Smartphone, Tablet

Das IT-Security-Team der Universität Wien hat für Studierende und MitarbeiterInnen einige praktische Tipps zusammengestellt, um den täglichen Umgang mit Smartphone und Tablet sicherer zu gestalten.

 Hinweis

Vom Rooten bzw. Jailbreaken eines mobilen Gerätes ist grundsätzlich abzuraten. Sie erhalten zwar Vollzugiff auf Ihr Gerät, gleichzeitig werden aber zahlreiche Sicherheitsmaßnahmen außer Kraft gesetzt. Die zusätzlichen Berechtigungen können von Schadsoftware und potenziellen AngreiferInnen genutzt werden.

5 Tipps für Eilige

Erhöhen Sie die Sicherheit Ihres Smartphones oder Tablets mit diesen 5 einfachen Tipps: 

  1. Lassen Sie die Option Installation aus unbekannten Quellen erlauben unbedingt deaktiviert. Android: Die Einstellung Deaktiviert ist meist Standard. iOS: Bei unmodifizierten Apple-Geräten ist dies deaktiviert und die Einstellung für den/die NutzerIn nicht vorhanden.
  2. Nutzen Sie eine PIN oder ein Passwort, um Ihr Mobilgerät vor fremdem Zugriff zu schützen. Für mehr Komfort können Sie auch das Entsperren via Fingerabdruck aktivieren. Das schützt Sie vor Shoulder Surfern, die Ihnen bei der PIN- oder Passwort-Eingabe, beispielsweise in öffentlichen Verkehrsmitteln, über die Schulter blicken.
  3. Verschlüsseln Sie den Speicher Ihres Mobilgeräts inklusive der eventuell eingesetzten Speicherkarte. Android: Ab Version 6.0 (Marshmallow) ist bei allen Geräten der interne Speicher ab Werk verschlüsselt. Bei Geräten mit Einschub für eine Speicherkarte muss diese separat verschlüsselt werden. iOS: Der Speicher ist mit Data Protection ab iOS 7 standardmäßig verschlüsselt.
  4. Lassen Sie die automatische Aktualisierung der Apps aktiviert.
  5. Lassen Sie die automatische Aktualisierung des Betriebssystems aktiviert und führen Sie die angebotenen Aktualisierungen sofort durch.

Recherchieren Sie online und nutzen Sie Informationen des Geräteherstellers, um die aktuellen Einstellungen auf Ihrem Gerät zu überprüfen bzw. diese zu aktualisieren. 

Apps sicher verwenden

Installation

Installieren Sie Apps nur aus vertrauenswürdigen Quellen. Beschränken Sie sich also auf die in der Regel vorinstallierten App-Stores (Google Play Store für Android, App Store für iOS, Windows Phone Store für Windows). Eine Installation von externen Quellen birgt ein erhöhtes Risiko, da die Kontrollmechanismen der App-Stores umgangen werden und der Ursprung der App nicht festgestellt werden kann.

Bevor Sie eine App aus dem App-Store herunterladen, prüfen Sie deren Vertrauenswürdigkeit:

  • Wer bietet die App an? Dies ist vor allem bei Apps von großen Unternehmen und ganz besonders bei Banken wichtig. So sollte etwa für die PayPal-App tatsächlich PayPal als Herausgeber angegeben sein. 
  • Wann wurde die App das erste Mal in den App-Store aufgenommen? Lookalike-Apps versuchen unter Verwendung von Namen oder Namensbestandteilen prominenter Apps Seriosität vorzuspiegeln. Das Datum, an dem eine App erstmals in den  App-Store aufgenommen wurde (Release Date), kann helfen, Lookalike-Apps zu identifizieren. Suchen Sie beispielsweise die App eines seit Jahren bekannten Messaging-Dienstes, kann ein Release Date von vor 2 Tagen darauf hinweisen, dass es sich um ein Fälschung mit unklaren Absichten handelt. Das Release Date finden Sie meist in den Detailinformationen zur App im jeweiligen App-Store.
  • Wie oft wurde die App heruntergeladen? Eine sehr bekannte und weit verbreitete App wurde mit Sicherheit öfter als nur wenige hundert- oder tausendmal heruntergeladen. Wirkt die Zahl verdächtig niedrig, könnte es sich bei um eine Lookalike-App handeln, die unter Umständen bösartige Ziele verfolgt.
  • Was sagen andere NutzerInnen über diese App? Bewertungen sind ein guter Anhaltspunkt zur Beurteilung der Vertrauenswürdigkeit einer App.
  • Welche Berechtigungen verlangt die App? Behalten Sie die von der App angeforderten Berechtigungen im Auge. Eine Taschenlampen-App benötigt keinen Zugriff auf das Telefonbuch und muss keine SMS versenden können.

Deaktivieren oder entfernen Sie nicht mehr benötigte Apps. Dies minimiert potenzielle Schwachstellen und Gefahren für Ihr mobiles Gerät, macht Speicher frei und erhöht unter Umständen sogar die Leistung.


Aktualisierung

Lassen Sie die automatische Aktualisierung der Apps aktiviert. Regelmäßige Updates sind essentiell für die Sicherheit von mobilen Endgeräten. Das betrifft nicht nur das Betriebssystem, sondern auch Apps aus dem App-Store.

App-Updates schließen potenzielle Sicherheitslücken und aktualisieren auch wichtige systemnahe Komponenten, die in App-Module ausgelagert wurden (beispielsweise Komponenten zur Darstellung von Web- oder Multimedia-Inhalten).


Einstellungen

Lassen Sie bei Android-Geräten die Sicherheitsfunktion Google Play Protect eingeschaltet, um schädliche Apps, egal über welchen Weg diese installiert werden, zu erkennen. Diese Funktion ist bei Android-Geräten unter Einstellungen – Google – Sicherheit verfügbar. Lassen Sie zusätzlich die Option Installation aus externen Quellen deaktiviert.


Security-Apps

Für einige mobile Betriebssysteme werden Security-Apps, beispielsweise Anti-Viren-Apps, angeboten. Entsprechende Schadsoftware ist im mobilen Bereich bis jetzt jedoch nur gering verbreitet. Bei den etablierten mobilen Betriebssystemen werden die Apps in den App-Stores, teilweise (beispielsweise mit Google Play Protect) auch direkt auf den Endgeräten geprüft. Eine Infektion des Geräts ist daher bei alleiniger Nutzung des vorinstallierten App-Stores derzeit unwahrscheinlich.

Die Notwendigkeit von zusätzlichen Schutzmaßnahmen ist dementsprechend umstritten. Viele Security-Apps bieten jedoch neben der Bekämpfung von Schadsoftware andere Funktionen an, etwa Schutzmaßnahmen bei Diebstahl.

Gerät vor Zugriff schützen

Aktivieren Sie die PIN-geschützte Bildschirmsperre Ihres Geräts. Eine einfache PIN wie 1234 ist leicht zu erraten. Der ZID empfiehlt eine PIN mit mindestens 6 Ziffern.

Aktivieren Sie zusätzlich die automatische Bildschirmsperre. Sie sperrt den Bildschirm nach einer gewissen Zeit und verhindert so den Zugriff .

Für höheren Komfort können Sie die Smart-Lock-Funktion aktivieren. Sie ermöglicht das automatische Entsperren des Geräts an selbst festgelegten sicheren Plätzen, bei Verbindung mit vorab bestimmten Geräten oder bei Erkennung des gespeicherten Gesichtes des Besitzers/der Besitzerin. Dieser erhöhte Komfort bei der Bedienung reduziert jedoch die Sicherheit. 

Nutzen Sie den Fingerabdruckscanner. Dies erleichtert das Entsperren Ihres Mobilgeräts und schützt Ihre weiterhin relevante PIN vor neugierigen Blicken.

Verschlüsseln Sie Ihr Gerät. Die meisten aktuellen Geräte bieten dazu eine integrierte Möglichkeit an oder sind bereits ab Werk verschlüsselt. Bei Geräten mit Einschub für eine Speicherkarte sollte dieser Speicher separat verschlüsselt werden. Auch diese Funktion bringen die meisten Geräte bereits mit.

Vermeiden Sie grundsätzlich die Speicherung sensibler Daten (beispielsweise Passwörter, Bankdaten) auf Ihrem Mobilgerät, wenn Sie dies nicht zwingend benötigen.

Was tun bei Verlust oder Diebstahl?

Die meisten Hersteller bieten die Funktion, alle persönlichen Daten auf dem mobilen Gerät zu löschen, wenn die PIN zu oft falsch eingegeben wurde. Dies soll persönliche Daten schützen, falls das Gerät gestohlen wurde. Die Anzahl der tolerierten Fehlversuche kann in der Regel selbst bestimmt werden.

Bei manchen Betriebssystemen können darüber hinaus zusätzliche Funktionen aktiviert werden (sofern diese nicht bereits standardmäßig aktiviert sind), um den Schaden bei Verlust eines Gerätes zu begrenzen: 

  • So können gestohlene oder verlorene Mobilgeräte aus der Ferne gesperrt, persönliche Daten gelöscht und die Position des Geräts ermittelt werden. Empfehlenswert ist, diese Funktion vorab zu prüfen, um sich damit für den Bedarfsfall vertraut zu machen. Sichern Sie regelmäßig Ihre persönlichen Daten, falls Sie diese Funktion nutzen.
  • Deaktivieren Sie das verlorene Gerät im jeweiligen Portal des Betriebssystemherstellers. Dadurch wird verhindert, dass das Mobilgerät weiterhin mit den Diensten des Herstellers kommunizieren kann. Beispiel Android: Deaktivieren Sie das verlorene Gerät auf der Webseite zur Verwaltung Ihres Google-Kontos im Bereich Geräteaktivitäten. Danach kann das Gerät nicht mehr auf Google Play Store, Gmail, Google Kalender, Google Kontakte usw. zugreifen. Ähnliche Möglichkeiten existieren auch für andere mobile Betriebssysteme.
  • Ändern Sie das Passwort der primären Service-Anbindung für Ihr mobiles Betriebssystem, etwa den Google-Account für Android, die Apple-ID für iOS oder den Microsoft-Account für Windows Mobile.
  • Ändern Sie auch alle anderen Passwörter für wichtige NutzerInnenkonten, die Sie auf dem verlorenen Gerät verwendet haben, beispielsweise Amazon, Dropbox, u:account.
  • Informieren Sie Ihren Mobilfunkanbieter über den Verlust und leiten Sie eine Sperre der Rufnummer ein, um Missbrauch und eventuell entstehende Verbindungskosten zu vermeiden.

Neues Gerät auswählen

Die Auswahl eines mobilen Endgeräts kann von vielen Faktoren abhängen: beispielsweise der bevorzugten Medien-Plattform (etwa Google Play bei Android oder iTunes bei iOS), funktionalen Anforderungen oder subjektiven Vorlieben.

Ist die Entscheidung für eine Plattform getroffen, sollten Sie bei der anschließenden Auswahl eines Gerätes auf die bisherige Update-Politik des Herstellers achten:

  • Einige Hersteller kommunizieren die Update-Politik offen. Siehe auch unter Sicherheitsupdates für mobile Betriebssysteme.
  • Fragen Sie FreundInnen bzw. KollegInnen nach dem Sicherheitspatch-Level ihres mobilen Geräts. Dieser wird im Menü des Betriebssystems manchmal auch als Stand der Sicherheitsupdates oder Android-Sicherheitspatch-Ebene bezeichnet und gibt das Datum des letzten Sicherheitsupdates an. Dies sollte im Idealfall nicht länger als 3 Monate zurückliegen.
  • In sogenannten Reviews – Bewertungen und Tests von Geräten – wird teilweise bereits auf das Thema Sicherheitsupdates und die Update-Politik der Gerätehersteller eingegangen. 

Wenn Sie das Gerät im Rahmen eines Mobilfunkvertrages beziehen, ist zusätzlich die Update-Politik des Mobilfunkanbieters zu berücksichtigen. 

Gerät sicher außer Betrieb nehmen

  1. Sichern Sie alle Daten Ihres alten Geräts.
  2. Entfernen Sie alle Daten des alten Geräts.
  3. Verschlüsseln Sie Ihr mobiles Gerät vollständig – falls nicht ohnehin schon geschehen – und setzen Sie es im Anschluss in den Werkszustand zurück. Dies verhindert, dass nicht überschriebene Datenbereiche von Dritten ausgelesen werden könnten.
  4. Sollte Ihr Mobilgerät keine Verschlüsselung anbieten, löschen Sie den Speicher mit einer entsprechenden App, die durch mehrmalige Schreibvorgänge die Wiederherstellung persönlicher Daten verhindert und so ein sicheres Löschen ermöglicht. Setzen Sie anschließend das Gerät in den Werkszustand zurück.

Sicherheitsupdates für mobile Betriebssysteme

Immer wieder kommt es vor, dass ein Betriebssystem eine kritische Sicherheitslücke aufweist. Da bekannte, nicht behobene Sicherheitslücken ein erhebliches Risiko darstellen, sollten Sie stets die Sicherheitsupdates der Hersteller installieren.

Leider werden derartige Updates oft nur zeitlich begrenzt zur Verfügung gestellt. Besonders im Bereich der mobilen Geräte gibt es große Unterschiede zwischen Betriebssystemen, Herstellern und gebrandeten Geräten der Mobilfunkanbieter.

Für NutzerInnen bedeutet dies, dass nur jene mobilen Endgeräte zu empfehlen sind, die fortlaufend und langanhaltend Sicherheitsupdates angeboten bekommen. Dies ist jedoch häufig nur der Fall, wenn sowohl Hardware als auch Software aus einer Hand stammen.

 


Android

Da viele Hersteller auf Android als Betriebssystem für ihre Geräte zurückgreifen, ist auch die Update-Politik sehr unterschiedlich. Die höchste Aktualisierungsfrequenz weisen die unter dem Namen Pixel vertriebenen Geräte von Google selbst auf: Google verspricht monatliche Sicherheitsupdates über einen Zeitraum von 3 Jahren nach Verkaufsstart bzw. mindestens 18 Monaten nach Verkaufsende.

Im Rahmen der Android-One-Initiative bietet Google in Zusammenarbeit mit einigen Herstellern Geräte an, die über ein „pures” Android-System verfügen. Geräte mit dem Android-One-Siegel sollen regelmäßig für mehrere Jahre Sicherheitupdates erhalten. Tatsächlich ist die Frequenz der Updates je nach Hersteller sehr unterschiedlich.

Im Rahmen des Programms Android Enterprise Recommended gibt Goolge Herstellern von Android-Geräten unter anderem Vorgaben zur Häufigkeit und Dauer der Sicherheitsaktualisierungen. Diese sollen spätestens 90 Tage nach Veröffentlichung durch Google vom Gerätehersteller zu Verfügung gestellt werden. Wie auch bei der Android-One-Initiative kann die Frequenz der Updates je nach Geräte-Hersteller unterschiedlich sein.

Auch andere Hersteller, insbesondere Nokia, Samsung und BlackBerry, kommunizieren die Bereitstellung von Sicherheitsupdates über begrenzte Zeiträume. Oft bezieht sich dies jedoch nur auf bestimmte Modelle, Produktlinien oder geografische Regionen. LG kommuniziert für bestimmte Smartphone-Modelle ebenfalls monatliche Updates. In Europa werden diese, laut Rückmeldungen der NutzerInnen, aber nur sehr unregelmäßig ausgeliefert.

Andere Hersteller haben keinen regelmäßigen Update-Zyklus öffentlich kommuniziert. Manche Gerätelinien erhalten beispielsweise kaum oder gar keine Updates. Diese Geräte werden dennoch – sofern sie an den Google Play Store angebunden sind – über ein integriertes System namens Google Play Protect bzw. SafetyNet vor Bedrohungen geschützt: Dadurch werden täglich Millionen von Android-Geräten, die darauf installierten Apps sowie von Apps nachgeladene Programmteile auf Gefährdungen überprüft und geeignete Gegenmaßnahmen getroffen. Mehr Informationen zu Google Play Protect und wie Sie überprüfen können, ob Ihr Gerät geschützt ist, erfahren Sie auf Android – Certified.

 


iOS

Apples mobile Endgeräte haben einen wesentlichen Vorteil: Hardware und Betriebssystem stammen vom selben Hersteller. Im Gegensatz zu Android hat Apple daher vollständige Kontrolle über den Update-Prozess.

Apple veröffentlichte bisher regelmäßig Sicherheitsupdates, wenn Sicherheitslücken bekannt wurden. Wie lange eine iPhone-Generation mit solchen Updates versorgt wird, ist allerdings nicht explizit geregelt. Bei Betrachtung älterer iPhone-Modelle lässt sich festhalten, dass jede Generation über einen Zeitraum von mindestens 4 Jahren mit Sicherheitsupdates und Updates für das Betriebssystem versorgt wurde.

 


Windows 10 Mobile/Windows Phone

Windows 10 Mobile wird nicht mehr weiterentwickelt. Sicherheitsupdates sollen jedoch bis zum offiziellen Ablauf des Lebenszyklusses der jeweiligen Version (beispielsweise 1709 – Fall Creators Update) bereitgestellt werden.

Windows Phone 7.x sowie 8.x werden nicht mehr gewartet und erhalten keine Sicherheitsupdates mehr.

Microsoft garantiert bei seinen mobilen Betriebssystemen über einen Zeitraum von 3 Jahren die Auslieferung von Updates. Seit Windows 10 Mobile werden die Endgeräte zudem direkt mit diesen Updates versorgt, also ohne Umweg über die verschiedenen Hersteller. Lediglich Updates für Gerätetreiber werden gesondert vom Hersteller ausgeliefert, wenn dieser nicht Microsoft selbst ist.

Sicherheitseinstellungen für Fortgeschrittene

Hinweise für den sicheren Umgang mit E-Mails und dem Browser gelten gleichermaßen für Desktop- und Laptop-Computer wie für Smartphones und Tablets. Speziell für mobile Geräte beachten Sie zusätzlich:

  • Deaktivieren Sie das automatische Öffnen von Links in Ihrem QR-Code-Reader: Manche QR-Code-Reader öffnen gescannte Links automatisch, ohne diese vorher anzuzeigen. Dies kann von Kriminellen genutzt werden, um NutzerInnen auf gefälschte Seiten zu locken.
  • Übermitteln Sie persönliche und wichtige Daten nicht über offene WLANs, wie diese mittlerweile oft in Geschäften oder Restaurants angeboten werden.
  • Falls vorhanden, nutzen Sie spezialisierte Apps für die Abwicklung Ihrer Transaktionen (beispielsweise Bankgeschäfte), statt diese über den Browser Ihres Mobilgeräts zu tätigen.
  • Fertigen Sie regelmäßig Backups Ihrer Daten an. Viele Hersteller und Apps bieten die automatische Sicherung von Fotos, Kontakten und anderen persönlichen Daten an. Achten Sie darauf, dass diese meist online in einem Cloud-Dienst gespeicherten Daten nicht öffentlich sichtbar sind. Dies können Sie in den jeweiligen Einstellungen überprüfen und gegebenenfalls ändern. Alternativ können Sie Ihre Daten auch manuell auf Ihrem Computer sichern.
  • Deaktivieren Sie WLAN, Bluetooth und NFC, sobald Sie diese Verbindungen nicht länger benötigen. Dadurch schließen Sie potenzielle Angriffskanäle und senken zugleich den Stromverbrauch.
  • Wenn Sie Bluetooth für die andauernde Verbindung eines Headsets oder einer Smartwatch benötigen, deaktivieren Sie die Sichtbarkeit Ihres mobilen Geräts in den Bluetooth-Einstellungen.
  • Deaktivieren Sie das Public-Location-Sharing, also das Teilen der eigenen Position über soziale Netzwerke und dergleichen mehr. Solche Informationen könnten beispielsweise dazu missbraucht werden, den idealen Zeitpunkt für einen Einbruch in Ihre Wohnung festzustellen. Zu unterscheiden ist jedoch, ob eine App lediglich im Rahmen ihrer Funktion Ihren Standort verwenden darf, oder ob Sie die Berechtigung besitzt, Ihren Standort mit der Öffentlichkeit zu teilen. Ersteres ist unter den App-Berechtigungen anzupassen und bei vertrauenswürdigen Apps grundsätzlich unbedenklich. Letzteres ist in Bezug auf die eigene Privatsphäre bedenklich und sollte daher in den Einstellungen der jeweiligen App deaktiviert werden.