IT-Sicherheit: Spionage von Werk aus Keyfacts - Vorinstallierte Software spioniert Smartphone-Nutzer aus - Viele Abwehrprogramme erkennen Sicherheitslücke nicht - Auf IT-Sicherheit kommt mehr Arbeit zu 22. November 2016 Auf den ersten Blick ein prima Angebot: Ein voll funktionsfähiges Smartphone mit hochauflösendem Display für nur 50 US-Dollar. Klingt gut, denken Sie? Der Haken daran wie Journalisten der New York Times vor einigen Tagen berichteten: Das Smartphone sendet automatisch in regelmäßigen Abständen die erhobenen Nutzerdaten an einen chinesischen Server. Eine Spionagesoftware, von der die Telefonbesitzer in den seltensten Fällen etwas mitbekommen dürften. Tatsächlich scheint es sich um kein Missverständnis zu handeln: Eine vorab installierte App sendet sämtliche Textnachrichten sowie die komplette Verbindungshistorie alle 72 Stunden an einen Server. Damit ist ein annähernd lückenloses Profil der Nutzer ablesbar, sagen Experten. Sicher nur ein Einzelfall, sagen Sie jetzt? Wie man es nimmt. 700 Millionen Smartphones betroffen 1/5
Laut Herstellerangaben ist die entsprechende Software weltweit auf etwa 700 Millionen Smartphones installiert und war ursprünglich für den chinesischen Markt gedacht. Unabhängig davon, ob chinesische Handynutzer sich darüber freuen dürfen, scheint indes festzustehen: Auch außerhalb Chinas ist die entsprechende Software installiert worden. So teilte ein US-amerikanischer Produzent mit, dass auf rund 120.000 seiner Smartphones ein Update erforderlich wurde, um die unerwünschte Meldefunktion des Telefons zu unterbinden. Und über den Importvertrieb der Telefone auf Onlineplattformen ist durchaus denkbar, dass auch deutsche Smartphone-Besitzer regelmäßig ihre Nutzerdaten nach China schicken. An der Stelle beginnt in solchen Situationen regelmäßig die Debatte darüber, ob dieser Datentransfer nun für Spionage oder eine Verbesserung der Service-Qualität genutzt wird. Davon unabhängig lässt sich aber feststellen, dass ein ganz anderes Problem künftig immer stärker in den Blickwinkel der Nutzer geraten könnte und auch sollte: Viren, Trojaner und Ausspähprogramme sind nicht nur etwas, was man sich irgendwann durch unachtsames Surfen im Internet einfängt. Stattdessen können sie sogar von Werk aus vorinstalliert mitgeliefert werden. 700 Millionen Smartphones weltweit sollen vom jüngsten Sicherheits-Leck betroffen sein. Für die Smartphone-Nutzer wie auch die IT-Administratoren in Unternehmen bedeutet das mindestens zweierlei: Viele Abwehrprogramme zur Erkennung von Viren und sonstigen Schädlingen haben ein Problem, da sie die Werkeinstellungen eines Gerätes in den meisten Fällen nicht als Sicherheitsrisiko betrachten. Entsprechend konzentrieren sich viele Abwehrstrategien darauf, einen genauen Blick auf alle Anwendungen zu werfen, die neu in eine IT-Struktur integriert werden. Das dürfte sich künftig in immer mehr Fällen als Fehler erweisen. Ein Türsteher macht schließlich auch nur dann Sinn, wenn die Stinkstiefel nicht schon längst im Club sind. IT-Sicherheit: Mehr Kontrolle erforderlich Was bedeutet das also für Anwender? Die Antwort: Vertrauen wird wieder wichtiger und Vertrauen muss man sich erarbeiten. Natürlich haben die Hersteller der jetzt aufgeflogenen Spionage-Software beim kritischen Konsumenten künftig ein Reputationsproblem, das sich wahrscheinlich auf sehr lange Zeit nicht lösen lassen wird. Aber für mehr Sicherheit beim Konsumenten muss dieser eben auch einen genaueren Blick auf den Produzenten werfen. Sind die Entwicklungsprozesse der Software ebenso transparent wie die Sicherheitskontrollen effektiv? Gibt es unabhängige Stellen, die die Software überprüfen oder noch besser sogar zertifizieren? Es nützt nichts: Auf dem Weg zum mündigen Verbraucher werden wir künftig auch 2/5
diese Branche genauer unter die Lupe nehmen müssen. Was dem umweltbewussten Konsumenten das Bio-Siegel, das könnte dem Smartphone-Nutzer in Zeiten der Digitalisierung das Sicherheits-Siegel sein. Im größeren Unternehmens-Maßstab sind die Anforderungen naturgemäß größer als beim Privatanwender. Die Fragen hingegen sind gleich: Ist meine IT-Sicherheit darauf eingestellt, den Dienstleister effektiv zu überprüfen? Kann die gelieferte Software tatsächlich nur das, was man auch bestellt hat oder sind da womöglich zusätzliche Anwendungen, die das ohnehin immer vorhandene Sicherheitsrisiko weiter erhöhen? Und schließlich die Frage: Einmal in Betrieb genommen ist meine IT-Sicherheit in der Lage, unbekannte und unkontrollierte Datenflüsse der IT-Produkte zu identifizieren und zu verstehen? Denn nur wer etwas versteht, kann am Ende des Tages Gegenmaßnahmen ergreifen damit der nächste Tag besser verläuft. Besser bedeutet in diesem Fall sicherer und sicherer bedeutet in diesem Fall ebenfalls teurer. Die Alternative aber siehe China ist längst schon keine mehr. Mehr darüber, wie sich Unternehmen weltweit im Internet der Dinge für mehr Cyber-Security und Datenschutz aufstellen, lesen Sie hier. Zusammengefasst»Ein Türsteher macht schließlich auch nur dann Sinn, wenn die Stinkstiefel nicht schon längst im Club sind.«der jüngste Datenskandal belegt: Viren, Trojaner und Ausspähprogramme sind nicht nur etwas, was man sich irgendwann durch unachtsames Surfen im Internet einfängt. Stattdessen können sie sogar von Werk aus vorinstalliert mitgeliefert werden. Für Kunden und Unternehmen bedeutet das: Mehr Kontrolle ist nötig. 3/5
Marko Vogel Director, Security Consulting ÄHNLICHER ARTIKEL BLOG DDoS-Attacke: Angriff der Babyfone Ein Computer-Angriff zwingt einige der beliebtesten Websites der USA in die Knie. Dahinter stecken Haushaltsgeräte aus dem Internet der Dinge, die für diesen Angriff von... MEHR 4/5
KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KMPG International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Recht vorbehalten. 5/5