77Lookup – Bezugsquellen für Software

Sichere Bezugsquellen für Software

Bitte beachten Sie, dass sich das Angebot von Bezugsquellen häufig ändert. Vor allem hinsichtlich der Nutzung von Alternativen für Mobilgeräte von Apple gibt es in der EU nach derzeitigem Stand nur für iPhones die Möglichkeit, andere „App-Verteiler“ (bei Apple gewählte Bezeichnung) als den Apple App Store zu nutzen. Die EU-Regelungen betreffen momentan nur das iPhone. Entsprechend lässt Apple bislang auch nur für diese Geräte alternative Stores zu. Auf dem iPad kann man die dort bezogenen Apps nicht regulär installieren.

Mobilgeräte unter dem Betriebssystem Android

Hinsichtlich der IT-Sicherheit ist das Betriebssystem Android grundsätzlich genauso sicher, wie andere Betriebssysteme. Es lässt dem Nutzer jedoch vergleichsweise viele Freiheiten bei der Installation von Apps. Wenn dieses Maß an Freiheit verantwortungsvoll genutzt wird,  steht die Nutzung alternativer Quellen für den Bezug von Apps einem sicheren Betrieb der Geräte in keiner Weise entgegen. Manche Appstores bieten darüber hinaus einen höheren Schutz der Privatsphäre.

Vorab besonders erwähnenswert ist der Kuketz-Blog. Dort finden zwar eher Besprechungen / Begutachtungen von Apps statt. Dort werden jedoch auch sichere Bezugsquellen genannt. Außerdem lohnt ein Besuch bei SECUSO für Bürger. SECUSO ist ein Forschungsgruppe am Karlsruher Institut für Technologie und bietet einige Apps an, bei denen besonderer Wert auf Sicherheit und den Schutz der Privatsphäre gelegt wird. Die Apps können im Google Play Store oder über F-Droid bezogen werden.

Google Play Store / Play Protect

Bei aller, teils berechtigter Kritik, am Google Playstore sollte auch dessen Leistungsumfang bedacht werden. Neben dem wahrscheinlich umfangreichsten Angebot von Apps bietet der Play Store ein teils höheres Maß an Sicherheit, als seine Alternativen. Dafür steht vor allem Play Protect als Googles integriertem Sicherheitsdienst im Play Store für Android-Geräte. Er bietet vor allem folgende Funktionen:

  • Erkennen von Schadsoftware – Play Protect scannt regelmäßig alle installierten Apps auf Android-Geräten auf mögliche Schadsoftware wie Trojaner oder andere Malware. Gefundene Bedrohungen werden gemeldet und können deinstalliert werden.
  • Sicherheitsüberprüfung – vor der Installation einer neuen App aus dem Play Store wird diese automatisch von Play Protect auf Sicherheitsrisiken überprüft. Potentiell schädliche Apps werden blockiert.
  • Geräteintegritätsprüfung – Play Protect überprüft, ob das Android-Betriebssystem und die installierten Google-Apps auf dem Gerät unverändert und vertrauenswürdig sind.
  • Warnungen – bei Sicherheitsproblemen zeigt Play Protect Warnmeldungen an und gibt Empfehlungen zur Behebung, z.B. das Deinstallieren einer schädlichen App.

Die Funktionen von Play Protect laufen im Hintergrund und sind standardmäßig aktiviert. Der Dienst kann in den Play Store Einstellungen deaktiviert werden, wovon jedoch abzuraten ist. Die Funktionen von Google Play Protect entbinden jedoch die Nutzer nicht von ihrer Verantwortung, selbst dafür Sorge zu tragen, dass keine Apps mit Schadfunktionen auf den Geräten installiert werden. Wie alle anderen Anwendungen und Dienste dieser Art kann Play Protect grundsätzlich nur im Nachhinein schädliche Apps erkennen.

Alternative Bezugsquellen für Geräte unter dem Betriebssystem Android

Neben dem offiziellen Google Playstore ist derzeit (Stand 11.06.2024) vor allem zu nennen:

F-Droid

F-Droid ist ein alternativer App Store für das Betriebssystem Android mit folgenden Leistungsmerkmalen:

  • Freie und Open-Source-Software – Im offiziellen F-Droid-Repository werden ausschließlich freie und quelloffene Apps angeboten, die unter Lizenzen wie der GNU GPL oder Apache-Lizenz stehen. Der Quellcode jeder App ist öffentlich einsehbar und kann modifiziert werden.
  • Transparenz und Sicherheit – Die Installations-Dateien (APK-Dateien) der Apps werden direkt aus den Quellcodeverzeichnissen (Repositories) der Entwickler erzeugt und von F-Droid signiert. Dies sorgt für Transparenz und Sicherheit, da garantiert ist, dass die heruntergeladene App dem Quellcode entspricht.
  • Keine Registrierung erforderlich – Im Gegensatz zu anderen App Stores wie Google Play kann F-Droid anonym genutzt werden, ohne Registrierung oder Kontoeröffnung.
  • Ehrenamtliche Betreiber / Entwickler – F-Droid wird von einer Gemeinschaft ehrenamtlicher Entwickler betrieben, die großen Wert auf Sicherheit und Schutz der Privatsphäre legen.
  • Strenge Richtlinien – Es gelten strenge Richtlinien dafür, welche Apps in F-Droid aufgenommen werden. Sie müssen frei von Werbung, Trackern und anderen unerwünschten Funktionen sein.[2]

Das Vorgehen zur Installation der F-Droid-App wird hier beschrieben. Bitte beachten Sie, dass in älteren Anleitungen erklärt wird, dass zunächst das „Installieren von Apps aus fremden Quellen“ allgemein erlaubt werden muss. Zwischenzeitlich muss in der App, mit deren Hilfe die Installation ausgeführt werden soll (z. B. einem Webbrowser) , das Installieren unbekannter Apps gestattet werden.

Weitere Bezugsquellen für Apps unter dem Betriebssystem Android

Es existieren noch ein Vielzahl weiterer Anbieter von Apps für Android. Diese bieten im Einzelfall durchaus gute Dienste, können hinsichtlich der Vielzahl angebotener Apps, dem Schutz vor Schadsoftware und dem Schutz der Privatsphäre jedoch nicht mit dem Google Play Store oder F-Droid mithalten. Beispielhaft zu erwähnen sind:

  • Amazon Appstore, vor allem für die von Amazon vertriebenen Mobilgeräte
  • Die Stores der Mobilgerätehersteller, wie Samsung, Sony u. v. a., vor allem für die von ihnen vertriebenen Mobilgeräte
  • Bei den alternativen Appstores Aptoide und Aurora sollte im Einzelfall genau geprüft werden, ob die angebotenen Apps das erforderliche Maß an Sicherheit und Schutz der Privatsphäre aufweisen. Außerdem ist zu prüfen, ob gegebenenfalls lizenzrechtliche Verstöße begangen werden können, wenn z. B. Apps, die im Google Play Store nur  kostenpflichtig angeboten werden, an anderer Stelle kostenlos zu beziehen sind.

Installation von Apps über das Dateisystem – Sideloading

Das Betriebssystem Android erlaubt einen vergleichsweise weit reichenden Zugriff auf das Dateisystem der Mobilgeräte. Es ist daher möglich, Installationsdateien für Apps (APK-Dateien) aus beliebiger Quelle zu beziehen, in einem beliebigen Ordner im Dateisystem zu speichern und durch Öffnen der Dateien zu installieren. Die Vorgehensweise ist der auf Laptops / Desktops unter anderen Betriebssystemen (z. B. Windows, Apple MacOS, …) vergleichbar.

APK-Dateien können von beliebigen anderen Datenspeichern (andere Computer / Geräte, Download aus dem Internet, ….)  bezogen werden. Eine der vielen Quellen im Internet ist APKMirror.

Dieses Vorgehen erfordert jedoch ein äußerst hohes Maß an Verantwortung, Vorsicht und gegebenenfalls Zurückhaltung, weil die Sicherheit dieser alternativen Quellen von keiner anderen Stelle seriös geprüft werden kann. Der zuweilen geäußerte schlechte Ruf von Android hinsichtlich seiner Sicherheit ist darauf zurückzuführen, dass Apps nur  zu oft auf verantwortungslose Weise aus dubiosen Quellen bezogen werden.

Mobilgeräte unter dem Betriebssystem Apple iOS / iPadOS

Neben dem offiziellen Apple App Store gibt es derzeit (Stand 11.06.2024) zwei als sicher anzusehende alternative App Stores für iPhones in der Europäischen Union:

Setapp Mobile ist ein alternativer App Store des Unternehmens MacPaw, das bereits den Setapp Store für Mac-Apps betreibt. Setapp Mobile richtet sich an iPhone-Nutzer und bietet eine Auswahl an Apps, die von MacPaw geprüft und kuratiert werden.

Der AltStore PAL ist ein von Drittanbietern betriebener alternativer App Store, der sich speziell an Privatnutzer richtet. Zum Start Mitte April 2024 waren nur zwei Apps verfügbar, aber die Betreiber planen, das Angebot stetig auszubauen.

Für iPads gibt es bisher keine alternativen App Stores, da die EU-Regelungen momentan nur für iPhones gelten.

Allgemeine Regelungen für alternativ bezogene Apps für Apple iOS

Alle Apps in diesen alternativen Stores durchlaufen einen Beglaubigungsprozess bei Apple, um grundlegende Sicherheits- und Integritätsstandards zu gewährleisten. Allerdings führt Apple keine inhaltliche Prüfung wie im App Store durch. Die Betreiber der Stores sind für die Inhalte und den Support verantwortlich.

Es ist wichtig zu beachten, dass einige iPhone-Funktionen wie Einschränkungen für In-App-Käufe, Familienfreigabe und Kaufanfragen bei Apps aus alternativen Stores nicht funktionieren, da sie das Apple-Kaufsystem nicht nutzen.

Nutzung alternativ bezogener Apps für Apple iOS beim Verlassen der EU

Die Möglichkeit, alternative App Stores zu nutzen, ist ausschließlich für Nutzer in der EU gedacht. Sobald man sich außerhalb der EU befindet, können keine Apps mehr aus diesen Quellen bezogen werden.

Bereits auf dem iPhone installierte Apps aus alternativen Stores werden nach dem Verlassen der EU deaktiviert und sind nicht mehr nutzbar. Sie können dann nur noch über den offiziellen Apple App Store aktualisiert werden.

Für Probleme mit aus alternativen Quellen bezogenen Apps bietet Apple außerhalb der EU keinen Support. Der Nutzer ist auf die Hilfe der jeweiligen Store-Betreiber oder App-Entwickler angewiesen.

In manchen Ländern außerhalb der EU könnte die Installation von Apps aus nicht von Apple autorisierten Quellen sogar rechtliche Konsequenzen haben und als Urheberrechtsverletzung gewertet werden.

Download von Software über seriöse Webseiten

Wer einen guten Namen zu verlieren hat, wird ihnen am ehesten seriöse Angebote machen. Nicht nur Computerzeitschriften, sondern auch Tages- oder Wochenzeitungen oder Fachzeitschriften berichten oft über interessante oder lohnende Anwendungen / Apps. Computerzeitschriften unterhalten zuweilen eigene Downloadportale, in denen (nach eigener Darstellung) auf Schadfunktionen geprüfte Anwendungen zum Download angeboten werden.

Downloadportale von Computerzeitschriften

Beispielhaft seien erwähnt:

Rechnen Sie jedoch damit, dass auf diesen Seiten auch Werbung angeboten wird.

Seriöse Blogs

Zum Beispiel:

  • Kuketz-Blog – Empfehlungsecke – kurze Besprechungen und Empfehlung von Anwendungen und Verhaltensweisen
  • dieser Blog – wmcivis.de
  • Forschungsgruppe SECUSO

Download beim Herausgeber / Entwickler der Anwendung

Hier ist aus folgenden Gründen besondere Vorsicht geboten. Webseiten haben zuweilen eine Internetadresse, in der zwar der Name der Anwendung vorkommt. Tatsächlich handelt es sich dabei aber oft nicht um den originären Herausgeber der Anwendung. Beispiele hierfür sind:

IrfanView

IrfanView ist eine sehr beliebte Anwendung zur Anzeige (und teilweise Bearbeitung) von Bildern unter dem Betriebssystem Windows (Freeware bei privater Nutzung).

  • die offizielle Internetadresse lautet:  irfanview.com/
  • es gibt auch die Adresse irfanview.de – hierbei handelt es sich jedoch nicht um den Herausgeber der App, sondern eine andere Person, deren Motivation hierfür unbekannt ist.
  • ebenfalls Vorsicht ist geboten bei der Adresse:  irfanview.de.softonic.com/. Hier bietet ein Downloadportal (softonic.com) anscheinend die Software zum Download an. Motivation und Seriosität lassen sich schwer einschätzen.
  • wenn Sie die offizielle Internetadresse nicht kennen, suchen Sie am besten bei Wikipedia nach einer Beschreibung der App oder versuchen es bei den o.g. Portalen seriöser Computerzeitschriften

VLC media-player

Die kostenlose Anwendung spielt Audio- und Video-Dateien ab. Mögliche Quellen sind Blu-Ray-Disks, DVDs sowie Streams aus dem Internet. Die Software beherrscht ein Vielzahl von Wiedergabeformaten. Auch das Aufnehmen sowie Konvertieren von Videos und Audio-Dateien ist möglich. VLC media player lauft unter den Betriebssystemen Android, Linux, iOS, Apple macOS und Windows.

  • die offizielle Internetadresse lautet: videolan.org/vlc
  • es gibt auch die Adresse vlc.de – hierbei handelt es sich jedoch nicht um den Herausgeber der App, sondern eine andere Person, deren Motivation hierfür unbekannt ist.
  • ebenfalls Vorsicht ist geboten bei der Adresse: softpedia.com/downloadTag/VLC . Hier bietet ein Downloadportal (softpedia.com) anscheinend die Software zum Download an. Motivation und Seriösität lassen sich schwer einschätzen.
  • wenn Sie die offizielle Internetadresse nicht kennen, suchen Sie am besten bei Wikipedia nach einer Beschreibung der App oder versuchen es bei den o.g. Portalen seriöser Computerzeitschriften

Es gibt Downloadportale, deren Seriosität schwer einzuschätzen ist. Manche packen in die Downloaddateien beliebter Anwendungen weitere Softwarekomponenten, wie Werkzeugleisten für Webbrowser (Toolbars), Werbeanwendungen (Adware) und andere „Potenziell Unerwünschte Programme – PUP„. Eine Beschreibung finden Sie hier 

Quellen:
– YourDevice – F-Droid installieren
– Wikipedia F-Droid 
– heise-online – F-Droid
– connect – alternative Appstores
– Apple Support alternative App-Verteiler
– MacTechNews vom 23.05.24
– Medienkompetenzrahmen NRW – bezogen auf Unterrichtsmaterialien