Apps nutzen, aber sicher!

Wir analysieren Apps nach ihren Zugriffsrechten und setzen uns mit dem Thema Datensicherheit auseinander.

Sekundarstufe I

Sekundarstufe II

Deutsch

Geschichte & Sozialkunde

Geografie & Wirtschaftskunde

Kommunikation
Orientierung

Computer/Tablet/Smartphone

Einleitung:

Apps benötigen verschiedene Zugriffsrechte, um zu funktionieren. Nicht immer können jedoch alle Berechtigungen mit dem Anwendungszweck plausibel in Zusammenhang gesetzt werden. Gerade kostenlose Apps zielen im Gegenzug immer wieder auf unsere Daten ab. Um SchülerInnen für die Problematik der Datensicherheit zu sensibilisieren, analysieren wir verschiedene Apps und diskutieren welche Berechtigungen für welche Anwendungszwecke nötig sind.

Einführung:

Plenum

Sprechen Sie mit den SchülerInnen darüber, wie sie mit Apps und geforderten Berechtigungen umgehen. Lesen sie sich diese durch, bevor sie Apps installieren, oder achten sie kaum darauf? Haben sie schon einmal auf Apps verzichtet, die zu viele Zugriffsrechte verlangt haben?

Durchführung:

Gruppenarbeit

Lassen Sie die SchülerInnen recherchieren - zB im Google Play Store - welche Zugriffsrechte verschiedene Apps forden. Dafür klicken sie einzelne Apps an, scrollen auf der Seite, die die jeweilige App vorstellt, ganz hinunter und klicken bei den Informationen unter Berechtigungen auf "Details ansehen". Die SchülerInnen notieren die geforderten Zugriffsrechte und überlegen sich, was diese Berechtigungen für die Sicherheit der eigenen Daten bedeuten könnten.

Reflexion:

Plenum

Im Plenum werden die Ergebnisse vorgestellt. Welche unterschiedlichen Berechtigungen konnten gesammelt werden? Anschließend wird diskutiert - zB anhand einer Taschenlampen-App:

Was ist ihr Anwendungszweck?
Welche Zugriffsrechte braucht sie, um funktionieren zu können?
Welche Berechtigungen zielen hingegen rein auf das Sammeln privater Daten ab, da sie mit dem Anwendungszweck nicht in Verbindung gebracht werden können?

Das Zugriffsrecht einer Taschenlampen-App auf die Kamera ist beispielsweise nachvollziehbar, da über sie das Licht der Taschenlampe ausgespielt wird. Zugriffsrechte auf Identität, Standort, Fotos etc. können dagegen mit dem Anwendungszweck einer Taschenlampe nur schwer erklärt werden.

Außerdem kann gemeinsam überlegt werden, welche zusätzlichen Infos hilfreich sein könnten, um den Umgang der App mit unseren Daten einschätzen zu können. So kann es auch sinnvoll sein, darauf zu achten, wer die App erstellt hat. Kann nachvollzogen werden, um wen es sich dabei handelt? Ist es eine seriöse Quelle, zB eine Universität?

Jede Kleingruppe beschäftigt sich mit einer bestimmten App und analysiert diese nach ihren Zugriffsrechten und dem Umgang mit privaten Daten. Sichere Apps können nach Themen bzw. Anwendungen in einem gemeinsamen Klassen-Padlet gesammelt werden.

Berechtigungen am Beispiel der App PlantNet

Anwendungszweck der App:

PlantNet unterstützt beim Bestimmen von Pflanzen und basiert dabei auf einer visuellen Erkennungssoftware. Das heißt die User fotografieren eine Pflanze, laden das Foto über die App hoch und die App gleicht dieses Foto nun mit bereits gespeicherten Pflanzenbildern in der Referenzdatenbank ab. Schließlich liefert sie ein Ergebnis mit Vorschlägen von Pflanzen, die derjenigen auf dem Foto möglichst ähnlich sehen.

Die App verlangt folgende Zugriffsrechte:

WLAN-Verbindungsinformationen
Kamera
Fotos/Medien/Dateien
Speicher
Standort

Diskussion über Notwendigkeit der Zugriffsrechte:

Da die App eine Internetverbindung benötigt, um zu funktionieren und Fotoabgleiche machen zu können, muss sie die WLAN-Verbindungsinformationen abfragen können.
Die App muss auf die Kamera zugreifen können, um Fotos von Pflanzen machen zu können. Alternativ können die Fotos aber auch vorab gemacht werden und erst anschließend in die App geladen werden. Die Berechtigung kann der App nach dem Installieren daher auch entzogen werden.
Damit die App Fotos mit der Referenzdatenbank abgleichen kann, braucht sie Zugriff auf Fotos/Medien/Dateien bzw. den Speicher. Das heißt natürlich, dass sie auf sehr private Inhalte zugreifen kann. In diesem Fall ist die Berechtigung allerdings nachvollziehbar und notwendig.
Über den Zugriff auf den Standort weiß die App immer genau, wo sich der User aufhält und kann sogar Bewegungsprofile erstellen. In diesem Fall verlangt die App die Berechtigung den Standort abzufragen, damit nachvollzogen werden kann, wo neue Beobachtungen von Pflanzen gemacht worden sind. Diese Information kann für die Erhebung von Pflanzendaten durchaus sinnvoll sein. Der einzelne User kann hier allerdings selbst entscheiden, ob er diese Information mitliefern will und die Berechtigung im Nachhinein der App entziehen. Die App funktioniert trotzdem.

Lehrerweb: Tipps zur digitalen Grundbildung: Sicherheit

Lehrerweb: Linktipps zum Thema Sicherheit

Computerwelt-Artikel: App-Berechtigungen und deren Bedeutung

Name	Zweck	Speicherdauer	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Web Consent
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	-	HTTP	Web User

Name	Zweck	Speicherdauer	Typ	Anbieter
DSID	missing translation: trackingobject.DSID.desc	2 missing translation: duration.weeks	HTML	Google
test_cookie	missing translation: trackingobject.test_cookie.desc	15 Minuten	HTML	Google
IDE	missing translation: trackingobject.IDE.desc	24 Monate	HTML	Google
FPLC	missing translation: trackingobject.FPLC.desc	20 Stunden	HTML	Google
FPID	missing translation: trackingobject.FPID.desc	2 Jahre	HTML	Google
GA_OPT_OUT	missing translation: trackingobject.GA_OPT_OUT.desc	7 Jahre	HTML	Google
__utma	missing translation: trackingobject.__utma.desc	2 Jahre	HTML	Google
__utmb	missing translation: trackingobject.__utmb.desc	30 Minuten	HTML	Google
__utmc	missing translation: trackingobject.__utmc.desc	-	HTML	Google
__utmt	missing translation: trackingobject.__utmt.desc	10 Minuten	HTML	Google
__utmz	missing translation: trackingobject.__utmz.desc	6 Monate	HTML	Google
__utmv	missing translation: trackingobject.__utmv.desc	2 Jahre	HTML	Google
_ga	Wird verwendet, um Benutzer zu unterscheiden.	2 Jahre	HTML	Google
_gat	Wird zum Drosseln der Anfragerate verwendet.	1 Minute	HTML	Google
_gat_--custom-name--	missing translation: trackingobject._gat_--custom-name--.desc	1 Minute	HTML	Google
_gid	Wird verwendet, um Benutzer zu unterscheiden.	24 Stunden	HTML	Google
_ga_--container-id--	Speichert den aktuellen Sessionstatus.	2 Jahre	HTML	Google
_dc_gtm_--property-id--	Wird von DoubleClick (Google Tag Manager) verwendet, um die Besucher nach Alter, Geschlecht oder Interessen zu identifizieren.	1 Minute	HTML	Google
_gaexp	missing translation: trackingobject._gaexp.desc	93 Tage	HTML	Google
_gaexp_rc	missing translation: trackingobject._gaexp_rc.desc	10 missing translation: duration.seconds	HTML	Google
_opt_awcid	missing translation: trackingobject._opt_awcid.desc	24 Stunden	HTML	Google
_opt_awmid	missing translation: trackingobject._opt_awmid.desc	24 Stunden	HTML	Google
_opt_awgid	missing translation: trackingobject._opt_awgid.desc	24 Stunden	HTML	Google
_opt_awkid	missing translation: trackingobject._opt_awkid.desc	24 Stunden	HTML	Google
_opt_utmc	missing translation: trackingobject._opt_utmc.desc	24 Stunden	HTML	Google
_gac_--property-id--	Enthält Informationen zu Kampagnen für den Benutzer. Wenn Sie Ihr Google Analytics- und Ihr Google Ads Konto verknüpft haben, werden Elemente zur Effizienzmessung dieses Cookie lesen, sofern Sie dies nicht deaktivieren.	90 Tage	HTML	Google
AMP_TOKEN	Enthält ein Token, das verwendet werden kann, um eine Client-ID vom AMP-Client-ID-Service abzurufen. Andere mögliche Werte zeigen Opt-out, Anfrage im Gange oder einen Fehler beim Abrufen einer Client-ID vom AMP Client ID Service an.	1 Jahr	HTML	Google

Name	Zweck	Speicherdauer	Typ	Anbieter
YouTube	Es wird eine Verbindung mit YouTube hergestellt, um Videos anzuzeigen.	-	Verbindung	YouTube
GoogleMaps	Es wird eine Verbindung mit Google Maps hergestellt, um Karten anzuzeigen.	-	Verbindung	Google
__cf_bm	Required to see Vimeo content.	1 Jahr	HTTP	Vimeo
OptanonAlertBoxClosed	Saves the state of your Vimeo data protection consent.	1 Jahr	HTML	Vimeo
OptanonConsent	Saves the state of your Vimeo data protection consent.	1 Jahr	HTML	Vimeo
player	This cookie saves your preferences before playing an embedded Vimeo video. This will bring you back to your preferred settings the next time you watch a Vimeo video.	1 Jahr	HTML	Vimeo
vuid	This cookie gathers information about your actions on websites embedding Vimeo videos.	2 Jahre	HTML	Vimeo
_abexps	This cookie remembers your settings. Settings can include language, region or login user. In general this cookie saves data about how you use Vimeo.	1 Jahr	HTML	Vimeo
continuous_play_v3	This cookie is a first-party cookie from Vimeo. The cookie collects information on how you use the Vimeo service. For example, the cookie saves when you pause and play a video again.	2 Jahre	HTML	Vimeo

LehrerInnen Web