Rund 26 Jahre ist es her, dass Fred Cohen in einer Doktorarbeit das erste Virus für das Betriebssystem Unix entwickelte. Seither liefern sich Angreifer und Verteidiger ein spannendes Rennen um Schwachstellen und Sicherheitsmaßnahmen von Computern. Die Lust an der Erforschung und Entwicklung von Malware ist in erster Linie einem finanziellen Interesse gewichen, wobei die Umsätze aus Schadcode und anderen Angriffsvarianten weltweit vermutlich in die Milliarden gehen. Allein in Deutschland sei die Zahl der IuK-Straftaten im engeren Sinne 2009 um rund 33 Prozent auf über 50.000 angestiegen, berichtete Jörg Ziercke, Präsident des Bundeskriminalamts (BKA), unlängst auf einer Cybercrime-Konferenz in Berlin.

Mit dem seit Jahren anhaltenden Smartphone-Boom etabliert sich neues Gefahrenpotenzial. Laut Gartner stieg die Zahl der weltweit verkauften Handys im ersten Quartal 2010 gegenüber dem Vorjahreszeitraum um 17 Prozent auf 314,7 Millionen Stück. Gleichzeitig wuchs der Smartphone-Absatz um 49 Prozent auf über 54 Millionen Geräte. Der Anteil der Gattung Smartphone am gesamten Mobilfunkmarkt kletterte innerhalb von zwölf Monaten von 13,6 auf 17,3 Prozent. Dank der neuen iPhone-Generation 4G und ihren Rivalen ist davon auszugehen, dass sich der mobile Zugriff auf das Web endgültig etabliert. So wies auch das BKA explizit darauf hin, dass sich Handy-Viren zu einer echten Bedrohung entwickelten: "Neuartige Kriminalitätsphänomene ersetzen zunehmend klassische Deliktsformen", warnte BKA-Präsident Ziercke davor, das Thema auf die leichte Schulter zu nehmen.

Mit der Akzeptanz steigt die Gefahr

Zugegeben: "Die Zahl der Angriffe auf Handys war in den vergangenen Jahren eher gering, was an der eingeschränkten Leistungsfähigkeit der Geräte und der heterogenen Plattformlandschaft lag", sagt der Münchener IT-Security-Experte Wolfram Funk. Theoretisch waren Angriffe auf Mobilcomputer möglich, in der Realität tauchten sie jedoch kaum auf. Doch allmählich kippt die Situation: "Menschen wollen auf dem Smartphone die gleichen Web-Dienste nutzen wie auf dem PC", berichtet der Analyst und freie Unternehmensberater mit Schwerpunkt Informationssicherheit. Die Rechnung ist einfach: "Je mehr Nutzer, desto interessanter ist die Plattform für Angreifer." Daher werde in den kommenden Jahren ein deutlicher Anstieg der Attacken auf Smartphones und von Schadensfällen verzeichnet, prognostiziert Funk.

Folgt man der einschlägigen Berichterstattung, verfestigt sich dieser Eindruck sofort. Mal werden Kreditkartendaten per SMS abgefischt, wobei letztlich ein Sprachroboter die leichtgläubigen Rückrufer aushorcht. Theoretisch und auch praktisch ist es möglich, Schadcode allein per SMS zu übertragen. Außerdem wurde vor einer Sicherheitslücke im Blackberry-Browser gewarnt, durch die ein Angreifer die Warnmeldungen vor einer Phishing-Site aushebeln kann. Leichtes Spiel haben Angreifer überdies, wenn ein Firmware-Upgrade das Default-Passwort des Smartphones einsetzt. So konnte sich im vergangenen Herbst ein Wurm im Apple-Universum auf die Suche nach mobilen Transaktionsnummern für Online-Banking machen und Passwörter von Geräten verändern. Ein Test der US-Zeitschrift "Macworld" (http://www.macworld.com/article/142734/2009/09/iphone_antiphishing.html) hat zudem ergeben, dass der eingebaute Phishing-Filter des iPhone gelegentlich anschlug, manchmal aber die bösen Seiten anstandslos öffnete. Die trügerische Sicherheit und das Vertrauen in das System potenzieren die Gefahr.

Datenspionage auf Applikationsebene

Richtet man sich root-Rechte etwa auf seinem Android-Smartphone ein, kann Schadcode die abgesicherte Sandbox verlassen und in Systemdateien tätig werden. Gefährdet sind folglich auch iPhones, die per "Jailbreak" aufgeschlossen werden, damit sich nicht offiziell von Apple zugelassene Software auf dem Gerät installieren lässt. Inzwischen können auch technisch unbedarfte Nutzer leicht ihr Gerät öffnen. Allerdings hat der Schweizer IT-Experte Nicholas Seriot (http://seriot.ch/blog.php?article=20091203) demonstriert, dass sich Daten auch auf einem normalen iPhone ohne Jailbreak mit einer gezielten App ausspionieren lassen. Dabei gelingt es seiner Software "SpyPhone", Apples Sandbox zu verlassen und in Bereichen zu wildern, die bisher als sicher galten.

Überhaupt sind Apps ein vielversprechender Angriffsvektor. Sie werden in der Regel von "offiziellen" Marktplätzen bezogen und genießen daher einen Vertrauensvorschuss. Allerdings ist es nicht realistisch, dass die Store-Betreiber wie Apple und Google alle eingereichten Anwendungen im Vorfeld dahingehend kontrollieren, ob sie Schadcode enthalten. So konnte im vergangenen Herbst ein App-Trojaner auf der Android-Plattform Bankdaten ausspionieren. Auf dem "Android Market" wurden Anfang Juni knapp 70.000 Apps gezählt, Apples "App Store" kommt aktuell auf über 220.000 Programme. "Die Applikationsebene wird immer wichtiger", so Security-Experte Funk, "denn die Prozesse sind relativ leicht angreifbar".

Ein weiteres Problem stellt auch die Mischung der privaten und geschäftlichen Nutzung von Smartphones dar. "Viele Unternehmen bewegen sich hier mit ihren Sicherheitsrichtlinien in einer Grauzone", berichtet Funk aus der Praxis. Gerade soziale Dienste im Web 2.0 leben davon, dass ihre Nutzer regelmäßig darauf zugreifen - also nicht nur während der üblichen Bürozeiten. Und der Einsatz von zwei Smartphones für Beruf und Privatleben ist zwar möglich, aber nicht wirklich bequem. Hinzu kommt, dass sich selbst versierte Anwender schwer tun, das Sicherheitsniveau ihres PCs auch auf dem Mobilcomputer sicherzustellen, weil kaum Erfahrung im Umgang mit dem Smartphone vorhanden ist. Dass P2P-Tauschbörsen nicht nur beim Zugriff über den PC unsicher sind, sollte jeder Smartphone-Nutzer verinnerlicht haben.

Mobiler Grundschutz

Um einen mobilen Grundschutz einzurichten, bieten sich verschiedene technische Lösungen an. Virenschutzprogramme sind allgemein verfügbar, eine Personal Firewall ist indes noch eher zu empfehlen. Datenverschlüsselung auf den Geräten ist im Enterprise-Einsatz Pflicht, da die meisten Datenlecks immer noch aus verlorenen Handys resultieren. Auch Unternehmen können mit technischen Maßnahmen gegensteuern und die Sicherheit sowie das Vertrauen der Nutzer stärken. Eine Option ist beispielsweise der Schutz von Websites und Apps mit Zertifikaten, wie sie die Postbank für das iPhone verwendet. Hierbei erkennen Kunden auf den ersten Blick durch die grün hinterlegte Adresszeile im Browser, ob sie eine offizielle Adresse angesteuert haben oder zum Opfer einer Phishing-Attacke geworden sind. Zudem werden sensible Daten bei der Übertragung verschlüsselt.

Für sichere Zugriffe ist eine starke Authentisierung unverzichtbar, die über die Passwort-Eingabe herausreicht. So offeriert etwa VeriSign eine Zusatz-App zur Zwei-Faktor-Authentisierung für alle gängigen Smartphone-Betriebssysteme (http://www.computerwoche.de/netzwerke/mobile-wireless/1897901/). Hierbei benötigt der Nutzer, wenn er sich auf einer Web-Seite anmeldet, neben seinem Benutzernamen und Passwort auch einen sechsstelligen Einmalcode, den er auf seinem Smartphone angezeigt bekommt. Dieser Code ist nur 30 Sekunden lang gültig, danach wird bereits eine neue Zahlenkombination angezeigt. Mit diesem Einmalpasswort können sich Nutzer dann gesichert anmelden - das Mobiltelefon wird so zum mobilen Security-Token. Speziell beim Umgang mit kritischen Daten wie bei Bankgeschäften, Zahlungen per Handy und dem Zugang zu sozialen Netzwerken steigt so der Schutz.

Die Sensibilisierung der Nutzer für die real existierende Gefahr ist entscheidend für die Verteidigung gegen Angreifer. Sie vollzieht sich in erster Linie über Medienberichte zu erfolgreich verlaufenen Attacken - gebranntes Kind scheut das Feuer. Allerdings ist dieser Weg eine Gratwanderung: Wenn das Gefühl der Unsicherheit überhand nimmt, schwindet das Vertrauen der Kunden in das mobile Internet. Zudem sollten Unternehmen darauf achten, dass die Hiobsbotschaften nicht von ihnen selbst ausgehen, sondern diesen Teil der Sensibilisierung getrost anderen überlassen. Zumindest sollte man einem Unternehmen nicht nachsagen können, dass es sich nötige Sicherheitsmaßnahmen auf Kosten seiner Kunden gespart hätte.