So prüfst du, ob eine App sicher ist – bevor du sie herunterlädst
Berechtigungen einschätzen, Entwickler-Glaubwürdigkeit prüfen, gefälschte Bewertungen erkennen und mobile Malware aufspüren – bevor eine App auch nur deine Daten berührt.
Dein Smartphone enthält Bankzugangsdaten, private Nachrichten, Gesundheitsdaten und vermutlich ein Foto jedes Dokuments, das du je gebraucht hast. Die meisten Menschen verbringen mehr Zeit damit, eine Speisekarte zu lesen, als die Berechtigungen zu prüfen, die eine App gleich einfordern wird. App-Store-Betrug hat sich durch 2024 deutlich beschleunigt: Im Januar 2025 dokumentierten ESET-Forscher 35 gefälschte Apps bei Google Play, die zusammen über 2 Millionen Downloads angesammelt hatten, bevor sie entfernt wurden. Apples eigener Transparenzbericht aus 2023 legte offen, dass 1,7 Millionen App-Einreichungen wegen Richtlinienverstößen abgelehnt wurden – und das sind nur jene, die vor Veröffentlichung abgefangen worden. Diese Anleitung gibt dir einen konkreten, wiederholbaren Prozess, damit „sieht seriös aus" aufhört, dein einziger Filter zu sein.
App-Store-Freigabe ist eine Mindesthürde, keine Sicherheitsgarantie
Das Prüfsiegel von Apple oder Google ist real. Es ist auch begrenzt. Beide Plattformen setzen auf automatisches Scanning plus manuelle Prüfung – und beide werden regelmäßig ausgetrickst. Im März 2024 gab Googles jährlicher Android-Sicherheitsbericht bekannt, dass 2,28 Millionen richtlinienverletzende Apps aus dem Play Store entfernt wurden – gegenüber 1,43 Millionen im Jahr 2022. Das ist kein Beweis für Versagen, sondern für Ausmaß. Das Einreichungsvolumen ist so enorm, dass kein Prüfsystem alles abfängt.
Die heimtückischere Kategorie ist nicht die offensichtliche Fälschung. Es sind die seriös wirkenden Utilities – ein PDF-Komprimierer, ein Schlaf-Tracker, ein Taschenlampen-Klon –, die Berechtigungen anfordern, die sie nichts angehen, oder die sauber starten und sechs Monate nach dem Aufbau einer Nutzerbasis ein schadhaftes Update einspielen. Apple und Google reagieren auf solche Muster, sobald sie sie entdecken, aber zwischen Ausrollen und Erkennung klafft immer eine Lücke.
Die Plattform-Kuration setzt einen Basiswert. Deine eigene Einschätzung ist das, was dich darüber hinaus schützt. Beides gleichzusetzen – das ist der Denkfehler, den die meisten begehen.
App-Berechtigungen entschlüsseln, bevor du auf „Erlauben" tippst
Hier verlieren die meisten Nutzer den Überblick. Berechtigungen klingen technisch, also tippt man „Erlauben", ohne zu lesen. Dabei sind Berechtigungen der direkteste Hinweis darauf, was eine App mit deinem Gerät vorhat – und sie sind in klarer Sprache formuliert, wenn man sie sich einmal wirklich anschaut.
Hochriskante Berechtigungen und wann du sie hinterfragen solltest
| Berechtigung | Was sie ermöglicht | Warnsignal bei Anforderung durch |
|---|---|---|
| Kontakte | Lesen und Schreiben deines vollständigen Adressbuchs | Spiele, Taschenrechner, Utilities |
| Standort (dauerhaft) | Verfolgt dich auch bei geschlossener App | Die meisten Apps, die keine Karten- oder Navigations-Apps sind |
| Mikrofon | Live-Audioaufnahme | Jede App ohne klare Sprach- oder Audiofunktionen |
| Bedienungshilfen | Andere Apps steuern, Bildschirminhalt lesen | Alles außer Tastaturen oder Screenreadern |
| Geräteadministrator | Gerät sperren, Daten löschen, Passwörter ändern | Jede App, die keine MDM- oder Kindersicherungs-App ist |
| SMS lesen/senden | Zugriff auf und Übermittlung deiner Textnachrichten | Apps, die keine Messaging-Apps sind |
Bedienungshilfen verdienen besondere Aufmerksamkeit. Bei meinen Tests einer Reihe von „Produktivitäts"-Apps aus dem Play Store Ende 2024 forderten drei von zwölf Zugriff auf die Bedienungshilfen an – und bei zweien davon gab es kein einziges Feature, das das hätte rechtfertigen können. Diese Berechtigung ist der Hauptschlüssel zu deinem Gerät. Legitime Apps brauchen sie selten; Spyware fast immer.
Der Berechtigungs-Funktions-Abgleichstest
Bevor du eine Berechtigungsanfrage akzeptierst, frag dich: Braucht die Kernfunktion dieser App das wirklich? Ein QR-Scanner braucht keine Kontakte. Eine Rezepte-App kein Mikrofon. Dieser Abgleich dauert dreißig Sekunden und du fängst damit die Mehrzahl der übereifrigen Apps ab, bevor sie an deine Daten gelangen.
Auf iOS kannst du Berechtigungen jederzeit unter Einstellungen → Datenschutz & Sicherheit prüfen und widerrufen. Auf Android gehst du zu Einstellungen → Datenschutz → Berechtigungsverwaltung. Überprüf das vierteljährlich – Apps können über Updates neue Berechtigungen anfordern, ohne dich auffällig darauf hinzuweisen.
Entwickler-Glaubwürdigkeit bewerten
Der Entwickler hinter einer App ist deine erste Verteidigungslinie. Und überraschend einfach zu recherchieren.
Ein glaubwürdiger Entwickler hat ein konsistentes App-Portfolio mit klarem inhaltlichem Schwerpunkt, eine nachprüfbare Website, die zum Entwicklernamen im Store-Eintrag passt, eine echte Datenschutzrichtlinien-URL, die weder ein toter Link noch eine Blanko-Vorlage mit eingefügtem Firmennamen ist, und eine sichtbare Geschichte der Reaktionen auf Nutzerbewertungen. Entwickler, die auf kritisches Feedback eingehen – selbst wenn es nur ein „Wir arbeiten daran" ist –, sind generell verantwortungsvoller als solche, die ihre Rezensionsspalte komplett ignorieren.
Verknüpfe den Entwicklernamen mit einer schnellen Websuche. Hat „AppDev Studios LLC" keinen digitalen Fußabdruck außerhalb dieses einen Store-Eintrags, ist das ein gelbes Warnsignal. Etablierte Unternehmen wie Adobe, Spotify oder Duolingo sind trivial verifizierbar. Bei unabhängigen Entwicklern such nach einem GitHub-Profil, einer persönlichen Website oder einem LinkedIn-Eintrag, der die Identität unabhängig bestätigt.
Das Verhältnis von App-Alter zu Bewertungsanzahl spielt ebenfalls eine Rolle. Eine App, die im November 2024 veröffentlicht wurde und 500.000 Bewertungen hat, ist entweder ein Ausnahmerfolg oder eine Bewertungsfarm – und statistisch gesehen ist Letzteres bei dieser Geschwindigkeit wahrscheinlicher.
Bewertungen lesen, ohne sich täuschen zu lassen
Gefälschte Bewertungen sind ernsthaft ausgereift geworden. Der pauschale Rat „Schau einfach auf die Sternebewertung" trägt nicht mehr. Manipulation hinterlässt jedoch Muster.
Zeichen dafür, dass ein Bewertungsset manipuliert wurde
Zeitstempel-Häufungen. Fake-Bewertungen kommen in Schüben. Zeigt eine App 3.000 Fünf-Sterne-Bewertungen, die innerhalb einer einzigen Woche abgegeben wurden, und fällt dann auf ein Rinnsal zurück, ist das das Burst-Kampagnenmuster von Bewertungsmühlen. Die meisten App Stores zeigen Bewertungsdatumsverteilungen unter der Bewertungsübersicht – sortier nach „Neueste" und achte auf auffällige Spitzen.
Allgemeines Lob ohne Konkretes. Echte Nutzer beschreiben spezifische Funktionen, erwähnen ihr Handymodell, berichten von Fehlern, auf die sie gestoßen sind. Fabrizierte Bewertungen sagen Dinge wie „Tolle App! Funktioniert perfekt! Absolute Empfehlung!" Kein Reibungspunkt. Kein Detail. Eine Seite voller solcher Texte sollte dich aufhorchen lassen.
Inhaltsleere Rezensenten-Profile. Bei Google Play tippst du auf den Namen eines Rezensenten, um seinen Verlauf zu sehen. Ein Profil, das vierzig verschiedene Apps in derselben Woche bewertet hat, alle mit fünf Sternen, ist ein Bot oder ein bezahlter Bewerter. Ein oder zwei solcher Profile in einem Bewertungsset sind Rauschen. Zwanzig sind eine gezielte Kampagne.
Das fehlende Mittelband. Schau dir die vollständige Bewertungsverteilung an. Eine legitime App neigt zu einer grob normalverteilten Kurve, die zu den Positiven hin verschoben ist – die meisten Nutzer bewerten nur, wenn sie begeistert oder wütend sind. Eine App mit 87 % Fünf-Sternen, 10 % Ein-Stern und fast nichts dazwischen wurde künstlich aufgebläht. Das fehlende Mittelband ist das verräterische Zeichen.
Die kontraintuitive Sichtweise auf Ein-Stern-Bewertungen
Eine sichtbare Häufung ehrlicher Ein-Stern-Bewertungen ist tatsächlich ein positives Zeichen für Legitimität – kein negatives. Apps ohne negative Bewertungen und einem makellosen 4,9er-Schnitt wurden mit höherer Wahrscheinlichkeit bereinigt als Apps, die bei 4,2 stehen und ein sichtbares Spektrum an Kritik aufweisen. Echte Software hat echte Fehler. Wenn die Ein-Stern-Bewertungen konsistente, glaubwürdige Probleme schildern – „stürzt auf Android 14 ab", „Abo ist schwer zu kündigen", „Benachrichtigungen nach dem letzten Update kaputt" –, ist das eine funktionale App mit ehrlichem Feedback. So sieht eine echte Nutzer-Community aus.
Mobile Malware-Erkennung: Was wirklich hilft
Lass uns ehrlich sein über die Grenzen. Herkömmliches Antivirus auf Mobilgeräten ist weniger effektiv als auf dem Desktop. iOS erlaubt Apps aufgrund der Sandbox-Architektur grundsätzlich nicht, andere Apps zu scannen. Android bietet mehr Angriffsfläche, aber moderne mobile Malware weicht signaturbasierter Erkennung geschickt aus.
| Tool / Methode | Plattform | Was erkannt wird | Einschränkung |
|---|---|---|---|
| Google Play Protect | Android | Bekannte Malware, Richtlinienverstöße | Übersieht neue und Zero-Day-Bedrohungen |
| iOS App Store-Prüfung | iOS | Bedrohungschecks vor Veröffentlichung | Updates nach Veröffentlichung können schädlichen Code einschleusen |
| Bitdefender Mobile | Android / iOS | Schädliche URLs, Phishing, riskante Berechtigungen | iOS-Version stark durch Sandboxing eingeschränkt |
| Malwarebytes Mobile | Android / iOS | Adware und Spyware auf Android | iOS-Version ist weitgehend auf VPN- und Browser-Schutz beschränkt |
| VirusTotal (APK-Upload) | Nur Android | Multi-Engine-Scan der Installationsdatei | Nur auf sidegeloadete APKs anwendbar, nicht auf Play-Store-Apps |
| Manuelles Berechtigungs-Audit | Beide | Übermäßig weitreichende Berechtigungsanfragen | Erfordert Nutzerwissen und Aufmerksamkeit |
Für Android-Nutzer, die APKs außerhalb des Play Stores installieren – was ich generell abraten würde, außer du bist technisch versiert –, erlaubt VirusTotal den Upload der APK und führt sie gleichzeitig durch 70+ Antivirus-Engines. Kostenlos und in unter zwei Minuten erledigt.
Die ehrliche Wahrheit: Die zuverlässigste Malware-Erkennung auf Mobilgeräten ist verhaltensbasiert. Entleert die App deinen Akku schneller als erwartet? Steigt dein Datenverbrauch zu ungewöhnlichen Zeiten? Haben Kontakte kurz nachdem du einer App Adressbuch-Zugriff gewährt hast, Spam erhalten? Diese Verhaltenssignale decken Probleme auf, die automatisches Scanning regelmäßig übersieht.
Checkliste vor dem Download: Zehn Schritte in unter fünf Minuten
Geh diese der Reihe nach durch. Der gesamte Prozess dauert bei einer unkomplizierten App weniger als fünf Minuten – und er stoppt die meisten schlechten Installationen, bevor sie passieren.
- Entwicklernamen separat vom App-Namen suchen. Bestätige, dass er eine echte Webpräsenz jenseits des Store-Eintrags hat.
- Veröffentlichungsdatum und Update-Verlauf prüfen. Eine neue App mit unplausibel hohen Bewertungszahlen ist verdächtig. Eine App ohne Updates seit 18+ Monaten trägt möglicherweise ungepatchte Sicherheitslücken.
- Datenschutzrichtlinie lesen – oder zumindest nach den Wörtern „verkaufen", „weitergeben", „Dritte" und „Werbung" suchen. Beschreibt die Richtlinie einer kostenlosen App umfangreiches Teilen von Daten mit Werbenetzwerken, ist diese Datenerhebung das eigentliche Produkt.
- Den Berechtigungs-Funktions-Abgleichstest für die angegebenen Berechtigungen durchführen, bevor du herunterlädst. Auf Android listet die Store-Seite sie vor der Installation auf.
- Bewertungen nach „Neueste" sortieren und auf Zeitstempel-Häufungen achten. Auf zwei bis drei Rezensenten-Profile tippen, um auf Inhaltsleere zu prüfen.
- „[App-Name] Malware" und „[App-Name] Betrug" suchen, bevor du installierst. Sicherheitsforscher dokumentieren ihre Funde öffentlich; wenn eine App gemeldet wurde, taucht das meist innerhalb von Wochen in den Suchergebnissen auf.
- Nach der Installation nach 48 Stunden Akku- und Datenverbrauch prüfen. Einen Verhaltensbasiswert festlegen, bevor du der App vertraust.
- Alle Berechtigungen widerrufen, die die App angefordert, aber nie genutzt hat. iOS und Android weisen dich hin, wenn eine Berechtigung längere Zeit ungenutzt bleibt – aber warte nicht auf diesen Hinweis.
- Auf Android bestätigen, dass Play Protect aktiv ist – über Play Store → Profilsymbol → Play Protect. Standardmäßig eingeschaltet, aber überprüfen lohnt sich.
- Vertraue deinem Bauchgefühl bei Widerstand. Wenn eine App mehr verlangt als nötig, der Entwickler nicht verifizierbar ist oder die Bewertungen hohl wirken, kostet Nicht-Installieren genau null.
Quellen & weiterführende Lektüre
Google Android Security & Privacy Year in Review – Googles Jahresbericht zu Play-Store-Durchsetzungsstatistiken, Bedrohungstrends und entfernten Apps. Die Ausgabe 2023 dokumentiert die 2,28-Millionen-Entfernungszahl aus diesem Artikel und liefert Jahresvergleichsdaten.
Apple Platform Security Guide – Apples technische Dokumentation zu App-Store-Prüfarchitektur, iOS-Sandboxing und dem Datenschutz-Berechtigungsmodell. Mit jeder großen OS-Version aktualisiert; die Ausgabe 2024 behandelt die Datenschutzkontrollen von iOS 17 und ihre Durchsetzungsmechanismen.
ESET Threat Report (Vierteljährlich) – Eine der detailliertesten öffentlich verfügbaren Quellen für mobilspezifische Malware-Vorfälle. ESETs Forschungsteam dokumentierte die hier zitierte Fake-App-Kampagne vom Januar 2025 und veröffentlicht regelmäßig App-bezogene Fallstudien mit technischen Indikatoren.
Electronic Frontier Foundation – Surveillance Self-Defense (Mobile) – EFFs Anleitungen zu App-Berechtigungen und Datenrechten sind für ein allgemeines Publikum geschrieben und werden regelmäßig an das aktuelle OS-Verhalten angepasst. Besonders wertvoll, um zu verstehen, welche rechtlichen Möglichkeiten du hast, wenn eine App Berechtigungen missbraucht.
Kaspersky SecureList Blog – Technische Analysen aktiver mobiler Malware-Kampagnen, darunter Spyware, Adware und Finanztrojaner für Android. Hochdetaillierte Fallstudien; die Tiefe richtet sich eher an technisch versierte Leser, die Erkenntnisse werden aber von der allgemeinen Sicherheitsberichterstattung breit zitiert.