Out of Context

Die Tagesthemen haben am gestrigen Abend einen ziemlich reißerischen Bericht über Benutzerdaten in Smartphones gesendet. Die Schieflage was die Seriosität des Beitrags angeht wird schon durch den Titel „Wie Apps ihre Benutzer ausspähen“ deutlich. Die zuständige Redakteurin bei den Tagesthemen, Anika Giese, hat leider den Weg des Boulevards gewählt. Über ein Rührstück mit einem Teenager „wie Du und ich“ wird dabei ein persönlicher Bezug des Zuschauers mit der Thematik hergestellt.

Dies ist meiner Ansicht nach sehr schade, da gerade die letzten Wochen gezeigt haben, dass es definitiv ein „Datenschutzproblem“ gibt. Der daraus zu ziehende Schluss, der Staat müsse eingreifen, ist aber stark diskutabel, wenn nicht gar wie bei der Stopschild-Debatte, eine Verlagerung des Problems an die falsche Stelle.

Grundsätzlich haben wir als Experten („Nerds“) die Aufgabe, uns sachlich mit dem Thema auseinander zu setzen, um die eventuell im Beitrag vorhandenen Fehler gegenüber dem unerfahreneren Rest der Gesellschaft klar stellen zu können. Gerade aus diesem Grund fand ich, dass der Beitrag auf einem anderen Blog etwas zu kurz griff, hatte ich doch keine zwei Minuten zuvor ein Telefongespräch mit meinem Vater beendet, um ihm bei der Einstellung seines Android-Telefons zu helfen. Auch habe ich in der Vergangenheit den Erklärbären spielen müssen, was kostenlose Apps angeht wie ein BlackJack-Spiel, das neben uneingeschränktem Zugriff auf das Telefonbuch auch kostenpflichtige SMS verschicken wollte. Und es dann deinstalliert.

Vor allen Dingen aber bin ich davon ausgegangen, dass der im Bericht vorkommende Experte von der Ruhr-Universität Bochum, Diplom-Informatiker Johannes Hoffmann, eventuell aus dem Zusammenhang gerissen zitiert wurde. Aus diesem Grunde habe ich ihm eine Mail geschrieben mit ein paar Fragen, die er mir netterweise, trotz gerade begonnenem Semester und damit sicherlich vorhandener Arbeitslast, innerhalb kürzester Zeit beantwortet hat.

Appleoutsider.de: Herr Hoffmann, im Bericht (der Tagesthemen) werden folgende Dinge genannt:

– Smartphones arbeiten als Peilsender

Hierzu meine Frage: ist dies über die Deaktivierung der Ortungsfunktionen abstellbar oder sind Ihrer Ansicht nach die Apps jederzeit, wie im Bericht dargestellt, zu diesen Ortungen in der Lage?

Dipl.-Ing. Johannes Hoffmann: GPS ist abstellbar, die Network Location nicht wirklich. Aber ohne Internetzugriff funktioniert diese ebenfalls nicht. Die App benötigt dazu natürlich die Rechte.

AO.de: Genauer: Android ab spätestens 4.0 hat hierfür extra einen Knopf in einem sogenannten „Widget“. Dort kann man neben WLAN und Sync und der Anpassung der Helligkeit auch in der Mitte die Ortungsfunktionen deaktivieren. Sobald geortet wird erscheint ein Icon in der Statusleiste. Für iOS ab Version 4 gilt Ähnliches in den Einstellungen. Auch hier wird in der Regel ein Icon angezeigt

JH: Ich meine, dass stellt nur GPS ab; bin mir da aber nicht sicher. Sobald versucht wird ein GPS Fix zu bestimmen wird das unter (neueren) Android als „Icon“ angezeigt

AO.de: – Smartphones haben „Kontozugriff“. Der Bericht spricht hier von „Überweisungen“
Hat hier die ARD eventuell etwas falsch verstanden? Wie mir scheint hat die Autorin es so interpretiert, dass „Kontoinformationen“ nicht die Login-Daten für Dienste sind (wie Facebook oder Dropbox, was ja dieses Wochenende bekannt wurde – Abspeichern der Logindaten über ein OAuth-Token direkt im Filesystem ohne Verschlüsselung), sondern BANKinformationen mit Überweisungsdaten. Ist dies von Ihnen so übermittelt worden und hat die ARD dies richtig interpretiert?

JH: Ja, das hat die ARD falsch verstanden. Bankdaten sind davon nicht betroffen. Das wurde wohl falsch recherchiert und das Thema „Bank“ kam auch nie auf als sie mit uns drehten.

AO.de: – Abruf von Kalenderinformationen

Im Beitrag der ARD existiert eine Szene, in der Sie oder ein Mitarbeiter Termine vorlesen. Hierbei wird der Eindruck vermittelt, dass Sie quasi Remote-Zugriff auf die Daten hatten. Mir scheint es jedoch eher so, dass Sie den Datenverkehr einer App per Sniffer mitprotokolliert haben und dabei herausfanden, dass eine App, die diese Informationen gar nicht braucht, solcherlei Informationen übermittelt hat. Ging es hier um WhatsApp? Ging es nur um die Android-Version oder auch um die iOS-Version?

JH: Es ging eigentlich um ein Android Spiel, das wurde in diesem Beitrag aber rausgeschnitten. Im letzten Ratgeber Internet ist das zu sehen. Das Spiel hat mehr Rechte als es benötigt, was die Nutzer oft nicht interessiert. Remote Zugriff ist aber auch möglich, in dem Spiel wurden die Daten aber „einfach nur im Hintergrund gestohlen“ und übers Netz zu uns geschickt.

AO.de: Mir geht es vor allen Dingen darum, Aufklärungsarbeit zu leisten. Das pauschale Schreien nach „Datenschutz“ ist meiner Ansicht nach so wie im Bericht gezeigt, mit Kanonen auf Spatzen zu schießen – dennoch gehöre ich als Kritiker von Android-Geräten glaube ich fast sogar in Ihre Fraktion, was das angeht. Mein nächster Beitrag „Mein Abendessen mit Android“ beinhaltet zum Beispiel meine Suche nach einem Wetter-Widget, das mir in einem 2×1 Feld nur das aktuelle Wetter darstellt UND das Datum mit Tag. Dabei bin ich auf Apps (Widgets) gestoßen, die von mir Berechtigungen verlangten, kostenpflichtige SMS schicken zu können, kostenpflichtige Anrufe zu tätigen, auf meine Kontaktliste zuzugreifen usw. usf.

JH: Das stimmt, es ging darum den Benutzern zu zeigen, dass sie nicht alles abnicken sollen. Außerdem sollte gezeigt werden, was mit den jeweiligen Rechten möglich ist. Das Angry Birds ein Peilsender ist, ist sicherlich reisserisch dargestellt, aber für den Werbeanbieter ist es das. Er weiss wo der Nutzer gerade ist, erkennt ihn wieder, kennt die Werbeklicks und Produkte etc. Ob Rovio etc die Daten auch erhalten und auswerten kann ich nicht sagen.

Noch einmal Vielen Dank an Herrn Hoffmann für diese Antworten.

Ich denke mein Ersteindruck wird hierdurch bestätigt. Zum einen handelte es sich bei den Aufnahmen um Szenen, die bereits in einem ARD Ratgeber Internet verwendet wurden. Zum Anderen lag ich mit meiner Vermutung richtig, dass mit „Kontoinformationen“ nicht die Bankverbindung des Smartphone-Besitzers gemeint ist, sondern Login-, sprich Zugangs-Informationen zu Diensten. Zudem ist der erweckte Eindruck, Apps könnten Remote-Zugriff herstellen, nicht korrekt – jedenfalls nicht im eigentlichen Sinne. Warum ein Spiel jedoch Zugriff auf Kalender-Daten braucht, ist mehr als fraglich.

Betrachtet man diese Informationen in einem etwas gelasseneren Kontext, so bleibt schlussendlich die Problematik der Nutzerdaten. Es ist definitiv auf der Androidplattform so, dass viele Apps unnötig Informationen sammeln und die Nutzer dabei oftmals die Bernachrichtigung über diese Zugriffsrechte während der Installation nicht beachten. Dies noch verschlimmert dadurch, dass nur einige der Rechte angezeigt werden – wer alle gewährten Rechte sehen will, muss erst einen weiteren Tap druchführen und damit ein Drop-Down-Menü öffnen.

Vielen ist dabei sicherlich gar nicht klar, was überhaupt gemeint ist. Ich nehme mich da definitiv nicht heraus. Auch ich weiß nicht, was all die Rechte, die ich manchen Apps gewähre, im Endeffekt bewirken. Beispiele wie das Wetter-Widget sind Extreme, doch hat Herr Hoffmann nicht Unrecht wenn er sagt, dass Angry Birds Standortinformationen an den Server zurück vermittelt, wenn es dazu in der Lage ist, und wenn es dies nur durch Antwort-Pakete tut, sprich grob den letzten Knoten der IP-Strecke ermittelt. Dass ich in Deutschland sitze weiß JEDE App, die Werbung anzeigt. Ein gutes Beispiel ist hier das Wetter-Widget. Ich bin heute 20km in eine Richtung gefahren und die Wetterinformationen haben von meinem Heimatort gewechselt zu den Informationen für den besuchten Ort, obwohl meine Location-Zugriffe über das Widget für den GPS-Zugriff deaktiviert war. Deshalb kann nicht davon ausgegangen werden, dass dies ein „Alles oder Nichts“ Schalter ist, sondern vielmehr bei Routenplanung oder GPS-Logging dediziert eingeschaltet werden muss weil es wohl sehr viel Strom verbraucht. Ob dies richtig ist, muss man in Erfahrung bringen. Dies führt in diesem Artikel jedoch zunächst zu weit.

Bezüglich iOS ist die Situation in jedem Fall anders, die Frage ist jedoch ob sie besser ist. Der Benutzer erwartet hierbei von Apple,  alles für den Datenschutz getan zu haben, ohne dies aber wirklich zu wissen. Das Beispiel Path zeigt, dass hier definitiv zu viel von Apple erwartet wurde. Auch die Funkmast-Datenbank war größer, als es uns allen lieb war. Google hat zudem durch schmutzige Programmiertricks Wege gefunden, die grundsätzlich abgelehnten Cookies in Safari doch zu setzen, und damit jeden User eindeutig zu identifizieren. Das Beispiel Dropbox und Facebook hat letztes Wochenende gezeigt, dass Login-Informationen eben NICHT zwangsweise verschlüsselt auf dem Gerät lagern.

Deshalb sind allerwenigstens die Aussagen von Herrn Hoffmann sachlich betrachtet keine Übertreibung.

Dass sie von Frau Giese in solch ein Rührstück verpackt werden, und sie offensichtlich dabei auch noch Verständnisschwierigkeiten hatte, ist sehr schade. Tatsache ist aber, dass Frau Giese hierbei lediglich den unbedarften Nutzer widergibt, der wenn er „Kontoinformation“ hört an seine Bankverbindung denkt. Dies ist eindeutig NICHT der Fall. Wie ich aber bereits in einem vorangegangenen Beitrag, auf den ich hier gerne noch einmal verlinke, gesagt habe:

SICHERT EUER GERÄT AB

Sprich: Bildschirmsperre nach wenigstens 2 bis 5 Minuten. Reaktivierung nur nach Eingabe einer PIN oder einer Wisch-Geste (hierbei das Display oft reinigen sonst kann man sehen was ihr wischt um zu unlocken).

Darüber hinaus, gerade an die Android-Nutzer: LEST DIE BERECHTIGUNGEN die ihr den Apps gebt genau durch. Wenn etwas geschenkt ist dann bist DU das Produkt. Wenn eine Casino-App, die nichts kostet, gerne kostenpflichtige SMS verschicken möchte und unbedingt Zugriff auf Dein Telefonbuch braucht, dann ist diese App für 0,00 Euro trotzdem zu teuer. Wenn nicht jetzt dann später.

Und wenn Eure Eltern, Geschwister, Oma und Opa demnächst fragen, ob man im Handy geortet werden kann, dann lautet die Antwort sicherlich nicht „Das ist alles Quatsch“ sondern „Ich erklär Dir das gerne“.

So oder so ist es Schade, dass Frau Giese von der ARD das sehr komplexe Thema so einfach abgefrühstückt hat. Wir alle sind für unsere Daten selbst verantwortlich. Das Recht auf informationelle Selbstbestimmung ist ein hohes Gut. Es einfach so herzuschenken ist fahrlässig, und der Ruf sollte hier nicht an den Gesetzgeber gehen, strenger zu regulieren, sondern die bestehenden Gesetze einfach anzuwenden.

Denn es GIBT bereits Datenschutzgesetze. Es bedarf einfach keiner Verbote gegenüber den App-Anbietern, nach den Rechten einfach mal zu fragen. Fragen darf jeder, und wenn die Frage offen dasteht so zu tun als ob man nicht gefragt worden wäre, und nach Regulierung zu rufen, ist meiner Ansicht nach falsch.