Staatliche und nicht-staatliche Überwachung

Wirtschaftsspionage mittels Smartphone

Weil mobile Geräte unbemerkt zu Abhörzentralen mutieren können, verbannen bereits viele DAX-Unternehmen diese beispielsweise aus Sitzungen – und auch kleine Betriebe müssen zeitnah reagieren, um sich vor Überwachung zu schützen.

Die Konkurrenz liest mit – wie Industriespionage mittels Smartphone der Wirtschaft schadet!

Seit Ende April zum wiederholten Male bekannt wurde, in welch unverantwortlicher Art und Weise der bundeseigene Nachrichtendienst daran beteiligt war (ist), vertraulichste Informationen aus dem Innenleben der deutschen Wirtschaft und Politik an die Datensauger der NSA zu liefern, beschleicht einen mehr denn je das Gefühl, der Begriff „Terrorabwehr“ sei das US-amerikanische Synonym für Wirtschaftsspionage. Wenn nun selbst der BND dieses Spiel schon seit Jahren wissentlich oder unwissentlich mitspielt, darf man schon die Frage stellen, wem man in digitalen Zeiten überhaupt noch trauen kann? Den fremden Diensten offensichtlich ebenso wenig wie den eigenen. Und die nicht-staatlich organisierte Kriminalität gibt es ja auch noch. Im Grunde schwant allen, jederzeit das Ziel von digitalen Lauschangriffen werden zu können. Trotzdem ducken sich viele immer noch weg und verschanzen sich hinter dem bequemen Argument, man selbst habe ja wohl nichts zu verbergen.

Doch das ist falsch: Gerade der Mittelstand in Deutschland steht weltweit für Innovation und Ingenieurskunst, die natürlich (anderswo) heiß begehrt ist. Von der Politik darf man in Sachen digitalem Schutz nicht viel erwarten. Die Volksvertreter werden zwar selbst abgehört, beschwichtigen aber oder schweigen gänzlich, obwohl sie eigentlich hiesige wirtschaftliche Interessen vertreten müssten. Also müssen die Unternehmensverantwortlichen das Heft selbst in die Hand nehmen, um ihre Marktposition zu verteidigen – ob eine immer weiterreichende Vernetzung à la Industrie 4.0 hierbei letztlich Segen oder doch mehr Fluch ist, wird sich noch zeigen.

Größere Unternehmen werden vorsichtiger

Doch zurück zu den Smartphones: Lediglich in Konzernen und größeren Firmen mit eigenen Informationssicherheitsabteilungen existiert bereits entsprechendes Problembewusstsein. Im Mittelstand hingegen fehle dieses Bewusstsein noch völlig, kritisiert Mathias Gärtner von der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS). Auch für Professor Marco Gercke, Director am Cybercrime Research Institute in Köln, scheint das Bewusstsein in Großunternehmen grundsätzlich eher vorhanden zu sein als im Mittelstand. Allerdings warnt er vor einer vereinfachten Betrachtung. Denn ebenso wie die Bundeskanzlerin nutzen auch viele Vorstände neben einem gesicherten Diensttelefon ein zweites, weit weniger geschütztes Gerät für private Zwecke.

Offensichtlich unterschätzen viele die Gefahr. Zum einen, weil die Zahl öffentlich gewordener Vorfälle noch vergleichsweise gering ist, und zum anderen, weil sie sich das Gefahrenpotential nicht ausmalen wollen, wie @yet-Geschäftsführer Wolfgang Strasser beobachtet. Nur aus diesem trügerischen und fahrlässigen Gefühl der Sicherheit heraus ist es zu erklären, warum in vertraulichen Sitzungen überhaupt noch Smartphones (oder Telefone mit Freisprechfunktion) auf dem Tisch liegen. Alexander Geschonneck, Leiter des Bereichs Forensik bei KPMG, zweifelt in diesem Zusammenhang am Sensibilisierungsgrad der Verantwortlichen. Diese fehlende Sensibilisierung könnte auch das Ergebnis des psychologischen Effekts sein, nicht angegriffen werden zu können, weil man das Gerät ständig bei sich führt und sozusagen in ständiger Obhut hat. Zudem sehen viele Nutzer in Smartphones immer noch mehrheitlich das harmlose Telefon mit Onlinezugang. In Wahrheit sind es jedoch längst recht mächtige Computer mit Telefonfunktion.

„Hier wird gerne übersehen, dass das Smartphone zuallererst der Kontrolle des Herstellers, dann des Mobilfunkbetreibers und dann erst des Nutzers unterliegt. Viele Funktionen sind aus der Ferne ­steuerbar, ohne dass der Inhaber es bemerkt“, schildert Timo Kob, Vorstandsmitglied Bundesverband Allianz für Sicherheit in der Wirtschaft e.V., die Situation.

Computer mit Telefonfunktion

In diesem Zusammenhang gab es auf dem letzten Kongress des Chaos Computer Club Präsentationen über gelungene Angriffe auf Smartphones aus dem Funknetz: In jedem Gerät ist ein „Baseband“ verbaut, welches die Verbindung zum GSM-Netz herstellt und von dort auch zu steuern ist. Dabei unterliegt es weder der Kontrolle des Nutzers noch des Betriebssystems noch einer eventuell installierten Geräte-Management-Software (Mobile Device Management). Über das sogenannte SIM-Toolkit steuert das Baseband allerdings selbst viele Funk­tionen des Smartphones. Gegen solche Angriffe, sagt Kob, seien aktuelle Sicherheitssoftwareprodukte machtlos, zudem seien alle Betriebssysteme betroffen.

Darüber, dass Attacken auf Smartphones nicht sonderlich aufwendig sind, herrscht unter Branchenkennern Einvernehmen. Prinzipiell muss es dem Angreifer (lediglich) gelingen, auf das Gerät selbst zu gelangen. Dazu ist ebenso wie beim PC kein physischer Zugriff nötig. Viel einfacher geschieht der Angriff über manipulierte und kostenfreie Apps, die Kriminelle vor allem auf alternativen Download­portalen anbieten. „Die Betriebssysteme geben den Entwicklern alle Möglichkeiten an die Hand, über eine Anwendung die im Smartphone verbaute Hardware nach Belieben zu nutzen“, sagt Thomas Uhlemann, Sicherheitsexperte beim Security-Anbieter Eset. Sie können dann beispielsweise das Mikrofon anzapfen oder die Kamera bedienen. Derartige Optionen sind laut Bogdan Botezatu, Sicherheitsanalyst bei Bitdefender, standardmäßig in Android-Malware-Kits für den Eigenbau von Schadprogrammen enthalten. Per simplem Mausklick kann der Hacker nach der Infizierung Audio- und Videoübertragungen einrichten.

Wie jeder herkömmliche Rechner sind auch mobile Endgeräte unter Android, Windows Phone oder iOS bei jedem Besuch von Webseiten, beim Anzeigen von Mails oder der Nutzung von öffentlichen Hotspots angreifbar. Liegt der Besuch von Web­seiten noch größtenteils im Ermessen des Nutzers, gibt es jedoch auch Attacken, für die der Angreifer lediglich die Rufnummer des jeweiligen Smartphones kennen muss. Je nach Betriebssystem reicht dann eine SMS, die für den Nutzer nicht einmal sichtbar sein muss. Diese Attacke ist also noch viel weniger nachvollziehbar als das herkömmliche Phishing, bei dem der Nutzer über eine fingierte E-Mail oder SMS zum Besuch eines bestimmten, mit Malware verseuchten Links animiert wird.

„Normale Spionage-Tools“

Es gibt dem Vernehmen nach jedoch einen Unterschied im Wirkungsgrad: Gelingt es dem Angreifer, den Nutzer zur Bestätigung einer Software-Installation zu überreden, wird im schlimmsten Fall das ge­samte Gerät übernommen. Dies geschieht etwa über den Weg, dass eine vermeintliche Spiele-App eine besondere Berechtigung verlangt. Demgegenüber können solche Angriffswerkzeuge, die sich ohne das Zutun des Nutzers im System einnisten – Alexander Geschonneck nennt sie „normale Spionage-Tools“ – erst einmal nicht auf die eingebaute Hardware wie Kamera und Mikrofon zugreifen. Immerhin …

Einen Unterschied zwischen alten und neuen Betriebssystemversionen macht Mathias Gärtner von NIFIS aus. So biete Apple ab iOS 7 anders als Android die Funktion, dass z.B. jeder Zugriff auf das Mikrofon mit einer gesonderten Abfrage versehen ist. Wie sicher dies jedoch ist, bleibt unklar, denn es sind bereits Fälle bekannt geworden, bei denen diese Abfrage umgangen wurde – z.B. mit dem Trojaner Xagent. „Jeder Hersteller versucht mit unterschiedlichem Erfolg, Schutzmaßnahmen wie etwa das Sandboxing von Applikationen zu entwickeln. Inwieweit dieser Schutz jedoch Fehler aufweist, muss offen bleiben“, schließt Gärtner.

Wogegen die Hersteller komplett machtlos sind, ist die physische Manipulation der Geräte. „Auslandsreisende sollten dies in jedem Falle berücksichtigen und ihr Smartphone zu keinem Zeitpunkt unbeobachtet lassen oder es an Dritte weitergeben“, rät @yet-Chef Wolfgang Strasser. „Ist dieses dennoch passiert, beispielsweise bei der Einreise, sollte das Gerät als kompromittiert angesehen werden.“

Was sich wie übertriebene Panikmache anhört, wird in einigen Firmen bereits sehr ernstgenommen, wie MOBILE BUSINESS aus sicherer Quelle erfuhr. Dort erhalten die Mitarbeiter vor Geschäftsreisen, beispielsweise nach Fernost, ­niegelnagelneue Laptops und Telefone – dazu einen USB-Stick mit den für den konkreten Geschäftsvorfall relevanten Dateien. Nach der Rückkehr werden diese Gerätschaften dann allesamt sofort vernichtet.

Einmal genutzt, dann zerstört

Die Fälle physischer Manipulation sind zwar seltener, dennoch gibt es sie. „Wir haben erlebt, wie ein Handyakku gegen einen Akku mit zusätzlicher Aufnahme- und Sendefunktion ausgetauscht wurde“, berichtet KPMG-Mann Alexander Geschonneck. Das Tückische daran ist, dass dieses „Feature“ auch dann noch aktiv ist, wenn das Smartphone ausgeschaltet ist. Professor Marco Gercke weiß darüber hinaus von einem Vorfall, bei dem im Rahmen einer fingierten Sicherheitskontrolle bei einer Vortragsveranstaltung in einer „Durchleuchtungseinheit“ (wie im Flughafen, Anm. d. Red.) eine physische Manipulation des Mobilgerätes eines Entscheidungsträgers vorgenommen wurde. Der Angriff wurde nur durch Zufall mehrere Monate später entdeckt. Man sollte sich folglich nie in Sicherheit wähnen, nur weil man nichts bemerkt – denn sowohl physische als auch softwareseitige Manipulationen sind schwer festzustellen. Jeder Smartphone-Nutzer sollte sich also genau überlegen, welche Apps er installiert und wo er sein Device liegen lässt. In den Händen Dritter hat das Smartphone definitiv nichts zu suchen, unbeaufsichtigt schon gar nicht.

Generell beobachtet Fujitsu-Security-Chef Thorsten Höhnke, „dass die derzeit laufende intensive Debatte über IT-Sicherheit dabei hilft, dem Thema die erforderliche Aufmerksamkeit zu verschaffen.“ Warnungen von IT-Leitern oder Sicherheitsspezialisten würden nicht mehr ohne weiteres als Panikmache abgetan. Die Erkenntnis, dass Wirtschaftsspionage eben keine Panikmache, sondern Realität ist – siehe NSA und BND – sollte nun flächendeckend reifen. 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok