Wer eine App herunterladen möchte, kann sich virtuell bedienen - in Megastores, mit deren Angebotsfülle es kein Kaufhaus der Welt aufnehmen kann. Autorennspiele werden neben Wetter-Apps angeboten, Navigationssysteme neben dem Karaokeprogramm. Im App-Store den Überblick zu behalten ist keine leichte Aufgabe, zwei Millionen Programme fürs Smartphone locken. Viele Angebote sind gratis, man muss sie nur herunterladen. Bevor man das tut, sollte man sich aber die Frage stellen: Ist die Anwendung vertrauenswürdig - oder gar gefährlich?
Gefährlich sind viele Apps, das zeigt eine Recherche der US-Softwarefirma Brandingbrand. Entwickler haben demnach zu Beginn des Weihnachtsgeschäfts hunderte Fake-Anwendungen in Apples App-Store gestellt. Die Masche: Unter dem Deckmantel bekannter Marken entwickeln die Fälscher Shopping-Apps. Im besten Fall bekommt der Nutzer von Ihnen nur penetrant Werbung ausgespielt. Hinter den Fake-Apps können aber auch Viren lauern, die im schlimmsten Fall Kontozugänge oder Geld abziehen.
Je beliebter die App, desto wahrscheinlicher der Fake
"Shopping Online for Michael Kors" etwa versprach für die Accessoires der Luxusmarke Rabatte von 30 bis 50 Prozent, die nie eingelöst werden konnten - stattdessen folgte auf den Download ein Werbe-Bombardement. Eine Organisation namens Footlocke Sports Co., Ltd. imitierte das US-Unternehmen Footlocker. Sie spezialisierte sich auf Schuhe, und bot 16 vermeintliche Shopping-Apps von Nike, Adidas, Puma und anderen an, deren Namen nur leicht vom Original abwichen. Schuhe der genannten Marken konnte man dort nicht kaufen - mit einem Download wurde aber ein Trojaner heruntergeladen, der sensible Daten an Kriminelle weiterleitete. Auch Namen von Unternehmen, die selbst gar keine App anbieten, werden ausgenutzt: Der Billigdiscounter Dollar Tree hatte keine App - bis eine Fälschung im App Store auftauchte.
Es ist nicht das erste Mal, dass Apps missbraucht werden. Heise.de berichtete diesen Sommer von 215 angeblichen Pokémon Go-Apps, die Kreditkartenzugänge und Logins zu sozialen Medien erfassten. Auch eine Fälschung der Foto-App Prisma wurde genutzt, um Viren zu übertragen. Je verbreiteter die Anwendung ist, desto höher die Gefahr.
Verbrecher "rooten" das Smartphone für den Datenklau
"Es gibt zwei Arten von Bedrohungen", sagt Thomas Wespel, Deutschlandchef der Sicherheitsfirma Avast. "Viele solcher Apps sind dafür konzipiert, Werbung für andere Produkte auszuspielen. In der Beschreibung werden etwa Rabatte angeboten, in der App findet man aber vor allem Werbungen für ein Handy-Spiel." Der Weg über die gefälschten Markennamen ist also eine Art Werbekanal. Dazu zählt Wespel auch solche Apps, die bestimmte aktuelle Themen ausnutzen um Reichweite zu gewinnen, wie die US-Wahl.
"Gefährlich wird es, wenn getarnte Dateien in der App oder verlinkte Webseiten Viren auf das Smartphone spielen und das Betriebssystem anzapfen", sagt Wespel. Rooten nennen Fachleute diese Art der Cyberattacke. Kriminelle können das Smartphone so auf alles durchsuchen, was sie zu Geld machen können: Kontozugänge, Kreditkartendaten, App-Passwörter. Wespel spricht von professionellen Verbrechern: "Es wird Geld investiert, um Geld zu machen."
Wenn mit den Daten nicht direkt Geld entwendet wird, versuchen Kriminelle über das sogenannte Spear-Phishing Beute zu machen. Dabei nutzen sie die abgesogenen Informationen, um Opfer zu manipulieren. Das passiert etwa, indem sie speziell auf das Angriffsziel zugeschnittene E-Mails schreiben, die eine persönliche Ansprache und dem Opfer vertraute Informationen erhält. Und zum Beispiel eine Rechnung, die täuschend echt aussieht - aber die Kontodaten der Kriminellen enthält.
Seit neuestem greifen Kriminelle über Apples Store an
Lange galt vor allem Googles Playstore als anfällig. Beim Start 2008 gab es keinen Virenscan für hochgeladene Apps. Vier Jahre später sah Google sich gezwungen, auf die zunehmende Zahl von schädlichen Apps zu reagieren und setzte den Bouncer ein: Das Antivirusprogramm prüft die Entwickler und den Quellcode von hochgeladenen Apps. Viele Tech-Blogs bezeichnen den Sicherheitscheck aber als unzureichend.
Noch immer berichten Medien regelmäßig von verdächtigen Apps, die im Playstore entdeckt werden. Wie Google das Problem aktuell angeht, beantwortete das Unternehmen bislang auf Anfrage nicht.
Im App-Store von Apple gab es bislang zwar Einzelfälle, doch dass so viele gefälschte App es auf die Plattform schaffen, ist neu. Die "Review Guidelines" des Konzerns, die Qualitätsvorgaben für App-Entwickler, erstrecken sich über rund 15 Webseiten. Entwickler nennen den App Store nicht umsonst eine " Nuss, die hart zu knacken ist".
Doch dieses Jahr hat sich das geändert. Apple Marketingchef Phil Schiller sagte einem US-Technikblog, dass Apple neue Apps nun deutlich schneller prüfe, ganz im Sinne der Entwickler. Mussten die zuvor oft mehrere Tage auf eine Rückmeldung von Apple warten, wurden dieses Jahr rund 50 Prozent der Apps innerhalb eines Tages genehmigt. Mehr Apps, mehr Geld für Apple - aber die Sicherheit leidet darunter.
Apple hat einem Sprecher zufolge die gefälschten Shopping-Apps nach der aktuellen Berichterstattung entfernt. Man überprüfe seit September "alle zwei Millionen Apps hinsichtlich Sicherheit und Aktualität". Den Marktforschern von Sensor Tower zufolge hat Apple allein im Oktober fast 50 000 Anwendungen gelöscht.
Es gilt vor allem, schon vor dem App-Download einige Eckdaten zu überprüfen.
- Bekanntheit: Je größer der Hype um eine App, desto größer die Gefahr durch Fälschungen. Wenn es also viele Angebote mit ähnlichem Namen gibt, sollte man achtsam sein: Auffallend schlechte Rechtschreibung und Logos mit schwacher Bildqualität sind bei gefälschten Apps üblich.
- Entwicklername: Etablierte Unternehmen entwickeln Apps meist im eigenen Unternehmen. Demnach sollte die E-Mailadresse des Entwicklers den Domainnamen des Unternehmens haben, wie whatsapp.com. Ist das nicht der Fall, ist Skepsis angebracht. Der Entwickler der App "Whatsapp Gold" hat etwa eine gewöhnliche Gmail-Adresse statt der firmeneigenen Whatsapp.com-Domain. Der Download des angeblichen Messengers bringt auch nicht die versprochenen Premium-Funktionen, sondern lädt einen Trojaner auf das Smartphone.
- Downloads: Eine hohe Anzahl an Downloads wirkt vertrauenswürdig, kann aber auch erkauft sein. Sind nur wenige Downloads sichtbar, sollten externe Rezensionen hinzugezogen werden.
- App-Rezensionen: Bewertungen und Nutzerkommentare geben ähnlichen Aufschluss wie Downloadzahlen - aber auch sie können gekauft sein. Nutzer sollten die Authentizität prüfen. Je unterschiedlicher die Beiträge, desto wahrscheinlicher sind sie von echten Nutzern geschrieben worden. Im Zweifel sollten eher schlechte als gute Bewertungen betrachtet werden.
- App-Zugriffe: Eine Wetter-App braucht den Standort des Smartphone-Nutzers, das ist nachvollziehbar. Aber braucht eine Wasserwaage ihn auch? Wenn die App unnütze Berechtigungen fordert, ist Misstrauen angebracht.
Antivirussoftware ist Pflicht, reicht aber nicht aus
In Sachen PCs wissen mittlerweile auch Laien: Antivirensoftware ist ein Muss. Auf dem Smartphone ist sie noch lange keine Selbstverständlichkeit. Zu Unrecht, sagt die Sicherheitsfirma Trend Micro in einem Bericht: "Ende 2016 werden 20 Millionen unterschiedliche Schadsoftwares im Umlauf sein, die mobile Gadgets attackieren können. Die meisten davon sind Android-Apps".
Thomas Wespel warnt: "Antivirusprogramme minimieren das Risiko, aber sie sind per Definition immer nur reaktiv: Unsere Programmierer können Viren erst bekämpfen, wenn sie bereits im Umlauf sind". Und im schlimmsten Fall schon Schaden angerichtet haben. Besonders wer oft mobil Geld überweise sollte überlegen, dafür ein Zweitsmartphone zu nutzen und darauf so wenige Anwendungen wie möglich zu installieren.
Datenschützer werfen Antiviren-Apps allerdings ebenfalls vor, die Daten ihrer Nutzer gewinnbringend zu verwerten. Wespel hält dagegen: "Dieses Geschäftsmodell erlaubt es, die Software gratis oder günstig anzubieten. Was wir dabei jedoch garantieren: Die Daten werden komplett anonym behandelt."