Die Mehrheit der in Deutschland genutzten Smartphones arbeitet mit dem Android-Betriebssystem. Die Anzahl der Android-Apps wächst ständig weiter. Doch die Apps helfen den Nutzern nicht nur dabei, mit wenigen Fingerbewegungen jederzeit etwa das Wetter oder den Busfahrplan zu prüfen, sondern sie lesen häufig auch personenbezogene Daten wie das Telefonbuch des Smartphones aus. Welche App verwendet persönliche Daten? Wer hat Zugriff auf welche Daten und wie werden diese weiterverwendet? Mit Fragen wie diesen befasst sich das Verbundprojekt „AndProtect – Selbstdatenschutz durch statische und dynamische Analyse zur Validierung von Android-Apps“. An ihm ist die Professur Allgemeine und Arbeitspsychologie der Technischen Universität Chemnitz beteiligt. Die TU-Wissenschaftler forschen gemeinsam mit der secuvera GmbH aus Gäufelden bei Stuttgart und dem DAI-Labor der TU Berlin

Bisher ist das Datenschutzrisiko für die Nutzer von Android-Apps nicht kalkulierbar. Denn hat eine App einmal Zugriff auf private Daten, sind alle weiteren Verarbeitungsschritte – etwa die Speicherung, die Zusammenführung mit anderen Daten und die Weiterleitung – für den Nutzer nicht nachvollziehbar. „Viele Nutzer lesen die oft seitenlangen Datenschutzbestimmungen des Herstellers nicht. Häufigster Grund dafür ist, dass dies viel Zeit in Anspruch nimmt und sie oft komplex formuliert sind“, beschreibt Susen Döbelt von der Professur Allgemeine und Arbeitspsychologie den Hintergrund des Projektes und fasst das Ziel der Wissenschaftler zusammen: „Wir wollen den Nutzern einfach aufbereitete und valide Inhalte hinsichtlich des Datenschutzes der genutzten Apps präsentieren. Auch Laien sollen durch ein benutzerfreundliches Werkzeug in der Lage sein, eine qualifizierte Aussage über die datenschutzrelevanten Informationsflüsse in Apps zu treffen.“

Die Psychologen der TU Chemnitz sind innerhalb des Projektes dafür zuständig, Benutzeroberflächen und Informationen nutzerzentriert zu gestalten. Sie untersuchen, wie die Ergebnisse von statischen und dynamischen Analyseverfahren für Laien verständlich aufbereitet werden können. Diese Verfahren identifizieren, welche Daten innerhalb der App genutzt werden und welche Informationen nach außen weitergegeben werden.

Die statischen Analyseverfahren werden durch das Projektteam aufbauend auf dem Werkzeug „Androlyzer“ des Projektpartners TU Berlin weiterentwickelt. Die Aussagekraft der statischen Analyse ist jedoch begrenzt: Insbesondere wenn die Apps Code aus dem Internet nachladen, können einige Eigenschaften des Programms nur analysiert werden, während die App ausgeführt wird. Deshalb entwickelt die secuvera GmbH dynamische Verfahren, die diese Lücke in der App-Analyse schließen.

Siehe auch:

https://www.andprotect.de