Candid Wüest ist Virenforscher bei Symantec.

Wer die Smartphones seiner Mitarbeiter nicht sauber absichert, geht unkalkulierbare Risiken ein. Denn die kleinen Mini-Computer werden für die Cyberkriminellen immer attraktivere Angriffsziele.

Die Gründe für die wachsende Gefahr sind vielfältig. Einerseits steigt die Zahl der Besitzer von Business-Handys stark an, andererseits vertrauen immer mehr Geräte auf PC-ähnliche Betriebssysteme, welche die modernen Smartphones zur valablen Alternative für den Laptop machen. Ausgerüstet mit Applikationen wie Browser, E-Mail, Instant Messenger oder Google werden Smartphones immer öfter als Frontend fürs Internet genutzt. Zudem werden Handys in stetig wachsendem Umfang als «Zahlungsmittel» benutzt - für Parkgebühren, im öffentlichen Nahverkehr oder für Services wie Klingeltöne und Musik-Downloads. All diese Funktionalitäten locken kriminelle Elemente an. Diese locken die Besitzer per SMS auf kostenpflichtige Dienste oder verleiten sie per SMiShing (Phishing per SMS) dazu, gefälschte Seiten und Dienste anzuwählen.

Zudem beherbergen die Business-Handys in aller Regel zahlreiche sensible Firmeninformationen wie beispielweise die Outlook-Kontaktdaten des Besitzers. Für Unternehmen sind daher Sicherheitslösungen, die mobile Geräte mit einschliessen, unabdingbar. Von ihnen profitiert nicht zuletzt auch der Besitzer des Telefons. Vor allem, wenn er seinem elektronischen Begleiter PINs oder Kreditkarteninformationen anvertraut hat.

Der aus der PC-Welt bekannte grosse Ausbruch von Cyber-Attacken auf Mobiltelefone blieb bisher zwar noch aus: So liegt die Anzahl der Handy-Viren noch unter 400, verglichen mit den mehr als eine Million bekannten PC-Viren. Hauptgrund ist einerseits das bisherige Fehlen eines marktbeherrschenden Betriebssystems für Smartphones, andererseits die noch gering ausgeprägte Vernetzung zwischen den Mobiltelefonen verschiedener Besitzer. Damit bieten Handys eine vergleichsweise ungünstige Basis für die Verbreitung von Viren.

Seit allerdings Bluetooth verstärkt auf dem Vormarsch ist, wachsen die Gefahren. Angreifer können Bluetooth-Verbindungen beispielsweise für das «Bluejacking» nutzen. Dabei wird die Fähigkeit von Bluetooth-Geräten ausgenutzt, andere Geräte in der näheren Umgebung zu erkennen und dann über diesen Kanal unerwünschte Informationen zu senden.

Mit «Bluesnarfing», das die gleiche Eigenschaft ausnutzt, lassen sich Informationen aus dem Zielgerät auslesen, beispielsweise Kontaktlisten, ohne dass der Besitzer dies merkt. Andere Bluetooth-Attacken können Lauschangriffe starten oder das Telefon veranlassen, fremde Anrufe abzuwickeln oder Daten zu senden. Der Angreifer ist dabei kaum mehr zu ermitteln. Diese Gefahren sind seit längerem bekannt, vor allem wenn man Bluetooth im «Discovery Modus» eingeschaltet lässt. Auch um Bluetooth-Freisprecheinrichtungen abzuhören, gibt es bereits Tools.

Zu den weiteren Übertragungswegen für Malware gehören überdies Kurz- und Bildnachrichten (SMS und MMS), aber auch WAP (Wireless Application Protocol), WLAN, E-Mail, Bilder und Videos, der Instant Messenger sowie Voice over IP. Nahezu alle Wege eignen sich zur Übertragung von Spam sowie für Phishing-Versuche. Eine weitere Schwachstelle und damit Gefahrenquelle ist das Synchronisieren des Smartphones mit dem PC. Hier drohen sowohl die Infizierung mit Schadcode als auch der Verlust von Daten.

Insgesamt weisen die Schadprogramme, einmal auf dem Mobiltelefon installiert, ein hohes Schadenspotenzial auf: Sie ersetzen beispielsweise Icons durch Totenköpfe und überschreiben wichtige Systemdateien, sodass das Handy nach einem Neustart nicht mehr läuft. Andere Schädlinge löschen wahllos Daten, senden teure Premium-SMS oder übermitteln das komplette Adressbuch an einen Angreifer im näheren Umfeld (bis zu 100 Meter). Auch das Aufzeichnen von Telefonaten und das Ausspionieren von empfangenen Kurzmitteilungen ist mit so genannten Spyware-Tools bereits möglich.

Mit einer grossen Wurm-Attacke auf Smartphones ist aber auch im Jahr 2008 noch nicht zu rechnen. Hier können auch die Provider mithelfen. Aufgrund der Organisation der GSM-Netze haben sie sehr gute Möglichkeiten und Chancen, Schädlinge auszufiltern.

Dennoch ist zu vermuten, dass neue Plattformen wie beispielsweise Apples iPhone oder die Google-Plattform Android zusätzliche Virenschreiber anlocken werden. Denkbar sind dabei unter anderem Web-2.0-Angriffe auf die neuen Handys, beispielsweise, wenn eine infizierte Web-seite von einem iPhone aus besucht wird und eine Lücke im Safari Browser ausgenutzt werden kann. Zwar ist das noch nicht so einfach möglich wie am Computer. Doch wurden bereits die ersten Schwachstellen im Android-Entwicklersystem entdeckt: Ein Exploit, der in Bildern versteckt werden kann - ideal für Web-2.0-Angriffe. Im Ernstfall können solche Exploits zu Masseninfektionen führen.

Für Apples iPhone wurde inzwischen überdies eine Software-Entwicklungsumgebung veröffentlicht. Entsprechend darf in naher Zukunft mit einer wachsenden Fülle von Applikationen gerechnet werden. Allerdings behält sich Apple bisher den Vertrieb vor und hat es damit selbst in der Hand, eine Sicherheitsüberprüfung vor der Freigabe durchzuführen.

In einigen Jahren könnten dann auch Handyviren, Handy-Botnetze oder SIM-Karten-Phishing zum grossen Problem werden - deshalb sollten Unternehmen bereits jetzt präventive Massnahmen ergreifen.

Weitere Informationen

- Downloads aus unsicheren Quellen
- Angebliche Tools wie «SIM Unlocker» oder «Free SMS Services», die Malware enthalten
- Infektionen durch ungesicherte Bluetooth-Verbindungen, wie etwa «Bluejacking»
- SMiShing (Phishing via SMS)
- SMS mit Links zu Premium-Diensten oder zweifelhaften Seiten
- Verdächtige Installationsabfragen

Übersicht

Antivirus: Erkennt Bedrohungen sehr schnell und schützt Benutzer davor, infizierte Dateien zu öffnen. IT-Administratoren können regelmässige Virusscans und Updates initiieren.

Firewall: Überwacht den ein- und ausgehenden Datenverkehr, sichert Mobilgeräte gegen Internet-Attacken und schützt so die Privat-sphäre des Benutzers.

Anti-SMS-Spam: Filtert und löscht automatisch Spam-Nachrichten oder verschiebt sie in einen speziellen Ordner.

Techniken zur Schadensminderung: Verschlüsseln Daten und Speicherkarten des Gerätes für den Fall, dass es verloren geht oder gestohlen wird. Daten werden nach einer festgelegten Anzahl erfolgloser Login-Versuche automatisch gelöscht.

Steuerung der Geräteeigenschaften: Erlaubt IT-Administratoren, bestimmte Funktionen des Mobilgerätes zu aktivieren oder zu deaktivieren, etwa Bluetooth, WiFi und Synchronisierung. Begrenzt Sicherheitsrisiken, weil nur die geschäftlich relevanten Funktionen zur Verfügung stehen.

Schutz vor Manipulation: Stellt sicher, dass Anwendungen vor dem Netzzugriff weder verfälscht noch verändert wurden.

Virtual Private Network: Benutzer können nur via VPN auf das Unternehmensnetz zugreifen. Bietet Schutz vor Eindringlingen bei der Datenübertragung per Funk.

Checkliste

- Klicken Sie nicht unbedarft auf irgendwelche Rufnummern oder Links, die Ihnen per SMS zugeschickt werden.

- Nehmen Sie Downloads nur von vertrauenswürdigen Quellen vor. Diese sollten nach Möglichkeit über Signatur beziehungsweise Hash-Verfahren abgesichert sein.

- Deaktivieren Sie nicht benötigte Dienste (Bluetooth, WLAN) auf dem Handset.

- Lehnen sie Verbindungen ab, die Sie nicht nachvollziehen können, oder nicht angefordert haben. Dies gilt insbesondere bei Bluetooth.

- Führen Sie keine unbekannten Exe-Dateien aus (hier fragt das OS noch einmal nach).

- Halten Sie das Betriebssystem durch regelmässige Updates immer aktuell.

- Schützen Sie bei der Synchronisation von PC und Handy den Rechner mit Antiviren-Software.

- Ziehen Sie den Einsatz einer Antiviren-Software oder einer Personal-Firewall auch auf dem Handy in Erwägung.

- Aktivieren Sie die «Remote Sperre» moderner Handys. Über ein vordefiniertes Codewort können Smartphones so aus der Ferne per SMS gesperrt werden. Das ist nicht nur im Falle eines Diebstahls nützlich, sondern hilft auch, wenn das Handy etwa durch das Versenden von SMS- oder MMS-Spam auffällt.