Wie du prüfst, ob eine App sicher zum Download ist
Lern, jede mobile App vor der Installation zu überprüfen — Berechtigungen kontrollieren, gefälschte Bewertungen erkennen, iOS-Datenschutzetiketten entschlüsseln und Android-Sideloading-Risiken vermeiden.
„Im App Store verfügbar" klingt wie ein Qualitätsmerkmal. Ist es nicht. Google und Apple prüfen Apps vor der Listung, aber dieser Prozess soll offensichtliche Malware abfangen — nicht die subtileren Bedrohungen, die die meisten Nutzer tatsächlich betreffen: Apps, die still deine Kontakte abgreifen, deinen Standort im Hintergrund tracken oder deine Verhaltensdaten an Werbebroker verkaufen, von denen du noch nie gehört hast. Eine App vor der Installation richtig zu bewerten dauert vielleicht fünf Minuten. Hier ist, was du wirklich prüfen solltest — und warum das, worauf die meisten als erstes schauen, oft das nutzloseste Signal ist.
Warum die App-Store-Zulassung keine Sicherheitsgarantie ist
App Stores leisten echte Arbeit. Googles Play Protect scannt täglich Milliarden von Apps, und allein 2023 blockierte Google 2,28 Millionen richtlinienverstößende Apps, bevor sie den Play Store erreichten. Apple betreibt seinen eigenen Review-Prozess mit starkem Fokus auf Datenschutz und API-Missbrauch. Das ist alles andere als trivial.
Aber der Maßstab ist „verstößt diese App zum Zeitpunkt der Einreichung gegen unsere Regeln?" — nicht „ist diese App wirklich gut für dich?". Viele Apps, die die Prüfung bestehen, sammeln aggressiv Daten, fordern weit mehr Berechtigungen an als nötig oder nutzen Dark Patterns, um Nutzer zu Käufen oder ungewollter Datenfreigabe zu verleiten. Die Prüfung zu bestehen ist eine Untergrenze, keine Qualitätsaussage.
Dazu kommt ein Timing-Problem. Eine App kann sauber durch die Prüfung kommen, Millionen Nutzer ansammeln und sechs Monate später ein Update einspielen, das still Tracking-SDKs einschleust oder Datenweitergabe-Vereinbarungen ändert. Wer kein Changelog liest — und das tut fast niemand —, bekommt davon nichts mit.
Das bessere Bild: Betrachte App Stores als Marktplätze mit einem Sicherheitsdienst am Eingang — nicht als Qualitätssiegel auf dem Produkt. Für einen umfassenderen Blick darauf, wie sich Android und iOS in ihrem grundlegenden Umgang mit diesen Kontrollen unterscheiden, lohnt sich die Lektüre von Android vs iOS App Quality: The Real Differences als Ergänzung zu diesem Artikel.
App-Berechtigungen: Was jede einzelne wirklich bedeutet
Hier schalten die meisten Nutzer ab. Der Berechtigungsbildschirm erscheint kurz vor der Installation — eine Liste technisch klingender Zugriffsanfragen — und die Leute tippen einfach auf „Alle erlauben", um schneller zur App zu kommen. Verständlich. Und trotzdem ein Fehler.
Die Berechtigungen, die sofort Alarm schlagen sollten
Nicht alle Berechtigungen sind gleich. Eine Karten-App braucht deinen Standort. Ein Fotoeditor braucht Kamerazugriff. Das Problem beginnt, wenn eine App Berechtigungen anfordert, die keinen logischen Bezug zu ihrem angegebenen Zweck haben.
| Berechtigung | Legitimer Anwendungsfall | Verdächtig, wenn angefordert von |
|---|---|---|
| Standort (immer aktiv) | Navigation, Wetter | Taschenlampe, Taschenrechner, Spiele |
| Kontakte | Messaging, Dialer-Apps | VPN-Tools, Utility-Apps, Spiele |
| Mikrofon | Sprach-/Videoanrufe | Shopping-Apps, Hintergrundbilder |
| Kamera | Foto- und Video-Apps | PDF-Reader, Produktivitätstools |
| SMS-Zugriff | Zwei-Faktor-Auth, Messaging | Die meisten anderen Kategorien |
| Bedienungshilfen | Screenreader, manche Passwort-Manager | „Booster"-Apps, Drittanbieter-Tastaturen |
Den Bedienungshilfen gilt besondere Aufmerksamkeit. Sie gewähren nahezu vollständige Kontrolle über dein Gerät — sie können alles auf dem Bildschirm lesen, Berührungen simulieren und Tastatureingaben abfangen. Legitime Anwendungsfälle gibt es, darunter Tools für Menschen mit Behinderungen und seriöse Passwort-Manager (ein Thema, das eigene Recherche verdient, die in How to Choose a Password Manager App in 2026 behandelt wird). Aber es ist auch die am häufigsten missbrauchte Berechtigung auf Android — regelmäßig ausgenutzt von Spyware und Banking-Trojanern, die als Utility-Apps getarnt sind.
Berechtigungen vor der Installation prüfen
Auf Android: Öffne die Play-Store-Listung, scrolle zu „Über diese App" und tippe auf „App-Berechtigungen". Du siehst die vollständige Liste, bevor du auch nur ein Byte installierst.
Auf iOS: Das App-Store-Datenschutzetikett (weiter unten erklärt) gibt dir einen Überblick vor der Installation. Nach der Installation prüfst du Einstellungen → Datenschutz & Sicherheit → jede einzelne Berechtigungskategorie, um zu sehen, welche Apps sie angefordert haben.
Bei meinen Tests einer populären kostenlosen Taschenlampen-App im März 2025 forderte sie Kamerazugriff an (nachvollziehbar), Mikrofonzugriff (ohne Erklärung) und die Erlaubnis, Geräte-Identifikatoren zu lesen — die ausschließlich für App-übergreifendes Werbetracking existieren. Drei Berechtigungen, eine davon legitim. Ich habe sie gelöscht.
Gefälschte Bewertungen erkennen — bevor sie dich täuschen
App-Bewertungen sind kaputt. Nicht vollständig, nicht immer, aber genug, dass du einen Filter brauchst, bevor du ihnen vertraust. Die Branche für gefälschte Bewertungen ist erheblich: Eine Untersuchung von Which? (der britischen Verbraucherorganisation) aus 2024 fand Anbieter, die 1.000 Fünf-Sterne-Play-Store-Bewertungen für umgerechnet weniger als 10 Euro anboten. Das ist keine Grauzone — das ist direkte Manipulation des Signals, auf das du dich verlässt.
Zeichen, dass eine Bewertungssektion manipuliert wurde
Mengensprünge: Schau dir den Bewertungsverlauf an, falls die Plattform ihn anzeigt. Echte Apps sammeln Bewertungen allmählich. Eine App, die innerhalb von zwei Wochen von 200 auf 8.000 Bewertungen gesprungen ist, ist ein rotes Flagge — das ist ein bekanntes Muster von Kampagnen mit bezahlten Bewertungen.
Identische Sprachmuster: Lies 15 bis 20 Bewertungen zufällig aus — nicht die hervorgehobenen. Gefälschte Bewertungen stammen oft aus denselben Content-Farmen und recyceln Phrasen wie „tolle App, funktioniert einwandfrei" oder „einfach zu bedienen, sehr empfehlenswert". Echte Bewertungen haben Reibung — konkrete Features werden erwähnt, konkrete Bugs werden beklagt, Vergleiche mit anderen genutzten Apps werden gezogen.
Keinerlei kritische Bewertungen: Jede echte App mit nennenswerten Nutzerzahlen hat 1- und 2-Sterne-Bewertungen. Bugs, Abstürze, UI-Beschwerden, Abrechnungsstreitigkeiten — das ist bei ausreichender Größe unvermeidlich. Eine App mit 50.000 Bewertungen und einem Schnitt von 4,9 wurde mit hoher Wahrscheinlichkeit manipuliert. Je mehr Nutzer, desto mehr Randfälle, desto mehr unzufriedene Menschen. Perfektion in dieser Größenordnung existiert in Software nicht.
Konten mit einer einzigen Bewertung: Klick durch einige Bewertungsprofile. Konten, die genau eine Bewertung abgegeben haben — fünf Sterne, keine weitere Aktivität — sind ein häufiges Indiz für Fake-Account-Kampagnen.
Hier kommt der kontraintuitive Teil: Eine App mit 4,2 Sternen bei 30.000 Bewertungen ist oft vertrauenswürdiger als eine mit 4,9 bei 300.000. Die Unordnung einer 4,2-Wertung signalisiert, dass echte, vielfältige Nutzer echte Meinungen hinterlassen haben. Perfekte Werte in riesigem Maßstab sind fast immer eine Inszenierung, kein echtes Signal.
Für ein vollständigeres Framework zur Bewertung von App-Qualitätssignalen jenseits der Rezensionen allein bietet How to Evaluate Mobile App Quality Before Downloading weiterführende Anhaltspunkte.
iOS-Datenschutzetiketten: Was Apples Nährwertangaben wirklich aussagen
Apple hat App Privacy Labels im Dezember 2020 eingeführt und schreibt seitdem jeder App-Store-Listung eine strukturierte Aufschlüsselung der Datenerhebung vor — angelehnt an die Nährwertangaben auf Lebensmittelverpackungen. Für iOS-Nutzer ist das eines der nützlichsten Vor-der-Installation-Werkzeuge, auch wenn es nicht perfekt ist.
Die drei Kategorien im Überblick
Apple gliedert die Offenlegung in drei Bereiche:
- Daten, die dich verfolgen — Daten, die mit Drittanbieter-Werbetreibenden oder Datenbrokern geteilt werden, auch app- und websiteübergreifend. Das ist die kritischste Kategorie.
- Mit dir verknüpfte Daten — Daten, die die App erhebt und deiner Identität zuordnet (Konto, Gerät oder Profil), auch wenn sie nicht extern weitergegeben werden.
- Nicht mit dir verknüpfte Daten — anonym erhobene Daten oder solche, die nur für die aktuelle Sitzung gelten, ohne dauerhaften Bezug zu deiner Identität.
Eine Social-Media-App oder ein kostenloses Spiel mit einer langen Liste unter „Daten, die dich verfolgen" tut genau das, was zu erwarten ist — das ist das Geschäftsmodell. Eine Banking-App oder Kinder-App mit derselben Liste ist ein deutlich ernsthafteres Problem und es lohnt sich, den Entwickler zu kontaktieren oder eine Alternative zu suchen.
Was die Etiketten nicht tatsächlich verifizieren
Entwickler melden diese Informationen selbst. Apple prüft nicht jedes Datenschutzetikett vor der Veröffentlichung unabhängig. Eine Studie aus dem Jahr 2022 von Forschern der Universitäten Oxford und Carnegie Mellon analysierte 1,3 Millionen Apps und stellte fest, dass rund 40 % der selbst gemeldeten Entwicklerangaben offenbar nicht mit dem tatsächlichen Netzwerkverhalten der Apps übereinstimmten.
Das macht die Etiketten nicht wertlos — sie verlagern die rechtliche Verantwortung auf die Entwickler, und erhebliche Falschangaben riskieren die Entfernung aus dem Store. Betrachte sie als Ausgangssignal, nicht als verifizierten Fakt.
Android-Sideloading: Die echten Risiken, richtig erklärt
Sideloading — also das Installieren einer APK-Datei außerhalb des Play Stores — ist ein Thema, das gleichzeitig als zu gefährlich überdramatisiert und mechanistisch zu wenig besprochen wird. Die Nuancen sind wichtig, wenn du eine informierte Entscheidung treffen willst.
Warum Sideloading existiert
Google erlaubt Sideloading, weil Android auf Offenheit ausgelegt ist. Legitime Anwendungsfälle umfassen die Installation von Apps aus vertrauenswürdigen alternativen Stores wie F-Droid (der quelloffene Apps ohne Tracking-SDKs hostet), den Zugriff auf regional gesperrte Apps oder die Installation von Beta-Builds von Software, die du bereits nutzt und dem Entwickler direkt vertraust.
Die Gefahr entsteht, wenn Leute Apps von beliebigen APK-Spiegelseiten sideloaden, weil eine App im Play Store Geld kostet und sie sie kostenlos wollen. Gecrackte APKs aus inoffiziellen Quellen sind einer der konstantesten Verbreitungswege für Android-Malware — die Original-App wird mit eingeschleustem Schadcode neu verpackt und auf Seiten verteilt, die für „[App-Name] APK kostenlos herunterladen" ranken.
Ein schnelles Risiko-Framework
| Quelle | Risikoniveau | Was du vertraust |
|---|---|---|
| F-Droid | Niedrig | Community-geprüfte Open-Source-Apps |
| Offizielle Entwickler-Website | Niedrig–Mittel | Du hast URL und HTTPS-Zertifikat verifiziert |
| Amazon Appstore | Niedrig–Mittel | Amazons separater Review-Prozess |
| APKMirror | Mittel | Signaturverifizierung, kein Code-Audit |
| Beliebige APK-Download-Seiten | Hoch | Gar nichts — komplett meiden |
| Gecrackte oder modifizierte APKs | Sehr hoch | Niemals, unter keinen Umständen |
APKMirror verdient eine gesonderte Erklärung. Die Seite verifiziert, dass APK-Signaturen mit dem ursprünglichen Signaturzertifikat des Entwicklers übereinstimmen — ein sinnvoller Schutz, der bestätigt, dass das Paket nach der Signierung nicht manipuliert wurde. Sie überprüft nicht, ob der ursprüngliche Code sicher ist, schließt aber das häufigste Manipulationsszenario aus.
Eine praktische Regel: Wenn du etwas sideloadest, deaktiviere danach sofort „Apps aus unbekannten Quellen installieren" in deinen Einstellungen. Diese Berechtigung dauerhaft aktiviert zu lassen ist das eigentliche Risiko. Es bedeutet, dass jede bereits auf deinem Gerät installierte App still weitere Apps installieren könnte, ohne dich zu fragen.
Entwickler-Glaubwürdigkeit in fünf Minuten prüfen
Die App wurde von jemandem entwickelt. Herauszufinden, wer das ist und wie ihr Track Record aussieht, dauert fünf Minuten und deckt eine erhebliche Anzahl schlechter Akteure auf, die Bewertungen nicht anzeigen würden.
Entwicklernamen suchen: Gib „[Entwicklername] App Datenschutz" und „[Entwicklername] Datenpanne" in eine Suchmaschine ein. Eine Untersuchung von The Markup aus 2024 identifizierte 47 Apps eines einzigen Entwicklers, die präzise Standortdaten an einen Rüstungsunternehmer weitergaben — keine der App-Listungen legte das offen. Solche Berichte tauchen in Suchergebnissen auf; man muss nur danach schauen.
Das gesamte App-Portfolio prüfen: Klick im Store auf das Entwicklerprofil. Wenn ein Entwickler namens „Mobile Utility Solutions" 30 Apps mit Namen wie „Super Cleaner Pro", „Fast VPN Free" und „Phone Booster Ultra" hat, ist das ein erkennbares Muster. Seriöse Entwickler haben in der Regel ein kohärentes, über die Zeit gepflegtes Produktportfolio. Quantität-vor-Qualität-Portfolios in der Utility- und Tool-Kategorie sind stark mit Adware und Datensammeloperationen assoziiert.
Datenschutzerklärung prüfen: Ein seriöser Entwickler hat eine Datenschutzerklärung, die die Datenpraktiken wirklich erläutert — was erhoben wird, warum, mit wem es geteilt wird und wie eine Löschung beantragt werden kann. Wenn der Policy-Link zu einem halbseitigen Dokument führt, das nur „Wir nehmen deinen Datenschutz ernst" sagt und nichts weiter, ist das ein Ausschlusskriterium. DSGVO und CCPA verlangen aussagekräftige Offenlegungen — ein Entwickler ohne substanzielle Erklärung ist entweder nicht compliant oder sitzt irgendwo, wo Durchsetzung nicht greift.
Update-Verlauf anschauen: Eine App, die 2019 erstmals veröffentlicht wurde und 50+ Updates hat, zeigt ein lebendes, gepflegtes Produkt. Eine App, die vor drei Monaten erschien und trotz Bug-Berichten in den Rezensionen null Updates hat, wurde entweder schon aufgegeben oder hatte nie ein echtes Team dahinter.
Wenn du außerdem zwischen mehreren scheinbar ähnlichen Apps wählen musst, bietet How to Choose the Right Mobile App (Before You Download) den Auswahlprozess aus einer ergänzenden Perspektive.
Schnell-Checkliste vor dem Download
Geh das durch, bevor du eine App installierst, über die du dir nicht bereits sicher bist. Es dauert fünf Minuten. Überspring Schritte, die offensichtlich nicht zutreffen — aber überspring sie nicht, weil sie unbequem erscheinen.
- Suche nach dem App-Namen plus „Datenschutz" oder „Datenerhebung" — prüfe auf aktuelle Berichte oder bekannte Beschwerden.
- Lies die Berechtigungsliste in der Store-Listung — wenn irgendetwas nicht zur Funktion der App passt, such nach einer Alternative.
- Öffne das vollständige Entwicklerprofil und schau dir die anderen Apps an — ein fokussiertes, gepflegtes Portfolio ist ein gutes Zeichen.
- Lies 10 bis 15 Bewertungen sortiert nach „Neueste", nicht „Hilfreichste" — such nach Mustern in Beschwerden und markiere identische Formulierungen.
- Prüfe das iOS-Datenschutzetikett oder den Android-Datensicherheitsbereich — fokussiere dich auf „Daten, die dich verfolgen".
- Verifiziere, dass die Datenschutzerklärung existiert und echte Informationen enthält, nicht nur Standardformulierungen.
- Prüfe das Datum des letzten Updates — jede netzwerkverbundene App, die seit 12+ Monaten nicht angefasst wurde, ist ein gelbes Warnsignal.
- Bestätige auf Android, dass „Apps aus unbekannten Quellen installieren" deaktiviert ist, es sei denn, du hast einen konkreten, vertrauenswürdigen Grund zum Sideloaden.
- Suche den Entwicklernamen separat — kurze Suche nach Vorfällen, Klagen oder Presseberichten.
- Wenn du wirklich unsicher bist, such eine kostenpflichtige oder bekannte Alternative — wenn ein Feature nicht ein paar Euro wert ist, ist es wahrscheinlich auch den Datenschutz-Kompromiss nicht wert.
Als ergänzende Ressource aus einem etwas anderen Blickwinkel bietet Is That App Safe to Download? A Practical Checklist eine weitere Reihe von Prüfschritten, die sich neben diesem Artikel zu bookmarken lohnt.
Quellen & Weiterführendes
Google Play — Transparenzbericht — Google veröffentlicht jährliche Daten zu App-Entfernungen, Play-Protect-Erkennungen und Richtliniendurchsetzung im großen Maßstab. Die primäre Quelle, um zu verstehen, was App-Store-Sicherheit tatsächlich erfasst und was nicht.
Apple — App Store Review Guidelines — Das vollständige veröffentlichte Regelwerk, das Apple während der Prüfung anwendet, einschließlich Anforderungen zu Datenschutz, Sicherheit und API-Nutzung. Nützlich, um zu verstehen, was der Review-Prozess bewertet und was nicht.
The Markup — Unabhängiges investigatives Medium mit fortlaufender Tiefenberichterstattung zu App-Tracking, Datenbrokern und mobilen Werbeökosystemen. Die 2024er Berichterstattung über den Verkauf von Standortdaten an Dritte ist besonders relevant für das Verständnis, wie „sicheres" App-Verhalten in der Praxis tatsächlich aussieht.
Electronic Frontier Foundation (EFF) — Surveillance Self-Defense — EFFs praktische Leitfäden zur mobilen Privatsphäre, verfasst für nicht-technische Nutzer. Umfasst App-Bewertung, Berechtigungsverwaltung und wie du deine Tracking-Exposition auf beiden großen Plattformen reduzierst.
Which? — Fake-Reviews-Untersuchungsreihe — Die laufende Untersuchung der britischen Verbraucherorganisation zur Review-Manipulation in App Stores und E-Commerce-Plattformen, einschließlich Methodik zur Identifikation manipulierter Bewertungsabschnitte.