Management Der Feind reist in der Jackentasche mit

Blackberry und iPhone sind bei Unternehmern beliebt. Doch die Internethandys sind gefährlich. Leicht werden sie zum Ziel von Viren und Hackern.

Rainer von zur Mühlen ist ständig unterwegs. Der Unternehmensberater aus Bonn plant Rechenzentren und konstruiert IT-Sicherheitssysteme in der ganzen Republik. Wenn er beim Kunden ist, ruft er seine E-Mails unterwegs ab. Aber deswegen ein Blackberry benutzen? „Bloß nicht“, sagt er entschieden. „Ich traue dem Ding nicht.“ Das gilt auch für andere Smartphones, seinen Mitarbeitern hat er ebenfalls verboten, solche Geräte dienstlich zu nutzen. „Wir wählen uns lieber mit dem Laptop ein. Jedes Mal aufs Neue. Und verschlüsseln alles.“

Dass Chefs so vorsichtig handeln, ist selten. Laut den Marktforschern von Gartner ist der Absatz der High-End-Geräte zuletzt um fast 50 Prozent gestiegen. Besonders beliebt bei Geschäftskunden sind neben dem Blackberry das iPhone von Apple und Mobiltelefone mit dem Betriebssystem Android von Google. Alle drei haben Experten zufolge Sicherheitslücken (siehe Seite 150). Das Bundeskriminalamt warnte kürzlich, dass sich Viren und Datenklau bei Handys zu einer echten Bedrohung entwickeln. Hochrangige Beamte der Bundesregierung, vor allem Geheimnisträger, dürfen keine Blackberrys und iPhones benutzen – sie sind zu unsicher, sagt das Bundesamt für Sicherheit in der Informationstechnik. Dabei verschlüsseln Blackberrys den Datenverkehr sogar nach dem besonders strengen AES-Standard.

Anzeige

„Mit Smartphones ist es letztlich das Gleiche wie mit Laptops“, sagt Marko Rogge, freier IT-Referent und Experte für Handysicherheit. „Sobald die Geräte Daten von wirtschaftlichem Interesse enthalten, werden sie Zielscheibe von Spionageattacken.“ Während die meisten Nutzer wissen, wie man PCs und Laptops mit einem Virenschutz, einer Firewall und Passwörtern schützt, haben sie bei Smartphones keine Ahnung davon.

Gefahrenquelle Nummer eins: der Verlust der Geräte. Tausende Smartphones bleiben jedes Jahr in Kneipen oder auf den Rücksitzen von Taxis liegen. Symantec, Hersteller von Antivirusprogrammen, hat in einer aktuellen Studie ermittelt, dass in zwei Dritteln aller deutschen Unternehmen Mitarbeiter schon einmal ein Internethandy verloren haben.

Gleichzeitig sind lediglich 16 Prozent der eingesetzten Smartphones passwortgeschützt, bei Laptops sind es immerhin 56 Prozent. „Virenschutz und eine eigene Firewall sind für jedes Smartphone ratsam“, sagt Ralf Benzmüller, Leiter des Security Lab beim Hersteller von Sicherheitssoftware G-Data in Bochum. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, auch die Verbindung vom Smartphone zum Unternehmensnetzwerk zu verschlüsseln, genauso wie alle Zugangsdaten.

Geortet und ausgespäht

Für Kriminelle lesen sich die Inhalte in Smartphones ohne Zugangsschutz wie ein offenes Buch. Das nutzten Spione zum Beispiel bei einem mittelständischen Maschinenbauunternehmen aus Norddeutschland. Dessen Chef hatte sich über die hohe Abrechnung für sein iPhone gewundert. Für einen Auslandsbesuch wurden ihm lauter Datenverbindungen in Rechnung gestellt, die er sich nicht erklären konnte. Der Mittelständler wandte sich an die IT-Beratungsfirma Cirosec aus Heilbronn. Die Experten entdeckten ein verstecktes Spionageprogramm auf dem Apple-Handy, das geheime Daten protokollierte und an Hintermänner sendete. Daher die obskuren Verbindungen auf der Rechnung. „Wahrscheinlich hatte ein Mitarbeiter das Programm eingeschleust, als das Gerät unbeaufsichtigt war“, vermutet Cirosec-Chef Stefan Strobel.

Über derartige Vorfälle, sagt der IT-Sicherheitsexperte, spricht kein Unternehmer öffentlich. „Das ist ein heikles Thema.“ Kein Unternehmer gibt gern zu, dass ihm Industriespione Software aufs Smartphone geschmuggelt haben, mit der sie ihn orten können. Genau das ist dem Manager eines anderen deutschen Industriebetriebs passiert, sein Handy funkte ständig, wo er sich gerade aufhielt.

Gefahrenquelle Viren und schädliche Software

Die zweite Gefahrenquelle sind Viren und schädliche Software. Im Herbst 2009 etwa verbreitete sich ein Wurm in Apples iPhone-Universum. Dessen Autoren versuchten, Transaktionsnummern fürs Onlinebanking auszuspähen und Passwörter zu verändern. Auch Googles Android-System wurde bereits Opfer ähnlicher Programme. Auf Smartphones verschiedener Hersteller tauchen immer wieder verseuchte PDF-Dateien auf, die als E-Mail-Anhang ihre gefährliche Fracht auf den Geräten abladen.

Experten warnen zudem vor Sicherheitslücken in den Phishing-Filtern von Blackberry, iPhone und anderen Smartphones. Solche Filter sollen eigentlich verhindern, dass Handynutzer Websites öffnen, die nur so tun, als kämen sie von einer Bank oder einem Unternehmen. Hinter den falschen Seiten stehen organisierte Banden, die sich auf diese Weise Pin-Nummern oder Passwörter erschleichen. Die Filter vieler Smartphones schlugen in Tests jedenfalls nicht oft genug an.

Offen für Alle
Blackberry
Handys von RIM gelten als die sichersten Geräte von der Stange. Aber nur Mails, die über den Enterprise Server laufen, werden verschlüsselt. Andere nicht. Kritiker fürchten zudem, dass Hacker die gebündelten Datenströme der RIM-Router gezielt angreifen könnten. Oder Regierungen und Geheimdienste.
iPhone
Wer das geschlossene Apple-System mit einem Jailbreak öffnet, ist komplett schutzlos. Spezialisten manipulieren iPhones auch ohne dieses Programm. Ältere iPhones sind nicht zu verschlüsseln und lassen sich leicht auslesen. Tastatureingaben landen im Zwischenspeicher, inklusive der benutzten Passwörter.
Android
Das Google-System gilt als unsicher. Experten zufolge erkennen die Android-Virenscanner nur 50 Prozent der Schädlinge. Durch das Open-Source-Prinzip kann jeder leicht Schwachstellen finden. Und es gibt keine Kontrolle, welche persönlichen Daten Apps verwenden und weiterleiten.

Und dann sind da noch Hacker und Spione, die gezielt einzelne Smartphone-Nutzer angreifen. Unverschlüsselte E-Mails etwa lassen sich Experten zufolge grundsätzlich leicht mitlesen. Mit jeder zusätzlichen Schnittstelle – und der Umweg über Mobilfunknetz und Handy bedeutet viele Schnittstellen – steigt die Wahrscheinlichkeit, dass jemand eine vertrauliche Nachricht abfängt. „Kriminelle versuchen auch, sogenannte Rootkits auf Handys zu installieren“, erklärt IT-Berater Ralf Benzmüller. Sie lassen Spionageprogramme auf dem Smartphone unsichtbar werden – wie etwa einen Key-Logger, der speichert, was auf der Tastatur eingegeben wird. Und: „Der Hacker hat unbemerkt Zutritt zum System“, sagt Benzmüller.

Jedes Smartphone-System hat darüber hinaus spezifische Schwachstellen: Blackberrys etwa sind nach hohen Standards gesichert – aber nur für Kunden, die gleich den Enterprise Server mit ihrem E-Mail-System koppeln. Mittelständler, die wie Privatkunden nur zwei oder drei der Geräte anschaffen, bekommen diesen Schutz nicht. Immerhin bietet der Hersteller RIM demnächst sein Programm Blackberry Protect auch für Privatkunden an. Bisher konnten nur Enterprise-Kunden mit Protect verloren gegangene Blackberry-Handys orten und im Notfall per Fernsteuerung sensible Daten löschen, bevor Diebe damit Schindluder treiben. Bald geht das bei allen RIM-Geräten.

Noch größere Schwächen hat Experten zufolge das Betriebssystem von Google, das unter anderem auf Smartphones von Samsung, Motorola, Acer und HTC läuft. „Android hinkt RIM und Apple generell hinterher“, sagt IT-Berater Strobel. „Auch bei Sicherheitsprogrammen.“ Weil der Quellcode, also die Programmstruktur für jeden offen zugänglich ist, versuchen Kriminelle und Spaßvögel immer wieder, mit schadhaften Anwendungen Lücken auszunutzen – am liebsten über Applications, kurz Apps, von denen es bereits mehr als 200?000 für Android gibt. Wenn Nutzer verseuchte Programme auf ihr Handy laden, öffnen sie unfreiwillig Hintertüren für Spione und Viren.

Das iPhone halten Sicherheitsexperten ebenfalls für anfällig. „Apple verfolgt zwar eine sehr restriktive Politik, was neue Programme angeht“, sagt G-Data-Spezialist Benzmüller. „Aber wenn man diese umgeht, ist ein iPhone relativ schutzlos.“ Die Geräte haben kein eigenes Antivirusprogramm, Daten lassen sich nicht wirksam verschlüsseln.

Kastriertes Smartphone

Im Internet sind Programme für den sogenannten Jailbreak leicht zu bekommen: Damit lässt sich die Sim-Sperre umgehen, die sicherstellen soll, dass die iPhones nur mit T-Mobile-Verträgen funktionieren. Nach dem Jailbreak kann man auch Software auf das Gerät laden, die Apple nicht autorisiert hat. Experten zufolge kommt es immer wieder vor, dass IT-Leiter in mittelständischen Unternehmen ihr iPhone so unsicher machen. „Da kommt der Chef mit dem iPhone, das seine Frau ihm zu Weihnachten geschenkt hat, zu seinem Sohn und sagt: Ich will da jetzt meine Mails und alles andere drauf haben. Egal wie“, sagt ein Berater für Handysicherheit.

Das neueste iPhone 4 soll einige dieser Lücken schließen: Es lässt sich verschlüsseln. Und Apple arbeitet Presseberichten zufolge an einem Kill-Switch, der bei einem Diebstahl dramatische Gegenmaßnahmen einleitet: Die eingebaute Kamera soll dann Bilder der Umgebung an einen Server schicken, das iPhone den Besitzer per Mail benachrichtigen oder sich sogar selbstständig abschalten.

Alle Sicherheitsanforderungen des Bundesamts für Sicherheit in der Informationstechnik erfüllt bisher nur das Krypto-Smartphone Simko der Telekom-Tochter T-Systems. Das Ministerium hat die ersten Geräte bereits bestellt. Das Superhandy, das nun auch die SMS-verliebte Bundeskanzlerin Angela Merkel benutzt, funktioniert nur in Kombination mit einer Micro-SD-Karte, auf der die Zertifikate für die Verschlüsselung gespeichert sind. „Nur wer im Besitz der Karte ist und die Pin-Nummer kennt, kann Daten empfangen und verschlüsseln“, wirbt T-Systems. Kameras sind gar nicht erst installiert – weil sie die Sicherheit gefährden. Genauso wie Bluetooth, die Satellitenortung per GPS oder W-Lan.

Der Bonner IT-Fachmann Rainer von zur Mühlen geht das Sicherheitsproblem ähnlich an wie die Kanzlerin – nur ohne teures Simko-Handy. Er benutzt privat ein iPhone. „Aber ich habe alle Funktionen außer SMS, Telefon, Navi und Wetter ausgeschaltet“, sagt von zur Mühlen. „Mein iPhone ist sozusagen kastriert.“ Kamera und Spiele nutzt er nicht. Das macht weniger Spaß, ist aber sicher.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): *Captcha loading...