Handy Sicherheit
4. November 2013
Bekannt ist die Gefahr schon lange: Wenn es um den Schutz der Privatsphäre geht, stellen gerade Smartphones ein erhebliches Sicherheitsrisiko dar. Doch es scheint erst ein NSA-Skandal und eine abgehörte Bundeskanzlerin nötig gewesen zu sein, um die oft verdrängte Sorge alltäglich und real werden zu lassen: Wie sicher sind die persönlichen Daten, wenn ein Smartphone benutzt wird?
Jürgen Schmidt, Chefredakteur des Online-Portals heise Security, zieht eine ernüchternde Bilanz: "Es ist seit vielen Jahren bekannt, dass die komplette Infrastruktur für unsere Mobilfunknetze aus Sicherheitssicht eigentlich kaputt ist. Und das wird auch fleißig genutzt, unter anderem von Polizei und Geheimdiensten - da macht niemand einen Hehl draus", sagte Schmidt der Deutschen Welle.
Wer also jetzt auf Verschlüsselung der eigenen Daten setzt, muss gleich zu Anfang eine logistische Hürde meistern: "Um Verschlüsselung einzusetzen, muss das Gegenüber dies auch tun. Es reicht nicht, wenn man nur selbst verschlüsselt. Dann sendet man nur irgendwelchen Datenmüll ins Nirwana, den niemand entziffern kann", so Schmidt.
Doch spätestens seit dem Spähskandal, so scheint es, ist bei vielen die Bereitschaft da, für die eigene Datensicherheit auch etwas zu tun. Und der Markt reagiert: Sicherheits-Apps für Handys haben Hochkonjunktur. Ein Angebotsdschungel, den man am besten durchdringt, indem man auf bestimmte Programm-Features achtet, so Jürgen Fricke, IT-Berater und Kommunikationsexperte.
Per App zur Sicherheit?
An erster Stelle stehe die Anforderung an die Handy-App, nach dem Open-Source-Prinzip programmiert zu sein. Das heißt, bei Interesse muss der sogenannte Quellcode einsehbar sein. Echte Sicherheit entstehe vor allem dann, wenn offengelegt werde, wie diese hergestellt wird. "Das ist für den Laien vielleicht ein bisschen paradox, aber, wenn man dahinter schaut, genau das, was erforderlich ist."
Frei verfügbare Programme, die dem Open-Source-Prinzip treu bleiben und Lauschangriffe trotzdem zumindest erheblich erschweren, gibt es viele. Für das Abschotten des eigenen Handys empfiehlt Fricke Programme wie "Text Secure" zum Verschlüsseln von SMS und MMS und "Chat Secure" anstelle von Nachrichtenaustauschprogrammen wie "WhatsApp".
Während frei verfügbare Programme für Echtzeit-Sprachverschlüsselung auf dem Handy technisch oft noch in den Kinderschuhen stecken, gibt es laut dem IT-Experten für den E-Mail-Verkehr mit den Programmen "K9" und "APG" eine gute Methode, ungebetene Mitleser außen vor zu lassen.
Ans Umfeld denken
Bei allen Vorkehrungen kommt es jedoch immer auch darauf an, das Telefon virenfrei zu halten - genauso, wie einen normalen Computer auch. In der Frage, welcher der drei mobilen Kommunikationswege am sichersten ist, also Anruf, SMS, oder Webdienst, rät Fricke zu Letzterem - verschlüsselt, versteht sich.
Dabei gilt es dann auch, etwaige Sicherheitslücken im Umfeld zu beachten - beispielsweise wenn es um die Synchronisierung des Handy-Kalenders geht. Auch hier müsse eine entsprechende Verschlüsselung wie beispielsweise beim E-Mail-Dienst "Posteo" gewährleistet sein, so der IT-Experte.
Kriminelle sagen "danke"
Dabei sind es nicht nur die Geheimdienste der Welt, um die sich die Bürger in ihrer täglichen Kommunikation sorgen sollten, meint Fricke. Oftmals bedrohlicher seien Kriminelle. "Beispielsweise bei Internetbrowsern: da wird geschaut, wo noch kleine Programmfehler existieren, die manchmal - merkwürdigerweise - jahrelang nicht behoben werden."
Verantwortlich dafür - so Frickes These - könnten ausgerechnet Sicherheitsbehörden sein, die mit IT-Anbietern übereinkämen, gewisse Hintertürchen offen zu lassen. "All das wissen die Kriminellen und sagen sich, klasse, solange sie diese Lücke aus strategischen Gründen nicht schließen, kann ich damit auch agieren - so läuft dieser hässliche Markt."
Eine Theorie, die Jürgen Schmidt von Heise Security mit seiner Einschätzung untermauert: "Von der Technik her wäre es möglich, auf sichere Standards umzurüsten, aber das Problem ist, dann kämen da auch Polizei, Verfassungsschutz und Geheimdienste nicht mehr rein, wenn es gewünscht ist, und das will offensichtlich niemand."
Umso wichtiger sei es also, darin sind sich die Experten einig, den Lauschern - egal aus welcher Ecke - das Handwerk zumindest zu erschweren. Kriminelle könnten damit ganz außen vor bleiben, und für staatliche Organisationen würde die Arbeit zumindest teurer.
Data-Mining - die legale Art des Schnüffelns
Am Ende gehe es immer auch darum, dass sich jeder Nutzer selbst ehrlich die Frage stellen muss, wie viel seiner Privatsphäre er ohnehin gewillt ist aufzugeben, so Fricke. "Meine E-Mail-Adresse bei Googlemail ist ja mehr als nur eine E-Mail-Adresse. Damit sage ich ja gleichzeitig: In meine Mails darf zur Marketingauswertung permanent hineingeschaut werden."
Egal ob Googlemail, WhatsApp oder Facebook - viele Programme verfahren nach dem Prinzip, sich das Mitlesen bereits in den Geschäftsbedingungen genehmigen zu lassen.
Bei Apps für Android-Telefone findet dies beispielsweise in Form eines Hinweises vor der Programm-Installation statt, "und da kann ich ja dann überlegen: Moment, diese App will mir doch nur Kochrezepte oder eine Eieruhr vermitteln - was hat die eigentlich in meinem Adressverzeichnis zu suchen", so Fricke.
Nutzern, die um ihre Privatsphäre besorgt sind, rät der IT-Experte, diese Geschäftsbedingungen nicht hastig zu überfliegen und - am besten - zu "lauschgiftfreien" Open-Source-Programmen zu greifen: Dann mache man sich, sagt Fricke, wenigstens vor keinem Konzern mehr nackig.