Die Sicherheit der eigenen Daten steht und fällt mit der Plattform, auf der sie gespeichert sind. Das Problem dabei: Immer öfter handelt es sich dabei um ein Smartphone, und hier sind die Rahmenbedingungen zur Wahrung der eigenen Privatsphäre von Grund auf denkbar schlecht. Bietet doch solch ein Gerät eine Fülle von Sensoren, mittels derer sich jede Menge hochsensible Informationen herausfinden lassen. Eine umso wichtigere Rolle spielt insofern die Sicherheit von Smartphones, um deren Schaden für die Privatsphäre zumindest zu begrenzen.

Um hier keine falschen Erwartungen zu wecken, sei eine wichtige Anmerkung vorangestellt: Bei allem Folgenden kann es sich natürlich nur um eine Annäherung an das Thema handeln. Gewisse, der Mobilfunktechnologie immanente Datenschutzproblematiken lassen sich damit natürlich nicht ausräumen. So weiß etwa der eigene Anbieter immer ziemlich genau, wo man sich gerade befindet, was schlicht zur Funktion eines Mobilfunknetzes notwendig ist. Die Intention ändert freilich nichts an der Konsequenz, dass diese Daten reichlich viel über all unsere Aktivitäten verraten.

Bild nicht mehr verfügbar.

Jedes Mobiltelefon ist ein wandelnder Location-Tracker – egal ob "smart" oder nicht.
Foto: dpa/Florian Kleinschmidt

Wer also sicherstellen will, dass er nicht geortet werden kann, darf schlicht kein Mobiltelefon mit sich tragen – egal ob "smart" oder nicht. Doch auch wer nicht gleich so weit gehen will – oder kann –, sollte sich zumindest grundlegende Gedanken über die Sicherheit dieser Geräte machen, um kein allzu leichtes Ziel für Spione oder Kriminelle abzugeben.

Punkt 1: Smartphone-Wahl

Einer der wichtigsten Schritte zur Absicherung der eigenen Daten erfolgt gleich ganz am Anfang: nämlich bei der Wahl des richtigen Geräts. Prinzipiell gilt dabei: Mit dem iPhone liegt man in dieser Hinsicht schon mal nicht vollständig verkehrt. Apple hat in den vergangenen Jahren einiges in die Sicherheit seiner Geräte investiert, auch bietet das Unternehmen derzeit die längste Support-Phase aller Hersteller. Sicherheitslücken werden hier üblicherweise vier bis fünf Jahre lang bereinigt.

Zumindest in Hinsicht auf Letzteres kann derzeit kein einziges Android-Smartphone mithalten, Google liegt hier mit seinem Support-Versprechen von drei Jahren noch an der Spitze. Für alle, denen das reicht – etwa weil sie sich ohnehin alle zwei bis drei Jahre ein neues Gerät kaufen –, gilt: Wenn man sich für das richtige Android-Gerät entscheidet, kann es prinzipiell ein dem iPhone ähnliches Sicherheitsniveau bieten. Googles eigene Pixel-Smartphones haben allein schon aufgrund ihrer regelmäßigen und raschen Sicherheitsaktualisierungen derzeit in dieser Hinsicht die Nase vorne.

Soll es etwas billiger sein, empfehlen sich Geräte aus der Android-One-Reihe wie das HTC U11 Life oder Xiaomi Mi A1, die ebenfalls drei Jahr lang Sicherheitsaktualisierungen versprechen. Auch der Support der Nokia-Smartphones ist bisher hervorragend – derzeit ist es aber noch etwas früh, abzuschätzen, ob Hersteller HMD Global dieses Niveau halten kann.

Neben Apples iPhones gehören Googles eigene Android-Smartphones derzeit zu den sichersten in der Branche.
Foto: APA/AFP/ELIJAH NOUVELAGE

Beim restlichen Feld wird es dann schon etwas schwieriger. Branchenprimus Samsung bietet zwar mittlerweile recht zuverlässige monatliche Updates, allerdings meist nur im ersten Jahr, danach nimmt die Frequenz deutlich ab. Zudem lässt sich Samsung mit großen Betriebssystem-Updates oft Zeit, und das ist auch aus einer Sicherheitsperspektive durchaus relevant. So bietet etwa das aktuelle Android 8 eine ganze Fülle von Security- und Privacy-Verbesserungen, von denen Samsung-User vorerst nichts haben.

Apropos Updates: In dieser Hinsicht müssen sich die Nutzer aber auch selbst an der Nase nehmen. Viele warten hier allzu lange zu, bis sie neue Softwareversionen installieren. Dies mag prinzipiell aus der Angst heraus, dass mit dem Update neue Probleme auftreten können, verständlich sein – aus einer Sicherheitsperspektive betrachtet macht man sich damit aber keine Gefallen. Und reine Sicherheitsaktualisierungen sollten ohnehin immer gleich eingespielt werden.

Punkt 2: Verschlüsselung

Wer es mit der Sicherheit der eigenen Daten ernst meint, kommt um deren Verschlüsselung nicht herum. Immerhin könnte sonst jeder, der das Gerät in die Hände bekommt, ungehindert alle sensiblen Informationen darauf auslesen. Da trifft es sich gut, dass mittlerweile die meisten Smartphones von Haus aus verschlüsselt sind. Bei Apple ist dies ohnehin schon länger Standard, und auch Google schreibt dies mittlerweile für die meisten Android-Geräte vor. In diesen Fällen müssen die Nutzer also erfreulicherweise gar nichts mehr tun.

Leider gibt es aber immer noch Ausnahmen von dieser Regel, insofern sollten Android-Nutzer zur Sicherheit in den Systemeinstellungen nachprüfen, ob ihr Gerät auch wirklich verschlüsselt ist – und wenn nicht, sollten sie diesen Schritt manuell initiieren. Doch damit ist es noch nicht getan – gilt es doch auch sicherzustellen, dass das Verschlüsselungspasswort bei jedem Systemstart abgefragt wird, um einen wirklich effektiven Schutz zu haben. Auch dies lässt sich über die Einstellungen vornehmen.

Punkt 3: Lock-Screen

Die beste Verschlüsselung bringt allerdings wenig, wenn ein Dritter problemlos ein herumliegendes Gerät entsperren und damit erst Recht auf die Daten zugreifen kann. Insofern ist eine starke Lock-Screen-Sperre ebenfalls ein Muss. In dieser Hinsicht gibt es verschiedene Optionen. Zu welcher man greifen sollte, hängt dabei nicht zuletzt davon ab, vor wem man die Daten schützen will. Geht es nur darum, zu verhindern, dass bei Verlust oder Diebstahl niemand die privaten Fotos einsehen kann, reicht auch eine Fingerabdruck- oder Gesichtserkennungssperre. Immerhin geht es dem Angreifer in solchen Fällen üblicherweise um den Wert des Geräts selbst, also werden wohl keine allzu großen Anstrengungen unternommen werden, um die Sperre auszuhebeln.

Ein Zahlencode ist nicht der sicherste Schutz, in vielen Fällen aber trotzdem besser als ein Fingerabdruck. Den Lock-Screen gar nicht zu sperren ist hingegen schlicht fahrlässig.
Foto: Andreas Proschofsky / DER STANDARD

Anders sieht es für all jene aus, die wirklich sensible Daten mit sich tragen, die für Dritte von hohem Interesse sein könnten. Das gilt etwa für Journalisten, die ihre Quellen schützen müssen, aber auch für alle, die politisch aktiv sind. Immerhin ist es dem Gegenüber ein Leichtes, die Herausgabe des Fingerabdrucks zu erzwingen – womit dieser dann in der Praxis genau keinen Schutz bietet. Für solche Fälle ist es wesentlich besser, ein gutes Passwort zu wählen, aber selbst eine längere Zahlenfolge bietet einen besseren Schutz als ein Fingerprint.

Punkt 4: Zwei-Faktor-Authentifizierung

Die Smartphone-Sicherheit ist aber auch untrennbar mit jener des damit verbundenen Google- oder Apple-Accounts verbunden. Wie wichtig ein starkes Passwort ist, dürfte sich mittlerweile herumgesprochen haben, doch damit ist es heutzutage nicht mehr getan. Wer seinen Account vernünftig schützen will, sollte unbedingt eine sogenannte Zwei-Faktor-Authentifizierung einrichten. Dabei wird bei jedem Log-in zusätzlich zum eigentlichen Passwort noch eine weitere Information – etwa ein per SMS verschickter Code – benötigt. Auf diese Weise erhält ein Angreifer selbst dann keinen Zugriff, wenn er das eigene Passwort in Erfahrung bringt.

Da ergibt es sich gut, dass mittlerweile sowohl Google als auch Apple mittlerweile Zwei-Faktor-Authentifizierung für ihre Accounts anbieten. In dieser Hinsicht hat übrigens Google deutlich die Nase vorne, hier gibt es für besonders schutzbedürftige Accounts die "Advanced Protection", die nicht nur ganz auf physische USB-Sicherheits-Keys setzt (im Gegensatz zu weniger sicheren Formen wie SMS-Codes), sondern auch die Möglichkeiten der betreffenden Accounts beschränkt, um sie vor Fehlern in Drittsoftware zu schützen. Zudem muss bei zentralen Änderungen am Account dann direkt Kontakt mit Google aufgenommen werden, was wohl viele Angreifer abschrecken wird und vor allem auch Zeit braucht, in der der echte Besitzer reagieren kann.

Punkt 5: Apps und deren Berechtigungen

Das Betriebssystem ist natürlich nur ein Bestandteil in der Sicherheitsgleichung eines Smartphones. Gerade in Hinblick auf das Ausspionieren sensibler Daten sind oft die von den Usern selbst installierten Apps das größere Problem. Dabei gibt es eigentlich eine simple Regel: Immer nur jene Apps auf dem Gerät belassen, die man wirklich regelmäßig aktiv benutzt. Oft sind es irgendwelche Apps oder Spiele, die irgendwann einmal installiert und dann vergessen wurden, die für Probleme sorgen. Und wem das noch nicht als Argument reicht: Solche Apps sind es auch gerne, die den Akku unbemerkt leerfressen.

Erteilte Berechtigungen lassen sich auch nachträglich wieder entziehen.
Foto: Andreas Proschofsky / STANDARD

Minimalismus sollte auch das Motto sein, wenn es um Berechtigungen geht, die man solchen Apps gewährt. Kann eine App nicht gut erklären, warum sie Zugriff auf Kamera, Standort und Co benötigt, sollte dieser einfach verweigert werden. Besteht etwa eine Taschenlampen-App darauf, unbedingt das Mikrofon verwenden zu dürfen, sollten eigentlich bei allen die Alarmglocken schrillen – und die Installation abgebrochen werden

Zudem empfiehlt es sich regelmäßig, so etwas wie "Berechtigungshygiene" zu betreiben, also in den Systemeinstellungen nachzusehen, welche Apps Zugriff auf welche Komponenten haben. Immerhin lassen sich solche Berechtigungen auch im Nachhinein wieder entziehen, und dies sollte man auch machen, wenn einem hier etwas verdächtig vorkommt. Gibt es einen guten Grund, kann die App ja beim nächsten Start erneut nach einer Erlaubnis fragen – und zwar hoffentlich mit einer nachvollziehbaren Begründung. (Andreas Proschofsky, 22.2.2018)