secuvera GmbH, DAI-Labor (TU Berlin) und TU Chemnitz starten neues BMBF-Projekt
AndProtect zum Thema App-Datenschutz für Android
Smarte Endgeräte gehören heute zum allgegenwärtigen Begleiter im Alltag in Deutschland und weltweit. Dabei sind 76% der mobilen Alleskönner in Deutschland mit dem Android-Betriebssystem ausgestattet. Die Anzahl der Android Apps wird auf ca. 1,4 Millionen geschätzt und wächst ständig weiter. Diese Anwendungen bieten vielfältige Möglichkeiten, Nutzerinnen und Nutzer im Alltag zu unterstützen. Mindestens ein Fünftel der Apps lesen dabei personenbezogene Daten aus. Wichtige Datenschutzfragen hinsichtlich der Transparenz und Weiterverwendung dieser Informationen liegen dabei auf der Hand: Welche App greift eigentlich auf persönliche Daten zu und auf welche genau? Wer hat Zugriff auf meine Daten und wie werden diese weiterverwendet?
Hat eine App einmal Zugriff auf private Daten, sind alle weiteren Verarbeitungsschritte (u. a. Speicherung, Aggregation, Weiterleitung) für den Endnutzer nicht nachvollziehbar. Somit stellen Apps für den Verbraucher nicht nur unterstützende Servicefunktionen im Alltag zur Verfügung, sie beinhalten auch ein bisher unkalkulierbares Datenschutzrisiko. Im Alltag verzichtet jedoch beinahe die Hälfte aller Nutzern darauf Datenschutzbestimmungen oder AGBs überhaupt zu lesen. Häufigster Grund dafür ist, dass dies zu viel Zeit in Anspruch nimmt und diese meist komplex formuliert sind. Daher wäre es besonders wichtig, Nutzerinnen und Nutzern einfach aufbereitete und valide Inhalte hinsichtlich des Datenschutzes der genutzten Apps zu präsentieren.
Die secuvera GmbH aus Gäufelden/Stuttgart, das DAI-Labor der TU Berlin und die Allgemeine und Arbeitspsychologie der TU Chemnitz wirdem men sich genau dieser Problematik innerhalb des Forschungsprojektes AndProtect, gefördert durch das Bundesministerium für Bildung und Forschung.
Das Ziel des zweijährigen Forschungsvorhabens ist es, dem Laien ein benutzerfreundliches Werkzeug zu bieten, mithilfe dessen Nutzerinnen und Nutzer in der Lage sind, eine qualifizierte Aussage über die datenschutzrelevanten Informationsflüsse in Apps zu treffen und somit die Nachvollziehbarkeit und Risikobewertung für Anwender und Anwenderinnen im Alltag zu verbessern. Dies wird durch den Einsatz von für Endbenutzer gebrauchstauglich aufbereiteten Ergebnissen statischer und dynamischer Analyseverfahren erreicht. Diese nutzerzentrierte Gestaltung der Benutzeroberflächen und Informationen, die beide Verfahren liefern, wird primär durch den Projektpartner Technische Universität Chemnitz umgesetzt.
Mit statischen Analyseverfahren, welche aufbauend auf einem Werkzeug Androlyzer des Projektpartners Technischen Universität Berlin weiterentwickelt werden, sollen Informationsflüsse innerhalb der App und nach außen identifiziert werden. Die Aussagekraft der statischen Analyse ist jedoch begrenzt. Insbesondere durch das Nachladen von Codes aus dem Internet oder die Verschleierung des Programmcodes können gewisse Eigenschaften des Programmverhaltens nur während der Ausführung der App analysiert werden.
Hierfür sollen gezielt dynamische Analyseverfahren entwickelt und eingesetzt werden, die die Ergebnisse der statischen Analyse als Ausgangspunkt nutzen. Eine halbautomatisierte Prüfmethodologie wird primär vom Projektpartner secuvera entwickelt, welche diese im Rahmen seiner Prüflabortätigkeiten entwickelt und erprobt. Im Ergebnis soll eine nachvollziehbare und transparente App-Validierung entwickelt werden, welche von unabhängigen Prüfern genutzt werden kann und damit zu objektiven und vergleichbaren Ergebnissen führt.