VPNs sollen für Anonymität im Netz sorgen. Adblocker wiederum helfen, Werbung zu unterbinden. Doch VPN- und Adblocker Apps des Unternehmens Sensor Tower könnten Daten von Nutzerinnen und Nutzer abgefischt haben. Die Firma bestreitet das, so unser Netzreporter Andreas Noll.

VPNs, also virtuelle private Kommunikationsnetze, sollen für mehr Datenschutz und Sicherheit sorgen. Denn damit können die Nutzerinnen und Nutzer anonym im Netz surfen. Doch wie sicher diese Anonymität ist, wird diskutiert. Die englischsprachige Website Buzzfeed berichtet über mehrere VPN-Apps, die im Verdacht stehen, Userinnen und User gezielt ausspioniert zu haben. Neben VPN-Apps sollen auch Adblocker betroffen sein, so Netzreporter Andreas Noll. Diese Tools helfen dabei, Werbung auf Webseiten zu unterdrücken.

"Der Sinn hinter VPNs ist es, dem Homepagebetreiber, auf dessen Seite man surft, die eigene Identität zu verschleiern."
Andreas Noll, Deutschlandfunk-Nova-Netzreporter

Es geht um VPN-Apps sowie Adblocker, die eine Verbindung zu der Analysefirma Sensor Tower haben. Das Unternehmen ist in Tech-Kreisen gut bekannt und liefert auf Bestellung Analysedaten aus dem Internet, zum Beispiel rund um die Nutzung von Apps.

In den vergangenen fünf Jahren sollen etwa 20 Apps für iPhone- oder Android-Geräte auf den Markt gekommen sein, hinter denen die Analysefirma Sensor Tower steckt. Die Apps zählen insgesamt rund 35 Millionen Downloads und haben damit eine relativ große Verbreitung erreicht. Zu ihnen gehören "Luna VPN", "Free and Unlimited VPN" oder auch "Adblock Focus". "Diese Apps sollten User jetzt ganz schnell löschen", sagt unser Netzreporter Andreas Noll.

Die VPN-Betreiber können reichlich Daten einsehen

Welche Daten der Nutzerinnen und Nutzer von der Firma abgesaugt wurden, ist noch nicht klar. Aber VPN-Betreiber können generell nachvollziehen, welche Seiten von den Nutzerinnen und Nutzern angesteuert wurden, wann und für wie lange.

Hinzu kommt, dass nach dem Installieren der Apps die Nutzerinnen und Nutzer gedrängt werden, ein sogenanntes Root-Zertifikat zu installieren. Mit diesem lassen sich andere Zertifikate überprüfen. Mit dem Root-Zertifikat können die App-Anbieter den gesamten Datenverkehr mitlesen. "Im Grunde hatten die Apps Zugriff auf den gesamten Netzwerkverkehr", sagt Andreas Noll. Mit dem Installieren geben die Userinnen und User ihr Smartphone und die verschlüsselte Kommunikation praktisch frei. Deshalb lassen zum Beispiel Google und Apple aus Sicherheitsgründen diese Apps nicht in ihren App-Stores zu. Sensor Tower hat die Nutzerinnen und Nutzer das Zertifikat über separate Webseite installieren lassen.

"Wer Root-Zertifikate installiert, der hat sein Smartphone praktisch zur Fernüberwachung freigegeben – inklusive verschlüsselter Kommunikation."
Andreas Noll, Deutschlandfunk-Nova-Reporter

Die Analysefirma Sensor Tower sagt, sie habe keine sensiblen oder persönlich identifizierbaren Daten gesammelt. Aber die Geschichte wird sicherlich noch weitergehen.

Auf vertrauenswürdige Quellen achten

Das erste Fazit lautet, dass Userinnen und User grundsätzlich Apps nur aus vertrauenswürdigen Quellen installieren sollten, so Andreas Noll. Dazu gehören vor allem die großen IT-Konzerne. Wer Apps aus unbekannter Quelle unbedingt nutzen möchtet, sollte diesen auf keinen Fall tief greifende Zugriffe auf das Betriebssystem gestatten. Das heißt zum Beispiel, keine neuen Root-Zertifikate installieren, auch wenn euch App-Anbieter dazu drängen.