Smartphones sind Alleskönner: Flach, leicht, mit langen Akkulaufzeiten und Zugang zum Firmenserver. Nebenbei verbinden sie uns mit Facebook, Twitter & Co. und werden zunehmend zum Onlineshopping und -banking genutzt. Und bald wohl auch als Kreditkartenersatz. Aber was, wenn sie gestohlen oder gehackt werden?
Jederzeit und überall (fast) alles machen können – mit dem Smartphone haben sich im geschäftlichen wie privaten Leben unsere Gewohnheiten radikal verändert. Kaum eine Stunde am Tag, in der wir nicht online sind, kaum ein Mail, das nicht umgehend beantwortet wird, kaum ein Posting, das wir verpassen. Smartphones auf Android-Basis oder iPhones sind in der Schweiz bereits ein Millionenmarkt, der auch in den nächsten Jahren weiter wachsen wird. Gerade wird die neuste Generation von Geräten mit einem NFC-Chip ausgeliefert. Die sogenannte «Near Field Communication» ermöglicht unter anderem auch das einfache kontaktlose Bezahlen an modernen Kassensystemen. Das Handy wird so gar auch noch zum Bargeld- und Kreditkartenersatz. Langsam können sich Taschendiebe also fragen, ob sie lieber die Brieftasche oder das Smartphone ins Visier nehmen sollen.
Lebensnotwendiges Utensil
Verliert man seine Geldbörse oder wird sie gestohlen, vergehen im Schnitt ein bis zwei Stunden, bis der Verlust bemerkt wird. Das Fehlen des Smartphones hingegen wird in der Regel schon innerhalb weniger Minuten entdeckt. Insofern kann ein Bestohlener schnell reagieren und seine Mobilnummer beim Provider sperren lassen. Nur ist das Telefonieren bei Smartphones inzwischen zu einer nützlichen Nebenfunktion geworden. Und wie die aktuellen Fälle beim iPhone erschreckenderweise zeigen, ist es innerhalb einer Stunde möglich, an praktisch alle Informationen eines entwendeten Gerätes zu kommen. Also an alle E-Mail- und VPN-Zugänge eines angeschlossenen Firmenservers, die Netzwerkpasswörter aller gespeicherten WLANs, eBanking-Daten, SMS, E-Mails, Fotos und Telefonnummern. Diese Stunde braucht ein gewiefter Dieb allerdings nur, wenn das Smartphone mit einem Code gesichert wurde. Bei einem Grossteil der Geräte wird aber heute noch aus Bequemlichkeit gar kein Code gesetzt, denn den müsste man ja vor jeder Verwendung eintippen! Diese fehlende Hürde macht den Missbrauch für Diebe zum Kinderspiel.
«Absolute Sicherheit gibt es nicht»
Banken und andere Firmen mit einem besonderen Bedarf an Sicherheit sind sich dieser Gefahren durchaus bewusst und investieren deshalb Millionen in Schutzmassnahmen. Wenn Kunden allerdings ihre eBanking-Daten als ungeschützten Outlook-Eintrag, als Notiz oder in einem erhaltenen E-Mail im Smartphone mit sich tragen, ist es mit der Sicherheit so oder so vorbei. Das beste Schloss taugt nichts, wenn der Schlüssel nicht mal unter, sondern auf der Türmatte liegt.
Der Experte für IT-Sicherheit bei der Zürcher DSwiss AG, Tobias Christen, bringt es auf den Punkt: «Absolute Sicherheit gibt es prinzipiell nicht. Zusätzlich kommt noch der ewige Zielkonflikt zwischen Kosten, Bequemlichkeit und Sicherheit hinzu.» Christen betreut einerseits Sicherheitsprojekte im Finanzsektor, andererseits ist er massgeblich an der Entwicklung der erfolgreichsten Sicherheitslösungen für das iPhone beteiligt. «Mit dem Securesafe Internet Datensafe bieten wir eine kostenlose Applikation für einen sehr sicheren Passwort- und Datensafe, der selbst von Profis auf einem gestohlenen iPhone nicht geknackt werden könnte.» Dies ist nur durch eine zusätzliche Verschlüsselungstechnologie möglich, die weit über die Fähigkeiten des Betriebssystems hinaus geht. Der Service bietet zusätzlich die Möglichkeit zu bestimmen, was mit den persönlichen Daten geschehen soll, falls dem Besitzer etwas passiert. Dieses «Datentestament» ist ein noch neues, jedoch immer wichtiger werdendes Thema.
Warum nicht gleich?
Immer wieder hört Tobias Christen die Frage, wieso die Hersteller nicht einfach direkt ein sicheres System bauen. Die Antwort: Der Bau eines solchen Systems ist in der Praxis nicht umsetzbar. Mit genügend Aufwand ist es immer möglich, ein System zu hacken und an die Daten zu kommen. Ein wichtiger Aspekt ist daher stets die relative Sicherheit. Unter Christens Kunden sind Grossbanken, deren eBanking systembedingt schon 100’000-mal aufwändiger zu knacken ist als das ihrer Mitbewerber. Auf wen wird sich die Internetmafia wohl fokussieren? Aufwand und Ertrag dominieren auch in diesem Markt und treiben die Hacker zu neuen Zielen an. Und wieviel Energie, Zeit und Geld wird ein Dieb auf das Hacken eines x-beliebigen iPhones verwenden? Im Fall des Hacks beim US-Rüstungskonzern Lockheed-Martin haben Dutzende Kriminelle ein Jahr lang daran gearbeitet, Zugang zum Firmennetzwerk zu bekommen. So viel Mühe wird sich niemand für das Smartphone einer Privatperson oder den Exchange-Server eines Schweizer KMU machen.