Taschenwanze

Solche Datenmassen versendet ein typisch eingerichtetes Android-Smartphone regelmäßig

Ein klassisch eingerichtetes Android-Smartphone versendet regelmäßig für diverse Firmen einen bunten Blumenstrauß wertvoller Nutzerdaten. Mit so einem Gerät ist man regelrecht „gläsern“. Die verhältnismäßig geringen Kosten und viele Gratis-Apps haben ihren Preis.

Smartphone liegt auf hellem Hintergrund, visualisierte Datenströme gehen davon ab

Solch ein modernes Smartphone versendet im Hintergrund permanent Daten.

Ein Smartphone ist eigentlich ein ziemlich komplexer Computer. Davon merken die meisten Nutzer jedoch nichts: Alles versteckt sich hinter leicht zu begreifenden, wenigen Einstellungsflächen. Zwar nerven mitunter einige Einwilligungs-Buttons auf dem Touch-Display. Aber diese sind schnell abgehakt bzw. weggetappt und danach läuft alles erstaunlich rund, sehr einfach – zu einfach:

Selbst, wenn man sich bei der Einrichtung eines solchen Gerätes etwas mehr Zeit nimmt und gewisse Funktionen innerhalb des Android-Betriebssystems bzw. innerhalb der dort fest integrierten Google-Software (›Playdienste‹) deaktiviert, schützt es einen nicht davor, im laufenden Betrieb sozusagen „ausspioniert“- bzw. protokolliert zu werden.

Hinzu kommen später noch die vielen kostenlosen Programme („Apps„) x, deren einziger Hintergrund häufig vermutlich nur in Einem besteht: gewisse Nutzerdaten zu erhalten, sie zu sammeln, Ihrem Gerät (›Google Werbe-ID‹) zuzuordnen und nach Hause zu schicken.

Regelmäßig werden Daten über die Internetverbindung verschickt. Diese Daten werden gesammelt – und wenn nicht selbst ausgewertet – später an diverse Datenhändler verkauft. Vermeintlich kostenlos erhält man als Nutzer dann einen Wetterbericht, Fußballergebnisse, eine Schnarch-App, ein nettes Spiel oder ähnliche Dinge auf den Bildschirm.

x Es gibt natürlich auch sehr viele seriöse Apps –insbesondere aus dem Open-Source-Bereich. Diese sind dann halt selten so klicki-bunti.

Es geht hierbei natürlich um präzise Werbung. Aber ich wäre mir auch bezüglich staatlicher Einblicke nicht sicher.

Um diese Daten geht es

Es geht hier um ein Zusammenspiel aus vielen Datentypen, die über die zentrale Google-Werbe-ID auf dem Gerät zu einem detaillierten Profil verknüpft werden. Kamera- und Mikrofondaten fallen jedoch (vermutlich) nicht darunter. Die Sache ist viel komplexer – aber nicht weniger brisant.

Ich schätze, folgende Daten sammeln die fest installierte Google-Software („Play-Dienste“) sowie diverse zusätzliche Apps von anderen Anbietern:

Standort und Bewegungsdaten

Selbst wenn der Standortverlauf in den Einstellungen der Play-Dienste bzw. im Google-Konto via Website deaktiviert wurde, sammeln Google-Apps wie ›Google Maps‹ und das Wetter-Widget sicherlich weiterhin zeitgestempelte Ortsdaten. Mit aktiviertem Standortverlauf-Dienst wäre dann sogar das Erstellen eines lückenlosen Bewegungsprofils möglich, welches besuchte Orte, Routen und Aufenthaltsdauern speichern kann x. Google erfasst auch Bewegungsarten wie Gehen, Laufen, Radfahren und Autofahren.

x Dieses (Zeitachse) kann man auf der Google-Website in seinem Nutzerprofil auch einsehen. Sehr interessant, wo man überall entlang gelaufen ist und war.

Woher glauben Sie, stammen die Angaben in Maps, dass derzeit bestimmte Orte hoch frequentiert seien oder dass es gerade irgendwo einen Stau auf einer bestimmten Straße gäbe? Sie basieren auf Nutzerdaten.

Hierzu gesellen sich – wie ja schon erwähnt – diverse andere Apps, die dann immer im Hintergrund eine Internetverbindung aufbauen, auch wenn eine solche für den eigentlichen, vordergründigen Zweck evtl. gar nicht notwendig wäre.

Im Berechtigungsdialog einer jeden App (Android-EinstellungenAppsBerechtigungen) sollte man nur das zulassen, was für den angedachten Zweck sinnvoll erscheint.

Bei manchen Android-Versionen („ROMs“) kann man einzelnen Programmen sogar ganz den Internetzugang entziehen (Firewall). Dann werden gar keine Daten abfließen können. Aber diese Einstellung ist m. W. nur auf wenigen Geräten vorhanden.

Werbung

App- und Geräteaktivität

Erfasst wird hier, welche Apps Sie nutzen, wie lange und zu welchen Tageszeiten. Dazu kommen Geräteinformationen wie Hersteller, Modell, Android-Version und Spracheinstellungen. All dies ist für die Werbeindustrie „Gold“ und diese Informationen werden mit all den anderen verknüpft. Was sind Sie für ein Typ? Laufen Sie, fahren Sie? Für was interessieren Sie sich? Wann stehen Sie morgens auf? Sind sie oft mit einer bestimmten Person zusammen oder allen?

Kommunikation und Sensoren

Google (bzw. Drittanbieter-Apps) erfassen Metadaten von Anrufen und SMS (mit wem telefoniert wurde, Dauer, Anrufart) sowie diverse Sensordaten (Akkuwerte, Prozessorauslastung, Umgebungslicht, Temperatur, Luftdruck, …).

App-spezifische Nutzung

Hier geht es um detailliertes Klick- und Surfverhalten innerhalb einzelner Apps (insbesondere Browser) sowie Interaktionen mit Push-Benachrichtigungen (welche App, wie lauten die Benachrichtigungen?).

Ich würde daher keine (vorinstallierten) Apps von Google nutzen – insbesondere nicht den Chrome-Browser mit aktivem Nutzerprofil (Google-Account) und nicht die Gmail-App (E-Mails). Nutzt man hier alternative Apps, kann zumindest Google hier nicht hinein schauen (hoffe ich zumindest).

Umgebungsdaten

Das „regulär konfigurierte“ Smartphone scannt die Umgebung nach WLAN-Netzen und Bluetooth-Geräten ab. Deren eindeutige MAC-Adressen und Signalstärken werden protokolliert bzw. an Google übertragen und tragen so zu globalen Ortungsdatenbanken bei.

Man kann dies ggf. unter Android-EinstellungenStandortStandortdiensteWLAN-Suche / Bluetooth-Suche deaktivieren. Dann erfolgt die eigene Ortung in Zukunft nur noch (langsam) über Ortungs-Satelliten (z. B. GPS) und (fast) nur noch außerhalb von Gebäuden. Aber ob damit das Teilnehmen am Füllen dieser Datenbanken verhindert wird, weiß ich nicht.

Kaufverhalten und Zahlungsdaten

Transaktionen via ›Google Pay‹, In-App-Käufe und Bestellungen im ›Play Store‹ werden sicherlich erfasst und protokolliert.

Adressbuch & Kalender

Der normale Nutzer wird sein Adressbuch (die Kontakte) und seinen Kalender via Google-Konto synchronisieren bzw. diese Daten dort speichern. Daher sind diese Inhalte ja bei einem neuen Smartphone – nach dem Eingeben der Google-Kontodaten – sofort wieder auf dem aktuellen Gerät vorhanden. So einfach geht das.

Es kann mir niemand erzählen, dass diese sensiblen und hochprivaten Inhalte nicht maschinell durchleuchtet werden – auch wenn natürlich niemand Ihre Kalendereinträge liest x.

Abhilfe schafft ein alternativer Synchronisierungsdienst (App) an den Play-Diensten vorbei bzw. ein alternativer Speicherort für diese sensiblen Daten (z. B. Posteo oder Mailbox).

x außer vielleicht US-Behörden

Cloud-Dienste

Dass die eigenen Fotos oder Schriftstücke auf dem Smartphone automatisch kopiert- und auf einer „Cloud“ gespeichert werden können, wissen jedoch die meisten. Ich würde mich hier um private Backup-Lösungen kümmern bzw. meine privaten Daten nicht irgendwelchen Konzernen bzw. fremden Firmen zur Verfügung stellen.

Netzwerk- und Verbindungsdaten

Bei jeder neu aufgebauten Datenverbindung werden technische Daten übermittelt:

  • IP-Adresse & Provider: Ihre aktuelle IP-Adresse (die eine grobe Standortbestimmung erlaubt) und der Name des Mobilfunkanbieters.
  • Netzwerkverkehr: Es wird protokolliert, wie viele Datenpakete gesendet und empfangen werden und ob Sie W-LAN oder mobile Daten nutzen. Sicherlich wird auch der Name des W-LAN-Netzes (›SSID‹) übermittelt.

Geräte- und Systemdaten

Viele Systeminformationen werden regelmäßig an Google (oder via gewisser Apps eben an Dritte) gesendet:

  • Hardwarezustand: Aktueller Akkustand, Spannung, Temperatur und Ladezustand.
  • Systemeinstellungen: Aktuelle Bildschirmhelligkeit, Lautstärke und Zeitzone wie Informationen über den verbauten Speicher.

Ein viertelstündliches Potpourri an Informationen

Das Smartphone eines typischen Android-Nutzers ist eine hochkomplexe Datenquelle, aus der ein nahezu lückenloses digitales Abbild seiner Person erstellt wird. Ich schätze, dass viertelstündlich bzw. regelmäßig diverse solcher Datenpakete von so einem Gerät abfließen. Alle Daten sind je mit der besagten Werbe-ID verknüpft – einer konkreten Kennung. Alles fließt am Ende zusammen.

Diese ID fungiert also wie eine Art zentrale „Drehscheibe“, über die unzählige weitere Firmen Daten sammeln (über die vielen kostenlosen Apps) und zu einem hochdetaillierten Persönlichkeitsprofil kombinieren – zu einem Potpourri an Informationen.

Und wie schütze ich mich davor?

Da die besagten ›Play-Dienste‹ ein fester Bestandteil von kommerziellen Android-Versionen sind und diese nicht deaktivierbar sind, kann man sich schlecht vor diesem Datensammeln schützen. Ein Deaktivieren bzw. Löschen (via Root-Zugriff) würde zudem bedeuten, dass viele Apps (Banking, Krankenkasse, …) nicht mehr funktionieren und dass bestimmte, längst zum Standard gewordene „Annehmlichkeiten“ wie Pushnachrichten, Ortung via WLAN-Netze, in Apps integrierte Karten, … ebenfalls ausfallen würden. Zudem könnte man keine neue Software mehr über den „Play Store“ installieren.

Man muss schon Rentner, Arbeitsloser oder Privatier sein, um die Zeit zu haben, sich selbst davon befreien zu können.

Denn wie oben schon beschrieben: So ein Smartphone ist eigentlich ein komplexer Computer.

Als erstes würde ich regelmäßig diese Google-Werbe-ID zurücksetzen. Dann erhält man eine neue und das Spiel geht von vorne los. Daten werden natürlich weiterhin übermittelt.

Man könnte auf ein IPhone sparen. Die Firma ›Apple‹ verdient ihr Geld hauptsächlich mit den Geräten selbst. Aber auch hier fließt sicherlich eine Menge Informationen ab bei der täglichen Nutzung.

Werbung

Es gibt jedoch einige Anbieter, die einige Android-Smartphones offenbar ohne Google-Play-Dienste ausliefern (z. B. Volla, Punkt., Fairphone, Murena, Shift). Sicherlich wird mit solchen Geräten nach der ersten Inbetriebnahme eben nicht alles so rund und problemlos laufen, wie man es bei Smartphones gewohnt ist, die fest mit dem Google-Ökosystem verdrahtet sind.

➜ Tipp: Suchen Sie ggf. nach Smartphones, auf denen das s. g. /e/OS installiert ist: Dies ist ein schlankes Android, auf denen die Google-Play-Dienste durch ›MicroG‹ ersetzt worden sind. Das bedeutet zwar noch einen minimalen Datenfluss an Google. Aber dafür werden fast alle Apps funktionieren, die auf diese Play-Dienste angewiesen sind. Ich nutze beispielsweise die Kartenfunktion innerhalb der App der Deutschen Bahn. Dies funktioniert nur mit den Play-Diensten (oder eben mit MicroG).

Ich selbst habe einen gehörigen Teil meiner Lebenszeit damit verbracht, heraus zu bekommen, wie man ein alternatives Android (Custom ROM) ohne Google-Dienste auf dem Smartphone selber installieren kann. Damit mein Handy weiterhin schlau sein kann, installierte ich als Alternative zu den (nicht vorhandenen) Google-Play-Diensten das eben schon erwähnte MicroG. Das funktioniert jedoch nur bei wenigen Geräten (Stichwort: „Signatur-Spoofing“). Für derlei Aktionen sollte man dann keinen richtigen Arbeitsplatz haben, keine Familie und keine anderen Hobbies.

Damit ich meine Adressbuch- und Kalendereinträge privat synchronisieren kann, nutze ich den Dienst DAVx⁵. Allerdings benötigt man hierzu eben einen vertrauenswürdigen und kompatiblen Drittanbieter, bei dem ja diese Kalender- bzw. Adressbuchdaten liegen müssen. Google wäre hierfür ja aus dem Rennen.

Der „Klassiker“ unter den alternativen Betriebssystemen wäre GrapheneOS: Diese Android-Variante läuft (ironischerweise) nur auf Google-Pixel-Smartphones. Aber offenbar lässt es sich (derzeit noch) auf diesen Geräten relativ problemlos installieren. Die meisten anderen Smartphone-Hersteller erschweren das Installieren einer solchen „Custom ROM“ mittlerweile enorm auf ihren Geräten (das war früher noch anders).

Dies hat auch den Hintergrund, dass dort (z. B. bei Samsung, Xiaomi, …) noch zusätzliche, herstellereigene Hintergrunddienste (z. B. „Samsung-Account“) laufen, für die man sich anmelden kann. Es geht hierbei, man ahnt es schon, nur um Daten, Daten, Daten … Und der gewöhnliche Nutzer merkt von alledem – nichts.

Kommentar schreiben

Hier gibt es die Möglichkeit für Resonanz. Pflichtfelder sind mit * markiert.

Kommentare erscheinen nicht sofort bzw. werden manuell freigegeben. Mit dem Absenden des Formulars stimmen Sie der Datenschutzerklärung zu bzw., dass Ihre eingegebenen Daten gespeichert werden. IP-Adressen werden nicht gespeichert.