Datenschutz Wie sicher sind App Stores?
Es wird schon viel getan, um Smartphone-Nutzern zuverlässige Apps zu bieten – aber nicht alles, was sinnvoll wäre. Eine StZ-Umfrage zeigt die Stärken und Schwächen der verschiedenen App Stores.
Stuttgart - Smartphone-Nutzer müssen bei der Installation einer App darauf vertrauen können, dass diese sicher ist. Dass sie keinen Schaden auf dem Handy verursacht, nur die erforderlichen Daten nutzt und in den Funktionen das hält, was sie verspricht. Längst gibt es nicht mehr nur App-Stores von den großen Smartphone-Herstellern Apple, Blackberry, Google und Microsoft. Amazon hat vor zwei Jahren einen Store für Mobile Apps eingerichtet. Der Software-Hersteller Opera hat den Nokia-App-Store übernommen, und die Plattform Mobiload bietet ebenfalls Mobile-Apps für jeden Geschmack.
Die europäische Behörde für Netzwerk- und Informationssicherheit (Enisa) hat 2011 fünf Kriterien entwickelt, mit denen sich die Sicherheit von App-Stores einschätzen lässt: Erstens müssen die App-Stores die Apps überprüfen, bevor sie diese zum Download anbieten. Zweitens sollte der Anwender erkennen können, ob die App und ihr Entwickler über einen guten Ruf verfügen. Die Enisa schlägt vor, Sicherheits- und Datenschutzfragen bei App-Bewertungen separat zu berücksichtigen. Auch sollte die Qualität des Entwicklers angezeigt werden. Drittens sollten App-Stores über Rückrufmechanismen verfügen, über die sie Apps zentral zurückrufen können, falls diese nicht in Ordnung sein sollten. Für optimal hält es die Enisa, wenn der App-Store-Betreiber problematische Apps automatisch deinstallieren kann.
Die vierte Enisa-Empfehlung betrifft die Absicherung der Apps auf dem Gerät: So sollten die Smartphones die Apps nur in einem „Sandkasten“ laufen lassen. Das bedeutet, dass eine Anwendung nur die notwendigsten Rechte erhält und dass die App-Aktivitäten protokolliert werden. Fünftens schließlich empfiehlt die Enisa den Smartphone-Herstellern, den Smartphones nur den Zugriff auf ausgewählte, vertrauenswürdige App-Stores zu erlauben. Diese Einschränkungen sollten aber nicht über die Maße einen legitimen Wettbewerb einschränken, um die Anwender davon abzuhalten, diese zu deaktivieren.
Hacker haben es oft auf Android-Apps abgesehen
Wie unsere Übersicht zeigt, können die etablierten App-Store-Anbieter beim ersten und dritten Kriterium punkten, während die kleinen und alternativen Plattformen von Opera und Mobiload klare Defizite zeigen. Es gibt überdies alternative Marktplätze wie Blackmart, die inzwischen für gehackte und raubkopierte Anwendungen bekannt wurden: Dort laden kriminelle Entwickler etwa beliebte Anwendungen wie das Spiel „Angry Birds“ hoch, die sie zuvor mit einem Schadprogramm versehen haben. Die Schadsoftware kann etwa bewirken, dass das Handy SMS-Nachrichten an kostenpflichtige Anbieter in Osteuropa verschickt und damit teure Abos auslöst.
Besonders Android-Anwendungen wurden zuletzt zunehmend von Hackern manipuliert, da sie über verschiedene App-Stores verbreitet werden. Gleichwohl sind Nutzer auch auf dem Google Play Store nicht völlig vor bösen Überraschungen sicher: So wurde erst vor wenigen Monaten ein Schadprogramm entdeckt, das sich bereits zum zweiten Mal in Googles Play Store eingeschlichen hatte. Sie hatte Googles Sicherheitsprüfung, die gefährliche Software in Apps automatisch erkennen soll, ausgetrickst und außerdem eine Sicherheitslücke im Android-Betriebssystem genutzt. Wichtig ist daher, dass Android-Nutzer ihr Betriebssystem laufend auf dem aktuellsten Stand halten.
Die Tabelle zeigt überdies, dass bisher kein App-Store das zweite Kriterium der Enisa vollständig umgesetzt hat: Zwar gibt es weithin Anmeldemechanismen für App-Entwickler, um ihre App hochladen zu können, und Registrierungsprozesse für Nutzer, um Bewertungen abzugeben, doch die Bewertungen selbst berücksichtigen bis jetzt nicht gesondert die Sicherheits- und Datenschutzfragen. Auch erfährt der Nutzer nichts darüber, ob ein App-Entwickler durchweg gute Qualität abliefert. Hier gibt es noch deutlichen Nachbesserungsbedarf.
Auch der „Sandkasten“ kann unsicher sein
Alle großen Smartphone-Hersteller lassen die Apps in einem „Sandkasten“ laufen. Doch auch hier werden immer wieder Sicherheitslücken entdeckt. So wurde zuletzt im Januar bekannt, dass die Betriebssystem-Schutzfunktion von Apple über eine Schwachstelle verfügt, die Apple schon zweimal nachbessern musste. Ob Apples Betriebssystem iOS sicherer als Android ist, lässt sich nur schwer einschätzen, da Apple Informationen über Schadsoftware nicht freiwillig veröffentlicht.
Die Beschränkung auf bestimmte App-Stores, wie es die Enisa in ihrem fünften Kriterium verlangt, führt Apple am härtesten durch: Nur der eigene App-Store darf angesteuert werden. Andere Gerätehersteller sehen das ein wenig lockerer: Samsung bietet für seine Galaxy-Serie inzwischen eigene Apps, schließt jedoch Apps von anderen App-Stores nicht aus. Den Gegenpol bildet Google: Das Android-Betriebssystem ist samt Apps für alle geöffnet. Eine Beschränkung auf „vertrauenswürdige“ App-Stores gibt es in der Android-Welt bislang nur selten, zumal es auch fünf Jahre nach den Enisa-Empfehlungen keine Zertifizierung für App-Stores gibt.
Für eine höhere Auflösung klicken Sie bitte auf die Tabelle.