Seit Jahren kursieren Gerüchte, dass unsere Handys uns heimlich zuhören, um personalisierte Werbung anzuzeigen. Doch wie viel Wahrheit steckt hinter diesen Behauptungen? In diesem Artikel beschäftigen wir uns damit, wie App-Tracking technisch die Erfassung und Auswertung unserer Daten ermöglicht und welche Maßnahmen ergriffen werden können, um sich gegen App-Tracking zu schützen.
Der Inhalt im Überblick
- Abhörverdacht: Lauscht das Handy, um gezielte Werbung anzuzeigen?
- Breite Datenspuren für App-Hersteller
- Werbe-IDs: Cookies für das Smartphone
- Macht das Betriebssystem beim App-Tracking einen Unterschied?
- Was sind Software Developer Kits?
- DNS-Filter: Das lässt sich gegen App-Tracking tun
- App-Tracking: Mehr als Mithören von Handys
Abhörverdacht: Lauscht das Handy, um gezielte Werbung anzuzeigen?
Ist es ein Mythos oder doch die Wahrheit, dass unsere Smartphones heimlich Gespräche aufzeichnen, um uns personalisierte Werbung auszuspielen? Technisch können Smartphones durch ihr Mikrofon aber auch durch andere Sensoren als Abhör- und Überwachungsinstrumente dienen. Hannes Federrath, ein Professor für IT-Sicherheit, meinte gegenüber Deutschlandfunk Kultur:
„Immer dann, wenn eine App die Freigabe bekommen hat, aufs Mikrofon zuzugreifen, dann darf sie das, wenn sie im Vordergrund ist, also gerade aktiv ist.“
Aber auch auf gesperrten Android-Geräten können Apps nach Recherche des BR AI + Automation Lab theoretisch heimlich bis zu einer Stunde Tonmaterial aufnehmen. Doch trotz vieler Versuche ist ein solches Verhalten von den großen App-Anbietern bisher noch nicht nachgewiesen worden. Denn es sei auch sehr unwahrscheinlich, dass die durch Apps über das Mikrofon gesammelten Daten zu dem Anzeigen zielgerichteter Werbung genutzt werden. Die vorhandenen Daten reichen meistens aus, um Werbeanzeige genau im richtigen Moment der passenden Zielgruppe anzubieten. Auch Facebook-Gründer Mark Zuckerberg bestritt diesen Vorwurf, als er 2018 vom US-Senat befragt wurde. Hierzu erklärte Hannes Federrath:
„Aus wissenschaftlicher Sicht gibt es bisher keinerlei Anhaltspunkte, dass Apps aus dem Universum von Facebook heraus derlei Bösartiges gemacht haben.“
Das wahrscheinlichere und schwieriger nachzuweisende Szenario hingegen sei, dass bestimmte Personen gezielt über ihr Smartphone und dessen Mikrofon überwacht würden, etwa durch die Polizei, Geheimdienste aber auch Unternehmen. Zuletzt machte Tiktok damit Schlagzeilen, dass man kritisch berichtende Forbes-Journalisten überwachen ließ.
Breite Datenspuren für App-Hersteller
Es sind nicht nur die offensichtlichen Datenspuren, die das Handy „verteilt“, wie die IMEI– und IMSI-Nummer sowie Informationen zum Betriebssystem und zum verwendeten Gerät. Apps sind eine hervorragende Quelle für Nutzungs- bzw. Verhaltensdaten. Das beginnt bei der Installation: Wenn Sie Software aus einem Store installieren, stellen Sie dem App-Store-Betreiber eine vollständige Liste der auf Ihrem Gerät installierten Software und Versionen zur Verfügung.
Zudem neigen Apps dazu, regelmäßig „nach Hause zu telefonieren“. Das kann einerseits nützlich sein, um die Anwendungen z.B. auf dem neuesten Stand zu halten. Jedoch hilft es anderseits auch die Nutzung dieser Anwendungen potentiell zu überwachen.
Werbe-IDs: Cookies für das Smartphone
Wenn über die App Werbung ausgespielt wird, wollen die werbenden Unternehmen natürlich wissen, wie erfolgreich ihre Werbemaßnahmen sind. Ihre Interaktion mit Werbung, die über Apps angezeigt wird, kann von Werbeunternehmen aber nicht in gleicher Weise verfolgt werden wie browserbasierte Werbung, die mit Hilfe von Cookies überwacht wird. Es gibt daher andere Mechanismen wie Apples IFA (Identifier für Werbetreibende), Googles Android-ID und vergleichbare Techniken von Microsoft und einigen größeren Online-Werbenetzwerken. Diese wurden entwickelt, um Werbetreibenden zu helfen, Ihre Nutzung von Apps auf Mobiltelefonen, Tablets und Spielekonsolen zu verfolgen. Eben genauso wie es mit Ihren Browseraktivitäten geschieht.
Aufgrund des Drucks von Nutzern und Gesetzgebern bemühen sich Betriebssystemhersteller in letzter Zeit um mehr Transparenz und Benutzerkontrolle beim App-Tracking.
Was ist App-Tracking-Transparenz (ATT) und wie aktiviert man es?
Apple etwa hat ab iOS 14.5 das App-Tracking eingeschränkt – sofern der Nutzer die Funktion, genannt APP-Tracking-Transparenz (kurz ATT), aktiviert. ATT ist eine neue Funktion von iOS 14.5, die von den Apps verlangt, dass sie um Erlaubnis fragen, wenn sie Ihre Aktivitäten über die Apps und Websites anderer Unternehmen verfolgen möchten. Es soll den Nutzerinnen und Nutzern mehr Kontrolle und Transparenz darüber geben, wie ihre persönlichen Daten von Apps verwendet werden.
Aktivieren lässt sich die Funktion ab iOS 14.5 mit der Entfernung des Häkchens:
- Öffnen Sie die „Einstellungen“-App auf Ihrem iPhone oder iPad.
- Scrollen Sie nach unten und tippen Sie auf „Datenschutz“.
- Wählen Sie „Tracking“.
- Deaktivieren Sie die Option „Apps erlauben, um Erlaubnis zu bitten, mich zu verfolgen“.
Wie deaktiviert man das Tracking per Werbe-ID bei Android?
Auch auf Android-Geräten können Sie das Tracking per Werbe-ID deaktivieren, indem Sie die Einstellungen für Werbung öffnen und die Option „Personalisierte Werbung“ deaktivieren:
- Öffnen Sie zunächst das Menü „Einstellungen“, zum Beispiel über das Zahnradsymbol im Benachrichtigungsbereich.
- Scrollen Sie nach unten und tippen Sie auf „Google“.
- Ein Tipp auf Anzeigen öffnet das Menü, in dem man entweder eine neue Werbe-ID erhalten kann – in diesem Fall besitzt das Smartphone keine und es ist nichts weiter zu tun.
- Falls Sie doch eine Werbe-ID haben, können Sie sie zurücksetzen (dann greifen Apps auf eine neu erstellte ID zu) oder ganz löschen.
Macht das Betriebssystem beim App-Tracking einen Unterschied?
Bei den Apps spielt es meist keine Rolle, auf welcher Plattform diese installiert bzw. ausgeführt werden. Die Datenflüsse sind auf den beiden Plattformen (Android/iOS) meist ähnlich. Laut der Studie Are iPhones Really Better for Privacy? Comparative Study of iOS and Android Apps (September 2021):
„While it has been argued that the choice of smartphone architecture might protect user privacy, no clear winner between iOS and Android emerges from our analysis. Data sharing for tracking purposes was common on both platforms.“
Auch Systemeinstellungen und Funktionen wie Apples ATT helfen nicht wirklich dabei, das Tracking zu verhindern. Vor allem nicht das des Herstellers des Betriebssystems. Die Studien zeigen:
„Beide Systeme übermitteln zahlreiche Daten, selbst dann, wenn der Nutzer verzweifelt versucht, alle (Datenschutz-)Einstellungen so zu justieren, dass möglichst wenig/keine Daten übermittelt werden.“
Zudem belegt die Studie Goodbye Tracking? Impact of iOS App Tracking Transparency and Privacy Labels (Mai 2022):
„Overall, we find that Apple’s new policies largely live up to its promises on making tracking more difficult. Tracking libraries cannot access the IDFA anymore, and this directly impacts the business of data brokers. These data brokers can pose significant risks to individuals, since they try to amass data about individuals from a wide range of contexts and sell this information to third-parties. At the same time, apps still widely use tracking technology of large companies, and send a range of user and device characteristics over the Internet for the purposes of cohort tracking and user fingerprinting. […]“
Durch das „Bemühen“ der Bertriebssystem-Hersteller beim Datenschutz weichen die App-Anbieter also einfach nur auf andere Tracking Möglichkeiten wie Software Development Kits (SDK) oder Fingerprinting aus.
Was sind Software Developer Kits?
Ein Software Development Kit (SDK) ist eine Sammlung von Programmierwerkzeugen und Programmbibliotheken, die Entwicklern vorgefertigte Bausteine bieten, die es ihnen erleichtern, bestimmte Funktionen in ihre Apps zu integrieren.
Fertige Bausteine zum Nutzertracking
Natürlich gibt es auch „Analysemodule“, also vorgefertigte Bausteine für das Tracking. Mitunter sind die Zwecke und abgegriffenen Daten durchaus nachvollziehbar: Die App-Entwickler wollen wissen, wie ihre App genutzt wird und wo sie verbessert werden kann.
Allerdings ist die Grenze zwischen Analyse zur Produktverbesserung und Marketing fließend. Zudem kommen die Analysedienste natürlich auch zum Einsatz, um zu messen, ob eine Werbekampagne in Bezug auf Klicks, Conversions, Impressions und andere relevante Metriken erfolgreich war oder um herauszufinden, für welche Werbung sich jemand interessiert. Des Weiteren stammen die beliebtesten Analysemodule von den großen Tech-Konzernen wie Google und Facebook. Denn sie sind nicht nur kostenlos, sondern versprechen auch eine einfache Integration der Analysedienste in die Werbenetzwerke der Plattformen. Im Gegenzug fließen die gemessenen Daten aber auch an die Urheber der SDKs, die sich meist deren Nutzung zu eigenen Zwecken vorbehalten.
Tracking auch von Nicht-Nutzern möglich
Gerade durch die hohe Verbreitungsquoten, so sollen etwa 42,55 % aller Android Apps die SDK von Facebook einbinden, können die Tech-Konzerne auch Nutzer tracken, die bewusst auf ihre Dienste verzichten. So berichteten Frederike Kaltheuner und Christopher Weatherhead auf ihrem 35C3 Vortrag „How Facebook tracks users on Android (even if you don’t have a facebook account“, dass mindestens 61 Prozent der getesteten Apps automatisch Daten an Facebook übertragen, sobald ein Nutzer die App öffnet, unabhängig davon, ob er ein Facebook-Konto hat oder nicht. Typischerweise sind Daten, die automatisch zuerst übertragen werden, solche die Aufschluss darüber geben, dass ein Nutzer eine bestimmte App verwendet, und zwar jedes Mal, wenn er eine App öffnet. Aus diesen und zusätzlichen Daten wie dem User-Agent oder den IP-Adressen lassen sich dann auch von nicht-registrierten Nutzern sehr individuelle Profile anlegen.
DNS-Filter: Das lässt sich gegen App-Tracking tun
Diesen Vorgang kennt jeder: Man gibt im Browser eine URI ein (also den Domainnamen), dieser wird dann von einem DNS-Server in die zugehörige IP-Adresse übersetzt. Namen lassen sich eben leichter merken als IP-Adressen. Das Domain Name System (DNS) ist im Grunde genommen das Telefonbuch des Internets, das menschenlesbare Domain-Namen (z.B. www.example.com) in IP-Adressen (z.B. 192.168.0.1) übersetzt, damit Computer und andere Geräte miteinander kommunizieren können.
Das DNS kann aber auch als Filter für unerwünschte Inhalte fungieren. So kann man einen DNS-Server-Betreiber wählen kann, der eine Liste mit Domainnamen verwaltet, die entweder Werbung ausliefern oder den Nutzer tracken können und diese blockiert. Daneben gibt es DNS-basierte Werbeblocker als App, die spezielle DNS-Server verwenden, um Anfragen an bekannte Ad-Server und Tracking-Domains zu blockieren oder umzuleiten. Wenn ein Gerät eine Anfrage an eine solche Domain stellt, antwortet der DNS-Server entweder mit einer ungültigen IP-Adresse oder leitet die Anfrage an eine leere Seite weiter. Dadurch wird verhindert, dass Werbung und Tracker auf der Zielseite geladen werden.
Man kann die Filterung darüber entweder per App wie blokada, AdAway, AdGuard Pro auf dem Gerät vornehmen lassen oder indem man seinen DNS-Server-Betreiber konfiguriert. Eine sehr ausführliche Anleitung dazu finden Sie u.a. auf dem Kuketz Blog.
App-Tracking: Mehr als Mithören von Handys
Obwohl unsere Handys technisch in der Lage sind, uns heimlich abzuhören, ist die Wahrscheinlichkeit, dass dies für gezielte Werbeanzeigen geschieht, eher gering. Denn die App-Anbieter sammeln schon jetzt massenweise Datenpunkte, die zielgerichtete Werbung ermöglichen. Durch das jüngste „Bemühen“ der Bertriebssystem-Hersteller beim Datenschutz sind App-Anbieter einfach auf andere Tracking Möglichkeiten wie SDKs ausgewichen. Zur Verhinderung dieses App-Trackings ist der Einsatz von DNS-Filtern eine Lösung, um unerwünschte Inhalte zu blockieren oder umzuleiten.
In der Zukunft dürfte sich die Technologie zum App-Tracking weiterentwickeln. Durch technologische Innovationen könnte das Tracking präziser und intelligenter werden. Unternehmen und Entwickler werden zunehmend dazu angehalten sein, ihren Nutzern transparentere und benutzerfreundlichere Lösungen bereitzustellen.
Was ich aus eigener Erfahrung sagen kann ist, dass es mir schon öfters mehr als Zufall aufgefallen ist, dass im Google Newsfeed (wenn man auf dem Android nach rechts wischt) und in YouTube Werbeeinblendungen, genau passende Werbung eingeblendet wurde, die auf Konversationen beruhten, die ich erst kurz zuvor im Raum mit anderen Personen führte. Das unheimlichste überhaupt war, dass als ich gerade ein Stück Schokolade gegessen hatte, mir Schokoladenwerbung auf YouTube eingeblendet wurde.
Erst heute wieder habe ich Werbung erhalten von einem Versandhaus, von dem ich noch niemals Werbung bekommen hatte und noch niemals bestellt hatte. Gestern erzählte mir meine Arbeitskollegin, dass sie bei diesem Versandhaus etwas bestellt hatte. Heute ploppt die Werbung bei mir auf. Ich bin mir sicher dass das Handy mit hört!