Datenschutzselbsthilfe für Smartphones

Eine modifizierte Version des Android-Betriebssystems füttert Schnüffel-Apps mit falschen Informationen.

Die vielen kostenlosen Apps für moderne Handys haben oft einen gewaltigen Pferdefuß: Damit die Entwickler trotzdem Geld mit ihnen verdienen, wird darin personalisierte Werbung geschaltet. Die wiederum speist sich oft durch die Daten, die sich auf den Geräten befindet – so kommt es vor, dass Adressbücher, Ortsangaben oder Surfgewohnheiten ausgelesen und ins Internet verschickt werden.

Plamen Kosseff, Entwickler bei der bulgarischen Softwarefirma ProSyst, hat nun eine experimentelle Lösung entwickelt, mit der Nutzer zur Datenschutzselbsthilfe greifen können: Eine Software, die potenziell problematischen Apps falsche Nutzerinformationen vorlegt. Dazu hat Kosseff Googles Mobilbetriebssystem Android verändert, um es sicherer zu machen.

Fragt nun eine App nach den Browser-Lesezeichen, wird nur eine Standardliste mit harmlosen Adressen wie "www.google.com" übermittelt. Fordert das Programm das Adressbuch oder andere potenziell sensible Dateien auf dem Smartphone an, werden nur leere Dokumente zurückgeliefert.

"Ich mag es nicht, wenn Apps meine Ortsangaben oder mein Telefonbuch auslesen", sagt der Entwickler. "Warum sollte irgendjemand an alle meine Informationen gehen dürfen und schauen, ob ich Daten anderer Leute habe?"

Kosseff ist nicht der einzige Entwickler, der an solchen Lösungen arbeitet - es ist ein allgemeiner Trend in den Computerwissenschaften. Spätestens seit es im vergangenen Jahr eine große Kontroverse um die Prüfsoftware Carrier IQ gab, bei der potenziell problematischer Code auf bis zu 141 Millionen Handys auftauchte, wollen die Nutzer mehr Kontrolle über ihre Daten haben.

Xuxian Jiang, Sicherheitsforscher an der North Carolina State University, arbeitet mit Kollegen an einer Anwendung, die Nutzern deutlich mehr Möglichkeiten lässt, ihre eigenen Daten zu kontrollieren. So wäre es beispielsweise möglich, nur anonymisierte Infos zu schicken oder nur einen Teil des Adressbuchs. Android selbst kennt derzeit nur die beiden Optionen "erlauben" oder "verbieten".

"Wir könnten den Nutzern künftig erlauben, ihre Daten fein abgestuft zu schützen – ob es nun um die eindeutige Identifikationsnummer des Handys, die Kontakte, die Ortsangaben oder die Kontakte geht", erklärt Jiang. "Vielleicht ist man ja gerade in einem sensiblen Meeting und will nicht, dass irgendeine App den GPS ausliest."

Noch ist das Projekt im Experimentierstadium. Damit es funktioniert, müsste die Sicherheitssoftware direkte Kontrolle über das Betriebssystem haben, wie es schon bei Kosseffs Werkzeug der Fall ist. Doch genau hier haben die Hersteller wie Google oder Apple die letzte Kontrolle.

"Letztlich werden wir alle Möglichkeiten haben, unsere Daten zu schützen. Ein Teil dieses Schutzes kommt von Drittanbietern, aber der Rest muss größtenteils über die Betriebssystemunterstützung kommen und da muss man dann mit den Herstellern reden", sagt Jiang. "Es ist eine schwere Frage, wann es soweit ist." Die Industrie möge zwar die Idee und beginne, Teile davon umzusetzen, doch einen großen Befreiungsschlag gibt es bislang nicht.

Solange muss man zur Datenschutzselbsthilfe greifen – und das geht nicht ohne etwas Mühe. Um Kosseffs Lösung zu installieren, muss man sich eine ganz neue Android-Variante herunterladen, die dann über diejenige kopiert wird, die standardmäßig auf den Geräten läuft. Zudem hat der Entwickler seine Lösung momentan nur für das HTC-Gerät "Desire HD" angepasst, weitere Versionen für Samsung-Handys sollen folgen.

Das alles ist bislang nur etwas für Fachleute. Das glaubt auch Jiang: Je schwieriger es sei, Datenschutztechniken anzuwenden, desto seltener werde sie genutzt. "Usability ist ein Hauptaspekt." Das scheinen auch die Entwickler von Schnüffel-Apps zu wissen: Sie hoffen darauf, dass Nutzer Warnungen einfach wegklicken. (bsc)