Firewall für Android: Datenströme kontrollieren
Auf PCs nutzt fast jeder eine Firewall. Aber unter Android? Auch da kann es zu unerwünschten Datenströmen kommen - gerade da!
- Anna Kalinowsky
Was macht eigentlich eine Android-Firewall? Lohnt sich das? Und wie funktioniert das überhaupt? Wir zeigen was geht, was nicht und was Sie dafür benötigen. Zudem sehen Sie Schritt für Schritt, wie Sie die kostenlose App NetGuard nutzen - dafür ist kein Root-Zugriff nötig!
Was macht die Firewall?
Auf einem Windows-Rechner ist eine Firewall eine Selbstverständlichkeit. Entweder läuft Windows' eigene Variante oder die Firewall-Komponente einer installierten Security-Suite. Sinn und Zweck solch einer Firewall ist es, unerwünschte Zugriffe in das Internet und aus dem Internet zu blockieren. Ursprünglich sollten sie vor allem vor Bedrohungen von außerhalb schützen, mittlerweile schützen Endnutzer-Firewalls vor allem vor Datenabfluss - insbesondere auf dem Smartphone.
Vielleicht kennen Sie Firewalls noch von früher als diese nervende Software, die alle paar Minuten fragt, ob dieses oder jenes zugelassen werden soll. Heutzutage werden Sie kaum noch mit derartigen Nachfragen belästigt. Und unter Android funktioniert das ganze sowieso ein klein wenig anders, sodass Sie in der Praxis im Alltag gar nichts mit dem Schutz zu tun haben. Kurz gesagt: Legen Sie einfach fest, welche Apps Internetzugriff bekommen und welche nicht - plus ein wenig mehr, aber dazu später.
Eine Firewall auf dem Smartphone ist durchaus eine nützliche Angelegenheit, nicht lästig, kostenlos zu bekommen und läuft sogar auf nicht gerooteten Geräten. Wie Ihnen die Firewall Kontrolle über Android-Apps ermöglicht, erklärt c't-Redakteur Ronald Eikenberg im Video.
Voraussetzungen
Die vermutlich bekannteste Android-Firewall ist AFWall+. Diese greift auf das unter Linux übliche "iptables" zurück und erlaubt eine Menge detaillierter Einstellungen. Wie bei vielen Tools, insbesondere aus dem Sicherheitsbereich, ist dafür jedoch ein gerootetes Android notwendig. Falls Ihnen das nichts sagt: "rooten" heißt, das Smartphone so zu konfigurieren, dass Sie Admin-Rechten (root) bekommen. Also das, was passiert, wenn unter Windows nach einem Programmstart die Sicherheitsabfrage kommt, ob Sie das Programm mit Admin-Rechten starten wollen. Das Rooten ist je nach Modell halbwegs aufwändig bis extrem kompliziert - und bringt neue Sicherheitsrisiken mit sich. Für normale Verbraucher ist das schlicht keine alltagstaugliche Option.
Unter den wenigen No-Root-Firewalls, wie man sie häufig nennt, ist NetGuard wohl die beste Lösung. Hier gibt es nur zwei Voraussetzungen, die meist erfüllt sein dürften: Android muss in Version 5 oder aktueller laufen und das Smartphone darf nicht ständig über ein Virtual Private Network (VPN) verbunden sein. NetGuard setzt nämlich selbst ein VPN ein und Android gestattet mehrere VPNs gleichzeitig nicht.
NetGuard einsetzen
NetGuard installieren
Das Gute an NetGuard: Es ist eine Open-Source-App und somit kostenlos und der Quelltext liegt offen. Und wie sich das gehört, bekommen Sie NetGuard entsprechend über Github oder bequemer über F-Droid. Aber: NetGuard bietet auch einige In-App-Käufe für weitere Funktionen. Und die funktionieren nur und ausschließlich in der NetGuard-Version aus Google Play. Um alle Zusatzfunktionen zu bekommen, werden 8,99 Euro fällig - das meiste dient jedoch nur dem Komfort. Wirklich nützlich ist die Pro-Funktion "Netzwerkverkehr filtern" für ca. 4 Euro. Damit können nicht nur bestimmte Apps, sondern auch nur bestimmte Internetadressen gesperrt werden. So könnte eine App immer noch den "gewünschten" Internetzugriff haben, dürfte aber beispielsweise nicht mehr einen Werbeserver oder ihr Zuhause kontaktieren. Das Geld ist super investiert, aber zum einen ist die Pro-Konfiguration dann doch mit einigem Aufwand verbunden, der zumindest von Laien so nicht so einfach zu leisten ist. Zum anderen ist NetGuard auch so bereits sehr nützlich: Um zu überwachen, welche Apps überhaupt Verbindungen aufbauen und um Offline-Apps auch wirklich komplett den Onlinezugriff zu entziehen.
Wie bereits erwähnt, nutzt NetGuard ein VPN. Das heißt, dass sämtlicher Internetverkehr über NetGuards internes VPN geleitet wird - nur so scheint eine Firewall ohne Root möglich. Für Android wird es später so aussehen, als ob NetGuard Unmengen an Strom und Bandbreite fressen würde - dem ist aber nicht so! Es sind nach wie vor die Apps selbst, die ihre Ressourcen benötigen, also keine Sorge bei obskur hohen Werten bei NetGuard.
Die Installation von NetGuard ist zunächst ganz einfach: Installieren Sie wie gewohnt über Google Play oder F-Droid. NetGuard verlangt beim ersten Start nach zwei Aktionen: Zum einen müssen Sie - natürlich - umfangreiche Rechte gewähren. Zum anderen möchte NetGuard, dass Sie die Stromsparfunktionen für NetGuard abschalten. Öffnen Sie die im Hinweis verlinkten Einstellungen, wählen Sie oben "Alle Apps", tappen Sie in der App-Liste auf NetGuard und deaktivieren Sie die Funktion. Der Hauptbildschirm begrüßt Sie dann gleich mit allerlei Hinweisboxen. Sobald Sie die alle geschlossen haben, ist NetGuard bereit, an die Arbeit zu gehen.
NetGuard nutzen
Schalten Sie NetGuard zunächst überhaupt mal über den Button oben links ein. Noch tut NetGuard aber dennoch nichts. Sie können nämlich zwei Modi verwenden: Beim Blacklisting (Standard) ist erst mal alles erlaubt - Sie müssen also zunächst Apps blockieren. In den Einstellungen können Sie unter "Standardeinstellungen" den gesamten Datenverkehr über WLAN und/oder Mobilfunk deaktivieren - und dann einzelne Apps gestatten. Zum Warmwerden sollten Sie zunächst mit dem normalen Whitelisting-Modus und generell ohne weitere Einstellungen ein wenig herumspielen.
Der Hauptbildschirm zeigt Ihnen eine Liste der installierten Apps. Und zwar auch solche ohne die Berechtigung "Internetzugriff". Warum? Apps können über andere (System-)Apps kommunizieren; Benachrichtigungen laufen beispielsweise über eine Google-Anwendung. Direkt in der Liste können Sie Mobilfunk- und WLAN-Daten über die beiden Icons an jeder App blockieren. Wenn Sie auf eine App tappen, bekommen Sie weitere Optionen: Sie dürfen hier die Blockade bei eingeschaltetem Bildschirm aufheben, sodass Apps zumindest nicht aus der Hosen- oder Handtasche heraus nach Hause funken. (Ausnahmen für Apps im Vordergrund sind technisch leider nicht möglich.) Für den Fall, dass Sie im Roaming-Modus sind, kann eine zusätzliche Blockade gesetzt werden. Dann gibt es noch die Ausnahme für den "Zugriffsbeschränkungsmodus": Dieser Modus lässt sich direkt im App-Menü aktivieren und blockiert schlicht alles - perfekt, um das Smartphone kurzzeitig komplett "datenstumm" zu schalten, oder um Akku zu sparen.
Tipp: Bei jeder App finden Sie den Button "Konfigurieren" unter "Zugriffsversuche". Dabei handelt es sich jedoch um globale Einstellungen: Sie können hier die Protokollierung von erlaubten/blockierten Adressen aktivieren. Das kostet zwar Strom und verlangsamt unter Umständen die Geschwindigkeit ein wenig, liefert aber viele interessante Informationen, die bei der Konfiguration helfen können. Sie sehen dann zu jeder App, welche Adressen überhaupt angesteuert wurden. Mit dem oben erwähnten Pro-Feature "Netzwerkverkehr filtern" kann dann genau an dieser Stelle entschieden werden, welche dieser Adressen gesperrt und welche erlaubt werden sollen. Wenn die Media-App Plex beispielsweise eine Facebook-Adresse kontaktiert, könnte man wohl davon ausgehen, dass diese nicht notwendig ist, um einen Film auf dem heimischen NAS zu starten... Würde man Plex komplett blockieren, würde die App gar nicht mehr funktionieren, da ein Online-Plex-Konto für die Verbindung genutzt wird.
Arbeit im Gange...
Firewalls sind keine 1-Klick-Sicherheitslösungen, sie müssen Stück für Stück konfiguriert werden. Selbst, wenn nur Apps nicht einzelne IPs gefiltert werden. NetGuard bietet viele Optionen und man kann nur empfehlen, sich einmal komplett durch die Menüs zu klicken. Unter "Erweiterte Optionen" können Sie zum Beispiel die Anzeige von System-Apps aktivieren. Dann würde sich zum Beispiel folgende Möglichkeit auftun: Sie könnten nachschauen, welche der vielen, vielen Google-Dienste auf dem Smartphone nötig sind, damit Google Play funktioniert und alle anderen Google-Anwendungen deaktivieren. Man kann sich lange mit NetGuard beschäftigen, aber es lohnt sich auch.
Und daher ein letzter Tipp: Unter "Einstellung/Sicherung" können Sie Ihre Einstellungen im- und exportieren, so müssen Sie nicht jedes Smartphone oder Tablet separat einrichten.
(anka)
