Unser Smartphone weiß viel von uns, zu viel? Es kennt natürlich meine Telefonnummer, die Telefonnummern und Anschriften aller Personen, mit denen ich elektronisch kommuniziert habe. Nicht nur, dass ich kommuniziert habe, weiß das Gerät, es kennt natürlich auch die Inhalte meiner Nachrichten. Viele Fotos und Videos sind abrufbar, von mir erstellte, aber auch Bilder, die mir als Nutzer geschickt wurden.

Hinzu kommen die Daten der eingebauten Sensoren. Kaum jemand weiß, was der kleine Spion in der Hosentasche alles feststellt. Das reicht von Temperatur, Luftfeuchtigkeit, Lage des Geräts, Beschleunigung bis zur genauen geografischen Position über GPS. Ein Mikrofon nimmt alles auf, was ich will, vielleicht auch etwas, das ich nicht will. Ein Infrarotsensor kann feststellen, ob ich das Gerät ans Ohr halte. Inzwischen messen einige Smartphones den Puls, identifizieren Fingerabdrücke oder zeichnen ein Elektrokardiogramm auf. Was an weiteren Sensoren in den nächsten Jahren hinzukommt, ist kaum auszumalen.

Datenaustausch ist notwendig

Wenn ich auf Reisen bin und eine Reiseapp auf meinem Handy installiert habe, möchte ich natürlich, dass die Positionsdaten über GPS an den Server geschickt werden. Nur so kann der Rechner mir die richtige Landkarte übermitteln und Empfehlungen für Sehenswürdigkeiten, Unterkünfte und Restaurants in der Nähe geben. Wenn aber das Programm ohne mein Wissen alle heute geschriebenen E-Mails mitschickt, hat dies andere Gründe.

Daten stellen heute einen Wert dar, sie sind das Gold unserer Zeit. Deshalb sammeln viele Firmen Daten, die sie dann aufbereiten oder nach bestimmten Kriterien klassifiziert verkaufen. Dies geschieht unter Umständen sogar mit Zustimmung des Nutzers, weil dieser den allgemeinen Geschäftsbedingungen zugestimmt hat.

Apps können ja nur deshalb kostenlos sein, weil ich den Gegenwert in Form meiner Daten liefere oder aufgrund meines gespeicherten Profils sehr gezielt Werbemails erhalte. So muss ich beim Installieren einer App oftmals Werbeeinblendungen und Datenweitergabe akzeptieren. Sonst arbeitet die App nicht.

Apps klassifizieren

Hier nun setzt die Forschung an, wobei zwei verschiedene Ansätze in Saarbrücken verfolgt werden. Andreas Zeller, Professor für Softwaretechnik an der Universität des Saarlandes, hat mit seiner Arbeitsgruppe über 22.000 Apps analysiert und klassifiziert. "Apps, die im App Store ähnlich beschrieben sind, sollten sich auch ähnlich verhalten. Ist das nicht der Fall, so ist die aus dem Rahmen fallende App verdächtig", erklärt Zeller die Kernidee.

Die an seinem Lehrstuhl entwickelte Software analysiert für jede App den Text, der ihre Funktionen beschreibt. So lassen sich Apps nach ihren Aufgaben klassifizieren. Die Gruppe "Reise" enthält dann alle Apps, die sich im weitesten Sinne mit Reise-Themen beschäftigen. Reise-Apps etwa fragen gewöhnlich die aktuelle Position ab, um dann aus dem Internet Karten nachzuladen. Eine Reise-App, die heimlich Textnachrichten versendet, macht sich so sofort verdächtig.

Jede neue App kann dann daraufhin analysiert werden, ob sie sich so verhält, wie ich es von vergleichbaren Programmen erwarte. Der größte Anbieter von Apps hat bereits großes Interesse an der Methode geäußert.

Apps kontrollieren

Professor Michael Backes, Direktor des Saarbrücker Kompetenzzentrums für IT-Sicherheit CISPA, hat in seiner Arbeitsgruppe eine ganz besondere App entwickelt. Sie überwacht den Datenaustausch anderer Apps, die auf meinem Smartphone installiert sind. Sie blockiert den Versand von Daten, deren Weitergabe ich nicht wünsche, ohne dass dies die Funktionsweise der anderen Apps einschränkt.

Inzwischen haben mehr als eineinhalb Millionen Nutzer diese in der ersten Version kostenfreie App mit Namen AppGuard heruntergeladen. Bei der Einrichtung der App gibt der Nutzer an, welche Daten verschickt werden dürfen und welche nicht. Gleichzeitig erhält er eine Information darüber, welcher Datenversand unterbunden wurde. Backes schildert, dass Nutzer seiner App äußerst verblüfft sind, was so normalerweise ohne eigenes Wissen ständig an Daten übermittelt wird.

Vorsicht mit eigenen Daten

Beide Ansätze zeigen eines: Die Hauptaufgabe der IT-Sicherheitsforschung für die private und geschäftliche Kommunikation besteht in der Aufklärung der Bevölkerung. Mit technischen Mitteln allein ist die unübersehbar große Zahl komplexer Programme und der Umfang der elektronischen Kommunikation nicht sicher zu machen.

Entscheidend ist, dass ich mir überlege, welche Daten nicht an Dritte weitergegeben werden sollen. Sie sollte ich weder selbst ins Netz stellen, noch sie auf meinem Smartphone längerfristig speichern. Wenn ich für einen der immens nützlichen Services der Apps Daten preisgebe, sollte dies mit meinem Wissen und meiner Zustimmung geschehen.

Wie wir mit unseren Daten umgehen, ist daher eine ganz individuelle Angelegenheit. Wer etwa in einem sozialen Netzwerk – und sei es nur für die so genannten persönliche Freunde – persönliche Daten einstellt, der muss damit rechnen, dass diese Informationen missbraucht werden. Wer möchte schon bei einem Bewerbungsgespräch Fotos von einer allzu feuchtfröhlichen Party vorgelegt bekommen?