Anbieter und Nutzer sorgen sich mittlerweile mehr um die Datensicherheit bei Smartphones. Das belegen aktuelle Trends und eine Studie. Wo es dennoch hakt und ob die Bezahlung mit NFC sicher ist, klärt techtag mit dem Sicherheitsexperten Ben Schlabs.
Die Nachfrage der Deutschen nach Hochsicherheitshandys wie das Simko 3 hält sich in Deutschland in Grenzen. Zumindest aber verwenden mittlerweile nahezu drei Viertel der Deutschen ab 14 Jahren (72 Prozent) Sicherheitsmechanismen an ihren Handys, die nach kurzen Nutzungspausen den Zugriff auf das Gerät verhindern. Vor zwei Jahren noch aktivierte nur jeder dritte Smartphone-Nutzer (33 Prozent) Passwort-, Muster- oder Codeabfragen im Mobilgerät. Zu den Ergebnissen kommt eine von Bitkom initiierte Repräsentativbefragung.
Mehr Bewusstsein für Datensicherheit haben auch Anbieter wie Google oder Apple entwickelt. Die Entscheidung, welche Sicherungen angemessen sind, überlassen sie nicht mehr den Kunden allein. So leisten Google und Apple bei neuen Geräten – sofern sie mit Codesperre geschützt sind – eine Verschlüsselung der Daten, die auch spezielle Software nicht lesen kann. Google hat im neuen Betriebssystem Android 5.0 Lollipop auch bereits Schutzeinstellungen voreingestellt. Und Apple weist die Nutzer von iPhone und iPad mittlerweile bei der Wahl eines zu simplen Passtwortes beim Einrichten einer Codesperre auf die Risiken hin – nicht ohne Grund.
Touch-ID mit Klebstoff und Gummi überlisten
Die Kombinationen 0000 und 1234 verwenden Smartphone-Besitzer leider immer noch sehr häufig. „1234 wird von 12 Prozent aller Nutzer verwendet. Mit diesem Code knackt man rund jedes achte Handy“, sagt Ben Schlabs. Schlabs ist Sicherheitsexperte und bekannt von Veranstaltungen, wo er die Sicherheitsrisiken von mobilen Geräten vorführt. Auf der diesjährigen Blogger-Konferenz Re:publica demonstrierte er eindrucksvoll, wie man mit einem Foto, einer Kupferplatte, Farbspray, etwas Leim und handwerklichem Geschick einen Fingerabdruck imitieren und den von den Herstellern als sicher gepriesenen Sensor von iPhone 5 oder Samsung Galaxy S4/5 austricksen kann. Auch bei den aktuellen iPhone-Modellen 6 und 6plus knackte der studierte Physiker den Fingerabdrucksensor – mit der gleichen Gummi-Attrappe, die er bei der Re:publika bereits eingesetzt hatte. Die Touch-ID-Technik wurde schließlich nicht überarbeitet.
Schlabs räumt allerdings selbst ein: „Jeder Dieb wird bei einem ‚gefundenen‘, gesperrten Gerät auch abwägen, ob sich der Zeitaufwand lohnt.“ Ein professioneller Angreifer könne sehr schnell herausfinden, wie oder ob das Gerät geschützt ist, und entscheide dementsprechend. Als erstes probiere er die typischen PINs aus. „Eine zufällige PIN sollte 0,01 Prozent aller PINs repräsentieren“, rät Schlabs und erklärt, dass sich auch spezifischere Zahlenkombinationen relativ einfach entschlüsseln lassen: „Die meisten Leute benutzen eine PIN, die sie sich leicht merken können, zum Beispiel die Geburtsjahre von 1956 bis 2015. Das Problem: Diese lassen sich mit überschaubarem Aufwand nach der Brute-Force-Methode nacheinander durchprobieren.“ Gerade wenn Mitarbeiter Firmendaten auf ihren Mobilgeräten nutzen, kann dies heikel sein. Unternehmen sollten deshalb, so fordert Bernhard Rohleder, Hauptgeschäftsführer von Bitkom, „Diensthandys standardmäßig so einstellen, dass die Mitarbeiter ihre Kennwörter regelmäßig ändern müssen. Zudem sollte es Vorgaben zur Mindestlänge und dem Schwierigkeitsgrad des Passworts geben.“
NFC ist theoretisch sicher
Was vielen nicht bewusst ist oder worauf viele des Komforts wegen nicht achten: Trotz Sperrbildschirm können Angreifer an Daten auf dem Smartphone gelangen. Wenn „ich am oberen Bildschirmrand sehe, wer dein Provider ist, lass ich über Siri einfach die Nummer deiner Mailbox wählen. Über den Ziffernblick kann ich dann durch das Menü wandern und mir deine Sprachnachrichten anhören“, erläutert Schlabs die Methode von Angreifern.
Die Bezahlung mit dem Smartphone über die Near Field Technology, wie sie bei ApplePay eingesetzt wird, hält der Experte für sicher. Zwar könne die Kommunikation zwischen den Geräten abgehört werden, die Kreditkartennummer werde aber nicht im Klartext über NFC übermittelt. „Es wird quasi für jede Transaktion eine neue virtuelle Kreditkarte ‚erfunden‘. Theoretisch sollte es daher nicht möglich sein, Rückschlüsse auf die verwendete Kreditkarte ziehen zu können.“
