Editorial: Wann kommt die Smartphone-Virenflut?

Jeder PC-Nutzer kennt die Sorgen: Regelmäßig verlangen Betriebssystem und Viren-Scanner nach Updates. Ist der Schutz nicht auf dem aktuellsten Stand, reicht ein Klick auf eine falsche Website, und der PC ist verseucht. Bestenfalls wird er dann nur als Spam- und Virenschleuder missbraucht; schlimmstenfalls werden geheime Daten ausspioniert, etwa PIN und TAN fürs Online-Banking oder gar Firmengeheimnisse.
Kommt bald der Viren-Angriff auf's Smartphone?

Zudem gehen die Viren-Schreiber immer raffinierter vor und greifen immer gezielter an. Das Stuxnet-Virus etwa verwendete bis dato unbekannte Sicherheitslücken zu seiner Weiterverbreitung (so genannte "zero-day exploits") und manipulierte dann hochspezifisch spezielle Siemens-Steueranlagen. Gemunkelt wird, dass ein Geheimdienst das Virus entwickelt hat, um damit gezielt Atomanlagen im Iran anzugreifen. Freilich gab es auch hier etlichen Kollateralschäden an Standard-PCs und Siemens-Steuerungen an anderen Orten.

Bei Smartphones - deren Leistungsabstand zu PCs und Laptops immer kleiner wird - sind regelmäßige Sicherheitsupdates hingegen unüblich. Manchmal müssen die Kunden sogar regelrecht darum kämpfen, überhaupt Updates zu erhalten. Die Hersteller kümmern sich anscheinend viel lieber um die Entwicklung neuer Modelle als um die Bereitstellung von Betriebssystem-Updates für die alten. Den Kunden entgehen damit nicht nur die neuen Features der neuen Betriebssytem-Version, sondern auch deren Fehlerbeseitigungen.

Die Regelmäßigkeit, mit der die Hacker etwa Sicherheitslücken in Apples iPhone finden, um per Jailbreak auch andere als von Apple autorisierte Software installieren zu können, zeigt das Problem: Denn auf demselben Weg können auch Viren, Würmer und Trojaner auf's Handy kommen. Und anders als die guten Hacker von jailbreakme.com ("slide to jailbreak") werden die bösen Jungs von der Cyber-Mafia kaum rückfragen, ob der Nutzer mit der Installation ihrer Software einverstanden ist.

Betriebssystemflut schützt ein bisschen

Dass bisher vergleichsweise wenig passiert ist, hängt vermutlich mit der Faulheit der Cracker zusammen: Sie stürzen sich bevorzugt auf das System mit den meisten Usern. Denn dort versprechen erfolgreiche Angriffe den meisten Gewinn. Derzeit liegt aber die Zahl der verkauften Smartphones noch deutlich hinter der der PCs und Laptops. Und während weit über 90 Prozent aller PCs unter Microsoft Windows laufen, herrscht auf Smartphones eine wahre Betriebssystem-Flut. Entsprechend kann ein Angreifer mit einem Hack für das iPhone oder für Android nur eine vergleichsweise kleine Zahl an Geräten kapern.

Dafür findet sich auf den Handys in Form von Kontakten, Nachrichten und Termineinträgen ein wahrer Datenschatz - und der auch noch gut strukturiert! Und da bisher Smartphone-Attacken selten waren, sind die Nutzer wahrscheinlich schlechter vorbereitet, so dass die Angreifer entsprechend länger im Verborgenen agieren können.

Smartphone-Nutzer haben bisher einfach Glück gehabt

Auch gab es in der Vergangenheit immer auch schon spezialisierte Angriffe. Linux-Webserver sind etwa wegen ihrer in der Regel sehr guten Internet-Anbindung, ihres rund-um-die-Uhr-Betriebs und ihrer als vertrauenswürdig eingestuften IP-Adresse (im Gegensatz z.B. zu den Dial-Up-IPs von DSL-Providern) besonders begehrt, insbesondere als Kontrollzentren für Bot-Netzwerke. Entsprechend gibt es auch hier regelmäßig Angriffe.

Mit anderen Worten: Bisher haben die Smartphone-Nutzer Glück gehabt. Nur wächst der Smartphone-Markt viel schneller als der PC-Markt und die Betriebssystemvielfalt könnte sich auch wieder etwas konsolidieren. Es ist somit nur noch eine Frage der Zeit, bis es zu erheblichen Angriffen kommt. Und dann steht die Branche möglicherweise ohne Schutz da: Die Installation von so tief im System verwurzelter Software wie die eines Virenscanners ist beim Apple iPhone schlicht und einfach nicht vorgesehen.

Weitere Editorials