Schnell gewöhnt man sich an jene Computer, für die sich der Oberbegriff “Mobile Endgeräte” etabliert hat: Mit Smartphone und Tablet-PC ist man schnell online, ob nun in einem WLAN oder im mobilen Funknetz, das inzwischen auch im Landkreis Görlitz vielerorts recht gut verfügbar ist. Nur eines, auf das beim herkömmlichen PC, Laptop oder Notebook viele ausgesprochen bedacht sind, bleibt dabei auf oft der Strecke: die Datensicherheit.
Während klassischen PC-Nutzern Begriffe wie Firewall oder Anti-Viren-Software meist geläufig sind, wird bei mobilen Geräten eher selten ein Gedanke daran verschwendet. Wer etwa ein neues Smartphone kauft, kann schon ins Grübeln kommen, wenn – wie zumindest bei einem chinesischen Hersteller nachvollziehbar – jede vorinstallierte App, also Programmanwendung, vor Ihrer Aktivierung meldet: Diese App “muss die notwendigen persönlichen Informationen sammeln, um dir grundlegende Dienste bereitzustellen”.
Riskante Apps und Mobilgeräte
Wie bitte? Will man eine Wetter-App installieren, kann es sinnvoll sein, seine Standortdaten freizugeben, schließlich muss die App wissen, wo das Wetter vorhergesagt werden soll. Allerdings sollte es auch reichen, wenn eine Postleitzahl oder eine Region angegeben wird und die GPS-Funktion ausgeschaltet bleibt. Ein anderes Beispiel ist ein QR-Code-Leser, der unbedingt Zugriff auf das Mikrofon und sämtliche gespeicherte Fotos haben möchte – beides braucht er für seine eigentliche Funktion nicht. Es ist schon paradox: Einesteils wird wegen der Europäischen Datenschutz-Grundverordnung penetrant verlangt, über irgendwelche Cookies zu entscheiden, deren Wirkung die allermeisten vermutlich gar nicht beurteilen können, andererseits werden gerade Smartphones und Tablet-PCs zu wahren Datenschleudern.
Wer bislang hier ein ungutes Gefühl hatte, etwa weil die Zeitschrift CHIP bereits im Mai 2020 davor warnte, das Xiaomi-Handys – Geräte mit einem guten Preis-Leistungs-Verhältnis – das Verhalten von Nutzern aufzeichnen sollen und diese Daten an Server in Singapur und Russland senden, wurde erst unlängst im September 2021 endgültig munter, als durch die Medien ging: Nach schweren Vorwürfen gegen zwei chinesische Handyhersteller hat sich inzwischen das Bundesamt für Sicherheit in der Informationstechnologie eingeschaltet.
Einige der Vorwürfe: Manche Betriebssysteme sollen unerwartete Funktionen zum Auslesen von Daten noch vor der Verschlüsselung enthalten, ebenso zur Hinterlegung von Daten, mit denen etwa Personen diskreditiert werden könnten. Möglich sei ein “Zensur-Modus”, der – sobald aktiviert – die Weitergabe betimmter Informationen verhindert. Selbst im Inkognito-Modus würden bei bestimmten Geräten alle abgerufenen Webseiten weitergereicht, es gehe bis zur kompletten Überwachung als Person identifizierbarer Handynutzer.
Ein weiteres Risiko sind Online gekaufte Handys, die in manchen Fällen nicht nur herstellerseitig manipuliert sind, sondern bei denen vor der Weitergabe an den Endkunden etwa Schadsoftware aufgespielt oder das Betriebssystem insgesamt gegen eine unsichere Variante ausgetauscht wurde.
Risiken für Privatpersonen
Wer nun meint, für Otto Normalverbraucher und Erika Musterfrau sei das alles nicht relevant, der irrt – und zwar gleich aus mehreren Gründen. So fließen die vielen Datenspuren, die jeder hinterlässt, der das Internet nutzt, der im Festnetz telefoniert oder mit Plastikgeld bezahlt, zunächst in die “Big Data” genannten Datenwolken und andere Systeme ein. Würde daraus nur abgeleitet, wer welche Werbung angezeigt bekommt, wäre das der harmloseste Fall und die Datenwelt in Ordnung. Das Risiko sieht anders aus: Aus den sogenannten Datenwolken lassen sich extrem genaue Persönlichkeitsprofile erstellen, die wiederum für viele hochinteressant sind.
Obgleich bestimmte Szenarien in Deutschland – noch – undenkbar sind, wird Big Data weltweit genutzt etwa zur Risikoeinstufung für Versicherungen, Banken und Arbeitgeber, indem zum Beispiel anhand bargeldloser Zahlungen analysiert wird, wie gesund sich jemand ernährt oder welche Medikamente er einnimmt. Wer Zugriff auf die Daten eines Fitnesstrackers hat, kann weitere Rückschlüsse auf die Gesundheit ziehen. Schon der Browserverlauf, wie ihn nach den oben genannte Berichten bestimmte Smartphones weitergeben, kann Menschen gläsern machen und anderen Entscheidungsgrundlagen in Bezug auf eine bestimmte Person liefern.
Schon recht wenige Daten reichen übrigens für einen Identitätsdiebstahl. Werden dazu noch Stimmaufzeichnungen und Selfies erfasst, können sogar Telefonanrufe und Videocalls gefälscht werden. Zu den besonders gefährdeten Berufsgruppen in Bezug auf Überwachung, Datenklau und Datenmanipulation zählen Journalisten, politisch Missliebige und Politiker, aber auch Ingenieure und Führungskräfte in Betrieben jedweder Größenordnung. Was ausländische Unternehmen mit in Deutschland gewonnen Daten machen, bleibt weithin verborgen, sicher ist nur: Sie können eingesetzt werden und werden es wohl auch.
Unternehmen besonders gefährdet
Für Wirtschaftsunternehmen und andere Organisationen – man denke an Verwaltungen, Krankenhäuser und große Vereine – sind das keine guten Nachrichten. Home Office wie auch flexibles und mobiles Arbeiten bringen mehr Zugriffe von mobilen Endgeräten auf Unternehmensnetzwerke mit sich. Um die Arbeitszufriedenheit zu steigern, gewähren Unternehmen zudem Mitarbeitern Auswahlmöglichkeiten für ihre betrieblich genutzte Hardware und fahren dabei gut, denn gerade die Jüngeren haben einen guten Überblick. Andererseits wird es damit immer schwieriger, die IT-Sicherheit im Griff zu behalten. Wer etwa unterwegs betriebliche Unterlagen checkt und dazu ein wie beschrieben unsicheres Handy nutzt, kann unbewusst für ganz erheblichen Schaden sorgen.
Kein Wunder also, dass Softwarehersteller diesen Markt, der Endpoint Security genannt wird, für sich entdeckt haben. Die Herausforderung dieser Endgerätesicherheit ist, dass der Nutzer durch eine Sicherheitssoftware wie Sophos Mobile Security, die hier als eine der Möglichkeiten beschrieben ist, möglichst kaum belastet werden darf und die entsprechende App im Bedarfsfall intuitiv bedienen kann, andererseits Systemadministratoren eine Vielzahl zudem höchst unterschiedlicher Endgeräte unaufwendig verwalten können und im Falle eines Falles die Möglichkeit zur tiefgehenden Analyse haben.
Resümee
Es reicht also nicht immer, die bestehende IT-Sicherheitsarchitektur auf neuestem Stand zu halten. In dem Maße, wie Cyberkriminelle und andere “Datenfreunde” neue Zugriffsmöglichkeiten nutzen können, müssen IT-Anwender nachrüsten. Sorgen hat nur derjenige nicht, der seine gespeicherten Daten eh als öffentlich betrachtet. Aber wer macht das schon?
Ein Beitrag der Redaktion markersdorf.de