- Anzeigen -


Sie sind hier: Home » Markt » Interviews

100-prozentige Sicherheit gibt es nicht


Mobile Sicherheit: Mit mobilen Geräten wird argloser umgegangen
"Nichts, was ein Mensch sicher gemacht hat, kann nicht von einem anderen geknackt werden"

Interview mit IT-Sicherheitsexperte Christian Heutger, Geschäftsführer der PSW Group

(20.10.14) - In den vergangenen Wochen haben IT-Sicherheitsexperte Christian Heutger und sein Team der PSW Group 27 Apps für iOS und Android aus verschiedenen Bereichen – darunter Banking- Gaming- Sicherheits- und Wetter-Apps – getestet. Im Mittelpunkt stand dabei stets die Sicherheit: Datenschutz und AGB, Form der Datenübertragung und Ort ihrer Speicherung, Zugriffsberechtigungen und vieles mehr. Christian Heutger, der übrigens selbst weder Sicherheits- noch Mobile Payment-Applikationen nutzt, im Interview. Das Thema: mobile Sicherheit.

Inwieweit unterscheiden sich die Gefahren mobiler Geräte von denen stationärer Geräte?
Christian Heutger:
Oft wird mit mobilen Geräten argloser umgegangen. Dabei können bei Verlust, Diebstahl, ja selbst bei reinem Mitlesen in Bus oder Bahn, kritische und hochsensible Informationen preisgegeben werden und einen immensen Schaden verursachen. Da man zudem oft permanent online ist, sich eventuell ungesichert in öffentliche WLANs einwählt und arglos darin surft, wird die Gefahr nochmals erhöht.

Zahlreiche Apps, darunter auch Security- und Anti-Malware-Apps, verlangen sehr umfassende Zugriffsberechtigungen. Welche halten Sie für sinnvoll und welchen sollten Nutzer misstrauen?
Heutger:
Es gilt zu überlegen, wofür die App die Berechtigung benötigt. Möchte der Anwender Termine planen, ist ein Kalenderzugriff sinnvoll. Möchte er aber spielen, komplett unnötig. Dementsprechend sollten Apps angewendet werden. Folgende Berechtigungen halte ich für gefährlich:
>> Genauer Standort: Karten-Apps sollten das dürfen, alle anderen benötigen den Zugriff nicht.
>> Kalender: Dies benötigen nur Apps, die Einträge in den Kalender machen.
>> Apps installieren: Eine Zugriffsberechtigung, die nur dann sinnvoll ist, wenn man Apps aus alternativen Quellen, beispielsweise Amazon für Android-Apps, nutzt. Ansonsten: Finger weg!
>> Vertrauliche Protokolldaten: Diese Berechtigung ist nur für Apps sinnvoll, die detaillierte Fehlerberichte versenden sollen.
>> Telefonnummern anrufen: Können Sie mit der App telefonieren, wie bei Skype, ist alles okay. Wenn nicht: Bitte löschen!
>> Kontakte lesen und ändern: Alle Apps, die mit Kontakten interagieren, benötigen den Zugriff, beispielsweise Messenger. Außerhalb dessen macht diese Berechtigung keinen Sinn.
>> Hintergrundprozesse beenden: Bei Task Managern zweifelsfrei eine sinnvolle Funktion.

Existieren Zertifizierungen, die Nutzern bei der Auswahl richtiger und sicherer Apps helfen können?
Heutger:
ISO 27001-Zertifizierungen für Apps sind ein guter Anhaltspunkt. Damit hat Google beispielsweise all seine Apps zertifizieren lassen. Trusted App ist eine weitere Initiative: Datensicherheitsrisiken werden in Zusammenarbeit zwischen mediaTest digital und TÜViT durch die Zertifizierung eliminiert. Ein recht simples Tool zur Überprüfung bietet der TÜV Rheinland: Unter checkyourapp.de können Nutzer Apps eingeben, um TÜV-geprüfte Alternativen zu erhalten. Das Angebot ist allerdings noch recht beschränkt; Alternativen zu WhatsApp oder Facebook werden beispielsweise nicht angezeigt.

Wie sieht es mit den generellen Gerätekonfiguration aus: Haben Sie Empfehlungen, wie die Sicherheit unter iOS und Android erhöht werden kann?
Heutger:
Unter iOS besteht generell das Problem, dass Apple mitlesen könnte. Geräteseitig ist hier nicht viel möglich. Man kann lediglich auf sichere Apps ausweichen und darauf achten, welche Daten man auf dem Smartphone/ Tablet verwaltet und bearbeitet. Empfehlenswert ist auch die Einstellung, dass sich das Gerät nach mehreren Fehlversuchen bei der Entsperrung löscht. Dabei sollte man ein komplexes Passwort verwenden und auf Touch ID verzichten. Auch eine Geräteregistrierung ist sinnvoll, sodass man verlorene Geräte orten kann. Bei Android kann man auf sichere Distributionen wie Cyanogenmod oder ähnliches ausweichen, um ein gewisses Maß an Sicherheit zu erreichen. Ansonsten gilt auch hier: ein sicheres Passwort, Fernlöschung und -ortung als ein Mindestmaß an Sicherheit.

Ist es überhaupt möglich, über die Geräte- oder App-Konfiguration 100-prozentige Sicherheit zu erlangen?
Heutger:
Nein, eine 100-prozentige Sicherheit gibt es nicht; weder im Mobilbereich noch im stationären. Alternative Android-ROMs und sichere Einstellungen im System sowie bei Apps, insbesondere jedoch der verantwortungsvolle Umgang mit dem Smartphone, ermöglichen ein gewisses Sicherheitsgrundniveau.

Wen sehen Sie in der Pflicht, die mobile Sicherheit zu erhöhen: Die Provider, die Hardware-Hersteller, die OS-Entwickler, App-Entwickler oder die Nutzer?
Heutger:
Alle sind gefragt. Die OS-Entwickler je nach Firmenphilosophie in die Pflicht zu nehmen, dürfte schwierig werden. Wenngleich BlackBerry und Secusmart sowie das Projekt Blackphone Gegenteiliges zeigen. Sie sind jedoch noch die Ausnahme. Die App-Entwickler sind insbesondere gefragt, vorhandene Sicherheitsmechanismen und gängige Sicherheitspraktiken umzusetzen und es Hackern nicht zu einfach, aber auch Sicherheit anwendbar zu machen. Und der Nutzer ist beim verantwortungsvollen Umgang mit der Technik gefragt. Er sollte stets das Bewusstsein haben, dass nichts, was ein Mensch sicher gemacht hat, nicht von einem anderen geknackt werden kann. Sicherheit sollte der Bequemlichkeit vorangehen, auch wenn hier, wie gesagt, die Entwickler gefragt sind, Sicherheit anwenderfreundlich zu gestalten.
(PSW Group: ra)

PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Interviews

  • Cyberbedrohungen 2017

    Mit welchen Bedrohungen werden sich Unternehmen 2017 vermehrt konfrontiert sehen, welche von ihnen ist der "Spitzenreiter", was tut die Industrie und wie können sich Unternehmen am besten wappnen, wenn es insbesondere um DDoS-Angriffe geht? Dazu beantwortet Guido Erroi, Regional Director DACH beim Spezialisten für DDoS-Abwehr Corero Network Security acht Fragen. Die gesamte Bedrohungslandschaft wird 2017 weiterhin stark in Bewegung sein. Damit müssen sich Unternehmen und Institutionen verstärkt auseinandersetzen. Angreifer sind äußerst erfindungsreich. Und sie sind versiert darin bestehende Schwachstellen auszunutzen und neue Angriffsmethoden zu entwickeln. Das gilt nicht zuletzt für DDoS-Attacken. Die zugrunde liegenden Technologien werden intelligenter und zielgerichteter.

  • Phishing nach wie vor eine beliebte Methode

    Ein nach wie vor wichtiges Bedrohungsszenario sind Phishing-Attacken - sie haben bei Cyberkriminellen nichts an Beliebtheit eingebüßt. Banken und Bank-Kunden werden daher auch künftig Ziel von ausgeklügelten Phishing-Attacken sein. Inhalt dieser Attacken ist der Versuch durch die Kriminellen, die Marke, das Aussehen und den Auftritt eines Bankunternehmens so täuschend echt zu kopieren, dass Nutzer glauben, es bei gefälschten E-Mails mit dem echten Unternehmen zu tun zu haben. John Shier, Sicherheitsexperte bei Sophos, gibt in einem Interview eine Übersicht über die zu erwartenden Angriffe sowie über mögliche Schutzmaßnahmen sowohl durch die Banken selbst wie auch durch Verbraucher.

  • Gegen die "bösen Jungs" zurückschlagen

    Nicht nur das FBI vertritt die nicht ganz unstrittige These, dass Malware mit der richtigen, der "guten", Absicht eingesetzt, gar keine Malware im klassischen Sinne mehr ist. Aber ganz so einfach ist die Sache nicht. Troy Gill, Manager of Security Research und Senior Security Analyst AppRiver, zeigt sich kritisch.

  • IT-Sicherheit und Forensik

    Trotz aller Gefahren von Cyberkriminalität ist es ein hohes Gut unserer Demokratie, dass der Kernbereich privater Lebensgestaltung geschützt bleibt. Eine stärkere Regelung mahnte jüngst das Bundesverfassungsgericht an. Gefordert ist damit auch die verstärkte Weiterbildung derjenigen, die im Bereich IT-Sicherheit und Forensik tätig sind. Wings, der Fernstudienanbieter der Hochschule Wismar, bildet ab Herbst Cybercrime-Experten im neuen Fernstudiengang "Master IT-Sicherheit und Forensik" aus. Wir fragen Frau Professorin Antje Raab-Düsterhöft, Informatikerin und Studiengangsleiterin, und Herrn Professor Bodo Wiegand-Hoffmeister, Jurist und Rektor, zur Bedeutung dieses Urteils für unsere Gesellschaft und für alle in diesem Berufsfeld tätigen Personen.

  • Herausforderungen in der Verschlüsselung

    SwissSign steht für Schweizer Qualität, für Sicherheit und für Vertrauen. Als Mitglied wichtiger Zusammenschlüsse beteiligt sich die Zertifizierungsstelle (CA - Certificate Authority) aus der Schweiz rege an der Weiterentwicklung der Sicherheit im Internet. Markus Venetz, Head of Certificate Services bei SwissSign, sprach nun mit der PSW Group, Full-Service Internetprovider mit Schwerpunkt auf IT-Sicherheit, über die Herausforderungen in der Verschlüsselung und Vertrauen im World Wide Web.