Cyberkriminalität

Smartphones und Smart-Home-Systeme sind schlau, aber verletzlich

Smartphones und Smart-Home-Systeme sind zwar nützlich, bieten aber auch Angriffsziele für Cyberkriminelle. Doch wie schützt man das Smartphone und die vernetzten Geräte im Smart Home vor Angreifern?
19.02.2020, 21:23
Lesedauer: 7 Min
Zur Merkliste
Smartphones und Smart-Home-Systeme sind schlau, aber verletzlich
Von Jean-Pierre Fellmer
Smartphones und Smart-Home-Systeme sind schlau, aber verletzlich

Die Technologie ist praktisch und erleichtert den Alltag, aber sie ist verwundbar.

Helmut Fohringer /dpa

Ohne Smartphone gehen wir nicht vor die Haustür. Außerdem statten immer mehr Menschen ihr Heim mit digitaler Technik aus. Die Technologie ist praktisch und erleichtert den Alltag, aber sie ist verwundbar. Wie schützt man das Smartphone und die vernetzten Geräte im Smart Home vor Angreifern? Im dritten und letzten Teil unseres Ratgebers sagen wir, wie das geht.

Das Smartphone. E-Mails lesen, den Kontostand prüfen oder Fotos von den Kindern machen: Wer für diese alltäglichen Dinge sein Smartphone nutzt, sollte sich gegen Angriffe wappnen. Das empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf dem Portal „BSI für Bürger“. Wie beim Schutz des Computers sei es dafür notwendig, möglichst zeitnah verfügbare Updates zu installieren, mit denen die Entwickler Sicherheitslücken schließen – alle Tipps für den Schutz des Computers lesen Sie unter www.weser-kurier.de/ITsicherheit.

Ein Problem seien jedoch ältere Smartphone-Modelle, für die der Hersteller keine Sicherheitsupdates mehr entwickle, sagt IT-Sicherheitsforscher Karsten Sohr, der am Technologie-Zentrum Informatik und Informationstechnik (TZI) der Universität Bremen für die Entwicklung der Informationssicherheit zuständig ist.

So problematisch wie bei etwa Windows-PCs sei das allerdings nicht, was mehrere Gründe habe: Die Apps liefen einerseits in einer sogenannten Sandbox – wie bei einem Sandkasten trennt eine Barriere das Innere von der äußeren Umgebung. Deshalb solle man das Smartphone auch nicht rooten oder jailbreaken: Damit ist das Umgehen der von dem Entwickler voreingestellten Rechte gemeint, wodurch das Gerät für Schadsoftware anfälliger werde.

Andererseits kontrollieren laut Sohr die Unternehmen Google und Apple die im Play Store oder App Store angebotenen Anwendungen auf ihre Sicherheit. Wie das genau geschehe, machten die Hersteller nicht öffentlich. Und weil es mehrere Millionen Apps gebe, sei nicht auszuschließen, dass in manchen Fällen eine App doch schädliche Codes enthalten würde. Andere Portale für Apps wie etwa F-Droid und Apkmirror gälten zwar als ordentlich und enthielten auch nützliche und ungefährliche Angebote. Dort gebe es aber nicht die Kontrolle durch Google und Apple, die aufgrund ihrer Marktstellung große Ressourcen dafür haben.

Lesen Sie auch

Das BSI empfiehlt bei der Installation von Apps, darauf zu achten, welche Rechte die Anwendung erhalte. Sohr hält dies für ein schwieriges Thema: Für viele Verbraucher sei nicht klar, welche App denn tatsächlich welche Zugriffsrechte benötigt oder eben nicht. Bei Apps mit kleiner Funktion wie etwa einer Taschenlampe sei es eindeutig, dass sie keinen Zugriff auf den Kalender oder die Kontaktdaten haben sollte. Bei anderen Apps sei das schon schwieriger zu beurteilen. „Etwa Standortdaten werden häufiger benötigt, als man denkt“, sagt Sohr. Die großen Apps wie Whatsapp und Facebook würden sich sowieso die Mehrheit aller Rechte einräumen lassen. Natürlich könne man manche Apps zur Sicherheit einfach nicht nutzen. „Das ist für viele aber keine Alternative“, sagt Sohr.

Auch bei dem Thema Schnittstellen wie Bluetooth oder der Nahfeldkommunikation (NFC), die etwa für das Bezahlen mit dem Smartphone verwendet wird, gibt es ein Dilemma zwischen Sicherheit und Praktikabilität. Das BSI empfiehlt, die Schnittstellen zu deaktivieren, wenn sie nicht benötigt werden. Wird aber beispielsweise der Ortungsdienst GPS einmal aktiviert, weil er für eine App wie Google Maps benötigt wird, bleibt er solange eingeschaltet, bis er händisch wieder deaktiviert wird. Der Verbraucher müsse zwischen Funktionalität und Sicherheit abwägen, sagt Sohr. Grundsätzlich sei das Risiko solcher Schnittstellen allerdings ein geringeres Risiko.

Offene Wlans stellen laut BSI ebenfalls ein Sicherheitsrisiko dar. Grund dafür sei der meist unverschlüsselte Zugang zum Internet, weshalb Vorsicht geboten sei. Sohr bestätigt das: Grundsätzlich könne ein anderer Nutzer im Netzwerk Daten abfangen, wenn eine App unsicher programmiert sei. Die oft genutzten Anwendungen wie Whatsapp und Facebook oder auch Apps fürs Online-Banking seien allerdings recht sicher programmiert und böten eine verschlüsselte Kommunikation an.

Praxistipp: Wer ein altes Smartphone besitzt, der sollte sich im Internet darüber informieren, ob noch Sicherheitsupdates für das Gerät angeboten werden. Anwender sollten laut BSI außerdem nicht mehr genutzte Apps deinstallieren – jede Anwendung stelle eine weitere potenzielle Sicherheitslücke dar. Bei der Installation der App sei darauf zu achten, welche Rechte sie verlange. Zudem rät das Bundesamt von einer Telefonsperre mittels Muster ab, da dies nicht sicher sei. Das Gerät sowie sensible Anwendungen wie die Banking-App sollten mit einem Passwort, einem Pin-Code oder per Fingerabdruck-Sensor gesperrt werden.

Wer eine SD-Karte nutzt, um seinen Speicher zu erweitern, der sollte bei Android-Geräten eine Funktion zur Verschlüsselung aktivieren: Denn auch wenn die Daten auf dem Smartphone im gesperrten Zustand verschlüsselt sind – auf der SD-Karte sind sie es nicht. Die Karte lasse sich also entfernen und die darauf gespeicherten Daten auf einem anderen Gerät einsehen.

Bei der Entsorgung eines Telefons sollten alle Daten gelöscht sowie SD und Sim-Karten entfernt werden. Gelöschte Daten können im Zweifelsfall wieder hergestellt werden. Daher empfiehlt es sich, erst die Daten auf dem Telefon zu verschlüsseln und dann das Gerät auf die Werkseinstellungen zurückzusetzen. Man könne auch alle Daten löschen und dann eine Videoaufnahme machen, bis der Speicher voll ist – dann seien alle alten Informationen definitiv überschrieben.

Lesen Sie auch

Smart Home. Für das Smart Home und Geräte des Internets der Dinge wie etwa Smartwatches oder Fitnesstracker gelten die gleichen Vorkehrungen wie für den Computer oder das Smartphone, also regelmäßige Updates und im Idealfall eine automatische Aktualisierung.

Aber auch die Verschlüsselung sensibler Daten bei Smart-Home-Geräten sei wichtig, sagt das BSI. Beim Kauf soll der Kunde darauf achten, dass vernetzte Geräte eine verschlüsselte Kommunikation unterstützen, wenn sie sensible Daten versenden. Eine Alternative beziehungsweise Ergänzung dazu ist das Nutzen eines virtuellen privaten Netzwerks (VPN). Fernseher, Rollläden und andere Gegenstände sind dann nur über bestimmte freigeschaltete Geräte erreichbar. Moderne Router böten die Möglichkeit, ein VPN einzurichten.

Schwachstellen in der Software dieser Geräte sind nicht zu unterschätzen, wie ein Fall von Anfang Februar zeigt: Laut Deutscher Presseagentur haben Sicherheitsforscher eine kritische Sicherheitslücke der Software von smarten Hue-LED-Lampen der Marke Philipps entdeckt. Dabei sei es möglich gewesen, erst die Steuereinheit der Leuchtmittel und dann das gesamte Heimnetzwerk zu übernehmen.

Das Maß der Vorsicht ist laut Sohr abhängig von den im Netzwerk angeschlossenen ­Geräten: smarte Türschlösser, Alarmtechnik, Überwachungskameras oder Sprachassis­tenten böten einen größeren Nutzen für ­Ma­ni­pulationen als etwa die vernetzte ­Heizung. Derzeit sei es für Hersteller von Smart-Home-Geräten in erster Linie wichtig, die Verbraucher von der Funktionalität der neuen Technologie zu überzeugen, weshalb es zu Einbußen bei der Sicherheit kommen könne. Sohr erwartet, dass es noch zu einer Marktbereinigung kommen wird und sich dies dann ändern könnte.

Praxistipp: Verbraucher sollten laut BSI schon beim Kauf darauf achten, dass die Hersteller regelmäßig und für längere Zeit Softwareaktualisierungen anbieten. Der Router als Knotenpunkt der Kommunikation müsse sicher eingerichtet und sollte über eine integrierte Firewall verfügen. Nur Geräte, die wirklich einen Zugang zum Internet benötigen, sollten auch einen erhalten – bei vielen Geräten reiche auch die Kommunikation im lokalen Netzwerk.

Lesen Sie auch

Daten sichern. Daten können aus unterschiedlichen Gründen verloren gehen: eine auf dem Laptop umgekippte Tasse Kaffee, ein Diebstahl oder ein Cyberangriff mit Ransomware, bei dem die Daten auf dem Rechner verschlüsselt werden. Es bietet sich daher in jedem Fall an, die eigenen Daten regelmäßig extern zu sichern.

Bei einer Datensicherung, auch Back-up genannt, werden entweder einzelne Dateien wie etwa Fotos oder Textdokumente aber auch das ganze System gesichert. Wird das Betriebssystem oder ein Programm beschädigt, kann dies meist repariert oder neu installiert werden. Nur die Konfigurationsdateien, die die persönlichen Einstellungen des Programms beinhalten, sollten gesichert werden. Die aktuellen Betriebssysteme von Microsoft und Apple verfügen über eingebaute Back-up-Funktionen.

Ob in der Cloud oder auf Hardware: Grundsätzlich sei beides empfehlenswert, sagt Joachim Wagner vom BSI. Unterschiedliche Arten von Speichermedien hätten unterschiedliche Vorteile, der Verbraucher muss also überlegen, zu welchem Zweck er die Dateien speichern möchte. Festplatten haben etwa sehr hohe Speicherkapazitäten, können durch Stöße jedoch beschädigt werden. USB-Sticks sind sehr robust, aber bieten weniger Speicherplatz. Wichtig sei es auf jeden Fall, die Hardware nur für das Back-up anzuschließen, sagt Wagner. Sonst würden bei einem Befall von Ransomware auch die Daten auf den Speichermedien verschlüsselt.

Beim Back-up in der Cloud sollte der Verbraucher sich die Bedingungen der Anbieter anschauen, sagt Wagner. Je nach Geschäftsmodell könnten Daten des Kunden für andere Zwecke genutzt werden. Die Daten sollten in jedem Fall jedoch in verschlüsselter Form in der Cloud abgelegt werden – so können sie im Falle eines Datenlecks nicht von Dritten genutzt werden.

Praxistipp: Anwender sollten ihre Daten, vor allem die wichtigen, regelmäßig sichern. Das BSI empfiehlt außerdem, nach einem Back-up sich selbst einen Termin für die nächste Datensicherung zu setzen, damit dies nicht vergessen wird.

Info

Zur Sache

Cyberkriminalität in Bremen

825 Fälle von Computerbetrug hat es laut Polizei Bremen im Jahr 2018 gegeben. Computerbetrug (§263a) ist ein eigenes Delikt, mit dem Handlungen gemeint sind, bei denen eine Person oder ein Unternehmen durch die Manipulation von Computern in betrügerischer Art finanziell geschädigt werden. 2014 lag die Zahl der Fälle noch bei 505. Es gebe eine Zunahme an Fällen.

Eine Auswertung der Polizeilichen Kriminalstatistik (PKS) nach Ransomware sei nicht möglich. Ransomware verschlüsselt die Daten auf infizierten Computern, Cyberkriminelle fordern für den Schlüssel ein Lösegeld. Auch die Fälle des Ausspähens und Abfangens von Daten einschließlich Vorbereitungshandlungen und Datenhehlerei seien von 2014 auf 2018 um etwa 25 Prozent gestiegen. Laut Matthias Gärtner vom BSI ist das Dunkelfeld der Cyberkriminalität groß, viele Straftaten blieben unentdeckt.

Jetzt sichern: Wir schenken Ihnen 1 Monat WK+!
Mehr zum Thema
Lesermeinungen

Das könnte Sie auch interessieren

Das Beste mit WK+