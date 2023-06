Auf einem Windows-PC gehört eine Firewall zum unverzichtbaren Zubehör. Microsoft hat bereits vor Jahren ein solches Programm in sein Betriebssystem eingebaut. Android verfügt hingegen über keine solche Funktion. Dabei sind insbesondere Smartphones sehr häufig mit wechselnden Netzwerken und Internetzugängen verbunden.

Dennoch ist es unwahrscheinlich, dass auf diesem Weg ein Virus auf das Telefon gelangt. Das liegt zum einen an der Art und Weise, wie Android-Apps verteilt werden, nämlich über den zentralen und von Google überprüften Play Store. Auch wenn sich hier immer einige Malware-Programme tummeln, ist die große Mehrheit der Apps harmlos.

Test: Die besten Antivirus-Programme für Android

Zum anderen bringt Android einige Schutzfunktionen mit, die sich auch in vielen Firewall-Tools finden. So können Sie beispielsweise in den „Einstellungen“ unter „Apps –› [Name der App] –› Mobile Daten und WLAN“ die mobile Datennutzung im Hintergrund für ausgewählte Anwendungen deaktivieren.

Doch Vorsicht: Denn eine uneingeschränkte Kommunikation mit dem Server des Herstellers oder einem Internet-Dienst ist bei vielen Apps Voraussetzung, damit sie ihre Funktion erfüllen können.

Besser als das Sperren der Datenkommunikation ist daher eine Kontrolle, welche Apps Daten wann an welche Adressen schicken – eine der klassischen Funktionen einer Firewall. Für diese Aufgabe hält der Google Play Store beispielsweise das Tool Afwall+ bereit, das jedoch nach einem gerooteten Android-Gerät verlangt. Ohne Root kommen hingegen die Apps Firewall ohne Root und Netguard aus.

Voraussetzung für Net Guard

Die App Net Guard setzt kein Root voraus. Sie können sie auf jedem aktuellen Android-Phone benutzen. Sie dürfen allerdings kein VPN-Netzwerk benutzen – zumindest nicht dauerhaft. Denn Net Guard aktiviert selbst ein lokales VPN-Netzwerk, um den Datenverkehr filtern zu können. Ein weiteres VPN-Netzwerk kann Android nicht handhaben.

Das lokale VPN von Net Guard stellt keine Verbindung ins Internet her. Datenschutzbefürchtungen müssen Sie an dieser Stelle nicht haben.

Net Guard für Android regelt den Internetzugriff für jede einzelne App. Einen Root-Zugriff benötigt die App nicht. IDG

Installation von Net Guard

Netguard ist eine Open-Source-Software und in der Grundversion kostenlos. Sie erhalten das Programm im Store von Google oder als APK-Datei von F-Droid.

Netguard bringt einige kostenpflichtige Erweiterungen mit, die hier als „Pro-Funktionen“ bezeichnet werden. Darunter ist auch „Netzwerkverkehr filtern“, ein Feature, mit dem Sie Apps daran hindern können, Kontakt zu einer bestimmten Internetadresse aufzunehmen. Aber auch „Protokoll des blockierten Verkehrs anzeigen“ ist eine sehr nützliche Funktion. Die Empfehlung lautet daher, gleich das Gesamtpaket der Pro-Funktionen für 8,99 Euro zu kaufen. Wie es günstiger geht, lesen Sie im Kasten.

Die Installation von Netguard über den Google Play Store ist schnell erledigt. Anschließend können Sie über das Drei-Punkte-Menü rechts oben den Link zu den „Pro- Funktionen“ erreichen und sie über den Button „Kaufen“ erwerben. Sobald Sie dem Kauf zugestimmt haben, wird die zusätzliche Funktionalität von Netguard sofort aktiviert.

Werbeblocker: Erweiterte Version von Netguard herunterladen Über den Google Play Store erhalten Sie eine Version von Netguard, in der Sie mehrere Pro-Funktionen kostenpflichtig freischalten können. Darüber hinaus existiert jedoch noch eine erweiterte Version, die Sie lediglich auf der Github-Seite des Entwicklers bekommen. Sie bietet zusätzlich einen Adblocker- und Tracking-Schutz und ist darüber hinaus auch noch günstiger als die Variante aus dem Play Store – der Entwickler bittet lediglich um eine Spende von 7,50 Euro. Mit der Vollversion auf Github können Sie eine Hosts-Datei herunterladen, die mehr als 50.000 Adressen von Werbe- und Tracking-Domains enthält. IDG Erklärungen dazu finden Sie unter https://netguard.me, der Download der APK-Datei erfolgt über Github. Sie können diese Version auch dann installieren, wenn Sie bereits die Software aus dem Play Store bezogen haben. Um den Adblocking- und Tracker-Schutz in dieser erweiterten Version zu nutzen, stellen Sie zunächst im Drei-Punkte-Menü unter „Einstellungen –› Erweiterte Optionen“ den Schalter bei „Datenverkehr filtern“ auf „Ein“. Gehen Sie anschließend zu „Einstellungen –› Sicherung“, und tippen Sie auf „Hosts-Datei herunterladen“. Dieses File enthält rund 50.000 Domain-Einträge von Werbe- und Tracking-Firmen, die ab sofort blockiert werden. Um die Wirkung auszuprobieren, tippen Sie die Adresse netguard.me/test in Ihren Browser auf dem Smartphone ein.

So funktioniert Netguard

Durch Antippen des WLAN- und Mobilfunksymbols können Sie die Verbindungen einer App ins Internet auf einen Schlag kappen. IDG

Um den Netzwerkverkehr Ihres Smartphones oder Tablets kontrollieren zu können, richtet Netguard ein internes VPN (Virtual Private Network) ein. Es stellt keine Verbindung nach außen her, sondern schleust lediglich den gesamten Datenverkehr auf Ihrem Smartphone durch Netguard. Das Programm identifiziert die durchlaufenden Netzwerkpakete anschließend über deren App-UID und ordnet sie der zugehörigen App zu.

Abhängig von der Konfiguration dieser App blockiert Netguard die Datenpakete, lässt sie passieren oder filtert sie. Für den Umgang mit dem Smartphone ergeben sich durch die Firewall keine Änderungen.

Mit einer Ausnahme allerdings: Da Android immer nur ein VPN verwalten kann, können Sie nach dem Einschalten von Netguard auf kein zweites VPN zugreifen. Nach der Installation ist Netguard zunächst inaktiv. Tippen Sie links oben auf den Schalter, um die Firewall zu starten. Bestätigen Sie die Abfrage von Android und das Deaktivieren der Batterie-Optimierungen, dann kann es losgehen.

Internetzugriff steuern

Im Hauptfenster von Netguard sehen Sie die Liste der installierten Apps, auf der rechten Seite stehen jeweils ein grünes WLAN- und ein Mobilfunksymbol. Wenn Sie auf die Symbole tippen, verfärben sie sich rot, und der Zugang der jeweiligen App zu WLAN beziehungsweise dem Internet per Mobilfunkverbindung wird gesperrt.

Indem Sie die Liste der Apps durchgehen und für jede die passende Einstellung konfigurieren, erhalten Sie eine Verbotsliste (Blacklist) mit Programmen, denen Sie den Internetzugang verwehren möchten.

Anstatt gezielt einzelne Apps vom Internet auszusperren, können Sie den Internetzugang zunächst auch allen installierten Anwendungen untersagen. IDG

Alternativ dazu können Sie auch eine Positivliste (Whitelist) aufstellen: In diesem Fall sperren Sie in einem ersten Schritt den WLAN- und Mobilfunk-Zugriff für alle Apps und lassen anschließend nur einige ausgesuchte und unbedenkliche Programme Daten mit dem Internet austauschen.

Öffnen Sie dazu rechts oben das Drei-Punkte-Menü und tippen Sie auf „Einstellungen –› Standardeinstellungen“. Setzen Sie dann Häkchen vor „WLAN blockieren“ und „Mobilfunk blockieren“.

Bei einer großen Anzahl installierter Apps kann die Konfiguration von Netguard längere Zeit in Anspruch nehmen. Sie können die Arbeit etwas abkürzen, indem Sie von vornherein alle Apps aus der Liste ausblenden, die entweder nicht aufs Internet zugreifen oder aktuell deaktiviert sind.

Die zugehörigen Optionen finden Sie oben in der Symbolleiste über das umgekehrt pyramidenförmige Icon mit den drei Strichen. Sie sollten aber bedenken, dass Apps auch über andere Apps aufs Internet zugreifen können. So nutzen Android-Apps beispielsweise eine Google-Anwendung, um Benachrichtigungen zu versenden.

Call-Home-Funktion blocken

Als Call-Home-Funktion wird das Verhalten einer App oder eines Programms bezeichnet, das Daten an den Hersteller oder eine andere Stelle im Internet sendet. Dieser Datenversand ist vom Nutzer nicht gewollt und geschieht meist ohne klaren Hinweis darauf. Lediglich in der AGB des Anbieters finden sich verschlüsselte Angaben zu der Übermittlung.

Indem Sie eine App in Netguard auf die Verbotsliste setzen (siehe oben), können Sie die unerwünschte Call-Home-Funktion der App blockieren. Das ist allerdings nur sinnvoll, wenn die App auch ohne Internetzugriff funktioniert. Sollte Sie diesen aber benötigen, können Sie den Netzwerkverkehr auf einzelne, erlaubte Domains begrenzen.

Das Verfahren ist etwas komplizierter. Sie müssen der App zunächst den Internetzugriff in Netguard sperren und die Protokollfunktion der Firewall (kostenpflichtig) einschalten. Starten Sie dann die App, um protokollieren zu lassen, auf welche Domains die App zugreift. Aus diesem Protokoll suchen Sie die erwünschten Adressen heraus und erlauben nur diese für den Internetzugriff der App. Alle anderen Zugriffe sind verboten (Positivliste, siehe oben).

Wie das genau funktioniert, hat der Sicherheitsforscher Mike Kuketz ausführlich in seinem Blog für die App DB Navigator beschrieben. Die Anleitung beginnt bei Punkt 3.2.

Firewall-Tricks

Netguard lässt sich so einstellen, dass es den Internetzugang

einer App so lange sperrt, wie der Bildschirm

des Smartphones oder Tablets ausgeschaltet ist. IDG

Nach Antippen einer App erreichen Sie einige zusätzliche Einstellungen und Optionen. Ganz oben stehen zwei Buttons mit einem Zahnrad und einem Rechteck mit einem nach rechts oben weisenden Pfeil. Das Zahnrad führt Sie zu den Einstellungen der App in Android, mit dem Rechteck rufen Sie das Programm auf.

Darunter steht die Option „Regeln und Bedingungen anwenden“; sie ist in der Voreinstellung aktiviert. Wenn Sie sie deaktivieren, sind die darunter definierten Bedingungen nicht mehr gültig. Das sind zunächst die beiden Optionen „WLAN erlauben, wenn Bildschirm eingeschaltet ist“ beziehungsweise „Mobilfunk erlauben, wenn Bildschirm eingeschaltet ist“. Sie sind erreichbar, sobald Sie das WLAN beziehungsweise die Mobilfunkverbindung für die App abgeschaltet haben.

Wenn Sie vor diese Optionen Häkchen setzen, bewirken sie, dass WLAN und Mobilfunk für die App nur dann nutzbar sind, wenn der Bildschirm eingeschaltet ist, Sie also das Smartphone gerade benutzen. So können Sie verhindern, dass die App Arbeitspausen nutzt, um unbemerkt übers Internet zu kommunizieren.

Die Option „Bei Roaming blockieren“ bezieht sich auf Mobilfunkverbindungen im Ausland. Sie dient als Kostenbremse für eventuell anfallende Roaming-Gebühren. Es folgt die Option „Im Zugriffsbeschränkungsmodus erlauben“. Sie ist verbunden mit einer Einstellung im Drei-Punkte-Menü, nämlich „Datenverkehr-Zugriffsbeschränkung“. Ist diese aktiv, sind sämtliche Apps von der Außenwelt abgeschnitten; Netguard signalisiert die Sperre durch ein rotes Vorhangschloss. Mit der Option bei den App-Einstellungen können Sie diese Sperre für einzelne Anwendungen aufheben.

Mit Netguard können Sie auch verhindern, dass beim kostenpflichtigen Roaming im Ausland eine hohe Rechnung für ungewollte Internetverbindungen entsteht. IDG

Über die beiden Buttons mit den Papierkörben setzen Sie die Einstellungen für die „Bedingungen“ und „Zugriffsversuche“ auf die Standardwerte zurück.

Der Button „Konfigurieren“ bei „Zugriffsversuche“ führt zu einem Fenster, in dem Sie angeben können, welche Internetzugriffe Netguard protokollieren soll. Hierbei handelt es sich um eine allgemeine Einstellung des Programms, die sich dann auf sämtliche Apps auswirkt.

Wie Sie in Netguard speziell Internetadressen von Werbe- und Tracking-Firmen blockieren oder freigeben und den Adblockingund Trackerschutz nutzen können, lesen Sie im Kasten auf Seite 72 unten.

Mit der Option „Bei Internetzugriffsversuchen benachrichtigen“ stellen Sie ein, ob Netguard Sie warnen soll, wenn eine gesperrte App versucht, aufs Web zuzugreifen.

Netzwerk-Optionen

Sie können Netguard anweisen, sämtliche Verbindungsversuche aller Apps auf Ihrem Smartphone zu protokollieren. So lassen sich verdächtige Kontaktaufnahmen schnell erkennen. IDG

Nachdem Sie Netguard konfiguriert haben, können Sie im Drei-Punkte-Menü unter „Protokoll anzeigen“ jederzeit die Liste der Internetzugriffe einsehen. Über das Icon erkennen Sie sofort, von welcher App die Aktion ausging. Nach Antippen eines Eintrags blendet Netguard auch den Namen ein und gibt an, ob die Verbindung über TCP/IPv4 oder v6 lief. Außerdem nennt es den genutzten Port und die Zieladresse – wenn Sie sie antippen, gelangen Sie zu einer Website, welche die zugehörige Domain verrät. Weiterhin können Sie zukünftige Verbindungen zu dieser Adresse an dieser Stelle explizit erlauben oder sperren und die Adresse in die Zwischenablage kopieren.

Netguard bietet darüber hinaus weitere Einstellungen. Interessant sind etwa die Optionen unter „Einstellungen –› Netzwerkoptionen“. An dieser Stelle können Sie eine Feinabstimmung vornehmen, welche Verbindungen die Software überwachen soll und welche nicht. So können Sie mit „LANZugriff erlauben“ einstellen, dass auch bei aktiver Firewall Apps weiterhin auf lokale Netzwerkadressen zugreifen dürfen. Über „Subnet-Routing“ hingegen stellen Sie ein, dass das Telefonieren übers WLAN nach wie vor möglich sein soll.

Mögliche Probleme mit Net Guard

Ganz ohne Hindernisse ist der Umgang mit der Firewall nicht. Die Macher von Net Guard verweisen auf ihrer Github-Seite vor allem auf Spezial-Apps einiger Hersteller, wie zum Beispiel Secure Folder von Samsung oder Parallel App von One Plus, die sich der Firewall respektive dem VPN-Netzwerk der Firewall entziehen.

Beim Verwenden der Protokollfunktion der Firewall ist das größte Problem jedoch die schiere Datenflut, die auf den Anwender einprasselt. Hier Wichtiges von Banalem zu trennen, erweist sich als schwierig.