Schon bei der Einrichtung des Smartphones kann eine App einen Datenschutzgewinn darstellen, wenn z.B. nicht gewünscht ist, dass alle Kontakte automatisch bei Google landen. In dem Fall kann es sinnvoll sein eine App zu installieren mit der ein lokales Konto eingerichtet werden kann, bevor(!) die Kontakte angelegt werden, um gezielt diese im lokalen statt dem Google-Konto zu speichern. Ich nutzte (siehe P.S.) 9/2017 für mein Motorola Moto Z Play z.B. diese App indem ich nach der Installation unter Einstellungen Konten > Konto hinzufügen > MyLocalAccount hinzufügte und anschließend in der Kontakte-App dieses Konto als „Standardkonto für neue Kontakte“ gewählt habe. Zusätzlich habe ich in den Konteneinstellungen gleich die automatische Synchronisierung abgestellt.

In vielen Fällen sind Apps nicht kostenlos – auch wenn diese so angepriesen werden, sondern mit Werbenetzwerken und persönlichen Daten zu bezahlen. Gerade die Werbenetzwerke bieten ein potentielles Sicherheitsrisiko bezüglich Viren/Trojaner. Dabei braucht eine einfache Taschenlampen App keinen Internetzugriff und bei einer alternativen Tastatur wäre es für mich sogar ein KO-Kriterium.

Google bietet im PlayStore leider keine Möglichkeit vorher zu erkennen, ob (und welche) Werbenetzwerke integriert sind (s.u.), ob die Software OpenSource ist oder welche „Spionage“ durch die App tatsächlich zur Anwendung kommt. Gerade der „Netzwerkzugriff“ wird mittlerweile nahezu versteckt und zwar meist im PlayStore unter „Berechtigungen > Sonstige“ aber nicht unbedingt bei der Installation angezeigt. Auch wenn damit zumindest die Liste der „Berechtigungen“ (über den Link fast am Ende der Seite, nicht die Liste die bei der Installation erscheint) im PlayStore einen Hinweis gibt, betont Google leider, dass mit jedem Update ohne Vorwarnung zusätzlich neue hinzu kommen können – also z.B. die Tastatur-App plötzlich alle Eingaben im Internet ausplaudern darf. Außerdem bleibt erst mal völlig im Dunkeln wie diese Rechte tatsächlich eingesetzt werden. Darüber hinaus gibt es Apps bei denen auf den ersten Blick keine Werbung angekündigt oder erkennbar ist, die aber trotzdem nicht ohne Werbe- bzw. Analysenetzwerk sind (wie z.B. Firefox, der dafür in den Einstellungen Optionen bietet) …

Auf der anderen Seite gibt es auch Apps, die in der Beschreibung Werbung ankündigen, bei denen aber trotzdem kein Werbenetzwerk aufzuspüren ist (wie z.B. eine App für Erinnerungen an verpasste Anrufe und Nachrichten – z.B. für Google Hangouts, Skype, WhatsApp, … – in der folgenden Liste der ausgewählten AndroidApps).

Eine praktische Auswahl an Android Apps/Software die (weitgehend) werbefrei und bei der ersten Installation (meist) nicht all zu viele unnötige Rechte verlangt(en) findet sich hier.

Leider zeigt die Situation mit den Apps den Spagat zwischen verschiedenen Sicherheitsbegriffen. Grundsätzlich sind Updates wichtig um Fehler bzw. Sicherheitslücken zu beseitigen und damit diese Art der Sicherheit zu erhöhen. Auf der anderen Seite besteht die Gefahr, dass ein Update z.B. zu neuen Werbenetzwerken oder Zugriffen und damit zu erweiterten Funktionen zum Angriff auf die eigene Privatsphäre oder sogar zu mehr potentiellen Sicherheitsproblemen führt… Es kann daher nicht schaden, vor einem Update noch einmal im PlayStore die Berechtigungen zu prüfen. Wem das zu mühsam ist, kann z.B. die Updates auf die Anwendungen beschränken die bereits das Recht auf „Netzwerkzugriff“ haben bzw. mit Daten aus dem Internet arbeiten, also z.B. Webbrowser, Office oder Medienspieler wie VLC und dann diese Updates selbst unverzüglich (an einem sicheren Netz = nicht im Hotel o.ä.) einspielen. Updates für die berühmte Taschenlampen-App oder eine Klavier-App sind hingegen wahrscheinlich eher unnötig.

P.S. Die (selbst etwas umstrittene und mittlerweile mit einem Werbenetzwerk versehene) App SRT Privacy Inspector kann manch interessanten Hinweis auf die Rechte und Werbenetzwerke bereits installierter Apps geben. Ihre Tipps und plakativen Aussagen sind allerdings mit Vorsicht zu genießen. So ist die Installation von Apps aus anderen Quellen als dem Google PlayStore erstmal nicht empfehlenswert und sollte grundsätzlich auch nicht freigegeben werden. (Wenn es sich nicht vermeiden lässt, nicht vergessen nach der Installation die „Installation von Apps aus Fremdquellen“ wieder zu verbieten.)
Auch die App AppBrain Ad Detector liefert leider nur unzuverlässige Ergebnisse, so dass ich schließlich dem Addons Detector von denper den Vorzug gegeben habe. Trotzdem nutze ich folgendes Vorgehen:

(0. Gibt es ein ähnliches Angebot, das über Firefox mit NoScript-Plugin genutzt werden kann und eine Extra-App verzichtbar macht? – Auch Lesezeichen lassen sich als Icon auf dem Startbildschirm ablegen. – Ja? Dann verzichte ich lieber ganz auf eine extra App.)

1. Im Google PlayStore Kommentare und die umfassendere Liste der Berechtigungsdetails (je nach PlayStore-Version evtl. ziemlich am Ende der Seite) überprüfen und dann direkt unter Android – nur an einem vertrauenswürdigen Netz – die App direkt über die (vertrauenswürdige) PlayStore-App installieren (aber nicht öffnen).
2. Sofort jegliche Netzwerkverbindung ausschalten (WLAN aus, Flugmodus an).
3. Vor dem ersten Start mit dem Addons Detector von denper (oder AppBrain Ad Detector oder evtl. der damals noch werbefreien Version 1.0.1 von SRT Privacy Inspector) besonders auf Werbenetzwerke, Analytik und die nötigen Rechte überprüfen.
4. Evtl. zuerst (ab 6/Marshmallow) über die Android-Einstellungen > Apps & Benachrichtigungen > App-Info die Rechte einschränken.
5. Evtl. über die Telefoneinstellungen > Apps die neue App wieder deinstallieren.
6. Evtl. Netzwerkverbindung herstellen und im Play Store die App aus „meinen Apps“ wieder entfernen.

(… oder ein paar Betrachtungen zu WhatsApp)