SicherheitslückenDer Verräter in der Tasche

Smartphones sind längst vollwertige Computer – nur viel unsicherer. Fünf wichtige Schwachstellen von Dietrich von Richthofen

Der Gabentisch, er ist in diesem Jahr voller Elektronik: Rund jeder Sechste will ein neues Handy, jeder Achte ein Tablet kaufen oder verschenken. So ermittelte es vor dem Fest der IT-Branchenverband Bitkom in einer repräsentativen Umfrage. TNS-Infratest fand im Auftrag der Deutschen Telekom heraus, dass sich mehr als jeder Zweite unter 30 über ein Smartphone oder ein Tablet freuen würde. Die digitalen Begleiter sind längst im Alltag angekommen. Das Bewusstsein für Risiken und Schwachstellen mobiler Kommunikation indes nicht. So können sich die Geräte bei allzu sorglosem Umgang schnell als gefährliche Gaben entpuppen – eine Annäherung in fünf Schritten:

Es dauert knapp 20 Minuten, bis Luca Melette das fremde Telefon gekapert hat. Der Hacker mit orange-gelb gefärbtem Haarschopf und Kapuzenpulli beugt sich über seinen Laptop, an den ein manipuliertes Handy angeschlossen ist. Es wird betrieben von einer leicht veränderten Software, wie sie jedermann aus dem Internet laden kann. So wird Melette zum Mitwisser: Die improvisierte Abhörstation fängt im Umkreis mehrerer Kilometer die Datenpakete aus dem Handynetz ein. Kryptische Zahlenreihen rattern über den Bildschirm. Aus diesem Wust pickt Melette jene Nummern heraus, mit denen sich ein anderes Telefon im Netz identifiziert. Binnen Sekunden knackt er den Code, der für die Verschlüsselung der Gespräche zugewiesen wurde.

Anzeige

Das reicht. Nun kann Melette in der Mobilfunksphäre die fremde Identität benutzen. Er kann Anrufe tätigen, Textnachrichten versenden – alles unter falscher Flagge und ohne Spuren zu hinterlassen. Er könnte auch kostenpflichtige Telefon- oder SMS-Dienste nutzen. Damit hätte er Zugriff auf den fremden Geldbeutel. »So ein Angriff kann jeden treffen und handfeste finanzielle Schäden mit sich bringen«, sagt Melette. – Lehre Nummer eins: Identitäten sind chronisch unsicher.

Selbstschutz

Simple Regeln gegen böse Überraschungen im Umgang mit Smartphone und Tablet:

Apps – Stets kritisch prüfen, welche Apps man auf seinem Mobilgerät installiert! Aus welchen Quellen stammen sie? Klingen die verlangten Zugriffsrechte plausibel oder zu umfassend?

Updates – Unbedingt regelmäßig das Betriebssystem aktualisieren! Meldet der PC beim Anschluss des Mobilgeräts, dass ein Update verfügbar ist? Solche Aktualisierungen schließen neu entdeckte Sicherheitslücken.

Verschlüsselung – Sensible Daten sichern! Etwa mit Programmen, die Textdateien chiffrieren und mit einem Passwort versehen.

WLANs – Leicht können Dritte den Datenverkehr in öffentlichen WLANs mitlesen. Viele mobile Geräte bieten die Funktion, sich eigenständig mit solchen Netzen zu verbinden. Sie sollte stets deaktiviert sein!

Weitere Tipps

https – Besonders bei Anwendungen wie Onlinebanking auf eine vertrauenswürdige Verbindung achten (im Browser muss am Anfang der Adresszeile https stehen)!

VPN – Für eine Verbindung mit einem Firmenserver, besonders wenn es um heikle Daten geht, ein virtuelles privates Netzwerk (VPN) nutzen! Das schützt gegen Mitleser.

Remote – Die ferngesteuerte Löschung aktivieren! Dann gelangen bei Diebstahl oder Verlust nicht auch die Daten in falsche Hände.

Code – Und natürlich sollte jedes Gerät immer mit einem Zahlencode gesichert sein...

Weitere Tipps stehen auf den Internetseiten des Bundesamtes für Sicherheit in der Informationstechnik und des Bundesverbandes der Verbraucherzentralen

Der Besitzer des gekaperten Telefons, Karsten Nohl, hat nur deshalb nichts zu befürchten, weil Melette sein Kollege ist und keinerlei kriminelle Energie besitzt. Die beiden sind Auftragshacker. Nohl hat das Security Research Lab in Berlin gegründet, er berät Dax-Konzerne und große Organisationen in Sachen Datensicherheit. In seiner Freizeit zerlegt der Kryptografie-Experte gerne Bit für Bit jene Sicherheitsmechanismen, die im Mobilfunk Datensicherheit gewährleisten sollen.

»In der Szene ist schon seit Jahren bekannt, dass die Verschlüsselung von Handy-Gesprächen und mobilem Datenverkehr über den veralteten Mobilfunkstandard GSM leicht zu knacken ist«, sagt Nohl. Weltweit telefonieren mehr als drei Milliarden Menschen über GSM-Netze, die Technik stammt aus den frühen 1990er Jahren. Auch in Deutschland bildet sie trotz des rasanten UMTS-Ausbaus immer noch die Grundlage mobiler Kommunikation. Vor 20 Jahren war der 64 Zeichen lange GSM-Schlüssel noch ein wirksamer Schutz, heute knacken ihn Nohl und sein Team binnen drei Sekunden. So rechenstark sind die Prozessoren. Mehrfach haben die Auftragshacker vorgeführt, wie leicht das geht – auch um Daten abzufangen, die über den neueren GPRS-Standard verschickt werden.

Gerade feilt Nohl an einer Vorführung für den Chaos Communication Congress. Bei dem Hacker-Treffen, das zwischen Weihnachten und Neujahr in Berlin stattfindet, will er einen Angriff wie den von Melette demonstrieren. Solche impersonation attacks, so der Experte, ließen sich auch problemlos automatisch ausführen – und damit massenhaft. – Lehre Nummer zwei: GSM-Netze sind unzureichend verschlüsselt, obwohl sie immer noch das Rückgrat der mobilen Kommunikation bilden.

Dabei spielen mobile Geräte längst eine zentrale Rolle im Alltag. Das Volumen ihres Datenverkehrs wächst rasant. Neben Gesprächen, Mails oder YouTube-Videos finden zunehmend berufliche und vertrauliche Daten ihren Weg in die Mobilfunksphäre: Passwörter für alle möglichen Webseiten werden auch auf dem Handy gespeichert, Firmenpräsentationen oder Steuererklärungen auf das iPad geladen. Zusätzlich vermischen viele Nutzer privaten und beruflichen Einsatz auf Smartphones und Tablets. – Lehre Nummer drei: Die digitalen Alltagsbegleiter enthalten so sensible Daten wie PCs.

Bösewichte haben längst die Mobilen für sich entdeckt: Die Zahl entdeckter Schadprogramme, manipulierter Anwendungen und gezielter Angriffe nimmt zu. Der Anbieter von Sicherheitssoftware McAfee geht von einer Verdopplung der Schadsoftware für mobile Geräte in den vergangenen zwei Jahren aus. Praktisch alle Plattformen sind betroffen, wie aktuelle Beispiele zeigen: Ein vermeintliches Update des Opera-Browsers für die Symbian-Plattform (Nokia) stellte sich als Trojaner heraus, der teure SMS an russische Premium-Nummern schickte. Für das Betriebssystem Android (Google) sind seit Anfang 2011 zahlreiche manipulierte Apps im Umlauf, die per Hintertür Kriminellen Zugriff auf private Daten ermöglichen. Sogar normales Surfen birgt Gefahr: Auf für Smartphones optimierten Seiten wird der Datenverkehr bislang oft unverschlüsselt übertragen. Facebook stand deswegen schon häufiger in der Kritik, so im vergangenen Frühjahr. Mitte 2011 wurde sogar das erste Virus gefunden, das sich unbemerkt und ohne jegliches Zutun des Nutzers auf dem Smartphone installiert, sozusagen im Vorbeisurfen (Drive-by-Download). – Lehre Nummer vier: Viren und Co. bedrohen längst auch Smartphones und Tablets.

Die Nutzer jedoch sind sich der Sicherheitslücken bislang kaum bewusst. Laut einer im Februar 2011 veröffentlichten repräsentativen Emnid-Umfrage im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiß ein Drittel der Befragten nicht einmal, dass ein Smartphone dieselben Schutzmaßnahmen wie ein PC benötigt. Beinahe jeder zweite Besitzer eines solchen Geräts hatte noch nie ein Sicherheits-Update aufgespielt. Ähnliche Ergebnisse lieferte auch eine Infratest-Umfrage für die Deutsche Telekom unter rund 1.600 Nutzern: Nicht einmal jeder Fünfte hatte eine Firewall installiert, nur jeder Vierte nutzt einen Virenschutz. Das Fazit der Studie: »Mobile Surfer verhalten sich besonders fahrlässig.«

»Die Unternehmen installieren Alarmsysteme und Firewalls, sorgen für extrem hohe IT-Standards auf den stationären Rechnern – und dann spaziert der Vorstandsvorsitzende mit sensiblen Unternehmensdaten auf seinem neuesten Tablet-PC zur Tür hinaus«, sagt Tobias Schrödel, der Unternehmen in Sachen IT-Sicherheit schult. Während PCs in den allermeisten Firmen ständig aktualisiert würden, sei dies bei Smartphones und Tablets die Ausnahme. – Lehre Nummer fünf: Nutzer ignorieren oft selbst die simpelsten Vorsichtsmaßnahmen.

Technische Schwachstellen plus laxer Umgang: eine Zeitbombe. »Die Anreize steigen, weil sich immer mehr interessante Daten auf den Geräten befinden«, sagt Ulrike Meyer, Professorin für IT-Sicherheit in mobilen Netzen an der RHTW Aachen. »Für Angriffe ausnutzbare Sicherheitslücken sind verhältnismäßig einfach zu finden.« Auch der »Bundeslagebericht Cybercrime 2010« des Bundeskriminalamts warnte im Sommer, »mobile Endsysteme« gerieten immer mehr ins Visier von Digitaltätern.

Unterdessen wächst die Zahl der Plattformen, Geräte und Anwendungen in atemberaubendem Tempo. »Die von stationären Systemen bekannten Sicherheitskonzepte und -maßnahmen sind nur begrenzt übertragbar«, sagt Ulrike Meyer, die an einem großen Forschungsprojekt zum Thema teilnimmt. Der Aufbau der Betriebssysteme sei anders, die Rechenleistung vergleichsweise gering. Und übertrage man einen klassischen Virenscanner auf Smartphones, so sei der Akku schnell leer. Die Forscher entwickeln deshalb gerade neue, sparsame Programme, die Schadsoftware identifizieren und vor Angriffen auf mobile Geräten warnen soll. Im Jahr 2013 rechnet Meyer mit den ersten konkreten Ergebnissen.

Schon heute können Nutzer sich durchaus schützen, indem sie einfache Sicherheitsregeln einhalten. Ausgeliefert sind sie allerdings Angriffen auf die Netze selbst. »Der UMTS-Standard ist zwar sicherer, aber die Provider schieben Gespräche regelmäßig auf die GSM-Frequenzen, um das UMTS-Netz für datenintensivere Anwendungen freizuhalten«, sagt Karsten Nohl. Wo das UMTS-Netz nicht hinreicht, fallen die Nutzer in das GSM-Netz zurück (Fallback). Schon haben Bösewichte gelernt, mithilfe von Störsendern oder besonders signalstarken Antennen gezielt solche Fallbacks ins unsichere Altnetz zu provozieren – der Nutzer merkt davon in der Regel nichts.

Um die Privatsphäre und Datensicherheit zu schützen, müssten die Mobilfunkbetreiber folglich die bestehenden GSM-Netze besser sichern. »Das wäre technisch problemlos möglich«, sagt Karsten Nohl. Auf Anfrage räumen die vier großen deutschen Mobilfunknetzbetreiber ein, das Abhören von GSM-Netzen sei theoretisch möglich – nur um dann zu beschwichtigen: Dies sei mit hohem finanziellem und technischem Aufwand verbunden.

Tatsächlich hat die improvisierte Abhörstation von Karsten Nohl rund 1.000 Euro gekostet, eine Bauanleitung findet sich leicht im Internet. Da kann sich kein Nutzer ganz sicher sein, dass nicht irgendwo jemand mit orangefarbenem Haarschopf und Kapuzenpulli sitzt, der seine Gespräche mithört, SMS mitliest oder für Ausflüge in die Mobilfunksphäre seine Identität kapert. Und lange nicht jeder, der über dasselbe Wissen verfügt wie Luca Melette, setzt es so gewissenhaft ein.

Zur Startseite
 
Leserkommentare
  1. das die öffentlich-unrechtlichen Fernsehanstalten ihren ab dem Jahr 2013 mit krimineller Energie zwangsbeglückten Zuschauern nahe bringen könnten. Zur besten Sendezeit, nach der Tagesschau zum Beispiel.
    Damit könnten sie dann auch ihrem angeblichen "Bildungsauftrag" endlich einmal nachkommen, der beim Abzocken so dahergelogen wird.

    7 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    ...für einen frommen Wunsch! ;-)

    P.S. Als zufriedener Besitzer eines "oldschool" Handys von Samsung (ca. 25 Euro - prepaid) das ich hin und wieder für ein Telefonat, SMS oder als "Ersatzwecker" nutze, fühle ich mich recht sicher.

    • fanta4
    • 25. Dezember 2011 17:06 Uhr

    zur besten Sendezeit (19:30). Da wurde gezeigt, wie ein iphone gekapert wird.

  2. ...für einen frommen Wunsch! ;-)

    P.S. Als zufriedener Besitzer eines "oldschool" Handys von Samsung (ca. 25 Euro - prepaid) das ich hin und wieder für ein Telefonat, SMS oder als "Ersatzwecker" nutze, fühle ich mich recht sicher.

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Das Problem mit den Smartphones hast du zwar nicht, aber dein 25€ Samsung benutzt NUR GSM und KEIN UMTS.
    Und jetzt, da du das weißt, ließ nochmal den Teil mit GSM durch. ;-)

  3. Das Problem mit den Smartphones hast du zwar nicht, aber dein 25€ Samsung benutzt NUR GSM und KEIN UMTS.
    Und jetzt, da du das weißt, ließ nochmal den Teil mit GSM durch. ;-)

    Eine Leserempfehlung
    Antwort auf "Das halte ich..."
    Reaktionen auf diesen Kommentar anzeigen

    Ich wollte nur verdeutlichen, daß mein "unsicheres" Telefon nur ein gelegentlich benutztes Telefon* mit Weckfunktion ist.

    P.S. Und wer ist heutzutage noch so verrückt, und spricht über "wichtige Dinge" am Telefon?! ;-)

  4. 1. Der Titel spricht von Smartphones. Die altbekannten GSM Lücken betreffen aber alle Handys.

    2. Der Titel zeigt ein iPhone. Schadsoftware gibt es aber nur für Android.

    3. Die Zahlen und Warnungen zu Schadsoftware kommen von McAfee, als Hersteller von sicherheitssoftware keine geeignete Quelle.

    4. Wieso sollten Nutzer auf Handys und Tablets Firewalls installieren? Im WLAN arbeitet der Router als Firewall, im Mobilfunknetz der Router des Netzbetreibers. Den Rest muss das Betriebssystem des Mobilgeräts erledigen, nicht der Nutzer.

    5. Vor welchem hier beschrieben Angriff sollte eine Firewall schützen? (Tipp: vor keinem)

    6. Sollen meine Eltern wirklich auf Handys ihrem Handy Norton Antivirus installieren? Das kann nur Symantec gut finden. Auch hier liegt die Verantwortung beim Hersteller und bitte nicht wieder beim Nutzer.

    Der beste Tipp sind regelmäßige Updates. Bei welcher Plattform klappt das momentan am besten?

    4 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    "Der beste Tipp sind regelmäßige Updates. Bei welcher Plattform klappt das momentan am besten?"

    Windows Phone 7 ?

    Updates auf BlackBerrys funktionieren schon seit fast 4 Jahren ohne Probleme :) - davor sicherlich auch, aber über die Zeit kann ich nicht aus persönlicher Beobachtung berichten.

    Zum Thema Firewall: Mein erstes BlackBerry (von vor fast 4 Jahren) hatte schon eine Firewall - "serienmäßig".

    • Torte88
    • 25. Dezember 2011 15:30 Uhr

    es wird gern damit kokettiert, dass android unsicherer ist als ios wegen des offenen codes, aber in wahrheit ist es dadurch viel sicherer.
    lücken werden von der community gefunden und auch schnell geschlossen.
    bei ios sind die lücken geheim und dadurch potenziell viel gefährlicher.

    Mit den Punkten 1 und 3-6 haben Sie ja Recht, aber Punkt 2 ist absoluter Blödsinn. Erstens funktioniert die App-Überprüfung durch Apple nicht immer (es waren schon Jailbreak-Apps im App Store), zweitens heißt ein sicherer App Store noch lange nicht, dass es keine Schadsoftware gibt.
    (Darauf, dass die App-Store-Regeln von Apple aus mehreren Gründen bedenklich sind, möchte ich jetzt gar nicht näher eingehen.)

  5. "Der beste Tipp sind regelmäßige Updates. Bei welcher Plattform klappt das momentan am besten?"

    Windows Phone 7 ?

    2 Leserempfehlungen
  6. Während es ein wichtiges Thema ist, ist die Präsentation - ehm, miserabel.

    Das GSM Problem ist bekannt, aber da kann man nichts gegen tun. Auch alte Geräte oder die einfachsten Geräte sind anfällig.
    Es sind die Mobilfunkbetreiber und eventuell Hersteller in der Pflicht.

    Bleibt die Schadsoftware:
    Da sind die Nutzer daran Schuld dass sie Spielzeug kaufen.
    Würden die Leute ein echtes Smartphone kaufen (BlackBerry) wären Sicherheitslücken ein kleineres Problem.

    Und Updates:
    Updates sind so eine Sache... mein erstes BlackBerry hat in seinem ganzen Leben 3 Updates... mein aktuelles hatte schon 2, allerdings bleiben die Kernkomponenten identisch. Ich vermute mich will eher O2 zumüllen... (jedes Mal Twitter, facebook etc. entfernen....)

    Reaktionen auf diesen Kommentar anzeigen
    • schwob2
    • 25. Dezember 2011 17:04 Uhr

    Gerade für Firmen dürfte die Frage der Zukunftsicherheit ihrer neu zu kaufenden Geräte sehr wichtig sein . Deshalb gibt es bei den Blackberries mindestens 3 Probleme , die in naher Zukunft einzeln und vielleicht auch zusammen einen kritisch Zustand erreichen könnnen :

    - Aushebelung der bei den Firmen-Kunden so geschätzten Verschlüsselung der Daten ( ich glaube , das waren unter anderem Quatar und Indien , kein gerade kleiner Mobil-Markt ) .

    - wie kürzlich bewiesen die fehlende Ausfallsicherheit des Blackberry-Servers , der für 3 Tage (!) alle (!) Blackberries dieser Welt funtionsunfähig gemacht hat , weil der eigentliche Vorteil eines zentralen geschlossenen System ad absurdum geführt wurde . Drei Tage Serverausfall des Rechenzentrums sind eine verdammt lange Zeit , das erhöht nicht das Vertrauen der Firmen-Kunden .

    - die wirtschaftliche Situation des Herstelers "Research in Motion" , der nicht nur vor dem finaniellen Ende steht , sondern auch seine potentielen Kunden durch Chaos bei der Soft - und Hardware der neueren Geräte vergrault , von ihrem Tab mal gar nicht zu reden ! Es ist eigentlich unverständlich , dass eine Firma , die auf jeden Kunden angewesen ist , eine Modell-und Informations-Politik betreibt , bei der niemand ( angeblich auch intern ) weiss , welche Gräte wann mit welchem Betriebssystem und welchen Diensten kommen !

    • schwob2
    • 25. Dezember 2011 17:13 Uhr

    Gerade nach dem absurden einstampfen der WebOS-Pads durch Hewlett-Packard werden Firmen-Kunden sicherlich keine Tabs kaufen , die vielleicht in einem halben Jahr mitsamt "Reaserch in Motion" im Papierkorb landen .

  7. Updates auf BlackBerrys funktionieren schon seit fast 4 Jahren ohne Probleme :) - davor sicherlich auch, aber über die Zeit kann ich nicht aus persönlicher Beobachtung berichten.

    Zum Thema Firewall: Mein erstes BlackBerry (von vor fast 4 Jahren) hatte schon eine Firewall - "serienmäßig".

    • JWGRU
    • 25. Dezember 2011 14:24 Uhr

    Was hilft es, wenn wir auf die Gefahren des mobilen Datenverkehrs hingewiesen werden aber keine Lösungen angeboten bekommen sondern Ratschläge wie: na dann lädt man die app eben nicht runter.
    Bruacht man aber vielleicht.
    Wie wäre es mit Vorschlägen wie, der smartphone Verkäufer oder der app Markt Betreiber muss sicher stellen, dass die installierbaren apps eben nicht Zugriffe verlangen, die für das Funktionieren der apps unnötig sind. Die Netzbetreiber müssen in die Pflicht genommen werden, die Verschlüsselung zu verbessern.
    Im Internet aber pflegt man die Verantwortung immer auf andere zu schieben.
    Natürlich ist auch der Nutzer selbst verantwortlich; aber wieviele Nutzer können denn überschauen, was für sie gefährlich ist und wieviel Nutzer können Einfluss nehmen, dass die Datensicherheit steigt???? Keiner
    Aber smartphone Hersteller, Netzbetreiber und die apps Marktbetreiber können gezielten Einfluss nehmen und gezielt Entwicklungen vorantreiben, die die Sicherheit erhöhen.
    Anfangen sollte man mit Zeritfizierungen der apps.
    Das den smartphones zugrunde liegende OS basiert auf Linux: das z.B. erlaubt, Sicherheitszonen einzubauen, sodass ein App nur einen klar zugewiesenen Bereich in der Datenbasis und im Memory benutzen darf. Das muss strikt angewendet werden.
    Und sensible Daten wie Telephonenummern, Passwörter etc müssen eben höher verschlüsselt werden. Geht alles. Aber leider sind die App Märkte schlampig und fühlen sich nicht zuständig.
    Das muss sich ändern.

Bitte melden Sie sich an, um zu kommentieren

Service