App-Test

Interview mit Christian Heutger: Welchen Apps vertraut der Security-Experte?

2. September 2014
  • App-Test

Als Abschluss unseres großen App-Tests haben wir mit unserem Sicherheitsexperten und Geschäftsführer Christian Heutger gesprochen:

Herr Heutger, in den vergangenen 9 Wochen haben Sie und Ihr Team 27 Apps aus verschiedenen Bereichen getestet. Da die WM bereits Geschichte ist, vernachlässigen wir WM-Apps bei der folgenden Frage, aber welche Apps sind Ihre Lieblinge aus den folgenden Bereichen bzw. aus welchen Bereichen haben Sie überhaupt Apps installiert?

  • Banking: Meinen persönlichen Favoriten haben wir nicht getestet, da wir uns ausschließlich an den Bestenlisten orientiert haben. Ich nutze finanzblick. Numbers habe ich ausprobiert, mochte ich allerdings nicht.
  • Mobile Payment: Nutze ich keine
  • Sicherheit: Nutze ich keine, da ich iOS verwende und es hier meiner Meinung nach nichts bringt, ansonsten hatte ich eine Zeitlang Lookout auf Android genutzt.
  • Navigation: TomTom ist mein persönlicher Favorit.
  • Sport, Gaming und Shopping: Nutze ich nicht, da bin ich eher konventionell unterwegs.
  • Wetter: WeatherPro, unseren Testsieger.

Seien Sie bitte ganz ehrlich: Haben Sie auch schon Apps installiert, von denen Sie wussten, dass ihre Sicherheit zweifelhaft war oder ist? Wenn ja: Warum und welche?

WhatsApp und Facebook gehören hier zu den führenden Apps, ich tausche jedoch darüber bewusst nur private, unzulängliche Informationen aus und empfehle stets, auf Threema zum Austausch sensiblerer Informationen zu wechseln. Leider nutze ich beide Apps auch weiterhin sporadisch, da sich dort die Masse meiner (privaten) Kontakte befindet.

Welche Mobilgeräte verwenden Sie?

Primär iOS, da mich die Usability bei Android bis heute nicht überzeugen konnte. Ich teste allerdings regelmäßig diverse Systeme, auch ganz andere Mobilgeräte. Zurzeit bin ich recht angetan vom OnePlus One mit Cyanogenmod.

Ist die Aussage, iOS-Geräte seien weniger anfällig als Android-Geräte, heute noch zeitgemäß?

Ja und nein: ein nicht gejailbreaktes System ist durchaus ein Stück sicherer, leider hat Apple in der Vergangenheit mehrfach massiv gepatzt. In solchen Fällen ist man dann auf den Hersteller angewiesen bzw. dessen Sorgfaltspflicht ausgeliefert.

Wann hatten Sie zuletzt einen Virus oder andere Malware auf Ihren mobilen Geräten?

Auf meinen mobilen Geräten bisher nie, da ich aber primär iOS verwende und selbiges ohne Jailbreak, ist das nicht unbedingt als Maß anzusetzen.

Unabhängig von unseren getesteten Kategorien: Ohne welche Apps können Sie nicht arbeiten? Und ohne welche nicht leben?

OpenVPN ist für mich unabdingbar, auch OTP benötige ich regelmäßig für meine Zwei-Faktor-Authentifizierung, Threema zur Kommunikation, 1Password zur Verwaltung meiner Passwörter und Watchever zum Abschalten. 😉

Aktuell dominieren Begriffe wie „Abhörskandal“, „Malware“ oder „Datensicherheit“ die Berichterstattung über Sicherheit im Allgemeinen und mobile Sicherheit im Besonderen. Was denken Sie: Wie reagieren Nutzer angemessen auf diese Berichterstattung?

Ein gesundes Stück Misstrauen und Vorsicht sollte man durchaus im täglichen Umgang mit der Technik mitbringen. Leider gehen viele doch zu arglos damit um, vermuten und erwarten, dass ihre privaten und beruflichen Tools sicher sind, man eh nichts zu verbergen habe und einem sowieso nichts passiert. Die Berichterstattung über Sicherheitsvorfälle lohnt sich durchaus und Snowden dient vielen auch als Absatzförderer. Allerdings enttäuscht es mich, dass nach den großen Aufschreien letztendlich auch ein Jahr nach Snowden nichts wirklich Nennenswertes in Richtung Sicherheit und Privatsphäre passiert ist oder aufgeklärt wurde.

Konnten Sie als Sicherheitsexperte bei Nutzern Änderungen im Verhalten feststellen?

Der Bedarf an Sicherheitslösungen und das Interesse daran ist durchaus gestiegen, jedoch noch sehr verhalten. Dabei ist es grundlegend nicht alleine die Technik, sondern insbesondere das Bewusstsein, welches noch stärker für Sicherheit sensibilisiert werden muss.

Inwieweit unterscheiden sich die Gefahren mobiler Geräte von denen stationärer Geräte?

Oft wird mit mobilen Geräten argloser umgegangen, dabei können bei Verlust, Diebstahl, aber auch bei reinem Mitlesen eines bspw. in der Bahn Mitreisenden kritische und hochsensible Informationen preisgegeben werden und einen immensen Schaden verursachen. Da man zudem oft permanent online ist, sich evtl. ungesichert in öffentliche WLANs einwählt und arglos darin surft, wird die Gefahr nochmals erhöht. Auch von privat mitgebrachte Schadsoftware lässt sich so wesentlich einfacher in Unternehmensnetze einschleusen.

Zahlreiche Apps, darunter auch Security- und Anti-Malware-Apps, verlangen sehr umfassende Zugriffsberechtigungen. Welche halten Sie für sinnvoll und welchen sollten Nutzer misstrauen?

Grundsätzlich denke ich, ist gesundes Misstrauen angesagt. Gerade in jüngster Vergangenheit zeigte die mediale Berichterstattung viel über das kritische Mitlesen von Schutzsoftware; über Virenscanner auf Rechnern mutmaßte man sogar, dass sie als Vireneinfallstor ausgenutzt werden können.

Zurück zu den Apps: Wer sich eine Taschenlampen-App herunterlädt, muss ihr jedenfalls weder Zugriff auf den Standort noch aufs Telefonbuch geben. Es ist besser, solche Apps erst gar nicht zu installieren; jeder App-Store bietet vor der Installation einen Blick auf die Zugriffsrechte. Folgende Berechtigungen halte ich für gefährlich:

  • Genauer Standort: Karten-Apps sollten das können, alle anderen benötigen den Zugriff nicht.
  • Kalender: Dies benötigen nur Apps, die Einträge in den Kalender bringen sollen.
  • Apps installieren: Eine Zugriffsberechtigung, die nur dann sinnvoll ist, wenn man Apps aus alternativen Quellen, beispielsweise Amazon für Android-Apps, nutzt. Ansonsten: Finger weg!
  • Vertrauliche Protokolldaten: Diese Berechtigung ist nur für Apps sinnvoll, die detaillierte Fehlerberichte versenden sollen.
  • Telefonnummern anrufen: Können Sie mit der App telefonieren, wie bei Skype, ist alles okay. Wenn nicht: Bitte löschen!
  • Kontakte lesen und ändern: Alle Apps, die mit Kontakten interagieren, benötigen den Zugriff, beispielsweise Messenger. Außerhalb dessen macht diese Berechtigung keinen Sinn.
  • Hintergrundprozesse beenden: Bei Task Managern zweifelsfrei eine sinnvolle Funktion.

Es gilt also, zu überlegen, wofür die App die Berechtigung benötigt. Möchte der Anwender Termine planen, ist ein Kalenderzugriff sinnvoll, möchte er aber spielen, komplett unnötig. Dementsprechend sollten Apps angewendet werden.

Installiert man eine App auf dem Smartphone, sieht man nur eine gekürzte Auflistung der Zugriffsberechtigungen. Dies kann missverständlich sein. Wie kann man dies datenschutzrechtlich rechtfertigen? Sind hier Betreiber der App-Stores oder Nutzer mehr gefordert?

Beide. Die App-Stores sind meiner Meinung nach in der Pflicht, den Nutzern die Beurteilung und Berücksichtigung von Apps so einfach wie möglich zu gestalten. So kann ich mir beispielsweise farbliche Markierungen vorstellen: Rot markierte Berechtigungen sind kritisch, grüne unkritisch. Oder man könnte absteigend nach gefährlichen Rechten sortieren: Ganz oben kritische, ganz unten unkritische.
Der Anwender hingegen ist gefragt, sich dann mit dem App-Store-Angebot auch auseinanderzusetzen. Und nicht nur auf die Usability einer App zu schauen, sondern sich auch mit den Sicherheitsaspekten auseinanderzusetzen.

Gibt es eine Möglichkeit, mit der sich Nutzer vergewissern können, dass installierte Apps nicht als Einfallstor für Cyberkriminelle oder Geheimdienste missbraucht werden?

Nicht, dass ich wüsste. Es gibt diverse Apps, die helfen, zu analysieren, was eine App tatsächlich macht und worauf diese zugreift. So könnte man installierte Apps monitoren und überwachen, um dabei verdächtigen Datenverkehr zu enttarnen. Leider ist das aktuelle Angebot auch nur was für Profis; die Computerwoche liefert in dieser Tabelle eine gute Tool-Übersicht. Wer eine für Laien anwendbare App kennt, kann diese sehr gerne in den Kommentaren empfehlen.

Existieren Zertifizierungen, die Nutzern bei der Auswahl richtiger und sicherer Apps helfen können?

ISO 27001-Zertifizierungen für Apps sind schon mal ein guter Anhaltspunkt. Damit hat Google beispielsweise all seine Apps zertifizieren lassen. Trusted App ist eine weitere Initiative: Datensicherheitsrisiken werden in Zusammenarbeit zwischen mediaTest digital und TÜViT durch die Zertifizierung eliminiert. Ein recht simples Tool zur Überprüfung bietet der TÜV Rheinland: unter checkyourapp.de können Nutzer Apps eingeben, um TÜV-geprüfte Alternativen zu erhalten. Das Angebot ist allerdings noch recht beschränkt; Alternativen zu WhatsApp oder Facebook werden beispielsweise nicht angezeigt. Das Mit dem OWASP Mobile Security Project soll ebenfalls die App-Sicherheit erhöht werden.

Wie sieht es mit den generellen Gerätekonfiguration aus: Haben Sie Empfehlungen, wie die Sicherheit unter iOS und Android erhöht werden kann?

Unter iOS besteht generell das Problem, dass Apple mitlesen könnte. Geräteseitig ist hier nicht viel möglich, man kann also lediglich auf sichere Apps ausweichen, darauf achten, welche Daten man auf dem Smartphone/ Tablet verwaltet und bearbeitet, sowie einstellen, dass sich das Gerät nach mehreren Fehlversuchen bei der Entsperrung löscht. Dabei sollte man ein komplexes Passwort verwenden und auf Touch ID verzichten sowie das Gerät registrieren, sodass man es orten kann, wenn man es verloren hat.
Bei Android kann man auf sichere Distributionen wie Cyanogenmod oder ähnliches ausweichen, um ein gewisses Maß an Sicherheit zu erreichen, ansonsten gilt auch hier ein sicheres Passwort, Fernlöschung und -ortung als ein Mindestmaß an Sicherheit. Einige Sicherheitseinstellungen helfen:

  • WLAN-Einstellungen: Tippen Sie in den WLAN-Einstellungen auf „Erweitert“ und deaktivieren Sie „Erkennungsfunktion immer verfügbar“. So vermeiden Sie, ein Bewegungsprofil zu hinterlassen.
  • GPS-Modul: Dies ist ein zweischneidiges Schwert: Deaktivieren Sie die Funktion, verhindern Sie, getrackt zu werden. Sie verhindern aber auch, Ihr Gerät bei Diebstahl oder Verlust wiederfinden zu können.
  • Externe Quellen: Apps aus den offiziellen App-Stores sind sicherer. Unter dem Einstellungsmenüpunkt „Sicherheit“ lässt sich der Punkt „unbekannte Herkunft“ deaktivieren.
  • Telefonverschlüsselung: In demselben Menüpunkt lässt sich die Telefonverschlüsselung aktivieren. Ungünstiger Weise setzt Android dieser Sicherheitsfunktion gleich eine Einschränkung gegenüber: Aktivieren Sie diese Funktion, können Sie den Schlüssel nur wieder deaktivieren, wenn Sie das Gerät löschen – und damit sämtliche Daten.

Ist es überhaupt möglich, über die Geräte- oder App-Konfiguration 100-prozentige Sicherheit zu erlangen?

Nein, eine 100-prozentige Sicherheit gibt es nicht; weder im Mobilbereich noch im stationären. Alternative Android-ROMs und sichere Einstellungen im System und bei Apps, insbesondere aber der verantwortliche Umgang mit dem Smartphone und Daten darauf, ermöglichen aber ein gewisses Sicherheitsgrundniveau.

Wen sehen Sie in der Pflicht, die mobile Sicherheit zu erhöhen: Die Provider, die Hardware-Hersteller, die OS-Entwickler, App-Entwickler oder die Nutzer?

An sich sind alle gefragt. Die OS-Entwickler je nach Firmenphilosophie in die Pflicht zu nehmen, dürfte schwierig werden, wenngleich BlackBerry und Secusmart sowie das Projekt Blackphone Gegenteiliges zeigen, jedoch noch die Ausnahme sind. Die App-Entwickler sind insbesondere gefragt, vorhandene Sicherheitsmechanismen und gängige Sicherheitspraktiken umzusetzen und es Hackern nicht zu einfach zu machen, aber auch Sicherheit anwendbar zu machen. Und der Nutzer ist beim verantwortungsvollen Umgang mit der Technik gefragt und bei dem Bewusstsein, dass nichts, was ein Mensch sicher gemacht hat, nicht von einem anderen geknackt werden kann. Wissen ist Macht und das Entwenden oder Manipulieren dessen kann massive Schäden verursachen. Sicherheit sollte der Bequemlichkeit vorangehen, auch wenn hier, wie gesagt, die Entwickler gefragt sind, Sicherheit anwenderfreundlich zu gestalten.

Sie sind Verschlüsselungsexperte, Herr Heutger. Haben Sie Empfehlungen zu Krypto-Apps, die die Kommunikation in Gesprächen und SMS oder Chats sicherer machen? Was gilt es bei Krypto-Apps zu beachten?

In unserem großen Messenger-Test haben wir Messenger vorgestellt und bewertet, die die Kommunikation teilweise verschlüsseln. Einen Überblick haben wir im Blogbeitrag „Die Ergebnisse unseres großen Messenger-Tests“ geschaffen. Ansonsten empfehle ich gerne einen Blick auf PRISM Break: Die Seite stellt Tools und Apps vor, die eine Alternative zu den üblichen Datenkraken bilden. Ein paar Empfehlungen gibt es zusätzlich. Die Messenger-Apps, die wir in unserer Testserie kennengelernt haben, erweitern ihre Funktionalitäten ständig; mittlerweile ist es bei Threema beispielsweise nicht nur möglich, Textnachrichten zu versenden, sondern auch Sprachnachrichten, Videos und Bilder zu versenden. Potenzial haben auch die neuen Messenger SIMSme der Deutschen Post und Signal; eine App, die mittelfristig TextSecure sowie RedPhone in einer App für die führenden Plattformen iOS und Android vereinen möchte.

Wenn Sie die Möglichkeit hätten, die Sicherheit in den Betriebssystemen iOS und Android zu optimieren, was würden Sie machen?

Das ist unter iOS schwierig wegen des geschlossenen Ecosystems von Apple. Also würde ich das unter iOS wohl öffnen, um die Sicherheitsparameter zu optimieren. Als gelungen empfinde ich die Secusmart-Übernahme durch BlackBerry, um das System sicherer zu machen. Mit Replicant geht Android ebenfalls einen interessanten Weg: Alle proprietären Komponenten von Android werden durch Open Source ersetzt. Replicant baut auf Cyanogenmod auf. Die Architektur des BlackPhones halte ich auch für erstrebenswert.

Was denken Sie über die BYOD-Strategien, die zahlreiche Unternehmen fahren? Wie könnte die Sicherheit in diesem Bereich optimiert werden?

Durch Mobile Security Policies, organisatorisch wie technisch inklusive Remote-Löschung. Hier ist dann auch das Thema Datenschutz zu berücksichtigen, wenn es sich um private Geräte handelt.

Wagen Sie doch bitte mal eine Prognose: Wie wird sich der App-Markt weiterentwickeln? Welche Gefahren kommen auf uns zu und wie müssten App-Entwickler sowie Gerätehersteller reagieren, um die Sicherheit zu erhöhen?

Security Apps werden immer mehr aus dem Boden schießen, hier wird mittelfristig eine Konsolidierung nötig werden, damit die Anwender nicht fragmentiert über mehrere Systeme verteilt sind und das dann aus Bequemlichkeit dazu führt, dass die „alten“ unsicheren Bekannten weiterverwendet werden. Auch werden und haben alle mit anwenderfreundlicher Sicherheit zu kämpfen, je mehr sich jedoch an entsprechenden Lösungen versuchen, desto wahrscheinlich wird sich ein Weg finden, der beim Anwender ankommt und auch genutzt wird. Bestehende Sicherheitstechniken müssten auch von den Apps und Geräten genutzt werden, Sicherheitsentscheidungen dem Anwender deutlicher und verständlich präsentiert werden.

Vielen Dank für das Interview!



0 Kommentar(e)

Schreibe einen Kommentar