Sind Smartphones ein Risiko für die eigene Online Reputation? Mobile Security im Expertencheck

Dank Smartphones haben wir heute privat und beruflich immer und überall Zugang zum Internet. Wir schicken vertrauliche Informationen hin und her, loggen uns ins Firmennetzwerk ein, posten Neuigkeiten auf Social-Media-Plattformen oder wickeln Bankgeschäfte ab. Dabei steht die Vertraulichkeit und Integrität beruflicher oder persönlicher Daten und auch die Unversehrtheit der Geräte auf dem Spiel, denn gerade der permanente Internetzugang ist das perfekte Einfallstor für Datendiebe und Malware. Solange das Handy nicht in fremde Hände gerät, scheint keine Gefahr zu bestehen. Oder doch? Wie Angreifer aus der Ferne Smartphones knacken können, was das für unsere Online Reputation bedeuten kann und warum wir uns nur bedingt dagegen schützen können, erzählt Philipp Stephanow, Experte für mobile Security, im Interview mit consense communications.

Philipp Stephanow über Gefahren für Online Reputation durch Smartphones

consense communications: Wie groß ist das Risiko, dass jemand meine E-Mails, die ich über das Smartphone verschicke und erhalte, abfängt?

Das hängt davon ab, ob ich meine Emails verschlüssele. Emails sollten grundsätzlich verschlüsselt werden. Bei Smartphones verschärft sich die Lage durch die Mobilität allerdings erheblich, zum Beispiel durch öffentliche WLANs. Ist ein WLAN in Reichweite, wählen sich viele Geräte automatisch ein. Nutzt man nun dieses WLAN um seine Mails zu verschicken, dann gibt es schon im WLAN die Möglichkeit für Angreifer die Nachricht mitzuhören. Werden die Nachrichten unverschlüsselt verschickt, so kann der Angreifer sie ohne weitere Maßnahmen lesen. Auch beim Besuch einer Website kann ein öffentliches WLAN zur Gefahr werden. Angreifer können durch sogenannte "Rogue Access Points" Benutzer auf beliebige Seiten umleiten und dort etwa Passwörter abhören. Wieder gilt, dass diese Angriffe nicht spezifisch für Smartphones sind, aber durch den häufigen Wechsel der Zugangspunkte zum Internet häufiger anzutreffen sind.

Was ist denn mit der Sicherheit von Anwendungen, also den viel diskutierten Apps?

Um die Sicherheit von Apps zu gewährleisten gibt es verschiedene Ansätze. Die gängigen Smartphone-Betriebssysteme treffen verschiedene Maßnahmen, um Apps voneinander zu isolieren. Das heißt, selbst wenn eine bösartig ist, kann sie den anderen, guten Apps nicht schaden. Und zu guter Letzt spielen natürlich die Orte, wo man die App herbekommt, die sogenannten Markets, eine Rolle. Auch diese implementieren Sicherheitstechniken um bösartige Apps zu erkennen. Aber trotz all dieser Maßnahmen las man in der Vergangenheit vermehrt Meldungen über mobile Malware. Aber was bedeutet das für einen Anwender, der zum Beispiel eine manipulierte facebook App auf seinem Smartphone installiert hat? Schlimmstenfalls hat der Nutzer jetzt dem Angreifer Details aus seinem Privatleben oder sensible Geschäftsdaten in die Hände gespielt. Die bösartige facebook App postet munter Inhalte, die nicht vom Nutzer ausgehen und sammelt sensitive Daten. Dass die Preisgabe vertraulicher oder privater Informationen fatale Folgen für das Reputationsmanagement haben kann, leuchtet ein (s. auch Blogartikel „Ich weiß was du auf Facebook gepostet hast“) Dabei nimmt das Smartphone eine Sonderstellung ein, die Angriffe sehr attraktiv erscheinen lässt: Viele sensitive, personenbezogene Daten fließen an diesem Endpunkt zusammen, die Nutzer haben es immer und überall dabei, sind stets mit dem Internet verbunden – kurzum: Smartphones haben unser Kommunikationsverhalten verändert. Aber auch die Bedrohungslage steht dem in nichts nach.

Wie funktioniert eine bösartige App?

Wird eine App auf einem Smartphone installiert, dann fragt sie den Zugriff auf bestimmte Ressourcen des Systems an. Das können die Verbindung zum Internet, der Zugriff auf Positionsdaten oder die Kontaktverwaltung ein. Stellt man sich nun vor, dass eine App Zugang zu Speicher und Telefonfunktion, das heißt Mikrophon und Lautsprecher hat, dann kann sie beispielsweise zum Abhören geheimer Meetings benutzt werden. Ein weiteres Beispiel ist die Kombination aus Zugriff auf GPS Daten und Verbindung zum Internet – damit kann die bösartige App Bewegungsprofile eines Nutzers erstellen. Laut einer aktuellen wissenschaftlichen Studie sind Angreifer hauptsächlich motiviert, Benutzerdaten, Kontaktdaten oder auch anwendungsspezifischer Daten habhaft zu werden oder direkt Geld über den Versand von Premium-SMS zu verdienen.

Ferner gibt es bösartige Apps, die sich Sicherheitslücken im Smartphone zu Nutze machen und so die volle Kontrolle über das Telefon übernehmen, ohne dass der Benutzer bemerkt. Solche ‚Rootkits‘ sind in der Lage, sämtliche Benutzerinteraktionen (z.B. die Eingabe von PINs) aufzuzeichnen oder das Telefon als Teil eines Botnetzes zu instrumentieren, d.h. ein Netzwerk von infizierten Geräten, über das Kriminelle z.B. Spam verschicken oder Webseiten angreifen können.

Welche Schwachstellen haben die Geräte?

Für Nutzer sind die wichtigsten Schwachstellen zum einen die Konfiguration des Gerätes und zum anderen unsichere Anwendungen. Ersteres betrifft zum Beispiel den fachgerechten Einsatz von Verschlüsselung auf Ebene des Dateisystems oder die Nutzung sicherer Passwörtern zum Entsperren des Bildschirms. Beides ist im Verlustfall besonders wichtig. Ob Apps als Schwachstelle bezeichnet werden können, hängt von der Vertriebsart ab: So existieren für Android z.B. neben seinem offiziellen Markt, Google Play, auch inoffizielle. Oft sind dort bösartige Apps zu finden. Im Unterschied zum quelloffenen Android OS gibt es für das iPhone, betrieben durch iOS, etwa genau einen, offiziellen Markt, den Apple App Store. In Kombination mit der closed-source Poilitk Apples erscheint das iPhone daher auf den ersten Blick sicherer, aber das ist naiv: Denn genau wie über das iOS gibt es hier wenige Details zu den eingesetzten Sicherheitstechniken, sodass die Entwicklung von Produkten und Forschungsansätzen zum Schutz des iPhone stark eingeschränkt ist .

Gibt es künftig Viren-Scanner-Apps?

Es gibt für unterschiedliche mobile Plattformen Erkennungstechniken, die auf Signaturen basieren, zum Beispiel für Symbian (Nokia), Android und BlackBerry. Derzeit sind die Möglichkeiten für Viren-Scanner-Apps, das System und andere Apps zu inspizieren jedoch sehr limitiert. Erst wenn die Hersteller der entsprechenden Plattformen eine tiefere Integration von Virusscans in das System ermöglichen, werden Virenscanner den Schutz von Smartphones verbessern.

Fazit: Technische Schutzmaßnahmen sind nur bedingt zuverlässig – kann ich mich durch richtiges Verhalten schützen?

Es gibt verschiedene, wichtige technische Schutzmaßnahmen – ob nun eingebaut ins Betriebssystem, durch eine App als Sicherheitsprogramm oder auf Seiten der Marktplätze. Allerdings entwickeln sich die Angreifer stets fort, die Sicherheit muss Schritt halten. Daher entwickeln wir am Fraunhofer AISEC neue technische Ansätze für Unternehmen, die den Schutz mobiler Endgeräte erhöhen. Diese reichen von Tools zur Unterstützung bei Entwicklung sicherer Apps, über automatisierte Sicherheitsdiensten für Smartphones bis hin zu Virtualisierungslösungen, die berufliche und private Anwendungen sowie Daten voneinander trennen.

Aber jede noch so hochentwickelte technische Maßnahme kann durch zu hohe Anforderungen an die Benutzer ausgehebelt werden. Daher ist es im ersten Schritt wichtig, das Bewusstsein der Nutzer zu schärfen und Verhaltensmuster zu schulen. Eine erste Orientierung bietet der Leitfaden des Bundesamtes für Sicherheit und Informationstechnik .

Kommentar schreiben