Fotos, SMS, E-Mails oder Bankgeschäfte - Smartphones werden von uns mit unzähligen privaten Daten gefüttert. Und sind zunehmend Angriffen durch Hacker und Schad-Software ausgesetzt. So können sie unbemerkt abgehört, ausspioniert und ferngesteuert werden. Dabei gibt es zum Schutz der eigenen Privatsphäre einfache Regeln und Software.
Ralf-Philipp Weinmann hat neulich in aller Öffentlichkeit demonstriert, wie leicht er sich in die Smartphones aus seiner Umgebung einhacken kann. Er nahm eine spezielle Box, die vorgab, Basisstation eines Funknetzwerks zu sein, und musste nur darauf warten, dass sich die Smartphones in das falsche Netz einwählen. In kürzester Zeit konnte der Forscher vom Laboratory for Algorithmics, Cryptology & Computer Security der Universität Luxemburg private Daten der umstehenden Personen ausspionieren.
GSM bietet nicht genügend Sicherheit
Dass Smartphones so leicht angezapft werden können, liegt am digitalen Mobilfunkstandard GSM (kurz für: Global System for Mobile Communications), der in den 1990er-Jahren entwickelt wurde und längst überholt ist. GSM hat das problemlose mobile Telefonieren auf allen Kontinenten möglich gemacht, ist jedoch verwundbar und die Verschlüsselung der Daten zu unsicher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät darum dringend zu einer neuen, einheitlichen Verschlüsselungslösung, insbesondere für Behörden und in der Industrie.
Der Angriff über eine so genannte Luftschnittstelle ist allerdings nur ein möglicher Weg für Angreifer, sich Zugang zu fremden Handydaten zu verschaffen, sagt Thorsten Holz, Professor für Systemsicherheit an der Ruhr-Universität Bochum. Attacken finden auch direkt auf dem Smartphone statt, so der Experte für Angriffs- und Verteidigungsstrategien auf Smartphones weiter: Die Angreifer können sich über Spiele, vermeintlich nützliche Apps oder über Schwachstellen in Betriebssystem und Browser Zugang verschaffen.
Angriffe über Apps oder Browser
Dass die Anzahl der Angriffe derzeit noch relativ gering ausfalle, liege daran, dass man sich mit dem Handy nicht jedes x-beliebige Programm herunterladen könne, sondern auf die Anwendungen der App-Stores angewiesen sei, so der Bochumer Professor. "Der Apple-Store hat da Vorteile, weil jede App vor der Freigabe aufwändig geprüft wird. Bei Android Market gibt es dagegen kaum Beschränkungen, und dort ist häufiger Schadsoftware aufgetreten." Vor allem auf chinesischen Märkten gebe es häufig Schadsoftware, erläutert Holz.
Fest steht: Ist eine böswillige App mit vermeintlich nützlichen Funktionen erst einmal installiert, können in aller Ruhe Daten ausgespäht, SMS gelesen, Telefonbucheinträge durchstöbert, Familienfotos kopiert, Verbindungen zu teuren Bezahlnummern aufgebaut und Bankdaten abgegriffen werden. Dass häufig kostenlos und von unzähligen Entwicklern hergestellte Apps die Hauptgefahrenquelle für potenzielle Angriffe sind, bestätigt auch Antonius Klingler, Leiter des Referats Sichere Mobile Lösungen des BSI. "Die Gefahr steigt mit dem Funktionsumfang", sagt Klingler. "Dinge, die viel können, sind potenziell gefährdet".
Doch es gibt auch Gefahrenquellen, die im Gerät selbst liegen. Zum Beispiel der Browser. In der Vergangenheit gab es gerade dort häufig Bugs, also Fehler, über die ein Angreifer theoretisch bestimmte Codes ausführen kann. "So ein Code wiederum liest beispielsweise die SMS-Datenbank aus und schickt sie auf den Server des Angreifers", erläutert Smartphone-Forscher Holz. Das Perfide daran: Der Betroffene bekommt gar nicht mit, was auf seinem Handy passiert. Denn die Attacke führt in der Regel noch nicht einmal zu einem Absturz des Programms. Was mit den Daten passiert, wer sie an wen verkauft und was dann damit geschieht, bleibt im Dunkeln.
Schäden in Milliardenhöhe
Dass ein Smartphone angegriffen wird, ist immer noch wesentlich unwahrscheinlicher als bei einem PC. Während sich Hersteller für Anti-Viren-Software jeden Tag mit bis zu 80.000 neuen Schadprogrammen für PCs herumschlagen müssen, sind für die smarten Telefone insgesamt gerade mal 150 schädliche Varianten registriert. Und von diesen hatten es bislang alle auf Android-Smartphones abgesehen. Doch trotz der vergleichsweise geringen Zahl sprechen die Software-Hersteller von jährlichen Schäden in Milliardenhöhe, die durch Datendiebstahl auf Smartphones verursacht werden. Da Smartphones aber mehr und mehr den Handymarkt erobern, werden solche Angriffe nach Expertenmeinungen künftig zunehmen.
iPhone- und Blackberry-Besitzer weniger gefährdet
Für iPhone-Besitzer gibt es derzeit keinen Grund zur Panik, solange die Geräte bei Apple registriert sind, so Professor Holz. Wer sein iPhone "gejailbreakt", die von Apple auferlegten Beschränkungen zu Vertragsbindung und App-Installationen also ausgehebelt hat, verzichtet auf die Sicherheit und sollte wissen, dass er verwundbarer ist. Als das am besten verschlüsselte Smartphone gilt derzeit das Blackberry, zumindest, wenn die teure, auf Firmenkunden ausgerichtete Verschlüsselungstechnik installiert ist. BSI-Experte Klingler kann dies so nicht bestätigen, denn grundsätzlich gebe es keine Erfolgsmeldungen von Angreifern, die ein Smartphone erfolgreich gehackt haben. Er rät zu grundsätzlicher Vorsicht, denn je nach Anzahl installierter Apps und je nachdem, ob Bankgeschäfte über das Gerät getätigt werden, habe man es mit einer anderen Ausgangssituation zu tun.
Schutzsoftware gibt es bislang nur für die mobilen Betriebssysteme Android, Symbian und Windows Mobile sowie für bestimmte Hersteller. So hat das deutsche Unternehmen G-Data eine Software für Android-Smartphones auf den Markt gebracht, während die Programme des finnischen Herstellers F-Secure mit Android, Symbian und Windows Mobile kompatibel sind.
Wer ein Smartphone mit dem Betriebssystem Windows Mobile besitzt, kann sich mit dem vom BSI empfohlenen Sicherheitsprodukt "SiMKo 2" von T-Systems gegen Angriffe wappnen und damit seine E-Mails vor ungebetenen Mitlesern schützen. Für Nokia-Kunden empfiehlt das BSI die Software "SecuVoice", mit der SMS verschlüsselt und Gespräche abhörsicher werden. Eine etwas unhandliche Variante ist das Plug&Play-Gerät "Top Sec Mobile", ein Bluetooth-Gerät, das laut Hersteller fast alle handelsüblichen Mobiltelefone abhörsicher macht. Alle drei Programme sind jedoch mit über 1.000 Euro Anschaffungskosten recht teuer. Antonius Klingler empfiehlt sie daher eher Firmenkunden. Kostenlos sind Programme wie "Find My iPhone" oder "Anti Theft for Mobile", mit deren Hilfe man ein gestohlenes Smartphone orten oder per Fernsteuerung den gesamten Inhalt löschen kann.
Fazit: Vor allem bei der Installation von Apps wachsam sein
Allen Berichten über gehackte Smartphones und gestohlene Daten zum Trotz, sieht Thorsten Holz die Sache gelassen. "Im Moment braucht man Schutzsoftware wahrscheinlich noch nicht, denn die Gefahr, Opfer einer Attacke zu werden, ist noch nicht so groß." Wichtiger sei es, bei der Installation von Apps wachsam zu sein und nicht jedes Programm zu installieren. Wenn eine App auf Standort, Telefonbuch oder die SMS-Datenbank zugreifen will, sollte man kritisch sein. Und wer Wert auf Privatsphäre legt, sollte ohnehin so wenig wie möglich von sich preisgeben. Denn es ist bekannt, dass Unternehmen wie Facebook, Google oder Apple Nutzerdaten sammeln und speichern.
Zehn Sicherheitsregeln für Smartphones:
*Nur auf vertrauensvollen Websites surfen
*Regelmäßige Updates für Betriebssystem, Browser und Apps durchführen
*Ausschließlich die offiziellen App-Stores nutzen
*Online-Banking lieber per PC. In jedem Fall die Hinweise des Zentralverbands der Banken beachten
*Keine offenen W-Lan-Hotspots nutzen
*Automatische Synchronisierung der Google-Dienste deaktivieren (Android)
*Apps nur wenn unbedingt nötig Zugriff auf persönliche Daten und Standortlokalisierung erlauben
*Schutzsoftware installieren (Android, Symbian, Windows Mobile)
*Diebstahlschutz installieren, um Daten ggf. ferngesteuert löschen zu können (alle Betriebssysteme)
*W-Lan, GPS und UMTS abschalten, so lange sie nicht gebraucht werden
Quelle: ARD
Ralf-Philipp Weinmann hat neulich in aller Öffentlichkeit demonstriert, wie leicht er sich in die Smartphones aus seiner Umgebung einhacken kann. Er nahm eine spezielle Box, die vorgab, Basisstation eines Funknetzwerks zu sein, und musste nur darauf warten, dass sich die Smartphones in das falsche Netz einwählen. In kürzester Zeit konnte der Forscher vom Laboratory for Algorithmics, Cryptology & Computer Security der Universität Luxemburg private Daten der umstehenden Personen ausspionieren.
GSM bietet nicht genügend Sicherheit
Dass Smartphones so leicht angezapft werden können, liegt am digitalen Mobilfunkstandard GSM (kurz für: Global System for Mobile Communications), der in den 1990er-Jahren entwickelt wurde und längst überholt ist. GSM hat das problemlose mobile Telefonieren auf allen Kontinenten möglich gemacht, ist jedoch verwundbar und die Verschlüsselung der Daten zu unsicher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät darum dringend zu einer neuen, einheitlichen Verschlüsselungslösung, insbesondere für Behörden und in der Industrie.
Der Angriff über eine so genannte Luftschnittstelle ist allerdings nur ein möglicher Weg für Angreifer, sich Zugang zu fremden Handydaten zu verschaffen, sagt Thorsten Holz, Professor für Systemsicherheit an der Ruhr-Universität Bochum. Attacken finden auch direkt auf dem Smartphone statt, so der Experte für Angriffs- und Verteidigungsstrategien auf Smartphones weiter: Die Angreifer können sich über Spiele, vermeintlich nützliche Apps oder über Schwachstellen in Betriebssystem und Browser Zugang verschaffen.
Angriffe über Apps oder Browser
Dass die Anzahl der Angriffe derzeit noch relativ gering ausfalle, liege daran, dass man sich mit dem Handy nicht jedes x-beliebige Programm herunterladen könne, sondern auf die Anwendungen der App-Stores angewiesen sei, so der Bochumer Professor. "Der Apple-Store hat da Vorteile, weil jede App vor der Freigabe aufwändig geprüft wird. Bei Android Market gibt es dagegen kaum Beschränkungen, und dort ist häufiger Schadsoftware aufgetreten." Vor allem auf chinesischen Märkten gebe es häufig Schadsoftware, erläutert Holz.
Fest steht: Ist eine böswillige App mit vermeintlich nützlichen Funktionen erst einmal installiert, können in aller Ruhe Daten ausgespäht, SMS gelesen, Telefonbucheinträge durchstöbert, Familienfotos kopiert, Verbindungen zu teuren Bezahlnummern aufgebaut und Bankdaten abgegriffen werden. Dass häufig kostenlos und von unzähligen Entwicklern hergestellte Apps die Hauptgefahrenquelle für potenzielle Angriffe sind, bestätigt auch Antonius Klingler, Leiter des Referats Sichere Mobile Lösungen des BSI. "Die Gefahr steigt mit dem Funktionsumfang", sagt Klingler. "Dinge, die viel können, sind potenziell gefährdet".
Doch es gibt auch Gefahrenquellen, die im Gerät selbst liegen. Zum Beispiel der Browser. In der Vergangenheit gab es gerade dort häufig Bugs, also Fehler, über die ein Angreifer theoretisch bestimmte Codes ausführen kann. "So ein Code wiederum liest beispielsweise die SMS-Datenbank aus und schickt sie auf den Server des Angreifers", erläutert Smartphone-Forscher Holz. Das Perfide daran: Der Betroffene bekommt gar nicht mit, was auf seinem Handy passiert. Denn die Attacke führt in der Regel noch nicht einmal zu einem Absturz des Programms. Was mit den Daten passiert, wer sie an wen verkauft und was dann damit geschieht, bleibt im Dunkeln.
Schäden in Milliardenhöhe
Dass ein Smartphone angegriffen wird, ist immer noch wesentlich unwahrscheinlicher als bei einem PC. Während sich Hersteller für Anti-Viren-Software jeden Tag mit bis zu 80.000 neuen Schadprogrammen für PCs herumschlagen müssen, sind für die smarten Telefone insgesamt gerade mal 150 schädliche Varianten registriert. Und von diesen hatten es bislang alle auf Android-Smartphones abgesehen. Doch trotz der vergleichsweise geringen Zahl sprechen die Software-Hersteller von jährlichen Schäden in Milliardenhöhe, die durch Datendiebstahl auf Smartphones verursacht werden. Da Smartphones aber mehr und mehr den Handymarkt erobern, werden solche Angriffe nach Expertenmeinungen künftig zunehmen.
iPhone- und Blackberry-Besitzer weniger gefährdet
Für iPhone-Besitzer gibt es derzeit keinen Grund zur Panik, solange die Geräte bei Apple registriert sind, so Professor Holz. Wer sein iPhone "gejailbreakt", die von Apple auferlegten Beschränkungen zu Vertragsbindung und App-Installationen also ausgehebelt hat, verzichtet auf die Sicherheit und sollte wissen, dass er verwundbarer ist. Als das am besten verschlüsselte Smartphone gilt derzeit das Blackberry, zumindest, wenn die teure, auf Firmenkunden ausgerichtete Verschlüsselungstechnik installiert ist. BSI-Experte Klingler kann dies so nicht bestätigen, denn grundsätzlich gebe es keine Erfolgsmeldungen von Angreifern, die ein Smartphone erfolgreich gehackt haben. Er rät zu grundsätzlicher Vorsicht, denn je nach Anzahl installierter Apps und je nachdem, ob Bankgeschäfte über das Gerät getätigt werden, habe man es mit einer anderen Ausgangssituation zu tun.
Schutzsoftware gibt es bislang nur für die mobilen Betriebssysteme Android, Symbian und Windows Mobile sowie für bestimmte Hersteller. So hat das deutsche Unternehmen G-Data eine Software für Android-Smartphones auf den Markt gebracht, während die Programme des finnischen Herstellers F-Secure mit Android, Symbian und Windows Mobile kompatibel sind.
Wer ein Smartphone mit dem Betriebssystem Windows Mobile besitzt, kann sich mit dem vom BSI empfohlenen Sicherheitsprodukt "SiMKo 2" von T-Systems gegen Angriffe wappnen und damit seine E-Mails vor ungebetenen Mitlesern schützen. Für Nokia-Kunden empfiehlt das BSI die Software "SecuVoice", mit der SMS verschlüsselt und Gespräche abhörsicher werden. Eine etwas unhandliche Variante ist das Plug&Play-Gerät "Top Sec Mobile", ein Bluetooth-Gerät, das laut Hersteller fast alle handelsüblichen Mobiltelefone abhörsicher macht. Alle drei Programme sind jedoch mit über 1.000 Euro Anschaffungskosten recht teuer. Antonius Klingler empfiehlt sie daher eher Firmenkunden. Kostenlos sind Programme wie "Find My iPhone" oder "Anti Theft for Mobile", mit deren Hilfe man ein gestohlenes Smartphone orten oder per Fernsteuerung den gesamten Inhalt löschen kann.
Fazit: Vor allem bei der Installation von Apps wachsam sein
Allen Berichten über gehackte Smartphones und gestohlene Daten zum Trotz, sieht Thorsten Holz die Sache gelassen. "Im Moment braucht man Schutzsoftware wahrscheinlich noch nicht, denn die Gefahr, Opfer einer Attacke zu werden, ist noch nicht so groß." Wichtiger sei es, bei der Installation von Apps wachsam zu sein und nicht jedes Programm zu installieren. Wenn eine App auf Standort, Telefonbuch oder die SMS-Datenbank zugreifen will, sollte man kritisch sein. Und wer Wert auf Privatsphäre legt, sollte ohnehin so wenig wie möglich von sich preisgeben. Denn es ist bekannt, dass Unternehmen wie Facebook, Google oder Apple Nutzerdaten sammeln und speichern.
Zehn Sicherheitsregeln für Smartphones:
*Nur auf vertrauensvollen Websites surfen
*Regelmäßige Updates für Betriebssystem, Browser und Apps durchführen
*Ausschließlich die offiziellen App-Stores nutzen
*Online-Banking lieber per PC. In jedem Fall die Hinweise des Zentralverbands der Banken beachten
*Keine offenen W-Lan-Hotspots nutzen
*Automatische Synchronisierung der Google-Dienste deaktivieren (Android)
*Apps nur wenn unbedingt nötig Zugriff auf persönliche Daten und Standortlokalisierung erlauben
*Schutzsoftware installieren (Android, Symbian, Windows Mobile)
*Diebstahlschutz installieren, um Daten ggf. ferngesteuert löschen zu können (alle Betriebssysteme)
*W-Lan, GPS und UMTS abschalten, so lange sie nicht gebraucht werden
Quelle: ARD
