So lassen Sie Smartphone-Angreifern keine Chance

Private Fotos, Videos und Nachrichten. Sensible Dokumente, die eigenen Kontakte und Zugänge zu Mail-Postfächern, sozialen Netzwerken oder zum Online-Banking. Das Smartphone ist der Schlüssel zum eigenen Leben. Es gehört tunlichst nicht in fremde Hände. Und sollte nicht von Dritten ausgespäht werden.

Hier erfahren Sie, wo die größten Gefahren liegen - und wie Sie sich davor schützen können.

Wo lauern die größten Bedrohungen?

Spam-Nachrichten und Phishing sind der typische Weg von Cyberkriminellen, um an die Daten ihrer Opfer zu gelangen. Das stellt das Bundeskriminalamt (BKA) in ihrem Lagebild Cybercrime fest.

Das gilt natürlich nicht nur auf Computern, sondern auch auf Smartphones. Und die Phishing-Angriffe kommen nicht nur per E-Mail, sondern auch per SMS (Smishing).

"Dem einen oder anderen ist vielleicht nicht so ganz klar, dass das Smartphone ja immer mit meiner Identität verbunden ist über meine Telefonnummer", sagt Jens Heider vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT). "Da darf man nicht allzu naiv sein."

Eine häufige Angriffsmasche ist die gefälschte Paket-Status-SMS. Wer auf den Link in der Nachricht tippt, kommt auf eine Seite und soll dann eine App installieren, die angeblich vom Paketdienstleister stammt. Tatsächlich handelt es sich um Schadsoftware.

Wie groß ist das Risiko, Opfer von Datenklau zu werden?

Eine vom Digitalverband Bitkom in Auftrag gegebene Umfrage liefert dazu Zahlen aus dem Jahr 2022:

• 46 Prozent der Internetnutzerinnen und -nutzer ab 16 Jahren berichten, dass persönliche Daten ungefragt weitergegeben wurden.
• 13 Prozent wurden Opfer von Betrug bei Geldgeschäften wie dem Missbrauch der eigenen Kontodaten.
• 17 Prozent bemerkten, dass ihr Smartphone mit Schadsoftware infiziert wurde. Solche Programme dienen häufig dazu, sensible Daten zu stehlen.

Und so schützen sich die Smartphone-Nutzer:

• Das Digitalbarometer des Bundesamtes für Sicherheit in der Informationstechnik (BSI) offenbart: Knapp jeder und jede Dritte (31 Prozent) aktualisiert das Betriebssystem oder Apps auf dem Smartphone nur dann, wenn neue Funktionen angekündigt werden. Das gilt vor allem in der Zielgruppe der 16- bis 29-Jährigen (37 Prozent).

• Ältere Anwenderinnen und Anwender greifen eher auf automatische Updates zu (53 Prozent).

• Fast jeder und jede Zehnte (8 Prozent) aktualisiert sein oder ihr Smartphone nie.

• Immerhin: 43 Prozent nutzen laut Bitkom ein Virenschutzprogramm auf dem Smartphone. Oft wird der Schutz bereits vom Betriebssystem bereitgestellt. In Android etwa ist mit Play Protect seit 2017 ein Virenscanner aktiv.

Schaut man allein auf die Zahl bekannter Android-Schädlinge, könnte man in Panik verfallen. Doch praktisch sieht es anders aus.

"Das tatsächliche Risiko, sich eine Schadsoftware auf Android einzufangen, ist in Wirklichkeit äußerst gering - sofern man nicht jede App installiert, die bei drei nicht auf den Bäumen ist", erklärt der IT-Sicherheitsforscher Mike Kuketz in seinem Blog.

Was taugen spezielle Virenscanner?

Kurzum: Nicht so viel, wie manche vielleicht glauben. Denn die Apps können oft nicht so arbeiten, wie sie gerne würden.

Woran das liegt, erklärt Informatiker Christopher Beckmann vom Karlsruher Institut für Technologie (KIT): "Gerade im mobilen Kontext ist die Effektivität von Virenscannern ohne Administrationsrechte auf dem Gerät eingeschränkt, weil die Virenscanner-App, wie jede andere App auch, durch ihre Sandbox isoliert ist."

Das Sandbox-Prinzip wird bei iOS und bei Android angewendet. Es bedeutet, dass alle Apps durch Sicherheitsmaßnahmen voneinander getrennt sind. Das gilt selbst für Virenscanner-Apps, die dadurch andere Anwendungen nicht wirklich scannen, sondern quasi nur an ihrem Namen erkennen können.

Ein Wundermittel seien Virenscanner-Apps auf Mobilgeräten also nicht, sagt Beckmann. Er betreut das Privacy Friendly Apps Lab der KIT-Forschungsgruppe Security Usability Society (SECUSO).

Trotzdem: "Virenscanner bieten Schutz vor bekannter Schadsoftware", sagt der Fachmann. Das lege die Latte für Cyberkriminelle immer wieder ein wenig höher. Allerdings sind die Scanner damit auch nicht allein.

Muss ich also einen Virenscanner installieren?

Nicht unbedingt.

Der Grund: Sowohl Google und Apple aber etwa auch F-Droid, ein Store für freie, quelloffene Android-Apps, prüfen Anwendungen vor Aufnahme in ihre Stores auf schädliche Funktionen. Und sie entfernen Apps aus dem Angebot, wenn sich diese im Nachhinein als schädlich entpuppen.

"Wenn man beherzigt, dass man wirklich nur die offiziellen App Stores verwendet, kann man eigentlich auf die Virenscanner verzichten", sagt Jens Heider, der am SIT das Testlab Mobile Security leitet.

Sein Fazit: "Der eingebaute Schutz reicht aus meiner Sicht." Wer sich an vertrauenswürdige App Stores hält, fährt sicher.

Können Virenscanner auch ein Problem sein?

Drittanbieter von Virenscannern erheben oft nicht nur selbst Nutzungsdaten oder senden diese an Werbefirmen (Tracking). "Wir haben auch schon Untersuchungen gemacht, die gezeigt haben, dass durch Virenscanner neue Schwachstellen entstehen, die als Angriffspunkt missbraucht werden können", sagt Heider.

Das Absurde: Gerade von Sicherheitsunternehmen sollte man sowohl sichere Apps als auch Datenschutz erwarten dürfen.

Klassische Virenscanner-Apps für iOS sucht man im Apple Store übrigens vergebens: Anders als bei Android ist bei iOS die App-Installation aus unbekannten Quellen standardmäßig nicht möglich.

Das gilt nicht nur für Virenscanner: iOS-Apps gibt es nur über den Apple Store, wenn man nicht gerade ein Entwickler ist.

"Die Stärke von iOS ist, dass es ein sehr geschlossenes System ist, wo wenig auf Systemebene verändert werden kann", erläutert Heider.

Das erklärt die maximal weit auseinander klaffenden Schadsoftware-Statistiken bei iOS und Android.

In der monatlichen Malware-Statistik des BSI tauchen iOS-Schädlinge noch nicht einmal auf. Für Android verzeichnet die Behörde dagegen allein im Monat Juni 2023 ganze 137 000 neue Malware-Varianten und 107 000 neue Varianten potenziell unerwünschter Anwendungen (PUA).

Während Android-Angriffe also zu einem Großteil über Malware laufen, konzentrieren sich iOS-Angreifer quasi ausschließlich auf Sicherheitslücken im Betriebssystem.

Sind Smartphone-Berechtigungen ein Sicherheitsrisiko?

Erst die Smartphone-Berechtigungen für Kamera, Kalender, Kontakte oder den Standort ermöglichen Apps den beschränkten Zugriff auf bestimmte Informationen, Systemschnittstellen oder Nutzerdaten.

Gut, dass sich sowohl bei iOS als auch bei Android solche App-Berechtigungen schon bei der Installation ablehnen oder jederzeit nachträglich einschränken lassen.

• Bei Android funktioniert das unter "Einstellungen/Apps/Alle Apps anzeigen". Dort die jeweilige App auswählen und auf "Berechtigungen" gehen. Dann lassen sich jeweils für Standort, Kamera, Mikro und Co. diverse Einstellungen treffen.

Oder man geht unter "Einstellungen" direkt in den "Berechtigungsmanager", wo unter den einzelnen Kategorien für Berechtigungen die betreffenden Apps aufgeführt werden.

• Ganz ähnlich läuft das Ganze bei iOS. Hier gelangt man über "Einstellungen/Datenschutz/App-Datenschutzbericht" zu den diversen Kategorien von Zugriffsberechtigungen und den darunter aufgeführten Apps. Diese lassen sich dann direkt aufrufen, wenn man die Berechtigungen bearbeiten möchte.

Ein Allheilmittel sind aber auch die Berechtigungen nicht. Einer Karten-App beispielsweise gewähre man natürlich Zugriff auf den Standort, sagt Jens Heider. Dass die Position vielleicht noch an ein Tracking-Netzwerk übergeben und dann ortsbasierte Werbung ausgespielt wird, falle einem aber erst einmal nicht so direkt auf.

Wie bedenklich sind Tracker?

"Über das Tracking erhalten Werbeanbieter schon ein relativ detailliertes Bild über meinen Tagesablauf", sagt Heider.

Aber: "Durch die geschickte Auswahl von Apps kann man selbst beeinflussen, wie groß der eigene digitale Fußabdruck wird."

Tipp: Wer sich bei der Smartphone-Nutzung möglichst wenig über die Schulter schauen lassen möchte, sollte darauf achten, dass keine oder möglichst wenige Tracker in der jeweiligen App stecken.

Hier hilft eine kostenlose Abfrage mit dem jeweiligen Namen der App in den Datenbanken von Exodus Privacy oder Mobilsicher-App-Checker weiter.

Die beiden gemeinnützigen Organisationen prüfen Android-Anwendungen sowohl auf Tracker als auch auf angeforderte Berechtigungen hin.

Kann mein Handy abgehört und überwacht werden?

Das ist theoretisch möglich, aber praktisch wohl äußerst selten.

Strafverfolgungsbehörden oder Nachrichtendiensten steht im gesetzlich festgelegten Rahmen das Instrument der Telekommunikationsüberwachung (TKÜ) zur Verfügung. Dabei können mit Hilfe der Netzbetreiber oder Diensteanbieter Telefongespräche mitgehört, Aufenthaltsorte ermittelt und Kurznachrichten oder E-Mails gelesen werden.

Manche Verbindungen sind verschlüsselt. Dann müssen Ermittler zur Quelle, also etwa direkt auf den Rechner oder direkt aufs Smartphone. Das passiert mit Spionage-Apps. Im staatlichen Einsatz werden sie oft auch als Staatstrojaner bezeichnet - nach dem Trojanischen Pferd.

Diese TKÜ-Spielart wird als Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) bezeichnet. Bei dieser Form der Überwachung wird die Kommunikation mitgeschnitten.

Und dann gibt es noch die sogenannte Online-Durchsuchung, bei der alle Daten auf einem Gerät abgeschöpft werden.

Manchmal trägt die Zielperson unwissentlich zur Installation bei, meist über Phishing. Wenn nicht, gelangen Spionage-Apps etwa über noch nicht allgemein bekannte und noch nicht gestopfte Sicherheitslücken im Betriebssystem aufs Smartphone.

Wichtig zu wissen: Nicht nur staatliche Stellen, sondern auch Cyberkriminelle können natürlich auf diesen Wegen versuchen, Spionage-Apps auf einem Telefon zu platzieren.

"Solche gezielten Angriffe sind aber nur wahrscheinlich, wenn man zu einer besonders interessanten oder wichtigen Personengruppe gehört", sagt Jens Heider. "Denn das Wissen um diese Schwachstellen und das Ausnutzen dieser Schwachstellen ist sehr teuer."

Viel wahrscheinlicher sei, Opfer von Spionage-Apps zu werden, die von Menschen aus dem privaten Umfeld installiert werden.

Wie läuft die Spionage durch Privatpersonen?

Beworben werden solche Anwendungen meist als Tracking-Apps für Kinder oder Partner, erklärt Heider. Ihr legaler Einsatz beschränkt sich darauf, dass die oder der Betroffene von der installierten App weiß.

Problem: "Jetzt sind die Apps aber alle so konstruiert, dass man die auf dem Smartphone verstecken kann", sagt der Experte. "Das lädt natürlich dazu ein, solche Apps illegal zu verwenden."

Stichwort Stalking.

Schutzmöglichkeiten: Nie auf die Bildschirmsperre verzichten, den Code nie preisgeben und wirklich niemandem - noch nicht einmal zeitweise - den Zugang zum Smartphone gewähren. So verhindert man, dass ein Dritter eine Spionage-App heimlich installiert.

Tipp: Eine aktive Bildschirmsperre ist auch unverzichtbar für den Fall, dass das Smartphone verloren geht oder gestohlen wird.

Für diese Szenarien sollte man zudem den Ortungsdienst "Mein Gerät finden" (Android) beziehungsweise "Wo ist?" (iOS) aktivieren. Damit stehen die Chancen nicht schlecht, das Telefon im Fall der Fälle wiederzufinden.

Zudem kann man über die Dienste auch eine Gerätesperre sogar aus der Ferne einrichten - sollte man dies versäumt haben, als man noch im Besitz seines Gerätes war.

Was machen die Spionage-Apps genau?

Der Funktionsumfang kann weit über das Auslesen von Nachrichten oder das Abhören von Gesprächen hinausgehen. Mancher Trojaner greift auch auf Kamera und Mikrofon zu. Oder liest verschlüsselte Nachrichten.

Wieder andere können Anwender dauerhaft überwachen, etwa indem sie regelmäßig Positionsdaten oder Passwörter übermitteln, warnt das BSI.

Kann ich feststellen, ob ich überwacht werde?

Teils, teils. Es gibt Indizien dafür. Manchmal braucht man aber einen Verdacht oder muss regelmäßig prüfen, um gegebenenfalls fündig zu werden. "Eine gesunde Paranoia kann da schon helfen, solchen Apps auf die Spur zu kommen", sagt Jens Heider.

Mit diesen Tipps gehen Sie auf die Suche:

• Die Statusleiste oben im Display checken: "An den Symbolen können Sie erkennen, wenn eine App Ortungsdaten sammelt oder Funkschnittstellen aktiviert", erklärt das BSI. Ist GPS aktiv, ohne dass man die Ortung eingeschaltet oder bewusst genutzt hat, sollte man schauen, welche Apps gerade aktiv sind.
• Den Datenverbrauch kritisch prüfen: Der Datenzähler meldet einen erhöhten Verbrauch oder das Datenvolumen ist vorzeitig erschöpft? Und das, obwohl man von seiner gewohnten Nutzung nicht abgewichen ist? Verantwortlich könnte eine Spionage-App sein, die Gespräche, Fotos und Daten überträgt, erklärt Heider. Gleiches gelte für ungewöhnlich häufige und unerklärliche Abstürze des Smartphones.
• Mobilfunkrechnung prüfen: Tauchen hier ungewöhnliche Rufnummern auf, kann auch das ein Alarmsignal sein.
• Die App-Liste in den Einstellungen durchgehen: Gibt es dort verdächtige Anwendungen? Es könnte eine Spionage-App sein.
• Auch unbekannte Geräteadministratoren sind ein Warnsignal. Diese prüft man bei Android unter "Einstellungen/Sicherheit" und dann "Apps zur Geräteverwaltung", "Geräte-Manager" oder ähnlich.

Normalerweise sollten sich dort nur "Mein Gerät finden" und "Google Pay" finden, vielleicht noch E-Mail-Apps oder Anwendungen des Arbeitgebers mit Zugang zum Microsoft-Exchange-Server.

Andere Einträge deuten auf eine Spionagesoftware auf dem Gerät hin. Dann sollten Nutzer erst einmal die Administratorenrechte dafür deaktivieren und fragwürdige Apps deinstallieren.

• Manche Spionage-Apps nutzen auch die sogenannten Android Accessibility Services (AAS) aus, erklärt Jens Heider. Das sind Spezialfunktionen, die Menschen mit körperlichen Einschränkungen die Bedienung erleichtern oder erst ermöglichen sollen. Dazu zählen das Vorlesen oder Vergrößern von Bildschirminhalten.

Aus Angreifersicht sind das perfekte Funktionen, um Daten abzugreifen. Sind sie in den Einstellungen unter "Bedienhilfen" oder "Barrierefreiheit" ohne eigenes Zutun aktiv - Vorsicht!

• Ist Google Play Protect deaktiviert? Das kann ein Hinweis auf einen spionierenden Trojaner sein. In den Einstellungen unter "Sicherheit" nachsehen und gegebenenfalls wieder einschalten.

Wie werde ich eine Spionage-App wieder los?

Nicht immer gelingt es, die App einfach zu deinstallieren.

Im Zweifel hilft es dann immer, das Smartphone auf die Werkseinstellungen zurückzusetzen. Dann sind alle potenziellen Schädlinge gelöscht - aber auch alle Daten.

Deshalb sollte man sich nicht auf dem kalten Fuß erwischen lassen, raten die IT-Sicherheitsexperten vom KIT.

Auf den Fall, dass doch einmal Schadsoftware auf dem mobilen Gerät landet, kann man sich ein Stück weit vorbereiten. So empfiehlt es sich, regelmäßig Backups anzulegen. Mit einer solchen Sicherung sind die eigenen Daten im Ernstfall nicht verloren.