Der Deutschlandfunk und der Spion | CC BY SA 3.0 (Remix des DLF-Logos mit dem Spion von <a href="https://commons.wikimedia.org/wiki/User:Setreset">Setreset</a>
Wer nicht bei den Popwellen und dem seichten Programm der Schlagersender verblöden will, hört den Deutschlandfunk. Der kleinste der öffentlich-rechtlichen Hörfunkprogramme hat ein anspruchsvolles Publikum, dem der Sender mit seinem werbefreien Programm gerecht wird. So unmodern die Seriosität des Programms wirkt, so fortschrittlich wird die Technik dahinter betrieben. Der Kölner Sender war früh im Internet, experimentierte mit digitalen Aussendungen über die alten Sendeanlagen und ließ 2009 die dradio hoeren App entwickeln, mit der der Deutschlandfunk – eine Körperschaft des öffentlichen Rechts – seine drei Programme Deutschlandfunk, Deutschlandradio Kultur und DRadio Wissen aufs Mobiltelefon brachte. Die App wurde damals von einem Unternehmen Namens Spodtronic entwickelt und musste – soweit man sich beim Sender erinnert – nur ein Mal geringfügig angepasst werden.
Als Ende November eine neue Version von “dradio hoeren” ausgeliefert wurde, verlangte die App plötzlich weitreichende Zugriffsrechte auf das Telefon: Aufzeichnungen vom Mikrofon sollten erlaubt sein, Kalendereinträge sollen gelesen und geändert werden können, selbst auf den genauen GPS-Standort und die Daten der Speicherkarte verlangte die App Zugriff. Viele Benutzer zeigten sich irritiert, dazu kam einiger Unmut, da die neue Version trotz der neuen Zugriffsrechte bei ihrer eigentlichen Aufgabe, nämlich den Radiostream abzuspielen, versagte.
Bei Deutschlandfunk war man überrascht. Carsten Zorger, Leiter der Abteilung “Kommunikation und Marketing” verwies auf Das DRadio als offizielle App, deren moderate Zugriffsrechte mehr denen entsprechen, was von einer Streaming-App zu erwarten ist: Sie darf die Netzwerkverbindungen abrufen, bekommt Zugriff auf alle Netzwerke und ist in der Lage den Ruhezustand zu deaktivieren – mehr nicht. Google nennt für “Das DRadio” zwischen 50.000 und 100.000 Installationen und damit mehr als für “dradio hören” mit 10.000 bis 50.000 Anwendern.
Die Suche nach einer Erklärung für die weitreichenden Zugriffsrechte einer Streaming-App, die im Impressum den Sender in Köln nennt, führte zu Spodtronic. Doch deren Webseite informiert in japanischer Silbenschrift über Karrieremöglichkeiten für Krankenschwestern; einen Hinweis auf Apps für Mobiltelefone im Allgemeinen oder das Deutschlandradio im Speziellen sucht man vergeblich. Trotz dieser Unstimmigkeit kam die Antwort auf eine an die im Google Appstore genannte Supportadresse bei Spodtronic sehr schnell. Christian Richter, Geschäftsführer der Spoiled Milk GmbH in Hamburg, konnte Erklärungen liefern, die wenig Skandalöses enthalten, aber eben auch nicht alle Fragen klären. So wusste Richter zu berichten, dass aus Spodtronic vor einigen Jahren die Spoiled Milk GmbH wurde. Mit dem neuen Namen wurde der bisherige Webauftritt überarbeitet und die Domain verkauft. Warum Supportanfragen an die Spodtronic-Adresse trotzdem ihren Weg nach Hamburg finden, bleibt ein Mysterium – dessen Lösung aber bei der Beantwortung von Fragen zu den Zugriffsrechten der App aber nicht weiter hilft.
Die Zugriffsrechte der Versionen 1.8 und 1.16.2 im Vergleich
- Kalender
Kalendertermine sowie vertrauliche Informationen lesen
Ohne Wissen der Eigentümer Kalendertermine hinzufügen oder ändern und E-Mails an Gäste senden
- Standort
Genauer Standort (GPS- und netzwerkbasiert)
- Telefon
Telefonstatus und Identität abrufen
- Fotos/Medien/Dateien
USB-Speicherinhalte ändern oder löschen
USB-Speicherinhalte lesen
- Speicher
USB-Speicherinhalte ändern oder löschen
USB-Speicherinhalte lesen
- Mikrofon
Audio aufnehmen
- WLAN-Verbindungsinformationen
WLAN-Verbindungen abrufen
- Geräte-ID & Anrufinformationen
Telefonstatus und Identität abrufen
- Sonstige
Zugriff auf alle Netzwerke
Netzwerkverbindungen abrufen
- Ruhezustand deaktivieren
Die “DRadio hören”-App wurde 2009 programmiert. Dabei nutzten die Entwickler die White-Label-Technik, die es erlaubt, einen für alle Streaming-Apps dieser Softwareschmiede identischen Programmkern mit einem individuellen Anstrich zu versehen. Dieser unterscheidet sich von App zu App, von Station zu Station und bestimmt letztlich auch, welche Funktionen des Programmkerns genutzt werden können. Radio Hamburg, einer der Auftraggeber für eine App, bietet einen “Eiskratzwarndienst” an, für den die genaue Position des Hörers bekannt sein muss. Schweizer Stationen machen über ihre App auf Konzerte aufmerksam und tragen sie für Ticketbesteller nebst Aktualisierungen gleich im Kalender ein. Auch für den Zugriff auf das Mikrofon kann Christian Richter eine Anwendnung nennen: Stau-Reporter sprechen die Meldung selbst in die App – und der Sender strahlt das wieder aus.
All diese Funktionen kamen irgendwo zwischen der Version 1.10 und 1.14 in den Programmkern – ohne für jede App tatsächlich nutzbar zu sein. Denn ob der Eiskratzwarndienst, der Staureporter oder der Konzertservice tatsächlich nutzbar ist, wird – so Richter – von der Oberfläche der Radio-App bestimmt, nicht vom Kern, der darunter liegt und alle Komponenten enthält, für die es Anwendungen und damit Oberflächen gibt. Überprüfen lässt sich das nicht, da der Programmcode einer App nicht so einfach eingesehen werden kann. Die ganze Programmlogik steckt in einer Datei, der nur mit einigem Aufwand entlockt werden kann, was wirklich in ihrem Inneren steckt. Die Version 1.8 der “dradio hoeren”-App, aktuell bis zum 23. November 2015, verlangte nicht mehr als Zugriff auf das Netzwerk und den Status des Telefons. Die folgende Version, nämlich 1.16.2, brachte dann den Datenschutzgau. Im grauen Infokasten sind die Rechte der alten App (in grün) und die der neuen App (in Rot) dargestellt.
Ein um seine Einschätzung gebetener App-Entwickler wusste zu berichten, dass bei der Programmentwicklung erst einmal alle möglicherweise benötigten Klassen eingebunden werden. Ganz unabhängig davon, ob diese Funktionalität später auch angesprochen wird, taucht sie bei Google in der Liste der Berechtigungen auf. Dieses Vorgehen, verbunden mit der White-Label-Technik, ist geeignet, Anwender von der Installation oder einem Update abzuhalten – so sie denn darauf achten, welche Rechte über das Mobiltelefon eine Anwendung bekommt. Nicht wenige Hörer des Deutschlandfunks werden die Meldung über neue Zugriffe der Updateversion achtlos akzeptiert haben.
In Köln ist man sich der Problematik bewusst und drängt bei Spoiled Milk GmbH auf einen Downgrade von “DRadio hoeren”, also die Rückkehr zur Version 1.8. Denn das Update wurde nicht beauftragt und passierte bei Spoiled Milk eher versehentlich bei der Aktualisierung einer anderen App für eine private Radiostation.
Für die Benutzer von Mobiltelefonen und Pads lautet die Lehre daraus: Bei jeder Installation und jeder Aktualisierung einer App lohnt ein kritischer Blick auf die Zugriffsrechte. Sind die Berechtigungen nicht mit dem zu erklären, was die App tut, bedeutet das: Finger weg. Eine wenigstens oberflächliche Erklärung der Bedeutung der einzelnen Berechtigungen liefert Google auf der Seite App-Berechtigungen prüfen. Für die Hörer des Deutschlandfunks ergibt sich bald die Chance, das zu üben. In einigen Wochen soll eine neue App erscheinen, die ein umfangreiches Nachrichtenangebot zum Lesen bietet und natürlich auch den DLF- Livestream liefert.
Redaktionsmitglied Michael Renner
Meine Karriere als Redakteur bei der Piratenpartei startete 2009 beim Bundesnewsletter, aus dem 2010 die Flaschenpost hervorging. Im Sommer 2012 wurde ich stellvertretender Chefredakteur, Anfang 2014 Chefredakteur. Da die unzähligen Aufgaben an der Spitze der Flaschenpost einen Vollzeitjob in der Freizeit mit sich bringen, machte ich nach zwei guten, aber auch stressigen Jahren zwei Schritte zurück und gab die Redaktionsleitung ab. Die gewonnene Freizeit wird in die Familie und mein zweites großes Hobby, den Amateurfunk, investiert.
