Als Abschluss unseres gro\u00dfen App-Tests haben wir mit unserem Sicherheitsexperten und Gesch\u00e4ftsf\u00fchrer Christian Heutger gesprochen:<\/p>\n
<\/p>\n
Herr Heutger, in den vergangenen 9 Wochen haben Sie und Ihr Team 27 Apps aus verschiedenen Bereichen getestet. Da die WM bereits Geschichte ist, vernachl\u00e4ssigen wir WM-Apps bei der folgenden Frage, aber welche Apps sind Ihre Lieblinge aus den folgenden Bereichen bzw. aus welchen Bereichen haben Sie \u00fcberhaupt Apps installiert?<\/strong><\/p>\n <\/p>\n WhatsApp und Facebook geh\u00f6ren hier zu den f\u00fchrenden Apps, ich tausche jedoch dar\u00fcber bewusst nur private, unzul\u00e4ngliche Informationen aus und empfehle stets, auf Threema zum Austausch sensiblerer Informationen zu wechseln. Leider nutze ich beide Apps auch weiterhin sporadisch, da sich dort die Masse meiner (privaten) Kontakte befindet.<\/p>\n Prim\u00e4r iOS, da mich die Usability bei Android bis heute nicht \u00fcberzeugen konnte. Ich teste allerdings regelm\u00e4\u00dfig diverse Systeme, auch ganz andere Mobilger\u00e4te. Zurzeit bin ich recht angetan vom OnePlus One<\/a> mit Cyanogenmod<\/a>.<\/p>\n Ja und nein: ein nicht gejailbreaktes System ist durchaus ein St\u00fcck sicherer, leider hat Apple in der Vergangenheit mehrfach massiv gepatzt<\/a>. In solchen F\u00e4llen ist man dann auf den Hersteller angewiesen bzw. dessen Sorgfaltspflicht ausgeliefert.<\/p>\n Auf meinen mobilen Ger\u00e4ten bisher nie, da ich aber prim\u00e4r iOS verwende und selbiges ohne Jailbreak, ist das nicht unbedingt als Ma\u00df anzusetzen.<\/p>\n OpenVPN<\/a> ist f\u00fcr mich unabdingbar, auch OTP<\/a> ben\u00f6tige ich regelm\u00e4\u00dfig f\u00fcr meine Zwei-Faktor-Authentifizierung, Threema<\/a> zur Kommunikation, 1Password<\/a> zur Verwaltung meiner Passw\u00f6rter und Watchever<\/a> zum Abschalten. \ud83d\ude09<\/p>\n Ein gesundes St\u00fcck Misstrauen und Vorsicht sollte man durchaus im t\u00e4glichen Umgang mit der Technik mitbringen. Leider gehen viele doch zu arglos damit um, vermuten und erwarten, dass ihre privaten und beruflichen Tools sicher sind, man eh nichts zu verbergen habe und einem sowieso nichts passiert. Die Berichterstattung \u00fcber Sicherheitsvorf\u00e4lle lohnt sich durchaus und Snowden dient vielen auch als Absatzf\u00f6rderer. Allerdings entt\u00e4uscht es mich, dass nach den gro\u00dfen Aufschreien letztendlich auch ein Jahr nach Snowden nichts wirklich Nennenswertes in Richtung Sicherheit und Privatsph\u00e4re passiert ist oder aufgekl\u00e4rt wurde.<\/p>\n Der Bedarf an Sicherheitsl\u00f6sungen und das Interesse daran ist durchaus gestiegen, jedoch noch sehr verhalten. Dabei ist es grundlegend nicht alleine die Technik, sondern insbesondere das Bewusstsein, welches noch st\u00e4rker f\u00fcr Sicherheit sensibilisiert werden muss.<\/p>\n Oft wird mit mobilen Ger\u00e4ten argloser umgegangen, dabei k\u00f6nnen bei Verlust, Diebstahl, aber auch bei reinem Mitlesen eines bspw. in der Bahn Mitreisenden kritische und hochsensible Informationen preisgegeben werden und einen immensen Schaden verursachen. Da man zudem oft permanent online ist, sich evtl. ungesichert in \u00f6ffentliche WLANs einw\u00e4hlt und arglos darin surft, wird die Gefahr nochmals erh\u00f6ht. Auch von privat mitgebrachte Schadsoftware l\u00e4sst sich so wesentlich einfacher in Unternehmensnetze einschleusen.<\/p>\n Grunds\u00e4tzlich denke ich, ist gesundes Misstrauen angesagt. Gerade in j\u00fcngster Vergangenheit zeigte die mediale Berichterstattung viel \u00fcber das kritische Mitlesen von Schutzsoftware; \u00fcber Virenscanner auf Rechnern mutma\u00dfte man sogar, dass sie als Vireneinfallstor ausgenutzt werden k\u00f6nnen.<\/p>\n Zur\u00fcck zu den Apps: Wer sich eine Taschenlampen-App herunterl\u00e4dt, muss ihr jedenfalls weder Zugriff auf den Standort noch aufs Telefonbuch geben. Es ist besser, solche Apps erst gar nicht zu installieren; jeder App-Store bietet vor der Installation einen Blick auf die Zugriffsrechte. Folgende Berechtigungen halte ich f\u00fcr gef\u00e4hrlich:<\/p>\n Es gilt also, zu \u00fcberlegen, wof\u00fcr die App die Berechtigung ben\u00f6tigt. M\u00f6chte der Anwender Termine planen, ist ein Kalenderzugriff sinnvoll, m\u00f6chte er aber spielen, komplett unn\u00f6tig. Dementsprechend sollten Apps angewendet werden.<\/p>\n Beide. Die App-Stores sind meiner Meinung nach in der Pflicht, den Nutzern die Beurteilung und Ber\u00fccksichtigung von Apps so einfach wie m\u00f6glich zu gestalten. So kann ich mir beispielsweise farbliche Markierungen vorstellen: Rot markierte Berechtigungen sind kritisch, gr\u00fcne unkritisch. Oder man k\u00f6nnte absteigend nach gef\u00e4hrlichen Rechten sortieren: Ganz oben kritische, ganz unten unkritische. Nicht, dass ich w\u00fcsste. Es gibt diverse Apps, die helfen, zu analysieren, was eine App tats\u00e4chlich macht und worauf diese zugreift. So k\u00f6nnte man installierte Apps monitoren und \u00fcberwachen, um dabei verd\u00e4chtigen Datenverkehr zu enttarnen. Leider ist das aktuelle Angebot auch nur was f\u00fcr Profis; die Computerwoche liefert in dieser Tabelle eine gute Tool-\u00dcbersicht<\/a>. Wer eine f\u00fcr Laien anwendbare App kennt, kann diese sehr gerne in den Kommentaren empfehlen.<\/p>\n ISO 27001-Zertifizierungen f\u00fcr Apps sind schon mal ein guter Anhaltspunkt. Damit hat Google beispielsweise all seine Apps zertifizieren lassen<\/a>. Trusted App<\/a> ist eine weitere Initiative: Datensicherheitsrisiken werden in Zusammenarbeit zwischen mediaTest digital und T\u00dcViT durch die Zertifizierung eliminiert. Ein recht simples Tool zur \u00dcberpr\u00fcfung bietet der T\u00dcV Rheinland: unter checkyourapp.de<\/a> k\u00f6nnen Nutzer Apps eingeben, um T\u00dcV-gepr\u00fcfte Alternativen zu erhalten. Das Angebot ist allerdings noch recht beschr\u00e4nkt; Alternativen zu WhatsApp oder Facebook werden beispielsweise nicht angezeigt. Das Mit dem OWASP Mobile Security Project<\/a> soll ebenfalls die App-Sicherheit erh\u00f6ht werden.<\/p>\n Unter iOS besteht generell das Problem, dass Apple mitlesen k\u00f6nnte. Ger\u00e4teseitig ist hier nicht viel m\u00f6glich, man kann also lediglich auf sichere Apps ausweichen, darauf achten, welche Daten man auf dem Smartphone\/ Tablet verwaltet und bearbeitet, sowie einstellen, dass sich das Ger\u00e4t nach mehreren Fehlversuchen bei der Entsperrung l\u00f6scht. Dabei sollte man ein komplexes Passwort verwenden und auf Touch ID verzichten sowie das Ger\u00e4t registrieren, sodass man es orten kann, wenn man es verloren hat. Nein, eine 100-prozentige Sicherheit gibt es nicht; weder im Mobilbereich noch im station\u00e4ren. Alternative Android-ROMs und sichere Einstellungen im System und bei Apps, insbesondere aber der verantwortliche Umgang mit dem Smartphone und Daten darauf, erm\u00f6glichen aber ein gewisses Sicherheitsgrundniveau.<\/p>\n An sich sind alle gefragt. Die OS-Entwickler je nach Firmenphilosophie in die Pflicht zu nehmen, d\u00fcrfte schwierig werden, wenngleich BlackBerry und Secusmart sowie das Projekt Blackphone Gegenteiliges zeigen, jedoch noch die Ausnahme sind. Die App-Entwickler sind insbesondere gefragt, vorhandene Sicherheitsmechanismen und g\u00e4ngige Sicherheitspraktiken umzusetzen und es Hackern nicht zu einfach zu machen, aber auch Sicherheit anwendbar zu machen. Und der Nutzer ist beim verantwortungsvollen Umgang mit der Technik gefragt und bei dem Bewusstsein, dass nichts, was ein Mensch sicher gemacht hat, nicht von einem anderen geknackt werden kann. Wissen ist Macht und das Entwenden oder Manipulieren dessen kann massive Sch\u00e4den verursachen. Sicherheit sollte der Bequemlichkeit vorangehen, auch wenn hier, wie gesagt, die Entwickler gefragt sind, Sicherheit anwenderfreundlich zu gestalten.<\/p>\n In unserem gro\u00dfen Messenger-Test haben wir Messenger vorgestellt und bewertet, die die Kommunikation teilweise verschl\u00fcsseln. Einen \u00dcberblick haben wir im Blogbeitrag „Die Ergebnisse unseres gro\u00dfen Messenger-Tests<\/a>“ geschaffen. Ansonsten empfehle ich gerne einen Blick auf PRISM Break<\/a>: Die Seite stellt Tools und Apps vor, die eine Alternative zu den \u00fcblichen Datenkraken bilden. Ein paar Empfehlungen gibt es zus\u00e4tzlich. Die Messenger-Apps, die wir in unserer Testserie kennengelernt haben, erweitern ihre Funktionalit\u00e4ten st\u00e4ndig; mittlerweile ist es bei Threema beispielsweise nicht nur m\u00f6glich, Textnachrichten zu versenden, sondern auch Sprachnachrichten, Videos und Bilder zu versenden. Potenzial haben auch die neuen Messenger SIMSme der Deutschen Post und Signal; eine App, die mittelfristig TextSecure sowie RedPhone in einer App f\u00fcr die f\u00fchrenden Plattformen iOS und Android vereinen m\u00f6chte.<\/p>\n Das ist unter iOS schwierig wegen des geschlossenen Ecosystems von Apple. Also w\u00fcrde ich das unter iOS wohl \u00f6ffnen, um die Sicherheitsparameter zu optimieren. Als gelungen empfinde ich die Secusmart-\u00dcbernahme durch BlackBerry, um das System sicherer zu machen. Mit Replicant<\/a> geht Android ebenfalls einen interessanten Weg: Alle propriet\u00e4ren Komponenten von Android werden durch Open Source ersetzt. Replicant baut auf Cyanogenmod auf. Die Architektur des BlackPhones<\/a> halte ich auch f\u00fcr erstrebenswert.<\/p>\n Durch Mobile Security Policies, organisatorisch wie technisch inklusive Remote-L\u00f6schung. Hier ist dann auch das Thema Datenschutz zu ber\u00fccksichtigen, wenn es sich um private Ger\u00e4te handelt.<\/p>\n Security Apps werden immer mehr aus dem Boden schie\u00dfen, hier wird mittelfristig eine Konsolidierung n\u00f6tig werden, damit die Anwender nicht fragmentiert \u00fcber mehrere Systeme verteilt sind und das dann aus Bequemlichkeit dazu f\u00fchrt, dass die „alten“ unsicheren Bekannten weiterverwendet werden. Auch werden und haben alle mit anwenderfreundlicher Sicherheit zu k\u00e4mpfen, je mehr sich jedoch an entsprechenden L\u00f6sungen versuchen, desto wahrscheinlich wird sich ein Weg finden, der beim Anwender ankommt und auch genutzt wird. Bestehende Sicherheitstechniken m\u00fcssten auch von den Apps und Ger\u00e4ten genutzt werden, Sicherheitsentscheidungen dem Anwender deutlicher und verst\u00e4ndlich pr\u00e4sentiert werden.<\/p>\n Vielen Dank f\u00fcr das Interview!<\/p>\n\n
Seien Sie bitte ganz ehrlich: Haben Sie auch schon Apps installiert, von denen Sie wussten, dass ihre Sicherheit zweifelhaft war oder ist? Wenn ja: Warum und welche?<\/h3>\n
Welche Mobilger\u00e4te verwenden Sie?<\/h3>\n
Ist die Aussage, iOS-Ger\u00e4te seien weniger anf\u00e4llig als Android-Ger\u00e4te, heute noch zeitgem\u00e4\u00df?<\/h3>\n
Wann hatten Sie zuletzt einen Virus oder andere Malware auf Ihren mobilen Ger\u00e4ten?<\/h3>\n
Unabh\u00e4ngig von unseren getesteten Kategorien: Ohne welche Apps k\u00f6nnen Sie nicht arbeiten? Und ohne welche nicht leben?<\/h3>\n
Aktuell dominieren Begriffe wie „Abh\u00f6rskandal“, „Malware“ oder „Datensicherheit“ die Berichterstattung \u00fcber Sicherheit im Allgemeinen und mobile Sicherheit im Besonderen. Was denken Sie: Wie reagieren Nutzer angemessen auf diese Berichterstattung?<\/h3>\n
Konnten Sie als Sicherheitsexperte bei Nutzern \u00c4nderungen im Verhalten feststellen?<\/h3>\n
Inwieweit unterscheiden sich die Gefahren mobiler Ger\u00e4te von denen station\u00e4rer Ger\u00e4te?<\/h3>\n
Zahlreiche Apps, darunter auch Security- und Anti-Malware-Apps, verlangen sehr umfassende Zugriffsberechtigungen. Welche halten Sie f\u00fcr sinnvoll und welchen sollten Nutzer misstrauen?<\/h3>\n
\n
Installiert man eine App auf dem Smartphone, sieht man nur eine gek\u00fcrzte Auflistung der Zugriffsberechtigungen. Dies kann missverst\u00e4ndlich sein. Wie kann man dies datenschutzrechtlich rechtfertigen? Sind hier Betreiber der App-Stores oder Nutzer mehr gefordert?<\/h3>\n
\nDer Anwender hingegen ist gefragt, sich dann mit dem App-Store-Angebot auch auseinanderzusetzen. Und nicht nur auf die Usability einer App zu schauen, sondern sich auch mit den Sicherheitsaspekten auseinanderzusetzen.<\/p>\nGibt es eine M\u00f6glichkeit, mit der sich Nutzer vergewissern k\u00f6nnen, dass installierte Apps nicht als Einfallstor f\u00fcr Cyberkriminelle oder Geheimdienste missbraucht werden?<\/h3>\n
Existieren Zertifizierungen, die Nutzern bei der Auswahl richtiger und sicherer Apps helfen k\u00f6nnen?<\/h4>\n
Wie sieht es mit den generellen Ger\u00e4tekonfiguration aus: Haben Sie Empfehlungen, wie die Sicherheit unter iOS und Android erh\u00f6ht werden kann?<\/h4>\n
\nBei Android kann man auf sichere Distributionen wie Cyanogenmod oder \u00e4hnliches ausweichen, um ein gewisses Ma\u00df an Sicherheit zu erreichen, ansonsten gilt auch hier ein sicheres Passwort, Fernl\u00f6schung und -ortung als ein Mindestma\u00df an Sicherheit. Einige Sicherheitseinstellungen helfen:<\/p>\n\n
Ist es \u00fcberhaupt m\u00f6glich, \u00fcber die Ger\u00e4te- oder App-Konfiguration 100-prozentige Sicherheit zu erlangen?<\/h4>\n
Wen sehen Sie in der Pflicht, die mobile Sicherheit zu erh\u00f6hen: Die Provider, die Hardware-Hersteller, die OS-Entwickler, App-Entwickler oder die Nutzer?<\/h3>\n
Sie sind Verschl\u00fcsselungsexperte, Herr Heutger. Haben Sie Empfehlungen zu Krypto-Apps, die die Kommunikation in Gespr\u00e4chen und SMS oder Chats sicherer machen? Was gilt es bei Krypto-Apps zu beachten?<\/h3>\n
Wenn Sie die M\u00f6glichkeit h\u00e4tten, die Sicherheit in den Betriebssystemen iOS und Android zu optimieren, was w\u00fcrden Sie machen?<\/h3>\n
Was denken Sie \u00fcber die BYOD-Strategien, die zahlreiche Unternehmen fahren? Wie k\u00f6nnte die Sicherheit in diesem Bereich optimiert werden?<\/h3>\n
Wagen Sie doch bitte mal eine Prognose: Wie wird sich der App-Markt weiterentwickeln? Welche Gefahren kommen auf uns zu und wie m\u00fcssten App-Entwickler sowie Ger\u00e4tehersteller reagieren, um die Sicherheit zu erh\u00f6hen?<\/h2>\n