Arne Schönböhm, Chef des BSI, interessiert sich für die Sicherheit von Handys "Made in China"

Foto: Picture Alliance / dpa Nachdem die Cyber­abwehr in Litauen vor chine­sischen 5G-Smart­phones gewarnt hat, nehmen auch private Sicher­heits­experten die verdäch­tigen Geräte unter die Lupe. Auch das Bundesamt für Sicher­heit in der Infor­mati­ons­technik geht dem Report nach.

BSI unter­sucht

Nach der Warnung der litaui­schen Cyber­abwehr vor Sicher­heits­lücken und einge­bauten Zensur­funk­tionen in chine­sischen Mobil­tele­fonen hat das Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) eigene Unter­suchungen einge­leitet. Das bestä­tigte ein BSI-Spre­cher der Deut­schen Presse-Agentur. Das staat­liche Zentrum für Cyber­sicher­heit in Vilnius hatte vor allem ein Gerät des chine­sischen Herstel­lers Xiaomi kritisch beur­teilt, weil es tech­nisch in der Lage sei, die bestimmte Inhalte auf dem einge­bauten Webbrowser zu zensieren. Der Zensur­filter sei zwar nicht aktiv gewesen, habe aber aus der Ferne einge­schaltet werden können.

Bericht nennt drei Modelle

Das BSI hatte den Report der litaui­schen Cyber­abwehr am Mitt­woch erhalten, in dem drei konkrete Smart­phone-Modelle analy­siert wurden. Dabei handelte es sich um das Huawei P40 5G, das Xiaomi Mi 10T 5G sowie um das OnePlus 8T 5G. Die schwersten Vorwürfe rich­tete das Cyber­sicher­heits-Zentrum NKSC (Nacio­nalinio Kiber­netinio Saugumo Centro) gegen Xiaomi.

Durch die Analyse der Smart­phone-Akti­vitäten von Huawei fanden die Forscher heraus, dass die offi­zielle App Gallery des Herstel­lers, die die bevor­zugte App des Benut­zers nicht gefunden hat, diese auto­matisch an E-Shops von Dritt­anbie­tern weiter­leitet, wo einige der Anti­viren­pro­gramme der App als bösartig oder mit Viren infi­ziert einge­stuft wurden. Bei dem OnePlus-Gerät fand das NKSC keine Mängel.

Ein Spre­cher von Xiaomi erklärte, die Geräte seines Unter­neh­mens zensierten keine Kommu­nika­tion mit oder von ihren Nutzern. "Xiaomi hat und wird niemals persön­liche Akti­vitäten seiner Smart­phone-Nutzer einschränken oder unter­binden, wie beispiels­weise das Suchen, Anrufen, Surfen im Internet oder die Verwen­dung von Dritt­anbieter-Kommu­nika­tions­soft­ware."

Deut­sche Behörden kaufen keine chine­sischen Dienst-Geräte

Der BSI-Spre­cher infor­mierte, auf der Liste der Smart­phone-Marken, die von den Bundes­behörden offi­ziell bestellt werden können, stünden weder Xiaomi noch ein anderer Hersteller aus China. Das BSI könne aber nicht ausschließen, dass durch eine dienst­liche Nutzung von privat ange­schafften Geräten trotzdem ein Xiaomi-Smart­phone im Einsatz sei.

Nicht alle Geräte verdächtig

Thorsten Urbanski, Spre­cher des Sicher­heits­unter­neh­mens Eset, warnte davor, alle Smart­phones aus China unter einen Gene­ral­ver­dacht zu stellen. Mani­pulierte Geräte seien aber "seit vielen Jahren ein großes Sicher­heits­pro­blem". "Bereits vor mehr als fünf Jahren gab es erste Fälle von Geräten, die auf dem Weg nach Europa mit mani­pulierter Firm­ware und vorin­stal­lierter Spyware-Apps in den Handel kamen." Mit den dama­ligen Mani­pula­tionen hätten umfas­send Daten gestohlen werden können. Auch eine Über­wachung des Besitzer seien möglich gewesen. In vielen Fällen seien die Mani­pula­tionen nicht vom Hersteller selbst ausge­gangen.

Mögli­cher­weise auch mani­pulierte Geräte im Umlauf?

Viele mani­pulierte Geräte gelangten über den Online-Handel nach Europa, sagte Urbanski. Teil­weise seien gefälschte und mit Schad-Apps ausge­stat­tete Geräte aber auch im statio­nären Handel zu finden gewesen. Sein Ratschlag: "Wenn Geräte beispiels­weise schon beim Eintreffen als Neuware nicht origi­nal­ver­packt sind, sollten Verbrau­cher gene­rell vorsichtig sein und das Gerät gege­benen­falls auch wieder zurück­senden. Ebenso sind Ange­bote mit Rabatten von 50 oder 60 Prozent auf aktu­elle Smart­phones in der Regel zu schön um wahr zu sein." Oftmals zahlten Verbrau­cher hier den güns­tigen Preis mit ihren Daten oder erhielten gefälschte Geräte.

Wie funk­tio­niert die Zensur?

Bei der Prüfung des Xiaomi-Geräts hätten die Experten eine tech­nische Funk­tion aufge­deckt, die den Inhalt herunter gela­dener Inhalte zensieren könnte. Mehrere Apps auf dem Smart­phone einschließ­lich dem ab Werk vorin­stal­lierten Mi-Browser laden offenbar regel­mäßig eine Liste mit verbo­tenen Schlüs­sel­wör­tern herunter, die Xiaomi vorgibt. Wenn der Nutzer später eine Webseite öffnen will, welche Begriffe aus dieser Liste enthält, werde diese auto­matisch blockiert.

Zum Zeit­punkt der Unter­suchung soll diese Liste 449 Schlüs­sel­wörter und Kombi­nationen in chine­sischen Schrift­zei­chen umfasst haben, heißt es in dem Bericht. Dazu gehörten "Frei­heit für Tibet", "Amerikas Stimme", "Demo­kra­tie­bewe­gung" und "Lang lebe das demo­kra­tische Taiwan".

Filter­funk­tion in Litauen deak­tiviert

"Wir haben fest­gestellt, dass die Inhal­tefil­ter­funk­tion in den nach Litauen gelie­ferten Xiaomi-Mobil­tele­fonen deak­tiviert ist und keine Zens­urtä­tig­keit ausübt", erläu­terte Taut­vydas Bakšys, Leiter der Inno­vati­ons­abtei­lung des Cyber­sicher­heits­zen­trums seine Ermitt­lungen. Die Listen würden weiterhin regel­mäßig aktua­lisiert. Damit sei das Gerät "tech­nisch in der Lage, die Funk­tion jeder­zeit aus der Ferne und ohne Erlaubnis des Nutzers zu akti­vieren und mit der Zensur der herun­ter­gela­denen Inhalte zu beginnen." Bakšys schließe nicht aus, dass die Liste der verbo­tenen Schlüs­sel­wörter auch mit latei­nischen Buch­staben erstellt werden könne.

Akti­vie­rung per Schlüssel-SMS

Um diesen Dienst auf dem Mi 10T zu akti­vieren, muss eine verschlüs­selte SMS zur Regis­trie­rung empfangen werden, die danach nicht auf dem Gerät gespei­chert wird. Die Ermittler seien daher nicht in der Lage, "die verschlüs­selte Nach­richt zu lesen und ihren Inhalt zu veri­fizieren", kriti­siert Bakšys die Lage. Gleich­wohl: Die auto­mati­sierte Nach­rich­ten­über­mitt­lung und die vom Hersteller verbor­genen Inhalte stellten eine poten­zielle Sicher­heits­bedro­hung dar, "da sie die Erfas­sung und den Transfer nicht iden­tifi­zier­barer perso­nen­bezo­gener Daten an Server in Dritt­län­dern ermög­lichen".

Experten: Vorwürfe Ernst nehmen

Rüdiger Trost, Sicher­heits­experte von F-Secure Deutsch­land, sagte der dpa, man müsse die Vorwürfe ernst nehmen. "Ich halte es für mehr als wahr­schein­lich, dass es Möglich­keiten für chine­sische Stellen gibt, direkt auf Smart­phones aus natio­naler Produk­tion zuzu­greifen. Und ich habe keine Zweifel, dass China gewillt ist, mit tech­nischen Mitteln Zensur auszu­üben." Wenn die Konzerne, der chine­sische Staat oder Hacker einen so tief­grei­fenden Zugriff hätten, könnten sie nicht nur Kommu­nika­tion auslesen, noch bevor sie verschlüs­selt werde, etwa bei E-Mails, WhatsApp oder sogar Signal. Man könnte sogar Daten hoch­laden und auf solche Weise etwa einen Dissi­denten diskre­ditieren. Ja, man könnte sein Smart­phone so mani­pulieren, dass er wie der Spion eines anderen Staates erscheint."

Trost verwies darauf, dass die chine­sischen Smart­phones in der Regel mit dem Android-Betriebs­system laufen, das von Google entwi­ckelt wurde. "Wir haben fest­gestellt, dass die von Smart­phone-Herstel­lern ange­passten Android-Versionen für die jewei­ligen Geräte unter­schied­lich sicher sind. Die Android-Anpas­sungen durch Hersteller wie Xiaomi können also dazu führen, dass die Sicher­heit dieser Geräte erheb­lich beein­träch­tigt wird." Das würden die Konzerne kaum aus Eigen­inter­esse tun. "In China geschieht sicher wenig komplett am Staat vorbei."

Man könne aller­dings davon ausgehen, dass die breite Masse der Anwen­derinnen und Anwender nicht im Fokus stünde, betonte Trost. "Wenn ich aber Poli­tiker, Jour­nalist oder Dissi­dent wäre, sähe das anders aus."

Eine Einschät­zung: Was können Kunden tun?

Wer sich ein Gerät von Xiaomi oder Huawei gekauft hat, muss nicht gleich in Panik verfallen, sollte aber ein paar einfache Tipps beher­zigen: Zu Beginn alle Apps, die auf dem Handy zu finden sind, über­prüfen, ob sie wirk­lich gebraucht werden. Sofern diese Apps die Zustim­mung von AGBs erfor­dern, genau hinschauen, wer da und warum welche Daten wissen möchte. Apps, die nicht gebraucht werden, vom Handy deinstal­lieren oder - wenn das nicht anders geht - wenigs­tens deak­tivieren.

Eigenes Handy testen

Fast alle Hersteller von Sicher­heits­soft­ware bieten kosten­lose Test-Programme an. Es kann nicht schaden, das eigene Handy kurz zu checken. Wer sein Handy in einem Unter­nehmen betreiben möchte, sollte Kontakt zu seiner Unter­neh­mens-IT aufnehmen und "deli­kate" Infor­mationen besser nicht auf dem Handy oder der Cloud des Handy-Herstel­lers spei­chern.

