Umsonst kann teuer werden

Die raffinierten Geschäftsmodelle der Gratis-Apps

18.03.2015 von Frank-Michael Schlede und Thomas Bär
Viele Apps für Smartphones und Tablets werden kostenlos angeboten. Das ist jedoch nicht die ganze Wahrheit: Auch deren Anbieter wollen Geld verdienen. Wir blicken hinter die Kulissen der freien Apps und den damit verbundenen Geschäftsmodellen.

Wer heute ein Smartphone benutzt, wird sicher neben den bereits vorinstallierten Apps noch weitere Anwendungen auf seinem Gerät installieren –schließlich bringen häufig erst die Apps die nützlichen Fähigkeiten auf das Gerät, die der Nutzer erwartet und benötigt. Nichts leichter als das: Die Apps werden bereits millionenfach über die App-Stores der jeweiligen Anbieter, also Google Play für das Android-System und Apple AppStore für iOS-Geräte, angeboten. Ein erster Blick in diese "Läden" scheint dann zunächst auch paradiesische Zustände zu bieten: Ein Großteil der Anwendungen steht zum kostenlosen Download bereit, wobei viele Anbieter sogar mit uneingeschränkten Features selbst bei diesen freien Versionen werben.

Es gibt nichts (wirklich) umsonst…

Ein in den Vereinigten Staaten sehr verbreitetes Sprichwort lautet: "There's no such thing as a free lunch"– was frei übersetzt für "Es gibt nichts umsonst" steht.

Denken hilft: Nicht nur die schlechte automatische Übersetzung, sondern vor allen Dingen das Geschäftsmodell, die "übriggebliebenen" SMS weiterzuverkaufen, ist mehr als dubios.
Foto: Schlede/Bär

Das gilt natürlich auch für die im Google Play Store, im Apple App Store oder im Windows Store angebotenen Apps. Da viele Anwender aber nach wie vor der Meinung sind, im Internet gäbe es sowieso alles gratis, setzt sich auch bei mobilen Geräten wie Smartphones und Tablets der Trend zur kostenlosen App fort.

Wie schon bei den Web-Seiten müssen sich die Nutzer aber darüber im Klaren sein, dass sie für die Apps dann wenigstens mit einem Klick auf Werbeanzeigen "bezahlen". Und genauso, wie es die Nutzer bereits von ihren Browser auf dem Desktop kennen, kommen gerade bei den Gratis-Apps die unterschiedlichsten Formen der Werbeanzeigen – teilweise recht aggressiv – auch auf diesen Geräten zum Einsatz:

Dabei bauen die Entwickler der Gratis-App den Code, der diese Werbung auf den Bildschirm der Mobilgeräte bringt, mittels eines SDK (Software Development Kit) fest in die Anwendung ein. Der Source-Code mancher Gratis-Apps beinhaltet sogar zwei oder mehr dieser Advertising-SDKs.

Die Geschäftsmodelle von Gratis-Apps
Geschäftsmodelle von Gratis-Apps: Freikaufen von Werbung
Nur 99 Cent und die Anzeigen erscheinen nicht mehr auf dem Bildschirm: Viele Gratis-Apps wie hier der „Android Assistant“ stopfen eine ohnehin überladenen Oberfläche noch mit Anzeigen voll – von denen sich der Nutzer dann durch Zahlung einer Gebühr befreien kann.
Geschäftsmodelle von Gratis-Apps: Datensammler
Sorgte Ende 2013 für Probleme: Die kostenlose „Taschenlampe“-App von Goldenshore Technologies sammelte nicht nur Daten der Nutzer, sondern gab sie auch an Anzeigenkunden weiter.
Geschäftsmodelle von Gratis-Apps: SMS-Verkauf
Vor dem Download dieser App sollte schon der gesunde Menschenverstand warnen: Nicht nur die schlechte automatische Übersetzung sondern vor allen Dingen das Geschäftsmodelle die „übriggebliebenen“ SMS weiterzuverkaufen sind mehr als dubios.
Geschäftsmodelle von Gratis-Apps: In-App-Käufe
Ein Geschäftsmodell, das besonders für Kinder und Jugendliche schnell gefährlich werden kann: In-App Käufe verführen schnell dazu, auch bei einer Gratis-App viel Geld auszugeben.
Gratis-Apps: Überall beliebt
Gratis-Apps werden besonders gerne von den Anwendern verwendet, die mit einem Android-Smartphone oder -Tablet unterwegs sind: Wie auch dieser Vergleich zu der Verwendung von Kauf-Apps unterstreicht (Quelle: Statista App Monitor)
Vorab prüfen: Zugriffsrechte
Was darf eine App beziehungsweise, welche Zugriffsmöglichkeiten benötigt sie? Bereits auf den verschiedenen Marktplätzen der mobilen Systemen (hier der Windows Store auf einem Windows Phone 8.1-System) kann der Nutzer in der Regel erfahren, auf welche Bereiche seines Geräts zugegriffen wird.
Vorab prüfen: Zugriffsrechte
An dieser Stelle wird leider allzu häufig „abgenickt“: Gerade bei der Installation von Gratis-Apps sollten Nutzer darauf achten, welche Berechtigungen das Programm auf dem Smartphone oder Tablet bekommen wird.
Vorab prüfen: App Info unter Android 4.4.2
Grundsätzliche Kontrolle möglich: Ein genauerer Blick in die App-Info, wie sie hier unter Android 4.4.2 (KitKat) bereitgestellt wird, gibt schon einen Eindruck davon, was eine App auf dem System darf und welche Daten sie verwenden kann.
Vorab prüfen: App Permission von F Secure
Welche meiner Apps greifen auf persönliche Daten zu? Die freie App App Permission von F-Secure zeigt dies recht übersichtlich auf.
Vorab prüfen: Schreibzugriff erforderlich?
Bedeutet nicht grundsätzlich, dass die Entwickler dieser App böse Absichten hatten: Nutzer müssen selbst entscheiden, ob sie es wie hier bei den Schreibzugriffen für sinnvoll und vertretbar halten, dass einen App diese Zugriffe bekommt.
Gefährliches Terrain: AppStores von Drittanbietern
Web-Store eines Drittanbieters für Apps (hier Amazon): Gerade dort finden Nutzer zwar viele Gratis-Anwendungen, müssen aber beispielsweise die „Installation von Apps unbekannter Herkunft“ zulassen.
Bezahl-App: Kostenpflichtig aber nutzlos
Es sind nur die Gratis-Apps, die versuchen die Nutzer mit dubiosen Geschäftspraktiken zu schädigen: Die App „Virus Shield“ befindet sich glücklicherweise nicht mehr im Google Play Store. Sie tat nichts, außer ein Symbol anzuzeigen – für 3,99 Dollar.

Für den Anwender bleibt die Frage, wie gefährlich der Einsatz von Gratis-Apps dadurch letztendlich ist. Wir haben die Frage an Kaspersky Labs weitergegeben und deren Senior Virus Analyst Christian Funk schätzt die Gefährdung durch die kostenlosen Apps folgendermaßen ein: "Gratis-Apps verlangen immer häufiger Zugriff auf allerlei Bereiche des Smartphones, welche für die eigentliche Funktion nicht benötigt würden. Hier muss man sich aus der Sicht des Anwenders fragen, welche Daten tatsächlich übertragen werden, ob der Transfer verschlüsselt erfolgt und am Wichtigsten: Wie und wo werden die Daten abgespeichert, damit sie kein leichtes Ziel für Cyberkriminelle sind."

Auf welche persönlichen Daten greifen Apps zu?

Die Spezialisten der Firma Lookout, die ihren Fokus auf die Sicherheit von mobilen Geräten gelegt haben, begannen bereits im Jahr 2011 mit dem sogenannten App Genome Project, mit dessen Hilfe sie die mobilen Apps und deren Aufbau übergreifend über verschiebende mobile Plattformen und Marktplätze für Apps untersuchen. Dabei wurden neben dem Android Play Store (damals noch Android Market) und dem Apple App Store auch jeweils zwei alternative App-Märkte für Android und iOS in die Untersuchung mit einbezogen.

Laut dieser Erhebung griffen bereits Ende 2011 mehr als ein Drittel der untersuchten Apps in den beiden großen App-Stores auf den jeweiligen Standort des Nutzers zu, mindestens zehn Prozent nutzen den direkten Zugriff auf die Kontakte. Es ist sicher nicht falsch, davon auszugehen, dass diese Art der Zugriffe im Lauf der letzten Jahre weiter zugenommen hat. So zeigte eine kürzlich durchgeführte Untersuchung der Security-Spezialisten von TÜV Trust IT aus Österreich ein noch erschreckenderes Bild: Bei einer Analyse von über 1000 mobilen Anwendungen fanden die Fachleute heraus, dass bei 45 Prozent der untersuchten Apps die potenzielle Möglichkeit besteht, dass mit ihnen Daten gestohlen werden.

Auskunftsfreudig: Die "kostenlose" App Yelp holt sich vom Nutzer einige Auskünfte ein, wie eine Analyse von mediaTest ergab.

Das Hannoveraner Testinstitut mediaTest digital, welches sich auf die Sicherheitsprüfung und Zertifizierung mobiler Applikationen spezialisiert hat, kommt zu ähnlichen Ergebnissen: Sowohl bei Auskunfts-Apps, Reise-Apps oder Messenger gibt es teilweise erhebliche Sicherheitsmängel; die Experten raten bei vielen Apps von der Nutzung im Unternehmen als auch privat ab.

Immer wieder zeigt es sich dabei auch, dass viele Gratis-Apps mit Hilfe der integrierten SDK ein Device-Tracking durchführten: Sie verfolgen anhand bestimmter Daten und Merkmale, die sie auf dem Gerät auslesen, das Smartphone oder Tablet und damit den Nutzer und seine Gewohnheiten. Zu diesen Daten, die dabei häufig ausgelesen werden, gehören unter anderem:

Reise-Apps im Sicherheits-Check
ADAC Pannenhilfe
Die App ist kostenlos für Android und iOS verfügbar.
ADAC Pannenhilfe für Android
mediaTest stuft die Android-App als sicher nutzbar ein.
ADAC Pannenhilfe für Android
Eine komplette Entschlüsselung des Datenverkehrs war nicht möglich. Das Testinstitut hat allerdings im analysierbaren Datenverkehr keine Sicherheitsbedenken gefunden.
ADAC Pannenhilfe für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein.
ADAC Pannenhilfe für iOS
Eine komplette Entschlüsselung des Datenverkehrs war nicht möglich. Das Testinstitut hat allerdings im analysierbaren Datenverkehr keine Sicherheitsbedenken gefunden.
Booking für iOS
Die App ist kostenlos für iOS verfügbar.
Booking für iOS
mediaTest rät bei der getesteten iOS-Version von der Nutzung ab.
Booking für iOS
WIFI MAC wird unverschlüsselt und verschlüsselt an mehrere Werbe-Netzwerke übertragen. Suchbegriffe werden unverschlüsselt an ein Tracking-Netzwerk übertragen. Hinweis: Ab iOS 7 wird vom Betriebssystem nicht die eigentliche und eindeutige MAC Adresse an die App übergeben, sondern ein Dummy
City Maps 2Go für iOS
Die App ist kostenpflichtig für iOS im App Store verfügbar.
City Maps 2Go für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein.
City Maps 2Go für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden.
DB Navigator
Die App ist kostenlos für Android und iOS verfügbar.
DB Navigator für Android
mediaTest stuft die Android-App als sicher nutzbar ein.
DB Navigator für Android
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden.
DB Navigator für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein.
DB Navigator für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden.
Europcar
Die App ist kostenlos für Android und iOS verfügbar.
Europcar für Android
mediaTest stuft die Android-App als sicher nutzbar ein.
Europcar für Android
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden.
Europcar für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein.
Europcar für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden.
Expedia
Die App ist kostenlos für Android und iOS verfügbar.
Expedia für Android
mediaTest rät bei der getesteten Android-Version von der Nutzung ab.
Expedia für Android
IMEI und Android ID werden unverschlüsselt an ein Werbe-Netzwerk übertragen. IMSI und Geo-Daten werden unverschlüsselt an ein Analytics-Netzwerk übertragen. Geo-Daten werden unverschlüsselt übertragen.
Expedia für iOS
mediaTest rät bei der getesteten iOS-Version von der Nutzung ab.
Expedia für iOS
WLAN MAC und IDFA werden unverschlüsselt an ein Werbe-Netzwerk übertragen. Hinweis: Ab iOS 7 wird vom Betriebssystem nicht die eigentliche und eindeutige MAC Adresse an die App übergeben, sondern ein Dummy.
Feiertage und Schulferien
Die App ist kostenlos für Android und iOS verfügbar.
Feiertage und Schulferien für Android
mediaTest stuft die Android-App als sicher nutzbar ein.
Feiertage und Schulferien für Android
Eine komplette Entschlüsselung des Datenverkehrs war nicht möglich. Das Testinstitut hat allerdings im analysierbaren Datenverkehr keine Sicherheitsbedenken gefunden.
Feiertage und Schulferien für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein.
Feiertage und Schulferien für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden.
Hertz
Die App ist kostenlos für Android und iOS verfügbar.
Hertz für Android
mediaTest stuft die Android-App als sicher nutzbar ein.
Hertz für Android
Eine komplette Entschlüsselung des Datenverkehrs war nicht möglich. Das Testinstitut hat allerdings im analysierbaren Datenverkehr keine Sicherheitsbedenken gefunden.
Hertz für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein.
Hertz für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden.
Hotel Suche HRS
Die App ist kostenlos für Android und iOS verfügbar.
Hotel Suche HRS für Android
mediaTest stuft die Nutzung als bedenklich ein; eine individuelle Freigabe sei aber möglich.
Hotel Suche HRS für Android
WIFI MAC und Android ID werden verschlüsselt an ein Tracking-Netzwerk übertragen. Vor- und Nachname, E-Mail-Adresse und Telefonnummer werden verschlüsselt an ein Analytics-Netzwerk übertragen.
Hotel Suche HRS für iOS
mediaTest stuft die Nutzung als bedenklich ein; eine individuelle Freigabe sei aber möglich.
Hotel Suche HRS für iOS
Vor- und Nachname, Nutzername, E-Mail-Adresse und Kundennummer werden verschlüsselt an ein Analytics-Netzwerk übertragen. WIFI MAC und WIFI SSID (Access Point) werden verschlüsselt an ein Analytics- und Tracking-Netzwerk übertragen. Suchbegriffe werden unverschlüsselt übertragen. Hinweis: Ab iOS 7 wird vom Betriebssystem nicht die eigentliche und eindeutige MAC Adresse an die App übergeben, sondern ein Dummy.
Sicher reisen
Die App ist kostenlos für Android und iOS verfügbar.
Sicher reisen für Android
mediaTest stuft die Android-App als sicher nutzbar ein.
Sicher reisen für Android
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden.
Sicher reisen für iOS
mediaTest stuft die iOS-App als sicher nutzbar ein.
Sicher reisen für iOS
Das Testinstitut hat keine Sicherheitsbedenken im Datenverkehr gefunden.
Stau Mobil für iOS
Die App ist kostenlos für iOS verfügbar.
Stau Mobil für iOS
mediaTest stuft die Nutzung als bedenklich ein; eine individuelle Freigabe sei aber möglich.
Stau Mobil für iOS
WLAN MAC wird verschlüsselt an ein Tracking-Netzwerk übertragen. Geo-Daten werden unverschlüsselt übertragen. Hinweis: Ab iOS 7 wird vom Betriebssystem nicht die eigentliche und eindeutige MAC Adresse an die App übergeben, sondern ein Dummy.
TripAdvisor für Android
Die App ist kostenlos für Android verfügbar.
TripAdvisor für Android
mediaTest stuft die Nutzung als bedenklich ein; eine individuelle Freigabe sei aber möglich.
TripAdvisor für Android
Suchbegriffe und Benutzername (E-Mail-Adresse) werden unverschlüsselt übertragen.
Trivago für Android
Die App ist kostenlos für Android verfügbar.
Trivago für Android
mediaTest rät bei der getesteten Android-Version von der Nutzung ab.
Trivago für Android
IMEI, WIFI MAC und Android ID werden unverschlüsselt an ein Tracking-Netzwerk übertragen. Geo-Daten werden unverschlüsselt übertragen.
Urlaubspiraten
Die App ist kostenlos für Android und iOS verfügbar.
Urlaubspiraten für Android
mediaTest rät bei der getesteten Android-Version von der Nutzung ab.
Urlaubspiraten für Android
Nutzername, Passwort, Android ID, Suchanfragen und Kommentare werden unverschlüsselt übertragen.
Urlaubspiraten für iOS
mediaTest rät bei der getesteten iOS-Version von der Nutzung ab.
Urlaubspiraten für iOS
Nutzername, Passwort, Suchanfragen und Reisealarme werden unverschlüsselt übertragen.

Praxis-Tipp: Welche App darf was auf meinem Smartphone?

All diese Faktoren zeigen deutlich, dass immer ein gewisses Risiko für die Privatsphäre des Anwenders besteht, wenn eine App eine spezielle Fähigkeit hat, beziehungsweise auf bestimmte Daten des Geräts zugreifen kann. Natürlich muss eine Gratis-App, die Zugriff auf bestimmte Daten und Bereiche des Smartphones oder Tablets bekommt, deshalb nicht gleich ein Spionage-Tool sein. Wer beispielsweise einen Dienst wie Google Maps sinnvoll einsetzen will, muss den Zugriff auf die Geoposition erlauben.

Apps, die eine gewisse Fähigkeit verwenden, sind sicher nicht unbedingt gleich Spyware. Alle mobilen Betriebssysteme zeigen dem Nutzer bei der Installation im Prinzip an, auf welche Daten die App zugreifen möchte. Wer das bei den bereits auf seinem Android-System installierten Apps kontrollieren möchte, kann sich dazu einen sehr nützliche Gratis-App der finnischen Sicherheitsspezialisten von F-Secure herunterladen. F-Secure App Permissions zeigt sehr übersichtlich alle Berechtigungen, der auf einem Android-Gerät installierten Apps an. So können Nutzer sehr schnell sehen, welche Apps im Hintergrund dann doch Kosten verursachen oder welche Apps auf vertrauliche Daten zugreifen, ohne dass dies für ihre grundlegende Funktion notwendig wäre. Die App führt den Nutzer dann auch zu den entsprechenden Einstellungen des Android-Systems – leider ist es vielfach nicht möglich, einer App einzelne Berechtigungen zu entziehen. Im Zweifelsfall bleibt dem Nutzer als sinnvolle Alternative dann nur die Deinstallation der entsprechenden Gratis-App.

Grundlegende Tipps zur Verwendung von Gratis-Apps

Wie überall beim Einsatz von Software, die direkt aus dem Internet geladen und installiert wird, wie auch beim Besuch diverser Angebote und Web-Seiten im Netz sollten Nutzer die entsprechende Vorsicht walten lassen. Die Sicherheitsfirma Sophos hat dazu ein paar grundsätzliche Tipps bereitgestellt:

Eine besonders dreiste Geschäftsidee: Bazuc

Von Google wurde mit der App Bazuc eine Geschäftsidee für Gratis-Apps aus dem Play Store entfernt, die ein besonders gutes Beispiel für die häufig merkwürdigen Methoden solcher Anbieter ist: Den Anwendern wurde die Möglichkeit versprochen, durch die Installation dieses App "einfach Geld zu verdienen", indem sie der App erlauben, die nicht benötigten SMS-Nachrichten für die Zwecke des Anbieters einzusetzen. Dieser setzt auf die Tatsache, dass viele Nutzer eine Flatrate für SMS oder wenigsten eine so große Anzahl von kostenlosen SMS mit ihrem Mobilfunkvertrag besitzen, dass sie diese unmöglich alle verwenden können. Die Bazuc-App versendet dann auf diesem Weg beispielsweise Massen-SMS im Auftrag anderer Firmen. Da diese so mit der Kennung des jeweiligen Nutzers versendet werden, können so zumeist Spam-Filter und ähnliche Schutzmaßnahmen wirkungsvoll umgangen werden.

Die App wurde laut Aussagen der Spezialisten von Lookout aus dem Google Play Store zwischen 10.000- und 50.000-mal heruntergeladen, bevor sie schließlich entfernt wurde. Der Verlockung des "freien Geldes" können dann wohl doch nur wenige Nutzer wiederstehen. Der Anbieter stellt seine Geschäftsidee und damit auch noch die App weiterhin auf seiner Web-Seite zum Download bereit. Spätestens der scheinbar durch ein Übersetzungsprogramm mehr schlecht als recht erstellte Text auf der Seite sollte aber jeden vernünftig denkenden Nutzer vom Download und Gebrauch dieser Gratis-App abhalten. Auch wenn der Anbieter vollmundig verspricht, dass sie demnächst dann im Apple App Store erhältlich sei.

Zum Abschluss: Eine Kostenpflichtige App, die nichts tut

Also sind die Nutzer sicher, wenn sie auf Gratis-Apps verzichten? Das folgende Beispiel zeigt, dass dem leider nicht so ist: Eine Sicherheits-App im Google Play Store, die 3,99 Dollar kostet, 10.000 Downloads und eine Bewertung von 4,7 Sternen aufweist - das kann doch nur eine gute Lösung sein?

Der Fall der App "Virus Shield", der ganz entscheidend durch das Team des Web-Blogs Android Police aufgeklärt wurde, demonstriert einen weiteres "Geschäftsmodell", das hier zwar keine Gratis-App anbietet, aber ebenfalls die Nutzer betrügt. In der Beschreibung der App "Virus Shield" wurde behauptet, dieses Programm könne verhindern, dass schädliche Apps auf dem Android-Gerät installieren werden. Leider war diese App Betrug in Reinform, den sie tat: Absolut nichts! Die Experten des Blogs haben das Programm heruntergeladen, ausprobiert und vor allen Dingen auch decompiliert - das Ergebnis haben sie in ihrem Blog publiziert. Wenigstens könnte man dem Anbieter "Deviant Solutions" zugute halten, dass er keine schädliche Software auf das Gerät bringt – aber Google hat diese App dann auch schnell aus dem Play Store verbannt.

Dieses Beispiel zeigt doch sehr schön, dass es nicht nur die Anwender von Gratis Apps sind, die versuchen die Nutzer mittels unlauterer Geschäftsmodelle zu schädigen: Auch kostenpflichte Apps nutzen oft unlautere Geschäftsmodelle und wenn sie einfach nur Snake Oil anbieten. (mb/cvi)