06.12.2013

“Vertrauliche Daten gehören nicht aufs Handy” – Georg Wicherski im Interview

Der IT-Sicherheitsexperte Georg Wicherski spricht im Interview mit torial, darüber, wie Journalisten mit Smartphones umgehen sollten.

Wicherski ist Senior Security Researcher bei der US-IT-Sicherheitsfirma CrowdStrike, die sich mit der Abwehr sogenannter Targeted Attacks beschäftigt. Dabei handelt es sich um Datenschädlinge und andere Angriffsformen, mit denen gezielt versucht wird, Firmen oder Einzelpersonen auszuspionieren. Zuvor arbeitet Wicherski unter anderem bei den Anti-Viren-Firmen Kaspersky und McAfee.

wicherski

torial: Herr Wicherski, im Zusammenhang mit der NSA-Affäre ist auch die Sicherheit von Smartphones wieder ins Gerede gekommen. Journalisten gehören zu den Intensivnutzern solcher Geräte. Sollten sie Ihr Handy bei wichtigen Recherchen lieber einmal zuhause lassen?

Georg Wicherski: Es gibt definitiv Firmen, die sich auf das Abhören von Mobiltelefonen als Dienstleister für Nachrichtendienste spezialisiert haben. Je nach verwendeter Telefonie, kann dies auch per Trojaner, der das Telefon in eine tragbare Wanze verwandelt, geschehen. Wird dieser Trojaner über eine Schwachstelle im Browser installiert, bekommt der Anwender davon nicht einmal etwas mit. Letztendlich kann diese Technologie natürlich auch von anderen zur Wirtschaftsspionage oder Ähnlichem verwendet werden. Eine gesunde Skepsis gegenüber dem eigenem Smartphone ist also eine gute Idee.

torial: Wieviel der Paranoia, die so mancher Technikfeind in den letzten Jahren gerne ins Feld führte, hat sich mittlerweile als wahr erwiesen?

Wicherski: Dass es die technischen Möglichkeiten gibt, konnte jedem klar sein, der sich mit der Materie auseinandergesetzt hat. Jetzt gibt es Belege, dass diese auch (wie zu erwarten) angewandt werden. Es werden gezielt Sicherheitslücken ausgenutzt, um Fernzugriff auf jegliche Devices – auch Smartphones – zu erlangen. Davor schützen kann man sich kaum, allerdings sind auch die wenigsten Nutzer betroffen.

torial: Wie gehen Sie selbst mit Ihrem Gerät um?

Wicherski: Ich habe auf meinem Android Smartphone einen eigenen Kernel installiert. Des Weiteren greife ich nur auf meine privaten, nicht-vertraulichen E-Mails und Accounts zu. Vertrauliche Daten haben auf einem Smartphone, Tablet etc. meiner Einschätzung nach nichts verloren.

torial: Was ist sicherer, Geräte mit iOS, Android, Windows Phone oder mit BlackBerry? Lässt sich das so pauschal sagen?

Wicherski: Schwachstellen existieren in allen Geräten. Am sichersten fährt man vermutlich zur Zeit mit einem Windows Phone, da diese Geräte nicht sonderlich verbreitet sind und ein gezielter Angriff dadurch spezieller und somit teurer ist. Aber auch auf einem Windows Phone würde ich keine vertraulichen Daten speichern.

torial: Wie wichtig sind Software-Updates für Smartphones? Am PC wissen viele Nutzer ja mittlerweile, dass sie ständig darauf achten müssen.

Wicherski: Ein Smartphone ist ja nichts anderes als ein kleiner PC mit dauernder Mobilnetzverbindung. Software-Updates sind also mindestens genauso wichtig, wenn nicht aufgrund der Exponiertheit noch wichtiger.

torial: Ist ein Virenschutz auf Smartphones sinnvoll? Gibt es andere nützliche Sicherheitssoftware?

Wicherski: Smartphone-Betriebssysteme gewähren legitimer Software in der Regel nicht genügend Rechte, um Malware tatsächlich erkennen zu können. Nutzt ein Trojaner beispielsweise eine Schwachstelle im Betriebssystem aus, um seine Rechte zu erweitern, wird er für den Virenscanner gänzlich unfassbar. Die meisten Virenscanner für Smartphones sind daher eher nutzlos.

torial: Android-Handys scheinen sich recht schwer auf dem neuesten Stand halten zu lassen. Es dauert teilweise lange, bis die jeweils neueste Software verfügbar ist, die Sicherheitslücken stopft. Warum ist das so?

Wicherski: Andere Smartphone-Ökosysteme sind da nicht zwingend besser. Auch iOS hat schon bekannte Schwachstellen erlebt, die länger als ein halbes Jahr nicht gepatcht wurden – weil in dem Zeitraum aber gar keine Updates verteilt wurden, fällt das aber nicht weiter auf. Vor dem Hersteller unbekannten Schwachstellen, sogenannten “0days”, schützt das aber ohnehin nicht.

torial: Verhalten sich die Hersteller damit fahrlässig?

Wicherski: In der Tat ist bei den Smartphone-Herstellern noch nicht ausreichend Bewusstsein für Sicherheit vorhanden. Das ist aber auch insofern verständlich, als dass es dem Kunden oft mehr um die Hardware als die Software auf dem Smartphone geht. Die meisten Smartphone-Nutzer interessiert die Sicherheit ohnehin nur am Rande.

torial: Haben Sie ein paar grundlegende Tipps, wie man als Journalist sinnvoll mit einem Smartphone umgeht?

Wicherski: Am besten einfach kein Smartphone zu vertraulichen Gesprächen mitnehmen und nicht auf vertrauliche Daten zugreifen. Ein altes Nokia für die Erreichbarkeit und ein klassisches Diktiergerät sind eine gute Alternative.

torial: Es gibt immer wieder einmal Gerüchte, dass sich Geräte auch dann zum Lauschen verwenden lassen, wenn sie eigentlich ausgeschaltet sind. Ist so etwas tatsächlich denkbar?

Wicherski: Die Frage ist eher, was ein durchschnittlicher Nutzer als ausgeschaltet betrachtet. Reicht es, dass das Display schwarz ist? Bei meinem eigenen Smartphone lässt sich die Batterie nicht ohne weiteres entnehmen, wie stelle ich also sicher, dass das Gerät wirklich aus ist, und nicht nur das Display?

torial: Welche Fähigkeiten hat ein Smartphone-Trojaner?

Wicherski: Das hängt von den Interessen des Angreifers ab. In Russland sind viele Trojaner verbreitet, die SMS an Premium-Nummern versenden – vergleichbar mit den altbekannten Dialern, die es auch in den 90ern in Deutschland auf dem PC gab. Davon kann auch jedermann betroffen sein. Andere Trojaner, die gezielt zur Spionage eingesetzt werden, übertragen in Echtzeit die Position anhand von GPS und Wireless-Netzwerken in der Umgebung. Das Smartphone kann jederzeit als Wanze eingeschaltet werden, um den Raum abzuhören, die Kamera natürlich auch.

torial: Wie wahrscheinlich ist es, das man sich so etwas einfängt?

Wicherski: Die Frage, die man sich stellen sollte, ist: Wie interessant ist man für eine Nachrichtendienst oder ein Unternehmen mit genügend Budget für die Wirtschaftsspionage? Dies bestimmt deren Zielauswahl und damit letztendlich die Wahrscheinlichkeit, infiziert zu werden. Schützen lässt sich dagegen nur schwer. Andere, sogenannte “Commodity Malware” (wie beispielsweise die erwähnten Dialer) fängt man sich auf dem Smartphone meistens nur durch falsches Verhalten ein, z.B. Installieren von vermeintlich kostenloser Apps aus nicht vertrauenswürdigen Quellen.

torial: Security-Maßnahmen wie das Verschlüsseln von E-Mails gelten vielen Nutzern als Qual. Ist es möglich, die vielen Vorteile eines Smartphones mit sicherheitsbewusstem Verhalten zu kombinieren?

Wicherski: Ich persönlich halte meine Schlüssel zum Entschlüsseln von meinem Smartphone fern, da sie mir dort zu leicht abhanden kommen können – und dann ist die ganze Verschlüsselung nutzlos. Trotzdem rate ich auch zur Verschlüsselung, aber dann mit einem dedizierten Computer.

2 Kommentare zu diesem Artikel


  1. “torial: Es gibt immer wieder einmal Gerüchte, dass sich Geräte auch dann zum Lauschen verwenden lassen, wenn sie eigentlich ausgeschaltet sind. Ist so etwas tatsächlich denkbar?

    Wicherski: Die Frage ist eher, was ein durchschnittlicher Nutzer als ausgeschaltet betrachtet. Reicht es, dass das Display schwarz ist? Bei meinem eigenen Smartphone lässt sich die Batterie nicht ohne weiteres entnehmen, wie stelle ich also sicher, dass das Gerät wirklich aus ist, und nicht nur das Display?”

    Ist das eine wirkliche Antwort die einem weiterhilft? Meines Erachtens nein! Schade. Hier hätte man nachhaken müssen.

  2. Ulf J. Froitzheim

    Das hängt vom Typ des Geräts ab. Faustregel: Wenn man die Batterie rausnehmen kann, hat der Angreifer höchstens den letzten Aufenthaltsort vor dem Rausnehmen. Woran die Angreifer aber auch bei Geräten mit fest eingebautem Akku nie etwas ändern können, ist der Stromverbrauch während des Lauschens. Deshalb behaupte ich: Auf einem eingeschalteten Smartphone bekomme ich ja vielleicht noch mit, wenn was Ungewöhnliches passiert, auf einem ausgeschalteten auf jeden Fall erst nachher (warum kein Saft mehr drin?). Ich hätte gefragt: Wie funktioniert so eine Aktivierung von außen? Wenn ich ausschalte, am besten schon eine Funkzelle vor dem Ziel, bin ich nicht mehr beim Provider eingebucht. Wie ortet mich der Angreifer denn dann?
    Fernaktivierung einer Kamera ist übrigens echt Banane: Liegt das Handy auf dem Tisch, sieht der Spion die Deckenlampe und vielleicht den Griff der Kaffeetasse. ;-)
    Klar dürfte sein: Wenn es überhaupt unter Praxisbedigungen funktioniert, dann weiß der Angreifer auch, wann es sich lohnt, sich die Arbeit zu machen – weil er den Terminkalender aus der Cloud abgegriffen hat. In diesem Zusammenhang: Skandalös, dass Apple die Synchronisierung nur noch via iCloud zulässt. Die vergraulen im Moment sehr, sehr viele treue Kunden, weil sie sich nur auf dem angelsächsischen Markt für deren Meinungen interessieren, und dort kräht außer Bruce Schneier ja kein Hahn danach.



Kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht.