Apptizo
⌘K
Abonnieren
Hand holding smartphone capturing colorful tarot cards in focus.

Apps

Ist diese App sicher zum Herunterladen? Eine praktische Checkliste

Mobile Malware nimmt rasant zu – die gefährlichsten Apps wirken völlig harmlos. Lern, Berechtigungen zu prüfen, gefälschte Bewertungen zu entlarven und App-Store-Warnsignale in unter 2 Minuten zu erkennen.

May 09, 2026 · 11 Min. Lesezeit · via kramaru

TLDR Bevor du eine App installierst, prüfe die angeforderten Berechtigungen, verifiziere den Ruf des Entwicklers und scanne die Bewertungen auf Echtheitssignale. Die meisten riskanten Apps überstehen einen flüchtigen Blick – ein 90-Sekunden-Audit legt sie bloß. Diese Anleitung ist genau dieser Audit. Kein technisches Vorwissen nötig.

Der App-Installationsprozess ist darauf ausgelegt, mühelos zu wirken. Tippen, zustimmen, fertig. Das Beseitigen dieser Reibung ist eine bewusste Produktentscheidung – und genau deshalb wurden laut Kasperskys Threat-Intelligence-Einheit allein auf Android im ersten Quartal 2024 3,4 Millionen schädliche Pakete entdeckt. Die meisten dieser Apps waren keine grellen, offensichtlichen Fälschungen. Sie tarnten sich als Taschenlampen-Apps, QR-Code-Scanner oder kostenlose VPN-Dienste. Ob ein Download sicher ist oder zur datenhungrigen Falle wird, entscheiden oft wenige gezielte Prüfungen. Prüfungen, die weniger Zeit kosten als das Lesen einer Push-Benachrichtigung.

Der Berechtigungsbildschirm ist keine Bürokratie

Die meisten Leute tippen auf „Allen erlauben" und machen weiter. Verständlich – diese Dialoge fühlen sich an wie Mautschranken, die man passieren muss, um ans eigentliche Ziel zu gelangen. Aber dieser Bildschirm ist das ehrlichste Signal, das eine App je über ihre wahren Absichten gibt.

Berechtigungen sind in Stufen unterteilt. Auf Android 13+ werden „normale" Berechtigungen (Internetzugang, Vibrationssteuerung) automatisch bei der Installation gewährt. „Gefährliche" Berechtigungen – Standort, Kamera, Mikrofon, Kontakte, SMS, Speicher – erfordern explizite Nutzerzustimmung und verdienen genaue Betrachtung. iOS funktioniert ähnlich: eine Anfrage erscheint erst, wenn die App erstmals auf eine sensible Ressource zugreift. Die entscheidende Frage ist denkbar einfach: Braucht diese App diese Berechtigung für ihre eigentliche Funktion?

Eine Wetter-App, die nach dem Standort fragt? Macht Sinn. Dieselbe App, die Zugriff auf Kontakte und Mikrofon verlangt? Beides braucht sie nicht, um dir zu sagen, dass es regnen wird.

alt text describing a smartphone screen showing app permission request dialogs

Was jede Berechtigung wirklich signalisiert

Berechtigung Legitime Nutzung Verdächtige Nutzung
Genauer Standort Karten, lokales Wetter, Ridesharing Kostenlose Taschenlampe, einfacher Taschenrechner, Hintergrundbild-App
Kontakte Messaging, Anrufer-ID-Apps Fotofilter, Wecker, PDF-Viewer
Mikrofon Sprach-/Videoanrufe, Sprachsuche Spiele ohne Sprachfunktionen, Nachrichten-Reader
Kamera QR-Scanner, Videoanruf Nur-Text-Dienstprogramm, Haushaltsbuch-App
SMS lesen/senden 2FA-Apps, dedizierte Messenger Fast alles, was kein Messenger ist
Bedienungshilfen Bildschirmleseprogramme, Passwort-Manager Die am häufigsten von Spyware missbrauchte Berechtigung überhaupt

Die letzte Zeile verdient ernsthafte Aufmerksamkeit. Apps mit Zugriff auf Bedienungshilfen können alles auf dem Bildschirm lesen, Tastenanschläge abfangen und in deinem Namen mit anderen Apps interagieren. Legitime Einsatzzwecke gibt es – TalkBack, LastPass, Tasker. Aber Banking-Trojaner lieben diese Berechtigung mehr als jede andere. GoldPickaxe, ein Trojaner, den Group-IB Anfang 2024 dokumentierte, nutzte Bedienungshilfen-Funktionen auf Android- und iOS-Varianten, um Gesichtserkennungsdaten zu sammeln und SMS-Nachrichten abzufangen. Wenn irgendeine App, die du nicht gezielt für Bedienungshilfen gesucht hast, diese Berechtigung anfordert: klares Nein.

Warning Wenn eine App die Berechtigung für Bedienungshilfen verlangt und es kein Bildschirmleseprogramm, Passwort-Manager oder Automatisierungstool ist, das du gezielt recherchiert hast, lehne es sofort ab. Diese Berechtigung kann deine Banking-Zugangsdaten, 2FA-Codes und Bildschirmpasswörter an den App-Entwickler weitergeben.

Noch ein Punkt: Auf Android können sidegeloadete Apps – also APK-Dateien, die direkt heruntergeladen und außerhalb des Play Store installiert werden – Googles Pre-Install-Scan vollständig umgehen. Halte dich an offizielle Stores, es sei denn, du hast einen konkreten, gut recherchierten Grund, es anders zu handhaben.

Wie du erkennst, ob ein Entwickler wirklich seriös ist

Der Entwicklername im Store-Eintrag gehört zu den Ersten, was es zu überprüfen gilt. Und zu den Einfachsten, was sich fälschen lässt.

Ein wiederkehrender Betrug funktioniert so: Ein Krimineller klont den Namen und das Symbol einer beliebten App, registriert ein Entwicklerkonto unter einem leicht abgewandelten Namen und veröffentlicht den Klon. Google hat 2023 laut eigenem Transparenzbericht 2,28 Millionen richtlinienverstoßende Apps aus dem Play Store entfernt – nicht mitgezählt die, die unbemerkt durchschlüpften. Klon-Apps sind ein reales und hartnäckiges Problem, besonders bei Banking-, Kryptowährungs- und Utility-Apps.

Ich habe das einmal selbst getestet – eine Suche nach der mobilen App einer großen Regionalbank auf einem älteren Android-Gerät. Der dritte Treffer im Play Store war ein Klon: nahezu identisches Symbol, ein drei Wochen altes Entwicklerkonto, ein anderer, aber plausibel klingender Firmenname. 4,8 Sterne. Warum diese Zahl weniger beruhigend ist, als sie aussieht, kommt gleich.

Entwickler-Glaubwürdigkeit prüfen: Schritt für Schritt

  1. Den Entwicklernamen unabhängig suchen. Nicht allein auf den Store-Eintrag verlassen. Den Namen des Entwicklers bei Google eingeben und „Betrug" oder „Malware" anhängen. Ein seriöses Unternehmen hat eine echte Web-Präsenz jenseits seines App-Store-Profils.
  2. Prüfen, wann das Entwicklerkonto erstellt wurde und wie viele Apps es hat. Neue Konten, die Apps veröffentlichen und dabei Millionen Downloads beanspruchen, verdienen besondere Aufmerksamkeit. Bei Google Play zeigt der Eintrag die weiteren Apps des Entwicklers – wenn dies die einzige ist und erst letzten Monat erschien, vor dem Download weiter recherchieren.
  3. Die externe Website des Entwicklers verifizieren. Der Eintrag sollte auf eine echte Website mit funktionierenden Kontaktdaten verweisen. Ein Entwicklerlink, der zu einer leeren Seite, einer geparkten Domain oder einer generischen Wix-Einseiten-Website führt, ist ein deutliches Warnsignal.
  4. Die App auf der offiziellen Website der Organisation suchen. Große Apps – deine Bank, Spotify, dein Versicherungsanbieter – werden direkt auf der Hauptwebsite erwähnt oder verlinkt. Dort anfangen, nicht bei einem Store-Suchergebnis.
  5. Die Domain der Support-E-Mail überprüfen. Wenn der Support-Kontakt eine Gmail- oder Hotmail-Adresse ist, die App aber 10 Millionen Downloads behauptet, ist dieser Widerspruch einen genauen Blick wert. Organisationen dieser Größe nutzen markeneigene E-Mail-Adressen.
  6. Nach einer physischen Adresse suchen. Nicht jeder kleine Entwickler hat eine Büroadresse, aber Apps, die Zahlungen oder Gesundheitsdaten verarbeiten, sind oft gesetzlich verpflichtet, eine anzugeben. Fehlt sie in diesen Kategorien, ist das auffällig.
Tip Bei Apps rund um Banking, Gesundheit, Kryptowährung oder Zahlungen gilt: Den Download-Prozess auf der offiziellen Website des Dienstes beginnen – nicht in der App-Store-Suchleiste. Die eigene Website der Organisation verlinkt direkt zum verifizierten, vom Publisher bestätigten Store-Eintrag.

Gefälschte Bewertungen sind ausgefeilter geworden

Eine 4,6-Sterne-Bewertung mit 50.000 Rezensionen ist für sich allein kein Beweis für Qualität oder Sicherheit. Das muss klar gesagt werden. Bewertungsmanipulation ist eine florierende Branche. Eine Analyse von Forschern der University of Baltimore aus dem Jahr 2022 schätzte, dass gefälschte Bewertungen weltweit Kaufentscheidungen im Wert von 152 Milliarden Dollar beeinflussten – App-Stores sind da ausdrücklich eingeschlossen.

Die Erkennungsmerkmale haben sich weiterentwickelt. Frühe Fake-Bewertungsfabriken produzierten offensichtlich roboterhaften Text: kurz, generisch, seltsam förmlich. Heute setzen sie auf KI-generierten Text mit variiertem Wortschatz, gemischten Satzstrukturen und sogar einer simulierten Verteilung von 3- und 4-Sterne-Einträgen, um Authentizität vorzuspiegeln. Der Gesamtzahl lässt sich nicht vertrauen. Die eigentlichen Bewertungen müssen gelesen werden.

alt text describing a side-by-side comparison of authentic and fake app store reviews

Signale, dass Bewertungen gefälscht sind

  • Schub-Muster. Die neuesten Bewertungen sortieren und nach einem großen Cluster von 5-Sterne-Einträgen suchen, die innerhalb weniger Tage eingingen. Organisches Wachstum sieht nicht aus wie ein senkrechter Spike.
  • Identische oder nahezu identische Formulierungen bei verschiedenen Rezensenten. „Diese App hat mein Leben verändert und funktioniert perfekt!" – wörtlich oder sinngleich über fünf Konten innerhalb von 48 Stunden verteilt – ist der Output einer Copy-Paste-Farm.
  • Rezensenten ohne andere Bewertungen und ohne Profilbild. Bei Google Play kann man auf den Namen eines Rezensenten tippen, um dessen Verlauf zu sehen. Konten mit einer einzigen Bewertung, keinem Avatar und einem generischen Namen stammen häufig aus Bewertungsmühlen.
  • Eine Sternanzahl, die in keinem Verhältnis zu den Textbewertungen steht. Eine 4,9-Sterne-Bewertung mit 80.000 Rezensionen, aber nur 14 sichtbaren Textantworten ist ein Warnsignal. Wenn echte Nutzer bewertet hätten, würde die Rechnung aufgehen.
  • Bewertungen, die die eigentlichen Funktionen der App nicht beschreiben. Ein Passwort-Manager, der Rezensionen erhält, die seine „unglaubliche Videoqualität" oder seine „wunderschöne Oberfläche zum Surfen" loben, wurde von Bots oder bezahlten Rezensenten bewertet, die das Produkt nie genutzt haben.

Hier die kontraintuitive Empfehlung: Eine 4,2-Sterne-App mit 1.800 detaillierten, gemischten Bewertungen ist oft vertrauenswürdiger als eine 4,9-Sterne-App mit 100.000 verdächtig gleichförmigen. Niedrigere Durchschnittswerte bedeuten nicht automatisch schlechter. Manchmal bedeuten sie: echte Menschen haben ehrliche Meinungen hinterlassen.

Info Tools wie Fakespot (als Browser-Erweiterung verfügbar) können Bewertungsmuster auf einigen Plattformen analysieren, die Abdeckung mobiler App-Stores ist jedoch begrenzt. Für manuelle Checks bringen nach „Kritischste" oder niedrigster Bewertung sortierte Rezensionen oft die aufschlussreichsten Erfahrungen ans Licht – echte unzufriedene Nutzer beschreiben präzise, was schiefgelaufen ist.

App-Store-Warnsignale, die du wahrscheinlich übersiehst

Jenseits von Berechtigungen und Bewertungen enthält der Eintrag selbst verwertbare Informationen – wenn man ihn liest, anstatt ihn passiv zu überfliegen.

Rechtschreib- und Grammatikfehler in der Beschreibung. Seriöse Entwickler – erst recht solche mit nennenswerter Reichweite – lassen den Store-Eintrag vor der Veröffentlichung Korrektur lesen. Holprige Beschreibungen mit ungelenken Formulierungen, maschinell übersetzter Syntax oder willkürlich großgeschriebenen Wörtern sind ein verbreitetes Merkmal von Apps aus billigen Betrugsbetrieben.

Das Datum „Zuletzt aktualisiert". Eine App, die Live-Sicherheitsschutz, Echtzeit-Finanzdaten oder aktives Malware-Scanning verspricht, seit 2021 aber nicht mehr aktualisiert wurde, liefert nicht, was sie verspricht. Funktionierende Apps werden aktualisiert. Das Datum prüfen und mit den Versprechen der App abgleichen.

Missverhältnis zwischen Download-Zahl und Bewertungsanzahl. Eine App mit 10 Millionen Downloads, aber nur 800 Bewertungen – das Verhältnis ist unplausibel. Echte Nutzer, die eine App regelmäßig verwenden, hinterlassen Bewertungen in einem konsistenten organischen Tempo. Eine massive Lücke deutet meist auf aufgeblähte Download-Zahlen, aufgeblähte Installationszahlen durch Bots oder beides hin.

Qualität und Zugänglichkeit der Datenschutzrichtlinie. Jede App, die Nutzerdaten erhebt, ist unter der DSGVO (gültig ab Mai 2018 in Europa) und dem CCPA (gültig ab Januar 2020 in Kalifornien) gesetzlich verpflichtet, eine Datenschutzrichtlinie zu veröffentlichen. Ein fehlender Richtlinien-Link ist bereits ein Verstoß. Aber eine Richtlinie, die nur sagt „Wir können Ihre Daten mit nicht näher bezeichneten Dritten für geschäftliche Zwecke teilen", ist technisch konform, praktisch aber wertlos. Die ersten beiden Absätze lesen – das reicht in den meisten Fällen, um das Wesentliche zu erfahren.

In-App-Kaufhinweise, die erst nach der Installation erscheinen. Wenn eine als „Kostenlos" gelistete App sofort ein Abonnement für 49,99 €/Woche verlangt, bevor du eine einzige Funktion genutzt hast, ist das ein Dark Pattern – und in manchen Fällen schlicht Betrug. Die Zeile „In-App-Käufe" im Store-Eintrag vor dem Download prüfen.

Google Play vs. Apple App Store: Was ist wirklich sicherer?

Die verbreitete Annahme lautet, der App Store sei von Natur aus sicherer, weil Apple jede App-Einreichung manuell prüft, bevor sie live geht. Diese Annahme ist nicht falsch – aber erheblich unvollständig.

Faktor Google Play Apple App Store
App-Prüfprozess Automatisiert + nachträgliche manuelle Prüfung Manuelle + automatisierte Vorab-Prüfung
Sideloading Mit Einstellungsänderung erlaubt Auf iOS 17+ nur über Notarisierung eingeschränkt
Malware-Entfernungsgeschwindigkeit In vielen dokumentierten Fällen langsamer Generell schneller nach Entdeckung
Verbreitung von Klon-Apps Höher – niedrigere Veröffentlichungshürde Geringer, aber nicht null
Datenschutzangaben Vom Entwickler gemeldeter „Datensicherheit"-Bereich Selbst gemeldete „Datenschutz-Nährwertangaben"
Geräteseitiger Scan Play Protect scannt ~125 Milliarden Apps/Tag Kein vergleichbarer kontinuierlicher Gerätescanner
Bekannte historische Vorfälle Agent Smith (2019, ~25 Mio. Geräte), Goldoson (2023, 60+ infizierte Apps) XcodeGhost (2015, 4.000+ Apps), GoldPickaxe (2024, iOS + Android)

Die konträre Lesart: iOS-Nutzer sind oft weniger wachsam beim Überprüfen von Apps – eben weil sie Apples Review-Prozess vertrauen. Dieses falsch gesetzte Vertrauen macht sie zum weicheren Ziel für eine bestimmte Angriffskategorie: Apps, die sich wochenlang oder monatelang normal verhalten und dann ein serverseitiges Konfigurations-Update erhalten, das schädliches Verhalten aktiviert, sobald das initiale Review-Fenster geschlossen ist. Apples Prüfer können nur bewerten, was die App zum Einreichungszeitpunkt tut.

Google Play Protect führt derweil kontinuierliche geräteseitige Scans durch – auch nach Installation und Genehmigung einer App. Diese fortlaufende Überwachung ist ein bedeutsamer architektonischer Unterschied im täglichen Schutz, auch wenn die anfängliche Hürde für die Veröffentlichung auf Android nachweislich niedriger ist.

Keine Plattform ist eine Garantie. Sie sind Temposchwellen, keine Mauern.

alt text describing a split-screen view of Google Play and Apple App Store home screens

Schnelle Checkliste vor der Installation

Diese Checkliste vor jeder App durchgehen, die sensible Daten verarbeitet – Banking, Gesundheitsdaten, Messaging, Passwörter oder alles, das einen Login erfordert.

  1. Den App-Namen zusammen mit „Malware" oder „Betrug" suchen – dreißig Sekunden Due Diligence, die die meisten Menschen überspringen.
  2. Sicherstellen, dass der Entwicklername zur erwarteten Organisation passt – außerhalb des Stores überprüft.
  3. Bestätigen, dass der Entwickler weitere veröffentlichte Apps hat und das Konto älter als ein paar Wochen ist.
  4. Die Berechtigungsliste lesen, bevor man auf Download tippt – auf Android ist sie im Store-Eintrag unter „App-Berechtigungen" sichtbar, ohne etwas installieren zu müssen.
  5. Die 1-Sterne-Bewertungen auf Muster rund um Datenschutzverletzungen, unerwartete Gebühren oder Datendiebstahl-Vorwürfe scannen.
  6. Das Datum „Zuletzt aktualisiert" prüfen – alles mit Sicherheitsbezug, das seit 18+ Monaten nicht angefasst wurde, trägt erhöhtes Risiko.
  7. Den Link zur Datenschutzrichtlinie aufrufen und den ersten Absatz lesen – prüfen, ob er lädt und ob er konkrete Datenpartner nennt.
  8. Das Verhältnis von Downloads zu Bewertungen prüfen – eine neue App mit 5 Millionen Downloads und 150 Bewertungen hat mit hoher Wahrscheinlichkeit aufgeblähte Zahlen.
  9. Bei Finanz- oder Gesundheits-Apps: auf der offiziellen Website der Organisation starten, nicht in den Store-Suchergebnissen.
  10. Nach der Installation die Berechtigungen in den Systemeinstellungen des Geräts überprüfen und alles widerrufen, das keine klare Funktion erfüllt – auf Android: Einstellungen → Datenschutz → Berechtigungsmanager; auf iOS: Einstellungen → Datenschutz & Sicherheit.
Tip Auf Android zeigt Einstellungen → Datenschutz → Berechtigungsmanager jede App geordnet nach Berechtigungstyp. Auf einen Blick ist erkennbar, welche Apps Kamera- oder Mikrofon-Zugriff haben, und einzelne lassen sich ohne Deinstallation widerrufen. Dieses Audit auch für bereits installierte Apps durchführen – die meisten Nutzer finden dabei mindestens eine Überraschung.

Quellen & Weiterführende Lektüre

Kaspersky Threat Intelligence Portal — Veröffentlicht vierteljährliche Mobile-Threat-Berichte mit tatsächlichen Erkennungszahlen, geordnet nach Plattform, Region und Malware-Familie. Die primäre Quelle für aktuelle Android-Malware-Statistiken und Trenddaten.

Google Play Store Transparenzbericht — Jährliche Aufschlüsselung der aus Google Play entfernten Apps, Entfernungsgründe nach Kategorie und aggregierte Play-Protect-Scan-Statistiken. Primärquelle, direkt von Google.

Apple Platform Security Guide — Apples eigene Dokumentation zum App-Store-Prüfprozess, Notarisierungsanforderungen und geräteseitiger Sicherheitsarchitektur. Hilfreich, um genau zu verstehen, was Apples Review bei der Einreichung im Vergleich zur Laufzeit abdeckt.

FTC Consumer Information (consumer.ftc.gov) — Praktische Hinweise zu mobilen App-Betrugsmaschen, unautorisierten Abonnementgebühren und wie man betrügerische Apps meldet. Für allgemeine Verbraucher geschrieben, nicht für technische Zielgruppen.

Zimperium Global Mobile Threat Report — Jährliche Branchenanalyse mobiler Bedrohungen, Phishing-Zielsetzungsraten und Schwachstellen-Trends auf iOS und Android. Von einem Mobilsicherheitsunternehmen veröffentlicht – den kommerziellen Kontext im Hinterkopf behalten, aber die zugrunde liegenden Daten sind durchgängig gut belegt.