S
Steb
Gast
Datenschutz unter Android
Kurz vorweg in eigener Sache:
Mit dem folgendem Text will ich keine Diskussionen über Geheimdienst-Aktivitäten oder die Beschränkung von Freiheitsrechten o.Ä. lostreten. Und ja, ich habe den Thread in der Plauderecke und auch diverse andere gesehen die wegen zu viel Offtopic geschlossen wurden. Und nein, ich will nicht an so einer Diskussion überhaupt teilhaben, dafür ist das Thema zu komplex. Und niemand hier (mich eingeschlossen) hat die ultimative Musterlösung parat. Ich möchte lediglich dazu anregen, kritisch darüber nachzudenken, was man mit seinem Smartphone alles macht.
Ich werde nach bester Möglichkeit sachlich und kritisch die Dinge so betrachten, wie sie sind. Es liegt nicht in meinem Interesse, wenn hier so eine unsachliche Diskussion ausbricht. Sollte das dennoch der Fall werden, möge ein Moderator dem bitte schnellstmöglich ein Ende bereiten, oder mir zumindest die Möglichkeit einräumen, weiterhin meine Stellungnahmen hier zu veröffentlichen, damit auch etwas unerfahrenere Android-Benutzer davon profitieren können. Ich behaupte nicht, dass ich die Weißheit mit Löffeln gegessen habe und jetzt alles darüber weiß. Ich habe jedoch Zeit und Mühe in eine intensive Recherche investiert, die weit darüber hinausgeht, was man von einem Durchschnitts-Post erwarten könnte. Außerdem gibt es scheinbar keinen qualifizierten Thread zu diesem Thema (mehr), das werde ich jetzt ändern.
Zweck dieses Threads:
Hier sollt ihr die Möglichkeit haben, anderen Usern mitzuteilen, wie ihr eure Daten schützt, welche Rechte ihr bei welchen Apps beschränkt etc.. Benutzt ihr beispielsweise die Facebook-App oft? Schreibt hier rein, wie ihr (und welche) Rechte ihr beschränkt habt und die App immer noch läuft.
Aber um nun endlich mal anzufangen:
Hallo alle zusammen,
ich besitze mittlerweile mein drittes Smartphone. Die Technologie ist mittlerweile so weit fortgeschritten, dass neuere Smartphones und Tablets die klassischen PCs teilweise in puncto Leistung und Bedienbarkeit übertrumpfen. Immer mehr Menschen nutzen Android-Smartphones, ein Ende ist vorerst nicht in Sicht. Sie werden zu einer regelrechten Goldgrube, auch für Datensammler.
Im Folgenden werde ich kritisch Stellung zum Thema "Datenschutz unter Android" nehmen, in der Hoffnung, ein besseres Licht darauf werfen zu können. Diese Übersicht richtig sich eher an Neulinge auf diesem Gebiet, langjährige Android-Nutzer und Rooter werden hier kaum etwas neues finden.
Also was genau ist dieses Datenschutz und woher bekommt man es?
Laut Wikipedia meint man damit den Schutz vor missbräuchlicher Datenverarbeitung, Schutz des Rechts auf informationelle Selbstbestimmung, Schutz des Persönlichkeitsrechts bei der Datenverarbeitung oder Schutz der Privatsphäre.(Link)
Aber warum genau sollte man darauf achten? Oder sollte man vielleicht doch nicht? Macht es denn überhaupt einen Unterschied? Kurz gesagt: ja, es macht einen Unterschied. Man wird vielleicht nicht verhindern können, dass groß angelegte Spionageprogramme von Geheimdiensten Zugriff auf die Daten bekommen, aber zumindest kann man verhindern, dass beispielsweise Apps "nach Hause telefonieren" und die Telefon-ID / IMEI, Kontakt-Daten oder den Standort übermitteln.
Warum benötigen Entwickler / Programmierer / Unternehmen überhaupt eure Daten?
Das kann die verschiedensten Gründe haben: natürlich benötigt eure Navigationssoftware euren Standort, um eine Route von eurem Aufenthaltsort zu eurem Ziel zu berechnen und eure Position während der Fahrt anzuzeigen und ggf. noch Internetzugang, falls es sich nicht um eine reine Offline-Navigation handelt. Auch kann es sein, dass das Navi auf die Kontakte (sprich: die Adresse) zugreifen darf, damit ihr nicht jedes Mal per Hand die Adresse eingeben müsst. Auch das ist wohl nachvollziehbar.
Allerdings eröffnet es auch theoretisch die Möglichkeit, sehr private Daten weiterzugeben. Daher sollte man bei Installationen von Apps immer mal einen Blick auf die Berechtigungen werfen. Manch einer ignoriert sie gekonnt, ein anderer achtet peinlich genau auf den Zweck der jeweiligen Berechtigung.
Aber warum werden Daten überhaupt übermittelt?
Beispielsweise werden Bugreports erstellt, dafür ist unter Umständen die Konfiguration des Systems (Android-Version, Gerätetyp...) wichtig. Dadurch erhält der Entwickler die Möglichkeit, solche Fehler gezielt in einer zukünftigen Version seiner App zu beheben.
Andere Apps wollen dadurch die Nutzererfahrung verbessern: wenn eine App (z.B.: ein Launcher) erkennt, dass diese und jene Apps öfter benutzt werden, könnten die entsprechenden Einträge weiter oben im App-Drawer angezeigt werden etc.
Aber Vorsicht: die Sache mit dem Verbessern der Nutzererfahrung ist ein zweischneidiges Schwert. Seriöse Anbieter werden Daten sicher zu diesem Zweck auswerten und ihre Apps dadurch verbessern, aber unter diesem Vorwand lassen sich auch jede Menge Daten sammeln. Je nachdem, welche Berechtigungen eine App hat, lassen sich genug Daten übermitteln, um ein relativ vollständiges Profil von euch zu erstellen. Apps aus unseriösen Quellen könnten diese Daten in großem Maße sammeln und der Entwickler könnte dann diesen Datensatz verkaufen.
Wie erkennt man nun "gute" oder "schlechte" Apps?
Man sollte auch immer zweimal hinschauen, bevor man eine apk manuell (Apps aus unbekannten Quellen) installiert. Folgendes gilt aber auch für Installationen aus dem Play Store:
- Woher stammt die App?
- Wer hat sie entwickelt?
- Ist der Entwickler vertrauenswürdig?
- Wie ist das Feedback zur App?
- Wie viele Leute nutzen sie?
Das Internet, die Daten-Wolke(?)
Wer eine Foto-App braucht, die auf Wunsch die Bilder in die Cloud oder in ein soziales Netzwerk hochlädt, muss der App die entsprechenden Berechtigungen während der Installation gewähren. Und was passiert, wenn sie dort hingelangt sind? Sie können für Freunde freigegeben werden, oder damit man von jedem seiner Endgeräte (PC, Smartphone, Tablet) darauf zugreifen kann. Dabei fallen dann die Daten unter die Datenschutzbestimmungen der jeweiligen Anbieter.
Ein Beispiel für einen Cloud-Speicher ist natürlich Dropbox. Ein Blick in deren Datenschutzbestimmungen könnte darauf hinweisen, was mit euren Fotos, und Dokumenten etc. passiert, wenn ihr sie dort hochladet. Doch bevor das passiert erfasst Dropbox erst einige personenbezogene Daten, z.B. Name, Telefonnummer, Kreditkarteninformationen, E-Mail-Adresse und die Postanschrift (geschäftlich und privat). Zusätzlich werden Protokolldaten wie die IP-Adresse, den Browser, die Suchanfragen, Standorteinstellungen, IDs der Geräte, Zeit und Datum des Zugriffs, Informationen zur Systemkonfuguration und Metadaten erfasst.
All diese Informationen möchte Dropbox laut Datenschutzbestimmungen verwenden, um die Nutzererfahrung zu personalisieren und ihren Dienst zu verbessern. Letzteres ist nicht genauer definiert, also könnte theoretisch auch folgendes passieren: Dropbox speichert eure Daten, um ein umfassendes Profil von euch zu erstellen und den Service zu verbessern (Bis hierhin durchaus verständlich und eine gängige Praxis), gibt aber später eure Daten Werbeunternehmen preis, damit diese personalisierte Werbung schalten können um z.B. zum Kauf von bestimmten Produkten zu verleiten (neutral betrachtet ist Werbung natürlich vollkommen legitim.). Im schlimmsten Fall geratet ihr in ein Abonnement und dürft kräftig draufzahlen. An dieser Stelle endet meine Spekulation. Dieses drastische Beispiel ist nur der Deutlichkeit halber gewählt. Realistisch betrachtet dürfte so etwas nahezu gar nicht vorkommen!
In den AGBs von Dropbox sieht man, dass sie sich Änderungen daran vorbehalten. Glücklicherweise wird man im Falle einer "wesentlichen Veränderung" per Mail benachrichtigt.
Diesen Umstand sollte man immer im Auge behalten, und zwar nicht nur bei Cloud-Speichern. Sonst muss man regelmäßig die AGBs der jeweiligen Unternehmen durcharbeiten, um überhaupt mitzukriegen, falls dort eine Kehrtwende weg von der ursprünglichen Funktion hin zum Werbeunternehmen stattfinden sollte. Dieses Beispiel ist recht unrealistisch, wurde aber zur Verdeutlichung so gewählt.
Ein allgemeinerer Punkt wie bei nahezu allen Unternehmen ist, dass die Daten offengelegt werden dürfen, sofern ein gerichtliches Urteil besteht oder um geltende Gesetze einzuhalten. Wie diese Regelungen genau aufgebaut sein müssen, wird nicht näher beschrieben, weshalb sich dort auch potenziell Spielraum befindet, indem Daten weitergegeben werden könnten. (Diese Regelung hat natürlich auch Vorteile: dadurch sollen beispielsweise Straftäter schneller überführt werden können.)
Dieses Schema lässt sich auch auf andere Cloud-Lösungen übertragen.
Wie schränkt man nun konkret die Übermittlung von Daten und Rechte ein?
Mit einer Firewall lässt sich der Internetzugang bestimmter Apps blockieren. Selbst wenn die App auf eure Kontakte zugreifen kann, wird sie sie nicht übertragen können.
Ab Android 4.3 bietet sich die Möglichkeit der "App Ops", also der gezielten Überwachung (und ggf. der Entziehung) von App-Berechtigungen.
Bei Android 4.4.2 braucht man jedoch Root-Rechte (mehr dazu weiter unten).
Braucht die Facebook-App wirklich euren Standort? Vielleicht dann, wenn man ihn mit Freunden teilen möchte. Auch dann, wenn man beim Posten gar keinen Ort explizit angibt? Ja, auch dann greift Facebook auf den Standort zu. Ob das wirklich sein muss, ist jedem selbst überlassen.
Das klassische Argument gegen Datenschutz ist: Ich habe ja nichts zu verbergen. Befürworter hingegen nennen immer Gründe wie: Die wollen ja eh alle nur unsere Daten und verkaufen sie dann.
Die Wahrheit liegt wie üblich irgendwo dazwischen.
Viren-Scanner und Security-Suites
AV comparatives hat in ihrer Mobile Security Review vom August 2013 auf insgesamt 61 Seiten 16 verschiedene Security Suites getestet, darunter avast!, BitDefender, F-Secure und Kaspersky. Hier wurden Reviews zu den verschiedenen Apps sowie deren Besonderheiten etc. veröffentlicht. Dabei lässt sich natürlich nicht sagen, diese und jene App sei die Beste, es gilt auch hier, abzuwägen, welche Lösung am besten zu den eigenen Bedürfnissen passt.
Hier im Forum könnt ihr darüber diskutieren.
Google Wohltäter oder Datenkrake?
Als Mit-Initiator und Hauptentwickler von Android ist Google natürlich sehr präsent auf dem Betriebssystem. Das beginnt dabei, dass bereits beim Kauf eines neuen Gerätes Google Apps (kurz: GApps) darauf vorhanden sind, beispielsweise die Google-Suche (Google Now), YouTube und G+. Jede dieser Apps hat seine Daseinsberechtigung, da sie für den Anwender einige Vorteile bei der Nutzung der Google-Dienste haben.
Allerdings speichern und übertragen viele der GApps Daten an Google, laut eigener Aussage wieder zum Zweck der "Verbesserung dieser Dienste". Vielerorts wird das Unternehmen abwertend als "Daten-Krake" bezeichnet, aufgrund der schieren Menge an aggregierten Daten und dem scheinbar unbändigem Verlangen, neue Daten zu bekommen. Gleichzeitig trägt es maßgeblich zur Weiterentwicklung von Android und dessen Ökosystem bei, oft zur Zufriedenheit der Kunden.
Mit jeder neuen Iteration von Android wird die Funktionalität oder Sicherheit verbessert.
Tatsächlich scheint es keine einzige seriöse und faktenhaltige Quelle zu geben, die zeigt, dass Google Daten direkt verkauft. Es finden sich lediglich hunderte Artikel und News zu Googles Datenschutz. Denn eines ist nach wie vor gleich: Google ist ein Werbeunternehmen, dass sich auch größtenteils dadurch finanziert. Inwiefern Daten an Dritte weitergegeben werden oder auch nicht, ist dabei eine andere Sache.
Und mit Root-Zugriff?
Potenziell birgt das Rooten natürlich die Gefahr, dass die Sicherheit unter Android massiv abnimmt.
Recherchiert man aber etwas, gibt es einige Möglichkeiten, sein Smartphone datenschutztechnisch noch weiter abzuschotten: z.B. Das Xposed-Framework in Kombination mit den Modulen Xprivacy oder App Settings, die über das Framework bezogen werden können.
Eine andere Möglichkeit sind die weiter oben erwähnten App Ops. Ab 4.4.2 Kitkat wurde die versteckte Einstellung wieder entfernt, weshalb man zusätzlich eine App installieren muss.
Wer eine neuere Version des beliebten Custom Roms CyanogenMod aufgespielt hat, bekommt in den Einstellungen eine zusätzliche Option "Datenschutz", wo mit einem Klick den Apps der Zugriff auf SMS, Kontakte, Telefon-Log und ID sowie auf den Standort entzogen werden kann.
Auch lässt sich diese Option für neu installierte Apps automatisch einstellen.
Fazit:
Es gibt vielfältige Möglichkeiten, beispielsweise Rechte von Apps oder deren Datenübertragung einzuschränken. Hin und wieder ist es nötig, Apps auf Daten zugreifen zu lassen, damit sie ihren Zweck auch erfüllen können. Und manchmal ist es schlicht und ergreifend unnötig, denn einige Apps funktionieren auch einwandfrei mit eingeschränkten Rechten.
Letztendlich bleibt es euch selbst überlassen, wie ihr euer digitales Leben auf eurem Android-Smartphone gestaltet, trotzdem ist es nicht schlecht, mal über den Tellerand zu blicken und zu hinterfragen, was so alles auf dem Smartphone vor sich geht...
Meine persönliche Meinung:
(befindet sich in einem Spoiler, da sie für das eigentliche Thema irrelevant ist.)
Seit einiger Zeit achte ich sehr auf Datenschutz. Ich prüfe wo es geht, ob ich die Rechte der Apps einschränken kann oder ggf. eine Alternative mit weniger Berechtigungen bekomme. Ich gehöre jetzt nicht zu denjenigen, die komplett ohne Play Store etc. auskommen wollen, das finde ich schon ein wenig zu paranoid. Aber ich beneide ein wenig diejenigen, die nichts davon mitbekommen oder denen es egal ist. Sie können sämtliche Apps etc. in vollem Umfang nutzen, gleichzeitig finde ich es aber auch schade, dass nicht mehr Menschen darauf achten, wohin ihre persönlichen Daten gehen. Ich war früher nie jemand, den das sonderlich interessiert hat, auch ich habe die AGBs akzeptiert, ohne sie gelesen zu haben. Seien wir mal ehrlich, wer hat das nicht? Ich jedoch bin glücklicher damit, wenn ich weiß, dass meine Daten nicht übertragen werden.
Für mich persönlich gilt: bei mir sind meine Daten am sichersten.
Für mich persönlich gilt: bei mir sind meine Daten am sichersten.
P.S.: diese Anleitung wird ggf. noch überarbeitet und ergänzt.
Link-Sammlung zum Thema Datenschutz allgemein und unter Android:
Android Sicherheit Antivirus, Firewalls A-H.de
Android Apps niemals blind vertrauen Focus
Exkurs: App-Berechtigungen bei Android Bundesamt für Sicherheit und Informationstechnik
[4.3+] [Root] App ops for Root xda-developers
Google entfernt App-Berechtigungstool in Android 4.4.2 zdnet
Internetauftritt des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
www.datenschutz.de Virtuelles Datenschutzbüro
Datenschutz: Alle Artikel und Hintergründe Spiegel
Internetauftritt der datenschutz-cert
Thema Datenschutz heise
Anhänge
Zuletzt bearbeitet von einem Moderator: