Wie sieht ein sicheres Smartphone aus?
Was kannst Du ändern, damit Unternehmen, Hacker und die Regierungen Dich nicht mithören können?
Beginnen wir!
Sicheres Betriebssystem für das Smartphone
Ist Apples iOS sicherer?
Apple wirbt bei fast allen ihren Produkten, dass diese besonders sicher und unknackbar sind.
Sie halten Ihr System für IT-Sicherheitsforscher zum größten Teil verschlossen. Die Vergangenheit zeigte, dass die angeblich „sicheren“ iOS, macOS, iPadOS, A-, M- und T-Chips und Software nicht sicher sind. Forscher konnten mit Black-Box Hacking zeigen, dass Apple Mitarbeiter auch nur Menschen sind. Forscher müssen mit Reverse Engineering erraten, wie der Code bei Apple aussieht und wie Kriminelle Schwachstellen ausnutzen
Wie sicher ist Googles Android?
Google wirbt mit hoher Sicherheit für sein System.
Das Betriebssystem Android ist frei verfügbar und der Quellcode ist öffentlich. Weil der Quellcode offen ist und viele tausende (fremde) Entwickler den Quellcode überprüft haben, gilt Android als eine sichere Alternative.
Jeder kann sein Android nach seinen Vorstellungen um modellieren. Android-Custom-ROM wie Lineage OS kommen ohne Google Services aus. Auf der anderen Seite kann ein Krimineller eine Schwachstelle finden und diese für sich nutzen. Weil 1000 andere den gleichen Code geprüft haben, ist die Suche nach Exploits sehr schwer.
Andere unabhängige System PureOS und Ubuntu Touch bietet der Markt an – diese bieten ein nicht so große Auswahl an Apps.
Mein Tipp zum Smartphone Betriebssystem
Verwende das „pure“ Android Open-Source-Projekt. Dann kannst Du entscheiden, welche Services Du nutzen willst. Einige Hersteller versuchen Android mit ihren eigenen, geheimen Entwicklungen besser zu machen. Samsung hat einfach seine eigene Verschlüsselung falsch implementiert. 100 Millionen Smartphones waren unverschlüsselt.
Ich habe bereits eine Schritt-für-Schritt-Anleitung zu diesem Thema erstellt. Wenn Du gerne mit Computern arbeitest, installiere Dir ein Google-bereinigtes Android (Custom Rom) auf Deinem Smartphone.
Tägliche Nutzung am Handy
Sichere Kamera und Mikrofon nutzen
Die NSA haben das Recht auf jegliche Daten aller Unternehmen aus der USA zuzugreifen. Ihren Zuständigkeitsbereich weiten diese gerne auf die ganze Welt aus, weil jeder ein potenzieller Terrorist sein könnte.
Die NSA kann Dein Mikrofon und Kamera verwenden, selbst wenn Du Dein Handy „aus“ bzw. „heruntergefahren“ hast. Zu dieser Überwachungsfunktion habe ich bereits einen ganzen Beitrag geschrieben, der Dich im Detail über den Missstand aufklärt.
Mein Tipp: Weil in fast jedem Smartphone ein Mikrofon und Kamera ohne einen physikalischen Schalter (Kill-Switch) eingebaut ist, …
- … bedecke das Smartphone mit dicken Stoff, um die Kamera zu verhüllen.
- … lege das Smartphone in einen schalldichten Raum oder Gefäß, damit (NSA) Hacker nicht alles von Dir mitbekommen.
Kann mich mein Smartphone ungewollt orten?
Ja. Du stimmst Google und Apple mit den Standardeinstellungen zu, dass diese Dich orten dürfen. Die App „Wo ist“ ortet Apple Geräte mit vielen kleinen Low Energy Bluetooth Signalen. Google verwendet GPS, um die die Standortdaten zusammeln.
Standard ist gefährlich
Als Grund führen die Unternehmen an, dass sie Dein Gerät bei Diebstahl oder Verlust schützen wollen. Du wirst aber kaum ein gestohlenes Handy finden, weil die Diebe wissen, wie man die Ortung effektiv unterdrückt:
Mein Tipp: Deaktiviere alle Tracking-Features in Google und iOS. Wenn Du sichergehen willst, dass Du nicht geortet werden willst, packe das Smartphone in eine faradaysche Hülle (z. B. Alu-Folie).
Nutze für die Navigation Open Source Map wie Maps.me oder OsmAnd
Abhörsicher Telefonieren
Ja, der Staat bzw. die Telekom kann Deine Telefongespräche über Festnetz oder Mobilfunk abhören und Deine SMS mitlesen.
Das ist kein Mythos, sondern Realität. Die Deutsche Telekom muss die Anrufe und Verbindungen speichern.
Nur eine sichere Ende-zu-Ende-Verschlüsselung, macht die Übertragung sicher, wenn der Verbindungsweg als unsicher gilt.
Bei einer Ende-zu-Ende-Verschlüsselung verschlüsselt der Sender die Nachricht mit einer asynchronen Verschlüsselung und sendet die Nachricht an den Empfänger. Der Empfänger kann mit seinem privaten Schlüssel die Nachricht entschlüsseln.
Mein Tipp: Anfänger sollten die kostenlose Signal-App nutzen, weil diese App eine Chat- und Video-Funktion mit einer Ende-zu-Ende-Verschlüsselung umsetzt.
Die App nutzt das gleichnamige Signal-Protokoll, um über eine Ende-zu-Ende-Verschlüsselung Nachrichten und Video- und Audio-Datenpakete austauschen zu können. Führend Kryptologen und IT-Sicherheitsexperten stufen dieses Protokoll als eines der Sichersten ein.
Sichere Apps downloaden und nutzen
Viele kommerzielle Apps nutzen geschlossen Code.
Keiner außerhalb des Unternehmens kann sich den Quellcode einsehen. Externe Sicherheitsprüfer (Ethical Hacker) können das Unternehmen nicht auf Sicherheitsprobleme aufmerksam machen (oder nur erschwert).
Eine sichere App ist nur eine sichere App, wenn jeder die Möglichkeit hat, sich den Code zum mindestens theoretisch anzuschauen. Ethical Hacker und andere fähige Programmierer können sich bezüglich der Sicherheit versichern. Das Kerckhoff-sches Prinzip besagt, dass ein Verschlüsselungs-Algorithmus (RSA, Caesar) und die Implementierung nur sicher sind, wenn Experten weltweit diese überprüfen, diskutieren und auswählen können.
Mein Tipp: Nutze, wann immer es geht, einen Open-Source Alternative. Du kannst kostenlos über den F-Droid Store neue Anwendungen downloaden.
Vermeide einen Vendor-Lock-In, wie es bei großen und beliebten Software- und Geräte-Unternhemen der Fall ist. Du bist in einem Vendor-Lock-In gefangen, wenn Du eine Software nutzt, aus der Du nur mit sehr viel Aufwand Deine Nutzungsdaten in eine andere Softwarelösung transferieren kannst. Die Anbieter könnten einen Export anbieten, aber das Unternehmen versucht zwanghaft, die zahlenden Kunden an sich dauerhaft binden.
Überwacht oder nicht überwacht
SIM als Gefahr für die Sicherheit?
Wie wäre es, wenn jeder Zugriff auf eine Milliarde Smartphones hat?
Egal ob Apple, Samsung, Sony … jedes Handy mit einer SIM-Karte. In 2019 fand das Unternehmen ApativeMobileSecurity genau dies heraus: Simjacker. Einige kriminelle Hacker haben diese Lücke ausgenutzt, um einen Zugang zu den angeblich sicheren Smartphones zu erhalten. Ganz ohne NSA.
Mein Tipp: Spiele immer die aktuellsten Sicherheit-Betriebssystems- und Software-Updates so früh wie möglich ein. Für (sensitive) Gespräche nutze die Signal-App oder andere Open Source Alternativen. Gehe sehr restriktiv mit den Berechtigungen in Googles Android um (z. B. Braucht eine Galerie-App Zugriff auf die Kontakte?).
Ergebnisse der Snowden Enthüllungen?
Snowden hat mit der globalen Überwachungs- und Spionage-Affäre der USA viele Einsichten der Welt gegeben.
Das Unternehmen Gamalto hat die meisten SIM-Karten für Deutschland hergestellt. Die NSA konnten sich in die Datenbank des Unternehmens hacken. Alle Handys, die diese SIM-Karten nutzen, sind unsicher, weil die mobile Verschlüsselung der NSA offenstand. Dies betraf 29 Länder und Deutschland gehört nicht dazu.
Das NSA-Projekt PRISM war dafür angelegt, die ganze Welt zu überwachen. Im Fokus standen nicht nur Terroristen (wie es ursprünglich geplant war), sondern auch Politiker aus Deutschland und der Welt. Normale Bürgen wie Du und ich wurden auch überwacht, weil jeder von der Theorie her zum Terroristen werden kann.
Mein Tipp: Zum Senden von geheimen Nachrichten nutze die E-Mail-Verschlüsselung Pretty Good Privacy (PGP). Weil PGP für Anfänger zu kompliziert ist, solltest Du und der Empfänger eine Proton-E-Mail einrichten. Der Mail Provider ermöglicht eine voll-automatische PGP-Kommunikation zwischen den Nutzer des Services.
