8 Tipps um Android-Smartphones sicher zu betreiben

Ich möchte mich in diesem Artikel nicht um einen Vergleich zwischen iPhones und Android bemühen, daher nur so viel zu Beginn: Android ist für erfahrene und kritische Nutzer ein absolut sicheres mobiles Betriebssystem – durch weniger Sicherheitslücken sogar sicherer als iOS (heise online | Sicherheitsbericht von S21sec). Dennoch kursieren in den letzten Monaten vermehrt Meldungen zu Malware (Viren, Trojaner etc.) auf Android, aber nichts zu iOS – wie passt das zusammen? Zunächst einmal ist die einseitige Berichterstattung der Medien daran Schuld, zum Anderen aber auch die unterschiedlichen Sicherheitskonzepte bei iPhone und Android. Anhand der folgenden acht Punkte zeige ich, wie das Konzept von Android am besten genutzt werden kann, um ein sicheren Betrieb zu gewährleisten.

1. Der große Vorteil für Entwickler ist, dass jeder eine App für Android entwickeln und diese ungeprüft zur Installation anbieten kann. Dieses ist aber gleichzeitig auch der große Nachteil für den Nutzer, denn so können bei Google Play (ehemals Android Market) mehr bösartige Apps im Umlauf sein als im Apple AppStore, wo die Apps einer „Prüfung“ unterliegen. Bevor die App bei Android allerdings auf dem Smartphone installiert werden kann, werden von dem Androidsystem die angeforderten Berechtigungen der App abgefragt. Wenn eine Spiele-App dann z. B. nach der Berechtigung „Kostenpflichtige SMS Premium Dienste“ fragt, sollten bei jedem Anwender die Alarmglocken läuten. Insofern ist dieses Sicherheitskonzept wesentlich transparenter als bei Apple, allerdings neigen unbedarfte User dazu, diese Berechtigungsabfrage einfach zu bestätigen ohne diese zu hinterfragen. Somit ist das technische Sicherheitskonzept durch das unbedarfte Handeln des Users komplett umgangen. Das Wichtigste und somit der erste Punkt ist das Kontrollieren der App-Berechtigungen bei einer Installation und dieses sollte von jedem Android-User auch entsprechend ernst genommen werden. Dennoch existieren noch sieben weitere Sicherheitsmaßnahmen die ich zusammengestragen habe und jedem nur empfehlen kann.

2. Beginnen möchte ich mit der Einstellung zur Installation von Apps mit Unbekannter Herkunft für Android. Diese Konfigurationsoption, ermöglicht es jedem Nutzer auf dem Smartphone Apps auch aus anderen Quellen als Google Play zu installieren. Im Normalfall ist dieses ein Hinzugewinn, denn so bin ich nicht nur auf diesen Store angewiesen, sondern kann auch von anderen Stores (z. B. Amazon) oder anderen Webseiten Apps herunterladen und diese dann auf dem Telefon installieren. Allerdings birgt dies auch einige Risiken wie z. B. das Risiko eines Drive-by-download. Dies bedeutet, dass beim Besuch einer bösartig präperierten Webseite, im Hintergrund eine Datei heruntergeladen wird und als offizielles Update (Update.apk) getarnt von mir installiert werden soll. Wenn ich dem Wunsch nachkomme, habe ich mir über diesen Weg das Smartphone infiziert. Das Deaktivieren der Option schützt hiervor und im Normalfall genügt dem Standarduser die App-Vielfalt aus Google Play, insofern sollte man diese Option deaktivieren. (Bei Andorid 4: Systemeinstellungen > Sicherheit > Unbekannte Herkunft | Bei Android 2/3: Systemeinstellungen > Anwendungen > Unbekannte Quelle)

3. Zusätzlich besitzt jeder die Möglichkeit, sich einen Antivirenschutz auf seinem Smartphone zu installieren. Diese arbeiten unterschiedlich gut und ich habe für mich meinen Favoriten auserkoren und dieser lauetet Dr.Web (hier der Bericht in einem anderem Artikel von mir). Aber auch hier noch einmal der expliziete Hinweis: Viren sind per se kein großes Problem bei Android, solange jeder bei der Installation die Zugriffsrechte im Auge behält. Für den Fall, dass ich mir aber eine alternative SMS-App installieren möchte, so würde ich dort dem Versenden von SMS natürlich zustimmen. Stellt sich nun später heraus, dass diese App doch im Hintergrund kostenpflichtige SMS verschickt, wäre ich mit einer Antiviren-App sicherlich geschützt gewesen – allerdings natürlich nur solange mein Antivirenhersteller die jeweilige App auch als Virus erkennt – aber das sind die selben Bedingungen wie auf einem PC. Auch wenn kein zwingender Bedarf für eine Antiviren-App auf dem Smartphone existiert, so sollte man diesem trotzdem nachkommen, zumal auch genügend kostenlose Versionen zur Verfügung stehen. Auch wenn man generell Vorsichtig im Umgang mit zu installierenden Apps sein sollte, so hat eine Antiviren-App ein enormes Beruhigungspotential.

4. Die Displaysperre schützt die auf dem Smartphone vorhandenen Daten bei Verlust vor den neugierigen Augen der Finder. Dieses sollte jeder im Vorweg aktivieren, was wiederum vor jeder Nutzung das Entsperren des Bildschirms verlangt. Dieses sollte einem die Daten auf seinem Smartphone Wert sein. Heutzutage tragen wir fast unser gesamtes Leben in unserem Smartphone herum. Passwörter, private Photos, E-Mails, Kontaktdaten uvm. muss definitiv geschützt werden. Unter Android hat man mehrere unterschiedliche Möglichkeiten eine Displaysperre einzurichten: Passwort, PIN, Muster. Je nachdem für welche Variante man sich entscheidet und wie komplex man dann das „Passwort“ wählt, umso sicherer kann man sich sein. Den größten Schutz bietet ein komplexes Passwort, gefolgt von einer PIN und zuletzt kommt das Muster. Die große Schwäche des Musters ist der Touchscreen, auf dem man dank zurückbleibender Fingerspuren das Muster erraten kann. Ein einfaches Muster ist aber immer noch um Welten besser als gar keine Displaysperre und ebenfalls nützlicher als eine PIN zu vergeben die „1234“ lautet.

5. Zusätzlich kann man noch einen Diebstahlschutz nutzen der mittlerweile auch in vielen Antiviren-Apps  integriert ist.  Mit diesen Anwendungen kann man (je nach App) entweder per Webinterface oder per SMS das Display komplett sperren, eine Nachricht darauf ausgeben und gegebenenfalls das Smartphone sogar per GPS orten. In einigen Fällen ist sogar das komplette Löschen aller persönlichen Daten auf dem Smartphone möglich. Hat man sein Smartphone verloren und jemand findet eben dieses, kann man seine Daten vor neugierigen Blicken schützen und den Finder zusätzliche Kontaktmöglichkeiten anbieten. Allerdings sei an dieser Stelle erwähnt, dass wenn ich ein Smartphonedieb wäre, meine erste Tat das Entfernen der SIM-Karte wäre. Somit würde das Smartphone auch keine SMS mehr empfangen und auch per Internet nicht mehr erreichbar sein und damit würden die genannten Apps ihre Funktion verlieren. Einige Apps (so auch Dr.Web) versenden auch eine SMS, wenn erkannt wird, dass die SIM-Karte ausgewechselt wird. Aber mit dem Einspielen einer neuen Firmware, ist auch dieser Schutz hinfällig, ein Hinzugewinn sind diese Apps dennoch.

6. Ein wichtiger Punkt oder besser gesagt ein großer Streitpunkt bei Android ist die Thematik bezüglich der Updates, welche aufgrund der Herstelleranpassungen häufig lange auf sich warten lassen bzw. oft auch gar nicht mehr ausgeliefert werden. In Android auftauchende Sicherheitslücken werden also auf vielen Geräten gar nicht mehr gepatcht und stellen somit ein erhöhtes Risiko dar. Wer allerdings ein Update für sein Telefon zur Verfügung stehen hat, sollte dieses auch auf seinem Telefon einspielen. Wenn das eigene Telefon keine Updates mehr erhält könnte man auch darüber nachdenken, sich eine Custom ROM auf sein Handy einzuspielen (Artikel folgt). Dieses bedeutet, dass man die Systemsoftware nicht mehr von seinem eigentlichen Smartphone-Hersteller erhält, sondern von einer Gruppe von Programmierern (z.B. Cyanogenmod), welche den Quelltext von Android auf viele unterschiedliche Smartphones anpassen. Die Custom ROMs von Cyanogenmod basieren im Normalfall immer auf dem aktuellen Quelltext den Google entwickelt. Allerdings sollte man sich bewusst sein, dass auch hier ein Sicherheitsrisiko liegt, denn die Custom ROMs werden von einer Gruppe von Programmierern angeboten und man kann sich nicht gewiss sein, was tief im System hinterlegt ist. Es ist also ein Abwägen zwischen der Sicherheit, alle Updates zu erhalten und dem Risiko, z. B. eine Hintertür untergeschoben zu bekommen. Allerdings ist dieses theoretische Risiko auch bei jeder offiziellen Firmware des Herstellers vorhanden.

7. Für die Custom ROMs wie sie im vorherigen Absatz erwähnt wurden oder für viele andere Sicherheitserweiterungen sind sogenannte Rootrechte erforderlich. Diese Rootrechte sind herbei mit den Administrationsrechten bei Windows vergleichbar und ermöglichen es einem unter anderem auch Systemdateien von Android zu verändern. Allerdings sollte man sich bewusst sein, dass durch das Recht, Systemkomponenten abändern zu können, auch wiederum ein großes Risiko auf dem Smartphone ensteht. Ist einer App einmal zu voreilig das Rootrecht zugewiesen worden, kann das Telefon ganz schnell einmal gar nicht mehr funktionieren, weil Konfigurationsdateien falsch abgeändert oder sogar komplett gelöscht wurden. Deshalb wird meistens zeitgleich mit den Rootrechten auch ein Tool zur Verwaltung der Apps mit Rootrechten bereitgestellt – im Screenshot rechts ist die App Superuser zu sehen. Zudem können Apps mit Rootrechten aus der sogenannten „Sandbox“ (vereinfacht gesagt, ist dies ein Sicherheitskonzept um Apps und deren Daten von anderen Apps getrennt zu halten) ausbrechen und auf alle anderen Daten zugreifen. Hier gilt der Grundsatz: Wer nicht weiß, was er macht, sollte es lieber lassen. Wer sein Smartphone jedoch mit Rootrechten versehen hat, profitiert schnell von den schier unbegrenzten Möglichkeiten und hier geht es nicht nur darum störende Werbung aus Apps herausfiltern, sondern auch um sicherheitsrelevante Apps.

8. Zu nennen ist hier auf jeden Fall der Einsatz einer Firewall auf dem Smartphone. Ohne Rootrechte wäre eine App dieser Art gar nicht möglich und der Mehrwert dieser Apps ist fast unbeschreiblich. Habe ich im ersten Absatz noch geschrieben, dass man bei der Installation von Apps noch die angeforderten Berechtigungen prüfen soll, so kann dieser Schritt mit einer Firewall theoretisch komplett entfallen. Mit einer App wie LBE Privacy Guard (Artikel folgt) kann ich jeder anderen App im Nachhinein einzelne Berechtigungen entziehen und somit sogar viele Gefahren neutralisieren. Gefällt es mir nicht, wenn ein Spiel meinen GPS-Standort in Erfahrung bringen möchte, so müsste ich die Installation eigentlich abbrechen. Mit Hilfe einer Firewall kann ich die App nun aber installieren und das Recht zur Feststellung des Standortes per GPS einfach im Nachhinein entfernen und somit die App trotzdem nutzen. Zudem erhalte ich bei einer Firewall und entsprechender Einstellung über die Statuszeile ausgegeben, wann welche App gerade ein gewisses Recht ausführt. Da Whatsapp im Hintergrund häufiger die Kontaktadressen mit dem Server abgleicht, sehe ich nun wie häufig dieses eigentlich passiert.

Das könnte Dich auch interessieren...

6 Antworten

  1. rafa sagt:

    Top – konnte einiges dazu lernen. thx

  2. Hannes sagt:

    Super, ich danke dir. Ich werde sicherlich das eine oder andere ausprobieren.

  1. 18. Dezember 2012

    […] Einsatz von AV-Software kann trotz erheblicher Zweifel (hier der Artikel auf meinem Blog) sinnvoll sein, dieses liegt […]

  2. 7. Mai 2014

    […] angebotenen Apps sind so sicher wie die aus Google Play (weitere Informationen zur Sicherheit in diesem Artikel). Darüber hinaus wird übrigens ein Amazon-Account benötigt, aber ich denke mal, dass etwa 95% […]

  3. 24. Oktober 2014

    […] Einsatz von AV-Software kann trotz erheblicher Zweifel (hier der Artikel auf meinem Blog) sinnvoll sein, dieses liegt aber eher an den Zusatzfunktionen, […]

Schreibe einen Kommentar zu Hannes Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.