Wie sicher sind deine Smartphone Daten?

Von |23.07.2020|
IT-Security, Wissen
Smartphone Sicherheit

Das Thema Sicherheit bei Computer und Laptops ist schon langsam in unseren Köpfen angekommen. Doch wie sicher sind eigentlich die Daten auf  unseren Smartphones? Wenn man’s genau nimmt, nicht wirklich sicher. Und obwohl Smartphones wahre Datenschätze sind, wird deren Schutz immer noch vernachlässigt – sowohl von Nutzern, als auch von vielen Unternehmen.

Das Problem ist nicht neu: während die meisten Nutzer bzw. Unternehmen ihre Desktop-PCs und Notebooks seit jeher brav vor Angriffen und Datenklau schützen, sind die Daten und Inhalte eines Smartphones oftmals weniger gut gesichert.

Smartphones sind Datenschätze

Eigentlich komplett unverständlich, findet mittlerweile doch ein Großteil unseres beruflichen und privaten Lebens auf einem kleinen Smartphone statt. Egal, ob Mails, Chatprotokolle, Banking-Daten, Fotos, Bewegungsprofile oder gar geheime, firmeninterne Dokumente: Smartphones sind inzwischen wahre Daten-Fundgruben, die zudem zahlreichen – mitunter auch sehr simplen – Angriffsmöglichkeiten ausgesetzt sind.

Eines darf man hier nämlich nicht vergessen: der Bösewicht muss nicht immer erst mit dem großen Hightech-Hammer anrücken und komplizierte Schadsoftware über sieben Ecken bzw. Apps einschleusen – man kann ein Smartphone ja auch ganz einfach aus der Manteltasche stehlen. Oder beim Joggen in Park verlieren.

Auch Smartphones sind Malware gefährdet

Unabhängig davon können freilich auch Smartphones Phishing- und Malware-Attacken zum Opfer fallen. Smartphones sind – und dieser Umstand wird leider viel zu oft vergessen – auch nur Computer, die somit nach denselben Prinzipien funktionieren. Dabei spielt es übrigens auch keine Rolle, ob auf Android- oder iOS-Basis. Beide Betriebssysteme sind nämlich nicht von Fehlern und Schwachstellen gefeit, wie die Meldungen der vergangenen Tage bewiesen.

Mitte April warnte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) vor zwei kritischen Sicherheitslücken in Apples standardmäßig auf iPhones und iPads voreingestellter E-Mail-App „Mail“. Von der aktuellen Version angefangen – und rückwirkend bis zur Betriebssystemversion iOS 6 – können Hacker durch sie E-Mails auf den Geräten lesen, verändern und löschen.

Angreifern ist es möglich, durch das Senden einer E-Mail mit Schadcode das betreffende iPhone oder iPad zu kompromittieren und die E-Mails zu manipulieren. Unter der neuesten Betriebssystemversion iOS 13 müsse der Nutzer eine solche Mail noch nicht mal aktiv öffnen, allein der Empfang einer solchen Nachricht reicht aus.

Die Warnungen gingen sogar so weit, dass geraten wurde die Mail-App zu löschen bzw. zu deaktivieren. Bei Android schaut’s leider nicht besser aus: Nur wenige Tage später warnte nämlich dasselbe BSI vor einer schweren Sicherheitslücke in allen Android-Smartphones von Samsung. Auch hier musste die Mitteilung noch nicht einmal geöffnet werden, der bloße Empfang präparierter MMS-Nachrichten reicht aus.

22 Maßnahmen um mobile Attacken zu unterbinden

Mit diesen meist simplen Maßnahmen schützt du dich vor Angriffen und Datenklau. Für das Smartphone gelten die gleichen Sicherheitsregeln wie am PC oder Laptop.

WiFi

WiFi

Bluetooth

Bluetooth

Apps

Apps

Browser

Browser

Smishing

Smishing

Vishing

Vishing

Smartphone Sicherheit

WiFi

  • Deaktiviere die WiFi Verbindung, wenn du sie nicht benötigst.
  • Deaktiviere die automatische Verbindung mit unbekannten WiFi Netzen.
  • Übertrage keine sensiblen Informationen über WiFi, wenn du dir nicht sicher bist, dass du dich in einem sicheren Netzwerk befindest.

Bluetooth

  • Deaktiviere die automatische Bluetooth Verbindung.
  • Schalte die Bluetooth Verbindung aus, wenn du sie nicht mehr benötigst.

Apps

  • Benutze nur die offiziellen Appstores.
  • Lade nie Apps über den Browser herunter.
  • Lade dir keine Apps von unbekannten Entwicklern, oder welchen mit schlechten Reviews herunter.
  • Erlaube den Apps keinen umfassenden Zugriff auf dein Smartphone, prüfe welche Zugriffe wirklich notwendig sind.

Browser

  • Ignoriere Werbung, Artikel und Gewinnspiele, welche zu „Gut um Wahr zu sein“ sind. Diese führen oft zu Phishing Seiten.
  • Achte auf die URLs von aufgerufenen Seiten. Diese sind bei Smartphones aufgrund des kleinen Bildschirmes schwerer zu überprüfen.
  • Speichere keine Login Informationen im Webbrowser.

Smishing (Phishing über SMS)

  • Vertraue keinen Nachrichten, die irgendeine persönliche Information von dir möchten.
  • Das gilt auch für WhatsApp, Facebook und Instagram Messenger und ähnlichen Diensten.
  • Behandle Links in Nachrichten wie in E-Mails. Denk immer kurz nach, bevor du auf den Link klickst.

Vishing (Phishing über Anrufe)

  • Reagiere nicht auf telefonische Anfragen, die von dir persönliche Informationen möchten. Lege unverzüglich auf!
  • Falls du dir unsicher bist, rufe die Firma oder das Institut unter ihrer offiziellen Telefonnummer retour.
  • Sprich über persönliche Informationen nur wenn du den Anruf selbst getätigt hast.

E-Mail (Phishing)

  • Klicke nie auf Links von unbekannten Absendern.
  • Öffne keine Anhänge von unbekannten Absendern.
  • Lösche alle E-Mails mit verdächtigen Inhalten oder unstimmigen Details.
  • Das soll dir verdächtig vorkommen: schlechte Grammatik, ungewöhnliche Uhrzeit des E-Mail-Versandes, ungewöhnlich dringende Anfrage, etc.

Kleine Schritte, große Wirkung

Um zumindest ein Grundmaß an Sicherheit zu gewährleisten, reichen oft schon ein paar simple Tipps und Ratschläge.

Erleichtert werden zahlreiche Angriffe nämlich auch dadurch, dass viele Smartphone-Benutzer die von den Herstellern vorgesehenen Sicherheitsmaßnahmen nicht ergreifen oder sogar gezielt umgehen. Das ist zum Beispiel immer dann der Fall, wenn kein Sperrbildschirm mit PIN-Schutz (wahlweise auch Fingerabdruck oder Sperrmuster) aktiviert ist. Geht das Smartphone verloren oder wird gestohlen ist wirklich jeder in der Lage, die Daten zu durchstöbern.

Ebenfalls zum großen Sicherheitsproblem können aufgeschobene Updates und Patches werden, die eigentlich dazu da wären, schon bekannte Sicherheitslücken zu stopfen. Gleichzeitig sollte man Apps nur von vertrauenswürdigen – also offiziellen – Quellen downloaden und installieren. Google und Apple prüfen die dort angebotenen Apps zwar, absolute Sicherheit lässt sich aber auch hier nicht garantieren. Selbst in den legitimen Stores (Googles Play-Store & Apples App-Store) landen gelegentlich Apps, die beim Anwender ganz schönes Schindluder treiben können. Hier hilft mitunter ein Blick auf den App-Programmierer bzw. seine bisherigen Bewertungen.

Überprüfen Sie außerdem bei jeder installierten App, welche Berechtigungen sie sich einräumen will. Eine Taschenlampen-Funktion benötigt zum Beispiel keinen Internet-, Mikrofon- oder Standortzugriff. Sehr gerne werden auf diese Art nämlich Bewegungsprofile erstellt und an irgendwelche dubiosen Werbeanbieter verkauft. Tipp: Vertrauen Sie auch vermeintlich vertrauenswürdigen Quellen nicht blind. Generell gilt beim Smartphone nämlich der Leitspruch: bei einer unsicheren App hilft selbst das sicherste Betriebssystem nicht weiter.

Diebstahlschutz & regelmäßige Updates

Eine dauerhaft aktivierte Standortermittlung ist nicht jedermanns Sache, einen Vorteil hat sie aber in jedem Fall: Geht das Handy einmal verloren oder wird gestohlen, kann man es über einen Computer oder ein anderes Smartphone orten. Zudem lassen sich dann aus der Ferne alle Daten löschen.

Apropos Daten: Regelmäßige Backups aller Daten sind sowieso ein Muss und funktionieren zudem sehr einfach (und automatisch) über Cloud-Dienste wie Google Drive oder OneDrive.

Nicht schaden kann es auch, sich Sicherheits-Apps zu installieren. Bereits die kostenlosen Versionen von renommierten Herstellern wie Kaspersky, Avira oder Bitdefender schützen vor Malware und scannen neue Programme auf Bedrohungen.

Auch hier gilt, sich den Hersteller gut auszusuchen und auf keine Kopien oder bösartige Apps reinzufallen – sonst macht man den sprichwörtlichen Bock gleich zum Gärtner.

Ab Android 8.0 sollte man bei den Einstellungen außerdem den Zusatzschutz Play Protect aktivieren. Damit werden installierte Apps auf Sicherheitslücken überprüft.

Smartphone Sicherheit – die Basics

  • Sperrbildschirm aktivieren
  • Regelmäßig Updates durchführen, sowohl beim Betriebssystem, als auch bei den Apps
  • Ausschließlich Apps von offiziellen Quellen downloaden
  • Kritische Überprüfung der erlaubten Zugriffe einer jeden App (Berechtigungen)
  • Regelmäßiges Backup der Smartphone Daten
  • Ab Android 8.0: Play Protect aktivieren
Sicherheit am Fimenhandy

Sicherheit am Firmenhandy

Eine zusätzliche Sicherheitsebene kommt bei Diensthandys dazu. Die Smartphone-Sicherheit hängt nämlich nicht nur vom jeweiligen Gerät ab, sondern auch davon, welche MDM-Technologie (Mobile Device Management) zum Einsatz kommt. Diese ist auf den Unternehmensservern installiert und managt bzw. kontrolliert alle Smartphones eines Unternehmens. Dabei müssen beide Teile perfekt zusammenarbeiten, um eine hohe Sicherheit zu gewährleisten.

Leider kommt es aber auch hier immer wieder zur kuriosen Situation, dass selbst Unternehmen, die sonst keine Kosten und Mühen scheuen, um die IT-Infrastruktur und Firmen-Daten zu schützen, ein zentrales Puzzlestück ihrer Security-Strategie vernachlässigen und den Firmen-Smartphones kaum Beachtung schenken.

Dabei sind aus Unternehmenssicht nicht nur die wertvollen Firmendaten bedroht. Sind auch Kundendaten auf dem (verschwundenen oder geknackten) Handy gespeichert, kommt man sehr schnell auch mit der DSGVO in Konflikt – und das kann teuer werden.

Eine konsequente Smartphone-Sicherheitspolitik, samt umfassendes Mobile Device Management, ist für Unternehmen daher heutzutage unerlässlich. Das kann beispielsweise damit beginnen, dass Firmendaten nur in einem verschlüsselten Bereich abgelegt werden, dessen (PIN-)Schutz von Smartphone-User auch nicht ausgehebelt werden kann. Zudem hat das den Vorteil, dass private und berufliche Daten streng voneinander getrennt werden – immerhin dürfen viele Firmen-Smartphones auch privat genutzt werden.

Apropos Nutzung: Mit App-Verboten machen sich Unternehmen nicht viele Freunde. Dennoch sollte man sich überlegen, ob man die Verwendung von Nicht-DSGVO-konformen Apps nicht besser komplett unterbindet. Werden öffentliche WLAN-Hotspots genutzt, sollte eine Verbindung nur via VPN stattfinden. Öffentliche WLAN-Netze gelten ja nicht unbedingt als sehr sicher, VPN-Tunnel anonymisieren den Datenverkehr schaffen hier Abhilfe. Ebenso muss es möglich sein, die Daten via Fernzugriff zu löschen, falls das Smartphone verschwindet oder ein Mitarbeiter bösen Blutes aus dem Unternehmen ausscheidet.

Wenn du die Sicherheit deiner Firmenhandys überprüft haben möchtest oder generell mehr Informationen zum Thema IT-Sicherheit auf Firmenhandys haben möchtest, dann findest du hier weitere Informationen.

Du hast Fragen zu Mobile Device Management?

Kontaktiere uns über das untenstehende Formular oder auch unter +43 1 3434333
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Jochen Jasch, Leiter Kundenbetreuung

Jochen Jasch

Leitung Kundenbetreuung

oder ein Account Manager aus seinem Team meldet sich umgehend.