Virenalarm auf dem Smartphone

Ohne Schutz ist es leichtsinnig. So sehen es die meisten modernen Menschen - und gehen folglich nie ohne Virenscanner online. Denn Schadsoftware kann sich im Internet hinter vielen Webseiten verstecken, von Downloads, Mails mit Anhang oder direkten Angriffen auf die meist für lange Zeiträume per Breitbandzugang am Netz hängenden PCs ganz zu schweigen. Da sind Schutzprogramme mit Scannern, Firewalls, Anti-Spam-Tools, automatischen Updates, Quarantäne- und Löschroutinen für den Windows-Rechner vollkommen selbstverständlich.

Doch wie sieht es eigentlich mit Smartphones aus? Sind die Nutzer hier genauso auf Sicherheit bedacht wie am Notebook oder Desktop-PC? Das ist eine Frage, die sich auch der Telekommunikationsanbieter congstar gestellt hat. Gemeinsam mit unserem jungen Ableger connect Freestyle hat die Telekom-Tochter Interessierte im Internet aufgerufen, darüber Auskunft zu geben, wie sie es mit der Sicherheit halten. Mitgemacht haben mehr als 12.500 Personen zwischen 14 und 69 Jahren, das Durchschnittsalter lag bei 42 und entsprach damit dem für Deutschland geltenden Schnitt. Knapp Dreiviertel der Teilnehmer (73,6 Prozent) waren männlich, etwas mehr als ein Viertel weiblich. Wie zu erwarten war, zeigt sich hier, dass die Umfrage nicht repräsentativ für Deutschland sein kann. Bei technischen Fragestellungen ist die freiwillige Beteiligung in der überwiegend männlichen Gruppe der sogenannten Early Adopters besonders groß. Das Interesse an neuen Entwicklungen und Techniktrends führt augenscheinlich zu einer gesteigerten Bereitschaft, an Umfragen zum Thema mitzuwirken. Das überdurchschnittliche technische Interesse der Teilnehmer belegt auch die erste Frage, bei der Mehrfachnennungen zugelassen waren - die nach der technischen Ausrüstung: 72% der Teilnehmer besaßen einen PC, 75% ein Notebook, 11% ein Tablet und 89% ein Smartphone. Dass 89 Prozent der Umfrageteilnehmer ein Smartphone ihr Eigen nennen, liegt weit über dem Durchschnitt in der Bundesrepublik. Den geben die renommierten Marktforscher von Nielsen in einer 2011 erschienenen Studie bei den über 16-Jährigen mit 30 Prozent an, bei 90 Prozent liegt laut Nielsen der Anteil an Mobiltelefonen insgesamt. Ähnlich sehen die Verhältnisse bei Tablets aus. 11 Prozent der Umfrageteilnehmer gaben an, einen Tablet-PC zu besitzen - auch das zeigt einen Bevölkerungsausschnitt mit starker Affinität zur Technik, laut einer Acta-Studie von 2011 besitzen nur etwa 2 Prozent der Deutschen einen Tablet-PC. Da verwundert es auch nicht mehr, dass mit 72 Prozent PC- und 75 Prozent Notebook-Besitz offensichtlich viele Auskunftgeber mehr als einen ausgewachsenen Computer ihr Eigen nennen. Bemerkenswert ist aber, dass zehn Prozent der Teilnehmer an der congstar-Umfrage kein Smartphone besaßen, demnach auch keinen Grund zu Sicherheitssorgen hatten. 

9% der User gaben an, ihr Handy oder Smartphone überhaupt nicht vor dem direkten Zugriff zu schützen, 28% bedienten sich einer einfachen Tastensperre, 37% der Telefonverriegelung mit Code und 60% der PIN der SIM-Karte. Es stimmt schon bedenklich, wenn 9 Prozent der Befragten angibt, sein Mobiltelefon gar nicht zu sichern und sich weitere 28 Prozent ausschließlich auf die Tastensperre verlassen. Hier ist dem direkten Missbrauch etwa nach einem Diebstahl des Smartphones inklusive der SIM-Karte Tür und Tor geöffnet. 60 Prozent sichern sich zumindest gegen Fremdnutzung der SIM-Karte ab, indem Sie diese durch die vorgesehene PIN schützen. 37 Prozent gehen sogar ganz auf Nummer sicher und nutzen eine Telefonverriegelung mit Code. Der direktesten Art des Missbrauchs beugen sie so vor.  Die Frage nach dem Schutz des Datenaustauschs beantworteten 32% mit "überhaupt nicht", 38% mit "Passwort", 27% mit "Verschlüsselung" und 20% mit "Sicherheitssoftware", 9% gaben "sonstige Schutzmethoden" an. Die Antworten nach dem Schutz des Datenaustausches sind schwer zu interpretieren, interessant ist ein wieder merklich über einem Drittel liegender Anteil an Befragten, die sich zumindest eines Passwortschutzes bedienen und damit Sensibilität für die Sicherheitsaspekte von Datentransfers beweisen. Inwieweit viele Umfrageteilnehmer ihren beruflich genutzten und per VPN verschlüsselten Zugang zum Firmennetz bei dieser Frage im Sinn hatten, bleibt aber unklar.

Der 32-prozentige Anteil an den Teilnehmern, die ihren Datenaustausch überhaupt nicht schützen, kann unterschiedlich motiviert sein. Wer etwa nur  mit dem privaten Computer Musik austauscht, hat wenig Grund, sich über Sicherheitsaspekte Gedanken zu machen. Und auch über viele private Mail-Accounts laufen häufig keine Daten, deren Ausspähung Wert für Kriminelle hätte. Allenfalls die Mailadressen der Kommunikationspartner könnten etwa für einen Spammer interessant sein. Doch im Vergleich zu den insgesamt auf vielen Smartphones gespeicherten Daten sind das Kleinigkeiten. Der Aufwand für eine Abschöpfung der Daten durch Abhören dürfte in keinem Verhältnis zum erzielbaren finanziellen Ertrag durch Veräußerung dieser Informationen stehen. Da der größte Teil krimineller Aktivitäten aber monetär motiviert ist, sind Daten, die unterm Strich keinen Gewinn bieten, vergleichsweise sicher. Die Frage nach installierter Sicherheitssoftware beantworteten 0,9% mit Trend Micro, 3,2% mit G-Data, 3,5% mit F-Secure, 4,1 % Symantec, 6,8% mit McAfee, 6,8% mit Kaspersky-Lab, 22% mit "sonstige" und 58% mit "keine". Rund 60 Prozent geben an, keine Sicherheitssoftware zu nutzen.

Ob man dies als vernünftig oder als fahrlässig bezeichnen soll, darüber sind Experten geteilter Meinung. So vertreten nicht wenige Fachleute die Ansicht, dass die starke Fragmentierung des Betriebssystemangebots zur Sicherheit beiträgt. Sie macht die Programmierung von auf breiter Basis einsetzbarer Schadsoftware auf jeden Fall schwierig. Denn jeder Angriff muss zum einen vom Betriebssystem abhängige Sicherheitslücken nutzen, zum anderen in einer von diesem unterstützten Programmiersprache geschrieben sein. Das war in der weitgehend uniformen Welt der Windows-PCs schon immer einfach, denn ein Virus kann hier zumindest theoretisch den größten Teil der genutzten PCs erreichen. Bei Smartphones mit vielen unterschiedlichen Betriebssystemen hingegen kann Schadsoftware immer nur einen begrenzten Teil der Geräte treffen. In Deutschland etwa würde ein Virus für Blackberry etwa 5 Prozent des Smartphone-Marktes abdecken. Der Schädling müsste dazu noch eine in allen Blackberry-OS-Versionen vorhandene Sicherheitslücke nutzen. Der Programmieraufwand verteilt sich also auf wenige potenzielle Opfer. Für Cyberkriminelle, die natürlich auch wirtschaftlich denken, verringert das den Anreiz, aktiv zu werden. Andere Betriebssysteme sind stärker verbreitet, was sie gefährdeter macht. Allen voran Android, das mit seinen 30 Prozent Marktanteil in Deutschland - was 10 Prozent der Bevölkerung entspricht - schon als "Smartphone-Windows  der Zukunft" bezeichnet wurde. Der vergleichsweise hohe Marktanteil macht es beliebt für Cyberkriminelle. Bei Android ist Antivirensoftware also am sinnvollsten eingesetzt, zumal sie neben Gefahrenabwehr und Beseitigung von Schädlingen noch andere nützliche Funktionen mitbringt. So kann gute Sicherheitssoftware etwa das Telefonbuch, SMS- und Call-Logs verstecken, ungewollte Anrufe und SMS blockieren oder Kindersicherungen gegen kostenpflichtige Telefonnummern setzen. Doch die gute Kontrolle fordert Tribut in Form von Rechenleistung und Akkuenergie. Wer bei einem dieser Punkte bereits Ressourcenprobleme hat, sollte den Einsatz von Sicherheitssoftware genau abwägen. Denn mit Vorsicht und gesundem Menschenverstand kann jeder User selbst eine Menge zur Gefahrenabwehr beitragen. Denn im Gegensatz zu PCs, die heute häufig aus dem Internet angegriffen werden, an dem sie regelmäßig stundenlang hängen, hat sich bei Smartphones ein anderer Infektionsweg als besonders effektiv zur Verteilung von Schädlingen herauskristallisiert: der Software-Shop, über den Applikationen aufs Telefon gebracht werden. 

Vor der Installation von Apps informierten sich 14% nicht, 23% gelegentlich über potenzielle Gefahren. 63% wollten vorab wissen, auf welche Daten die App zugreift. Damit gehen immerhin 63 Prozent der Befragten einen richtigen und wichtigen Schritt auf dem Weg zur Smartphone-Sicherheit. Denn gerade in Apps lauern Gefahren. Manche Software weist sogar darauf hin, dass sie auf das Adressbuch zugreift, die Position des Nutzers per GPS verfolgt und regelmäßig Daten nach Hause schickt - oft nebulös etwa als "zur Verbesserung des Services" beschrieben. Doch einige tun selbst das nicht. Das hat vor kurzer Zeit etwa die von Spiegel online als "Path-Desaster" bezeichnete ungenehmigte Übertragung von iPhone-Adressbüchern an das soziale Netzwerk Path gezeigt. Dass hierbei das dank streng kontrolliertem App Store eigentlich als sehr sicher geltende iPhone betroffen war, macht umso klarer, dass der Übergang zwischen nützlicher Applikation und kriminellem Schädling sehr fließend ist. Denn natürlich gibt es viele Applikationen, die vom Zugriff auf das Telefonbuch profitieren. Doch dieser sollte nur offen und nach Erlaubnis durch den User erfolgen. Macht eine App das heimlich oder macht sie von Daten oder Smartphone-Funktionen Gebrauch, die in keinem ursächlichen Zusammenhang mit ihrer Funktion stehen, sollten beim Nutzer alle Alarmglocken schrillen. Eine vorab durchgeführte Recherche, als wie seriös die gewünschte Software gilt, ist hier also sinnvoll. Auch beim Software-Download sollte der Nutzer im Zweifel beim zum Betriebssystem gehörenden Applikationsportal bleiben. Denn vermeintlich umsonst aus dem Internet angebotene, als seriös bekannte Apps, können den Virus quasi huckepack mitbringen. Anbieter wie Apple überprüfen jede Software vorab. Seit letztem Jahr führt auch Google beim Android Market bei jeder neuen App unter dem Namen Bouncer einen mehrstufigen Sicherheitscheck durch. Dabei wird die App zunächst auf bekannte Infektionen gescannt und dann in einer virtuellen Umgebung im simulierten Praxiseinsatz auf verdächtiges Verhalten untersucht. Sollte dabei etwas auffallen, wird sie zusätzlich durch Sicherheitsspezialisten überprüft. Hiroshi Lockheimer, Vicepresident of Engineering bei Google, gibt in seinem Blog zwar zu "dass keine Sicherheitsmaßnahme todsicher sein kann", doch in der zweiten Hälfte 2011 seien auf diese Weise die Downloads von Schädlingen schon um 40 Prozent zurückgegangen. 

Die Gefährlichkeit von Schadsoftware für Handy oder Smartphone stuften 24% als hoch ein, 42% als mittel, 19% als gering und 5% als sehr gering, 10% gaben keine Einschätzung ab. Die Frage nach der Gefährlichkeit von Schadsoftware besitzt natürlich eine stark subjektive Komponente. So wertet jeder die Tatsache, dass Freunde durch den Verlust des Adressbuchs zu Spamopfern werden können, anders. Gut ist, dass zumindest nur zwischen 5 und 15 Prozent der Studienteilnehmer kein Bewusstsein für die Gefahr haben, denen persönliche Daten auf dem Smartphone ausgesetzt sind. Auf die Frage nach zusätzlichen Speicherorten für die Mobiltelefondaten gaben 39% den PC, 24% zusätzlich einen Stick, eine Festplatte oder DVD und 4% sonstige Medien an, 33% verzichten auf ein Backup. Auf das Backup des Adressbuches und gegebenenfalls auch des Kalenders völlig zu verzichten, kann für Menschen mit normalen sozialen Bindungen nur als fahrlässig bezeichnet werden. Auf diesen Leichtsinn lassen sich immerhin ein Drittel der Befragten ein. Gut zu sehen, dass immerhin ein Viertel der Umfrageteilnehmer eine Form von Festspeicher für das Backup vorsieht. Bei nicht selten auftretenden Problemen mit dem Rückspielen von Daten vom PC kann eine zusätzlich abgespeicherte Datei oft die letzte Hilfe sein. 

Bezahlen über App-Anwendungen und Dienste auf dem Mobiltelefon fanden 3% sicher genug zur regelmäßigen Nutzung. Je 15% bezahlten bei vertrauenswürdigen Angeboten oder zogen dies in Betracht, während 66,7% monetäre Transaktionen als zu riskant einstuften. Bei den Antworten zum Bezahlen über das Mobiltelefon stellt sich die Frage, ob die Nutzer übervorsichtig sind. Schließlich sind Tools zum Abfangen von Kreditkartendaten auf PCs deutlich verbreiteter als auf Mobiltelefonen. Die größte Gefahr beim Bezahlen per Mobiltelefon besteht wie beim Computer darin, seine Bankoder Kreditkartendaten in die Hände eines unseriösen Anbieters zu geben. Hier gilt es - wie beim App-Download - die Seriosität des Anbieters vorab zu prüfen und nur mit solchen Firmen Geschäfte zu machen, die diesen Check unbeschadet überstehen. Ernstes Interesse an mehr Informationen zeigten 50% der Studienteilnehmer, 29% hielten sich für gut genug informiert. Das Resümee fällt erfreulich aus: Die bei der Befragung gegebenen Antworten zeigen ein im besten Sinne des Wortes für das Thema "Gefahren auf Mobiltelefonen" sensibilisiertes Publikum. Dass sich die Hälfte weitergehende Informationen wünscht, ist mehr als begrüßenswert. Schließlich entzieht erhöhte Aufmerksamkeit und gute Vorbeugung den Cyberkriminellen den wirtschaftlichen Boden. Doch wie gesagt: Bei der befragten Zielgruppe handelt es sich weitgehend um die überdurchschnittlich technisch interessierte Gruppe der Early Adopters. Diese Menschen sind wichtig, um die Wissensbasis für Risiken und Nutzen von Smartphones zu bilden. Die Erkenntnisse müssen sich dann allerdings in die breite Bevölkerung ausbreiten, damit alle den maximalen Nutzen bei minimalem Risiko aus der Smartphone-Revolution ziehen können.