Mit der Leistung kommt die Gefahr

Grundlagen: Sicherheit bei mobilen Geräten

Handys und PDAs haben in den vergangenen Monaten immense Leistungszuwächse erfahren. Doch je PC-ähnlicher die kleinen Begleiter werden, desto mehr geraten sie ins Visier von Verbrechern.

Grundlagen: Sicherheit bei mobilen Geräten

© Jan Schulze

Grundlagen: Sicherheit bei mobilen Geräten

Handys und PDAs haben in den vergangenen Monaten immense Leistungszuwächse erfahren. Doch je PCähnlicher die kleinen Begleiter werden, desto mehr geraten sie ins Visier von Verbrechern.

Grundlagen: Sicherheit bei mobilen Geräten

© Jan Schulze

Bislang sind Viren und Trojaner vor allem eine Sache der Windows-Desktops. Doch mobile Geräte sind längst nicht mehr sicher. Smartphones, Handys und PDAs nähern sich imemr mehr den PCs an: Die Betriebssysteme Symbian und Windows Mobile dominieren den Smartphone-Markt, der Großteil der modernen Handys ist Internet-tauglich. Dazu kommt, dass die heutigen mobilen Geräte eine Leistungsfähigkeit haben, wie sie etwa um das Jahr 2000 bei PCs der oberen Preisklasse zu finden war. Und immer mehr Menschen tragen Daten mit sich herum, die für Verbrecher oder Konkurrenz- Unternehmen interessant sind. Ideale Voraussetzungen für Viren und andere Schädlinge also.

Die ersten PDA Viren wie etwa "Liberty.A" waren noch echte Raritäten und konnten nur eine Hand voll Geräte infizieren. Der Hauptgrund dafür ist, dass die Geräte weder Internet-Zugang noch andere umfassenden Schnittstellen besaßen, die als Einfallstor hätten dienen können. Die potenziellen Gefahren für Benutzer eines modernen Smartphones sind hingegen vielfältig. Durch Internet- und E-Mail-Nutzung können Viren auf das Gerät gelangen, Bluetooth und MMS eignen sich ebenfalls für Angriffe. Zwar gibt es bislang nur 35 verschiedene Schädlingsstämme mit zirka 200 Varianten, doch können die wenigen Programme erheblichen Schaden anrichten.

So zum Beispiel der Trojaner mit dem martialischen Namen "Skulls" (auf Deutsch: "Schädel"). Er verbreitet sich per Download über das Internet: Der Schädling spiegelt arglosen Handy-Besitzern vor, ein erweiterter Themen-Manager für Nokia-Geräte der Serie 60 zu sein. Installiert ein Benutzer das Programm auf seinem Telefon, wird "Skulls" aktiv und legt fast alle Funktionen des befallenen Geräts lahm. Sämtliche Icons werden dort durch Totenköpfe ersetzt, weder Menü noch Telefonbuch können dann genutzt werden. Das Telefon muss in den Werkszustand versetzt werden, alle gespeicherten Daten gehen dabei verloren.

Grundlagen: Sicherheit bei mobilen Geräten

© Jan Schulze

Skulls macht das Handy unbrauchbar: Alle gespeicherten Daten gehen verloren.

Gegen die Viren könnte man sich relativ leicht schützen, fast alle klassischen Virenschutz-Anbieter haben Produkte dafür im Angebot. Doch nutzen nur weniger Anwender Schutz-Software. Bislang ist es nicht möglich, einen Virus oder Trojaner ohne die Zustimmung des Benutzers auf einem fremden Smartphone zu installieren.

Doch diese Sicherheit trügt: Die heute im Umlauf befindlichen Schädlinge sind Machbarkeitsstudien, das große Engagement der Kriminellen steht noch aus. Das liegt zum einen daran, dass leistungsfähige Handys und PDAs in der Bevölkerung noch zu wenig verbreitet sind, um ein lohnendes Angriffsziel für das Verbrechen zu bieten. Zum anderen nutzen nur sehr wenige Benutzer ihr Smartphone für kritische Applikationen wie Online-Banking - Anwendungen, die für Kriminelle besonders lukrativ sind. Dem organisierten Verbrechen fehlt noch das Geschäftsmodell, die Ganoven stecken ihre Energie lieber in die PC-Plattform.

Das kann sich jedoch schnell ändern; es ist eine Zeitfrage, bis sich Cyber-Einbrecher den mobilen Helferlein zuwenden. Vor allem professionelle Anwender sind gefährdet: Sie tragen unter Umständen wichtige Geschäftsinformationen mit sich herum und sind so für Industriespionage und andere zielgerichtete Attacken ein lohnendes Ziel.

Es ist nicht möglich, einen Virus ohne Zustimmung zu installieren

Auch wenn heute die Bedrohungslage noch überschaubar ist, sollte man sich als Anwender mit dem Thema Sicherheit befassen. Es gilt, den Kriminellen einen Schritt voraus zu sein. Der erste große Virenausbruch auf mobilen Geräten ist nur eine Frage der Zeit - kommen wird er auf jeden Fall. Und auch ohne Flächen deckende Angriffsszenarien kann das eigene Smartphone schnell Ziel eines bösen Mitmenschen werden. Der Markt hält eine breite Palette an Produkten bereit, die durchweg ausgereift sind. Doch viel wichtiger als Schutzprodukte ist ein aufmerksamer Anwender: Wer eingehende Daten und Verbindungen sorgfältig prüft, sein Gerät richtig konfiguriert und aufmerksam ist, kann beim heutigen Stand der Technik keinen großen Schaden erleiden.

Sicherheit fängt beim Benutzer an

Wer mit einem aktuellen Smartphone oder PDA arbeitet, sieht sich prinzipiell mit den gleichen Gefahren konfrontiert wie ein PCNutzer: Viren, Trojaner und andere Schädlinge können Informationen stehlen, Daten zerstören oder das Gerät unbrauchbar machen. Zwar gibt es bislang nur wenige Schadprogramme für die verbreiteten Mobil- Plattformen Symbian, Windows Mobile oder PalmOS. Doch es steht zu erwarten, dass die Zahl der Bedrohungen in den kommenden 18 bis 24 Monaten stark ansteigen wird. Der Grund: Die digitale Welt hat sich in den letzten Monaten grundsätzlich geändert. Nicht mehr jugendlicher Übermut ist die Triebfeder von Hackern und Virenschreibern, sondern kriminelle Energie.

Das Marktforschungs-Unternehmen Gartner stellt in einem Papier vom September 2006 fest: "Wir sehen ein zunehmend feindliches Umfeld, angetrieben durch finanziell motivierte und zielgerichtete Cyber-Angriffe."

Erst handeln, dann einschalten

Grundsätzlich bieten Smartphones mehr Zugangswege für kriminelles Treiben als PCs. Smartphones können über WLAN oder UMTS wie ein PC auf das Internet zugreifen. Zusätzlich verfügen sie über SMS- und MMS-Dienste sowie Bluetooth. Auch diese Kommunikationswege eignen sich sehr gut für böswilliges Treiben. Wer also sicher unterwegs sein will, muss sein Augenmerk auf alle diese Schnittstellen lenken.

Noch etwas komplexer wird die mobile Sicherheit durch die unterschiedlichen Bedrohungsszenarien:

  • Bei mobilen Geräten kommt die Gefahr durch Diebstahl hinzu: Ein Smartphone kann leicht mal am Flughafen oder im Hotel vergessen werden, Langfinger lauern überall. Hier müssen die Daten auf dem Gerät gegen Missbrauch geschützt werden.

Bei der Gefahrenabwehr gilt: Das Smartphone kann fast so viel wie ein PC und benötigt entsprechenden Schutz. Dabei kommt es darauf an, ob das Gerät nur privat genutzt wird oder ob sich wichtige Geschäftsdaten darauf befinden. Private Anwender können auf zusätzliche Schutzprodukte zumindest in den kommenden Monaten noch verzichten. Etwas Feinarbeit bei der Gerätekonfiguration reicht aus.

Die meisten mobilen Viren haben Datenverluste zur Folge. Ein regelmäßiges Backup des PDAs oder des Smartphones sollte also selbstverständlich sein. Da das Gros der Anwender Kalender oder Adressen des mobilen Helferleins mit dem PC abgleicht, macht ein Backup keine Mühe. Die Synchronisations- Software, zum Beispiel ActiveSync von Microsoft, kann das automatisch erledigen. Sollte sich ein übler Geselle dann auf dem Smartphone einnisten, kann dieses beruhigt in den Auslieferungszustand zurückversetzt werden. Alle Daten auf dem Gerät sind damit gelöscht - auch der Virus. Anschließend spielt man das Backup wieder ein, und das Gerät ist wieder voll einsatztauglich.

Grundlagen: Sicherheit bei mobilen Geräten

© Jan Schulze

Bluetooth kann auf allen Plattformen ohne großen Aufwand "unsichtbar" gemacht werden.

Vorsicht bei Bluetooth Verbindungen

Häufig wird der Bluetooth-Schnittstelle zu wenig Aufmerksamkeit gewidmet - zur Freude fragwürdiger Spaßvögel. Denn eine ungesicherte Bluetooth-Verbindung lässt sich für das lästige Bluejacking nutzen oder zur Virenübertragung.

Hier sollten Sie beachten: Bluetooth-Geräte lassen sich im so genannten "Paired"-Modus miteinander verbinden. Ein Smartphone oder PDA sollte so eingestellt sein, dass er nur Verbindungen in diesem Modus akzeptiert. Das erfordert ein einmaliges Eingreifen des Benutzers: Eine Verbindung zu einem unbekannten Gerät muss von beiden Seiten mit einer PIN bestätigt werden, erst dann ist eine Kommunikation möglich.

Für Geräte, die sich öfter mit dem Smartphone austauschen müssen, kann die Erlaubnis gespeichert werden. Das ist zum Beispiel für ein Bluetooth- Headset oder zur Synchronisation mit dem PC sinnvoll. Geräte, die sich nicht über eine PIN oder gespeicherte Verbindungsdaten legitimieren können, weist das Smartphone dann ab. Fremde haben somit keine Chance, mit anderer Leute PDA Schabernack zu treiben.

Eine weitere Sicherheitsstufe ist die Erkennbarkeit der Bluetooth-Verbindung: Normalerweise geben sich Bluetooth-Geräte nach außen jedem anderen Gerät zu erkennen. Meist ist es dann recht einfach, PINs oder Passwörter zu erraten - leider machen viele Menschen sich nicht die Mühe, das Standard-Passwort an ihrem Gerät in ein individuelles zu ändern. Deswegen bieten alle Bluetooth-Geräte die Möglichkeit, diese Erkennungsfunktion zu deaktivieren. Davon sollte jeder Benutzer Gebrauch machen! Dann können nur Geräte eine Verbindung aufnehmen, die zuvor explizit dafür freigegeben wurden - für alle anderen ist das eigene Smartphone unsichtbar.

Noch sicherer ist es, alle im Moment nicht genutzten Schnittstellen zu deaktivieren. Wer gerade nicht surft, benötigt kein WLAN. Das hat den angenehmen Nebeneffekt, dass der Akku länger hält. Funkverbindungen benötigen viel Energie und schränken die Betriebsdauer der Geräte deutlich ein.

Anwender, die ihren PDA oder ihr Smartphone beruflich nutzen, sollten beim Thema Sicherheit etwas mehr tun. Denn es geht nicht allein um das eigene Gerät. Eventuell befinden sich sensible Kundendaten darauf. Auch muss man vermeiden, einem Kunden oder Geschäftspartner aus Versehen einen Virus per E-Mail zu schicken.

Profis sollten einen Virenscanner auf dem mobilen Begleiter installieren. Hier gibt es zahlreiche Produkte der namhaften Hersteller, die im Grundsatz zwei Ansätzen folgen: Entweder sie bekämpfen nur die gerätespezifischen Viren oder sie versuchen auch, aktuelle PCViren auf den Smartphones und PDAs zu eliminieren. Beides hat seine Vor- und Nachteile. Denn PC-Viren müssen nicht unbedingt auf dem mobilen Endgerät beseitigt werden. Diese stellen erst eine Gefahr dar, wenn sie beim Sychronisieren oder per E-Mail auf einen PC überspielt werden - und dieser sollte sowieso über einen eigenen Virenscanner verfügen. Zudem versenden gerade Unternehmensanwender ihre Mail in der Regel über das Mail-Gateway der Firma. Auch dieses ist normalerweise sehr gut gegen Viren geschützt und filtert Schädlinge vor dem Mail-Transport aus.

Auf der anderen Seite bieten mobile Virenschützer, die bereits unterwegs die schlimmsten Schadprogramme aussortieren, einen zusätzlichen Schutz. Allerdings sind diese Scanner nicht so leistungsfähig wie die PC-Versionen, da sie auf den geringeren Speicher, die langsameren Prozessoren und den Energievorrat der Endgeräte Rücksicht nehmen müssen.

Verschlüsselungs-Tools sind selbstverständlich

Eine Selbstverständlichkeit sollte auch der Einsatz eines Verschlüsselungs-Tools sein. Damit können die Daten auf dem Gerät gegen Missbrauch geschützt werden, falls es verloren geht oder gestohlen wird. Nicht zu vernachlässigen ist vor allem bei Geräten mit sensiblen Daten eine mobile Firewall. Sie hat die Aufgabe, eingehende Verbindungen über WLAN zu blockieren. Bislang haben noch nicht alle Hersteller eine Firewall integriert. Ein Anbieter ist Symantec. Die "Mobile Security 4.0" für Symbian- Plattformen verfügt über eine Firewall für LAN und WAN, die ein- und ausgehende Verbindungen überwacht. Zudem überwacht das Programm Dateien auf allen Kommunikationswegen wie MMS, SMS oder E-Mail auf möglichen Schadcode.

HOFFENTLICH VERSICHERT

Beruflich genutzte Smartphones stellen in zweierlei Hinsicht einen großen Wert dar: Da ist zum einen das Gerät selbst. Zum anderen sind da die Daten. Gehen sie verloren oder werden sie kompromittiert, kostet das Wiederherstellen unter Umständen viel Geld. Das haben auch die Versicherer bemerkt und bieten im Rahmen ihrer Elektronikversicherungen für Unternehmen inzwischen Leistungen für Smartphone-User an.

So zum Beispiel die Allianz: Hier können Kunden ihre Handys wie PCs oder Server versichern. Dabei bietet der Versicherer die Übernahme von Wiederherstellungskosten, der Zusatzkosten für Mietgeräte und der Kosten für Betriebsunterbrechungen an. Mögliche Schadensgründe sind Bedienungsfehler, Diebstahl oder Vandalismus und Sabotage. Lediglich Massenviren sind laut Allianz von der Versicherung ausgenommen - doch hiergegen kann man sich einfach und zuverlässig schützen.

BLUEJACKING

Bluejacking leitet sich vom englischen Ausdruck "Highjacking" (Flugzeugentführung) ab. Bluejacker versuchen, mittels eines Bluetooth-Handys anderen, ungeschützten Handys Nachrichten zukommen zu lassen. Die konkrete Gefährdung, die davon ausgeht, ist bislang kaum relevant - vom verdutzten Gesicht des Empfängers einmal abgesehen. Das Ausspionieren von Daten oder das Einschleusen schädlichen Codes ist über diese Technik nicht möglich. Und durch die begrenzte Reichweite von Bluetooth ist die Wahrscheinlichkeit, einem Bluejacker zu begegnen, eher gering.

Um Bluejacking vorzubeugen, sollte die automatische Erkennbarkeit durch andere Bluetooth-Geräte deaktiviert sein.

Grundlagen: Sicherheit bei mobilen Geräten

© Jan Schulze

Die Bevorzugten Angriffe der Cyber-Kriminellen

Unterschiedliche Ansätze beim Virenschutz

Um das Smartphone oder den PDA vor Schädlingen zu schützen, gehen die Hersteller verschiedene Wege. Denn die Endgeräte verweigern sich noch einer Standardlösung.

KASPERSKY Bereits seit 2003 hat der russische Virenschutz-Anbieter Kaspersky ein Produkt für mobile Geräte im Portfolio. "Wir haben das damals nicht besonders beworben, da die Gefahren nicht akut waren", so Andreas Lamm, Geschäftsführer der Kaspersky Labs GmbH in Deutschland. Kaspersky wählt wie die meisten Anbieter in diesem Markt den Ansatz, auf dem Endgerät nur die Plattform-spezifischen Viren zu eliminieren. PC-Viren werden nicht direkt auf dem Smartphone ausgemerzt. Das Problem liegt aus Lamms Sicht in der Leistungsfähigkeit der Geräte: "Die Smartphones sind noch nicht performant genug, um die Suche nach PC-Viren zu ermöglichen. Das würde zum Beispiel die Betriebszeit des Akkus drastisch einschränken. Auch die notwendigen häufigen Updates wären zum jetzigen Zeitpunkt nur schwer auf die Geräte zu bekommen. Wir sehen es nicht als sinnvoll an, die PC-Viren bereits auf dem Smartphone zu filtern - auch, wenn dieses ein potenzieller Infektionsweg für PCs ist. Diese Aufgabe wird am besten von einem Virenschutz am PC übernommen."

Die Gefährdungslage sieht Lamm noch als recht überschaubar an. Aktuell gebe es rund einen neuen mobilen Virus pro Monat. "Für Kriminelle ist das Ganze noch ein Versuchsfeld. Durch die geringe Geräteverbreitung sind mobile Schadprogramme noch nicht lukrativ. Doch sei es nur eine Frage der Zeit, bis die Geräte am Markt eine kritische Masse erreichen würden und das Interesse der Verbrecher auf sich ziehen. Kritik übt Lamm an die Mobilfunk-Providern. Diese würden die Gefahren des mobilen Internet herunterspielen: "Die Anbieter lassen Gefahrenhinweise vermissen, da sie zum Beispiel an den Gewinnen durch Premium- Nummern profitieren."

SOPHOS Etwas anders geht der Virenschutz-Anbieter Sophos das Thema an. "Es ist noch immer ein Sturm im Wasserglas", so Christoph Hardy, Security Consultant bei Sophos. Aus seiner Sicht müssten die Geräte von Privatanwendern bislang noch nicht vor Viren und anderen Schädlingen geschützt werden. Laut Hardy sollten jedoch geschäftlich genutzte PDAs als Teil der unternehmensweiten Sicherheitsstrategie gesehen werden.

"Der PDA soll kein Virenverteiler sein", so Hardy. "Wir schützen mit unserer Lösung nicht nur gegen die mobilen Viren, sondern filtern auch PC-Viren gleich auf dem PDA heraus." Dazu nutzt Sophos eine reduzierte Signaturdatenbank, die alte Virentypen nicht berücksichtigt. Der Speicher der aktuellen PDAs sei noch zu klein, um alle Virensignaturen auf das Gerät zu bringen, erläutert Hardy. Updates können über den zentralen Server im Unternehmen bezogen werden, etwa bei der Synchronisation des PDAs mit dem PC. Anwender, die überwiegend außer Haus tätig sind, können die Schutz-Software über das Internet auf dem neuesten Stand halten.

"Damit sich Kriminelle ernsthaft den mobilen Geräten zuwenden, müssen dort die entsprechenden Anwendungen wie etwa Online-Banking genutzt werden", so Hardy. "Das ist aber bislang noch kaum der Fall." Doch könne man einen größeren Schädlingsausbruch innerhalb der kommenden 24 Monate kaum ausschließen. Sein Rat für Anwender: Schnittstellen wie Bluetooth absichern und gegenüber Daten von Dritten skeptisch bleiben. "Alle heute bekannten Viren müssen vor der Installation den Benutzer um Erlaubnis fragen. Man sollte also nicht alles unbedacht bestätigen und im Zweifelsfall eine Nachricht lieber löschen."

F-SECURE Dass sich mobile Schadprogramme in absehbarer Zeit verbreiten werden, ist für Mikko Hyppönen, Chief Research Officer des finnischen Anbieters F-Secure, so gut wie sicher: "Es ist zwar schwer vorauszusagen, wann das sein wird, aber ein Ausbruch wird kommen." Hyppönen sieht zum Beispiel folgendes Szenario als möglich an: Ähnlich wie bei E-Mail-Spam könnten Kriminelle ferngesteuerte Netze von Smartphones und PDAs aufbauen, um SMS-Spam zu versenden. "Warum wird denn heute SMS nicht von Spammern genutzt? Nur, weil es im Gegensatz zu E-Mail teuer ist. Findet ein Spammer einen Weg, anderer Leute Smartphones oder Handys in Form eines Bot-Netzes zu missbrauchen, würde sich das schnell ändern", erläutert Hypönnen ein potenzielles Geschäftsmodell.

F-Secure verzichtet in seiner Lösung darauf, PC-typische Viren zu erkennen, und konzentriert sich auf die mobilen Vertreter. "Zum einen sehen wir hier ein Problem mit den verfügbaren Geräteressourcen, zum anderen besteht bei unseren Kunden keine Nachfrage für den PC-Virenschutz am mobilen Gerät", so Hypönnen.

Das Unternehmen, das sich bereits seit acht Jahren mit dem Thema befasst, konzentriert sich stattdessen auf andere Bereichen der mobilen Sicherheit, etwa das Update- Problem: "Wir haben hier eine recht einfache Lösung gefunden. Die Anwender bekommen die Updates für den Virenscanner als SMS. Das belegt wenig Bandbreite, ist für alle Beteiligten preiswerter als ein Update über das Internet und für den Anwender sehr bequem."

Mehr zum Thema

Netflix
Streaming

Preise, kompatible Geräte, Datenrate, Serien- und Filmangebot von Netflix: Wir beantworten die wichtigsten Fragen rund um den Streaming-Dienst.
Amazon Blitzangebote
Technik-Deals

Die Highlights der Amazon Blitzangebote - heute mit Weihnachts-Angebote-Woche, Asustor-NAS, 2-TB-SSD von Samsung, Laptop-Kühler und mehr.
Tipps zum leisen PC
Tipps und Tricks

Die Komponenten eines PCs erzeugen Hitze. Lüfter sorgen meist für eine lästige Geräuschkulisse. Mit unseren Tricks wird Ihr PC flüsterleise.
SSD Mythen Tipps
Solid State Disk

SSD-Tuning - was ist wahr, was ist falsch? Wir verraten, welche SSD-Mythen Sie vergessen können und welche Tipps wirklich helfen.
Urlaubsbilder
Fotografieren im Sommer

Von Sommerlicht bis Sonnernuntergang: Unsere 7 Tipps verraten, wie Sie Urlaubsfotos richtig machen und schöne Bilder mit nachhause bringen.