Vom Auslesen der eigenen Kontakte über die Weitergabe des Standorts bis zur Nutzung der Handykamera – wir haben uns daran gewöhnt, dass Apps gleich bei ihrer Installation allerhand pauschale Berechtigungen verlangen. Doch was genau sie damit anstellen, wird nicht mitgeteilt. Keine Spur von informationeller Selbstbestimmung! Vielmehr stürzen uns Apps in die informationelle Ahnungs- und oft auch Sorglosigkeit. Das ist eine gefährliche Ignoranz angesichts betrügerischer Apps, die heimlich Daten ausspähen und eigenmächtig teure SMS-Dienste starten.

Abhilfe versprechen – wie könnte es in der Smartphone-Ära auch anders sein – neue Apps. Informatiker aus Berlin und Saarbrücken haben die Selbstbestimmungs-Helferlein entwickelt.

Nur eines davon finden Nutzer des Betriebssystems Android (es läuft auf zwei von drei Smartphones in Deutschland) allerdings im Google-Play-App-Store, der wichtigsten Quelle für neue Apps. Es heißt Androlyzer und stammt aus einem Labor der Technischen Universität Berlin.

Einmal installiert, kann der Androlyzer anderen Apps auf dem Telefon tief in deren Programmcode blicken: Welche privaten Daten werden abgerufen und nach außen gesendet? Ist dabei etwas verdächtig oder gar kriminell? Gut geordnet und farblich markiert, gibt der Androlyzer Auskunft. Zwischen zwei und 60 Minuten dauert eine App-Durchleuchtung. Besonders aufwendig ist sie bei Apps für den Zugang zu Sozialen Netzwerken wie Facebook, WhatsApp oder Google+. Ihre Analyseergebnisse sammeln und präsentieren die Berliner auch auf einer Website. Aber Androlyzer kann nicht mehr als warnen. Schadprogramme löschen (oder unter Quarantäne stellen) kann er nicht. Anders als bei Apples iOS können Nutzer bei Android die Zugriffsrechte einzelner Apps nicht einmal einschränken. "Bei Android gilt: Friss oder stirb", sagt Projektleiter Leonid Batyuk. "Entweder man installiert eine App vollständig – oder man lässt es ganz bleiben."

Einen Ausweg dafür bietet der Appguard vom Kompetenzzentrum IT-Sicherheit der Universität des Saarlandes. Er schmuggelt zusätzliche Programmzeilen in die installierten Apps, damit der Nutzer diesen nachträglich Berechtigungen entziehen kann. Sogar lästige Werbung lässt sich damit abschalten. Und das ist wohl auch der tiefere Grund dafür, dass Google den Appguard bereits zweimal aus dem Play Store geworfen hat.

Allerdings gesteht der leitende Entwickler Philipp von Styp-Rekowsky auch ein: "Rechtlich bewegen wir uns in einer Grauzone." Änderungen am Programmcode von Apps untersagen Googles Nutzungsbedingungen explizit. Deshalb bauen die Saarbrücker Informatiker gerade an einer juristisch unproblematischen Alternative (Arbeitstitel "Boxify"), einer Art digitaler Quarantänestation, in der Apps wie gewohnt installiert werden können. Vom Rest der Programme und Daten auf einem Smartphone bleiben sie aber isoliert – und jeder Kontaktversuch nach außen kann überwacht und verhindert werden. Für Betriebssysteme stationärer Computer ist so etwas längst unter dem Begriff "Sandbox" (Sandkiste) üblich.

Besonders Angestellten, die ihr privates Smartphone auch während der Arbeit nutzen wollen, könnte diese Quarantäne nützen. So ließe sich ein dienstlicher Bereich auf dem Handy einrichten, der sauber von allen privaten Daten und Apps getrennt ist. Ein Prototyp läuft bereits auf Testgeräten, im nächsten halben Jahr soll Boxify marktreif sein. Das technische Konzept halte sich an alle Android-Regeln, versichert von Styp-Rekowsky. "Jetzt hoffen wir, dass Google uns akzeptiert."