idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Ein Klick – und schon hat die App weitreichende Zugriffsrechte, etwa auf Kamera, Mikrofon oder Kontakte. Was viele nicht wissen: Ob wir auf „Erlauben“ oder „Ablehnen“ tippen, hängt oft maßgeblich von der Formulierung dieser Anfrage ab. Das zeigt eine aktuelle Studie der CISPA-Forscherin Yusra Elbitar. Ihr Paper „The Power of Words: A Comprehensive Analysis of Rationales and Their Effects on Users’ Permission Decisions” stellte sie auf dem renommierten NDSS-Symposium 2025 in San Diego vor.
Wenn eine App auf eine sensible Funktion wie Kamera oder Standort zugreifen möchte, zeigt das Betriebssystem eine sogenannte Berechtigungsanfrage, im Englischen „Permission Request“ genannt. Entwickler:innen können diese durch einen zusätzlichen, erklärenden Text ergänzen – eine sogenannte Rationale. Diese Rationale soll Nutzer:innen begründen, warum die App eine bestimmte Erlaubnis benötigt.
‚Die App benötigt Speicherzugriff‘ oder ‚Bitte erlaube den Zugriff auf deinen Speicher, um Fotos an deine Beiträge anzuhängen‘ – welche dieser Formulierungen würde Sie eher dazu motivieren, der App die Erlaubnis zu erteilen? App-Entwickler:innen können bei der zweiten, konkreteren Variante mit einer höheren Zustimmungsrate rechnen. Zumindest legt das Elbitars Studie nahe: „Wer versteht, warum Zugriff auf Kamera oder Speicher benötigt wird, fühlt sich besser informiert und hat ein stärkeres Gefühl von Kontrolle. Beides erhöht laut unserer Untersuchung die Zustimmung zu App-Berechtigungen“, erklärt die Forscherin. Gemeinsam mit Kolleg:innen analysierte sie mehr als 9500 häufig genutzte Android-Apps, um herauszufinden, wie Berechtigungsanfragen formuliert und gestaltet werden.
Zentrale Bausteine für App-Berechtigungsanfragen
In der Praxis sahen die Erklärtexte in den untersuchten Apps höchst unterschiedlich aus. „Es gibt zwar – etwa von Apple oder Android – Vorgaben für Entwickler:innen, wie solche Anfragen gestaltet werden sollten. Bindend sind diese aber nicht“, so Elbitar. Und so konnten die Forschenden ganz unterschiedliche Bausteine herausarbeiten, die gemeinsam bestimmen, wie überzeugend und verständlich eine solche Erklärung auf Nutzende wirkt.
„Ein zentrales Element ist die Funktionalitätserklärung: Gute Anfragen benennen klar, für welche Funktion die Berechtigung benötigt wird – zum Beispiel, um ‚Fotos zu deiner Nachricht hinzufügen zu können‘. Fehlt diese Erklärung, bleibt die Begründung vage und verweist lediglich darauf, dass die App ‚sonst nicht richtig funktioniert‘“, so Elbitar.
Auch die Formulierung der Konsequenz spielt eine wichtige Rolle: Manche Anfragen heben positiv hervor, was man durch die Zustimmung gewinnt. Andere machen deutlich, welche Funktion nicht verfügbar ist, wenn man die Berechtigung verweigert. Letzteres empfinden viele Nutzer:innen als hilfreicher und nachvollziehbarer.
Zudem variiert die Perspektive, aus der die App spricht. Manche wenden sich direkt an die Nutzenden – fordernd („Du musst erlauben…“) oder höflich („Bitte erlaube uns…“). Andere formulieren neutral („Zugriff auf die Kamera ist erforderlich“) oder aus der Sicht der App selbst („Diese App benötigt…“). Ergänzend enthalten manche Anfragen zusätzliche Informationen, die Vertrauen schaffen oder Kontrolle signalisieren: etwa Sicherheitsversprechen wie „Wir speichern keine persönlichen Daten“, Hinweise wie „Du kannst das jederzeit in den Geräteeinstellungen ändern“ oder Links zur Datenschutzerklärung. Je nachdem, wie diese Elemente kombiniert werden, wirkt eine Anfrage eher vertrauenswürdig – oder erzeugt Skepsis.
Rausfiltern, prüfen, sortieren – die aufwändige Analyse der App-Texte
Die Studie besteht aus zwei Teilen. „Zum einen haben wir über 9600 beliebte Android-Apps analysiert, um die Formulierungen der Rationals zu erfassen. Zum anderen haben wir in einer Online-Umfrage 960 Personen befragt, wie sie auf unterschiedliche Formulierungen reagieren würden“, so Elbitar.
Vor allem der erste Teil erforderte viel Detailarbeit: „Wir haben ein Machine-Learning-Modell genutzt, um aus Tausenden App-Texten potenzielle Anfragen herauszufiltern – und konnten so über 35.000 solcher Texte identifizieren. Allerdings erkennt das Modell diese nicht immer eindeutig als Berechtigungsanfragen. Es extrahiert Sätze, die potenziell passen – oft aber kontextlos.“ In einigen Fällen stellte sich heraus, dass es sich nur um allgemein gehaltene Sätze handelte, die in anderen Bereichen der App vorkamen. Deshalb war viel manuelle Nacharbeit nötig: Am Ende wertete das Forschungsteam 1054 eindeutige Anfragen aus 709 Apps per Screenshot manuell aus.
Vom Experiment zum Alltag
Die Ergebnisse liefern erste Hinweise für Best-Practice-Empfehlungen an App-Entwickler:innen und UX-Designer:innen. „Wenn wir allerdings belastbare Vorhersagen darüber treffen wollen, wie Menschen auf bestimmte Formulierungen reagieren, brauchen wir zusätzliche Studien unter realen Nutzungsbedingungen“, so Elbitar. Denn in der Untersuchung stellten sich die Teilnehmenden lediglich vor, gerade eine App zu verwenden. In echten Nutzungssituationen – mit Zeitdruck oder situativen Einflüssen – könnten Entscheidungen abweichen.
Elbitars Interesse am Thema begann schon in ihrer Masterarbeit. Damals untersuchte sie, ob auch das Timing der Berechtigungsanfrage eine Rolle spielt. „Die Stichprobe war damals noch klein – nur 46 Personen unter Laborbedingungen. Diese neue Studie sollte das erweitern.“ In einer weiteren Arbeit beschäftigte sie sich mit Berechtigungsanfragen auf Webseiten – ein bislang kaum untersuchtes Feld. „Webseiten sind heute oft sehr interaktiv. Hier stellt sich zum Beispiel die Frage: Wird die Anfrage als Banner, Button oder Overlay präsentiert? Auch das kann die Entscheidung beeinflussen.“
Zwar liefert ihre Forschung vor allem Entwickelnden konkrete Hinweise. Doch für Elbitar steht etwas anderes im Mittelpunkt: „Wir wollen, dass App-Nutzende eine informierte Entscheidung treffen können – wann und wem sie Zugriff auf ihre Daten gewähren.“
https://trust.cispa.saarland/publication/elbitar-ndss-25/
Eine aktuelle Studie von CISPA-Forscherin Yusra Elbitar und Kollegen untersucht systematisch, wie Ap ...
Chiara Schwarz
CISPA
Criteria of this press release:
Journalists
Information technology
transregional, national
Research results
German
Eine aktuelle Studie von CISPA-Forscherin Yusra Elbitar und Kollegen untersucht systematisch, wie Ap ...
Chiara Schwarz
CISPA
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
