Privacy Friendly Apps: "Bei uns wird es nie Tracking oder Werbung geben"

Im Play Store sind sie eine Seltenheit, doch es gibt sie: Apps, die keine Daten über ihre Nutzer sammeln. Die Forschungsgruppe Secuso an der Universität Karlsruhe (KIT) bietet gleich mehrere Dutzend solcher privatsphärefreundlicher Android-Apps an, die teils auf Nutzerwunsch hin entwickelt wurden. Vom Finanzmanager über Schiffe versenken bis hin zur Wetter-App oder einem Passwortgenerator ist einiges dabei.

Wie es zu den Apps kam, "die man bedenkenlos seiner Oma empfehlen kann", erzählen uns Peter Mayer und Christopher Beckmann von der Forschungsgruppe. Secuso steht für Security, Usability und Society, dem Schwerpunkt der 2011 ins Leben gerufenen Forschungsgruppe, die auch entsprechende Tools entwickelt.

Ein Projekt von Secuso sind die Privacy Friendly Apps, an denen Mayer und Beckmann von Beginn an mitarbeiten. Denn neben Studenten, die Apps in Programmierprojekten entwickeln, kümmern sich auch mehrere Universitätsmitarbeiter um die Anwendungen. Doch es gibt auch Probleme, beispielsweise mit Copycat-Apps im Play Store.

Golem.de: Wie kam es zu den Privacy Friendly Apps?

Mayer: Wir haben uns damals über Taschenlampen-Apps geärgert, die umfangreiche Berechtigungen angefragt haben. Wir haben dann einfach selbst eine Taschenlampen-App und einen QR-Code-Scanner als Alternative dazu programmiert, die mit minimalen Berechtigungen auskommen und keine Daten über ihre Nutzer sammeln.

Studenten entwickeln Apps im Programmierpraktikum

Dann kamen wir auf die Idee, Studierende an diese Thematik heranzuführen. Also suchten wir in den Appstores nach weiteren klassischen Privacy Offenders und boten den Studierenden an, im Rahmen ihres verpflichtenden Programmierpraktikums an der Universität privatsphärefreundliche Alternativen zu programmieren. Also etwas zu entwickeln, was nicht einfach in der Schublade landet, sondern auch wirklich veröffentlicht und benutzt wird.

Sprich, der Code sollte als Open Source auf Github und die Apps in den Play Store und in den F-Droid. Das können die Studenten später auch in ihr Bewerbungsportfolio mit aufnehmen.

Beckmann: Der Hauptgrund für das Projekt waren die berechtigungshungrigen Apps im Play Store, denen wir etwas entgegensetzen wollten. Privacy Friendly Apps haben wir dann als Namen für die Anwendungen gewählt, die man einfach seiner Oma empfehlen kann. À la, die kannst du benutzen, ohne dir Sorgen machen zu müssen, dass du ausspioniert wirst.

Golem.de: Sie haben mittlerweile eine ganze Reihe von Apps. Wie kommen Sie darauf, beispielsweise eine Wetter-App und Minesweeper anzubieten?

Mayer: Wir wollten ein recht breites Portfolio abdecken. Es gibt einige Apps, die aus unserer Forschung entstanden sind, zum Beispiel die App zum PIN-Management. Im Rahmen einer wissenschaftlichen Arbeit zum PIN-Management kam die Frage auf, wie kann man den Leuten dabei helfen, sich die PINs zu merken. Dann sind wir auf die Idee mit der App gekommen.

Auf andere Apps sind wir tatsächlich durch Anfragen gekommen. So wurde beispielsweise das Schmerztagebuch an uns herangetragen. Da geht es ja um besonders sensible Gesundheitsdaten, die man nicht in der Cloud haben will. Die dritte Kategorie sind Apps, zu denen es keine Alternative gab, die wirklich nur die benötigten Berechtigungen anfragt. Also Apps, bei denen wir selbst einen Bedarf sehen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Privatsphärefreundliche Wunsch-Apps

Ein Beispiel dafür ist der Netzwerkmonitor, eine App, mit der man den eingehenden und ausgehenden Traffic analysieren kann. Bei der Erstellung kam der Netzwerkmonitor tatsächlich komplett ohne eine Berechtigung aus. Allerdings hat sich Android mittlerweile so grundlegend geändert, dass es die entsprechenden Schnittstellen nicht mehr gibt und der Netzwerkmonitor unter aktuellen Android-Versionen leider nicht mehr funktioniert.

Golem.de: Wie wird so ein App-Wunsch von euch umgesetzt?

Mayer: Erst mal brauchen wir genug Vorlauf, damit wir bis zum Wintersemester eine entsprechende Programmieraufgabe für die Studenten schnüren können. Dabei ist es uns wichtig, dass am Ende auch eine benutzbare App herauskommt, die in einer ersten Version auch in den Play Store kann. Das heißt natürlich nicht, dass sie schon komplett über alle Features verfügt. Aber es soll diesen Punkt geben, an dem der Studierende fertig ist.

Im Fall des Schmerztagebuchs meldete sich die Person im Sommer per E-Mail. Das war dann genug Zeit für uns, das vorzubereiten. Die so geschnürte Aufgabe wurde von einer Gruppe aus drei Studenten gewählt und umgesetzt. Jetzt haben wir eine privatsphärefreundliche Schmerztagebuch-App.