Unsere Methodik
Wir haben die Nutzungsbedingungen, die Anzahl der geforderten Berechtigungen und die unnötigen Berechtigungen für die fünf wichtigsten Apps in 18 Kategorien (wie Shopping, Reisen und Spiele) überprüft. Außerdem haben wir geprüft, wie sich die Nutzungsbedingungen in 18 Ländern rund um den Globus unterscheiden, darunter Australien, Deutschland, Japan und die USA.
Die wichtigsten Erkenntnisse
87% Prozent der Android-Apps und 60% der iOS-Apps forderten Berechtigungen ein, die für ihre Funktionen nicht benötigt wurden.
Von 103 verschiedenen Apps sammelten 16 Android- und 18 iOS-Apps mehr unnötige Daten als notwendige Daten. 29 Android- und 19 iOS-Apps sammelten keine unnötigen Daten.
Im Durchschnitt waren etwa 20% der geforderten Berechtigungen nicht für die Funktionalität der App erforderlich. Bei Android-Apps waren es im Durchschnitt vier unnötige Berechtigungen von insgesamt 19, bei iOS-Apps eine von fünf.
Apps für soziale Netzwerke verlangten die meisten Berechtigungen für Android-Geräte, einschließlich Zugriff auf deinen Standort und deine Kamera. Gesundheits- und Fitness-Apps forderten auf iOS die meisten Berechtigungen – auch für Gesundheitsdaten.
Android- und iOS-Apps in Hongkong und Taiwan forderten im Durchschnitt die meisten Berechtigungen. Das liegt wahrscheinlich an den Unterschieden in der Gesetzgebung, der Geflogenheiten und der Beliebtheit der Apps.
Apps in Australien, Kanada, Großbritannien und den Niederlanden sammelten im Durchschnitt die meisten persönlichen Daten. Apps in Mexiko forderten die geringste Anzahl von Berechtigungen.
Worauf wollen die Apps am häufigsten zugreifen?
Fast die Hälfte aller untersuchten Apps fragte nach Berechtigungen für Nutzeraktivitäten außerhalb der eigentlichen App. Weitere beliebte Anfragen betrafen potenziell sensible Informationen: Zugriff auf deinen Standort, deine Kamera, deine Fotos und dein Mikrofon.
Wie viele Berechtigungen sind unnötig?
Insgesamt forderten die Top-5-Apps in jeder der 18 untersuchten Kategorien 1.808 Berechtigungen auf Android und 421 auf iOS. Von diesen Berechtigungen waren 433 unter Android und 73 unter iOS unnötig.
Die Diskrepanz zwischen der Gesamtzahl der Berechtigungsanfragen unter Android und iOS ist zwar erheblich, hat aber weniger mit dem Schutz der Privatsphäre als vielmehr mit Apples digitalem Ökosystem zu tun. Apples Bedrohungsmodell sind Hacker, nicht die Apps selbst. Deshalb werden bestimmte Gerätefunktionen automatisch gesperrt, was insgesamt zu weniger Berechtigungsanfragen führt.
In der Tat hat iOS weniger Privatsphäre-Schutz für Apps als Android – der Nutzer muss darauf vertrauen, dass Apple und die App-Entwickler für seine Daten verantwortlich sind. Android hingegen bietet den Nutzern mehr Transparenz und Kontrolle, wenn es um ihre Entscheidungen geht, aber im Gegenzug fehlen einige der in iOS eingebauten Schutzmaßnahmen.
Die Android-Zahlen werden auch durch die Berechtigungen auf Systemebene aufgebläht, die mit Exodus Privacy, einer Prüfplattform für Android-Apps, ermittelt wurden. Insgesamt zeigen die Exodus-Scans, dass Apps etwa 50% mehr Berechtigungen verlangen als in Google Play angezeigt werden. Es ist nahezu sicher, dass iOS eine ähnliche Praxis verfolgt und nur die offensichtlichsten oder problematischsten Apps im Store auflistet.
Welche Apps benötigen die meisten und welche die wenigsten Berechtigungen?
Auf Android forderten Social-Media-, Messaging-, Navigations-, Business- und Dating-Apps im Durchschnitt die meisten Berechtigungen. Wenn es um unnötige Berechtigungen ging, waren die Apps für soziale Netzwerke, Lifestyle, Navigation, Gesundheit und Fitness sowie Reisen am forderndsten.
Besonders erwähnenswert ist, dass Android-Apps aus den Bereichen Lifestyle, Dating, Navigation, Business sowie Gesundheit und Fitness regelmäßig „spezielle“ (special), „gefährliche“ (dangerous) oder „biometrische“ (biometric) Berechtigungsanfragen (S/D/B) stellen, die hochsensible oder persönliche Informationen und systemkritische Prozesse betreffen.
Auf der anderen Seite stellten Android-Spiele-Apps die wenigsten Anfragen (10) und forderten im Durchschnitt wenig bis keine unnötigen Daten an (weniger als eine). Außerdem haben sie im Durchschnitt nur eine S/D/B-Berechtigung angefordert.
Unter iOS forderten Apps für Gesundheit und Fitness, soziale Netzwerke, Navigation, Dating und Lifestyle im Durchschnitt die meisten Berechtigungen. Gleichzeitig verlangten Gesundheits- und Fitness-Apps, Apps für soziale Netzwerke, Navigation, Wetter und Bildung die meisten unnötigen Berechtigungen.
Wir können nicht mit Sicherheit sagen, wie viele dieser Anfragen sich auf „spezielle“, „gefährliche“ oder „biometrische“ Berechtigungen bezogen, da diese in iOS nicht separat gekennzeichnet sind.
Apps für Essen und Trinken verlangten im Durchschnitt die geringste Anzahl an Berechtigungen (weniger als drei), während Online-Tool-Apps die wenigsten unnötigen Berechtigungen verlangten (im Durchschnitt fast null).
Welche Länder schneiden bei den Berechtigungen am besten und welche am schlechtesten ab?
Im Durchschnitt stellten Apps aus den ostasiatischen Regionen die meisten Genehmigungsanfragen –Hongkong und Taiwan dominierten sowohl die Android- als auch die iOS-Charts, während Android-Apps aus Japan und Singapur ebenfalls gehäuft vertreten waren. Das liegt wahrscheinlich an der Art der untersuchten beliebten Apps und dem unterschiedlichen regulatorischen Umfeld in der Region.
Wenn es um unnötige Berechtigungen auf Android geht, liegen Apps aus Hongkong, Taiwan, Singapur, Japan und Brasilien an der Spitze. Taiwan, Hongkong und Japan hatten auch die höchste Anzahl an S/D/B-Anfragen. Für iOS haben Apps aus Hongkong, Taiwan, Schweden und Japan im Durchschnitt die meisten unnötigen Berechtigungsanfragen gestellt.
Auf der anderen Seite stellten Apps aus Mexiko die wenigsten unnötigen Berechtigungsanfragen, die wenigsten S/D/B-Anfragen und sogar die wenigsten Berechtigungsanfragen insgesamt für Android. Für iOS haben Apps aus Spanien und den USA die wenigsten Anfragen gestellt, während Apps aus Spanien, den USA, Italien und Polen die wenigsten unnötigen Berechtigungen forderten.
Wie viele Berechtigungen wollen die jeweiligen Apps?
In der interaktiven Tabelle kannst du unsere Ergebnisse zu den Berechtigungsanfragen für die beliebtesten Android- und iOS-Apps einsehen. Wähle eine Kategorie aus, um die fünf beliebtesten Apps und die Anzahl der Berechtigungsanfragen (und unnötigen Berechtigungsanfragen) zu sehen, die sie stellen.
Fazit: So schützt du deine Privatsphäre
Vertraue den Zahlen nicht blind: iOS-Apps mögen aufgrund der niedrigeren Zahlen bei Berechtigungsanfragen datenschutzfreundlicher erscheinen, aber diese Ergebnisse sind durch das digitale Ökosystem von iOS stark verzerrt. Tatsächlich geben iOS-Apps dir im Durchschnitt weniger Informationen darüber, welche Daten gesammelt werden.
Einige App-Kategorien sind besonders aufdringlich: Apps aus den Bereichen soziale Netzwerke, Gesundheit und Lifestyle sowie Navigation führen die Hitliste der unnötigen Berechtigungsannfragen an. Sei vorsichtig, wenn du Apps aus diesen Kategorien installierst und benutzt.
Apps, vor denen man sich in Acht nehmen sollte: TextNow schnitt sehr schlecht ab und forderte die meisten Berechtigungen auf Android. Facebook stellte viele Berechtigungsanfragen, von denen über ein Drittel unnötig waren. Auch Wyze forderte viele Berechtigungen, obwohl es nicht angibt, welche Daten es sammelt.
Vor dem Akzeptieren prüfen: Viele Apps fordern Zugriff auf Gerätefunktionen, die nichts mit ihrer Performance zu tun haben. Überlege immer, ob die App deine Daten wirklich braucht, um ihre Aufgabe zu erfüllen, bevor du auf „Akzeptieren“ tippst.
Weitere Untersuchungen rund ums digitale Alltagsleben
Heilung oder Hacking? Untersuchung der versteckten „Kosten“ von Gesundheits-Apps
Gesundheits-Apps können uns helfen, unsere mentale und körperliche Gesundheit zu verbessern und zu erhalten. Aber welche Rolle spielt die Gesundheitstechnologie für unser digitales Wohlbefinden? Dazu haben wir 12.726 User weltweit befragt, um herauszufinden, wie sie Gesundheits-Apps nutzen und welche – zum Teil unbemerkten – Kompromisse sie dabei eingehen.
Spitze des Eisberg: 6 Millionen gestohlene Karten analysiert
Jeden Tag werden Tausende von gestohlenen Kreditkarten gekauft und verkauft. Um die Risiken des Kreditkartendiebstahls zu verstehen, haben wir einen Datensatz von 6 Millionen Kreditkarten analysiert, die auf großen Dark-Web-Marktplätzen erhältlich sind – und das ist nur die Spitze des Eisbergs des weltweiten Kreditkartendiebstahls.
Bot-Märkte: So verkaufen Hacker deine Online-Identität
Digitale Bots werden immer häufiger eingesetzt. Sie werden in Bereichen wie Kundenservice, Suchmaschinenoptimierung und Unterhaltung eingesetzt. Doch nicht alle Bots dienen guten Absichten – viele von ihnen können bösartig sein.
Noch Fragen? Hier gibt es Antworten
Wenn du mehr über unsere Ergebnisse erfahren möchtest oder weitere Daten benötigst, kannst du uns gerne per E-Mail kontaktieren (press@nordsec.com).