Von 63 geprüften Anwendungen stuft Stiftung Warentest 28 als kritisch ein. Darunter auch populäre Apps wie Whatsapp oder Facebook. Zu den übertragenen Daten gehören den Angaben zufolge Passwörter, Inhalte von Adressbüchern mit echten Namen, realen Telefonnummern und E-Mail-Adressen.

Berlin. Viele Apps übertragen persönliche Informationen von Smartphone-Besitzern ungesichert und nicht anonymisiert an kommerzielle Datensammler. Das fand die Stiftung Warentest bei einem Test der Datensicherheit von 63 beliebten Anwendungen für Smartphones heraus, wie Stiftungsvorstand Hubertus Primus am Donnerstag in Berlin mitteilte.

Zu den übertragenen Daten gehören den Angaben zufolge Passwörter, Inhalte von Adressbüchern mit echten Namen, realen Telefonnummern und E-Mail-Adressen. Die Ergebnisse und die Namen der neun „sehr kritischen“, 28 „kritischen“ und 26 „unkritischen“ Apps wurden in der Juni-Ausgabe der Zeitschrift „test“ veröffentlicht.

Die Tester forderten ein Umdenken der Anbieter kritischer Programme. „Eine App sollte den Kunden nicht heimlich ausspähen, und Namen, Telefonnummern, E-Mail-Adressen sollten anonymisiert werden“, sagte Primus.

Bei Smartphones und Tablet-Computern werden Seriennummern unter anderem dazu verwendet, bezahlpflichtige Inhalte an ein bestimmtes Gerät zu koppeln. Das betrifft nicht nur Medien-Apps, sondern auch Spiele und andere Anwendungen. Außerdem können unter Umständen Werbenetze die Seriennummer auswerten, um den Anwendern personalisierte Anzeigen zu präsentieren.

Die Tester von ZAPP hatten hundert kostenfreie Medien-Apps aus dem iTunes Store von Apple untersucht. Dabei wurde deutlich, dass beispielsweise die Radio-Apps von WDR, NDR und BR die eindeutige Gerätekennung, kurz UDID, an eine Entwicklerfirma übermitteln. Mit dieser UDID kann das iPhone oder iPad nach Einschätzung von IT-Experten immer eindeutig identifiziert werden. Apple hatte unlängst angekündigt, mit dem neuen Mobil-Betriebssystem iOS 5 den Zugriff der Apps auf die UUID unmöglich zu machen.

Anwendungen wie die ARD-Tagesschau-App oder die ZDF-Mediathek-App übertragen den ZAPP-Testern zufolge keine Daten an Dritte. Bei der RTL-App „Pole Position“ zur Formel Eins werde hingegen die eindeutige Gerätekennung an ein Tochterunternehmen von Google weitergegeben. RTL erklärte gegenüber ZAPP, dass die Daten lediglich zur Geräteerkennung dienen und nicht verknüpft, gespeichert oder ausgewertet würden. RTL arbeite aber daran, das Verfahren durch anonymisierte Mechanismen zu ersetzen.

Ähnlich äußerte sich auch der Heise-Verlag, der die Seriennummer des Smartphones oder Tablet-Computers dazu verwendet, ein Abonnement für seine Zeitschriften zu identifizieren. „Die Daten werden zur Verarbeitung im Verlag aber anonymisiert, außerdem werden sie keinesfalls an Dritte weitergegeben“, erklärte Heise. In der nächsten Version der App werde die Nutzung der UDID zur Abo-Kennung entfernt.

Der Bayerische Rundfunk betonte, der Vertragspartner Tobit, der die BR-Radio-App betreibt, habe erklärt, dass die Geräte-Identität „weder ausgewertet noch archiviert“ und sofort anonymisiert werde. Die Gerätekennung sei nur ein Nachweis für Installationszahlen. Personenbezogene Daten würden anderen Firmen nicht zur Verfügung gestellt. Der BR entwickele derzeit selbst eine neue Version der BR-Radio-App. Der WDR, für den ebenfalls Tobit die Radio-App entwickelte, erklärte, sie greife bei der aktualisierten iPad-Version bereits nicht mehr auf die UDID zu; bei der iPhone-App werde dies bei der nächsten Erneuerung geschehen. „Wir haben keine Anhaltspunkte dafür, dass TOBIT die Daten vertragswidrig an Dritte weiterleitet“, betonte der WDR.

Mit Material von dapd und dpa