80 Millionen Smartphones wurden im dritten Quartal weltweit verkauft – die Dinger gehen weg wie warme Semmeln, sind aber nicht zum Verfrühstücken gedacht. Die Anwender – mittlerweile mehrere hundert Millionen weltweit – würden wahrscheinlich mehr Zeit mit den Handgeräten verbringen als mit ihren Frauen und Männern, mutmaßt die European Network and Information Security Agency (ENISA). Möglicherweise wisse das Smartphone sogar mehr über einen als der Lebenspartner, so die Agentur. Genau das ist der Anlass für eine großangelegte Security-Studie.
Die ENISA hat eine umfassende Analyse zum Thema erstellt. Auffällig daran ist schon einmal, dass nicht nur zehn Risiken allein im Mittelpunkt der Aufmerksamkeit stehen – Gefahren wie Datenverlust, Phishing oder Spyware, die allenthalben diskutiert werden. Betrachtet werden ebenso sieben Chancen für mehr Sicherheit, die Smartphones bieten.
Sandboxing beispielsweise, also das Abschirmen der Apps vom Rest des Systems. Oder die Möglichkeit für die Provider, über kontrollierte Verteilung der Software unsichere Anwendungen zu entfernen. Ferner eröffnen Smartphones neue Authentifizierungs-, Verschlüsselungs- und Backup-Optionen. Mit Hilfe spezieller Funktionalitäten lässt sich Malware nach Installation auch per Fernzugriff vom Gerät entfernen. Einen weiteren Vorteil sieht ENISA in der Diversität, also der Trennung von Hardware und Software: „Das macht es schwieriger, große Gruppen von Nutzern mit einem Virus zu infizieren“, heißt es in der Studie.
Aus dem Vergleich von Risiken und Chancen leitet ENISA Handlungsempfehlungen ab. Business-Nutzer sollten bei der Außerbetriebnahme gründlich sein und in jedem Fall einen Memory-Wipe-Prozess durchführen. Sobald sensible Unternehmensdaten berührt sind, sollten nur auf einer Whitelist definierte Apps installiert werden. Für den Smartphone-Speicher und für Wechselmedien sollte Memory-Encryption verwendet werden.
Sensible Daten sollten nie lokal gespeichert werden, der Zugriff auf sie sollte via Smartphone nur mit Hilfe von Non-Caching-Apps möglich sein.
Anwender im Zustand der Abhängigkeit
Für einen besonders hohen Sicherheits-Standard sollten zusätzliche Verschlüsselungsmöglichkeit wie Call- oder SMS-Encryption genutzt werden. Außerdem empfiehlt sich eine regelmäßig Datenlöschung mit anschließendem Reload, für den ein besonders vorbereitetes und getestetes Disk-Image verwendet werden sollte.
Also alles gut zu handhaben? Mitnichten, denn die ENISA sieht in vielerlei Hinsicht noch Handlungsbedarf – insbesondere auf Anbieterseite. Das Risiko von Datenklau und -verlust sei insbesondere bei Business-Nutzern und Führungskräften relativ hoch, konstatiert die Agentur. Und die Anwender seien davon abhängig, was Anbieter und Entwickler standardmäßig an Vorsichtsmaßnahmen zum Verkauf anbieten.
Das drittgrößte Risiko sei unbeabsichtigtes Offenlegen persönlicher Daten, was durch die Kombination aus Smartphone und Social Media-Apps befördert wird. Apps sollten im Sinne von Sicherheit und Privatsphäre der Anwender nach höheren Standards entwickelt werden – aber dazu fehle es derzeit an branchenweit gültigen Richtlinien, so ENISA.
Defizite sieht die Behörde auch beim Patch Management. Einigen Plattformen fehle es immer noch an Reife bei Feature-Updates, echte Herausforderungen gebe es außerdem beim Testen von Patches wie etwa Updates des Betriebssystems.
An Optionen wie der kontrollierten Software-Distribution oder der vom Anbieter übernommenen Entfernung von Software entzünde sich Kritik, von Zensur und einem "Big-Brother-Effekt" sei die Rede, so ENISA: "Aber die meisten Experten stimmen überein, dass der Gartenmauer-Ansatz helfen kann, die Wirkung von Malware zu reduzieren." Allerdings gebe es dazu noch keine Standards oder Best Practices.
Websites in Apps umgewandelt
Ferner würden derzeit viele Websites in Apps auf multiplen Plattformen umgewandelt. Dafür seien mittlerweile neue Standards im Entstehen. "Es ist wichtig, dass Sicherheit und Datenschutz in der Entwicklung und Implementierung dieser Standards eine hohe Priorität erhalten", mahnt ENISA.
Die Studie "Smartphones: Information Security Risks, Opportunities and Recommendations for Users“ kann auf der Website der ENISA kostenlos heruntergeladen werden. Auch ein zusammenfassendes Video gibt es dort zu sehen.