Smartphone-Security

10 Regeln, um das eigene Handy sicherer zu machen

Uhr
von Oliver Wietlisbach, Watson.ch

Zehn goldene Regeln, die das Smartphone sicherer machen.

(Source: Artem Maltsev/unsplash.com)
(Source: Artem Maltsev/unsplash.com)

In Smartphones stecken unermessliche Datenschätze. Seien es Fotos, Chatprotokolle, Banking-Daten, Bewegungsprofile oder anderes. Damit die gespeicherten Daten so sicher wie möglich bleiben, brauchen Sie keine Virenscanner-App, sollten aber die folgenden Ratschläge beherzigen.

Einiges davon haben Sie vermutlich schon mehrfach gehört, und hoffentlich auch umgesetzt. Falls dem so ist, betrachten Sie die folgende Übersicht als Kontrollliste oder "Anleitung zur digitalen Selbstverteidigung".

1. Verriegeln Sie Ihr Handy

Müssen wir das wirklich noch sagen? Ja, in einer Welt, in der das meist genutzte Passwort "123456" ist, müssen wir. Noch immer verzichten viel zu viele Leute darauf, ihr mit Abstand wichtigstes Alltagsgerät mit einem sicheren Passwort zu schützen.

Klar, 50 bis 100 Mal am Tag den PIN-Code eintippen kann nerven, aber bei praktisch allen neueren Handys kann man sich auch schnell und bequem per Fingerabdrucksensor oder Gesichtsscan anmelden. Das Einrichten dauert maximal 30 Sekunden und die biometrischen Daten werden lokal auf dem Gerät gespeichert.

Auch PIN, Fingerabdruck oder Gesichtsscan bieten zwar keine hundertprozentige Sicherheit, sind aber das absolute Minimum, um das eigene Gerät zu schützen.

Android-Smartphones und iPhones lassen sich so einstellen, dass sie erst einige Zeit nach der letzten Verwendung wieder entsperrt werden müssen. Das ist bequem, aber unsicher. Am besten stellt man das Gerät so ein, dass es sich rasch wieder sperrt und nutzt für das schnelle Entsperren den Fingerabdruck oder die Gesichtserkennung.

Ebenfalls potenziell unsicher sind "Smart Lock"-Einstellungen, die das Handy an einem "vertrauenswürdigen Ort" – typischerweise in der eigenen Wohnung – automatisch entsperrt lassen.

2. Surfen Sie so anonym wie möglich

Vom Webbrowser und seinen Einstellungen hängt massgeblich ab, wie viele Spuren wir beim Surfen im Netz hinterlassen. Das Problem: Vorinstallierte Browser wie Chrome (Google), Safari (Apple) oder Edge (Microsoft) dienen den kommerziellen Interessen der jeweiligen Hersteller.

"Da der Quellcode nicht vollständig offen, die Bauweise des Programms also nicht geklärt ist, lässt sich nicht überprüfen, welche Informationen im Hintergrund gesammelt werden", erklärt der Ratgeber "Eine kurze Anleitung zur digitalen Selbstverteidigung". Er wurde gemeinsam von der WOZ, dem Chaos Computer Club Schweiz, dem Konsumentenschutz und der Digitalen Gesellschaft veröffentlicht.

Die Autoren empfehlen statt Chrome und Co. Open-Source-Alternativen wie Firefox oder Brave. Brave ist eine schnelle, nutzerfreundliche Open-Source-Variante von Google Chrome, die sich ganz dem Datenschutz verschrieben hat. Das Spezielle an Brave: Der Browser lässt den User Werbung und Tracker blockieren, die Nutzer können den besuchten Webseiten aber ein "Trinkgeld" überweisen.

Das Geld dafür stammt aus "nicht aufdringlicher Werbung", die Brave anzeigt, ohne das Nutzungsverhalten zu verfolgen. Der Browser nutzt hierzu einen eigenen Werbedienst.

Für die angezeigte Werbung erhalten Browser-Nutzer und Brave selbst jeweils 15 Prozent und die Webseitenbetreiber bis zu 70 Prozent der Einnahmen.

Lässt man also einen Teil der Werbung zu, wird man dafür mit einer virtuellen Währung belohnt, die man mit einem Klick an seine Lieblings-Webseiten überweisen kann.

Als Brave-Nutzer kann man gezielt Webseiten unterstützen – auch mit eigenem Geld – oder in den Einstellungen festlegen, dass die Werbeieinnahmen automatisch auf die besuchten Webseiten verteilt werden. Diese können die virtuelle Währung (BAT) in eine beliebige Währung umtauschen.

Das Problem: Da Brave nur rund drei Millionen Nutzer zählt, haben sich erst wenige Webseiten angemeldet, die man finanziell unterstützen kann: etwa "The Guardian", "Washington Post" oder das deutsche Techportal Golem.

Brave ist nicht unumstritten. Einige Medien bezeichnen den Browser als illegal, da er ihre Werbung filtert und trotzdem mit ihren Artikeln sowie "eigener" Werbung Geld verdient.

Auf Android-Smartphones lassen sich alternative Browser wie Firefox oder Brave als Standardbrowser einrichten. Bei iOS kann man zwar andere Browser als Safari verwenden, aber diese nicht als Standardbrowser festlegen.

Eine weitere, besonders sichere, aber auch langsame Alternative zu Chrome, Safari und Co. ist der Tor-Browser. Hier wird der Datenverkehr über zufällige Knotenpunkte des weltweiten Tor-Netzwerkes geleitet.

Mit Tor lässt sich kaum beziehungsweise nur mit sehr grossem Aufwand nachverfolgen, wer auf welche Webseite zugreift. Ein Restrisiko, "mitgelesen" zu werden, bleibt also auch bei Tor, da insbesondere grosse Geheimdienste die Ressourcen haben dürften, Teile des Tor-Netzwerks zu überwachen.

3. Surfen Sie mit VPN (vor allem im öffentlichen WLAN)

Öffentliche WLAN-Verbindungen im Café, am Bahnhof oder im ÖV sind praktisch, aber nicht ungefährlich. In einem offenen ungeschützten Netzwerk kann theoretisch jeder den Datenverkehr mitlesen – der WLAN-Betreiber, Geheimdienste, Datenhändler oder Kriminelle.

Gewissen Schutz gegen Lauschangriffe in öffentlichen WLANs bieten VPN-Dienste. Hat man auf dem Handy eine VPN-App aktiviert, surft man über eine verschlüsselte Verbindung des VPN-Anbieters, was Angriffe massiv erschwert.

VPN-Dienste sind zunehmend auch eine beliebte, einfach einzurichtende Anonymisierungs-Möglichkeit: Die virtuellen privaten Netzwerke erlauben es, die eigene IP-Adresse nach aussen zu verschleiern, sprich anonymer zu surfen.

Man muss sich aber bewusst sein, dass unseriöse Anbieter den Datenverkehr teils mitlesen und für beliebige Zwecke missbrauchen können. Man sollte sich entsprechend gut informieren, welche Anbieter als seriös gelten.

Viele Firmen und Hochschulen bieten einen eigenen VPN-Service an. Bekannte VPN-Anbieter für Privatnutzer sind:

  • Cyberghost

  • Avira Phantom

  • HideMyAss

  • Private Tunnel/OpenVPN

  • ExpressVPN

  • Perfect Privacy

Das deutsche Techportal heise.de empfiehlt für Private vor allem CyberghostVPN und Avira Phantom VPN.

Wichtig: Eine hundertprozentige Sicherheit für die Anonymität sowie für den Datenschutz kann kein VPN-Anbieter garantieren, auch wenn er auf seiner Webseite aus Marketinggründen anderes behauptet.

Die gute Nachricht: In Zeiten von Datenflatrates und immer günstigeren Roaming-Tarifen gibt es auch weniger Gründe, sich in potenziell unsicheren WLANs anzumelden.

4. Aktivieren Sie die zweistufige Anmeldung (Passwort plus Einmal-Code) für E-Mail, Facebook etc.

Auch wenn es manchmal etwas nervt: Die Zwei-Faktor-Authentifizierung (Anmeldung in zwei Schritten) erhöht die Sicherheit des Logins enorm. Dabei ist das Passwort die erste Hürde, der Einmal-Code die zweite. Möchte man sich einloggen, kommt man erst in das Konto rein, wenn man auch den Code eingegeben hat, den man per SMS zugeschickt bekommt. Meist kann man dabei das eigene Gerät als vertrauenswürdig angeben, so dass man sich zum Beispiel nur alle 30 Tage per Zusatz-Code anmelden muss.

Alternativ bieten auch immer mehr Apps und Websites die Authentifizierung via spezieller Apps an. Dabei wird der nötige Code von einer Authenticator-App per Zufall generiert und muss innerhalb einiger Sekunden eingegeben werden, bevor er ungültig wird.

Grosse Firmen wie Google, Facebook, Microsoft oder Apple bieten die sichere Zwei-Faktor-Authentifizierung schon lange an. Auch GMX ermöglicht neuerdings die Anmeldung in zwei Schritten. Den zusätzlichen Schutz sollte man auf jeden Fall beim E-Mail-Konto aktivieren, da Angreifer über ein gehacktes E-Mail-Konto zig weitere persönliche Konten übernehmen können (siehe Punkt 5).

Beliebte Apps für Einmal-Codes sind der Google Authenticator sowie der Microsoft Authenticator.

5. Verwenden Sie einen Passwortmanager

Eigentlich sollte der Einsatz eines Passwortmanagers so selbstverständlich sein wie der PIN-Code bzw. der Fingerabdruck für die Smartphone-Sperre.

Für jedes Online-Konto brauchen wir ein separates Passwort: Diese Regel predigen Sicherheitsexperten seit Jahren. Falls mal wieder ein Web-Dienst gehackt wird und zig Millionen Passwörter in die Hände von kriminellen Hackern fallen, sind so nicht gleich alle Daten in Gefahr. Natürlich hält sich fast niemand daran, da wir uns so viele Passwörter kaum merken können. Das muss man aber auch nicht, denn dafür gibt es spezielle Apps, sogenannte Passwortmanager.

Ein Passwortmanager erstellt wirklich sichere Passwörter und füllt Loginfenster automatisch aus. Passwort-Manager wie LastPass, 1Password und Keepass merken sich also Passwörter für E-Mail, Facebook, Netflix, Onlineshops etc. und melden den Nutzer bei den entsprechenden Apps und Webseiten automatisch an. Man muss sich nur noch das Masterpasswort für den Passwort-Manager merken. Zentral ist, dass man ein einzigartiges und sehr sicheres Masterpasswort wählt, das man sonst nirgends verwendet.

Nutzt man den gleichen Passwortmanager auf mehreren Geräten, hat man jederzeit Zugriff auf alle Konten. Für Smartphones gibt es Passwortmanager-Apps, auf dem Desktop-PC kann man etwa Browser-Erweiterungen installieren.

Auch die besonders sichere Zwei-Faktor-Anmeldung ("Anmeldung in zwei Schritten") ist bei Passwortmanagern möglich und empfehlenswert. Um auf den Passwortmanager zuzugreifen, muss man so nicht nur das Masterpasswort eingeben, sondern zusätzlich einen Code. Solche Einmal-Codes werden von Authenticator-Apps von bekannten Firmen wie Google oder Microsoft erstellt.

Und wenn der Passwortmanager gehackt wird? Die Passwörter werden verschlüsselt gespeichert. Dadurch wäre ein Entschlüsseln eventuell gestohlener Passwörter extrem zeitaufwendig. Im schlimmsten Fall würde der Passwortmanager die Passwörter zurücksetzen. Sicherer, als ein Passwort für alle möglichen Dienste zu nutzen, ist dies allemal.

Wer trotz aller Vorteile keinen Passwortmanager nutzt, sollte unbedingt darauf achten, dass zumindest das Passwort für den E-Mail-Account einzigartig und absolut sicher ist.

Warum? Bei vielen Online-Diensten kann man das Passwort zurücksetzen, indem man sich einen Link an die eigene E-Mail-Adresse schicken lässt, mit dem man dann ein neues Passwort erstellen kann. Hat also jemand den Zugang zu deinem E-Mail-Konto, kann sich derjenige problemlos den Zugang zu vielen deiner anderen Konten verschaffen.

Beliebte Passwortmanager sind:

  • Laspass

  • 1Password

  • Keepass

6. Installieren Sie nur vertrauenswürdige Apps

Dass man Apps nur aus den offiziellen App-Stores beziehen sollte, hat sich inzwischen herumgesprochen. Leider kommt es bei inzwischen über zwei Millionen Apps immer wieder vor, dass es Kopien bekannter Apps, die mit Schadcode versehen sind, in die App-Stores von Apple und Google schaffen.

Bei den Fake-Apps handelt es sich oft um Fitnesstracker, VPN-Dienste, Virenscanner oder Games, die angeblich nur mit In-App-Käufen den vollen Funktionsumfang liefern. Beliebt ist auch der Abofallen-Trick, bei dem Nutzer zum Abschluss eines massiv überteuerten Abos verführt werden.

Seit es App-Stores gibt, versuchen Betrüger mit immer neuen Maschen die User abzuzocken. Apple und Google gehen zwar dagegen vor, aber schlussendlich ist es ein Katz-und-Maus-Spiel, bei dem die Betrüger immer einen Schritt voraus sind.

Besonders tückisch waren Ende 2018 entdeckte Scamming-Apps, die versuchten, User dazu zu bewegen, ihren Finger auf den Home-Button zu legen, während ein Fake-Prozess – zum Beispiel das angebliche Erkennen der Herzfrequenz – durchgeführt wurde.

Angezeigt wurde dabei eine Animation. Im Hintergrund startete die bösartige App dann eine Bezahlanfrage für einen In-App-Kauf. "Da der Finger der Nutzer auf dem Home-Knopf verblieb, wurde die Zahlung bestätigt, was teilweise sehr schnell erfolgte und von manchem User übersehen werden konnte", schreibt heise.de.

Dagegen hilft nur eines: Aufmerksam sein, die Finger von unbekannten Apps lassen oder – wenn man nicht darauf verzichten mag – zumindest die Rezensionen zur App lesen und eine kurze Netz-Recherche durchführen.

7. Entziehen Sie Apps den Zugang zur Kamera, zum Mikrofon etc.

Klar, die Telefon-App muss auf Mikrofon und die Kontakte zugreifen können – eine Taschenlampen-App aber beispielsweise nicht.

Oft ist es allerdings nicht so leicht, zu erkennen, welche Zugriffsrechte tatsächlich notwendig sind. Warum braucht etwa eine News-App wie Watson Zugriff auf die Kamera oder den Speicher?

Watson und andere News-Apps funktionieren auch ohne Kamera- oder Speicher-Zugriff, allerdings kann man dann mit der App kein "Leser-Reporter"-Foto knipsen bzw. aus der Foto-App auswählen.

Auf der sicheren Seite ist, wer nur die notwendigsten Apps installiert und die Zugriffsrechte auf ein Minimum beschränkt. Braucht eine App zwingend Zugriff auf das Mikrofon – etwa wenn man über WhatsApp einen Anruf tätigen möchte – kann man die Berechtigung später immer noch erteilen.

Gut zu wissen: In den App-Einstellungen kann man für jede App einsehen, welche Berechtigungen sie hat und allenfalls nachjustieren. Wenn man es mit den Einschränkungen zu weit treibt, kann es sein, dass eine App nicht mehr richtig funktioniert, kaputt machen kann man so aber nichts.

8. Kommunizieren Sie über einen verschlüsselten Messenger

Was viele nicht wissen: Die alten Mobilfunknetze hatten von Anfang an Sicherheitslücken, die es Behörden erlauben, Gespräche von potenziell Kriminellen mitzuhören oder SMS mitzulesen. Die EU will nun auch im neuen 5G-Netz Hintertüren einbauen lassen, damit die Strafverfolger im eigentlich viel sicheren 5G-Netz ihre Überwachungsmöglichkeiten nicht verlieren. Solche Hintertüren könnten allerdings auch von Kriminellen ausgenutzt werden. Dagegen kann man sich nur schützen, indem man verschlüsselt kommuniziert.

Die gute Nachricht: Inzwischen nutzen fast alle bei uns populären Messenger-Apps eine sichere Ende-zu-Ende-Verschlüsselung. Bei WhatsApp, Threema, Telegram, iMessage oder Facebook Messenger können selbst die App-Entwickler die Nachrichten nicht mitlesen. Das ist eine massive Verbesserung gegenüber der alten SMS, die unverschlüsselt übermittelt wird.

Die schlechte Nachricht: Es gilt das Gleiche wie bei den Webbrowsern (Punkt 2): Wenn der Quellcode nicht vollständig offen ist, lassen sich nicht alle Behauptungen der Hersteller durch unabhängige Experten überprüfen.

Die "Digitale Gesellschaft" hat die Sicherheit von Messenger-Apps im Vergleich zu E-Mail, SMS etc. Ende 2016 analysiert und empfiehlt vor allem Threema und Signal. Die Untersuchung ist zwar drei Jahre alt, laut den Autoren ist das Ergebnis aber "grundsätzlich noch gültig", wie es auf Anfrage heisst.

9. Erkennen Sie Phishing-Angriffe

Das ist leichter gesagt, als getan. Phishing-Angriffe, mit denen es Kriminelle auf das Passwort und weitere persönliche Daten der User abgesehen haben, kommen heute meist so raffiniert daher, dass sie praktisch nicht zu erkennen sind. Sie erfolgen oft über perfekt kopierte Webseiten oder Apps.

Ein Beispiel:

Eine dieser beiden Passwort-Abfragen kommt von Apple, die andere stiehlt Ihr Apple-ID-Passwort. Wer gewohnt ist, oft sein Apple-ID-Passwort einzugeben, fällt leicht auf ein betrügerisches Formular herein.

Für Phishing-Angriffe werden nicht nur gut gefälschte E-Mails bekannter Firmen oder Behörden genutzt, sondern immer häufiger auch solche SMS:

Wer auf den Link in einer Phishing-SMS klickt, gelangt auf eine gefälschte beziehungsweise kopierte Login-Seite, die der echten Webseite eins zu eins gleicht. Die Betrüger hinter den Fake-Seiten bekannter Firmen versuchen E-Mail, Handynummer, Kreditkartennummer etc. abzugreifen.

Einen guten Schutz gegen Phishing-Angriffe bietet die Zwei-Faktor-Authentifizierung, also die Anmeldung in zwei Schritten mit Passwort und einem zusätzlich auf das Handy geschickten Einmal-Code (siehe Punkt 4).

So erkennen Sie Phishing-Angriffe

Noch besser ist natürlich, wenn man Phishing-Mails und -SMS frühzeitig erkennt. Doch das wird immer schwieriger:

  • Früher verriet die schlechte Rechtschreibung den Phishing-Angriff. Heute kommen die Nachrichten oft in perfektem Deutsch daher.

  • Ein weiteres Indiz für einen Phishing-Angriff ist die unpersönlichen Anrede. Heute sind die Betrüger aber teils im Besitz persönlicher Daten wie Name und Postadresse.

  • Diese persönlichen Informationen haben sie beispielsweise aus Datenlecks bei Firmen wie Digitec, Uber, LinkedIn etc. Die gestohlenen Nutzerdaten können im Darknet von jedermann gekauft werden. Betrüger können ihre Opfer somit gezielt anschreiben und eine persönliche bzw. individuelle Nachricht verfassen, was die E-Mail bzw. SMS glaubwürdiger und gefährlicher macht.

  • Der angegebene Link wirkt auf den ersten Blick echt, auf den zweiten erkennt man jedoch kleine Abweichungen zur Original-Adresse.

  • Auf der Webseite, auf die man geführt wird, funktionieren die anderen angezeigten Menüpunkte nicht, beziehungsweise erzeugen Fehlermeldungen.

  • Es wird nach vertraulichen Daten wie Passwörtern, PINs, TANs, Kreditkartennummer etc. gefragt.

Die Nachricht signalisiert dringenden Handlungsbedarf: Beispielsweise steht in vielen Fake-Mails im Namen von Banken oder Providern, dass eine Kontosperrung drohe, wenn man nicht reagiere. Weitere Infos erhalte man, wenn man auf den Link klicke.

Falsche Mails von Online-Shops berichten oft von einer teuren Lieferung, die angeblich unterwegs sei. Nutzer können solche Probleme nur lösen, indem sie einem Link in der Mail folgen. Wer das tut, landet auf der Webseite von Betrügern.

Falsche Absender-Adresse: Kriminelle versuchen durch eine gefälschte Absenderadresse den Phishing-Versuch zu verstecken. Schauen Sie darum nach "Tippfehlern" beim Absender. Zum Beispiel: "info@amazzon.com" statt "info@amazon.com". Manche Täuschungen kann man auch so noch übersehen, etwa weil ein kleines "l" und ein grosses "I" fast identisch aussehen. Bei "bIuewin.ch" ist kaum ersichtlich, ob da wirklich ein kleines "l" oder eben ein grosses "I" steht.

Tipp: E-Mail-Apps zeigen oft nur den Namen des Absenders an und verbergen die Mail-Adresse. Oft lässt sie sich trotzdem anzeigen, indem man kurz (oder länger) auf die Adresse tippt.

10. Updates! Updates! Updates!

Ob iOS oder Android, in beiden Betriebssystemen stecken unzählige Sicherheitslücken und mit jeder neuen Funktion, die Apple und Google einbauen, tun sich potenziell neue Hintertüren für Angreifer auf. Umso wichtiger ist es, dass von Sicherheitsexperten gefundene und an Apple und Google gemeldete Lücken rasch per Update geschlossen werden.

Auch wenn es Apple und Google nicht an die grosse Glocke hängen, sie schliessen still und leise kritische Lücken in iOS und Android. Sätze wie "Das Update XY erhöht die Sicherheit ihres Systems" heissen im Klartext: "Uns wurde eine kritische Lücke gemeldet, die wir nun gestopft haben. Sie sollten das Update sofort installieren, da sie von Hackern bereits ausgenutzt wird bzw. es nur eine Frage der Zeit ist, bis es passiert."

Verwendete Quellen:

Dieser Artikel erschien erstmals auf "Watson.ch"

Webcode
DPF8_142411