das Problem scheint dem Konzern aber bewusst zu sein. So hat Apple im März neue Richtlinien erlassen, wonach Applikationen nicht mehr in den App Store gelangen, wenn sie eindeutige Gerätenummern versenden. Das scheint auch der Grund zu sein, warum die Zahl von Verstößen bei Apples iOS insgesamt rückläufig ist. Doch fehlerfrei scheint dies nicht zu funktionieren: Auch nach der Verschärfung der Richtlinien hat Media Test Digital genau solche Verstöße festgestellt, sagt Wolters.

Verbraucherzentrale: Im Zweifel lieber auf eine App verzichten

Deshalb warnen Experten vor Leichtsinn. Schließlich sind es die User, die vor dem Download ihr Einverständnis zu den Zugriffsrechten der Apps erklären müssen. "Die Nutzer sollten viel kritischer sein, wenn sie eine App auf ihrem Smartphone installieren", sagt Arne Schönbohm. Im Zweifel sollten sie lieber auf eine Anwendung verzichten, sagt Lina Ehrig. Auch Zertifikate oder Prüfsiegel seien kein Freifahrtschein, auf den sich die Verbraucher blind verlassen könnten.

Manche Experten fordern, dass der Gesetzgeber aktiv wird. "Wenn die Unternehmen von sich aus nicht bessere Sicherheitsstandards entwickeln, muss der Gesetzgeber sie definieren und durchsetzen", sagt Lina Ehrig.

"Nötig wäre ein verlässliches Sicherheits-Gütesiegel, das den Nutzern als Orientierung dienen könnte", sagt Schönbohm. Media Test Digital versucht derzeit ein solches mit einem "Trusted App-Zertifikat" zu etablieren. Der Bundesdatenschutzbeauftragte Peter Schaar hält verbindliche Vorgaben zu Datenschutz und zu Voreinstellungen der Programme für sinnvoll. Der Vorschlag der Europäischen Kommission für eine Reform des europäischen Datenschutzrechts gehe genau in diese Richtung, lobt Schaar.

Bei einer Anhörung im Bundestag Ende Oktober zeigten sich viele Experten allerdings skeptisch - ob und wann dieser Vorschlag umgesetzt werden könnte, ist unklar.

Bis dahin sollten Nutzer genau darauf achten, welche Anwendungen sie nutzen und welche Zugriffsrechte sie den Programmen geben. Es ist unwahrscheinlich, dass WhatsApp das letzte prominente Beispiel für unsichere Apps bleiben wird. "Wir stehen erst am Anfang einer Entwicklung", sagt Sebastian Wolters.

Mehr lesen über
Die Wiedergabe wurde unterbrochen.