Deutscher Bundestag Drucksache 17/11539 17. Wahlperiode 20. 11. 2012 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Jan Korte, Dr. Rosemarie Hein, Ulla Jelpke, weiterer Abgeordneter und der Fraktion DIE LINKE. Drucksache 17/11276 Angriffe auf Smartphones Vorbemerkung der Fragesteller SmartphoneshabensichmittlerweilezuleistungsfähigenMini-PCsentwickelt, dienebenvielfältigenkommunikationsdienstenwietelefonie,e-mailund InstantMessagingauchalsSpeicherplatzfürsensibleDokumenteundpersönlichenDatendienen.LautdemBITKOM (BundesverbandInformationswirtschaft,TelekommunikationundneueMediene.V.)stiegendieVerkaufszahlen vonsmartphonesimjahr2011imvorjahresvergleichum31prozentauf 11,8Millionenan.MittlerweilebesitzenfastzweiDrittelderDeutschenein Smartphone,dasgehtauseinerrepräsentativenUmfragehervor,diedie BundesministerinfürErnährung,LandwirtschaftundVerbraucherschutz,Ilse Aigner, am 24. Oktober 2012 vorstellte. DassdieimBetriebssystemdersogenanntenmobilenEndgerätevorinstalliertenSicherheitsmechanismenjedochkaumausreichendsind,umvertrauliche Datenangemessenzuschützen,wusstenvornichtallzulangerZeitnochdie wenigstennutzerinnenundnutzer.nochimjahr2011stelltedasbundesamt fürsicherheitinderinformationstechnik (BSI)indemPapier Wiesichersind Smartphones?SicherheitsrisikenundSchutzmaßnahmenbeiderNutzungvon MobilenEndgeräten fest,dassindiesembereichnochimmergroßerinformationsbedarfherrsche.diebehördekamdamalsimrahmeneinerbefragungzudemschluss,dasseindritteldersmartphonenutzernichtwissen,dass ihrsmartphoneexaktdiegleichenschutzmaßnahmenwieihrpcbenötigt. DashatsichoffenbarimLaufederZeitgeändert.InderaktuellenUmfragedes BundesministeriumsfürErnährung,LandwirtschaftundVerbraucherschutz (BMELV)gaben80ProzentderBefragtenan,aufbestimmteAnwendungen zu verzichten, um sich vor Angriffen auf ihr Smartphone zu schützen. Dasscheintauchnotwendigzusein,dennmanipulierteAppsstellennoch immerundinzunehmendemmaßeeingroßessicherheitsrisikodar.jedes fünftederrund48000,fürdasvongoogleentwickeltebetriebssystem Android,angebotenenAppsistmitVirenoderTrojanernversehen (Quelle: StudieSMobileSystems).InstallierteinNutzerunwissendsolcheinemanipulierteAppaufseinemTelefon,verschafftsichdiesesogleichZugriffaufdas gesamtebetriebssystemundsomitauchaufallepersönlichenressourcen.zu- DieAntwortwurdenamensderBundesregierungmitSchreibendesBundesministeriumsdesInnernvom15.November2012 übermittelt. Die Drucksache enthält zusätzlich in kleinerer Schrifttype den Fragetext.
Drucksache 17/11539 2 Deutscher Bundestag 17. Wahlperiode gleicherhieltendiedeutschenmobilfunkanbietereinvernichtendesurteil,als sievomsecurtityresearchlabaufdenschutzvorspionagegetestetwurden. T-MobileundVodafonewurdendabeimitmangelhaftbewertet,E-PlusundO 2 sogarmitungenügend.dasscheintwenigverwunderlich,dennkeinerderanbieterhatdiezumschutzvorspionagenotwendigea5/3verschlüsselungeingerichtet (Quelle: WirtschaftsWoche Ausgabe 29/2012). DiebisherbekanntestenSmartphone-VirenZitMo,DroidDreamundDroidsheephattendieFähigkeit,Smartphonessozusteuern,dassesmöglichwar, PasswörterundfürdasOnlinebankingnotwendigeTANsauszuspähen,Bewegungsprofilezuerstellen,sichohneKenntnisderBetroffeneninsoziale Netzwerkeeinzuklinken,jasogarTelefongesprächeabzuhören,SMSeinzusehen und zu versenden. DieDaten,diedurchsolcheProgrammeunbemerkterworbenwerden,sind abernichtnurfürkriminelleinteressant.auchdieanbieterundentwickler dersmartphone-appsprofitierenvondendatenihrerkundinnenundkunden.nichtseltenwerdendiesedannzuwerbe-undanalysezweckengenutzt oderandritteweiterverkauft.applereagiertebereitsaufdieseentwicklung. SoistesmitdemUpdateaufIOS6notwendiggeworden,beimÖffneneiner AnwendungderselbeneineNutzungserlaubniszuerteilen.Dabeiwirdexplizit genannt,woraufdiejeweiligeappzugreifenmöchte beispielsweiseauf Fotos,denStandortoderdasAdressbuch.EbensoneuistdieRubrikDatenschutz in den Grundeinstellungen des Telefons. DasPotential,welchesSmartphoneszurSpionagederjeweiligenNutzerin oderdesnutzersbieten,habenmittlerweileauchstaatsregierungenundermittlungsbehördenentdeckt.nebendembereitsindieöffentlichekritikgeratenentrojanerfinfisherderfirmagammainternationalgmbh,mitdemdie RechnervonOppositionellenwährendderarabischenRevolutionbespitzelt wurden,gibtesnunaucheinemobileversiondestrojaners.demzufolgeistes längstmöglich,skype-telefonateoderfacebook-chats,dieüberdassmartphone betrieben werden, auszuspionieren. TatsächlichscheintsichaufdiesemGebieteinneuerMarktzuöffnen.So arbeitetdietelekomdeutschlandgmbhlautmedienberichtenzurzeitanabhörsicherensmartphones,umregierungundgroßunternehmenvorübergriffen von Hackern und Spionen zu schützen. TrotzalldieserVorkommnisseundentgegendervomBundeskriminalamt (BKA)gemachten Feststellungeiner beginnende[n]fokussierungaufdas ZielfeldmobileEndgeräte (Cybercrime-Bundeslagebericht2010)durchKriminellemeintderPräsidentdesBKA,JörgZierke,dassvonAngriffenauf SmartphonesderzeitkeineechteGefahrausgeht,undmerktaberzugleichan, dass sich die Bedrohungslage in Zukunft jedoch verschärfen wird. Vorbemerkung der Bundesregierung DievonderBundesministerinfürErnährung,LandwirtschaftundVerbraucherschutz,IlseAigner,vorgestellteVerbraucherumfrage SicherheitundDatenschutzbeiSmartphones wurdedurchdiearbeitsgruppe4 (AG4) Vertrauen, DatenschutzundSicherheit desit-gipfelsinitiiert.diestudiewurdevonbundesministerinilseaignerunddemco-vorsitzendenderag4,dr.ottenberg, am24.oktober2012vorgestellt.nachaussagedesbundesministeriumsfür Ernährung,LandwirtschaftundVerbraucherschutzhatBundesministerinIlse Aigneram24.Oktober2012mitgeteilt,dasslautAngabendesBranchenverbandesBITKOMvonAugust201270ProzentderverkauftenHandysinzwischen Smartphones sind.
Deutscher Bundestag 17. Wahlperiode 3 Drucksache 17/11539 1.LiegenderBundesregierungStatistikenüberdieEntwicklungderNutzung von Smartphones vor? Wennja,welche,wiebewertetdieBundesregierungdiese,undwassagen sie aus über a) die Anzahl von Smartphone-Nutzern, Circa28ProzentallerDeutschenverfügenübereinSmartphone,dassindca. 22MillionenMenschen.LautAngabendesBranchenverbandesBITKOMvom August 2012 sind 70 Prozent der verkauften Handys inzwischen Smartphones. b)dieentwicklungvonangriffenaufsmartphonesdurchvirenodermalware (bitte Statistiken der Antwort beilegen)? DasBundesamtfürSicherheitinderInformationstechnik (BSI)beobachtetund bewertetbedrohungenaufsmartphones.andersalsbeipc-systemenwerden fürsmartphonesaktuellkeineangriffebeobachtet,dieohneinteraktiondes Nutzers durchgeführt werden (wie z. B. Drive-By-Exploits). StattdessenbestehteineBedrohungdurchApps,diederNutzerselbstherunterlädtunddieMissbrauchmitseinenpersönlichenDatentreiben.Eineandere Bedrohungsindtrojanisierte (bzw.manipulierte)apps,diedernutzerausnicht vomanbietervoreingestelltenquellen (wiez.b.demappstoreodergoogle- Play)herunterlädtunddieSchadcodesenthalten.Schadprogramme,dieauf Smartphonesbeobachtetwerden,sindvorallemsogenanntePremium-Dialer (diesmsanteurerufnummernversenden)oderdiealsnebenkomponente einesbanking-trojanersaufdempcdienen (undbeispielsweisebestätigungs- SMSdesmTAN-Verfahrensabgreifen).EinequantitativeBetrachtungistallerdingsnichtmöglich,daNutzerdieseFällehäufignichtbemerkenundnoch öfter nicht zur Anzeige bringen. 2.WiebewertetdieBundesregierungdieBedrohungdurchmanipulierte Apps, Viren und Malware für Smartphones? Generellistzubeobachten,dassKriminellestetsneueTechnologienangreifen undausnutzen,wenndamitgeldzuverdienenist.durchdiegroßeverbreitung lohntsichderaufwandfürangriffedurchmanipulierteappsundmalware. Mechanismen,diedemSmartphone-Nutzertransparentdarstellen,welcheRisikenmitderInstallationvonAppsausnichtvomAnbietervoreingestellten Quellen verbunden sind, etablieren sich erst langsam. 3.WelcheHersteller,BetriebssystemeundModellewarennachKenntnisder BundesregierungbisherwieoftvonAngriffendurchwelchemanipulierten Applikationenbetroffen (bittenachhersteller,betriebssystem,modellund manipulierter App aufschlüsseln)? HierzuführtdasBSIkeinesystematischeErhebungdurch.Esliegenkeine detailliertenzahlenvor.grundsätzlichistdavonauszugehen,dassübergeschicktessocialengineeringallehersteller,betriebssystemeundmodellebedroht sind. 4.IstderBundesregierungbekannt,wievieleNutzerbishervonmanipuliertenAppsundderenKonsequenzenbetroffensind (wennja,bittedieanzahl angeben)? HierzuliegenderBundesregierungkeineErkenntnissevor.WederdasBSInoch das Bundeskriminalamt (BKA) erheben entsprechende Informationen.
Drucksache 17/11539 4 Deutscher Bundestag 17. Wahlperiode 5.WievieleundwelchemanipuliertenAppsmitwelchenFunktionsweisen sindderbundesregierungseitwannbekannt (bittenachmanipulierterapp, Funktionsweise und Datum des Bekanntwerdens aufschlüsseln)? HierzunimmtdasBSIkeinesystematischeErhebungvor.Grundsätzlichsind ApplikationenmitSchadfunktionenmöglich,diedenVerlustderVertraulichkeit,derIntegrität/Authentizität (Identitätsdiebstahl)undderVerfügbarkeitder Daten auf dem Smartphone zum Ziel haben können. Zu der Anzahl manipulierter Apps wird auf die Antwort zu Frage 4 verwiesen. 6.WelcheDatenwurdennachKenntnisderBundesregierungbishermitwelchenKonsequenzenfürdenSmartphonenutzerdurchwelcheAppsausgespäht? FürderartigmobileEndgerätegeltendenbisherigenFeststellungenzufolgedie gleichenrisikenwiefürstationärerechner.aufdembeschriebenenweg dürfteessomitmöglichsein,alleaufdemendgerätverfügbarendatenauszuspähen.eswerdensolchedatenausgespäht,diekriminellennutzenbringen. Diesbeinhaltetu.a.AdressdatenvonKontakten,Bankzugangsdaten,Kreditkartendaten, Lokalisierungsdaten (siehe auch Antwort zu Frage 1b). 7.InwievielenFällenwurdenachKenntnisderBundesregierungmitdurch manipulierte Apps errungenen Daten Kreditkartenbetrug begangen? ZuderAnzahlmanipulierterAppsundderenFolgenwirdaufdieAntwortzu Frage 4 verwiesen. 8.WirddieBundesregierungKonsequenzenausdenAngriffenaufSmartphones ziehen? Wenn ja, wie sehen diese aus? Wenn nein, warum nicht? DasBeschaffungsamtdesBundesministeriumsdesInnern (BMI)hatimAuftragdesBSIdieAusschreibungvonRahmenverträgenüberdieLieferungvon sicherenmobilenendgerätenfürsprach-unddatenkommunikationfürden Einsatz in der Bundesverwaltung eingeleitet. DasBKAträgtderEntwicklungimBereichCybercrimemiteinerentsprechendenSchwerpunktsetzunginderAbteilung SchwereundOrganisierteKriminalität Rechnung.DieimRahmenderoriginärenbzw.Zentralstellen-AufgabenwahrnehmunggewonnenenErkenntnissewerdenmitanderenSicherheitsbehördenausgetauschtundindiesemKontextauchfürpräventiveZweckeaufbereitet. MaßnahmenzumSchutzderVerbrauchersinddurchdiedafürzuständigenInstitutionen zu ergreifen. Im Übrigen wird auf die Antwort zu Frage 12 verwiesen.
Deutscher Bundestag 17. Wahlperiode 5 Drucksache 17/11539 9.SetztdieBundesregierungmanipulierteApps,VirenoderMalwaresoftware für Smartphones zu Ermittlungszwecken ein? Wenn ja, a) wie oft war das bisher der Fall, b) in welchem Zusammenhang wurde diese Technik genutzt, c) auf welcher gesetzlichen Grundlage und d)mit welchem Ergebnis? ErmittlungenwerdengrundsätzlichvonErmittlungsbehördengeführt.Aufdie Antwort zu Frage 10 wird verwiesen. 10.SetzenErmittlungsbehördennachKenntnisderBundesregierungmanipulierte Apps, Viren oder Malwaresoftware zu Ermittlungszwecken ein? Wenn ja, a)welche, b) wie oft war das bisher der Fall, c) in welchem Zusammenhang wurde diese Technik genutzt, d) auf welcher gesetzlichen Grundlage und e)mit welchem Ergebnis? DieErmittlungsbehördenaufBundesebenesetzenkeineApps,VirenoderMalware zu Ermittlungszwecken auf Smartphones ein. 11.IstderBundesregierungbekannt,welcheMöglichkeitendieBürgerinnen und Bürger haben, sich vor Angriffen auf Smartphones zu schützen? Wenn ja, welche sind dies? BürgerkönnenfolgendeSchutzmaßnahmenzurReduzierungderAngriffswahrscheinlichkeit auf ihren Smartphones umsetzen: Betriebssystem-Software aktuell halten SicherheitsmechanismendesBetriebssystemsnutzen (nicht Rooten oder Jailbreaken ); nurtatsächlichbenötigteapplikation,ausvertrauenswürdigerquelle,installieren; ggf. Sicherheitssoftware auf dem Smartphone installieren. 12.WelcheMaßnahmenschlägtdieBundesregierungvor,undwelchehatsie bereitsdurchgeführt,umaufdiebedrohungdurchmanipulierteappsaufmerksam zu machen? DasBundesministeriumdesInnernhataufdiezunehmendeBedeutungdes Themas MobileSicherheit reagiertundesindenfokusdesdiesjährigenit- Gipfelprozessesgerückt.SobeschäftigtsicheineUnterarbeitsgruppederdurch BundesinnenministerDr.Hans-PeterFriedrichgemeinsammitDr.Ottenberg, demvorsitzendendergeschäftsführungvongiesecke&devrient,geleiteten AG4 Vertrauen,SicherheitundDatenschutz mitderthematikmobile Sicherheit.ImRahmendiesesProzesseswurdedieUmfrageinitiiert,aufderdie Fragestellung basiert. DieThematikstellteeinenSchwerpunktdesdiesjährigenIT-Gipfelsam13.NovemberinEssendar.SodiskutiertenimRahmeneinerPodiumsdiskussionder
Drucksache 17/11539 6 Deutscher Bundestag 17. Wahlperiode Bundesminister des Innern, Dr. Hans-Peter Friedrich, die Bundesbeauftragte fürinformationstechnik,staatssekretärinrogall-grothe,schaar (BfDI),Dr. Ottenberg (G&D),Koederitz (IBM),Streibich (SoftwareAG)undWitt (Student am HPI) zum Thema Mobile Sicherheit Mobiles Leben. ImRahmendesIT-GipfelsstartetendieBundeskanzlerinDr.AngelaMerkel unddiestaatssekretärinrogall-grothe GovApps,eineInformationsplattform füröffentliche mobile Anwendungen. DarüberhinausbildenHinweiseaufdieGefahrenundHandlungsempfehlungen beidernutzungvonsmartphoneseinenschwerpunktinderinformationsundsensibilisierungsarbeitdesbsi (vgl.www.bsi-fuer-buerger.de,hauptnavigationspunkt:sicherbewegenimmobilennetz).dieswirdimbedarfsfall ergänztdurchaktuellewarnungenüberdene-mail-newsletterbürger-cert (www.buerger-cert.de)bzw.pressemeldungendesbsi,z.b.beiakutenangriffswellenoderbeineugewonnenererkenntnisübersicherheitslückeninbetriebssystemen oder Anwendungsprogrammen mit Bezug zu Smartphones. DasBSIgreiftanlassbezogenaktivdieThematikimRahmenseinerÖffentlichkeits-undPressearbeitauf,z.B.mitHandlungsempfehlungen (Pressemeldung vom1.juni2012undthemenseiteninwww.bsi-fuer-buerger.de)wie Sommer,Sonne,StrandundMeer sicheressurfenimausland:wiesieihremobilen Geräte während Ihres Urlaubs schützen. ZudemsetztdasBSIbeiVeranstaltungenu.Ä.DruckschriftenzurUnterstützungderSensibilisierungsarbeitzumThemaMobileSicherheitein (vgl.www.bsi-fuer-buerger.de/bsifb/de/wissenswertes_hilfreiches/service/ Downloads/Broschueren/broschueren_node.html)undstelltaufseinerInternetseitezuaktuellenThemenÜberblickspapierezurVerfügung,wie: ÜberblickspapierSmartphone (www.bsi.bund.de/de/themen/itgrundschutz/ Ueberblickspapiere/Ueberblickspapiere_node.html) AuchdievomBundesministeriumfürErnährung,LandwirtschaftundVerbraucherschutzgeförderteInternetseitedesVerbraucherzentraleBundesverbandes e.v. surfer-haben-rechte hältinformationenzusmartphonesbereit (vgl. www.surfer-haben-rechte.de/cps/rde/xchg/digitalrechte/hs.xsl/1479.htm). 13.WilldieBundesregierungdenimmerhäufigerauftretendenAngriffenauf Smartphones entgegenwirken? a)wenn ja, wie? b) Wenn nein, warum nicht? DasBSIistinKontaktzuHerstellern,NetzbetreibernundSicherheitsunternehmen,umdieMaßnahmengegenAngriffeaufSmartphonesaufverschiedenen Ebenenzuverbessern.DarüberhinausinformiertundsensibilisiertdasBSIdie Nutzer von Smartphones (vgl. Antwort zu Frage 12). 14.WirddieBundesregierungdieVertreibervonApplikationenauffordern, entsprechendeschrittegegendieverbreitungvonmanipuliertenapps einzuleiten und ihr Angebot besser zu kontrollieren? Wenn ja, wie sehen diese aus? Wenn nein, warum nicht? GroßeVertreibervonAppshabenbereitsMaßnahmenzurÜberprüfungvon Appsetabliert.Diesewerdenkontinuierlichangepasst.DiekonkretenMaßnahmenkönnenjedochnichtnationalfestgelegtwerden,dadieseVertreiberihre Apps weltweit anbieten. Im Übrigen verweise ich auf die Antwort zu Frage 13.
Gesamtherstellung: H. Heenemann GmbH & Co., Buch- und Offsetdruckerei, Bessemerstraße 83 91, 12103 Berlin, www.heenemann-druck.de Vertrieb: Bundesanzeiger Verlagsgesellschaft mbh, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333