01832 – ASwD – Bezugsquellen und Prüfraster

Sichere Bezugsquellen und Prüfraster

Gegen die Macht der Digitalkonzerne – Alternative Software und Dienste – Teil 2

Sichere Bezugsquellen

Nachfolgend werden nur die wesentlichen Punkte zusammengefasst, eine ausführliche Beschreibung finden Sie hier.

App-Stores der Systemanbieter

Der Begriff „App-Store“ ist wird im Folgenden als Gattungsbezeichnung für „Online-Marktplätze für Anwendungen (Apps)“ verwendet.
Es ist kaum möglich, für diese Einrichtungen einen kurzen passenden deutschen Begriff zu finden. „Online-Marktplatz“ oder „App – Marktplatz“ sind bislang kaum im allgemeinen Sprachgebrauch vertreten. Der im technischen Umfeld teils genutzte Begriff „repository“ ist einerseits zutreffend, würde aber andererseits ein Wort aus dem Englischen durch ein anderes ersetzen. Hinzu kommt, dass „App Store“, „Google Play Store“ oder „Amazon Appstore“ eingetragene Markennamen von Apple Inc., Google LLC oder Amazon.com, Inc. sind. Diese Stores bieten darüber hinaus teilweise auch Multimediaprodukte (Spiele, Videos usw.) an.

Zu den Systemanbietern, die eigene App-Stores betreiben, zählen z. B.

  • Google Play Store für Apps unter Android
  • Apple App Store für Apps unter Apple iOS bzw. iPadOS
  • Microsoft Store für Windows
  • Google Chrome Web Store (eher für Add-Ons von Browsern)
  • Amazon Appstore
  • Galaxy Store von Samsung
  • u. v. a.

IT-Sicherheit

Die Fülle des Angebots der bekannten App-Stores von Apple und Google für Mobilgeräte unter den Betriebssystemen Android und iOS bzw. iPadOS ist bislang konkurrenzlos. Auch aus Sicht der IT-Sicherheit sollte den bekannten Stores der Anbieter von Hard- und Software grundsätzlich Beachtung gewährt werden. Deren Aufwand zur Prüfung auf Schadfunktionen von zur Aufnahme in das Angebot eingereichten Apps wird nur von wenigen alternativen Anbietern geleistet.

Der im Betriebssystem Android enthaltene Sicherheitsdienst Google Play Protect überprüft darüber hinaus auch Apps, die aus anderen Quellen als dem Play Store installiert wurden, auf Sicherheitsprobleme und bösartige Aktivitäten.

Play Protect bietet folgende Funktionen:

  • Erkennen von Schadsoftware – Play Protect scannt regelmäßig alle installierten Apps auf Android-Geräten auf mögliche Schadsoftware wie Trojaner oder andere Malware. Gefundene Bedrohungen werden gemeldet und können deinstalliert werden.
  • Sicherheitsüberprüfung – vor der Installation einer neuen App aus dem Play Store wird diese automatisch von Play Protect auf Sicherheitsrisiken überprüft. Potentiell schädliche Apps werden blockiert.
  • Geräteintegritätsprüfung – Play Protect überprüft, ob das Android-Betriebssystem und die installierten Google-Apps auf dem Gerät unverändert und vertrauenswürdig sind.
  • Warnungen – bei Sicherheitsproblemen zeigt Play Protect Warnmeldungen an und gibt Empfehlungen zur Behebung, z.B. das Deinstallieren einer schädlichen App.

Die Funktionen von Play Protect laufen im Hintergrund und sind standardmäßig aktiviert. Der Dienst kann in den Play Store Einstellungen deaktiviert werden, wovon jedoch abzuraten ist.

Die Funktionen von Google Play Protect entbinden jedoch die Nutzer nicht von ihrer Verantwortung, selbst dafür Sorge zu tragen, dass keine Apps mit Schadfunktionen auf den Geräten installiert werden. Wie alle anderen Anwendungen und Dienste dieser Art kann Play Protect grundsätzlich nur im Nachhinein schädliche Apps erkennen.

Wahlfreiheit

Schlechter sieht es dagegen hinsichtlich der Wahlfreiheit aus. So stößt das Geschäftsgebaren von Apple zum Betrieb des App Stores auch nach Inkrafttreten des Gesetzes für digitale Märkte teilweise auf harsche Kritik.

Nach aktuellem Stand hat sich Apple lediglich bereiterklärt, auf in Europa betriebenen iPhones alternative Betreiber von App-Stores zuzulassen. Außerhalb Europas sowie für die von Apple vertriebenen Tablets (diese laufen unter dem Betriebssystem iPadOS), ist diese Öffnung nicht verfügbar. Die EU wird daher in diesem Zusammenhang wahrscheinlich erste Strafen gegen Apple erlassen.

Google sah sich in den Vorjahren Vorwürfen hinsichtlich seines Play Stores ausgesetzt, hat zwischenzeitlich offenbar eingelenkt und in eine Zahlung von 700 Millionen US-Dollar eingewilligt. Auf Mobilgeräten unter Android war es schon immer möglich, Apps aus anderen Quellen als dem Google Play Store zu beziehen. Dies muss außerhalb der alternativen App-Stores für Android nach wie vor von den Nutzern ausdrücklich und für jeden Einzelfall zugelassen werden. Die Verantwortung für die Sicherheit tragen dann allein die Nutzer.

Schutz der Privatsphäre

Wiederum anders stellt sich die Situation beim Schutz der Privatsphäre dar. Hier müssen jedoch die Eigenschaften von Apps und die Arbeitsweise der Stores auseinandergehalten werden.

Nutzer können aus der großen Zahl von Apps eine Auswahl treffen. Viele treffen dabei die Entscheidung, dem Betreiber von Apps freiwillig ihre Daten zu überlassen. Es steht weder dem Betreiber der App Stores zu, diese Entscheidung zu überstimmen, noch ist es ihm technisch möglich, die Weitergabe von Daten zu unterbinden. Mangelhafter Schutz der Privatsphäre von Apps kann daher nicht dem Anbieter von Betriebssystemen angelastet werden.

Die Betreiber vieler App Store „kennen“ ihre Kunden, weil sich diese zur Nutzung der Stores anmelden müssen. Hierzu dienen z. B. die Apple-ID oder das „Google-Konto“. Die Betreiber sammeln dabei entgegen vielen Beteuerungen Daten der Nutzer und werten sie aus. Sie stehen dabei auch in Konkurrenz der Daten- und Werbewirtschaft, die sich ebenfalls ihren Anteil an den wertvollen Daten sichern will.

In den lokalen Einstellungen der Betriebssysteme sowie in den Online-Konten kann das Sammeln von Daten in unterschiedlichem Maße eingeschränkt werden. Auch hier sind die Nutzer eindeutig in der Verantwortung, sich entweder damit abzufinden oder nach Alternativen zu suchen.

Alternative Bezugsquellen für Apps

Den zuvor beschriebenen Umständen entsprechend, lassen sich derzeit nur für Mobilgeräte unter dem Betriebssystem Android verlässliche Aussagen treffen.

F-Droid

F-Droid ist ein alternativer App Store für das Betriebssystem Android mit folgenden Leistungsmerkmalen:

  • Freie und Open-Source-Software – Im offiziellen F-Droid-Verzeichnis werden ausschließlich freie und quelloffene Apps angeboten, die unter Lizenzen wie der GNU GPL oder Apache-Lizenz stehen. Der Quellcode jeder App ist öffentlich einsehbar und kann modifiziert werden.
  • Transparenz und Sicherheit – Die Installations-Dateien (APK-Dateien) der Apps werden direkt aus den Quellcodeverzeichnissen (Repositories) der Entwickler erzeugt und von F-Droid signiert. Dies sorgt für Transparenz und Sicherheit, da garantiert ist, dass die heruntergeladene App dem Quellcode entspricht.
  • Keine Registrierung erforderlich – Im Gegensatz zu anderen App Stores wie Google Play kann F-Droid anonym genutzt werden, ohne Registrierung oder Kontoeröffnung.
  • Ehrenamtliche Betreiber / Entwickler – F-Droid wird von einer Gemeinschaft ehrenamtlicher Entwickler betrieben, die großen Wert auf Sicherheit und Schutz der Privatsphäre legen.
  • Strenge Richtlinien – Es gelten strenge Richtlinien dafür, welche Apps in F-Droid aufgenommen werden. Sie müssen frei von Werbung, Trackern und anderen unerwünschten Funktionen sein.

Das Vorgehen zur Installation der F-Droid-App wird hier beschrieben. Bitte beachten Sie, dass in älteren Anleitungen erklärt wird, dass zunächst das „Installieren von Apps aus fremden Quellen“ allgemein erlaubt werden muss. Zwischenzeitlich muss in der App, mit deren Hilfe die Installation ausgeführt werden soll (z. B. einem Webbrowser) , das Installieren unbekannter Apps gestattet werden.

Downloadportale von Computerzeitschriften

Wer einen guten Namen zu verlieren hat, wird ihnen am ehesten seriöse Angebote machen. Nicht nur Computerzeitschriften, sondern auch Tages- oder Wochenzeitungen oder Fachzeitschriften berichten oft über interessante oder lohnende Anwendungen / Apps. Computerzeitschriften unterhalten zuweilen eigene Downloadportale, in denen (nach eigener Darstellung) auf Schadfunktionen geprüfte Anwendungen zum Download angeboten werden.

Beispielhaft seien erwähnt:

Rechnen Sie jedoch damit, dass auf diesen Seiten auch Werbung angeboten wird.

Downloads über seriöse Blogs

Zum Beispiel:

Download beim Herausgeber / Entwickler der Anwendung / andere Downloadportale

Hier ist besondere Vorsicht geboten. Es gibt Downloadportale, deren Seriosität schwer einzuschätzen ist. Manche packen in die Downloaddateien beliebter Anwendungen weitere Softwarekomponenten, wie Werkzeugleisten für Webbrowser (Toolbars), Werbeanwendungen (Adware) und andere „Potenziell Unerwünschte Programme – PUP“. Eine Beschreibung finden Sie hier 

Diese zweifelhaften Webseiten haben zuweilen eine Internetadresse, in der zwar der Name der Anwendung vorkommt. Tatsächlich handelt es sich dabei aber oft um ein Downloadportal und nicht um den originären Herausgeber der Anwendung. Beispiele hierfür können bei Bedarf eingeblendet werden:

IrfanView

IrfanView ist eine sehr beliebte Anwendung zur Anzeige (und teilweise Bearbeitung) von Bildern unter dem Betriebssystem Windows (Freeware bei privater Nutzung).

  • die offizielle Internetadresse lautet:  irfanview.com/
  • es gibt auch die Adresse irfanview.de – hierbei handelt es sich jedoch nicht um den Herausgeber der App, sondern eine andere Person, deren Motivation hierfür unbekannt ist.
  • ebenfalls Vorsicht ist geboten bei der Adresse:  irfanview.de.softonic.com/. Hier bietet ein Downloadportal (softonic.com) anscheinend die Software zum Download an. Motivation und Seriosität lassen sich schwer einschätzen.
  • wenn Sie die offizielle Internetadresse nicht kennen, suchen Sie am besten bei Wikipedia nach einer Beschreibung der App oder versuchen es bei den o.g. Portalen seriöser Computerzeitschriften

VLC media-player

Die kostenlose Anwendung spielt Audio- und Video-Dateien ab. Mögliche Quellen sind Blu-Ray-Disks, DVDs sowie Streams aus dem Internet. Die Software beherrscht ein Vielzahl von Wiedergabeformaten. Auch das Aufnehmen sowie Konvertieren von Videos und Audio-Dateien ist möglich. VLC media player lauft unter den Betriebssystemen Android, Linux, iOS, Apple macOS und Windows.

  • die offizielle Internetadresse lautet: videolan.org/vlc
  • es gibt auch die Adresse vlc.de – hierbei handelt es sich jedoch nicht um den Herausgeber der App, sondern eine andere Person, deren Motivation hierfür unbekannt ist.
  • ebenfalls Vorsicht ist geboten bei der Adresse: softpedia.com/downloadTag/VLC . Hier bietet ein Downloadportal (softpedia.com) anscheinend die Software zum Download an. Motivation und Seriösität lassen sich schwer einschätzen.
  • wenn Sie die offizielle Internetadresse nicht kennen, suchen Sie am besten bei Wikipedia nach einer Beschreibung der App oder versuchen es bei den o.g. Portalen seriöser Computerzeitschriften

Weitere Bezugsquellen und Vorgehensweisen beim Bezug von Apps

Auf einer eigenen Seite finden Sie eine ausführlichere Darstellung.

Prüfraster für alternative Software und Dienste

Die Geeignetheit einer Software oder eines Dienstes im Internet sollte anhand verschiedener Fragestellungen geprüft werden, z. B.,

Anbieter / Herausgeber / Entwickler

Handelt es sich um eine Privatperson, eine Gruppe oder ein Unternehmen? Dies kann erste Rückschlüsse zur langfristigen Verfügbarkeit, zur Unterstützung bei offenen Fragen oder den zu erwartenden Kosten geben.

Beim Herkunftsland stellen sich Fragen zu rechtlichen Gegebenheiten (Urheberrecht, …) oder zur digitalen Integrität . Der Gesamteindruck gibt erste Hinweise zur Seriosität.

Nutzungslizenz

In welchem rechtlichen Rahmen ist das Produkt einsetzbar (Urheberrecht, Lizenzen, nicht-private Nutzung, …) ?

Funktionsumfang

Was leistet das Produkt, ist es für den angestrebten Zweck brauchbar?

Benutzeroberfläche

Hält sich die Benutzeroberfläche an die weltweiten Standards? Wie groß wird der Umstellungsaufwand hinsichtlich der Bedienung sein? Setzt der Anbieter manipulative Techniken ein, welche die Wahlfreiheit einschränken?

Langfristige Verfügbarkeit

Stehen für das Produkt (voraussichtlich) über einen längeren Zeitraum Updates zur Verfügung?

Dateiformate

Welches Dateiformat verwendet die Software bzw. gibt es eine Im- und Exportfunktion für die weltweit üblichen Dateiformate?

IT-Sicherheit

Hält sich der Anbieter an die hier geltende Rechtsordnung bzw. muss mit Ausspähung gerechnet werden? Unterstützt der Anbieter die gängigen Anforderungen an die IT-Sicherheit (Verfügbarkeit, Integrität und Vertraulichkeit).

Schutz der Privatsphäre

Hält sich der Anbieter an die hier geltende Rechtsordnung bzw. muss mit Ausforschung (z. B. durch unnötige Zugriffe auf Dateninhalte oder Metadaten, wie Standort, Kontakte / Adressbücher, … )? Unterstützt der Anbieter die gängigen Anforderungen an den Schutz der Privatsphäre (Vorschriften der Datenschutzgrundverordnung u. ä.)

Hilfefunktionen

Wie wird im Falle von offenen Fragen Hilfestellung gewährt? Gibt es Handbücher, Supportseiten des Anbieters im WWW oder gibt es allenfalls eine „Community“, d.h., ein Forum in dem man Fragen stellen kann und zuweilen durchaus nützliche Antworten von anderen Nutzern erhält. Darauf kann man sich aber nicht verlassen.

Zur Gliederung / Inhaltsverzeichnis
Weiter / Nächste Seite