Totalschutz für Ihr Smartphone
Hacker haben Mobilgeräte als lohnende Ziele entdeckt. Besonders Android-smartphones und -Tablets sind gefährdet. Hier lesen Sie, wie Sie Ihre Androiden optimal absichern und so Ihre Daten vor Angreifern schützen.
Im Rahmen ihrer Studie „Cyber Attack Trends: 2020 Mid-year Report“(https://bit. ly/30k9eh1) haben die Sicherheitsexperten von Checkpoint insgesamt rund 150.000 Apps im Google Play Store untersucht und bei über sieben Prozent versteckte Hintertüren gefunden, über die sich Hacker Zugriff auf ein Smartphone oder ein Tablet verschaffen können.
In diesem Workshop zeigen wir Ihnen, welche Gefahren im Internet und in fremden Netzwerken lauern und wie Sie sich optimal davor schützen.
Android-bordmittel für die Grundabsicherung Ihres Smartphones
Android selbst bietet bereits seit Jahren wichtige Funktionen zur Grundabsicherung. Die meisten davon sind standardmäßig aktiviert, trotzdem sollten Sie überprüfen, ob sie auch auf Ihrem Gerät richtig konfiguriert sind.
Eine der wichtigsten Sicherheitsmaßnahmen ist die automatische App-aktualisierung. Die Updates bieten nicht nur funktionale Erweiterungen, sondern schließen auch Sicherheitslücken. Deswegen empfehlen wir Ihnen, die automatische Updatefunktion zu aktivieren, die Sie in den Einstellungen der Play-store-app unter „Automatische App-updates“finden. Am besten wählen Sie hier die Option „Nur im WLAN“, um Datenvolumen zu sparen.
Google stellt darüber hinaus ein monatliches Sicherheitsupdate für sein Betriebssystem zur Verfügung. Dieses wie auch Versionsupdates müssen die Hersteller vor der Verteilung erst in die Installation der eigenen Android-geräte integrieren, was zur Folge hat, dass viele Smartphones ihre Updates erst verspätet, falls überhaupt, bekommen. In den Einstellungen Ihres Android-smartphones sehen Sie im Menü „Über das Telefon“oder ähnlich, auf welchem Stand sich Ihr Smartphone befindet. Prüfen Sie hier auch, ob das automatische Laden per WLAN aktiviert ist.
Apps am besten nur aus sicheren Quellen installieren
Wie bereits oben geschildert, gelingt es Angreifern immer wieder, die Schutzmechanismen
des Google Play Stores zu überwinden und Apps mit einer Hintertür einzuschleusen. Noch risikoreicher ist die Installation von Apps aus unbekannten Quellen, etwa von einer Website. Deswegen hat Android an dieser Stelle einen Schutzmechanismus eingebaut, der diese Installationen grundsätzlich unterbindet. Sie können jedoch, falls Sie sicher wissen, dass die Website und auch die Installationsdatei (meist eine APK) risikofrei sind, eine Freigabe erteilen. Diese ist dabei immer an die App gebunden, etwa den Browser, über die Sie die Apk-datei laden und installieren. Sie finden die Freigabe unter „Einstellungen / Apps & Benachrichtigungen / Erweitert / Spezieller App-zugriff / Installieren unbekannter Apps“. In der Liste sehen Sie alle Anwendungen, über die eine Installation möglich wäre. Aktivieren Sie den Schalter „Dieser Quelle vertrauen“. Aber: Sobald die APK installiert ist, sollten Sie die Berechtigung zurücknehmen, damit nicht versehentlich eine Schadsoftware diesen Weg zur heimlichen Installation nutzen kann.
Zugriff auf Smartphone-inhalte via Sperrbildschirm unterbinden
Nachdem Sie die Sicherheitslücken im Betriebssystem und den Apps bestmöglich geschlossen haben, gilt der nächste Blick der generellen Absicherung Ihres Smart
„Mit ein paar einfachen Einstellungen können Sie die Sicherheit Ihres Smartphones enorm erhöhen.“
phones vor fremden Zugriffen. Dies kann sowohl ein Dieb sein, der Ihr Smartphone gestohlen hat, als auch der neugierige Kollege im Büro oder das spielversessene Kind zu Hause. Deswegen empfehlen wir Ihnen, ganz gleich welche Daten Sie auf Ihrem Smartphone gespeichert haben, dieses mittels Displaysperre vor fremden Zugriffen zu schützen. Sie finden diesen Schutzmechanismus in den Einstellungen Ihres Smartphones unter „Sicherheit“. Scrollen Sie zum Abschnitt „Gerätesicherheit“, und rufen Sie den Punkt „Displaysperre“auf.
Abhängig von der Hardware-ausstattung lässt Ihr Smartphone hier verschiedene Methoden zu, mit denen Sie sich authentifizieren können: Auf allen Geräten lässt sich eine Sperre mittels PIN, Passwort oder Muster einrichten. Auf das Muster sollten Sie verzichten, da sich dies aufgrund von Spuren auf dem Display meist leicht erraten lässt. Eine PIN ist besser, aber auch sie kann aufgrund der Spuren leicht zu ermitteln sein, vor allem, wenn die PIN nur vier Stellen hat. Deutlich schwieriger wird es, wenn Sie ein Passwort einrichten. Dies bietet sich vor allem dann an, wenn Sie ergänzend dazu noch ein biometrisches Merkmal wie einen Fingerabdruck, Ihr Gesicht oder Ihre Iris verwenden. In diesen Fällen müssen Sie das Passwort nur in Ausnahmefällen eingeben. Aktuelle Geräte haben in der Regel einen Sensor für den Fingerabdruck, teurere Geräte dazu noch eine Gesichtserkennung.
Problematische Schnittstellen: Vorsicht bei Bluetooth und NFC
Haben Sie den Zugang zu Ihrem Smartphone geregelt, gelten die nächsten Maßnahmen den Schnittstellen. Damit ist weniger die Usb-schnittstelle gemeint, mit der Sie Ihr Smartphone laden oder Daten per Kabel übertragen, sondern vielmehr WLAN, Bluetooth und NFC. Viele Geräte können heutzutage mittels Bluetooth mit dem Smartphone kommunizieren. Dies beginnt beim Kopfhörer, geht über das Autoradio und endet beim Drucker. Damit die Verbindung ohne weitere Interaktion Ihrerseits funktioniert, ist die Schnittstelle meist permanent aktiviert.
Erst im Februar 2020 haben Sicherheitsexperten des Heidelberger Unternehmens ERNW eine gravierende Bluetoothschwachstelle namens Bluefrag (CVE-20200022) in Android ab Version 8 gefunden. Mit dieser ist es den Sicherheitsforschern gelungen, sowohl in Android 8 als auch in Android 9 über die aktivierte BluetoothSchnittstelle Zugriff auf das Gerät zu erlangen und dort einen beliebigen Programmcode auszuführen. Unter Android 10 konnten die Hacker das Smartphone zumindest noch zum Absturz bringen.
Natürlich wurde die Schwachstelle zeitnah von Google beseitigt und über ein Sicherheitsupdate den Smartphone-herstellern zur Verfügung gestellt. Leider beenden immer mehr Hersteller bereits nach zwei Jahren die Updates – Nutzer mit älteren Geräten besitzen somit dauerhaft ein unsicheres Phone.
Diese Schwachstelle ist jedoch nicht die einzige im Zusammenhang mit Bluetooth,
die für Angriffe in der Vergangenheit genutzt wurden. Deswegen empfehlen wir Ihnen grundsätzlich, nur diejenigen Schnittstellen zu aktivieren, die Sie aktuell benötigen. Dies gilt sowohl für Bluetooth als auch für WLAN und NFC. Dank Schnellzugriff lassen sich die einzelnen Dienste mit einem Klick ein- und ausschalten.
Sicherheitscheck: Berechtigungen der Apps überprüfen
Bei der Installation einer neuen App lassen sich die Entwickler zahlreiche Berechtigungen zusichern. Nicht immer ist es sinnvoll, diese auch alle gleich zu erteilen. In den meisten Fällen funktioniert eine App trotzdem oder fragt die entsprechende Berechtigung an, sobald sie sie wirklich benötigt. Die aktuell zugesicherten Berechtigungen der installierten App sehen Sie über „Einstellungen / Apps (& Berechtigungen)“und den Aufruf der entsprechenden Anwendung. Bis Android 9 können Sie die Berechtigung nur gewähren oder verwehren, seitdem haben Sie drei Auswahlmöglichkeiten: „Zugriff nur während der Nutzung der App“, „Jedes Mal fragen“oder „Ablehnen“. Damit gehören unkontrollierte und unbemerkte Zugriffe auf Daten im Hintergrund der Vergangenheit an.
Seit Android 7 steht Ihnen auch ein Berechtigungsmanager zur Verfügung, mit dessen Hilfe Sie sehen, welche App beispielsweise die Nutzung der Kamera angefragt hat. Sie finden diese Übersicht ebenfalls in den App-einstellungen. Achten Sie an dieser Stelle besonders auf kritische Zugriffsrechte wie Kamera, Mikrofon, SMS, Telefon, Kontakte und Standort.
Zusätzlicher Schutzmechanismus: Verschlüsselung sensibler Daten
Seit Version 6 besitzt Android eine eingebaute Verschlüsselung für den internen Speicher Ihres Smartphones. Sie finden das entsprechende Menü in den Einstellungen unter „Sicherheit / Verschlüsselung und Anmeldedaten“.
Von Haus aus nicht verschlüsselt ist die Micro-sd-karte, auf der Sie beispielsweise Ihre Bilder speichern. Bei einem Diebstahl des Smartphones kann die Karte aus dem Gerät trotz Sperre entfernt und ausgelesen werden. Wenn Sie diese verschlüsseln, ist sie nur noch über das Smartphone auslesbar. Sie finden die entsprechende Option in den Einstellungen unter „Sicherheit / Sdkarte verschlüsseln“.
Damit sind Ihre Daten zwar geschützt, das Vorgehen bringt jedoch auch Nachteile mit sich: Sie können die Karte nicht mehr einfach in Ihren Computer stecken, um die letzten Schnappschüsse und Videos schnell zu übertragen. Dies geht dann nur noch per Kabel, Bluetooth oder alternativ über einen Cloudspeicherdienst, wenn sich die Karte physisch im Smartphone befindet.
Gerade bei größeren Datenmengen kann dies aber deutlich längere Zeit in Anspruch nehmen. Deswegen sollten Sie zunächst abwägen, ob dieser zusätzliche Schutz für Ihre Daten erforderlich ist.
Play Protect: Sicherheit der installierten Apps untersuchen
Android bietet in Verbindung mit dem Google Play Store mit „Play Protect“einen Mechanismus, um Schadsoftware zu identifizieren. Die Wirksamkeit ist leider nicht immer gegeben, wie Sie an der eingangs erwähnten Analyse von Checkpoint gesehen haben. Trotzdem ist es eine gute Basis. Sie finden die Funktion innerhalb der PlayStore-app im Menüpunkt „Play Protect“. Das Programm scannt alle Apps, die auf Ihrem Gerät vorhanden sind, allen voran die Anwendungen, die Sie über den Google Play Store heruntergeladen haben. Darüber hinaus ist das Programm in der Lage, Apps aus unbekannten Quellen ebenfalls mit zu untersuchen und gegebenenfalls als kritisch zu klassifizieren.
Dieser Schutz genügt in den meisten Fällen jedoch nicht, da „Play Protect“Sie auch erst warnt, wenn eine App bereits auf Ihrem Smartphone installiert ist. Deswegen empfehlen wir Ihnen einen zusätzliches Antivirenprogramm
wie Avira Antivirus 2020 (https://bit.ly/2whrdlq), das Apps bereits während der Installation scannt und diese bei Bedarf verhindert. Führen Sie direkt nach der Installation der App einen „Smart Scan“aus. Dieser überprüft sowohl die installierten Apps sowie zentrale Verzeichnisse auf Ihrem Endgerät auf Viren. Darüber hinaus wird Ihre Privatsphäre sowie die Performance Ihres Smartphones gecheckt. Sollte es bei der Überprüfung auf Viren und Malware zu Auffälligkeiten kommen, werden diese entsprechend angezeigt und passende Gegenmaßnahmen vorgeschlagen. Das gleiche gilt für die anderen beiden Bereiche.
Sicherheitsrisiko bei öffentlichem WLAN mit VPN vermeiden
An immer mehr Stellen finden Sie öffentliche, kostenlose WLANS. Gerade bei schlechtem Empfang über das Mobilfunknetz oder bei geringem Datenvolumen bieten diese Netze eine willkommene Alternative für den Zugang zum Internet. Trotz aller Vorteile sollten Sie die Gefahren eines solchen Netzwerks aber nicht unterschätzen: Sie sind für alle anderen Nutzer des WLANS sichtbar und damit angreifbar.
Schützen Sie sich deswegen auf jedem Fall mithilfe eines Vpn-dienstes, der Ihre Verbindung ins Internet absichert. Es gibt dafür zahlreiche Anbieter, wobei die meisten kostenpflichtig sind. Wenn Sie nur gelegentlich ins Internet gehen, um beispielsweise in der Bahn Ihre Whatsapp-nachrichten zu beantworten oder Ihre Mails zu prüfen, reicht auch ein kostenloser Dienst mit geringem Datenvolumen.
Avira bietet innerhalb der bereits genannten Security-app einen solchen Dienst an – Sie erhalten täglich ein kostenloses Datenvolumen von 100 MB. Der Vpn-dienst steht Ihnen über die Einstiegsseite der App über den Link „VPN – Sicher surfen“zur Verfügung. Nachdem Sie die Funktion ausgewählt und den Verbindungsaufbau bestätigt haben, sind Sie über das VPN geschützt. Aktivieren Sie den Dienst am besten direkt, nachdem Sie sich am WLAN angemeldet haben. Nachdem Sie das öffentliche WLAN verlassen haben, trennen Sie die Vpn-verbindung wieder über die App.
Paypal & Co.: Besondere Vorsicht bei Bezahldiensten
Falls Sie auf Ihrem Smartphone einen Bezahldienst wie Paypal installiert haben, sollten Sie besondere Sicherheit walten lassen. Ansonsten kann ein Angreifer, wenn er Ihre Kontodaten kennt, unbefugt und meist auch unbemerkt Transaktionen über Ihr Konto ausführen.
Nutzen Sie daher für die Absicherung des Dienstes das zweistufige Log-in-verfahren, auch Zwei-faktor-authentifizierung genannt. Näheres zur Aktivierung unter Paypal finden Sie in unserem Paypal-artikel ab Seite 72.
Fazit: Grundsicherheit lässt sich einfach erzielen
Wie Sie in diesem Workshop gesehen haben, müssen Sie kein Sicherheitsexperte sein, um Ihr Smartphone grundlegend abzusichern. Dies schreckt einen Angreifer zwar nicht vollständig ab, erschwert ihm aber zumindest die Arbeit deutlich. Und das genügt in der Regel bereits, dass er sich nach einem anderen Opfer umsieht, dessen Smartphone er leichter kapern kann.