Sicherheit von Smartphones: "Da kommt noch einiges auf uns zu"

taz.de: Herr Wicherski, erst vor wenigen Tagen wurden Trojaner für Googles Betriebssystem Android bekannt, die den Nutzern viele Daten klauen können. Was kommt da noch alles auf uns zu? Wird es bald normal sein, dass wir auch auf unseren Handys angegriffen werden?

Georg Wicherski: Ein modernes Smartphone ist heutzutage nichts anderes als ein portabler Computer und ein separater Handy-Chip für die Funkkommunikation - und das eben in einem Gehäuse. Auch wenn diese portablen Computer ein bisschen anders zu programmieren sind als der klassische Desktop-PC: Für viele Kriminelle ist es jetzt schon möglich, mit einfachsten Mitteln Angriffe durchzuführen.

Wie bewerten Sie den Android-Trojaner?

Es ist meines Wissens nach der erste Trojaner, der einen sogenannten Root-Exploit mit sich führt; diese werden auch für einen Jailbreak verwendet, um das Smartphone von Programmierhürden zu befreien. Das erlaubt es diesem Datenschädling, höchste Privilegien auf dem Telefon zu erlangen und damit auch geschützte Daten auszulesen, die Anwendungen normalerweise gar nicht auslesen können.

Ist ein Smartphone gefährdeter als ein Desktop-Rechner?

Im Interview: 

GEORG WICHERSKI hat an der RWTH Aachen Informatik studiert und arbeitete als Virus-Analyst bei der deutschen Tochter des internationalen IT-Sicherheitsunternehmens Kaspersky Labs. Mittlerweile ist er Security Researcher bei McAfee und auf Malware im Web-2.0-Umfeld und auf Smartphones spezialisiert.

Technisch ähneln sich Smartphone und PC sehr, daher wurden auch viele Sicherheitsprinzipien und gelernte Lektionen aus dem Rechner-Bereich in moderne Smartphones übernommen. Was leider noch wenig vorhanden ist, ist ein ausreichendes Sicherheitsbewusstsein bei den Anwendern.

Während die meisten Nutzer wissen, dass sie sich auf einem PC Schadsoftware einfangen können, wird dieses Bewusstsein nicht auf Smartphones angewendet. Die meisten Applikationen fordern bei der Installation Zugriff auf viel mehr Daten und Funktionen an, als eigentlich erforderlich wäre - und die Anwender erlauben dies meist, ohne darüber nachzudenken.

Werden wir Anti-Viren-Programme auf unseren Smartphones mit uns herumtragen müssen?

Viele Hersteller von Anti-Viren-Software bieten schon heute Lösungen für Smartphones an. Die Zahl der Schädlinge wird weiter zunehmen. Mit einer steigenden Verbreitung der Geräte wächst auch die Attraktivität für Kriminelle. Und viele Benutzer speichern schon heute mehr personenbezogene Daten in ihrem Smartphone ab als auf ihrem PC. Dies macht Smartphones beispielsweise für den Identitätsdiebstahl besonders "interessant".

Ein großes Problem scheint das Tempo zu sein, mit der Lücken in modernen Smartphone-Betriebssystemen geschlossen werden, die Online-Gauner ausnutzen könnten.

Der iPhone-Plattform iOS und dem Google-Konkurrenten Android fehlen derzeit automatische Update-Mechanismen für das Betriebssystem und seine Komponenten. Das manuelle Einspielen von Updates erscheint dem Durchschnittsanwender aber als unnötig, solange das Smartphone problemlos funktioniert. Außerdem vollen viele Anwender nicht aktualisieren, um vorgenommene Veränderungen, beispielsweise einen gewollten Jailbreak beim iPhone, nicht zu zerstören.

Warum ist es für die Handy-Hersteller so schwer, ein vernünftiges Update-System durchzusetzen?

Smartphone-Betriebssysteme wie Android werden nicht einheitlich eingesetzt, sondern von jedem Hersteller an seine Gerätemodelle angepasst. Es liegt also an den Herstellern der Smartphones, ein Update für ihre Technik anzubieten. Dort scheint aber das notwendige Sicherheitsbewusstsein noch nicht vorhanden zu sein.

Welche Schuld trifft die Netzbetreiber?

Die Netzbetreiber versuchen das aktive Ausnutzen von Sicherheitslücken zu blockieren, in dem beispielsweise schädliche SMS auf Netzbetreiberebene gefiltert werden. Jedoch ist dies nur bis zu einem gewissen Maße technisch überhaupt möglich. Verschlüsselte Daten können beispielsweise nicht auf schädliche Inhalte untersucht werden.

Neben Smartphones sind auch sogenannte zunehmend:Feature-Phones, also einfache Handys, betroffen. Kann man die überhaupt noch aktualisieren?

Realistisch ist das nicht. Allerdings sind Feature-Phones auch viel unzugänglicher für Entwickler und Schwachstellen zu finden gestaltet sich unwesentlich schwieriger. Einen Angriff, der über einfache Denial-of-Service-Attacken hinaus geht, würde ich hier nicht erwarten.