Meine Apps! Meine Daten?

AndProtect zum Thema App-Datenschutz für Android

Smarte Telefone gehören heute zum allgegenwärtigen Begleiter im Alltag in Deutschland und weltweit. Dabei sind 76% der mobilen Alleskönner mit dem Android-Betriebssystem in Deutschland ausgestattet. Die Anzahl der Android Apps wird auf ca. 1,4 Millionen geschätzt und wächst ständig weiter. Diese Applikationen bieten vielfältige Möglichkeiten, Nutzerinnen und Nutzer im Alltag zu unterstützen. Mindestens ein Fünftel der Apps lesen aber auch personenbezogene Daten aus. Wichtige Datenschutzfragen hinsichtlich der Transparenz und Weiterverwendung solcher Informationen liegen dabei auf der Hand: Welche App verwendet eigentlich persönliche Daten und welche genau? Wer hat Zugriff auf meine Daten und wie werden diese weiterverwendet?
Hat eine App einmal Zugriff auf private Daten, sind alle weiteren Verarbeitungsschritte (u. a. Speicherung, Aggregation, Weiterleitung) für den Endnutzer nicht nachvollziehbar. Somit stellen Apps für den Verbraucher nicht nur unterstützende Servicefunktionen im Alltag zur Verfügung, sie beinhalten auch ein bisher unkalkulierbares Datenschutzrisiko. Im Alltag verzichtet jedoch beinahe die Hälfte aller Nutzern darauf Datenschutzbestimmungen oder AGBs überhaupt zu lesen. Häufigster Grund dafür ist, dass dies zu viel Zeit in Anspruch nimmt und diese oft komplex formuliert sind. Daher wäre es besonders wichtig, Nutzerinnen und Nutzern einfach aufbereitete und valide Inhalte hinsichtlich des Datenschutzes der genutzten Apps zu präsentieren.

Seit Anfang November widmen sich die secuvera GmbH aus Gäufelden/Stuttgart, das DAI-Labor der TU Berlin und die Allgemeine und Arbeitspsychologie der TU Chemnitz gefördert durch das Bundesministerium für Bildung und Forschung genau dieser Problematik innerhalb des Forschungsprojektes AndProtect.

Das Ziel des zweijährigen Forschungsvorhabens ist es, dem Laien ein benutzerfreundliches Werkzeug zu bieten, mithilfe dessen Nutzerinnen und Nutzer in der Lage sind, eine qualifizierte Aussage über die datenschutzrelevanten Informationsflüsse in Apps zu treffen und somit die Nachvollziehbarkeit und Risikobewertung für Anwender und Anwenderinnen im Alltag zu verbessern. Dies wird durch den Einsatz von für Laien gebrauchstauglich aufbereiteten Ergebnissen statischer und dynamischer Analyseverfahren erreicht. Diese nutzerzentrierte Gestaltung der Benutzeroberflächen und Informationen, die beide Verfahren liefern, wird primär durch den Projektpartner Technische Universität Chemnitz umgesetzt. 

Mit statischen Analyseverfahren, welche aufbauend auf einem Werkzeug Androlyzer des Projektpartners Technischen Universität Berlin weiterentwickelt werden, sollen Informationsflüsse innerhalb der App und nach außen identifiziert werden. Die Aussagekraft der statischen Analyse ist jedoch begrenzt. Insbesondere durch das Nachladen von Codes aus dem Internet oder die Verschleierung des Programmcodes können gewisse Eigenschaften des Programmverhaltens nur während der Ausführung der App analysiert werden.

Hierfür sollen gezielt dynamische Analyseverfahren entwickelt und eingesetzt werden, die die Ergebnisse der statischen Analyse als Ausgangspunkt nutzen. Eine halbautomatisierte Prüfmethodologie wird primär vom Projektpartner secuvera entwickelt, welche diese im Rahmen seiner Testlabortätigkeiten entwickelt und erprobt. Im Ergebnis soll eine nachvollziehbare und transparente App-Validierung entwickelt werden, welche von unabhängigen Prüfern genutzt werden kann und damit zu objektiven und vergleichbaren Ergebnissen führt.

Kontakt:
secuvera GmbH
Sebastian Fritsch
Telefon: 07032-9758-24
...
https://www.andprotect.de

Ansprechpartner am DAI-Labor:
Leonid Batyuk
Telefon: 030 – 314-74119
...