Risiken und Schutzmaßnahmen für Smartphones (und andere mobile Geräte)

Letzte Aktualisierung: März 2022

 

Vorsicht beim Verkauf von Smartphones - das "Factory Reset Problem"

Ein Team von Avast hat untersucht, was auf gekauften Smartphones so noch alles drauf ist. Auf 20 gebrauchten Android Smartphones, die alle einem "Factory Reset" unterzogen worden waren, fanden sie 40 000 Fotos, Emails, SMS. Von den Fotos zeigten 750 von ihnen spärlich bekleidete Frauen und 250 waren nackte Männer, dazu noch 1500 Familienfotos.

Ich muss zugeben, dass ich evtl. auch darauf reingefallen wäre, zu glauben, dass ein "Entleeren des Papierkorbs", dann "Factory Reset" vor dem Verkauf ausreicht, um die Spuren sicher zu löschen, tut es aber nicht. Die Lösung liegt darin, mittels einer speziellen Software den gesamten Speicher sicher zu überschreiben.

Die neueren iPhones, die den Speicher verschlüsseln, haben das Problem nicht (durch Löschen des Schlüssels ist der Inhalt nicht mehr wiederherstellbar), aber ältere iPhone Modelle, einfache Handys und natürlich PCs und Macs haben das Problem natürlich auch. Für PCs und Macs gibt es sog. "Wipe"-Programme die alle Daten zerstören. Der etwas technischere Artikel in techrepublic geht etwas tiefer. Für Geräte ab Android 3.1 gibt es die Option, zuerst das Gerät zu verschlüsseln und dann Factory Reset vom Recovery Mode zu tun. Aber noch ein Achtung: das löscht die SD-Karten nicht, auch nicht die eingebauten. Details in den beiden Artikeln.

Mai 2015:
Neue Untersuchung von Android Geräten: Daten von Millionen zurückgesetzten Android-Smartphones wiederherstellbar. D.h. große Vorsicht beim Verkauf oder dem Entsorgen von gebrauchten Smartphones.

 

 

 

Die Sicherheit der Messaging Apps (Whatsapp und bessere Alternativen wie Signal, Telegram, Threema und Matrix/Element)

Es gibt, Stand Ende 2021 eine ganze Reihe von Messaging Diensten, die Ende-zu-Ende verschlüsseln und als "sicher gegen Abhören" bezeichnet werden können. Zuerst ganz kurz: was spricht eigentlich gegen Whatsapp? Hauptsächlich, dass es von Facebook/jetzt Meta ist und mittlerweile (im Gegensatz zu dem was bei der Übernahme von Whatsapp durch Facebook gesagt wurde) in die große Meta-Datensammel-Architektur integriert ist.

Signal

Einen sehr guten Ruf als Alternative hat Signal von der gemeinnützigen Signal-Stiftung. Viele andere Messenger verwenden ebenfalls das Signal-Protokoll. Der Qellcode von Signal ist "open source", d.h. er kann und wird auf Unsicherheiten kontrolliert. Hier ein sehr detaillierter Artikel über die Vor- und (recht wenigen) Nachteile von Signal. Als primärer Kritikpunkt gegenüber Threema und Telegram ist die Notwendigkeit zu nennen, bei der Registrierung eine gültige Telefonnummer anzugeben.

Threema

Einen sehr guten Ruf hat auch der Schweizer Messenger Threema, der den Vorteil hat, dass er im Gegensatz zu den meisten anderen Diensten nicht einmal eine Telefonnumber benötigt und sicherheits-mässig einen exzellenten Ruf hat. Seit Dezember 2020 liegt der Quellcode von Threema offen und es gibt unabhängige Audits.

Matrix

Bei den sicheren und datenschonenden Diensten ist auch noch Matrix (mit dem Client 'Element') zu erwähnen. Dies ist eine quell-offenes Kommunikationsprotokoll für das es viele unterschiedliche Programme gibt, z.B. Element auf vielen unterschiedlichen Geräten, nicht nur Smartphones. Das System gilt als sehr sicher, kann modifiziert und auch auf eigenen Servern eingesetzt werden. Eigenen Instanzen von Matrix werden daher von einigen Behörden, z.B. der Bundeswehr und allen französischen Ministerien und Behörden auf nationaler Ebene eingesetzt. Es ist als 'föderales' System konzipiert, d.h. unterschiedliche Matrix-Instanzen können eine Vernetzung ihrer Systeme erlauben. Hier ein ausführlicher Artikel zu Matrix.

Telegram

Telegram ist einer der Gewinner in 2021. Das kam einmal durch die Corona-Zeit, zum anderen durch die Sperrungen von "rechten" Konten in anderen Messengern/Social Networks ('De-Platforming'). Das ist auch ein großer Unterschied zwischen Telegram zu den anderen Messengern: Dadurch dass Nachrichten (in Diskussionsforen) an bis zu 200.000 Personen geschickt werden können wird Telegram auch zu einem Social Network (aber eines, das im Gegensatz zu TikTok, Instagram, etc keine Vorschläge für Gruppen und Inhalte macht, die Nutzer müssen einer Gruppe explizit beitreten.

Beworben werden Telegram-Gruppen über andere Kanäle, z.B. Twitter, Facebook, Instagram, etc.). Und dadurch dass die Betreiber ihren Firmensitz nach Dubai gelegt haben und bisher (fast) jeglichen Behörden-Kontakt bzgl. Sperrungen verweigern sind anderweitig gesperrte Gruppen oft zu Telegram umgezogen. Daher finden sich dort auch eine Reihe von 'unschönen' Aktivitäten.

Nun zur Sicherheit (das ist eine nicht so gute Botschaft): Bei Telegram kann bei Chats zwischen 2 Personen eine Ende-zu-Ende Verschlüsselung manuell aktiviert werden. Bei mehr als 2 Teilnehmern wird nur sog. 'Transportverschlüsselung' genutzt, d.h. die Betreiber selbst haben alles in Klartext vorliegen (dies betrifft z.B. alle Diskussionsgruppen). Telegram nennt keinen Standort, die Gründer stammen aus Russland und bezeichnen sich als 'digitale Nomaden'.

Telegram wird auf Grund der Vermarktung als vermeintlich sicherer Dienst unter anderem auch von Aktivistengruppen, Rechtsextremen, Terroristen, Pädophilen genutzt. Die wirkliche Sicherheit von Telegram kann nicht geprüft werden, weil sein Quellcode nicht offen liegt. Hier jetzt eine ausführliche Besprechung von Telegram und dann noch ein Vergleich der Sicherheit von Telegram und Signal. Hauptkritikpunkt bei Signal ist der Zwang zur Telefonnummer, Hauptkritikpunkt bei der Sicherheit von Telegram ist die mangelnde konsequente Ende-zu-Ende Verschlüsselung.

WhatsApp

WhatsApp wurde 2014 von Facebook gekauft. Die Sicherheit gegen Abhören ist mittlerweile wohl recht gut was die Inhalte der Messages betrifft (es wird die Verschlüsselung von Signal verwendet), aber die sog. Metadaten, d.h. wer hat wann mit wem kommuniziert wird mit den gesamten Facebook-Profildaten abgeglichen und integriert. D.h. Sicherheit gut, Datenschutz schlecht. Auch hier liegt kein Quellcode offen.

Skype

Skype (seit 2011 Microsoft) hatte im Zuge der Snowden Veröffentlichungen keine gute Presse. So wurde bekannt, dass es eine chinesische Version von Skype gibt, die Verbindungsdaten an die Behörden übertragen kann. Die anderen Versionen kommunizieren verschlüsselt, aber Microsoft behält sich (wie alle die großen US-Firmen) in den AGB grundsätzlich vor, alle anfallenden Daten zu nutzen. Gerüchte über Zusammenarbeit mit Behörden (Hintertüren) gibt es mindestens seit 2009. Dies ist auch Thema der Snowden Leaks.

iMessage

iMessage von Apple funktioniert nur zwischen Apple-Kunden, was die Reichweite etwas einschränkt. Die technischen Details sind geheim, aber die Inhalte werden wohl Ende-zu-Ende verschlüsselt.

 

 

An anderer Stelle beschreibe ich noch über die Privatsphäre-Bedrohungen für Smartphones durch Apps.

 

Hauptrisiko bei den Smartphones: Die Apps

Installationsdialogs der korrekten und der Fake-App
Gegenüberstellung des Installationsdialogs für das Originalspiel Draw Slasher und die "infizierte" Kopie Blood vs. Zombie - die Kopie fordert zusätzliche unnötige Zugriffe an, mit deren Hilfe sie z.B. Mehrwert-SMS versenden kann
Quelle: IBM X-Force 2011 - Mid-year Trend and Risk Report

Vorsicht bei der Installation von Apps, speziell aus "Alternate Markets"

Im IBM X-Force 2011 - Mid-year Trend and Risk Report auf Seite 80 gibt es eine gute Darstellung, wie Kopien von beliebten Spiele-Apps missbraucht werden, um Betrügerein zu begehen. Die Graphik rechts zeigt, dass das Orginalspiel weniger und andere Rechte angefordert hat. Für ein Spiel ist es unnötig, dass es auf SMS, GPS und die Speicherkarten zugreifen kann. Selbst die Netzwerkkommunikation die das Orginal anfordert ist nur notwendig um High-Scores auszutauschen und stellt bereits ein Risiko für das Gerät dar. Leider kann man nicht selektiv Berechtigungen verweigern (bzw. nur über eine zusätzliche App).

Der Report weist darauf hin, dass jegliche Installation von Software aus "Alternate Markets" mit einem deutlich höheren Risiko verbunden ist (auch wenn die Überprüfung bei den offiziellen Markets nicht 100%ig ist). D.h. für kritische Funktionen wie z.B. Internetbanking sind diese Market nie und nimmer nutzbar, bei Spielen ist stark davon abzuraten, bzw. dann muss sehr genau geprüft werden, welche Rechte die App haben möchte. Aber selbst "Network communication" kann natürlich bereits persönliche Daten aus dem Gerät herunterladen - speziell wenn es sich um ein Gerät mit "Jail-break" oder "Rooting" handelt. In diesem Fall muss das Gerät von vornherein bereits als infiziert betrachtet werden, denn wer auch immer sich die Mühe für die Software-Entwicklung gemacht möchte dafür natürlich auch belohnt werden.

 

März 2012: Da hat sich jemand die Mühe gemacht, iPads so herzurichten, dass sie bei Prüfungen verwendet werden können, ohne dass der Prüfling damit ins Internet kann und etwas nachschauen (oder Kontakt mit einem Freund aufnehmen). Es zeigt 3 Punkte: 1. Man kann mobile Geräte sicher machen, 2. das Sicher-machen ist nicht trivial und 3. es nimmt den Spaß komplett raus aus den Geräten: Digital Exams on iPad.

Symantec hat sich die Mühe gemacht herauszufinden, was eigentlich mit iPhone passiert, die man verliert. Kurze Zusammenfassung in der LA Times: in 89% der Fälle versucht der Finder, an persönliche Daten zu kommen, in 50% der Fälle gibt der Finder das Gerät zurück (nachdem er es gründlich untersucht hat). Was können Benutzer daraus lernen: eine halbwegs sichere Sperre (nach einer kurzen Zeit Inaktivität) ist zumindest eine Barriere für den zufälligen Finder, und die Hälfte ist bereit, das Handy zurückzugeben, denen muss man einen Hinweis auf eine Kontaktmöglichkeit geben.

Sept. 2011: Teile des Rests dieses Artikels sind leicht in die Jahre gekommen, die Ereignisse haben sich mittlerweile überschlagen. Aber alle Bedrohungen die weiter unten beschrieben werden, wie z.B. Angriff über Bluetooth, gelten natürlich weiterhin und zwar nicht nur gegen Laptops sondern auch gegen Smartphones. Und die Smartphones sind jetzt so weit verbreitet, dass Angriffe gegen Smartphones alltäglich geworden sind: z.B. McAfee berichtet, dass Android das am häufigsten angegriffene mobile Betriebssystem ist. Die spezielle Verwundbarkeit von Android ist, dass es für Angreifer sehr leicht ist, modfizierte Versionen von beliebten Apps in alternative App-Stores zu stellen. Oktober 2011 überschlägt sich der "Markt" für Schadsoftware auf Android. Hier ein Überblicksartikel Googles Android-Betriebssystem bleibt im Trojaner- und Malware-Fokus mit weiteren Links. Langsam entdeckt die "böse Seite" Geschäftsmodelle rund im Smartphone-Malware. Ich bin gespannt, wie sich das noch weiterentwickeln wird, ob irgendwann die Begeisterung für diese Geräte in Entsetzen umschlagen wird.

Sept. 2011: Angriffe über QR-Codes Vom Bürger-CERT in D.: Der Antivirus-Software-Hersteller Kaspersky Lab hat laut seinem Blog erstmals Trojaner ausfindig gemacht, die sich per QR-Code auf Smartphones installieren (sog. Attagging). QR-Codes funktionieren ähnlich wie Strichcodes und lassen sich mit Smartphone-Kameras auslesen. Wenn die URL die in diesem Code enthalten ist auf eine Website zeigt, auf der Angriffscode verlinkt ist, so hängt es allein von den Sicherheitseinstellungen des Smartphones und der Aufmerksamkeit des Benutzers ab, ob die Angriffssoftware nun installiert wird oder nicht.

McAfee Labs warnt vor Smartphone-Apps, die aus QR-Codes entschluesselte URLs automatisch oeffnen.

 

 

 

Darstellung der Fragmentierung des Android-Markts: Wenige große Anbieter, Hunderte kleine

Die unglaubliche Fragmentierung des Android-Marktes

Die Graphik zeigt, dass es zwar bei Samsung Geräte gibt, die in einer größeren Stückzahl ausgeliefert wurden/werden (und andere Anbieter wie LGE, Sony, Lenovo, ASUS und Motorola haben auch noch einige wenige Bestseller), aber selbst bei Samsung gibt es viele Geräte, die nur in minimalen Stückzahlen produziert wurden. Für alle diese Geräte jeweils die Android-Updates von Google zu implementieren und zu testen ist nicht wirtschaftlich möglich.
Quelle: The Sorry State of Android Fragmentation

 

Das größte Problem bei Android: Fragmentierung und deswegen fehlende Security Patches für die Mehrzahl der Geräte

Eines der Kernprobleme von Android ist die Problematik der Fragmentierung des Marktes: Google fixed zwar die Sicherheitsprobleme in der Regel recht zügig, aber die Auslieferung der korrigierten Versionen läuft bei Android-Geräten fast immer über die Hersteller des jeweiligen Geräts (und manchmal noch über die Mobilfunkanbieter), und diese Kombination braucht sehr lange bis sie die Updates in ihre "gebrandeten" Versionen übernommen habt. Und sehr oft gibt es Updates überhaupt nur in den ersten 2 Jahren nach dem Erscheinen eines Gerätes.

Das hat gute Gründe, denn im Gegensatz zu Apple muss das Android System eine unglaubliche Vielfalt von Versionen unterstützen. Das geht bis zu den Gerätetreibern für die vielen Sensoren die in den heutigen Smartphones verbaut sind. Mit jeder Änderung die von Google kommt muss der Hersteller bevor er die Änderungen als Patch zur Verfügung stellen kann prüfen, ob sich in der gesamten Produktpalette Geräte finden, deren Treiber nicht mit der neuen Version arbeiten können. Bei Apple ist die gleiche Arbeit absolut überschaubar: die Zahl der Geräte auf denen eine neue iOS-Version getestet werden muss ist kaum mehr als 1-stellig.

 

 

März 2017:
Google bestätigt: Die Hälfte aller Android-Geräte erhält unsere Sicherheitspakete nicht.

Jan. 2020:
Jetzt gibt es Licht am Horizont was die Zukunft der Patches für Android betrifft. Google hat bereits vor einigen Jahren damit begonnen, die Android-Software anders zu strukturieren so dass die Inkompatibilitäten deutlich reduziert werden können. Dies wird sich jeder nicht kurzfristig auswirken, und vor allem nicht auf Geräte, die auf Grund der unglaublichen Zerstückelung des Android-Handy Marktes nur in geringer Stückzahl produziert wurden. Der Artikel geht in technische Details der Änderungen bei Android ein - es gibt Licht am Ende des Tunnels.

 

 

 

Android vs. iOS Security

Sept. 2012: Ein Vortrag von mir zum Thema Herausforderung Smartphone und Bring-your-own-device. (PDF, 1,5 MB) - Dazu ergänzend empfehle ich: Gegenüberstellung der technischen iPhone und Android Sicherheit des Fraunhofer Instituts vom März 2011.

Generell kann man sagen, dass iOS-Geräte auf Grund des geschlossenen Umfelds das Apple implementiert hat eine geringere Flexibilität und damit auch eine höhere Sicherheit bieten als Android Geräte. So ermöglicht Apple kein Installieren von Apps die nicht vorher von Apple geprüft wurden (was aber natürlich auch keine 100% Garantie bietet, aber immerhin). Bei Android-Geräten kann der Nutzer im Einzelfall entscheiden, ob er Apps aus zwielichten Quellen installieren möchte, z.B. die neusten Spiele die es im offiziellen Store nicht gibt, oder spezielle ge-krackte Versionen. Dies stellt ein erhebliches Risiko dar.

Der zweite Punkt bei der höheren Sicherheit der iOS-Geräte sind die doch in der Regel längere Verfügbarkeit von Security Updates. Bei Android gibt es oft schon nach kurzer Zeit keine Updates, Grund ist die Fragmentierung des Android-Marktes. Bei Apple sind Security Updates in der Regeln 2-3 Jahre verfügbar, was aber natürlich auch viel zu kurz ist, warum soll ich mir alle 2 Jahre ein neues Gerät kaufen - welche Vergeudung von knappen Resourcen und welche Umweltschädigung!

Hier eine Infographik von Veracode mit einem Vergleich der Systeme.

Forrester Research hat eine gute Studie zur Post-PC Zeit gemacht: Security In The Post-PC Era: Controlled Chaos. Sie behandeln eine ganze Reihe guter Fragen zur Problematik des Bring-Your-Own-Computer (BYOC), nämlich dem Trend dass mehr und mehr IT-Abteilungen (resignierend) den Privatgeräten der Mitarbeiter auch Zugriff auf die Firmendaten gewähren. Leider ist die Studie nur kommerziell zu erstehen und teuer (aber empfehlenswert).

Apple veröffentlicht das Security Konzept für iOS und bestätigt indirekt, dass 4-stellige PINs keine Sicherheit bieten.

Einen sehr guten Überblick über die Sicherheitskonzepte (oder fehlende Sicherheit) von iPhone und Android veröffentlichte Symantec: Examining the security approaches employed in Apple's iOS and Google's Android (pdf). Kurze Zusammenfassung ist, dass die Sicherheitskonzepte des iPhones (mittlerweile) deutlich besser sind. Eines der Problem ist, dass viele Anwender gar nicht in der Lage sind, Sicherheitsupdates einzuspielen, da sie dabei vom Mobilfunkprovider abhängen.

Das Australian Government Department of Defense hat einen Hardening Guide für iOS ab 9.3 herausgebracht (pdf).

 

 

 

Die Gefahren unterwegs - der hohe Diffussionsquotient der Geräte

Das erste Problem - und von der Zahl der Vorfälle her auch das überragende Problem - ist das Risiko, dass das Gerät verloren geht, gestohlen wird oder irgendwie in fremde Hände fällt. Studien von Versicherungen zeigen, welch hohe Zahl von mobilen Geräten in Taxis liegenblieben, und je kleiner die Geräte sind, desto häufiger gehen sie verloren.

Diebstahl ist ein großes Thema, die Zahl der Notebooks, die aus Autos gestohlen werden, ist sehr hoch. Die Empfehlung, solche Sachen nie offen liegen zu lassen, ist sicher gut, aber weder ausreichend noch praktikabel. Außerdem muss jede Firma beachten, dass solche Diebstähle für Zwecke der Industriespionage heute auch gern auf Bestellung durchgeführt werden ("ich hätte gern ein Notebook der Firma xyz"). Gartner geht davon aus, dass der wirkliche Schaden von Geräteverlusten das drei bis fünffache vom Warenwert beträgt.

Eine Studie aus dem Jahr 2005: Die meisten Laptops werden zwar im immer noch im Büro gestohlen (29%, deswegen ist es so wichtig, keine Fremden im Gebäude allein zu lassen!), dann kommen schon Autos mit 25% und Flughäfen mit 14%. Der Rest geht auf Restaurants, Eisenbahnen, etc.

Und wenn das Gerät erst mal in fremden Händen ist so ist das Risiko sehr groß, dass der Angreifer das Zugangspasswort herausfindet. Ich muss dafür sorgen, dass die Daten auf dem Gerät auch dann sicher sind, wenn das Gerät nicht mehr unter meiner Kontrolle ist.

wie die Geräte verloren gehen
"Data loss" im Unternehmen, gestohlene und verlorene Geräte führen die Statistiken an
Quelle: Microsoft Security Intelligence Report 1H 2010

Details zu den Verlusten von Notebooks, PDAs und Handys gab es 2005 bei pointsec.com jetzt Teil von Checkpoint:

    Befragt wurden in 2005 Taxifahrer in folgenden Ländern: Australia, Denmark, Finland, France, Germany, Norway, Sweden, Great Britain und den USA. In den 6 Monaten, die von dieser Studie erfasst wurden, berichteten Londoner Taxifahrer von 0,21 Laptops pro Taxi (d.h. in jedem 5 Taxi blieb eines liegen). Kleine Geräte gehen noch leichter verloren, in Chicago waren es 3.42 Handys pro Taxi im halben Jahr und 0,86 PDAs/Pocket PCs. Sie berichten für ein einziges Taxiunternehmen in Chicago in 6 Monaten folgende Zahlen: Es wurden in den Fahrzeugen gefunden: 85,619 Handys, 21,460 PDAs oder Pocket PCs und 4,425 Laptops. Auch wenn die Zahlen in einigen europäischen Städten niedriger waren, so zeigt sich doch, dass der Verlust mobiler Geräte eine ernste Bedrohung ist.

Eine Studie zum Nutzungsverhalten europäischer Unternehmer mit Smartphones oder PDAs die von Toshiba Mobile Communications in Auftrag gegeben wurde, berichtet, dass jeder fünfte Unternehmer, der ein Smartphone oder einen PDA benutzt, das Gerät bereits einmal in seinem Leben verloren hat. Mehr als 90 Prozent der 502 befragten Unternehmer gaben gleichzeitig an, vertrauliche Geschäftsinformationen und Dokumente auf ihren Geräten zu speichern. Hier eine weitere Veröffentlichung zu Laptop-Diebstahl: "EU-Flughäfen: 3.300 Laptops verschwinden wöchentlich".

Vertrauliche Informationen können verschiedener Art sein:

  • Finanzinformationen über den generellen finanziellen Zustand des Unternehmens, solchen Informationen können in Konkurrenzsituationen gegen das Unternehmen verwendet werden
  • Kalkulationen, die Ãœberblick über die Herstellungskosten und Einkaufsbedingungen geben
  • Technische Informationen vertraulicher Art ( Konstruktionszeichnungen, Unterlagen für eine Patentanmeldung, etc.)
  • Kundeninformationen (Ansprechpartner, Preise, Angebote, Umsätze, etc.)

Ein Angreifer, der physikalischen Zugriff auf ein Gerät hat, kann nur mit erheblichem Aufwand daran gehindert werden, die Sicherheitsmaßnahmen „zu knacken“. Die Angriffsmöglichkeiten sind in diesem Fall vielfältig.

Dazu gehört z. B. das Starten des Gerätes von einer Boot-CD mit einem anderen Betriebssystem, gefolgt von dem systematischen „Knacken“ des Administrator Accounts durch „brute force“. Ein erfolgreicher Angreifer gewinnt oft nicht nur Zugang zu den Daten, sondern oft auch Zugriff auf die gespeicherten Passworte für den VPN-Zugang zum Unternehmen und gefährdet damit das Unternehmensnetz.

Als „Bonusgeschenk“ für den Angreifer ist es leider immer noch bei vielen Unternehmen üblich, dass das gleiche Administratorpasswort auch innerhalb des Unternehmens genutzt wird, d.h. der Angreifer hat in diesem Fall auch gleich noch Kenntnis des internen Administratorpassworts.

 

Ein anderer wichtiger Aspekt kann natürlich sein, dass wir den gestohlenen Laptop gern zurück hätten. Dafür gibt es Software die bei jedem Netzzugang den Standort an einer zentralen Stelle ablegt. Hier eine OpenSource Variante: Adeona.

 

 

 

Das Überleben in der freien Wildbahn - Mobile Geräte auf Reisen

Wann immer ein Laptop oder ein anderes mobiles Gerät sich außerhalb des Firmennetzes oder des privaten WLANs in der Wohnung direkt ins Internet wagt, so haben wir es mit einer verstärkten Exponierung gegenüber den Angriffen zu tun, die jedem Rechner im Internet ständig drohen. Wer in öffentlichen WLANs, Flughäfen, Restaurants, etc. ins Internet geht, der ist von der Qualität der WLAN-Implementierung und der Qualität der Verschlüsselung in den benutzten Apps abhängig. Bei letzteren sieht es nicht gut aus. Die Zeit berichtet: Populäre Apps gefährden ihre Nutzer (dass sich der Artikel auf iPhones konzentriert ist kein Grund für Entspannung bei Android-Nutzern). Bei den untersuchten Apps kommt 2017 raus: mehr als der Hälfte der 200 in Deutschland beliebtesten kostenlosen iOS-Apps setzen keine korrekt implementierte Verschlüsselung ein.

Der Perimeter-Schutz mittels Firmen-Firewalls mit NAT- und Proxy-Funktionalität, Content Filtering und möglicherweise Intrusion Detection (aber sogar die heute aktuellen Heim-Router und WLAN-Boxen) bieten mehr Sicherheit, als wenn ein Rechner direkt ungeschützt im Internet präsent ist (oder gar in einer potentiell "feindlichen" Umgebung wie ein öffentliches WLAN. Wann immer ich diesen Schutz hinter mir lasse, begebe ich mich mit meinen mobilen Geräten in eine noch gefährlichere Umgebung.

Außerhalb des Firmennetzes bin ich in den meisten Fällen mit meinem Rechner oder mobilem Gerät beim Surfen mit einer öffentlichen (offiziellen) IP-Adresse im Internet sichtbar und damit Port-Scans direkt ausgesetzt. Außerdem haben es andere Nutzer des WLANs oft leicht, Datenverkehr mitzulesen oder zu verändern (Abhängig von der Qualität der WLAN-Implementierung, da gibt es riesige Unterschiede).

Notebooks, die auch außerhalb des Firmennetzes aktiv waren und nur unzureichend geschützt sind, bei ihrer Rückkehr ins Firmennetz eine ganz erhebliche Bedrohung für das interne Netz dar.

Mehr zu IT-Sicherheit auf Reisen an anderer Stelle.

Eine weitere Gefahr liegt darin, dass die Verbindung abgehört werden könnte und dass dadurch vertrauliche Informationen in falsche Hände gelangen könnten. Gegen diese Gefahren schützen sich viele Firmen bereits erfolgreich durch den Einsatz von Virtual Private Networks (VPN). Wenn man bei deren Implementierung sorgfältig vorgeht und sicherstellt, dass eine ausreichende Authentisierung der Endstellen dieses Tunnels sichergestellt ist, so reduziert sich die Bedrohung durch Abhören erheblich. Zu einem Risiko wird ein VPN-Tunnel aber immer dann, wenn man nicht sicher sein kann, dass am anderen Ende der korrekte Teilnehmer ist, bzw. wenn am anderen Ende ein unsicheres Gerät steht. Ein VPN Tunnel schaltet nämlich (in aller Regel) ein vollständige und transparente Verbindung zu dem anderen Netz, d.h. wenn eine Schadsoftware in einem der Netze, bzw. Endgeräte aktiv ist, so kann sie auch sofort in das andere Netz eindringen.

Eine solche "Durchschaltung" der Netze sollte, wenn sie nicht wirklich notwendig ist, verhindert werden. Dafür setzen viele Unternehmen heute sog. SSL-VPN ein, von denen einige eine recht ausgefeilte Zugriffskontrolle zu einzelnen Anwendungen ermöglichen (White-List-Konzept), 2-Faktor-Login und keine direkte Verbindung der Netze. Im Detail muss man sich anschauen, welche der "Tunnel-Technologien" für jedes Unternehmen und für jeden Verwendungszweck die beste ist.

 

 

WLAN / WiFi- die Risiken in fremden WLANs

Frage: Wie gefährlich ist es eigentlich, ein öffentliches WLAN zu nutzen?

Kurzfassung: Öffentliche Netze (egal ob drahtlos oder über Kabel, z.B. Hotel-Netze) bieten nur begrenzte Sicherheit und sind für kritische Aktivitäten wie Internetbanking nur begrenzt geeignet. Die Sicherheit der Verbindung hängt davon ab, wie gut die Website und/oder die App programmiert ist. Moderne Websites und kritische Apps wie Banken-Apps sollten heute (ab ca. 2018) grundsätzlich nur verschlüsselt angeboten werden. Dazu gehört bei Apps, dass die App zuerst überprüft, ob der Datenverkehr sicher ist oder nicht. Aber darauf kann man sich natürlich nur begrenzt verlassen. Ein Laptop-Nutzer kann an der URL-Zeile (https:// ist gut, http:// ist schlecht) erkennen ob die Verbindung sicher ist, eine Smartphone-Nutzer kann das bei Apps nicht wirklich sehen..

Hier die Gründe im Detail:
Wenn ich unterwegs bin und z.B. in einem Lokal oder im Hotel WLAN benutze, so macht es nur einen geringen Unterschied, ob das WLAN verschlüsselt ist oder nicht. Selbst in einem verschlüsselten WLAN (mit mehr oder weniger öffentlich bekanntem Schlüssel) bin ich, bzw. ist mein Datenverkehr nicht wirklich sicher. Dort gibt es für gewiefte Angreifer vielfältige Möglichkeiten meinen Datenverkehr anzugreifen. Das gilt übrigens genauso für kabelgebundene Hotel-Netze.

Außerdem hänge ich von der Vertrauenswürdigkeit des Systembetreuers des WLAN-Anbieters ab. Der unverschlüsselte Teil des Verkehrs liegt offen für den Betreiber und kann ausgewertet werden, und viele Smartphone-Apps senden unverschlüsselt. Das Mitloggen des Datenstroms ist Routine, das wird der Betreiber schon zum eigenen Schutz gegen Abmahnungen in einem begrenzten Umfang immer tun. D.h. alles was der Nutzer im öffentlichen Netz tut, wird protokolliert - ob das ein Problem ist, muss jeder selbst entscheiden

Wenn das Netzwerk nicht sehr professionell ausgestattet ist, so können andere Teilnehmer (möglicherweise böse Teilnehmer) im gleichen Netz ebenfalls ihren Datenverkehr (soweit unverschlüsselt) mitschneiden und/oder ändern. Das setzt aber einen gezielten Angriff gegen eine einzelne Person voraus denn so ein Angriff ist nicht flächendeckend möglich. Daher werden Angreifer die es auf die Bankkonten von vielen abgesehen haben, dies vermutlich nicht tun und dies bietet mir einen begrenzten Schutz.

Das bedeutet: Egal ob verschlüsselt oder nicht, die Möglichkeiten zur Absicherung meines Datenverkehrs reduzieren sich darauf, dass ich nur auf Webseiten gehe und nur Apps nutze, die von sich aus den Datenverkehr verschlüsseln (im Browser in der URL-Zeile am Zertifikat und dem Start mit https:// angezeigt). Leider ist das bei Smartphones nur sehr begrenzt möglich, d.h. bei Smartphones bin ich bei fremden WLANs fast immer ein wenig auf dünnem Eis.

Die Zeit berichtet: Populäre Apps gefährden ihre Nutzer (dass sich der Artikel auf iPhones konzentriert ist kein Grund für Entspannung bei Android-Nutzern). Bei den untersuchten Apps kommt 2017 raus: mehr als der Hälfte der 200 in Deutschland beliebtesten kostenlosen iOS-Apps setzen keine korrekt implementierte Verschlüsselung ein.

Zu Hause ist das was anderes. Da sollte ich ein verschlüsseltes WLAN konfigurieren damit kein Außenstehender in mein Heimnetz eindringen und meine Geräte untersuchen kann, aber auch, damit kein Nachbar mein WLAN mitbenutzt und ich als Betreiber evt. eine Abmahnung wegen seiner Musik- oder Video-Downloads bekomme. Aber heute werden eigentlich alle Heimnetze ausreichend sicher ausgeliefert, auch bei Freunden im WLAN bin ich eigentlich sicher genug.

Noch ein WLAN-Problem: Einmal eingespeicherte SSIDs (die Kennung/der Name des Access Points-AP) werden immer wieder automatisch verbunden - das ist bequem, aber öffnet auch Tür und Tor für Fake-Access Points (indem der Angreifer den gleichen SSID-Namen nutzt wie z.B. McDonalds. Diese "connect automatically" Automatik kann man für eine höhere Sicherheit im jeweiligen mobilen Gerät abschalten. Am sichersten ist eigentlich der Flugmodus. Tipps zu WLAN Sicherheit gibt das BSI für Bürger.

An anderer Stelle verlinke auf eine Liste der 16 häufigsten Sicherheitsirrtümer. Dort kommt auch das Thema WLAN-Irrtümer vor.

Und hier geht es zurück zur Gesamtserie "Wie bin ich im Internet sicher unterwegs?"

 

WLAN / WiFi - öffentlich und privat

Ãœberarbeitet Aug. 2019

WLAN (wireless LAN, engl. Wifi) hat sich als Zugang zum Internet eigentlich flächendeckend durchgesetzt, egal ob zu Hause oder unterwegs. Der nebenstehende Kasten behandelt in kurzer Form die Sicherheitsregeln für die Nutzung von WLAN. Über den Einsatz von WLAN als Zugang zu einem Firmennetz schreibe ich ausführlich an anderer Stelle.

WLAN-Angebote als Angriff auf die Privatsphäre

Dieser "Angriff" auf die Privatsphäre durch die Nutzung eines kostenlosen WLANs ist in den USA bereits sehr üblich und kommt leider wohl auch zu uns: Supermärkte und andere Geschäfte installieren WLAN-Hotspots, die zum Teil gar keinen Service anbieten, sondern nur warten bis Smartphones prüfen, ob dieses WLAN Netz bereits im Gerät eingetragen ist. Diese Prüfung findet bei aktiviertem WLAN ständig statt, nur im Flugmodus ist dies nicht aktiv.

Bei dieser Anfrage sendet das Smartphone genügend Daten um den Besitzer zu identifizieren. In Europa sollte das Sammeln von solchen Tracking-Daten nur erlaubt sein, wenn die Kunden explizit zugestimmt haben, d.h. wenn sie sich in diesem Netz anmelden. Anderseits ist es technisch sehr einfach, die Daten trotzdem zu Sammeln (und damit gegen das Datenschutzgesetz zu verstoßen).

Die Veröffentlichungen von Edward Snowden bringen auch Neues zum Thema WLAN: die NSA hängt entsprechende Geräte unter ihre Drohnen und kann die Handys und andere Geräte, die WLAN nutzen, in Somalia, Pakistan und anderen Ländern orten. Oft führt das zu tödlichen Angriffen, nicht immer auf die gesuchten Personen, sondern auf die, die gerade das gesuchte Smartphone nutzen.

Hier ein Artikel aus 2016 von Kaspersky der einen Überblick über den Stand der WLAN-Verschlüsselung in verschiedenen Ländern der Welt zeigt.

 

Im Hotel-Netz / Hotel-WLAN

Hotelnetze sind genauso riskant wie andere öffentliche WLANs (und deutlich unsicherer als ein typisches Firmen-Netz und sogar ein typischer Internetanschluss zu Hause). Wieder gibt es meistens keine Verschlüsselung der Verbindungen, und in vielen Fällen können andere Gäste wenn sie technisch versiert genug sind den Datenverkehr mitlesen (entweder direkt oder nach einem Angriff, z.B. über DHCP-Spoofing). In diesem Fall können sie mir auch gefährliche Daten in meinen Datenstrom einschleusen. Wirkliche Sicherheit bietet nur ein gut abgesichertes Gerät plus die ausschließliche Kommunikation über ein sicher implementiertes VPN zum Firmennetz oder sichere Verschlüsselung in der App des Smartphones, bzw. HTTPS-Verbindungen zu Websites.

2014 berichtete Kaspersky auf eine Profi-Truppe, die auf Angriffe im Hotel-LAN spezialisiert ist und dort ihre Opfer für Wirtschaftsspionage findet. August 2017 wird berichtet, dass russische (staatsnahe) Hacker Laptops in Hotelnetzwerken angreifen. Dafür nutzen sie Software, die der NSA irgendwie "abhanden kam".

 

Die Nutzung von Internetcafés

Bei der Nutzung von Internetcafés haben wir das gleiche Problem, das auch bei der Nutzung von Privat-PCs der Mitarbeiter zu Hause entsteht: zusätzlich zur unsicheren Verbindung arbeiten wir auch noch auf einem unsicheren Gerät. Untersuchungen zeigen, dass ein ziemlich hoher Prozentsatz von PCs "verseucht" ist, d.h. ich muss immer davon ausgehen, dass ein Keylogger alle Tastatureingaben weitersenden kann und dass alle Informationen, die auf das unsichere Endgerät geladen werden, in falsche Hände fallen.

Das heißt, die einzige akzeptable Nutzung solcher Gerät ist, wenn keine Firmendaten auf das Gerät selbst übertragen werden (z.B. keine E-Mail-Anhänge), sondern lediglich das Gerät als "Bildschirm" für die zentralen Server dient, d.h. die Nutzung als Terminalserver. Und dabei muss ich dann sicherstellen, dass kein lokales Drucken der Inhalte möglich ist, dass kein sog. "Rückkanal" angeboten wird (z.B. zum lokalen Abspeichern eines E-Mail-Anhangs) und dass die angezeigten Inhalte auch keine Spuren im Cache des Webbrowsers hinterlassen.

 

 

 

 

"Home Office"

Dies ist eine recht beliebte Lösung, bequem für die Mitarbeiter und auch mit Vorteilen für das Unternehmen. Aber wenn so etwas falsch implementiert wird, können für das Unternehmensnetz erhebliche Risiken entstehen. Denn für Heimarbeitsplätze gilt alles, was weiter oben über Internetcafés gesagt wurde: diese können grundsätzlich nicht als "sicher" angeommen werden. D.h. das Unternehmen muss feste Regeln für die Nutzung des Home Office aufstellen, z.B.

  • es werden nur Firmengeräte genutzt, keine Privat-PCs

  • diese Firmengeräte werden nach einem einheitlichen Firmenstandard aufgesetzt, der den Sicherheitsanforderungen für mobile Geräte entspricht

  • die Mitarbeiter haben nur eingeschränkte Rechte auf diesen Geräte

  • die Familienmitglieder dürfen diese Geräte nicht nutzen (evtl. kann die Firma ausrangierte Geräte für den Kauf durch die Mitarbeiter zur Verfügung stellen)

  • der gesamte Datenverkehr findet über einen VPN-Tunnel statt und wird wie genauso gefiltert, wie alle Aktivitäten vom Firmennetz aus. So ein Tunnel kann über IP/Sec-VPN implementiert werden oder noch besser über einen Zugang mit "Medienbruch", d.h. über SSL-VPN, bzw. das Citrix-Protokoll. Der Vorteil des "Medienbruchs" ist, dass über einen VPN-Tunnel mögliche Schadsoftware auf den PC zu Hause eine Verbindung ins Firmennetz aufbauen könnte. Bei dem "Medienbruch" ist dies nicht möglich, der Nutzer sieht lediglich in einem lokalen Fenster den Desktop des Firmen-PCs.

 

 

 

Welche Firmen-Anwendungen muss ich eigentlich wirklich erreichen?

Wichtig ist bei allen Überlegungen die Frage, was muss denn wirklich erlaubt werden, welche Funktionalitäten sind für den Geschäftsbetrieb wirklich notwendig? Ein voller Zugang ins interne Netz ist immer viel gefährlicher als „lediglich“ ein Synchronisieren von Kontakten, Termine und E-Mails zwischen den PDAs und einem speziellen Server in einer speziellen DMZ.

Für Laptops und Smartphones bietet sich eine Lösung an, die auf der Terminalserver-Philosophie, z.B. mittels Citrix, beruht. Wiederum führt der Pfad nicht direkt ins interne Netz, sondern nur auf die Citrix-Farm in einer DMZ. In allen Fällen, d.h. ob über Terminalserver, Outlook-Web-Access oder bei Einsatz eines VPNs müssen zur Sicherheit auf jeden Fall ausreichende Sicherheitsmaßnahmen getroffen werden.

  • eine verschlüsselte Datenübertragung
  • auf jeden Fall eine 2-Faktor-Authentisierung für die Benutzer
  • zusätzlich eine gegenseitige Authentisierung der beiden Endgeräte selbst über geeignete Zertifikate

Die 2-Faktor-Authentisierung allein ist nicht genug, denn ein Man-in-the-Middle kann jeden Challenge/Response-Austausch leicht weiterspielen. Nur bei gegenseitiger Authentisierung beider Endpunkte, d.h. nur wenn die beiden Gegenstellen sich bereits „vorher kennen“, z.B. weil die gegenseitigen Zertifikate auf anderem Wege eingespielt wurden, kann ein Angriff mittels Man-in-the-Middle sicher verhindert werden. Die Gegenstellen dürfen nicht erst übers Netz ihre Zertifikate austauschen.

Ein VPN ist aber nur sicher, wenn nicht gleichzeitig noch eine direkte Verbindung ins Internet möglich ist. Sonst stellt nämlich das VPN keinen Schutz, sondern eine zusätzliche Schwachstelle dar, über die ein Angreifer sich ins Firmennetz einschleichen kann.

 

 

 

Schutz des Endgeräts (typischerweise Laptop)

Dies bedeutet, dass der Laptop oder das Handy für seinen Schutz selbst sorgen muss und das bedeutet, dass unabhängig davon, ob ich im heimischen Kabelnetz bin, in einem Flughafen-Hotspot oder ob ich mit GPRS surfe, folgende Regeln gelten sollten

  • Keine Administrationsrechte für die Anwender

  • Kommunikation nur über einen verschlüsselten Kanal, (IPsec-VPN, SSL-VPN, verschlüsselte Terminalserver-Verbindung) mit gegenseitiger Authentisierung beider Endgerät

  • Zusätzlich starke Authentisierung des Anwenders, z.B. über Smartcard, USB-Token oder One-Time-Passwort-Token

  • Regelmäßige Aktualisierung des mobilen Gerätes mit Sicherheitspatches

  • Verwendung einer Personal Firewall (zusätzlich zum VPN-Client)

  • für Laptops: ständig aktualisierter Schutz gegen Malicious Software (Viren und Trojaner, aber auch Spyware), Kontrolle der Sicherheit des Gerätes durch "Endpoint-Security"

  • Geräte Hardening und Penetration Testing vor Einsatz der mobilen Geräte
  • Verschlüsselung der Daten auf den mobilen Geräten für den Fall von Verlust oder Diebstahl
  • Installation von Hardware oder Software nur durch IT-Abteilung
  • Automatische Deaktivierung der Verbindung bei Nichtbenutzung (bsplw. Timeout)

 

Aber natürlich gibt es Unterschiede in der Bedrohung bei den verschiedenen (drahtlosen) Zugangstechniken. Bedrohungsfaktoren sind dabei die Exponierung des Gerätes im Internet (d.h. öffentlich erreichbare IP-Adressen) und wer noch alles mit mir im gleichen lokalen Netz ist, mich daher auf Layer 2 angreifen kann.

Die größte Bedrohung geht wohl von öffentlichen WLANs aus (bzw. öffentliche Hotspots auf Bluetooth-Basis). Bei jeder anderen Methode sind die anderen Teilnehmer im lokalen Netz zumindest über eine Rechnungsadresse authentifiziert und können mich nicht ganz anonym angreifen.

 

 

 

Bluetooth

Bluetooth ist ein extrem vielseitiges Protokoll. Es kann ganz ohne Sicherheit oder mit sehr viel Sicherheit betrieben werden, ja nach Bedarf. Die Entscheidung darüber liegt aber leider nicht beim Benutzer, sondern der Hersteller des Geräts entscheidet dies bereits. Zwei ganz unterschiedliche Anwendungen von Bluetooth sind einmal die Kopplung zweier Geräte wie Handy und Ohrwaschl oder Handy und Freisprecheinrichtung (nämlich direkte Gerätekommunikation ohne IP-Adresse) und andererseits der Einsatz von Bluetooth mit IP-Adresse, z.B. als Alternative für einen WLAN-Hotspot.

Wenn ein Bluetooth-Gerät nur für die erste Funktionalität konfiguriert ist, so können schlimmstenfalls die lokalen Daten des Gerätes ausgelesen werden, z.B. Adressbuch, Termine, E-Mails. Wenn aber eine IP-Funktionalität konfiguriert ist, so kann über dieses Gerät auch auf andere Netze zugegriffen werden.

Eine spezielle Problematik von Bluetooth-Geräten ist das Pairing, d.h. eine gegenseitige Authentisierung und Freischaltung der Kommunikation zwischen 2 Geräten. Aus Benutzerbequemlichkeit werden die meisten Pairings permanent gemacht, d.h. 2 Geräte, die irgendwann mal durch ein solches Pairing miteinander verbunden wurden (durch das Eintippen der gleichen PIN) haben ein permanentes Vertrauensverhältnis untereinander. Da das Flirten mittels Bluetooth in einigen Ländern bereits zu einem Sport in öffentlichen Verkehrsmitteln geworden ist, besteht das Risiko das auf diese Weise erworbene Pairings auch für andere Zwecke ausgenutzt werden.

Eine spezielle Bedrohung für Handys, speziell solche mit Bluetooth, sind Social Engineering Angriffe, wobei z.B. der Download eines Videos oder Spieles in einem öffentlichen Hotspot angeboten wird, in Wirklichkeit jedoch eine Schadsoftware installiert wird. Hier ein Artikel zu Werbung über Bluetooth.

Aug. 2008:
2 gründliche Texte zu Bluetooth-Sicherheit: NIST SP 800-121 - Guide to Bluetooth Security und Bluetooth Security-Mechanismen und potentielle Schwachstellen(pdf).

Juni 2012:
Der Artikel Bluetooth - ein sicherer Standard?, erschienen auf botfrei.de, klärt über Nutzen und Risiken der etablierten Funktechnik auf, zeigt beispielhaft Anwendungen und gibt Ratschläge zur sicheren Nutzung.

2016:
Smart Home: Bluetooth-Schlösser senden Passwort im Klartext und Bluetooth 5- Funkleistung wird verzehnfacht. Letzeres klingt wie eine gute Nachricht, aber nicht, wenn auf diese Weise Kriminelle auf noch größere Entfernung den geheimen Schlüssel zu ihrer Wohnung oder ihrem Fahrzeug mitschneiden können.

 

 

 

Smartphones als Spyphones

Der Artikel How iPhones Are Being Turned Into Nasty Spyphones stellt dar, dass eine überraschend große Zahl von kommerziellen Angeboten existiert mit deren Hilfe eine Spionage-Funktionalität in ein iOS-Gerät integriert wird (z.B. SpyEra, SpyBubble and StealthGenie). Solche Software ist für viele Betriebssysteme verfügbar, aber die Forscher waren überrascht, dass 51% der Fälle die sich gefunden hatten iOS betraf.

Diese Software sind keine Apps die dem eigentlichen Benutzer des Geräts sichtbar wären, sondern das ist Software, für die zuerst ein Jail-Break durchführt und sich dann so in das jeweilige Betriebssystem hängt, dass es Zugriff zu Mails, Gesprächen, SMS, Geo-Koordiaten, etc. hat. Offiziell wird das für Überwachungen in der Familie gekauft, aber die Forscher sagen, dass vor allem bei den iPhones vor allem Firmenhandys ausspioniert werden. Der Angreifer braucht für eine kurze Zeit physischen Zugriff zum Gerät.

An anderer Stelle gibt es sehr viel mehr zum Thema Spyware und Spy-Apps in der Familie und Beziehung.

 



Philipp Schaumann, https://sicherheitskultur.at/


zeigende Hand als Hinweis auf Verlinkung zur HauptseiteHome

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License Icon
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.