Smartphone, Tablet

Das IT-Security-Team der Universität Wien hat für Studierende und Mitarbeiter*innen einige praktische Tipps zusammengestellt, um den täglichen Umgang mit Smartphone und Tablet sicherer zu gestalten.

 Direkter Link

Formular Gerät verloren

 Hinweis

Vom Rooten bzw. Jailbreaken eines mobilen Gerätes ist grundsätzlich abzuraten. Sie erhalten zwar Vollzugiff auf Ihr Gerät, gleichzeitig werden aber zahlreiche Sicherheitsmaßnahmen außer Kraft gesetzt. Die zusätzlichen Berechtigungen können von Schadsoftware und potenziellen Angreifer*innen genutzt werden.

5 Tipps für Eilige

Erhöhen Sie die Sicherheit Ihres Smartphones oder Tablets mit diesen 5 einfachen Tipps: 

  1. Lassen Sie die Option Installation aus unbekannten Quellen erlauben unbedingt deaktiviert. Android: Die Einstellung Deaktiviert ist meist Standard. iOS: Bei unmodifizierten Apple-Geräten ist dies deaktiviert und die Einstellung für den*die Nutzer*in nicht vorhanden.
  2. Nutzen Sie eine PIN oder ein Passwort, um Ihr Mobilgerät vor fremdem Zugriff zu schützen. Für mehr Komfort können Sie auch das Entsperren via Fingerabdruck aktivieren. Das schützt Sie vor Shoulder Surfern, die Ihnen bei der PIN- oder Passwort-Eingabe, beispielsweise in öffentlichen Verkehrsmitteln, über die Schulter blicken. Bei Apple-Geräten, die über die 3D-Gesichtserkennung FaceID verfügen, empfiehlt sich deren Nutzung.
  3. Aktivieren Sie die Geräte-Ortung, damit Sie ein verlorenes bzw. gestohlenes Gerät wiederfinden oder zumindest löschen können. Meist werden Sie bereits beim Einrichten des Geräts gefragt, ob Sie Wo ist (iOS) oder Mein Android-Gerät finden (Android) aktivieren möchten. Sie sollten die Ortung nicht nur aktivieren, sondern sich auch damit vertraut machen. Im Bedarfsfall müssen Sie wissen, wie der jeweilige Dienst auf einem anderen Gerät ohne gewohntes Smartphone funktioniert. 
  4. Lassen Sie die automatische Aktualisierung der Apps aktiviert.
  5. Lassen Sie die automatische Aktualisierung des Betriebssystems aktiviert und führen Sie die angebotenen Aktualisierungen sofort durch.

Recherchieren Sie online und nutzen Sie Informationen des Geräteherstellers, um die aktuellen Einstellungen auf Ihrem Gerät zu überprüfen bzw. diese zu aktualisieren. 

Apps sicher verwenden

Installation

Installieren Sie Apps nur aus vertrauenswürdigen Quellen. Beschränken Sie sich also auf die in der Regel vorinstallierten App-Stores (Google Play Store für Android, App Store für iOS/iPadOS). Eine Installation von externen Quellen birgt ein erhöhtes Risiko, da die Kontrollmechanismen der App-Stores umgangen werden und der Ursprung der App nicht festgestellt werden kann.

Bevor Sie eine App aus dem App-Store herunterladen, prüfen Sie deren Vertrauenswürdigkeit:

  • Wer bietet die App an? Dies ist vor allem bei Apps von großen Unternehmen und ganz besonders bei Banken wichtig. So sollte etwa für die PayPal-App tatsächlich PayPal als Herausgeber angegeben sein. 
  • Wann wurde die App das erste Mal in den App-Store aufgenommen? Lookalike-Apps versuchen unter Verwendung von Namen oder Namensbestandteilen prominenter Apps Seriosität vorzuspiegeln. Das Datum, an dem eine App erstmals in den  App-Store aufgenommen wurde (Release Date), kann helfen, Lookalike-Apps zu identifizieren. Suchen Sie beispielsweise die App eines seit Jahren bekannten Messaging-Dienstes, kann ein Release Date von vor 2 Tagen darauf hinweisen, dass es sich um ein Fälschung mit unklaren Absichten handelt. Das Release Date finden Sie meist in den Detailinformationen zur App im jeweiligen App-Store.
  • Wie oft wurde die App heruntergeladen? Eine sehr bekannte und weit verbreitete App wurde mit Sicherheit öfter als nur wenige hundert- oder tausendmal heruntergeladen. Wirkt die Zahl verdächtig niedrig, könnte es sich bei um eine Lookalike-App handeln, die unter Umständen bösartige Ziele verfolgt.
  • Was sagen andere Nutzer*innen über diese App? Bewertungen sind ein guter Anhaltspunkt zur Beurteilung der Vertrauenswürdigkeit einer App.
  • Welche Berechtigungen verlangt die App? Behalten Sie die von der App angeforderten Berechtigungen im Auge. Eine Taschenlampen-App benötigt keinen Zugriff auf das Telefonbuch und muss keine SMS versenden können.

Deaktivieren oder entfernen Sie nicht mehr benötigte Apps. Dies minimiert potenzielle Schwachstellen und Gefahren für Ihr mobiles Gerät, macht Speicher frei und erhöht unter Umständen sogar die Leistung.


Aktualisierung

Lassen Sie die automatische Aktualisierung der Apps aktiviert. Regelmäßige Updates sind essentiell für die Sicherheit von mobilen Endgeräten. Das betrifft nicht nur das Betriebssystem, sondern auch Apps aus dem App-Store.

App-Updates schließen potenzielle Sicherheitslücken und aktualisieren auch wichtige systemnahe Komponenten, die in App-Module ausgelagert wurden (beispielsweise Komponenten zur Darstellung von Web- oder Multimedia-Inhalten).


Einstellungen

Lassen Sie bei Android-Geräten die Sicherheitsfunktion Google Play Protect eingeschaltet, um schädliche Apps, egal über welchen Weg diese installiert werden, zu erkennen. Diese Funktion ist bei Android-Geräten unter Einstellungen – Google – Sicherheit verfügbar. Lassen Sie zusätzlich die Option Installation aus externen Quellen deaktiviert.


Security-Apps

Für einige mobile Betriebssysteme werden Security-Apps, beispielsweise Anti-Viren-Apps, angeboten. Entsprechende Schadsoftware ist im mobilen Bereich bis jetzt jedoch nur gering verbreitet. Bei den etablierten mobilen Betriebssystemen werden die Apps in den App-Stores, teilweise (beispielsweise mit Google Play Protect) auch direkt auf den Endgeräten geprüft. Eine Infektion des Geräts ist daher bei alleiniger Nutzung des vorinstallierten App-Stores derzeit unwahrscheinlich.

Die Notwendigkeit von zusätzlichen Schutzmaßnahmen ist dementsprechend umstritten. Viele Security-Apps bieten jedoch neben der Bekämpfung von Schadsoftware andere Funktionen an, etwa Schutzmaßnahmen bei Diebstahl.

Gerät vor Zugriff schützen

Aktivieren Sie die PIN-geschützte Bildschirmsperre Ihres Geräts. Eine einfache PIN wie 1234 ist leicht zu erraten. Der ZID empfiehlt eine PIN mit mindestens 6 Ziffern.

Aktivieren Sie zusätzlich die automatische Bildschirmsperre. Sie sperrt den Bildschirm nach einer gewissen Zeit und verhindert so den Zugriff .

Nutzen Sie den Fingerabdruckscanner. Dies erleichtert das Entsperren Ihres Mobilgeräts und schützt Ihre weiterhin relevante PIN vor neugierigen Blicken. Bei Apple-Geräten, die über die 3D-Gesichtserkennung FaceID verfügen, empfiehlt sich deren Nutzung.

Verschlüsseln Sie Ihr Gerät. Die meisten aktuellen Geräte bieten dazu eine integrierte Möglichkeit an oder sind bereits ab Werk verschlüsselt. Bei Geräten mit Einschub für eine Speicherkarte sollte dieser Speicher separat verschlüsselt werden. Auch diese Funktion bringen die meisten Geräte bereits mit.

Was tun bei Verlust oder Diebstahl?

Die meisten Hersteller bieten die Funktion, alle persönlichen Daten auf dem mobilen Gerät zu löschen, wenn die PIN zu oft falsch eingegeben wurde. Dies soll persönliche Daten schützen, falls das Gerät gestohlen wurde. Die Anzahl der tolerierten Fehlversuche kann in der Regel selbst bestimmt werden.

Bei manchen Betriebssystemen können darüber hinaus zusätzliche Funktionen aktiviert werden (sofern diese nicht bereits standardmäßig aktiviert sind), um den Schaden bei Verlust eines Gerätes zu begrenzen: 

  • So können gestohlene oder verlorene Mobilgeräte aus der Ferne gesperrt, persönliche Daten gelöscht und die Position des Geräts ermittelt werden. Empfehlenswert ist, diese Funktion vorab zu prüfen, um sich damit für den Bedarfsfall vertraut zu machen. Sichern Sie regelmäßig Ihre persönlichen Daten, falls Sie diese Funktion nutzen.
  • Deaktivieren Sie das verlorene Gerät im jeweiligen Portal des Betriebssystemherstellers. Dadurch wird verhindert, dass das Mobilgerät weiterhin mit den Diensten des Herstellers kommunizieren kann.

    • Bei Android-Geräten: Deaktivieren Sie das verlorene Gerät auf der Webseite zur Verwaltung Ihres Google-Kontos im Bereich Geräteaktivitäten. Danach kann das Gerät nicht mehr auf Google Play Store, Gmail, Google Kalender, Google Kontakte usw. zugreifen. Ähnliche Möglichkeiten existieren auch für andere mobile Betriebssysteme.
    • Bei Apple iOS/iPadOS-Geräten finden Sie diese Funktionen in der Wo ist?- (Find My) App bzw. auf der iCloud-Webseite.

  • Ändern Sie das Passwort der primären Serviceanbindung für Ihr mobiles Betriebssystem, etwa den Google-Account für Android oder die Apple-ID für iOS/iPadOS.
  • Ändern Sie auch alle anderen Passwörter für wichtige Nutzer*innenkonten, die Sie auf dem verlorenen Gerät verwendet haben, beispielsweise Amazon, Dropbox, u:account.
  • Informieren Sie Ihren Mobilfunkanbieter über den Verlust und leiten Sie eine Sperre der Rufnummer ein, um Missbrauch und eventuell entstehende Verbindungskosten zu vermeiden.

Neues Gerät auswählen

Die Auswahl eines mobilen Endgeräts kann von vielen Faktoren abhängen: beispielsweise der bevorzugten Medien-Plattform (etwa Google Play bei Android oder iTunes bei iOS), funktionalen Anforderungen oder subjektiven Vorlieben.

Ist die Entscheidung für eine Plattform getroffen, sollten Sie bei der anschließenden Auswahl eines Gerätes auf die bisherige Update-Politik des Herstellers achten:

  • Einige Hersteller kommunizieren die Update-Politik offen. Siehe auch unter Sicherheitsupdates für mobile Betriebssysteme.
  • Fragen Sie Freund*innen bzw. Kolleg*innen nach dem Sicherheitspatch-Level ihres mobilen Geräts. Dieser wird im Menü des Betriebssystems manchmal auch als Stand der Sicherheitsupdates oder Android-Sicherheitspatch-Ebene bezeichnet und gibt das Datum des letzten Sicherheitsupdates an. Dies sollte im Idealfall nicht länger als 3 Monate zurückliegen.
  • In sogenannten Reviews – Bewertungen und Tests von Geräten – wird teilweise bereits auf das Thema Sicherheitsupdates und die Update-Politik der Gerätehersteller eingegangen. 

Wenn Sie das Gerät im Rahmen eines Mobilfunkvertrages beziehen, ist zusätzlich die Update-Politik des Mobilfunkanbieters zu berücksichtigen. 

Gerät sicher außer Betrieb nehmen

  1. Sichern Sie alle Daten Ihres alten Geräts.
  2. Entfernen Sie alle Daten des alten Geräts.
  3. Entfernen Sie alle auf dem Gerät eingerichteten Online-Konten (Apple ID, Google-Account etc.).
  4. Verschlüsseln Sie Ihr mobiles Gerät vollständig – falls nicht ohnehin schon geschehen – und setzen Sie es im Anschluss in den Werkszustand zurück. Dies verhindert, dass nicht überschriebene Datenbereiche von Dritten ausgelesen werden könnten.
  5. Sollte Ihr Mobilgerät keine Verschlüsselung anbieten, löschen Sie den Speicher mit einer entsprechenden App, die durch mehrmalige Schreibvorgänge die Wiederherstellung persönlicher Daten verhindert und so ein sicheres Löschen ermöglicht. Setzen Sie anschließend das Gerät in den Werkszustand zurück.

 

Sicherheitsupdates für mobile Betriebssysteme

Immer wieder kommt es vor, dass ein Betriebssystem eine kritische Sicherheitslücke aufweist. Da bekannte, nicht behobene Sicherheitslücken ein erhebliches Risiko darstellen, sollten Sie stets die Sicherheitsupdates der Hersteller installieren.

Leider werden derartige Updates oft nur zeitlich begrenzt zur Verfügung gestellt. Besonders im Bereich der mobilen Geräte gibt es große Unterschiede zwischen Betriebssystemen, Herstellern und gebrandeten Geräten der Mobilfunkanbieter.

Für Nutzer*innen bedeutet dies, dass nur jene mobilen Endgeräte zu empfehlen sind, die fortlaufend und langanhaltend Sicherheitsupdates angeboten bekommen. Dies ist jedoch häufig nur der Fall, wenn sowohl Hardware als auch Software aus einer Hand stammen.

 


Android

Da viele Hersteller auf Android als Betriebssystem für ihre Geräte zurückgreifen, ist auch die Update-Politik sehr unterschiedlich. Die höchste Aktualisierungsfrequenz weisen die unter dem Namen Pixel vertriebenen Geräte von Google selbst auf.

Im Rahmen des Programms Android Enterprise Recommended gibt Google Herstellern von Android-Geräten unter anderem Vorgaben zur Häufigkeit und Dauer der Sicherheitsaktualisierungen. Die Frequenz der Updates je nach Geräte-Hersteller unterschiedlich sein.

Andere Hersteller, insbesondere Samsung, kommunizieren die Bereitstellung von Sicherheitsupdates über begrenzte Zeiträume. Oft bezieht sich dies jedoch nur auf bestimmte Modelle, Produktlinien oder geografische Regionen.

Andere Hersteller haben keinen regelmäßigen Update-Zyklus öffentlich kommuniziert. Manche Gerätelinien erhalten beispielsweise kaum oder gar keine Updates. Diese Geräte werden dennoch – sofern sie an den Google Play Store angebunden sind – über ein integriertes System namens Google Play Protect bzw. SafetyNet vor Bedrohungen geschützt: Dadurch werden täglich Millionen von Android-Geräten, die darauf installierten Apps sowie von Apps nachgeladene Programmteile auf Gefährdungen überprüft und geeignete Gegenmaßnahmen getroffen. Mehr Informationen zu Google Play Protect und wie Sie überprüfen können, ob Ihr Gerät geschützt ist, erfahren Sie auf Android – Certified.

 


iOS/iPadOS

Apples mobile Endgeräte haben einen wesentlichen Vorteil: Hardware und Betriebssystem stammen vom selben Hersteller. Im Gegensatz zu Android hat Apple daher vollständige Kontrolle über den Update-Prozess.

Apple veröffentlichte bisher regelmäßig Sicherheitsupdates, wenn Sicherheitslücken bekannt wurden. Wie lange eine Geräte-Generation mit solchen Updates versorgt wird, ist allerdings nicht explizit geregelt. Bei Betrachtung älterer Modelle lässt sich festhalten, dass jede Generation meist über einen Zeitraum von mindestens 4 Jahren mit Sicherheitsupdates und Updates für das Betriebssystem versorgt wurde.

Sicherheitseinstellungen für Fortgeschrittene

Hinweise für den sicheren Umgang mit E-Mails und dem Browser gelten gleichermaßen für Desktop- und Laptop-Computer wie für Smartphones und Tablets. Speziell für mobile Geräte beachten Sie zusätzlich:

  • Deaktivieren Sie das automatische Öffnen von Links in Ihrem QR-Code-Reader: Manche QR-Code-Reader öffnen gescannte Links automatisch, ohne diese vorher anzuzeigen. Dies kann von Kriminellen genutzt werden, um Nutzer*innen auf gefälschte Seiten zu locken.
  • Falls vorhanden, nutzen Sie spezialisierte Apps für die Abwicklung Ihrer Transaktionen (beispielsweise Bankgeschäfte), statt diese über den Browser Ihres Mobilgeräts zu tätigen.
  • Fertigen Sie regelmäßig Backups Ihrer Daten an. Viele Hersteller und Apps bieten die automatische Sicherung von Fotos, Kontakten und anderen persönlichen Daten an. Achten Sie darauf, dass diese meist online in einem Cloud-Dienst gespeicherten Daten nicht öffentlich sichtbar sind. Dies können Sie in den jeweiligen Einstellungen überprüfen und gegebenenfalls ändern. Alternativ können Sie Ihre Daten auch manuell auf Ihrem Computer sichern.
  • Deaktivieren Sie das Public-Location-Sharing, also das öffentliche Teilen der eigenen Position über soziale Netzwerke und dergleichen mehr. Solche Informationen könnten beispielsweise dazu missbraucht werden, den idealen Zeitpunkt für einen Einbruch in Ihre Wohnung festzustellen. Zu unterscheiden ist jedoch, ob eine App lediglich im Rahmen ihrer Funktion Ihren Standort verwenden darf, oder ob Sie die Berechtigung besitzt, Ihren Standort mit der Öffentlichkeit zu teilen.