Smartphone vor Hackern, Viren und Co. schützen

Grundabsicherung des Smartphones

Schon seit vielen Jahren stellt Android grundlegende Funktionen zur Grundabsicherung des Smartphones bereit. Damit Sie es nicht vergessen, sind die allermeisten davon per Standard aktiviert. Nichtsdestotrotz raten wir Ihnen zu prüfen, ob die Funktionen auf Ihrem Mobilgerät richtig konfiguriert sind. Zu den wichtigsten Sicherheitsmaßnahmen gehört, dass Ihre installierten Apps automatisch aktualisiert werden. Die Herstellerupdates enthalten oftmals mehr als nur funktionale Erweiterungen. In aller Regel schließen die Updates auch bekannte Sicherheitslücken. Wir empfehlen Ihnen daher, die automatische Updatefunktion stets zu aktivieren. Sie finden die Funktion unter "Automatische App-Updates" in den Einstellungen der App "Play Store". Um Datenvolumen zu sparen, empfehlen wir die "Nur im WLAN"-Option, zu aktivieren.

Über die automatische Updatefunktion hinaus stellt Google für sein Betriebssystem jeden Monat ein Sicherheitsupdate zur Verfügung. Die Hersteller müssen sowohl Sicherheitsupdates als auch Versionsupdates erst in die Installation ihrer eigenen Geräte integrieren, bevor diese Updates verteilt werden können. Das hat zur Folge, dass es nach der Veröffentlichung von Updates zwei bis drei Monate - manchmal sogar Jahre - dauern kann, bis die meisten Smartphones ihre Updates von Google erhalten. Unter dem Menüpunkt "Über das Telefon" oder "Telefoninfo" in den Einstellungen Ihres Smartphones finden Sie den aktuellen Stand. Überprüfen Sie, ob automatisches Laden über WLAN eingeschaltet ist.

Hinweis: Vom Handyriesen Samsung werden Googles Sicherheitsupdates in Abhängigkeit vom Modell in der Regel mit einer Zeitverzögerung von mehreren Monaten ausgeliefert. Beim Samsung Galaxy S8 stand beispielsweise die Auslieferung des Sicherheitsupdates vom Juni erst Mitte August auf dem Programm.

App-Installationen nur aus sicheren Quellen zulassen

Weiter oben schilderten wir bereits, dass Angreifer es immer wieder schaffen, die im Google Play Store integrierten Schutzmechanismen zu überwinden. Dadurch gelangen dann Apps mit einer Hintertür in den Play Store. Noch mehr Risiken lauern, wenn Sie Apps aus unbekannten Quellen wie beispielsweise von einer Website installieren. Aus dem Grund besitzt Android einen integrierten Schutzmechanismus, um Installationen dieser Art grundsätzlich zu unterbinden. Sie haben dennoch die Möglichkeit, eine Freigabe zu erteilen, wenn Sie sich der Sicherheit der Website und der Installationsdatei (zumeist eine APK) gewiss sind. Die Freigabe ist allerdings grundsätzlich an die App gebunden, mit der das Laden und Installieren der APK-Datei erfolgt. Also etwa der Browser.

Unter "Einstellungen > Apps & Benachrichtigungen > Spezieller App-Zugriff > Installieren unbekannter Apps" befindet sich die Freigabe. Die Liste enthält alle Anwendungen, mit denen Sie Apps installieren könnten. Hier müssen Sie den "Dieser Quelle vertrauen"-Schalter aktivieren. Wir empfehlen allerdings, die Berechtigung wieder zurückzunehmen, sobald Sie die APK installiert haben. Ansonsten könnte es versehentlich passieren, dass sich Schadsoftware über diesen Weg heimlich auf Ihrem Smartphone installiert.

Per Sperrbildschirm Zugriff auf Smartphone-Inhalte unterbinden

Wir haben nun Sicherheitslücken in den Apps und im Betriebssystem bestmöglich geschlossen. Jetzt müssen wir Ihr Smartphone generell absichern, um es vor fremden Zugriffen zu schützen. Also vor Dieben, die Ihr Smartphone gestohlen haben, vor spielsüchtigen Kindern bei Ihnen zu Hause oder auch vor allzu neugierigen Kollegen am Arbeitsplatz. Was Sie auch immer auf Ihrem Smartphone an Daten speichern - wir raten Ihnen, die Displaysperre zu nutzen, um das Smartphone vor unbefugtem Zugriff zu schützen. Dieser Sicherheitsmechanismus ist unter "Sicherheit" in den Einstellungen des Smartphones zu finden. Um diesen zu aktivieren, müssen Sie zuerst zum Abschnitt "Gerätesicherheit" scrollen. Hier können Sie den Punkt "Displaysperre" aufrufen.

Je nachdem, wie Ihr Smartphone ausgestattet ist, gibt es verschieden Methoden der Authentifizierung. Alle Geräte erlauben die Einrichtung einer Sperre per Passwort, Muster oder PIN. Wir empfehlen, auf das Muster zu verzichten, weil es Spuren auf dem Display hinterlässt. Dadurch können Dritte es leicht erraten. Sicherer ist dagegen eine PIN. Doch auch diese kann durch Spuren auf dem Display leicht ermittelt werden. Vor allem dann, wenn es sich um eine kurze, nur aus vier Stellen bestehende PIN handelt. Ein Passwort zu knacken, ist dagegen deutlich schwieriger. Wenn Sie es zusammen mit einem biometrischen Merkmal verwenden, ist der Schutz am besten, denn das Passwort wird dann nur sehr selten abgefragt. Als biometrisches Merkmal können Sie neben Ihrem Fingerabdruck auch Ihre Iris oder Ihr Gesicht einsetzen. Während aktuelle Geräte in der Regel über einen Fingerabdrucksensor verfügen, ist Gesichtserkennung nur bei teureren Geräten verfügbar.

Vorsicht bei NFC und Bluetooth

Wenn Sie Ihren Smartphone-Zugang eingerichtet haben, sollten Sie Ihr Augenmerk auf die Schnittstellen richten. Die USB-Schnittstelle zum Laden oder zur Datenübertragung per Kabel ist damit allerdings nicht gemeint. Vielmehr geht es um Bluetooth, NFC und WLAN. Bluetooth wird von vielen Geräten genutzt, um mit dem Smartphone zu kommunizieren: Vom Autoradio über Kopfhörer bis hin zu Druckern. Die meisten Android-Nutzer aktivieren die Schnittstelle permanent, damit Ihr Smartphone ohne zusätzliche Aktionen immer über Bluetooth kommunizieren kann.

Sicherheitsexperten der Heidelberger Firma ERNW entdeckten im Februar 2020 eine bedrohliche Schwachstelle bei Bluetooth. Sie trägt die Bezeichnung Blue-Frag (CVW-2020-0022) und tritt ab der Version 8 von Android auf. In den Versionen Android 8 und 9 konnten die Experten über die aktivierte Schnittstelle auf das Gerät zugreifen und einen beliebigen Programmcode ausführen. Auch wenn das unter Android 10 so nicht mehr ging, gelang es dennoch, das Smartphone über die aktivierte Bluetooth-Schnittstelle zum Absturz zu bringen.

Google beseitigte die Schwachstelle zwar prompt und stellte den Smartphone-Herstellern ein entsprechendes Sicherheitsupdate zur Verfügung. Da viele Hersteller Sicherheitsupdates meistens nur für zwei Jahre durchführen, haben Nutzer älterer Geräte das Nachsehen, denn deren Smartphone ist dadurch dauerhaft ungeschützt.

Im Zusammenhang mit Bluetooth ist Blue-Frag nicht die einzige Schwachstelle, die Angreifer in der Vergangenheit für ihre Angriffe nutzten. Aus dem Grund raten wir grundsätzlich dazu, immer nur solche Schnittstellen zu aktivieren, die aktuell gerade benötigt werden. Das gilt nicht nur für Bluetooth, sondern auch für NFC und WLAN. Der Schnellzugriff erlaubt ein schnelles Ein- und Ausschalten der verschiedenen Dienste mit einem Klick.

Tipp: Sie sollten nur diejenigen Schnittstellen aktivieren, die Sie tatsächlich benötigen. Insbesondere betrifft das Bluetooth, denn hier tauchen immer wieder gravierende Sicherheitslücken auf. Angreifer, die sich in Ihrer Nähe befinden, nutzen diese, um auf Ihrem Mobilgerät Malware einzuschleusen.

App-Berechtigungen überprüfen

Entwickler lassen sich bei der Installation neuer Apps meistens eine Vielzahl von Berechtigungen zusichern. Ob der Anwendung immer sämtliche Berechtigungen gegeben werden sollten, ist zumindest fraglich. In der Regel funktioniert eine App auch ohne solche maximalen Zusicherungen. Stattdessen werden Berechtigungen angefragt, wenn sie tatsächlich benötigt werden.

Alle Berechtigungen, die Sie einer installierten App aktuell zugesichert haben, finden Sie unter "Einstellungen > Apps (& Berechtigungen)". Tippen Sie hier auf die entsprechende Anwendung, um die Berechtigungen zu sehen. Bis einschließlich Android 9 ist nur die Gewährung oder Verwehrung einer Berechtigung möglich. Seit Android 10 gibt es drei Möglichkeiten zur Auswahl: "Ablehnen", "Jedes Mal fragen" oder "Zugriff nur während der Nutzung der App". Unbemerkte und unkontrollierte Datenzugriffe im Hintergrund sind dadurch nicht mehr möglich.

Seit Android 7 können Sie auch einen Berechtigungsmanager nutzen. Er zeigt Ihnen, welche Art von Berechtigung die App jeweils nutzt, also ob eine App zum Beispiel die Kameranutzung angefragt hat. Auch diese Übersicht finden Sie in den App-Einstellungen. An dieser Stelle sollten Sie vor allem auf kritische Zugriffsrechte achten. Dazu zählen Kontakte, Kamera, SMS, Mikrofon, Standort und Telefon.

Sensible Daten verschlüsseln

Seit der Version 6 von Android gibt es für den internen Smartphone-Speicher eine integrierte Verschlüsselung. Das entsprechende Menü finden Sie unter "Sicherheit > Verschlüsselung und Anmeldedaten" in den Einstellungen.

Die Micro-SD-Karte, die häufig für die Speicherung von Bildern genutzt wird, bleibt dagegen unverschlüsselt. Sollte Ihr Smartphone gestohlen werden, können die Diebe trotz Sperre die Karte aus Ihrem Gerät entfernen und die darauf befindlichen Daten auslesen. Wenn die Micro-SD-Karte verschlüsselt ist, kann nur noch das Smartphone die Karte auslesen. Die entsprechende Option finden Sie unter "Sicherheit > SD-Karte verschlüsseln" in den Einstellungen Ihres Smartphones. Damit schützen Sie Ihre Daten. Trotz des Plus an Sicherheit birgt die Vorgehensweise auch Nachteile. Nach einer Verschlüsselung über das Smartphone ist die Karte nicht mehr über Ihren PC auslesbar. Die Karte in den Computer zu stecken, um die letzten Videos und Schnappschüsse zu übertragen, ist dann nicht mehr möglich. Übertragungen gehen dann nur noch über Bluetooth, per Kabel oder über einen Cloudspeicher-Dienst. Hierbei muss sich die Karte natürlich im Smartphone befinden. Wenn Sie große Datenmenge übertragen möchten, erfordert das deutlich mehr Zeit. Aus dem Grund sollten Sie sich gut überlegen, ob eine solche SD-Karten-Verschlüsselung für Sie wirklich sinnvoll ist.

Hinweis: Der interne Smartphonespeicher von Android wird durch Google schon seit vielen Jahren standardmäßig verschlüsselt. Externe Micro-SD-Karten hingegen nicht. Hier können Sie noch selbst entscheiden, ob Sie diese verschlüsseln möchten oder nicht.

Installierte Apps auf Sicherheit untersuchen

Die Grundabsicherung haben wir nun abgeschlossen. Im letzten Teil unseres Workshops möchten wir Ihren zeigen, welche zusätzlichen Schutzmaßnahmen es sonst noch gibt, die wir Ihnen empfehlen möchten. Mit "Play Protect" bietet Android für den Google Play Store einen Identifikationsmechanismus für Schadsoftware. Wie wir Ihnen anhand der Analyse von Checkpoint weiter oben aufzeigen konnten, funktioniert der Mechanismus leider nicht immer so, wie er sollte.

Wir meinen: Eine gute Basis ist "Play Protect" trotz alledem. In der Play-Store-App finden Sie die Funktion unter dem Menüpunkt "Play Protect". Alle auf Ihrem Gerät vorhandenen Apps werden von dem Programm gescannt, wobei der Fokus auf Anwendungen liegt, die aus dem Play Store heruntergeladen wurden. Trotzdem erkennt das Programm auch Apps, die aus unbekannten Quellen stammen, untersucht sie und stuft sie in begründeten Verdachtsfällen ebenso kritisch ein.

In den allermeisten Fällen ist dieser Schutz jedoch unzureichend. Play Protect warnt erst, nachdem die kritische App auf dem Smartphone installiert wurde. Aus dem Grund ist ein zusätzliches Antivirenprogramm sinnvoll. Avira Antivirus 2020 scannt bereits während der Installation Apps und verhindert diese bei Bedarf. Direkt nachdem Sie die App installiert haben, sollten Sie daher einen "Smart Scan" ausführen. Der Scan führt einen gründlichen Virencheck durch, der neben installierten Apps zudem sämtliche zentralen Verzeichnisse Ihres Endgeräts umfasst. Außerdem erfolgt ein Check Ihrer Privatsphäre sowie der Performance Ihres Smartphones.

Falls die Virensoftware während der Überprüfung auf Malware und Viren Auffälligkeiten entdeckt, zeigt Ihnen die Software diese entsprechend an und schlägt geeignete Gegenmaßnahmen vor. Auch in den anderen beiden Bereichen geht die Software entsprechend vor.

Tipp: Schon seit langer Zeit gehört Google Play Protect zum Google Play Store. Mit der App werden installierte Apps untersucht und potenzielle Sicherheitsrisiken aufgedeckt. Dennoch empfiehlt sich ein zusätzliches Antivirenprogramm, um auf Nummer sicher zu gehen. Avira Antivirus 2020 führt beispielsweise einen Smart Scan durch und zeigt Ihnen in einer Übersicht neben möglichen Viren auch Optimierungsmöglichkeiten für Ihre Smartphone-Performance und Ihre Privatsphäre an.

Sicherheitsrisiken in öffentlichen WLANs

Kostenlose, öffentliche WLANs sind inzwischen an immer mehr Stellen zu finden. Wenn der Empfang über das Mobilfunknetz schlecht ist oder man nur ein geringes Datenvolumen überträgt, sind diese Netze eine ausgezeichnete Möglichkeit, um sich einen alternativen Zugang zum Internet zu verschaffen. So bequem das jeweils auch ist, die Gefahren solcher Netzwerke liegen auf der Hand: Für sämtliche Nutzer des WLANs sind Sie in dem Augenblick sichtbar und dementsprechend angreifbar.

Aus dem Grund sollten Sie sich unbedingt schützen und Ihre Verbindung absichern. Eine beliebte Methode sind VPN-Dienste. Die meisten Anbieter am Markt sind allerdings kostenpflichtig. Bei nur gelegentlicher Nutzung während einer Bahnfahrt, wenn Sie beispielsweise Ihre Whatsapp-Nachrichten checken und beantworten oder den Eingang Ihres Mailpostfachs prüfen, ist ein kostenloser Dienst für geringe Datenvolumen allemal ausreichend.

In der zuvor erwähnten Security-App von Avira wird ein solcher Dienst angeboten. Täglich erhalten Sie hier ein kostenloses, 100 MB umfassendes Datenvolumen. Sie finden den VPN-Dienst auf der Einstiegsseite der App unter "VPN - Sicher surfen". Wählen Sie die Funktion aus und bestätigen Sie den Verbindungsaufbau. Danach genießen Sie den Schutz über das VPN. Sie sollten den Dienst am besten immer direkt nach jeder Anmeldung in einem öffentlichen WLAN aktivieren. Sobald Sie das öffentliche WLAN wieder verlassen, sollten Sie dafür sorgen, dass die VPN-Verbindung wieder getrennt wird.

Besondere Vorsicht ist bei Bezahldiensten geboten

Wenn Sie auf Ihrem Smartphone Paypal oder einen vergleichbaren Bezahldienst installiert haben, müssen Sie besonders vorsichtig sein. Andernfalls könnte ein Angreifer mit Kenntnis Ihrer Kontodaten illegal Transaktionen ausführen, ohne dass Sie dies bemerken. Um den Dienst abzusichern sollten Sie daher unbedingt ein zweistufiges Log-in-Verfahren nutzen. Viele andere Apps bezeichnen dieses oft als Zwei-Faktor-Authentifizierung.