Handys und Smartphones

Handy und Smartphone vor Malware & Datenlecks schützen

Viren, Trojaner und andere Schad­soft­ware gibt es mitt­ler­weile auch für Smart­phones. teltarif.de stellt mögliche Bedro­hungen für Handys vor und gibt Tipps, wie Sie sich davor schützen können.
Von Julian Ruecker /

Unken­rufe über die bedrohte Sicher­heit von Handys sind nicht neu. Schon lange bevor die ersten Touch­screen-Smart­phones auftauchten, machten Meldungen über Handy-Viren und -Trojaner die Runde. Diese waren zumeist für Handys mit den Betriebs­systemen Symbian oder Windows Mobile konzi­piert. Schad­pro­gramme wie Cabir und Skulls gaben sich als legi­time Anwen­dungen aus, um dann das Handy zeit­weise bestimmter Funk­tionen zu berauben. Weite Verbrei­tung fanden sie jedoch nie, unter anderem weil viele Nutzer gar keine zusätz­liche Soft­ware auf ihr Handy instal­lierten. Zudem erschienen Atta­cken auf PCs lange Zeit für Angreifer attrak­tiver.

Heut­zutage sind Smart­phones jedoch mehr denn je Mini-Computer im Hosentaschen­format und tragen dazu häufig eine Viel­zahl von kost­baren persön­lichen Daten in sich, die von Dritten für Spam und Betrug miss­braucht werden können. Zudem besitzen viele Smart­phones eine nahezu stän­dige Online-Verbin­dung zum Internet. In Panik verfallen sollte aber niemand, denn viele der Berichte über Viren-Sich­tungen in den Apps­tores stammen von den Herstel­lern von Anti­viren-Soft­ware. Diese haben ein offen­sichtliches Inter­esse daran, die Malware-Gefahr als möglichst groß darzu­stellen.

Wir geben Ihnen einen Über­blick über das Themen­gebiet und stellen Ihnen mögliche Bedro­hungen für Handys vor. Dazu geben wir Tipps, wie Sie sich davor schützen können.

Basis­schutz für jedes Handy

Handy-Sicherheit: So schützen Sie sich vor Malware und Datenlecks Handy-Sicherheit: So schützen Sie sich vor Malware und Datenlecks
Bild: Image licensed by Ingram Image
Eine ganz grund­sätz­liche Maß­nahme zum Schutz der Privat­sphäre für jeden Handy-Besitzer ist das Einrichten der Tasten- oder Display­sperre mit einer PIN, einem Pass­wort oder einer Geste. So kann niemand uner­wünscht im laufenden Betrieb auf die Daten des Handys zugreifen und damit in unbe­obach­teten Momenten Nach­richten lesen, Telefon­nummern kopieren oder teure Tele­fonate führen. Auch die PIN für die SIM-Karte sollte der Nutzer nicht deak­tivieren. Wer auf dem Smart­phone ein Muster als Schutz einrichtet, sollte bedenken, dass schon auf einem leicht verschmutzten Display Spuren des Musters übrig­bleiben können.

Wer sein Mobil­telefon verloren hat oder wem es gestohlen wurde, sollte die SIM-Karte vom Mobil­funk­anbieter sperren lassen. So kann er vermeiden, dass jemand anderes auf seine Kosten tele­foniert. Vor einer langen Reise sollten Sie daher unbe­dingt die aktu­elle Rufnummer der Sperr-Hotline in Erfah­rung bringen. Ausge­nommen sind hier Smart­phone-Besitzer, die eine Ortungs­funktion zum Wieder­finden des Geräts nutzen wollen. Damit das Handy seinen Standort mitteilen kann, benö­tigt es übli­cher­weise eine aktive Daten­verbindung. Dann muss aber das Smart­phone und die SIM-Karte mit einem sicheren Code zu sperren sein.

Darüber hinaus sollte der Handy-Besitzer Funk-Schnitt­stellen wie WLAN und Blue­tooth nach Möglich­keit de­aktivieren, wenn er sie nicht benö­tigt. Das hat den ange­nehmen Neben­effekt, dass auch der Tele­fon­akku länger durch­hält. Wer Wert auf Sicher­heit legt, sollte das Surfen über unver­schlüsselte öffent­liche WLAN-Netze vermeiden oder über ein VPN surfen. Denn in offenen WLANs könnte jeder in Reich­weite prinzi­piell die gesamte Kommuni­kation "mithören".

Bei Verlust oder Dieb­stahl: Backup und Fern­zugriff

Bei iOS sind Dienste für Loka­lisie­rung und Fern­zugriff vor­installiert. Auch Google bietet für Android eine entspre­chende App namens Google mein Gerät finden an, die auf viele Handys bereits auto­matisch per Update aufge­spielt wurde. So kann der Nutzer im Notfall bei Handy-Verlust oder Dieb­stahl das Handy loka­lisieren und aus der Ferne Daten löschen, die nicht in fremde Hände geraten sollen.

Die Dienste für den Fern­zugriff muss der Handy-Besitzer aller­dings vor dem Handy-Verlust akti­viert haben. Dazu benö­tigt er beim iPhone ein iCloud-Konto und bei Google ein Google-Konto.

Außerdem finden Nutzer von Android-Smart­phones zum glei­chen Zweck zahl­reiche Apps von Dritt­herstellern bei Google Play, zum Beispiel Wheres My Droid. Sie lassen sich zum Teil auch im Nach­hinein per Push-Verfahren auf dem Android-Handy instal­lieren. Dazu ist es aller­dings notwendig, dass das abhanden­gekommene Gerät einge­schaltet ist und über eine Internet­verbindung verfügt.

Adress­buch und Ortung: Daten­hunger der sozialen Apps

Einige Smart­phone-Anwen­dungen brau­chen zwin­gend den Zugriff auf Nutzer­daten, um ihren eigent­lichen Zweck zu erfüllen. So können Standort-bezo­gene Dienste nur funk­tio­nieren, wenn der Aufenthalts­ort des Nutzers per GPS oder Auswer­tung der Mobil­funk-Zelle erfasst wird. Verspricht eine App Freunde vorzu­schlagen, die einen Dienst bereits nutzen, wird diese Infor­mation höchst­wahr­scheinlich über die Auswer­tung von Adress­büchern ermit­telt.

Unter­schiede gibt es jedoch trotzdem zwischen verschie­denen Apps mit ähnli­chen Zwecken. Und zwar einer­seits im Umfang der Daten, die ein Dienst abfragt und anderer­seits darin, wie er mit diesen umgeht. Das betrifft sowohl die Auswer­tung der Daten, zum Beispiel für Marke­ting-Zwecke, als auch Daten­schutz und Daten­sicherheit - also in welcher Form die Daten über­tragen und gespei­chert werden.

Ein Negativ-Beispiel, das für Aufruhr gesorgt hat, war etwa das soziale Foto-Netz­werk Path für das iPhone. Im Februar 2012 wurde bekannt, dass die Path-App ohne Nach­frage an den Nutzer das gesamte Adress­buch auf die eigenen Server hochlud. Apple reagierte darauf mit Restrik­tionen für den Zugriff auf die persön­lichen Kontakte. Gerade bei Anwen­dungen für soziale Netz­werke, bei Messenger-Diensten und orts­basierten Services besteht jedoch nach wie vor das Risiko, dass auch seriöse Unter­nehmen einen unge­sunden Daten­hunger bei ihren Apps an den Tag legen.

Ein Programm, das vom Nutzer uner­wünschte Funk­tionen ausführt und das auch noch heim­lich - das klingt verdächtig nach Malware. Tatsäch­lich befinden sich viele soziale Apps beim Umgang mit persön­lichen Daten auf einem schmalen Grat. Im Zweifels­fall können sich die Soft­ware-Hersteller jedoch meist darauf zurück­ziehen, dass der Nutzer während des Installations­prozesses irgend­wann der Über­tragung, Spei­che­rung und Auswer­tung seiner Daten zuge­stimmt hat - auch wenn dies so dezent ange­zeigt wurde, dass sich der Nutzer selbst gar nicht mehr daran erin­nern kann oder in den AGB die entspre­chenden Passagen gar nicht wahr­genommen hat.

Sicher­heits­lücken in Apps­tores

Neben dem allzu lässigen Umgang von eigent­lich seriösen Apps und Online-Diensten mit persön­lichen Daten gibt es aber auch Programme, die ganz offen­sichtlich bösar­tige Absichten haben. Immer mehr dieser Malware-Apps gelangen in Apps­tores wie Google Play. Aber auch Apples Apps­tore und der Micro­soft Store waren schon betroffen.

Fake-Apps auch in großen Apps­tores

Trotz Prüfungen der Apps durch Apple, Google und Micro­soft tauchen in ihren Stores zuweilen gefälschte Apps auf, die vorgeben, eine bekannte App zu sein, es aber nicht sind. Das nutzen Betrüger beispiels­weise dazu aus, den Kauf­preis für die App zu kassieren, obwohl sie keinerlei sinn­volle Funk­tionen bietet. Außerdem können Fake-Apps auch als Trans­port-Vehikel für Malware dienen. Zu erkennen sind Apps dieser Art oft an geringen Down­load-Zahlen und fehlenden guten Bewer­tungen. Wer eine solche App instal­liert und startet, muss dann oft fest­stellen, dass sie gleich wieder abstürzt. Dann ist das Werk aber meist schon voll­bracht, denn im Hinter­grund werden bereits Premium-SMS verschickt oder Nutzer­daten wie das Adress­buch auf fremde Server hoch­geladen.

In-App-Down­loads als Einfallstor für Malware

Ein weiterer mögli­cher Weg, eine schäd­liche App auf ein Smart­phone zu bringen, sind soge­nannte In-App-Down­loads. Gerade in kosten­losen Apps werden häufig weitere Apps des glei­chen Entwick­lers zum Kauf oder kosten­losen Down­load ange­boten. Diese können zum Beispiel ein weiteres Spiel oder zusätz­liche Level zum aktu­ellen Spiel sein. Die ursprüng­lich im Apps­tore gela­dene App enthält keine Schad­funktionen und passiert daher die Kontrollen im App­store ohne Probleme. Mit dem In-App-Down­load holt sich der Nutzer dann jedoch Malware auf das Smart­phone, die Premium-SMS versendet oder persön­liche Daten sammelt und an die Server des Angrei­fers verschickt.

Smart­phone-Nutzer sollten daher auch darauf achten, nach welchen Berech­tigungen eine App bei der Instal­lation fragt. Auch wenn das Handy per Icon eine aktive GPS-Verbin­dung oder eine Daten­übertragung anzeigt, obwohl der Nutzer keine App geöffnet hat, welche diese Dienste für ihre Funk­tion benö­tigt, sollte er miss­trau­isch werden.

Unse­riöse Apps vermeiden: Tipps für mehr Sicher­heit

Instal­lieren Sie Apps nur aus vertrau­ens­wür­digen Quellen. Damit ist nicht nur der Apps­tore selbst gemeint, sondern auch der Soft­ware-Hersteller. Hier sollten Sie auf bekannte, seriöse Hersteller setzen. Kommt Ihnen ein Hersteller­name unbe­kannt vor, setzen Sie auf Apps mit einer hohen Anzahl an Down­loads und guten Bewer­tungen. Hierbei sollten Sie nicht nur Kommen­tare im Apps­tore selbst anschauen, sondern auch per Such­maschine in Online-Foren oder nach Ratgeber-Arti­keln stöbern, um sich ein Bild vom Leu­mund der App zu machen. Infor­mationen über unse­riöse Apps verbreiten sich zumeist rasch im Web. Im Zweifels­fall verzichten Sie lieber auf die Instal­lation, wenn Sie unsi­cher sind.

Tenden­ziell ist das Risiko für Android-Nutzer größer, auf schäd­liche Apps zu treffen. Während sich Soft­ware für iOS (ohne Jail­break oder ähnli­ches) nur durch den eigenen App­store von Apple instal­lieren lässt, kann der Smart­phone-Besitzer mit Android auch alter­native App­stores statt Google Play nutzen. Immerhin müssen Apps in allen Apps­tore einen umfang­rei­cheren Prüf­prozess über­stehen, bevor sie veröf­fent­licht werden. Aller­dings hat es Schad­software auch schon in Apples Apps­tore und den Micro­soft Store geschafft, so im Fall von Apple etwa die russi­sche App Find and Call.