So schützen Sie Smartphone und Tablet vor Angriffen

Mobile Endgeräte wie Smartphones und Tablets sind leicht, handlich und überall einsatzbereit. Kein Wunder, dass immer mehr Menschen sie zum Surfen im Internet, zum Austausch über soziale Netzwerke sowie fürs Onlineshopping und Onlinebanking nutzen. Doch die Medaille hat auch eine Kehrseite: Mit der steigenden Beliebtheit geraten die mobilen Geräte auch verstärkt in den Fokus von Cyberkriminellen. Um sich vor deren Attacken zu schützen, sollten Anwender ein paar Sicherheitstipps beachten.

(Bild: © Natalia Merzlyakova – Fotolia.com)
(Bild: © Natalia Merzlyakova – Fotolia.com)

Die Zahl der Angriffe auf mobile Endgeräte wie Smartphones und Tablets nimmt rasant zu. Dass sich die kriminellen Aktivitäten für die Täter häufig lohnen, hat nicht nur mit der höheren Verbreitung und stärkeren Nutzung solcher Geräte zu tun. Während die meisten PCs und Laptops inzwischen besser geschützt sind als noch vor wenigen Jahren, vernachlässigen viele Anwender die Sicherheit ihrer mobilen Endgeräte. Das bleibt auch den Cyberkriminellen nicht verborgen, die sogleich leichte Beute wittern.

Was wir beim eco-Verband seit einiger Zeit beobachten, wird durch die neuesten Zahlen von G DATA bestätigt: Deren Sicherheitsexperten registrierten im zweiten Quartal 2015 täglich über 6.100 neue Android-Schaddateien. Im ersten Quartal 2015 waren es noch knapp 4.900. Das bedeutet einen Anstieg um knapp 25 Prozent. G DATA geht bis Jahresende von über zwei Millionen neuen Schad-Apps aus und verzeichnet zudem seit vergangenem Jahr eine deutliche Zunahme von Geräten, die bereits im Auslieferungszustand auf Firmware-Ebene mit Spionage- und Schadprogrammen ausgestattet sind.

Geräte mit Android erfreuen sich bei den Kriminellen besonders großer Beliebtheit, sind sie doch im mobilen Sektor am stärksten verbreitet und die Apps gibt es nicht nur in einem offiziellen Shop wie bei Geräten mit iOS oder Windows Phone. Dennoch besteht für alle mobilen internetfähigen Geräte Gefahrenpotenzial.

Die Tricks der Kriminellen

Die Schadsoftware wird ausgereifter, die Angreifer gehen immer professioneller und raffinierter vor. Meist verfolgen sie mit ihren Attacken eines der folgenden drei Ziele:

  • Zugangsdaten erbeuten,
  • das gesamte Gerät vereinnahmen oder sperren,
  • das Gerät zum Teil eines sogenannten Botnetzes machen.

Diebstahl von Zugangsdaten und Missbrauch von Berechtigungen

Viele Schad-Apps wurden und werden zu dem Zweck entwickelt, Daten der Nutzer zu sammeln, um diese anschließend zu missbrauchen. Auch Abo-Fallen sind weitverbreitet.

Beim Abgreifen von Zugangsdaten – beispielsweise fürs Onlinebanking oder zu Onlinestores – liegt der Nutzen für die Täter auf der Hand: Sie können diese Daten verwenden, um Geld vom Bankkonto des Opfers auf ihr eigenes Konto zu transferieren, um Waren und Güter für den eigenen Bedarf zu bestellen oder um diese anschließend weiterzuverkaufen und so zu Geld zu machen. Um an die Zugangsdaten heranzukommen, verstecken sie Schadsoftware in Apps, die vorgeblich anderen Zwecken dienen und dem Anwender einen Nutzen versprechen. Kaum ist die App installiert, überträgt sie Daten wie Konteninformationen und Passwörter, spätestens bei der ersten Anwendung nach der Installation der Schad-App.

Manche Schad-Apps nutzen es aus, dass der Anwender ihnen die Berechtigung einräumt, Telefonnummern direkt anzurufen. Das können sie dann auch ohne Wissen des Geräte-Eigentümers. Wenn die Schad-App nach ihrer Installation kostenpflichtige Verbindungen aufbaut, etwa zu 0900er-Nummern, kann es schnell teuer werden.

Räumt ein Anwender einer App den uneingeschränkten Internetzugriff ein, ist es dieser App beispielsweise möglich, sogenannte Netzwerk-Sockets einzurichten. Das Gerät dient dann als Endpunkt einer Verbindung zu einem Server, über die Daten ausgetauscht werden können – sowohl in die eine als auch in die andere Richtung. Eine Schad-App könnte diese Berechtigung ausnutzen, um beispielsweise weitere Schadsoftware nachzuschieben oder um Daten wie etwa persönliche Informationen vom Gerät an den Server zu senden.

Bleiben Sie auf dem Laufenden!

Wenn Sie Artikel wie diesen nicht verpassen wollen, bestellen Sie unseren wöchentlichen Newsletter. Wir haben jede Woche einen neuen, ausführlichen und nützlichen Beitrag für Sie, geschrieben von Fachjournalisten und Experten. Themen: E-Business, Online-Marketing, Social Media und mehr. Mit uns bleiben Sie auf dem Laufenden und lernen jedes Mal etwas Neues hinzu. Über 1.900 Empfänger nutzen bereits diesen kostenlosen Service!

Weitere Informationen zu den Inhalten und zum Datenschutz finden Sie auf dieser Seite.

Erpressung

Unter den Kriminellen wird ein „Geschäftsmodell“ immer beliebter, für das sie sich sogenannter Ransomware bedienen. Sie setzen also eine Schadsoftware mit dem Ziel ein, anschließend Lösegeld vom Eigentümer des Geräts zu erpressen. Das kann beispielsweise so ablaufen, dass sich die Nutzer aufgrund eines vermeintlich verlockenden Angebots eine App installieren, in der sich ein Trojaner verbirgt, der anschließend Zugangsdaten sowie private Schlüssel und Zertifikate überträgt und der bestimmte weitere Funktionen enthält, etwa eine, mit der sich das gesamte Gerät sperren lässt. Auf diese Art wurden kürzlich 225.000 iCloud-Konten gehackt. Die meisten Betroffenen waren iPhone-Besitzer im asiatischen Raum.

Aber auch Android-Geräte sind von solchen und ähnlichen Methoden betroffen: Bereits vor einem halben Jahr infizierte die Simplocker-Malware viele Android-Geräte und verschlüsselte die darauf befindlichen Daten. Nun verbreitet sich eine noch gefährlichere Variante dieses Erpressungs-Trojaners: Nachdem der Benutzer die App heruntergeladen und ausgeführt hat, wird das Gerät beziehungsweise das Display des Gerätes sofort formatfüllend gesperrt, hier angeblich von der „National Security Agency“. Die persönlichen Daten werden im Hintergrund verschlüsselt und ein Lösegeld zwischen 200 und 300 US-Dollar vom Anwender für die Freischaltung erpresst.

Ein weiteres Beispiel ist der sogenannte BKA-Trojaner, der besonders Nutzer von Android-Smartphones betrifft. Mit Sperrhinweisen vom Bundeskriminalamt (BKA) oder anderen Behörden wegen angeblich illegaler Aktivitäten werden Anwender zur Zahlung aufgefordert. Kommen sie dieser nicht nach, wird unter anderem mit der Verschlüsselung privater Daten gedroht.

Botnetze

Eine weitere Gefahr besteht darin, dass Geräte mit Schadsoftware infiziert werden, um sie anschließend als Teil eines sogenannten Botnetzes zu missbrauchen. Botnetze sind Netzwerke aus infizierten internetfähigen Geräten, die Kriminelle vom Nutzer unbemerkt fernsteuern und beispielsweise für den Versand von Spam-Mails und für Attacken auf andere Computer missbrauchen können. Jedes Gerät innerhalb des Botnetzes wird somit selbst zur potenziellen Spam- oder Virenschleuder. Botnetze bilden die infrastrukturelle Grundlage von Internetkriminalität und sind eine der größten illegalen Einnahmequellen im Internet.

Unter www.botfrei.de hat eco ein Anti-Botnet-Beratungszentrum im Internet eingerichtet. Ziel ist es, die Zahl der Botnetz-infizierten Geräte deutlich zu verringern und so den Cyberkriminellen die Grundlage zu entziehen. Um dieses Ziel zu erreichen, informiert eco umfassend über Botnetze und gibt Tipps, wie man sich davor schützen kann, Teil eines solchen Netzwerks zu werden. Im angeschlossenen Blog berichten die Sicherheitsexperten des Verbands über neue Schadsoftware, die aktuellen Tricks der kriminellen Köpfe dahinter und geeignete Gegenmaßnahmen. Zudem finden Nutzer unter www.botfrei.de hilfreiche Tools, mit denen sie herausfinden können, ob ihr Gerät bereits infiziert wurde, und mit denen sie im Fall der Fälle Schadsoftware eliminieren können. Detaillierte Anleitungen unterstützen sie dabei. Der Service ist kostenfrei.

Tipps für mehr Sicherheit

Jeder Anwender kann mit einigen einfachen Maßnahmen die Sicherheit bei der Nutzung mobiler Endgeräte massiv erhöhen:

Passwort

  • Erstaunlich viele Besitzer von Smartphones und Tablets schützen ihr Gerät nicht durch ein Passwort. Dabei ließe sich allein damit die Sicherheit bereits signifikant erhöhen.
  • Display-Sperren bei Smartphones sind zwar in der Regel nur vierstellig und es können ausschließlich Zahlen verwendet werden, dennoch lassen sich so immerhin 10.000 mögliche Kombinationen realisieren. Von den Nutzern, die ein Passwort eingerichtet haben, verwenden aber viele entweder 1234 oder viermal dieselbe Zahl – am beliebtesten sind hier 0000 oder 1111. Nehmen Sie sich daran kein Beispiel. Durch eine andere Kombination können Sie gleich mehr Sicherheit gewinnen.
  • Selbstverständlich sollten Sie Ihr Passwort immer geheim halten!

Betriebssystem

  • Die Entwickler von Betriebssystemen reagieren auf neue Bedrohungen und auf etwaige Sicherheitslücken, indem sie Updates oder Patches herausgeben. Sie sollten diese sofort aufspielen und Ihr Betriebssystem dadurch jederzeit auf dem neuesten Stand halten.

Einstellungen

  • Gerade die Einstellungen, die dem Austausch oder dem Senden von Daten dienen, sollten Sie deaktivieren, solange sie nicht gebraucht werden. Das betrifft zum Beispiel Bluetooth sowie die sogenannte „Near Field Communication“ (NFC), mittels der etwa neuere Android-Geräte, die über einen NFC-Chip verfügen, kabellos Daten übertragen können, wenn die Geräte sehr nah beieinanderliegen.
  • Wer das heimische WLAN benutzt, sollte es vorher absichern und durch ein Passwort schützen.

Virenschutz

  • Wie auch bei einem PC ist zumindest bei Geräten mit Android eine gute Virenschutzsoftware unerlässlich. Für mobile Geräte gibt es einige kostenlose Apps, die diese Aufgabe erledigen.

Apps

  • Grundsätzlich sollten Sie nur die Apps installieren, die Sie tatsächlich brauchen und nutzen.
  • Achten Sie darauf, dass diese Apps aus einer sicheren, seriösen Quelle stammen, also von den offiziellen Plattformen wie dem App Store von Apple beziehungsweise von Google Play. Zur Sicherheit deaktivieren Sie das Laden von Apps aus „unbekannten Quellen“.
  • Vergewissern Sie sich, dass die Apps nur die Berechtigungen fordern und bekommen, die sie für ihren Zweck benötigen. Zum Beispiel benötigt eine Bildbearbeitungs-App keinen Zugriff auf die Kontakte, eine App zum Abspielen von Musik muss nicht auf die Anrufinformationen zugreifen können und ein kostenfreies Spiel, bei dem also keine Rechnungs- und Zahlungsdienste integriert sind, braucht ebenfalls keinerlei Zugriff auf persönliche Informationen. Einige Berechtigungen sind als besonders riskant einzustufen, etwa wenn die App Telefonnummern direkt anrufen kann oder sich einen uneingeschränkten Internetzugriff einräumen lässt. Sobald eine App artfremde Berechtigungen fordert, sollten Sie sie nicht installieren. Wenn Sie unsicher sind, recherchieren Sie im Internet und sehen Sie sich die Bewertungen der App an.
  • Prüfen Sie auch Apps innerhalb anderer Apps, etwa Spiele über Facebook. Viele sammeln während der Autorisierung eine Menge Daten, die für ihren vorgeblichen Zweck unerheblich sind.
  • Loggen Sie sich aus Anwendungen aus, die ein Log-in verlangen – zum Beispiel soziale Netzwerke oder Foren –, wenn Sie sie nicht mehr verwenden.

Daten

  • Führen Sie regelmäßig eine Datensicherung durch. Diese Daten sollten Sie auf einem anderen Gerät (zum Beispiel auf Ihrem PC) oder in der Cloud speichern, damit bei Verlust des Smartphones oder Tablets – oder wenn es schlicht kaputt geht – die Daten und Kontakte nicht verloren sind.

Nutzerverhalten

Für mobile Geräte gelten selbstverständlich all die Tipps, die auch für die Nutzung von Computern gelten:

  • Klicken Sie keine Links aus dubiosen Quellen an.
  • Reagieren Sie nicht auf SMS, Mails und anderweitige Nachrichten von Unbekannten. Banken und Bezahldienste wie Paypal schicken keine vertraulichen Daten per Mail oder SMS. Links in scheinbar von solchen Absendern stammenden Nachrichten sollten Sie nicht anklicken beziehungsweise antippen. Geben Sie lieber selbst die URL der entsprechenden Homepage in Ihrem Browser ein und nutzen Sie die dortige Maske für das Log-in.
  • Vorsicht bei öffentlichen WLANs! Senden Sie keine sensiblen Daten darüber. Für Menschen mit ausreichend krimineller Energie ist es ein Leichtes, die Daten abzugreifen. Manche richten sogar nur zu diesem Zweck eigene öffentliche WLANs ein. (Mehr zu dieser Thematik finden Sie in einem eigenen Beitrag in dieser Ausgabe des UPLOAD Magazins.)

Darüber hinaus lassen Sie Ihre mobilen Geräte nicht unbeaufsichtigt, denn ein unaufmerksamer Moment reicht und sie landen in einer fremden Tasche. Der Verlust ist nicht nur ärgerlich, sondern kann richtig teuer werden – vom Datenverlust und möglichem Missbrauch insbesondere bei fehlender Sperre ganz zu schweigen.

Wenn Sie diese Tipps beachten, ist Ihr Smartphone beziehungsweise Ihr Tablet bei Onlineaktivitäten recht gut geschützt. Falls Sie unsicher sind, ob Ihr Gerät bereits infiziert wurde und nun Teil eines Botnetzes ist, besuchen Sie unser Anti-Botnet-Beratungszentrum unter www.botfrei.de. Dort finden Sie Tools, mit denen Sie eine mögliche Infektion entdecken und beseitigen können.

Über eco

eco ist mit mehr als 800 Mitgliedsunternehmen der größte Verband der Internetwirtschaft in Europa. Seit 1995 gestaltet der eco Verband maßgeblich die Entwicklung des Internets in Deutschland, fördert neue Technologien, Infrastrukturen und Märkte, formt Rahmenbedingungen und vertritt die Interessen der Mitglieder gegenüber der Politik und in internationalen Gremien. In den eco Kompetenzgruppen sind alle wichtigen Experten und Entscheidungsträger der Internetwirtschaft vertreten und treiben aktuelle und zukünftige Internetthemen voran.


Dieser Artikel gehört zu: UPLOAD Magazin 28

Diese Ausgabe liefert wichtige Einblicke und nützliche Tipps und Tricks rund um IT-Sicherheit. Die Beiträge analysieren die aktuelle Lage für Unternehmen, helfen bei der verschlüsselten Kommunikation, geben Hinweise für Mobilgeräte und WLAN und gehen nicht zuletzt auf die „Sicherheitslücke Mensch“ ein.

Markus Schaffrin

Markus Schaffrin ist Geschäftsbereichsleiter Mitglieder Services bei eco, dem mit über 1.000 Mitgliedsunternehmen größten Verband der Internetwirtschaft in Europa. Der diplomierte Informatiker ist schon seit mehr als 20 Jahren in der IT-Welt zu Hause und hat sich vor allem auf den Bereich IT-Sicherheit spezialisiert.