Von 63 geprüften Anwendungen stuft die Stiftung Warentest 28 unter Datenschutzgesichtspunkten als kritisch ein. Weitere 9 sehen die Tester sogar als sehr kritisch an - darunter so populäre Apps wie WhatsApp, Facebook, Foodspotting, iTranslate oder Clever tanken

Berlin. Wie gefährlich sind Smartphone-Apps? Zwar sind die kleinen Programme im Alltag nützlich, dafür zahlen Nutzer aber oft mit ihrer Privatsphäre. Von 63 geprüften Anwendungen stuft die Stiftung Warentest 28 unter Datenschutzgesichtspunkten als kritisch ein. Weitere 9 sehen die Tester sogar als sehr kritisch an - darunter so populäre Apps wie WhatsApp, Facebook, Foodspotting, iTranslate oder Clever tanken. Die sehr kritischen Anwendungen senden persönliche Daten wie Namen, Telefonnummern, E-Mail-Adressen oder auch Passwörter nicht anonymisiert beziehungsweise unverschlüsselt an die Server des jeweiligen Anbieters – meist ungefragt, erläutert die Zeitschrift „test“ (Ausgabe 6/12). Das ist nach Einschätzung der Tester nicht nur unsicher, sondern auch unnötig.

Bei den kritischen Apps werden – wie zusätzlich auch bei vielen sehr kritischen Apps – unnötigerweise Benutzungsstatistiken der App oder die Gerätekennung des Smartphones ohne Wissen des Nutzers übertragen. Mit Hilfe der Kennung lassen sich die von verschiedenen Apps übermittelten Informationen einem konkreten Handy zuordnen. So können der Anbieter der App oder Analyse- und Werbenetzwerke, an die die Daten weitergereicht werden, Nutzerprofile erstellen, zum Beispiel für individuelle Werbung. Wem was gemeldet wird, bleibt dem Nutzer ebenso verborgen wie Speicher- oder Löschfristen der mobilen Datensammler wie Flurry, Localytics oder Mobclix.

Weil bei einer unverschlüsselten Übertragung in einem ungesicherten WLAN-Netzwerk Angreifer leicht mitlesen können, raten die Tester, sehr kritische Apps nicht in öffentlichen Hotspots zu nutzen. Wird für Apps ein Passwort benötigt, sollten Nutzer auf keinen Fall dasselbe nutzen wie fürs Onlinebanking oder den E-Mail-Account.

Medienapps geben Daten an Dritte weiter

Zahlreiche Anwendungen für Smartphones und Tablets von öffentlich-rechtlichen Radios, privaten Fernsehsendern und Verlagen geben ungefragt Daten an Dritte weiter. Das ergaben Recherchen des NDR-Medienmagazins ZAPP. Ohne ausreichende Information und Einwilligung der Nutzer gelangten Daten wie die Seriennummer des Smartphones an IT-Firmen, in einigen Fällen auch an Marketingfirmen, das Online-Netzwerk Facebook oder an Google.

Bei Smartphones und Tablet-Computern werden Seriennummern unter anderem dazu verwendet, bezahlpflichtige Inhalte an ein bestimmtes Gerät zu koppeln. Das betrifft nicht nur Medien-Apps, sondern auch Spiele und andere Anwendungen. Außerdem können unter Umständen Werbenetze die Seriennummer auswerten, um den Anwendern personalisierte Anzeigen zu präsentieren.

Die Tester von ZAPP hatten hundert kostenfreie Medien-Apps aus dem iTunes Store von Apple untersucht. Dabei wurde deutlich, dass beispielsweise die Radio-Apps von WDR, NDR und BR die eindeutige Gerätekennung, kurz UDID, an eine Entwicklerfirma übermitteln. Mit dieser UDID kann das iPhone oder iPad nach Einschätzung von IT-Experten immer eindeutig identifiziert werden. Apple hatte unlängst angekündigt, mit dem neuen Mobil-Betriebssystem iOS 5 den Zugriff der Apps auf die UUID unmöglich zu machen.

Anwendungen wie die ARD-Tagesschau-App oder die ZDF-Mediathek-App übertragen den ZAPP-Testern zufolge keine Daten an Dritte. Bei der RTL-App „Pole Position“ zur Formel Eins werde hingegen die eindeutige Gerätekennung an ein Tochterunternehmen von Google weitergegeben. RTL erklärte gegenüber ZAPP, dass die Daten lediglich zur Geräteerkennung dienen und nicht verknüpft, gespeichert oder ausgewertet würden. RTL arbeite aber daran, das Verfahren durch anonymisierte Mechanismen zu ersetzen.

Ähnlich äußerte sich auch der Heise-Verlag, der die Seriennummer des Smartphones oder Tablet-Computers dazu verwendet, ein Abonnement für seine Zeitschriften zu identifizieren. „Die Daten werden zur Verarbeitung im Verlag aber anonymisiert, außerdem werden sie keinesfalls an Dritte weitergegeben“, erklärte Heise. In der nächsten Version der App werde die Nutzung der UDID zur Abo-Kennung entfernt.

Der Bayerische Rundfunk betonte, der Vertragspartner Tobit, der die BR-Radio-App betreibt, habe erklärt, dass die Geräte-Identität „weder ausgewertet noch archiviert“ und sofort anonymisiert werde. Die Gerätekennung sei nur ein Nachweis für Installationszahlen. Personenbezogene Daten würden anderen Firmen nicht zur Verfügung gestellt. Der BR entwickele derzeit selbst eine neue Version der BR-Radio-App. Der WDR, für den ebenfalls Tobit die Radio-App entwickelte, erklärte, sie greife bei der aktualisierten iPad-Version bereits nicht mehr auf die UDID zu; bei der iPhone-App werde dies bei der nächsten Erneuerung geschehen. „Wir haben keine Anhaltspunkte dafür, dass TOBIT die Daten vertragswidrig an Dritte weiterleitet“, betonte der WDR.