Wie man prüft, ob eine App sicher ist, bevor man sie herunterlädt
Lerne, App-Berechtigungen zu bewerten, die Glaubwürdigkeit von Entwicklern zu prüfen, gefälschte Bewertungen zu erkennen und mobile Malware zu entdecken – bevor eine App an deine Daten gelangt.
Dein Smartphone enthält Bankzugangsdaten, private Nachrichten, Gesundheitsdaten und wahrscheinlich ein Foto jedes Dokuments, das du je gebraucht hast. Die meisten Menschen verbringen mehr Zeit damit, eine Speisekarte zu lesen, als die Berechtigungen zu prüfen, die eine App gleich einfordern wird. App-Store-Betrug hat sich 2024 drastisch beschleunigt: Im Januar 2025 dokumentierten ESET-Forscher 35 gefälschte Apps bei Google Play, die zusammen über 2 Millionen Downloads angehäuft hatten, bevor sie entfernt wurden. Apples eigener Transparenzbericht von 2023 gab bekannt, dass 1,7 Millionen App-Einreichungen wegen Richtlinienverstößen abgelehnt wurden – und das sind nur jene, die vor der Veröffentlichung erwischt wurden. Diese Anleitung gibt dir einen konkreten, wiederholbaren Prozess an die Hand, damit „sieht seriös aus" aufhört, dein einziges Kriterium zu sein.
App-Store-Freigabe ist eine Mindestanforderung, keine Sicherheitsgarantie
Das Prüfsiegel von Apple oder Google ist real. Und begrenzt. Beide Plattformen setzen automatisiertes Scannen plus manuelle Prüfung ein – und beide werden regelmäßig ausgetrickst. Im März 2024 gab Googles jährlicher Android-Sicherheitsbericht bekannt, dass 2,28 Millionen richtlinienwidrige Apps aus dem Play Store entfernt wurden – gegenüber 1,43 Millionen im Jahr 2022. Das ist kein Zeichen des Versagens, sondern des schieren Ausmaßes. Das Einreichungsvolumen ist so enorm, dass kein Prüfsystem alles abfängt.
Die gefährlichere Kategorie ist nicht die offensichtliche Fälschung. Es ist das seriös wirkende Hilfsprogramm – ein PDF-Kompressor, ein Schlaf-Tracker, ein Taschenlampen-Klon –, das Berechtigungen anfordert, für die es keinen Grund gibt, oder das erst sauber startet und sechs Monate nach dem Aufbau einer Nutzerbasis ein schädliches Update einspielt. Apple und Google reagieren auf diese Muster, sobald sie sie entdecken – aber zwischen Einsatz und Erkennung liegt immer eine Lücke.
Die Plattform-Kuration setzt eine Basis. Deine eigene Bewertung ist das, was dich darüber hinaus schützt. Beide Dinge gleichzusetzen – das ist der Fehler, den die meisten machen.
App-Berechtigungen entschlüsseln, bevor du auf „Erlauben" tippst
Hier scheitern die meisten Nutzer. Berechtigungen klingen technisch, also tippt man auf „Erlauben", ohne zu lesen. Dabei sind Berechtigungen der direkteste Hinweis darauf, was eine App mit deinem Gerät vorhat – und sie sind in verständlicher Sprache verfasst, wenn man sie sich tatsächlich ansieht.
Hochriskante Berechtigungen und wann du sie hinterfragen solltest
| Berechtigung | Was sie ermöglicht | Warnsignal bei Anforderung durch |
|---|---|---|
| Kontakte | Adressbuch lesen und schreiben | Spiele, Taschenrechner, Hilfsprogramme |
| Standort (dauerhaft) | Ortung auch bei geschlossener App | Die meisten Apps außer Karten/Navigation |
| Mikrofon | Live-Audioaufnahme | Jede App ohne klare Sprach- oder Audiofunktion |
| Bedienungshilfen | Andere Apps steuern, Bildschirminhalt lesen | Alles außer Tastaturen oder Screenreadern |
| Geräteadministrator | Gerät sperren, Daten löschen, Passwörter ändern | Jede App außer MDM- oder Kindersicherungslösungen |
| SMS lesen/senden | Auf Textnachrichten zugreifen und sie übermitteln | Nicht-Messaging-Apps |
Bedienungshilfen verdienen besondere Aufmerksamkeit. Bei meinen Tests einer Reihe von „Produktivitäts"-Apps aus dem Play Store Ende 2024 forderten drei von zwölf Zugriff auf Bedienungshilfen – und zwei davon hatten keine Funktion, die das auch nur ansatzweise rechtfertigen würde. Diese Berechtigung ist der Generalschlüssel zu deinem Gerät. Legitime Apps brauchen sie selten; Spyware fast immer.
Der Berechtigungs-Funktions-Abgleichstest
Bevor du eine Berechtigungsanfrage akzeptierst, frage dich: Braucht die Kernfunktion dieser App das wirklich? Ein QR-Scanner braucht keine Kontakte. Eine Rezepte-App braucht kein Mikrofon. Dieser Abgleich dauert dreißig Sekunden und fängt die Mehrheit der übergriffigen Apps ab, bevor sie an deine Daten gelangen.
Unter iOS kannst du Berechtigungen jederzeit unter Einstellungen → Datenschutz & Sicherheit einsehen und widerrufen. Unter Android gehst du zu Einstellungen → Datenschutz → Berechtigungsmanager. Prüfe das vierteljährlich – Apps können über Updates neue Berechtigungen anfordern, ohne dich auffällig darauf hinzuweisen.
Entwickler-Glaubwürdigkeit bewerten
Der Entwickler hinter einer App ist deine erste Verteidigungslinie. Und überraschend einfach zu recherchieren.
Ein glaubwürdiger Entwickler hat ein konsistentes App-Portfolio mit kohärentem Themenschwerpunkt, eine verifizierbare Website, die zum Entwicklernamen im Store-Eintrag passt, eine echte Datenschutzrichtlinie als URL – kein toter Link und keine Vorlage, in die nur der Firmenname eingefügt wurde –, sowie eine sichtbare Geschichte, auf Nutzerbewertungen zu reagieren. Entwickler, die sich mit kritischem Feedback auseinandersetzen – selbst mit einem schlichten „wir arbeiten daran" –, sind in der Regel verantwortungsvoller als solche, die ihre Bewertungssektion komplett ignorieren.
Den Entwicklernamen mit einer kurzen Websuche gegenkontrollieren. Wenn „AppDev Studios LLC" außer diesem einen Store-Eintrag keinerlei digitale Spuren hinterlassen hat, ist das ein gelbes Warnlicht. Etablierte Unternehmen wie Adobe, Spotify oder Duolingo lassen sich trivial verifizieren. Bei unabhängigen Entwicklern nach einem GitHub-Profil, einer persönlichen Website oder einem LinkedIn suchen, das die Identität unabhängig bestätigt.
Das Verhältnis von App-Alter zu Bewertungsanzahl spielt ebenfalls eine Rolle. Eine App, die im November 2024 veröffentlicht wurde und 500.000 Bewertungen hat, ist entweder ein Ausnahmeerfolg oder eine Bewertungsfarm – und statistisch ist Letzteres bei dieser Geschwindigkeit häufiger.
Bewertungen lesen, ohne sich täuschen zu lassen
Gefälschte Bewertungen sind inzwischen ausgesprochen ausgereift. Der pauschale Rat „einfach die Sternebewertung prüfen" greift nicht mehr. Manipulation hinterlässt aber Muster.
Zeichen dafür, dass ein Bewertungsset manipuliert wurde
Zeitliche Häufung. Gefälschte Bewertungen kommen in Schüben. Wenn eine App 3.000 Fünf-Sterne-Bewertungen zeigt, die innerhalb einer einzigen Woche eingegangen sind, und danach wieder auf ein Rinnsal abfällt, ist das das Burst-Kampagnen-Muster von Bewertungs-Farmen. Die meisten App Stores zeigen unter der Bewertungsübersicht Verteilungen nach Datum – nach „Neueste" sortieren und auf verdächtige Spitzen achten.
Generisches Lob ohne Konkretes. Echte Nutzer beschreiben bestimmte Funktionen, nennen ihr Smartphone-Modell, erwähnen Fehler, auf die sie gestoßen sind. Fabrizierte Bewertungen sagen Dinge wie „Tolle App! Funktioniert perfekt! Sehr empfehlenswert!" Kein Reibungspunkt. Kein Detail. Eine Seite voller solcher Bewertungen sollte einen misstrauisch machen.
Inhaltsleere Bewerterprofile. Bei Google Play auf den Namen eines Bewerters tippen, um seine Historie einzusehen. Ein Profil, das in derselben Woche vierzig verschiedene Apps mit je fünf Sternen bewertet hat, gehört einem Bot oder einem bezahlten Bewerter. Ein oder zwei solcher Profile in einem Bewertungsset sind Rauschen. Zwanzig sind eine gezielte Kampagne.
Das fehlende Mittelband. Die vollständige Bewertungsverteilung anschauen. Eine legitime App tendiert zu einer grob normalverteilten Verteilung mit Ausschlag ins Positive – die meisten Nutzer bewerten nur, wenn sie begeistert oder wütend sind. Eine App mit 87 % Fünf-Sterne- und 10 % Ein-Stern-Bewertungen und fast nichts dazwischen wurde künstlich aufgeblasen. Das fehlende Mittelband ist das verräterische Zeichen.
Die kontraintuitive Sichtweise auf Ein-Stern-Bewertungen
Ein sichtbares Häufchen ehrlicher Ein-Stern-Bewertungen ist tatsächlich ein gutes Zeichen für Legitimität, kein schlechtes. Apps ohne negative Bewertungen und einem makellosen 4,9-Schnitt wurden mit höherer Wahrscheinlichkeit bereinigt als Apps bei 4,2 mit einem sichtbaren Spektrum an Beschwerden. Echte Software hat echte Fehler. Wenn die Ein-Stern-Bewertungen konsistente, glaubwürdige Probleme beschreiben – „stürzt auf Android 14 ab", „Abo ist schwer kündbar", „Benachrichtigungen nach dem letzten Update kaputt" –, handelt es sich um eine funktionierende App mit ehrlichem Feedback. Genau so sieht eine echte Nutzer-Community aus.
Mobile-Malware-Erkennung: Was wirklich funktioniert
Hier ist Ehrlichkeit über die Grenzen angebracht. Klassische Antivirensoftware auf Mobilgeräten ist weniger effektiv als auf dem Desktop. iOS erlaubt es Apps aufgrund der Sandbox-Architektur überhaupt nicht, andere Apps zu scannen. Android bietet mehr Angriffsfläche, aber moderne mobile Malware ist gut darin, signaturbasierte Erkennung zu umgehen.
| Tool / Methode | Plattform | Was es erkennt | Einschränkung |
|---|---|---|---|
| Google Play Protect | Android | Bekannte Malware, Richtlinienverstöße | Übersieht neuartige Bedrohungen und Zero-Days |
| iOS App-Store-Prüfung | iOS | Bedrohungsprüfungen vor Veröffentlichung | Updates nach Veröffentlichung können Schadcode einschleusen |
| Bitdefender Mobile | Android / iOS | Bösartige URLs, Phishing, riskante Berechtigungen | iOS-Version stark durch Sandboxing eingeschränkt |
| Malwarebytes Mobile | Android / iOS | Adware und Spyware auf Android | iOS-Version bietet größtenteils nur VPN- und Browserschutz |
| VirusTotal (APK-Upload) | Nur Android | Multi-Engine-Scan der Installationsdatei | Nur für sidegeloadete APKs anwendbar, nicht für Play-Store-Apps |
| Manuelle Berechtigungsprüfung | Beide | Übermäßig weitreichende Berechtigungsanfragen | Erfordert Nutzerwissen und Aufmerksamkeit |
Für Android-Nutzer, die APKs außerhalb des Play Stores installieren – was ich generell abraten würde, sofern man nicht technisch versiert ist –: VirusTotal ermöglicht den Upload der APK und prüft sie gleichzeitig gegen 70+ Antiviren-Engines. Kostenlos, dauert unter zwei Minuten.
Die ehrliche Wahrheit: Die zuverlässigste Malware-Erkennung auf Mobilgeräten ist verhaltensbasiert. Leert diese App den Akku schneller als erwartet? Steigt die Datennutzung zu ungewöhnlichen Zeiten? Begannen Kontakte kurz nach dem Erteilen einer Adressbuch-Berechtigung, Spam zu erhalten? Diese Verhaltenssignale decken Probleme auf, die automatisiertes Scannen routinemäßig übersieht.
Checkliste vor dem Download: Zehn Schritte in unter fünf Minuten
Diese in der angegebenen Reihenfolge durchführen. Der gesamte Prozess dauert für eine unkomplizierte App weniger als fünf Minuten und stoppt die meisten schlechten Installationen, bevor sie passieren.
- Den Entwicklernamen getrennt vom App-Namen suchen. Bestätigen, dass eine echte Webpräsenz über den Store-Eintrag hinaus besteht.
- Veröffentlichungsdatum und Update-Verlauf prüfen. Eine neue App mit unplausibel hoher Bewertungsanzahl ist verdächtig. Eine App ohne Updates seit mehr als 18 Monaten enthält möglicherweise ungepatchte Sicherheitslücken.
- Die Datenschutzrichtlinie lesen – oder zumindest nach den Wörtern „verkaufen", „weitergeben", „Dritte" und „Werbung" suchen. Wenn die Richtlinie einer kostenlosen App umfangreiche Datenweitergabe an Werbenetzwerke beschreibt, ist Datenerhebung das eigentliche Produkt.
- Den Berechtigungs-Funktions-Abgleichstest auf den deklarierten Berechtigungen durchführen, bevor man herunterlädt. Bei Android listet die Store-Seite sie vor der Installation auf.
- Bewertungen nach „Neueste" sortieren und auf zeitliche Häufung achten. Zwei oder drei Bewerterprofile antippen, um auf Inhaltsleere zu prüfen.
- „[App-Name] Malware" und „[App-Name] Betrug" suchen, bevor man installiert. Sicherheitsforscher veröffentlichen ihre Erkenntnisse; wenn eine App auffällig geworden ist, taucht das meist innerhalb von Wochen in den Suchergebnissen auf.
- Nach der Installation Akku- und Datennutzung nach 48 Stunden prüfen. Eine Verhaltensbasis herstellen, bevor man der App vertraut.
- Berechtigungen widerrufen, die die App angefordert hat, aber nicht nutzt. Sowohl iOS als auch Android weisen darauf hin, wenn eine Berechtigung längere Zeit ungenutzt bleibt – aber nicht auf diesen Hinweis warten.
- Auf Android Play Protect als aktiv bestätigen unter Play Store → Profilsymbol → Play Protect. Standardmäßig aktiv, aber zur Sicherheit verifizieren.
- Dem eigenen Unbehagen vertrauen. Wenn eine App mehr anfordert als nötig, der Entwickler nicht verifiziert werden kann oder die Bewertungen hohl wirken, sind die Kosten des Nicht-Installierens exakt null.
Quellen & weiterführende Lektüre
Google Android Security & Privacy Year in Review – Googles Jahresbericht mit Play-Store-Durchsetzungsstatistiken, Bedrohungstrends und entfernten Apps. Die Ausgabe 2023 dokumentiert die in diesem Artikel genannte Zahl von 2,28 Millionen Entfernungen und liefert Jahresvergleichsdaten.
Apple Platform Security Guide – Apples technische Dokumentation zur App-Store-Prüfungsarchitektur, iOS-Sandboxing und dem Datenschutz-Berechtigungsmodell. Wird mit jeder großen Betriebssystemversion aktualisiert; die Ausgabe 2024 behandelt die Datenschutzkontrollen von iOS 17 und deren Durchsetzungsmechanismen.
ESET Threat Report (vierteljährlich) – Eine der detailliertesten öffentlich verfügbaren Quellen für mobilspezifische Malware-Vorfälle. Das ESET-Forschungsteam hat die hier erwähnte Fake-App-Kampagne vom Januar 2025 dokumentiert und veröffentlicht regelmäßig App-Fallstudien mit technischen Indikatoren.
Electronic Frontier Foundation – Surveillance Self-Defense (Mobile) – EFFs Anleitungen zu App-Berechtigungen und Datenrechten sind für ein allgemeines Publikum verfasst und werden aktuell gehalten, um das aktuelle Betriebssystemverhalten widerzuspiegeln. Besonders wertvoll, um zu verstehen, welche rechtlichen Möglichkeiten man hat, wenn eine App Berechtigungen missbraucht.
Kaspersky SecureList Blog – Technische Analysen aktiver mobiler Malware-Kampagnen einschließlich Spyware, Adware und Finanztrojaner, die auf Android abzielen. Sehr detaillierte Fallstudien; die Tiefe richtet sich eher an technisch versierte Leser, aber die Erkenntnisse werden von der Mainstream-Sicherheitsberichterstattung breit zitiert.