Handys und Smartphones

Handy-Sicherheit: So schützen Sie sich vor Malware & Datenlecks

Viren, Trojaner und andere Schadsoftware gibt es mittlerweile auch für Smartphones. teltarif.de stellt mögliche Bedrohungen von Handys vor und gibt Tipps, wie Sie sich davor schützen können.
AAA

Handy-SchadsoftwareSchadsoftware kann auch Handys befallen Unkenrufe über die bedrohte Sicherheit von Handys sind nicht neu. Schon lange bevor die ersten Touchscreen-Smart­phones auftauchten, machten Meldungen über Handy-Viren und -Trojaner die Runde. Diese waren zumeist für Handys mit den Betriebs­systemen Symbian oder Windows Mobile konzipiert. Schadsoftware wie Cabir und Skulls gab sich als legitime Anwendung aus, um dann das Handy zeitweise bestimmter Funktionen zu berauben. Weite Verbreitung fand sie jedoch nie, unter anderem weil viele Nutzer kaum zusätz­liche Appli­kationen auf dem Handy installierten. Zudem erschienen Attacken auf PCs lange Zeit für Angreifer attraktiver.

Heutzutage sind Smartphones jedoch mehr denn je Mini-Computer im Hosentaschen­format und tragen dazu häufig eine Vielzahl von kostbaren persönlichen Daten in sich, die von Dritten für Spam und Betrug missbraucht werden können. Zudem besitzen viele Smartphones eine nahezu ständige Online-Verbindung zum Internet. In Panik verfallen sollte aber niemand, denn viele der Berichte über Viren-Sichtungen in den Appstores stammen von den Herstellern von Antiviren-Software. Diese haben ein offensichtliches Interesse daran, die Malware-Gefahr möglichst groß darzustellen. Wir geben Ihnen einen Über­blick über das Themen­gebiet und stellen Ihnen mögliche Bedrohungen für Handys vor. Dazu geben wir Tipps, wie Sie sich davor schützen können.

Basisschutz für jedes Handy

Eine ganz grundsätzliche Maß­nahme zum Schutz der Privatsphäre für jeden Handy-Besitzer ist das Einrichten der Tasten- oder Display­sperre mit einer PIN. So kann niemand unerwünscht im laufenden Betrieb auf die Daten des Handys zugreifen und damit in unbeobachteten Momenten SMS lesen, Telefon­nummern kopieren oder teure Telefonate führen. Auch die PIN für die SIM-Karte sollte der Nutzer nicht deaktivieren. Wer auf dem Smartphone ein Muster als Schutz einrichtet, sollte bedenken, dass schon auf einem leicht verschmutzten Display Spuren des Musters übrigbleiben können.

Wer sein Mobiltelefon verloren hat oder wem es gestohlen wurde, sollte die SIM-Karte vom Mobilfunkanbieter sperren lassen. So kann er vermeiden, dass jemand anderes auf seine Kosten telefoniert. Vor einer langen Reise sollten Sie daher unbedingt die aktuelle Rufnummer der Sperr-Hotline in Erfahrung bringen. Ausgenommen sind hier Smartphone-Besitzer, die eine Ortungs­funktion zum Wieder­finden des Geräts nutzen wollen. Damit das Handy seinen Standort mitteilen kann, benötigt es üblicherweise eine aktive Daten­verbindung. Dann muss aber das Smartphone und die SIM-Karte mit einem sicheren Code zu sperren sein.

Darüber hinaus sollte der Handy-Besitzer Funk-Schnitt­stellen wie WLAN und Bluetooth nach Möglich­keit de­aktivieren, wenn er sie nicht benötigt. Das hat den angenehmen Neben­effekt, dass auch der Telefonakku länger durchhält. Wer Wert auf Sicherheit legt, sollte das Surfen über unver­schlüsselte öffentliche WLAN-Netze vermeiden. In diesen könnte jeder in Reichweite prinzi­piell die gesamte Kommuni­kation "mithören".

Bei Verlust oder Diebstahl: Backup und Fernzugriff

Bei iOS und Windows Phone sind Dienste für Lokalisierung und Fern­zugriff vor­installiert. Auch Google bietet für Android eine entsprechende App namens Android Geräte-Manager an, die auf einige Modelle bereits automatisch per Update kam. So kann der Nutzer im Notfall bei Handy-Verlust oder Diebstahl das Handy lokalisieren und aus der Ferne Daten löschen, die nicht in fremde Hände geraten sollen.

Die Dienste für den Fern­zugriff muss der Handy-Besitzer allerdings vor dem Handy-Verlust aktiviert haben. Dazu benötigt er beim iPhone ein iCloud-Konto, bei Windows Phone eine Live-ID und bei Google ein Google-Konto.

Nutzer von älteren Android-Smartphones finden zum gleichen Zweck außerdem zahlreiche Apps von Drittherstellern bei Google Play, zum Beispiel Lookout Plan B (nur bis Android 2.3) und Android Lost. Sie lassen sich zum Teil auch im Nachhinein per Push-Verfahren auf dem Android-Handy installieren. Dazu ist es allerdings notwendig, dass das abhanden­gekommene Gerät eingeschaltet ist und über eine Internet­verbindung verfügt.

Adressbuch und Ortung: Datenhunger der sozialen Apps

Einige Smartphone-Anwendungen brauchen zwingend den Zugriff auf Nutzer­daten, um ihren eigentlichen Zweck zu erfüllen. So können Standort-bezogene Dienste nur funktionieren, wenn der Aufenthalts­ort des Nutzers per GPS oder Auswertung der Mobilfunk-Zelle erfasst wird. Verspricht eine App Freunde vorzu­schlagen, die einen Dienst bereits nutzen, wird diese Information höchst­wahr­scheinlich über die Auswertung von Adress­büchern ermittelt.

Unterschiede gibt es jedoch trotzdem zwischen verschiedenen Apps mit ähnlichen Zwecken. Und zwar einerseits im Umfang der Daten, die ein Dienst abfragt und anderer­seits darin, wie er mit diesen umgeht. Das betrifft sowohl die Auswertung der Daten, zum Beispiel für Marketing-Zwecke, als auch Datenschutz und Daten­sicherheit - also in welcher Form die Daten übertragen und gespeichert werden.

Ein Negativ-Beispiel, das für Aufruhr gesorgt hat, war etwa das soziale Foto-Netzwerk Path für das iPhone. Im Februar 2012 wurde bekannt, dass die Path-App ohne Nachfrage an den Nutzer das gesamte Adress­buch auf die eigenen Server hochlud. Apple reagierte darauf mit Restrik­tionen für den Zugriff auf die persönlichen Kontakte. Gerade bei Anwendungen für Social Media und Location-based Services besteht jedoch nach wie vor das Risiko, dass auch seriöse Unternehmen einen ungesunden Daten­hunger bei ihren Apps an den Tag legen.

Ein Programm, das vom Nutzer unerwünschte Funktionen ausführt und das auch noch heimlich - das klingt verdächtig nach Malware. Tatsächlich befinden sich viele soziale Apps beim Umgang mit persönlichen Daten auf einem schmalen Grat. Im Zweifels­fall können sich die Software-Hersteller jedoch meist darauf zurück­ziehen, dass der Nutzer während des Installations­prozesse irgendwann der Über­tragung, Speicherung und Auswertung seiner Daten zugestimmt hat - auch wenn dies so dezent angezeigt wurde, dass sich der Nutzer selbst gar nicht mehr daran erinnern kann oder in den AGB die entsprechenden Passagen gar nicht wahr­genommen hat.

Sicherheitslücken in Appstores

Neben dem allzu lässigen Umgang von eigentlich seriösen Apps und Online-Diensten mit persönlichen Daten gibt es aber auch Programme, die ganz offen­sichtlich bösartige Absichten haben. Immer mehr dieser Malware-Apps gelangen in Appstores wie Google Play. Aber auch Apples Appstore und der Windows Store waren schon betroffen.

Trotz Prüfungen der Apps durch Apple, Google und Microsoft tauchen in in ihren Stores zuweilen gefälschte Apps auf, die vorgeben, eine bekannte App zu sein, es aber nicht sind. Das nutzen Betrüger bespielsweise dazu aus, den Kaufpreis für die App zu kassieren, obwohl sie keinerlei sinnvolle Funktionen bietet. Außerdem können Fake-Apps auch als Transport-Vehikel für Malware agieren. Zu erkennen sind Apps dieser Art oft an geringen Download-Zahlen und fehlenden guten Bewertungen. Wer eine solche App installiert und startet, muss dann oft fest­stellen, dass sie gleich wieder abstürzt. Dann ist das Werk aber meist schon vollbracht, denn im Hintergrund werden bereits Premium-SMS verschickt oder Nutzerdaten wie das Adressbuch auf fremde Server hochgeladen.

Ein weiterer möglicher Weg, eine schädliche App auf ein Smartphone zu bringen, sind sogenannte In-App-Downloads. Gerade in kosten­losen Apps werden häufig weitere Apps des gleichen Entwicklers zum Kauf oder kostenlosen Down­load angeboten. Diese können zum Beispiel ein weiteres Spiel oder zusätzliche Level zum aktuellen Spiel sein. Die ursprünglich im Appstore geladene App enthält keine Schad­funktionen und passiert daher die Kontrollen im App­store ohne Probleme. Mit dem In-App-Download holt sich der Nutzer dann jedoch Malware auf das Smart­phone, die Premium-SMS versendet oder persönliche Daten sammelt und an die Server des Angreifers verschickt.

Smartphone-Nutzer sollten daher auch darauf achten, nach welchen Berechtigungen eine App bei der Installation fragt. Auch wenn das Handy per Icon eine aktive GPS-Verbindung oder eine Daten­übertragung anzeigt, obwohl der Nutzer keine App geöffnet hat, welche diese Dienste für ihre Funktion benötigt, sollte er misstrauisch werden.

Unseriöse Apps vermeiden: Tipps für mehr Sicherheit

Installieren Sie Apps nur aus vertrauenswürdigen Quellen. Damit ist nicht nur der Appstore selbst gemeint, sondern auch der Software-Hersteller. Hier sollten Sie auf bekannte, seriöse Hersteller setzen. Kommt Ihnen ein Hersteller­name unbekannt vor, setzen Sie auf Apps mit einer hohen Anzahl an Downloads und guten Bewertungen. Hierbei sollten Sie nicht nur Kommentare im Appstore selbst anschauen, sondern auch per Suchmaschine in Online-Foren oder nach Ratgeber-Artikeln stöbern, um sich ein Bild vom Leu­mund der App zu machen. Informationen über unseriöse Apps verbreiten sich zumeist rasch im Web. Im Zweifels­fall verzichten Sie lieber auf die Installation, wenn Sie unsicher sind.

Tendenziell ist das Risiko für Android-Nutzer größer, auf schädliche Apps zu treffen. Während sich Software für iOS und Windows Phone (ohne Jail Break oder ähnliches) nur durch die eigenen App­stores von Apple und Microsoft installieren lässt, kann der Smartphone-Besitzer mit Android auch alternative App­stores statt Google Play nutzen. Zudem müssen Apps im Apple Appstore und Windows Phone Store einen umfangreicheren Prüf­prozess überstehen, bevor sie veröffentlicht werden. Allerdings hat es Schad­software auch schon in Apples Appstore und den Windows Phone Store geschafft, so im Fall von Apple etwa die russische App Find and Call.

Meldungen zu Sicherheit bei Smartphones und Handys

1 2 3 49 vorletzte