Wir alle haben sie auf unseren mobilen Geräten: Apps. Aber welche Sicherheitsrisiken verstecken sich hinter den digitalen Helfern? Wie können Nutzerinnen und Nutzer sich selbst aber auch die mobilen Geräte ihrer Kinder vor Betrugsversuchen schützen? In dieser Episode unserer Videoserie Cyber-Sicherheit² geben Michaela Hansert, BSI, Informationssicherheitsberatung für Länder und Kommunen und Martin Bregenzer, EU-Initiative klicksafe im Gespräch praktische Tipps zu Sicherem Umgang mit Apps auf mobilen Geräten.

Geräteschutz nicht vernachlässigen

Selbst wenn nur Sie Zugriff auf Ihr Gerät haben, kommen beim täglichen Umgang verschiedene Parteien ins Spiel, denen Sie Ihre Datenschätze öffnen: Sie müssen nicht nur dem Hersteller des Gerätes Vertrauen entgegenbringen, sondern auch den Herausgebern und Programmierern der Apps. Dritter Beteiligter ist der Betreiber des Netzes, über das Daten ausgetauscht werden. Auch ihm müssen Sie vertrauen können, bevor sie Apps herunterladen und Daten speichern oder versenden. Erst wenn Sie allen Beteiligten vertrauen können, ist das Arbeiten mit Apps und persönlichen Daten empfehlenswert.

Tipps für mehr Sicherheit rund um das Smartphone

Viele Sicherheitseinstellungen für mobile Geräte lassen sich in Apps einrichten, allerdings gibt es auch viele Einstellungen, die wir an den Geräten selbst einrichten können. Im folgenden Video geben die Experten praktische Tipps dazu, was bei der Sicherung von Geräten zu beachten ist, wie Sie die Daten, die auf den Geräten gespeichert sind im Notfall wiederherstellen können und erklären, wie Sie Ihre Geräte am besten verschlüsseln.

Alle Videos der Videoserie Cyber-Sicherheit² finden Sie in der BSI-Mediathek.

App-Sicherheitstipps

Installation

• Installieren Sie nur die Apps, die Sie tatsächlich benötigen. Jede zusätzliche App stellt zunächst ein zusätzliches Sicherheitsrisiko dar, selbst wenn es sich um ein seriöses Angebot handelt. Praktisch jede Software enthält Sicherheitslücken, Gerade bei kostenlosen Apps handeln Sie sich auch schnell potenziell unerwünschte Programme (PUP) wie falschen Antiviren-Schutz oder Adware ein. Der fragwürdige Zweck von Adware ist, Werbung einzublenden.
• Installieren Sie Apps nur aus vertrauenswürdigen Quellen – etwa den im Smartphone voreingestellten App-Stores und Markets der Hersteller.
• Prüfen Sie, auf welche Funktionen die App Rechte beansprucht. Je nach Betriebssystem können Sie vor der Installation einer App sehen, welche Rechte die Anwendung nach der Installation erhält. Achten Sie darauf, dass Apps nur auf die Smartphone-Funktionen zugreifen können, die für den Anwendungszweck nötig und plausibel sind. So ist Skepsis angebracht, wenn etwa eine Anwendung zum Speichern von Notizen auf die SMS-Funktion zugreifen will. Hier müssen Sie kritisch prüfen, ob Sie die Berechtigungen annehmen möchten, denn es gilt, alle Berechtigungen zu bestätigen oder die App nicht zu installieren. Weitere Informationen zur Bestätigung von App-Rechten unter Android finden Sie hier.
• Wenn Sie unsicher sind, ob die App vertrauenswürdig ist, hilft meist schon eine kurze Suche im Internet. Hier wird zeitnah informiert, wenn eine App Schadsoftware beinhaltet.
• Vorsicht bei Schnäppchen: Populäre Apps, vor allem Spiele, werden nachgeahmt. Die Nachahmer bieten die Apps billiger oder kostenlos an, bauen aber mitunter schädliche Funktionen in die Apps ein oder locken mit kostenpflichtigen "Extra-Leveln".

Aktualisierung

• Überprüfen Sie regelmäßig, ob Updates für Apps und Betriebssystem zur Verfügung stehen und installieren Sie diese möglichst umgehend.
• Seien Sie nicht nur bei der Installation neuer Apps, sondern auch bei Updates vorsichtig. Updates können vom Herausgeber genutzt werden, um eine App, der Sie nach einer gewissen Benutzungszeit vertrauen, mit zusätzlichen Zugriffrechten auszustatten. Verzichten Sie daher auf automatische Updates von Apps und installieren Sie die Updates manuell. Dann haben Sie je nach Betriebssystem die Möglichkeit sich die Rechte erneut anzeigen zu lassen.

Gebrauch

• Beobachten Sie die Statusleiste auf dem Smartphone-Bildschirm. An den Symbolen können Sie erkennen, wenn eine App Ortungsdaten sammelt oder Funkschnittstellen aktiviert. Sind etwa GPS oder Bluetooth aktiv, ohne dass Sie die Schnittstellen eingeschaltet oder bewusst genutzt haben, sollten Sie der Ursache auf den Grund gehen, indem Sie überprüfen, welche Apps gerade aktiv sind (siehe nächster Punkt).
• In logischer Verlängerung des erstgenannten Arguments, wonach Sie nur Apps installieren sollten, die Sie tatsächlich benötigen: Löschen Sie Apps, die Sie nicht mehr benutzen.

App-Berechtigungen bei Android

Dieser Exkurs bezieht sich nur auf das Betriebssystem Android von Google für Mobiltelefone. Grund hierfür ist, dass der Nutzer bei anderen Systemen, wie Apples iOS oder Windows, die einzelnen Berechtigungen der Apps nicht bestätigen beziehungsweise abwählen kann.

Wirkungsweise des Android-Schutzkonzeptes

Applikationen (Apps) für das Betriebssystem Android laufen in einer geschützten, abgeschlossenen Umgebung, einer sogenannten Sandbox. Diese Sandbox bietet zum einen Schutz nach innen, dadurch sind Ihre Benutzerdaten der App vor einem Fremdzugriff geschützt. Zum anderen enthält das Prinzip einen Schutz nach außen. Dieser verhindert, dass die App auf andere Benutzerdaten oder Systemdienste zugreifen kann. Für bestimmte Funktionalitäten wie Datenaustausch und Kommunikation wird die Sandbox mit Hilfe von Berechtigungen (auch Permissions genannt) nach außen hin geöffnet.

Berechtigungen

Android kennt etwa 160 verschiedene Berechtigungen, die von Google in Gruppen und Sicherheitsstufen eingeteilt werden. Die Gruppen dienen zur Sortierung der Berechtigungen, sie sagen nichts über die Sicherheit aus. Gruppen sind zum Beispiel:

• Kostenpflichtige Dienste
  Ermöglichen Anwendungen die Ausführung eventuell kostenpflichtiger Aktionen.
• Ihre Nachrichten
  Lesen und schreiben von SMS, E-Mails und anderen Nachrichten.
• Ihre persönlichen Informationen
  Direkter Zugriff auf die Kontakte und den Kalender Ihres Telefons.

Wichtig sind die Sicherheitsstufen, da sie eine Aussage über die Kritikalität der Berechtigung treffen.
Folgende vier Stufen unterscheidet Google: 1. normal; 2. dangerous; 3. signature; 4. signatureOrSystem

Für Sie sind "normal" und "dangerous" relevant, da die zugehörigen Berechtigungen bei der Installation einer App bestätigt werden müssen. Von den in Android definierten Berechtigungen haben 60 die Sicherheitsstufe "dangerous".

Bei der Sicherheitsstufe "dangerous" ist es potenziell möglich, dass mit der jeweiligen Berechtigung eine missbräuchliche Verwendung der entsprechenden Funktion durchgeführt wird. Internet-Kriminelle könnten somit Ihr Gerät kompromittieren und beispielsweise private Daten ausspionieren.

Im Folgenden sehen Sie zwei Beispiele für Berechtigungen (Quelle: Texte von Android übernommen):

Beispiel: Sicherheitsstufe: dangerous

Berechtigung:	Telefonnummern direkt anrufen.
Beschreibung:	Ermöglicht den Anwendungen, Rufnummern ohne Ihr Eingreifen zu wählen. Schädliche Anwendungen können für unerwartete Anrufe auf Ihrer Telefonrechnung verantwortlich sein. Das Wählen von Notrufnummern ist allerdings nicht möglich.
Gruppe:	Kostenpflichtige Dienste

Beispiel: Sicherheitsstufe: normal

Berechtigung:	Netzwerkstatus anzeigen
Beschreibung:	Ermöglicht einer App, den Status aller Netzwerke anzuzeigen.
Gruppe:	Netzkommunikation

Auswahl kritischer Berechtigungen

(Quelle: Originalbeschreibungen von Android)

Die folgenden Beispiele zeigen die unterschiedlichen Bereiche, in denen die Apps kritische Berechtigungen fordern können und welche Risiken daraus entstehen.

• Kostenpflichtige Dienste

  • Kurznachrichten senden:
    Ermöglicht der App das Senden von SMS. Bei schädlichen Anwendungen können Kosten entstehen, wenn diese Nachrichten ohne Ihre Zustimmung versenden.

• Ihre persönlichen Informationen

  • Kontaktdaten lesen:
    Ermöglicht einer App, alle auf Ihrem Telefon gespeicherten Kontaktdaten (Adressen) zu lesen. Schädliche Apps können so Ihre Daten an andere Personen senden.
  • In sozialem Stream lesen.
    Diese Berechtigung ermöglicht der App, auf soziale Updates von Ihnen und Ihren Freunden zuzugreifen und diese zu synchronisieren. Schädliche Apps können mithilfe dieser Berechtigung private Kommunikationen zwischen Ihnen und Ihren Freunden in sozialen Netzwerken lesen.
  • Kalendertermine sowie vertrauliche Informationen lesen.
    Ermöglicht einer App das Lesen aller Kalendertermine, die auf Ihrem Telefon gespeichert sind, einschließlich der Termine von Freunden oder Kollegen. Schädliche Apps mit dieser Berechtigung können aus diesen Kalendern ohne das Wissen der Eigentümer persönliche Informationen extrahieren.
  • Genauer (GPS-) Standort
    Zugriff auf genaue Standortquellen wie GPS auf dem Telefon (falls verfügbar). Schädliche Apps können damit bestimmen, wo Sie sich befinden und Ihren Akku zusätzlich belasten.

• Netzkommunikation

  • Uneingeschränkter Internetzugriff
    Ermöglicht einer App, Netzwerk-Sockets einzurichten.

• Hardware-Steuerelemente

  • Bilder und Videos aufnehmen.
    Ermöglicht der App, Fotos und Videos mit der Kamera aufzunehmen. So kann die App jederzeit Bilder aus dem Sichtfeld der Kamera erfassen.

App-Installation

In den verschiedenen App-Stores werden die von einer App benötigten Berechtigungen mit Beschreibung nach Gruppen sortiert aufgelistet. Die Berechtigungen mit der Sicherheitsstufe "dangerous" werden Ihnen vollständig angezeigt, während Sie Berechtigungen der Sicherheitsstufe "normal" durch einen Klick auf "Alle anzeigen" zusätzlich öffnen müssen. Auch bei Installation der App werden alle "dangerous"-Berechtigungen aufgelistet, die "normal"-Berechtigungen müssen Sie zusätzlich aufklappen.
Wenn Sie eine neue App installieren, müssen Sie die von der App beantragten Berechtigungen bestätigen. Dabei gilt "Alle-oder-keine". Eine differenzierte Genehmigung der App-Berechtigungen ist nicht möglich. Dies führt häufig dazu, dass die beantragten Berechtigungen bestätigt werden, ohne dass die möglichen Gefährdungen bekannt sind.

Sicherheitsempfehlungen

Es gelten dieselben Sicherheitsempfehlungen wie für Apps anderer Betriebssysteme. Allerdings gibt es mehr Malware und potenziell unerwünschte Programe (PUP) für Android und auch mehr unseriöse Quellen, Apps zu beziehen als für andere mobile Betriebssysteme. Zudem lassen sich einzelne Berechtigungen nicht abwählen, ohne damit die gesamte Installation abzubrechen. Noch ein Hinweis zu dem Bewertungssystem, auf das Google als "Sicherheitsempfehlung" setzt:

• Bewertungssysteme:
  Google setzt stark auf das Bewertungssystem als "Sicherheitsempfehlung": Je mehr Nutzer eine App verwenden und diese positiv bewerten, umso größer soll die Wahrscheinlichkeit sein, dass die App seriös ist, beziehungsweise schädliche Inhalte entdeckt werden.
  Für die Bewertung der Sicherheit einer App ist dieses Kriterium natürlich unbrauchbar. Allerdings kann es in Kombination mit den anderen Kriterien zumindest als Indikator für die Seriosität einer App dienen. Dem BSI ist aber zum Beispiel eine App bekannt, die als Antiviren-Schutz für ein paar Euro verkauft wurde und gute Beurteilungen von Anwendern erhielt. Sie war aber vollkommen wirkungslos.