Results 1 to 3 of 3

Smartphone Sicherheit

  1. #1 Reply With Quote
    Krieger
    Join Date
    Jun 2012
    Posts
    418
    Ich habe noch nie mein Smartphone für relevante Sachen benutzt, damit meine ich Logins in Online-Banking oder meinen Ebay- oder Amazon-Account, sowas habe ich immer über den PC gemacht.

    Wenn man diese Sachen über das Smartphone machen will, was für Sicherheitsmaßnahmen kann/sollte man ergreifen, damit es auch sicher ist?
    Ich denke u.a. auch z.B. daran, wenn es irgendwo öffentliches W-Lan gibt, man in der Stadt unterwegs ist, oder so, wie weiß ich, dass keiner mein Passwort abgreift?

    Hat jemand einen guten Smartphone-Sicherheits-Guide für Idioten (also Nicht-IT-Sicherheits-Experten)?
    Gothicforum is offline

  2. #2 Reply With Quote
    Metasyntaktische Variable  foobar's Avatar
    Join Date
    Sep 2004
    Location
    Direkt hinter dir! Buh!
    Posts
    21,255
    Also generell ist die einfachste Methode, Sicherheitsprobleme mit dem Smartphone zu vermeiden, diejenige, die du bereits praktizierst. Nämlich, es gar nicht erst für sicherheitsrelevante Funktionen zu nutzen. Alles andere erfordert mehr oder weniger viel Aufwand.

    Die Hersteller haben ein kommerzielles Interesse daran, dich möglichst abhängig von ihnen zu machen und den Wechsel bzw. Umzug so stark wie möglich zu erschweren. Also wollen sie alles kontrollieren und selbst an sich binden. Und du hast gefälligst dankbar zu sein, dass du es auch vielleicht mal benutzen darfst. Entsprechend sind die Geräte und Software dann konstruiert. Es ist super simpel und bequem, einfach alles der Hersteller-Cloud anzuvertrauen, die Datenschutzhose runterzulassen und sich tief zu bücken. Umgekehrt, sich zu befreien und selbst die Kontrolle zu behalten, ist dann mehr oder weniger absichtlich kompliziert gestaltet. Damit du nicht auf dumme Ideen kommst.

    So ist es zum Beispiel super bequem, die Spracherkennung zu benutzen, um dem Gerät Texte und Nachrichten diktieren zu können, anstatt sie mühselig über die Touch-Tastatur eintippen zu müssen. Aber dummerweise erfolgt die Erkennung des Gesprochenen nicht auf dem Gerät selbst, sondern auf den Servern des Herstellers. Der alles aufzeichnet und speichert, was du dem Gerät sagst. Da haben dann nicht nur amerikanische Geheimdienste de-facto freien Zugriff drauf, sondern es wird dann auch gelegentlich mal an schlecht bezahlte freiberufliche Mitarbeiter übermittelt, damit die prüfen können, ob die Übersetzung korrekt war. Dann landet dein Sprachschnippsel auch mal auf dem verseuchten Laptop der Mutter, die sich von zu Hause aus ein wenig Geld dazu verdienen will, während sie die Kinder groß zieht, die ebenfalls auf dem Gerät zocken dürfen. Zugestimmt hast du dem natürlich. Irgendwo auf Seite 892 der AGB stand, dass du mit "Maßnahmen zu Qualitätsverbesserung" einverstanden bist oder so.

    Clouds im eigentlichen Sinne nutze ich persönlich nicht. Ich betreibe meine eigene (Nextcloud), gegen die sich dann das Smartphone synchronisiert (Termine, Kontakte, etc). Das funktioniert gut, erfordert aber Einrichtungsaufwand. Das ist primär ein Datenschutzthema (wie der vorherige Punkt), aber sekundär auch sicherheitsrelevant. Denn persönliche Daten sind immer auch ein Sicherheitsproblem. Es werden immer wieder Clouds gehackt und Daten abgegriffen (wo ein Trog steht, da finden sich auch Schweine ein). Und je mehr ich über dich weiß, desto einfacher ist es für mich, dich gezielt anzugreifen. Dann kann ich die E-Mail mit dem Virus beispielsweise so fälschen, das sie von jemandem aus deinem Adressbuch zu stammen scheint und dadurch vertrauenswürdiger wirkt. Daher ist der Schutz deiner Daten immer auch gut für die Sicherheit.

    Noch halbwegs einfach zu praktizieren ist der Tipp, nur Apps aus vertrauenswürdigen Quellen zu installieren. Der Play Store von Google ist ja meistens schon vorinstalliert und gut integriert. Hier gibt es ausnahmsweise mal eine teilweise Überlappung der Interessen von Kunden und Hersteller. Die meisten alternativen Quellen für Apps solltest du meiden. Der Play Store ist nicht super-sicher, aber besser als viele andere. Sobald du allerdings eine der noch sichereren Alternativen verwenden willst, wird's wieder schwierig. IMHO ist der F-Droid-Store beispielsweise deutlich sicherer als der Play Store, da er nur Open Source annimt und Einreichungen in Quellcode erfolgen müssen. Der Store kompiliert die dann selbst. Dadurch ist u.a. ausgeschlossen, dass kompromittierte Binärpakete eingereicht weden. Außerdem verdient der Anbieter nichts am Store, also hat er keinen Anreiz, die Apps mit den höchsten Preisen und den meisten In-App-Käufen nach oben zu sortieren. Daher gucke ich zuerst bei F-Droid und erst dann im Play Store nach Apps. Wie die Lage bei iOS ist, kann ich dir nicht sagen. Apple ist... nichts für mich, um es mal vorsichtig auszudrücken.

    Wenn eine App irgendwelche Berechtigungen anfordert, solltest du das nicht einfach abnicken, sondern genau prüfen. Eine Taschenlampen-App, die Zugriff auf deine Kontakte haben und Anrufe tätigen können möchte, ist höchst verdächtig. Weil das nichts mit der eigentlichen Funktion der App zu tun hat. Allerdings ist nicht jeder Fall so eindeutig. Vielleicht will eine App Zugriff auf die Kamera, um dich auszuspionieren. Vielleicht will sie ihn, um per QR-Code die Einrichtung vereinfachen zu können. Vielleicht will sie deine Position ermitteln, um dich zu verfolgen. Vielleicht will sie einfach nur die WLANs in deiner Umgebung anzeigen. Weil letzteres auch zur Positionsbestimmung benutzt werden kann, braucht eine App zum Zugriff auf den WLAN-Chip eben auch das Recht, deine Position bestimmen zu dürfen. Hier muss man abwägen und nachdenken. Im Zweifel kann man Rechte aber auch verweigern und gucken, ob die App evtl. trotzdem läuft bzw. was dann hinterher nicht geht.

    Ansonsten willst du die Displaysperre aktivieren, eine sichere PIN (Faustformel: Alles, was man sich gut merken kann, ist nicht sicher) vergeben und die Geräteverschlüsselung aktivieren (falls das Smartphone mal abhanden kommt). Biometrie (Gesichtserkennung, Fingerabdrücke, etc.) ist nicht per se sicher, sondern höchstens im Kontext: Wer ständig eine lange, schwierig zu merkende PIN eintippen muss, wird schnell genervt sein und auf eine einfache Wischgeste umstellen. Da ist es dann vielleicht besser, statt dessen auf Biometrie umstellen und die PIN nur beim Einschalten zu benutzen. Ich benutze nur die PIN, keine Biometrie oder Wischgesten.

    Ebensowenig benutze ich das Smartphone als zweiten Faktor für wichtige Dinge (wie z.B. das Onlinebanking). Da sind TAN-Generatoren deutlich besser, weil die nicht mit dem Internet verbunden sind. Was es schwer macht, sie ohne physischen Zugriff zu hacken.

    Updates sollten sofort installiert werden, da sie oft Sicherheitsprobleme beseitigen. Das gilt sowohl für Apps als auch das Smartphone-OS selbst. Dumm ist hier natürlich, dass bei Android kaum ein Hersteller sein System wirklich lange pflegt. Hier sollte man bereits beim Kauf auf guten Support achten und sich nicht allein von den technischen Daten der Hardware blenden lassen. Ein Indiz könnte Android One sein, bei welchen der Hersteller verspricht, für 2 Jahre Updates zu liefern und für 3 Jahre noch Sicherheitspatches. Ob da aber dann auch jeder Hersteller das Versprechen zeitnah einhält, muss man wieder selbst heraus finden. Umgekehrt ist das Fehlen von Android One kein Ausschlusskriterium. Für mein Nokia 6 beispielsweise hat der Hersteller kürzlich angekündigt, dass er es sogar noch ein Jahr länger als ursprünglich zugesichert mit Patches versorgen will (bis Oktober 2020). Dann allerdings nur noch einmal pro Quartal. Bisher gab's jeden Monat ein Update. Das ist aber bei Mittelklassegeräten die absolute Ausnahme. Die meisten Hersteller wollen nichts mehr von dem Gerät wissen, sobald der Nachfolger in die Läden kommt. Höchstens in der teuren Oberliga gibt es auch mal längeren Support.

    Dass beim Einsatz in fremden WLANs Vorsicht geboten ist, hast du bereits erkannt. Hier kann man z.B. ein VPN zu einem Server zuhause einrichten, durch welches dann der gesamte Verkehr verschlüsselt getunnelt wird. Wieder mal Aufwand, aber dafür recht sicher. Es gibt auch kommerzielle VPNs, die vermutlich bequemer einzurichten sind. Aber dafür Geld kosten und man muss natürlich dem Anbieter vertrauen. NordVPN ist ja beispielsweise kürzlich medienwirksam auf die Fresse geflogen. Wenn man kein VPN will, muss man wenigstens die Transportschicht verschlüsseln (also HTTPS statt HTTP, STARTTLS oder SSL bei IMAP und SMTP, usw). Ist weniger sicher, aber besser als nix.

    Der letzte Punkt, der mir momentan in den Sinn kommt, ist wieder eine Abwägungssache. Viele Anbieter bieten einen Diebstahlschutz an. Damit kann man das Handy dann aus der Ferne (z.B. vom heimischen PC) löschen oder sperren, wenn es abhanden kommen sollte. Das verhindert einerseits, dass ein Dieb oder unehrlicher Finder darauf herum schnüffelt. Andererseits muss man aber natürlich dem jeweiligen Anbieter auch wieder ein gewisses Vertrauen entgegen bringen.
    foobar is online now

  3. #3 Reply With Quote
    Tieftöner  Lookbehind's Avatar
    Join Date
    Dec 2007
    Posts
    14,517
    Quote Originally Posted by foobar View Post
    ...

    Wenn man kein VPN will, muss man wenigstens die Transportschicht verschlüsseln (also HTTPS statt HTTP, STARTTLS oder SSL bei IMAP und SMTP, usw). Ist weniger sicher, aber besser als nix.

    ...
    Das sollte ohnehin der Standard sein. So gut wie jede noch so kleine Webseite hat heute ein TLS-Zertifikat, Let's Encrypt sei dank, was HTTPS zum defakto Standard gegenüber HTTP macht. Spätestens wenn die Seite ein Login-Feld hat, sollte sie auch ausschließlich über eine TLS-Verbindung aufgerufen werden.
    Und E-Mails ruft man auch schon seit spätestens 2013 Jahren über gesicherte Verbindungen ab. (E-Mail made in Germany anybody?)

    Dann wird der Nutzen eines VPNs auch wieder schnell relativiert.
    Lookbehind is offline

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •