Bundesheer Bundesheer Hoheitszeichen

Bundesheer auf Twitter

Handy und Smartphone Vorteil und Risiko

Jeder Besitzer eines modernen Handys oder Smartphones schätzt die unglaublichen Vorteile der Nutzung dieser Technologie. Kein Vorteil ist aber ohne Risiko, und das besteht primär im Verlust gespeicherter Inhalte. Dieser Verlust kann auf unterschiedliche Weise eintreten und sehr schnell zur Bedrohung in Form von finanziellen Schäden, Verlust einer guten Reputation oder indirekten Schäden auswachsen und könnte sich zusätzlich nachteilig auf andere Personen auswirken. Sicherheitsvorkehrungen zu treffen kann dieses Bedrohungsrisiko reduzieren.

Im deutschsprachigen Raum werden die Begriffe "Mobiltelefon" und "Smartphone" in der Regel mit der Bezeichnung "Handy" gleichgesetzt. Das Handy ist aus keinem Gesellschafts- und Geschäftsbereich mehr wegzudenken. Der Stellenwert der Mobilfunkkommunikation nimmt weltweit immer mehr zu. Ende 2010 wurden bereits 5,3 Milliarden Mobilfunkgerätenutzer, davon 940 Millionen 3G-Nutzer gezählt (Anm.: 3. Generation bei Mobilfunkstandards wie z. B. Universal Mobile Telecommunications System/UMTS). Der höchste Abdeckungsgrad liegt hierbei in Europa mit 130 Prozent. Im Vergleich dazu hat Afrika eine Abdeckung von 52 Prozent.

Im Jahr 2010 wurden weltweit 6,1 Billionen SMS versendet. Der Anteil von Smartphones liegt derzeit bei ca. 25 Prozent der verkauften Geräte und nimmt mit einer Steigerungsrate von 30 Prozent pro Jahr zu. In Österreich liegt die Durchdringungsrate mit Mobiltelefonen derzeit bei mehr als 140 Prozent. Österreich liegt über dem Durchschnitt und damit im europäischen Spitzenfeld.

Bei der Beurteilung von Risikofaktoren im Bereich Mobilfunk steht an erster Stelle die Bequemlichkeit der Benutzer/Besitzer eines Mobiltelefons. Jeder ist heutzutage in der Lage ein mobiles Endgerät in Betrieb zu nehmen, ohne dabei die Bedienungsanleitung studieren zu müssen. Nach dem ers‑ ten Einschalten beginnt ein verhängnisvoller Teufelskreis im Umgang mit dem neuen Gerät. Sowohl Hersteller als auch Provider versuchen Kundenanfragen zu gerätespezifischen Merkmalen zu vermeiden und machen eine Voreinstellung zahlreicher Funktionen, d. h. diese sind ohne weiteres Zutun des Kunden aktiviert. Somit verwandeln sich aktuelle Smartphones unmittelbar in mobile "Funkstationen" mit entsprechenden Abstrahlungen. In mehreren Frequenzbereichen und mit unterschiedlichen Übertragungsprotokollen wird der Empfang oder das Absenden von Daten ermöglicht. Das Gerät wird für einen Angreifer dadurch in mehreren Frequenzbereichen detektierbar und in weiterer Folge auch angreifbar. Um diese Abstrahlungen zu vermeiden, wäre als erster Schritt ein Blick in die Bedienungsanleitung ratsam.

Neben den Schnittstellen für diverse Datenübertragungen am Gerät gibt es auch die herstellerseitig vorinstallierten Applikationen bzw. Anwendungsprogramme. Deren Funktionsweisen erschließen sich dem User in der Regel erst nach dem erstmaligen Aktivieren, wodurch aber möglicherweise bereits eine weitere Sicherheitslücke am Endgerät geöffnet wurde, die sich negativ auf den Gerätebesitzer auswirken kann. Als Beispiel wären hier unerwartete Kosten durch anwendungsspezifische Datenverbindungen, Applikationslizenzgebühren oder die unerwünschte Weiterleitung von Kontaktinformationen zu nennen. Es wird nachdrücklich empfohlen, zuerst die Bedienungsanleitung genau zu lesen und erst danach Programme zu starten.

Bedrohungen

Die Bedrohungen bei der Nutzung von Mobiltelefonen bestehen primär im Verlust der Vertraulichkeit, der Verfügbarkeit oder der Integrität der eigenen am Gerät gespeicherten Inhalte sowie der Kommunikationsverbindungen.

Unter Verlust der Vertraulichkeit ist zu verstehen:

  • das Bekanntwerden von Gesprächsinhalten,
  • der am Gerät gespeicherten sensiblen Daten und
  • die Preisgabe von Standortinformationen an fremde Personen.

Dieser Verlust kann bei illegalen Zugriffen auf das Gerät, bei einem Diebstahl des Gerätes oder beim Abhören erfolgen.

Unter Verlust der Verfügbarkeit ist zu verstehen:

  • ein Geräteverlust,
  • eine Gerätefehlfunktion oder
  • nach einer erfolgten Manipulation des Betriebssystems, eine einhergehende fehlende Zugriffsmöglichkeit auf am Gerät gespeicherte Daten, eine Unterbrechung der Verbindung oder die Unmöglichkeit des Verbindungsaufbaus zum Netzbetreiber.

Unter Verlust der Integrität ist zu verstehen dass:

  • durch einen unbefugten Zugriff auf das Gerät gespeicherte Daten verändert wurden und nun nicht mehr gemäß dem ursprünglichen Verwendungszweck nutzbar sind (z. B. Veränderung von gespeicherten Telefonnummern) oder den Benutzer falsch informieren.

Der Stellenwert eines Mobiltelefons kann nach Analyse folgender Fragen beurteilt werden:

  • Welchen Wert hat für mich als Besitzer das Endgerät?
  • Welchen Wert haben die Daten am Mobiltelefon für mich?
  • Welche Konsequenzen ergeben sich für meine Familienmitglieder, Freunde, Arbeitskollegen, Kunden etc., bei Verlust bzw. Diebstahl meiner gespeicherten Kontaktinformationen und deren missbräuchliche Verwendung durch Dritte?

Schwachstellen der Betriebssysteme

Die Mobiltelefongerätehersteller haben in den letzten Jahren eine große Anzahl von Endgeräten mit unterschiedlichen Betriebssystemen entwickelt, die aber das Thema Sicherheit bzw. Benutzerinformation in Bezug auf Sicherheitsaspekte nur gering oder gar nicht berücksichtigen.

Bei der Nutzung von Softwareprodukten aus den jeweiligen Downloadbereichen der großen Mobiltelefonhersteller bzw. Softwareproduzenten gibt es einen Problembereich. Viele "Apps" weisen neben der eigentlichen Bestimmungsfunktion für den User nicht erkennbare Zusatzfunktionen auf, die zu einem Datenmissbrauch führen können. Diese Zusatzfunktionen können sein:

  • Auslesen sämtlicher gespeicherter Kontaktinformationen und Weiterleitung an vordefinierte Internetserver für Werbe- oder anderer Zwecke;
  • Auslesen und/oder Verändern von SMS- und MMS-Inhalten;
  • Auslesen von Geräteinformationen;
  • Änderung von Systemeinstellungen;
  • Auslesen des Standortes;
  • Aktivierung eines uneingeschränkten Internetzugriffs, d. h. Applikationen können ohne Rückfrage beim Gerätebenützer die Internetfunktion am Mobiltelefon aktivieren;
  • Nutzung kostenpflichtiger Dienste;
  • Selbstständige Nutzung von Hardware-Elementen (Aufnahme von Bildern und Videos mit der Gerätekamera);
  • Auslesen und Veränderung von Daten auf externen Speichermedien (z. B. Speicherkarten).

Potenzielle Angreifer kundschaften zunächst Schwachstellen aus, um diese gezielt für Angriffe zu nutzen. Diese Angriffe richten sich gegen die Hardware oder sind softwarebasierend. Mittlerweile gibt es einen eigenen Markt für Angriffswerkzeuge.

Hardwareangriffe

Annähernd alle auf dem Markt verfügbaren Endgeräte können mit frei erhältlichen Tauschakkus versehen werden, in denen ein zusätzliches Mobiltelefon integriert ist. Es gibt auch Systeme, bei denen in das angegriffene Mobiltelefon ein weiteres Mobiltelefon eingebaut wurde. Durch Anrufen dieses Mobiltelefons im Mobiltelefon können Raumgespräche des betroffenen Opfers weltweit abgehört werden. Die Stromversorgung wird vom Opfer durch Laden des Endgerätes gewährleistet.

Softwareangriffe

Angreifer mit einem unmittelbaren Zugang zu einem fremden Mobiltelefon zum Einbringen von Malware (Anm.: Schadprogramme, die entwickelt wurden, um vom Benutzer unerwünschte bzw. schädliche Funktionen am Opfergerät auszuführen) benötigen nur einen sehr kurzen Zeitraum für ihre Manipulationen. Je nach genutzter Software und des vorliegenden Betriebssystems am "Opfergerät" lässt sich eine Manipulation innerhalb von wenigen Minuten bewerkstelligen. Der Täter benötigt zum Teil nicht einmal zusätzliche Hardware, sondern kann die verfügbaren Geräteressourcen des zu manipulierenden Gerätes nutzen. In weiterer Folge stehen dann dem Angreifer mehrere Optionen zur Überwachung des Mobiltelefonbesitzers zur Verfügung.

Ein potenzieller Angreifer nutzt diese verfügbaren Funktionalitäten wie sie im Kasten oberhalb dargestellt sind.Die Trojanersoftware kann Funktionen ohne Kenntnis des Gerätebenützers aktivieren und damit ist dieser nicht mehr in der Lage sein Gerät ohne Wissen des Angreifers zu benützen Die Softwareprodukte mit den beschriebenen Malwarefunktionen sind für jedermann ab einem Betrag von ca. 50 bis ca. 2 000 Euro im Internet erhältlich!

Angriffe ohne unmittelbaren Gerätezugriff

Viele Angriffe können auch ohne einen unmittelbaren Gerätezugriff erfolgen. Durch das Ausnützen von menschlichen Schwächen oder durch Neugier wird der User zu einem Fehlverhalten verleitet.

Beispiele hiefür können sein:

  • Einbringen von Malware wie z. B. Viren, Würmern oder Spy-Software.
  • Social Engineering Angriffe mittels Phishing, Vishing oder Smishing.

Phishing ist das Fälschen von Webseiten und E-Mails zur Bekanntgabe von Passwörtern und Zugangsdaten zum Zwecke des betrügerischen Schädigens von Opfern.

Unter Vishing versteht man einen automatisierten Angriff von VoIP-Adressen (Anm.: Voice over IP, ist das Telefonieren über Computernetzwerke, die nach Internet-Standards aufgebaut sind), bei dem das Opfer von einer vermeintlich vertrauenswürdigen Institution angerufen wird (z. B. Kreditinstitut), um Informationen wie Kontonummern, PINs und TANs preiszugeben.

Beim Smishing ("SMiShing") werden die Opfer mittels SMS aufgefordert Weblinks, E-Mailadressen oder Rufnummern zu kontaktieren, bei deren Nutzung sensible Zugangsdaten gestohlen werden können.

Durch Mobile Bot-Netze werden mittels Software manipulierte Mobiltelefone durch einen Angreifer fernsteuerbar und agieren wie "Roboter" auf die Befehle des Angreifers. In weiterer Folge wird eine große Anzahl von "gehackten" Mobiltelefonen durch Fernzugriff durch einen Angreifer für weiterführende Angriffe gegen andere Computersysteme gesteuert.

Beim Gebührendiebstahl sind zwei Szenarien möglich:

  • Mittels Trojaner-Software werden Gespräche auf teure Roaming-Rufnummern des Angreifers umgeleitet und das Opfer damit finanziell belastet.
  • Nach einem erfolgreichen Gerätediebstahl werden bis zur Sperrung der SIM-Karte durch das Opfer kostenintensive Auslandsgespräche bzw. Datenverbindungen genutzt.

International Mobile Subscriber Identity (IMSI)-Catcher. Ein IMSI-Catcher simuliert eine Basisstation eines Mobiltelefonproviders. Durch dessen Nutzung werden Mobiltelefone dazu gebracht, anstelle des Verbindungsaufbaues über einen Sendemast des Providers, sich bei der simulierten Basisstation des IMSI-Catchers einzubuchen. Dadurch kann ein Angreifer die grundsätzlich verschlüsselte Verbindung zwischen Mobiltelefon und Sendemast des Providers auf einen Klartextmodus umschalten und sämtliche Gespräche mithören, den Verbindungsaufbau verhindern oder die Verbindung unterbrechen.

Fernzugriffsoption durch Hersteller

Die Gerätehersteller bzw. Applikationsbereitsteller können nachweislich durch Fernzugriffe Softwareprodukte von allen Endgeräten "remote" löschen. D. h. im Zuge der Applikationsüberprüfungen werden bösartige Softwarefunktionen erkannt und danach von den Anbietern unmittelbar durch einen nicht erkennbaren oder angekündigten Eingriff in die Mobiltelefone der Kunden aus der Ferne gelöscht. Ein Zugriff auf sonstige Gerätedaten kann dabei nicht ausgeschlossen werden!

Mobiltelefone im Österreichischen Bundesheer

Im Österreichischen Bundesheer (ÖBH) werden Mobiltelefone grundsätzlich zur Erleichterung und Beschleunigung von Verwaltungsaufgaben und zur Kommunikation mit zivilen Stellen bei unmittelbaren Erfordernissen eingesetzt. Der Einsatz als militärische Führungsmittel ist untersagt. Grundsätzlich sind diese Geräte den Arbeitsplätzen auf der jeweiligen Führungsebene zugeordnet und werden nicht personenbezogen vergeben. Mit den in Österreich vorhandenen Mobilfunkprovidern wurden in der Vergangenheit zahlreiche Verträge zur Abdeckung der bestehenden Erfordernisse des ÖBH getroffen. Zum Schutz vor bereits beschriebenen Bedrohungen werden auf oberster Führungsebene und weiteren wesentlichen Positionen verschlüsselte Endgeräte bereitgestellt. Smartphones werden derzeit ausschließlich nur auf der obersten Führungsebene mit weitreichenden Sicherungsmaßnahmen und -vorgaben genutzt. Alle anderen Dienststellen sind mit "einfachen" Mobiltelefonen ohne Datenanbindungsoption versorgt, um somit allfällige Gefährdungen durch Angreifer möglichst ausschließen zu können.

Zusammenfassung

Die heute auf dem Markt verfügbaren Endgeräte können als "Informationsbomben" bezeichnet werden. Jeder Nutzer muss für sich festlegen, welche Informationen er auf diesen Geräten abspeichert. Die Endgeräte weisen viele unterschiedliche Funktionen auf, die von jedem Nutzer individuell verwendet werden können. Eine große Zahl von Schwachstellen könnte von einem Angreifer missbraucht werden. Die Nutzung entsprechender Angriffsprodukte stellt einen Bruch der österreichischen Rechtvorschriften dar und steht unter Strafe!

Zu bedenken ist in jedem Fall die Problematik des Datenverlustes bei Diebstahl bzw. Beschädigung der Hardware und der möglicherweise dadurch für Dritte entstehende Schaden. Jeder Käufer eines neuen Mobiltelefons muss nach Beurteilung seiner eigenen Fähigkeiten und Kenntnisse im Umgang mit modernen Mobiltelefonbetriebssystemen die Entscheidung treffen, welches Produkt er auswählt. Die Palette reicht von der Variante "Sorglos-Telefon" mit restriktiven Firmenvorgaben und massiven Einschränkungen im Hinblick auf Anpassungen des Gerätes, bei einer gleichzeitig geringeren Bedrohung für Geräteausfälle durch Fehlbedienungen durch den Nutzer, bis zu Geräten, die zwar viele kundenspezifische Anpassungen ermöglichen, aber Fehlbedienungen auch zu kompletten Geräteausfällen führen können. Vereinzelt können vorgeschlagene Maßnahmen aufgrund von Herstellerrestriktionen nicht umgesetzt werden!

Grundsätzliches

Mobiltelefone und Smartphones immer "sicher" verwahren und vor dem Zu- griff Dritter schützen!

Die Funktion PIN-Code-Abfrage sollte immer aktiviert sein!

Die Funktion Sicherheitscodeabfrage, Gerätesperrcode oder Passcode (herstellerabhängig) sollte aktiviert sein!

Die Funktion automatische Tastensperre sollte aktiviert sein!

SMS: Eingebetteten Internetlinks grundsätzlich nicht folgen!

MMS: Dateiempfang von fremden Personen grundsätzlich ablehnen! Empfangsoptionen anpassen!

Software-Update(s): Grundsätzlich nur nach Sicherung sämtlicher Daten des Endgerätes auf einem "sicheren" PC-Arbeitsplatz durchführen!

Applikationen ("Apps"): Verfügbare Berechtigungs- und Informationshinweise vor der Installationsfreigabe genau lesen!

Internet: Die Internetnutzung sollte grundsätzlich nur bei am Gerät installierter Sicherheitssoftware erfolgen!

E-Mail: E-Mails nur in Form von Kopfzeilenbenachrichtigungen auf das Gerät herunterladen! Herunterladen von Dateianhängen grundsätzlich unterbinden! Dateianhänge sollten nur bei am Gerät aktivierter Sicherheitssoftware geöffnet werden!

Bluetooth: Die Bluetooth-Funktion sollte nur bei einem tatsächlichen Bedarf aktiviert werden! Die Sichtbarkeit des Telefons sollte nur unmittelbar bei der Datenübertragung aktiviert werden! Der Bluetooth-Name des Endgerätes sollte keinen unmittelbaren Rückschluss auf den Besitzer, dessen Funktion oder dessen Dienststelle ermöglichen! Die Warnfunktionen bei Dateiübertragungen sollten aktiviert sein! Der Pairingvorgang sollte nur zum unmittelbaren Datenaustausch aktiviert werden! Pairinganfragen (Prozess der erstmaligen Verbindungsaufnahme zwischen zwei Bluetooth-Geräten) von unbekannten Quellen sollten unbedingt abgelehnt werden!

Infrarot: Die Infrarotschnittstelle nur zum unmittelbaren Datenaustausch aktivieren!

WAP: "Drittanbieterabrechnungssperre" aktivieren!

GPS: Die Funktion sollte nur bei Bedarf aktiviert werden!

Sonstige Schnittstellen: Jeweils nur bei tatsächlichem Bedarf aktivieren!

Informationen

Weiterführende Informationen und ein detaillierteres Informationsblatt zum Thema "Sicheres Telefonieren mit Handy und Smartphone" finden Sie auf der Homepage "Informationssicherheit" im Intranet ÖBH (3.VE) - www.infosih.intra.bmlv.at\zhi Folgende Informationsblätter des Abwehramtes können Sie auf dem Versorgungsweg anfordern:

  • Informationsblatt "Schutz vor Social Engineering" - VersNr 7610-85003-0707
  • Informationsblatt "Sicherheitsrisiko mobile Datenspeicher" - VersNr 7610-85519-0709
  • Informationsblatt "Passwortgestaltung" - VersNr 7610-85611-1110

Abwehramt

Eigentümer und Herausgeber: Bundesministerium für Landesverteidigung | Roßauer Lände 1, 1090 Wien
Impressum | Kontakt | Datenschutz | Barrierefreiheit

Hinweisgeberstelle