Längst stehen Smartphones im Fokus von Kriminellen. Das ist so logisch wie unerfreulich, zumal gerade auf dem Smartphone inzwischen für viele Anwender alles zusammenläuft: alle Kontakte, Austausch persönlicher Nachrichten, Gesundheitsdaten aus der Krankenkassen-App und der Fitnessuhr, Finanzdaten aus der Bank-App, Logins zu allen möglichen Cloud- und sonstigen Diensten, Fotos und mehr.

Unsere Sicherheitstipps zeigen wir primär anhand eines Smartphones mit reinem Android 9. Auf anderen Android-Geräten können die Funktionen und Befehle je nach Marke und Typ abweichen, sollten aber ebenfalls vorhanden sein. Sinngemäss lassen sich viele der Massnahmen auch auf iPhones anwenden. iPhone-Nutzer finden weitere Tipps in der Box «Sicher mit dem iPhone», Seite 3.

Genau wie auf dem Desktop-PC sammeln sich auch auf dem Smartphone Apps an, die Sie nicht brauchen. Öffnen Sie die Einstellungen-App und besuchen Sie Apps & Benachrichtigungen. Tippen Sie auf Alle Apps und schalten Sie allenfalls auf Installierte Apps um. Scrollen Sie langsam durch die App-Liste. Tippen Sie eine App an, die wegdarf, und benutzen Sie Deinstallieren. Wichtig: Entfernen Sie nur das, von dem Sie wissen, dass Sie es nicht (mehr) brauchen, Bild 1.

Es kann Apps geben, ohne die Sie bei anderen Apps plötzlich Funktionen vermissen, System-Apps von Ihrem Provider oder Smartphone-Hersteller oder lieb gewonnene Google-Funktionen, die als App installiert sind (wie zum Beispiel der Übersetzer).

Solange Sie das Gerät unterwegs nicht nutzen, verstauen Sie es am besten in einer verschliessbaren Tasche. Lassen Sie es beim Restaurantbesuch nicht auf dem Tresen oder dem Tisch liegen, wenn Sie mal kurz austreten müssen. Richten Sie unbedingt eine Lösung ein, mit der Sie das Gerät im Falle eines Diebstahls oder Verlustes tracken, sperren und löschen können. Eine solche Funktion finden Sie in den Apps von Sicherheitsanbietern – aber auch bei Ihrem Smartphone-Hersteller oder bei Google selbst (siehe nächsten Punkt).

Unter Einstellungen/Sicherheit & Standort steht die Option Mein Gerät finden zur Verfügung. Schalten Sie diese Funktion unbedingt auf An bzw. Ein, Bild 2.

Testen Sie getrost einmal, ob Sie das Gerät finden. Öffnen Sie am PC im Webbrowser die Adresse android.com/find und loggen Sie sich mit dem auf dem Gerät verwendeten Google-Konto ein. Jetzt sollte das Gerät ein Signal von sich geben (für den Fall, dass es bloss in eine Sofaritze gerutscht ist).  Ausserdem zeigt ein kleiner, grauer Kreis auf einer Karte an, an welcher Stelle Google Ihr Gerät zuletzt gesehen hat, Bild 3. Die Mein-Gerätfinden-Funktion kann Ihr Gerät klingeln lassen, sperren oder gar löschen.

Unter Android gibt es einige Apps, die theoretisch als «Geräteadministrator» fungieren können. Dabei handelt es sich um eine spezielle Art von Berechtigung, die übers Tracken des aktuellen Aufenthaltsorts bis hin zum Sperren, Konfigurieren oder Löschen des ganzen Geräts geht. So könnte zum Beispiel auf einem Firmen-Handy die App «Outlook» als Geräteadministrator registriert werden. Das könnte dem Firmen-Netzwerkadministrator erlauben, das verlorene oder geklaute Handy eines Mitarbeiters zu orten, Konfigurationen zu ändern oder die Daten inklusive Geschäftsgeheimnissen auf dem Gerät aus der Ferne zu tilgen. Einige Google-Apps könnten aus vernünftigen Gründen als Geräteadministrator fungieren wollen, ebenso das bereits erwähnte Outlook. Bei Kindersicherungs-Apps ist es wegen des Trackings des Geräts auch üblich, dass diese als Geräteadministrator eingetragen sind. Prüfen Sie, welche Apps mit dieser Berechtigung installiert sind. Öffnen Sie Einstellungen/Sicherheit & Standort. Darin sollten Sie Geräteadministrator oder Apps zur Geräteverwaltung finden. Für die meisten Privatanwender machen unter Android eigentlich nur die Apps «Gmail» und «Mein Gerät finden» Sinn, Bild 4. Jeder anderen App können Sie diese Berechtigung entziehen.

Ein plötzliches Abhandenkommen des Geräts hat seltener mit einem Diebstahl als mit einem Verlust oder einem dusseligen Liegenlassen zu tun. Die allermeisten Menschen sind ehrlich und würden ein gefundenes Gerät von Herzen gern an den Besitzer zurückgeben. Zeigen Sie daher auf dem Sperrbildschirm eine Mailadresse oder andere Telefonnummer an, unter der Sie für den Finder zu erreichen sind, Bild 5. Öffnen Sie das Menü Einstellungen/Sicherheit & Standort/Einstellungen für Sperrbildschirm. Hier definieren Sie eine kurze Sperrbildschirmnachricht. Sperren Sie das Gerät, um zu prüfen, ob die Nachricht auch komplett lesbar ist.

Ein Dieb oder übertrieben neugieriger Kollege sollte kein allzu leichtes Spiel beim Entsperren Ihres Smartphones haben. Richten Sie auf jeden Fall eine Form von Entsperr-Hürde ein. Beachten Sie aber, dass nicht jede Display-Sperre die gleiche Sicherheit bietet. Den Zugang dazu finden Sie unter Einstellungen/Sicherheit & Standort/Displaysperre, Bild 6.

Da wären die PIN oder das Passwort. Besonders Letzteres gehört zu den sichersten Methoden, die sowohl den Kumpel als auch den Dieb vor Probleme stellen dürfte. Nehmen Sie bei der PIN lieber sechs statt vier Ziffern oder greifen Sie gleich zum Passwort.

Das Entsperren via Gesichtserkennung hat sich bei einigen Geräten als zu niedrige Hürde entpuppt, liessen sich doch einige Handys auch mittels Foto des Besitzers entsperren. Das Entsperren via Fingerabdruck dürfte neugierige Freunde und Verwandte noch fernhalten, ist jedoch für Diebe mit etwas krimineller Energie lösbar: Auf dem Gerät selbst befinden sich haufenweise Fingerabdrücke des Besitzers. Man braucht bloss den richtigen zu finden und kann ihn mit relativ plumpen Tricks auf den Fingerabdruckscanner übertragen. Eher schlecht kommt das Wischmuster weg, bei der man mit einem selbst gewählten «Wisch-Parcours» eine Reihe von Punkten verbindet. Wer Ihnen dabei zwei-, dreimal zuschaut, kann sich die Geste merken. Ausserdem bringt ein flüchtiges Abwischen des Displays die Spur einer häufig gezogenen Geste nicht ganz zum Verschwinden.

Kombinieren Sie die Identifikationsmerkmale. Verwenden Sie zum Beispiel zum Entsperren des Geräts eine PIN. Greifen Sie fürs Einloggen in besonders heikle Apps (Krankenkasse, Banking, Twint etc.) zu einem anderen Code, zu einem Passwort oder mindestens zum Fingerabdruck. Über eine NFC-Funktion können Sie sogar einen physisch vorhandenen Hardware-Schlüssel als eine alternative Authentifizierungsmethode benutzen, zum Beispiel einen Yubikey mit FIDO2-Standard. So müssen Sie nicht einmal etwas eingeben und sich auch kein kompliziertes Passwort merken, was den Komfort und die Sicherheit erhöht.

So ziemlich alles auf dem Smartphone hängt mit Onlinekonten zusammen. Bei iPhones ist dies mindestens das Apple- bzw. iCloud-Konto, unter Android das Google-Konto. Sichern Sie dieses und weitere Konten mit einer Zwei-Faktor-Authentifizierung ab. Das heisst, es braucht ein zusätzliches Sicherheitselement (zum Beispiel eine SMS), um sich einzuloggen.

Im Falle von Google geht dies so: Besuchen Sie per Browser myaccount.google. com und loggen Sie sich mit Ihrem Google-Konto ein. Gehen Sie zu Sicherheit. Benutzen Sie Bestätigung in zwei Schritten. Jetzt werden Sie sich vermutlich nochmals einloggen müssen. Aktivieren Sie Bestätigung in zwei Schritten. Nun stehen verschiedene Bestätigungskanäle zur Verfügung. Recht gängig ist Sprachnachricht oder SMS. Hinterlegen Sie dort Ihre Handy-Nummer und legen Sie dafür die Option SMS fest. Des Weiteren haben Sie hier zehn Backup-Codes, die Sie ausdrucken und an einem sicheren Ort verstauen können. Diese dienen als Reserve, falls Ihr Handy nicht verfügbar ist, um die SMS-Codes zu empfangen.

Eine weitere Möglichkeit ist die Google-Authenticator-App. Die eignet sich besonders für Nutzer, die sich häufig in Gebieten mit schlechtem Empfang aufhalten. Es lohnt sich ohnehin, sie zu installieren, denn inzwischen verwenden auch andere Dienste diese nützliche Funktion. Die App erhalten Sie gratis für Android und iOS im entsprechenden App-Shop. Klicken Sie in der App bei Authenticator App auf Einrichten, Bild 7.

Wählen Sie aus, ob Sie ein Android-Gerät oder ein iPhone haben und klicken Sie auf Weiter. Es erscheint ein QR-Code. Laden Sie die verlinkte App aus dem Google Play Store auf Ihr Smartphone herunter und öffnen Sie diese. Oftmals ist sie sogar schon vorinstalliert. Tippen Sie in der App aufs Pluszeichen, um ein neues Konto hinzuzufügen. Wählen Sie Barcode scannen und scannen Sie das Klötzchenmuster per Handy-Kamera. Es speichert sich ein geheimer Schlüssel auf dem Smartphone. Ausserdem wird Ihnen nun auf dem Handy in der Authenticator-App ein Code angezeigt. Tippen Sie diesen am Desktop-Browser ins Feld – fertig!

In Zukunft geht es so: Wenn Sie sich mit Ihrem Google-Konto an einem neuen Gerät einloggen, müssen Sie dieses Login auf dem Handy durch einen simplen Tipper auf eine Schaltfläche bestätigen oder den dort angezeigten Code abtippen. Das Login wird meistens für einige Wochen oder gar Monate gespeichert, sodass sich der Aufwand fürs Login in Grenzen hält.

Die Zwei-Faktor-Authentifizierung sollten Sie bei jeder App und bei jedem Konto einrichten, sofern unterstützt – auch bei Facebook und sonstigen Diensten. Damit laufen die meisten Phishing-Versuche ins Leere.

Da Sie schon bei myaccount.google.com sind, führen Sie gleich eine Sicherheitsprüfung durch. Klicken Sie unter Wir schützen Ihr Konto auf Jetzt starten. Hier können Sie zum Beispiel Geräte entfernen, Bild 8, die Sie nicht mehr nutzen. Falls Sie Drittanbieter-Apps den Zugriff auf Ihr Google-Konto gegeben haben, prüfen und ändern Sie diesen bei Bedarf ebenfalls hier. Unweit von dieser Option finden Sie ausserdem den Privatsphärecheck. Richten Sie in diesem ein, welche Daten Google von Ihnen sammeln darf und welche nicht. Viele davon sind für die Nutzung einiger Apps erforderlich. So wird der Google-Sprachassistent weniger Freude machen, wenn Sie Google das Zuhören verbieten.

Das Handy verfügt über verschiedene Komponenten wie Mikrofon, Kamera, GPS, Speicher und mehr. Die meisten Apps müssen für ihre Funktion auf ein paar dieser Objekte zugreifen. So ist es sinnvoll, dass eine Foto-App Zugriff braucht auf die Kamera, aufs GPS-Modul (fürs Geotagging) und den Speicher. Für ein Game hingegen ergäben solche Zugriffberechtigungen meistens keinen Sinn. Wollen Sie für eine App die Berechtigungen prüfen? Öffnen Sie Einstellungen/Apps & Benachrichtigungen/Alle Apps. Tippen Sie eine App an und Berechtigungen. Hier untersuchen Sie, worauf die App zugreifen darf, Bild 9.

Oder geht es Ihnen eher um einen Überblick, welche Apps aufs Mikrofon, auf die Kamera etc. zugreifen? Gehen Sie zurück zur Liste der Apps, scrollen Sie ganz nach unten und öffnen Sie Erweitert. Hier finden Sie App-Berechtigungen, die Sie pro Sensor bzw. Element einstellen können.

Auf dem Smartphone trudeln haufenweise Nachrichten ein: nicht nur per SMS oder MMS, sondern auch via WhatsApp, Facebook Messenger, Wire, Threema, Signal, E-Mail und so weiter. Handys leiden aber konzeptbedingt ein wenig unter «Platzmangel» auf dem Display. Darum werden beispielsweise Dateinamen und Links verkürzt dargestellt, besonders wenn Sie diese schon im Browser geöffnet haben. Für die Darstellung des Links in der Adresszeile eines Smartphone-Browsers gibts höchstens etwa 5 Zentimeter Platz. So könnte eine Webadresse vielleicht lauten: paketverfolgung_dhl_com. 1234switzerland.example.com. Wenn Sie in Eile oder abgelenkt sind, könnten Sie glauben, der Link führe tatsächlich zum Paketdienst DHL. Mit dem angeblichen DHL-Absender werden viele gefälschte Nachrichten verschickt. Natürlich fallen einem die Fälschungen sofort ins Auge, wenn man sie mit einem Original vergleicht. Erhält man die Fälschung separat und hat kein Vergleichsoriginal zur Verfügung, erkennt man den Fake vielleicht nur schwer, Bild 10.

Behandeln Sie daher sämtliche Links und erhaltenen Dateien mit grosser Skepsis – noch mehr als auf dem PC! Lassen Sie sich von keiner Nachricht unter Zeitdruck setzen, wenn sie den Klick auf einen Link oder das Öffnen einer Datei fordert.

Drehen Sie in diesem Fall die Redewendung «im Zweifel für den Angeklagten» ins Gegenteil. Das bedeutet: Gehen Sie bei jedem Link und jedem Anhang in jeder Nachricht zuerst von einem Betrugsversuch oder Schädling aus. Erst dann suchen Sie nach Beweisen für die Harmlosigkeit des Objekts.

Trauen Sie keinem Linkkürzer. Kein seriöses Unternehmen wie zum Beispiel DHL oder Ihre Bank würde einen Linkkürzer wie beispielsweise cutt.ly verwenden.

Überprüfen Sie Kurzlinks zuerst über einen «Link-Entkürzer» wie unshorten.me. Erst wenn Sie sicher sind, dass Sie bei der richtigen Webseite landen werden, klicken oder tippen Sie auf den Link. Nicht zuletzt gibt es einen relativ einfachen Trick, mit dem Sie auch bei einem langen Link erkennen, zu welcher Domain er führt. Die tatsächliche Domain steht nach dem https:// immer direkt vor dem ersten Slash (/). Wenn das etwa bei angeblichen PostFinance-Links nicht tatsächlich postfinance.ch ist, dann ist es ein Fake.

Geben Sie bei keinem Pop-up irgendwelche persönlichen Daten ein. Schon gar nicht, wenn Sie nicht vorher sichergestellt haben, dass das Pop-up von einer seriösen Seite stammt, der Sie Ihre Daten geben wollen.

Verwenden Sie in Messengern und Ähnlichem niemals die Adressbuch-hochladen-Funktion. So verschenken Sie nämlich die Daten all Ihrer Freunde an Facebook & Co., auch wenn diese gar nicht bei Facebook & Co. sein wollen. Zugegeben, es ist ohne Adressbuchabgleich etwas umständlich, die Kollegen auf diesem oder jenem Messenger zu finden. Aber Sie können ja direkt nach der ID-Nummer fragen und die Personen einzeln hinzufügen.

Loggen Sie sich nicht in WLANs ein, sofern Sie deren Betreibern nicht trauen. Verzichten Sie in fremden WLANs generell auf die Nutzung heikler Apps wie E-Banking.

Öffnen Sie Einstellungen/System und unten Erweitert. Dort finden Sie meist einen Punkt wie Systemupdate. Prüfen Sie, welche Android-Version Sie haben und wann diese installiert wurde. An gleicher Stelle lässt sich ein Update auch anstossen. Wer weiss, vielleicht bekommen Sie gerade Android 10, Bild 11.

Was die App-Updates betrifft, öffnen Sie die Google-App «Play Store». Wechseln Sie oben links übers Hamburger-Menü zu Meine Apps und Spiele. Hier tippen Sie zur Suche nach frischen Updates auf den grünen Kreispfeil, Bild 12. Wechseln Sie auch mal zu Installiert und setzen Sie die Sortierreihenfolge auf Zuletzt aktualisiert. Wenn Sie ganz nach unten scrollen, sehen Sie, welche Ihrer Apps am längsten auf ein Update warten. 

Es ist wichtig, dass Sie Apps ausschliesslich aus dem offiziellen Google Play Store bzw. Apple App Store installieren. Dennoch rät die Autorin davon ab, die Apps auch darin zu suchen. Ein Widerspruch? Keineswegs! Es gibt in den Stores recht viel Schund, auch Apps mit Schädlingen. Bei der Suche im Store nach einem Stichwort werden auch die schlechten aufgelistet; und die Nutzerbewertungen können trügen. Wenn Sie eine App von einem bestimmten Unternehmen suchen (zum Beispiel SBB, PCtipp, Migros, Coop), gehen Sie anders vor. Besuchen Sie die Firmenseite per Webbrowser und halten Sie dort Ausschau nach den Apps. Dort sind nämlich garantiert die korrekten Apps des jeweiligen Unternehmens verlinkt. So fallen Sie sicher nicht auf Fälschungen herein.

Oder geht es um eine App für einen bestimmten Zweck? Recherchieren Sie auf Webseiten, die sich mit dem jeweiligen Thema auskennen, etwa in Gartenblogs oder Gartenzeitschriften, wenn Sie eine App für die Gartenpflege suchen. So erhalten Sie eher brauchbare App-Empfehlungen von Fachleuten und nehmen weniger Ärgernisse und Leerläufe in Kauf.

Handy-Hüllen oder Display-Folie – die meisten Geräte kommen ohne diese Zusätze aus. So sehr man die Geräte vor Kratzern, Stürzen und deren Folgen schützen möchte, haben Hüllen und Folien auch Nachteile. Passt das Gerät noch in die bevorzugte Jacken- oder sonstige Tasche, wenn es durch die Hülle an jeder Kante zwei Millimeter breiter wird? Eine zu dicke Hülle wird nicht zuletzt fast zwangsläufig an der Lade-Effizienz kratzen, wenn Sie vorhaben, das Gerät kabellos über eine Qi-Ladematte mit Strom zu versorgen.

Auch mit Display-Folien lassen sich schlechte Erfahrungen machen: Mal hält eine Folie nicht oder wirft Blasen, andere beeinflussen die dargestellten Farben und bei einigen reagiert der Touchscreen unter der Folie nicht mehr zuverlässig. Folien sehen teils nach einigen Wochen oder Monaten etwas schmuddelig aus. Wichtig ist darum auch, dass sich die Folie auch nach Monaten rückstandsfrei entfernen lassen kann.

In einigen Fällen ist der Zukauf einer Hülle oder Schutzfolie trotzdem eine Überlegung wert. Dies etwa bei speziell teuren Geräten oder solchen, die aufgrund einer rutschigen Rückseite oder eines turbulenten Umfeldes etwas stärker sturz- oder kratzgefährdet sind. Achten Sie bei der Suche nach Hüllen oder Folien auf Produktbewertungen und seriöse Testberichte, besonders was die oben erwähnten Punkte betrifft. Ebenfalls wichtig: Die Hülle oder Folie muss exakt zu genau Ihrem Gerätetyp passen.