Sensible Daten schützen

Viele Smartphone-Nutzer speichern auf ihren Geräten auch sensible Daten. Oft reichen kleine Tricks, um sie wirkungsvoll vor fremden Augen zu schützen.

Wem schon einmal ein Handy oder Smartphone geklaut wurde, weiß, wie schnell es geschehen kann. Obwohl es keine hundertprozentige Sicherheit gibt, ist jeder Nutzer mit vergleichsweise wenig Aufwand in der Lage, sein Smartphone bestmöglich für den Notfall abzusichern. Dafür bietet das System selbst schon diverse Mechanismen, die fehlenden ergänzen meist kostenfreie aus Googles Market.

Schutz fängt aber häufig schon früher an: Oft reicht schon die nötige Portion Umsicht, um das Gerät vor Verlust oder Datendiebstahl zu schützen. Wer Software aus unbekannten Quellen installiert oder das Phone unbeaufsichtigt auf den Tresen legt, braucht sich über mögliche Folgeschäden nicht zu wundern.

Den Ausweis, bitte?

Obwohl Android nicht gerade als hochsicheres Betriebssystemen zählt, bietet es die eine oder andere Sicherheitsfunktion, die den Zugriff auf die enthaltenen Daten erschweren. Die größte Gefahr droht durch den neugierigen Kollegen oder die eifersüchtige Freundin. Zur Abwehr dieser Bedrohung genügt es, die Authentifizierung zum Aktivieren des Geräts einzurichten. Android bietet dafür diverse Schutzmechanismen an.

Am wenigsten Aufwand bereitet dabei die Muster-Authentifizierungsgsmethode, die Sie unter Einstellungen | Standort und Sicherheit | Bildschirmsperre aktiviert erreichen. Ist es aktiviert, erfordert es vom Nutzer, die angezeigten Buttons (Abbildung 1) in einer bestimmten Reihenfolge zu drücken – andernfalls beleibt das Telefon gesperrt. Deaktivieren Sie dabei auch gleich die Checkbox Muster sichtbar, da man Ihnen sonst beim entsperren über die Schulter schauen kann und die meisten Muster leicht zu merken sind.

Mein WiFi, dein WiFi

Eine weitere Gefahr lauert in öffentlichen Einrichtungen wie Flughäfen: Sie bieten häufig offene oder mit einem gemeinsamen Kennwort verschlüsselte WLANs an. Das Risiko, sie zu verwenden, besteht darin, dass jeder angemeldete Benutzer im WLAN alle übertragene Paket empfängt und mit der entsprechenden Software auch lesen kann. Loggen Sie sich beispielweise via http auf einer Webseite ein, könnte potentiell jeder andere Teilnehmer im WLAN die Anmeldedaten abfangen. Das gilt auch für alle anderen unverschlüsselten Protokolle, etwa POP3, IMAP oder FTP.

Wer kein Computersicherheitsexperte ist, sollte deswegen offene Access Points nur im Ausnahmefall nutzen, denn auch beim Verwenden für vermeintlich unverfängliche Zwecke versendet und empfängt das Smartphone häufig im Hintergrund Daten, sei es von Facebook- oder Google+-Apps, oder dem eingerichteten Mail-Account. Am besten schalten Sie dazu die automatisch Benachrichtigung über offene Access Points (Einstellungen | Drahtlos & Netzwerke | WLAN-Einstellungen | Netzwerkhinweis) gleich aus, um gar nicht erst in Versuchung zu geraten. Im Ausland lohnt es sich, vor Ort eine Prepaid-SIM-Karte zu kaufen, die über GPRS oder UMTS den Zugriff aufs Internet ermöglicht. Dabei hört zwar der Netzbetreiber mit, doch ist dieser in der Regel höchst desinteressiert an den Informationen.

Übrigens: Der Betreiber des WLANs ist in der Regel nicht in den Angriffsprozess involviert. Sobald der Schlüssel in die Hände eines Angreifers fällt oder von diesem durch Bruteforce-Angriff ermittelt wird, sind alle anderen Nutzer des Netzes in Gefahr.

Passwörter sichern

Der nächste Schritt zur ungestörten Schlafruhe führt über die Sicherung sensibler Daten des Telefons, beispielsweise Passwörter oder andere Zugangsdaten. Hier bietet Synpet mit aWallet [1] eine kostenlose App an, die den relativ sicheren Verschlüsselungsalgorithmus AES verwendet um die sensiblen Daten zu sichern. Andere Nutzer bewerten die Erweiterung im Market mit einem "sehr gut". Beim ersten Start legen Sie zunächst ein Master-Passwort fest, mit einem Klick auf Kategorien erstellen Sie eine Gruppe so genannter Kategorien, die zu Ihren Zwecken passen.

Dabei handelt es sich um Schemata, die festlegen, was die individuellen Einträge speichern. Das ist insofern logisch, als beispielsweise die Daten einer Kreditkarte vollkommen andere Eingabemasken benötigt als die eines E-Mail-Accounts (Abbildung 2).

Möchten Sie beispielsweise ein Login für eine Website eingeben, klicken Sie auf Computer Logins und danach auf das Pluszeichen, um einen neuen Eintrag hinzuzufügen. Ein Klick auf das Diskettensymbol in der oberen rechten Seite speichert den Eintrag. Sie sehen ihn zukünftig an derselben Stelle ein.

Den zur Verschlüsselung verwendeten Algorithmus ändern Sie über Mehr | Passwort ändern | Benutzerdefinierte Auswahl . Die App unterstützt neben AES auch BlowFish und 3DES.

Geheime Bilder

Zum Schutz gespeicherter Bilder auf dem Smartphone stehen einige Apps bereit, die es erlauben, verschlüsselte Galerien anlegen. Sie zeigen die Fotos erst nach Eingabe eines Passworts an. Die kostenlose App SecurePhoto [2] finanziert sich durch Werbung. Sie nutzt einen unbekannten Verschlüsselungsalgorithmus und chiffriert einzelne Bilder unter Verwendung eines sogenannten "Tags".

Um ein Bild zu verschlüsseln starten Sie die Anwendung und klicken auf das Pluszeichen. Danach wählen Sie das gewünschte Bild aus, und klicken danach auch das Schloss-Icon. Nach Eingabe des gewünschten Passworts chiffriert die App das Bild (Abbildung 3).

Um eines von ihnen anzusehen, klicken Sie das gewünschte an und geben danach das Passwort ein.

Alternativ bieten sich die Apps FotoStop [3] oder FotoSafer [4] an. Beide stehen als kostenlose Testversionen zur Installation bereit, die aber auch nicht vollständig überzeugen: Bei FotoStop ist das Auswählen der Bilder eine Qual, FotoSafer erlaubt nur die Eingabe numerische Passwörter.

Alle genannten Apps haben einen gemeinsamen Nachteil: Sie erlauben nicht das direkte Abspeichern in einer geschützten Umgebung. Stattdessen müssen Sie nach jeder Aufnahme die App starten und das Foto chiffrieren. Ob Sie diesen Aufwand in der Praxis wirklich bei jedem wichtigen Foto betreiben, ist fraglich.

Bei der Auswahl der passenden Schutzsoftware sollten Sie darauf achten, dass sie auf sichere Verschlüsselung setzt. So "schützt" zum Beispiel die App Gallery Lock [5] von Morrison nur dadurch, dass sie die Bilder verschiebt oder umbenennt. Die Dateien sind dann zwar vor den Blicken unbedarfter Angreifer sicher, der Experte findet sie aber in Sekunden.

Nicht vertrauen sollten Sie zudem Apps, die keine Informationen über den verwendeten Verschlüsselungsalgorithmus preisgeben – bei seriösen Sicherheitprogrammen erhalten Sie diese Informationen problemlos.

Verschlüsselte Ordner

Die Verschlüsselung ganzer SD-Karten oder des internen Speichers unterstützt Android bislang nur auf einigen Motorola-Telefonen und auf Tablets mit Android "Honeycomb". Als Alternative bieten sich diverse Programme an, die chiffrierte Ordner auf der Karte anlegen. Die Primitivlösung kommt in Form des werbefinanzierten Dateimanagers ES File Explorer [6]. Er erlaubt es, Dateien in ein verschlüsseltes Archiv zu packen und bei Bedarf wieder zu extrahieren. Allerdings überschreibt der Dateimanager die Quelldaten in der Regel nicht, womit sie vergleichsweise einfach wiederherzustellen sind. Trotzdem bietet diese einfache Methode immer noch mehr Schutz, als die Daten unverschlüsselt auf dem Gerät zu belassen.

Kopieren Sie zunächst die relevanten Dateien in ein Verzeichnis und tippen Sie es im ES File Manager lange an. Im daraufhin erscheinenden Kontextmenü wählen Sie Komprimieren aus (Abbildung 4). Im Dialog erscheint neben der Komprimerungsmethode auch ein Eingabefeld für das gewünschte Passwort. Ein Klick auf OK startet das Komprimieren. Nicht vergessen, den Quellordner von Hand zu löschen!

Zum Dekomprimieren der Daten tippen Sie länger auf das ZIP-Archiv und wählen aus dem Kontextmenü Hier entpacken . Nach Eingabe des Passworts im folgenden Dialog extrahiert die App das Archiv und die Quelldaten sind wieder lesbar.

Das vom DAI-Labor der TU Berlin entwickelte Programm DroidCrypt [7] steht in zwei Versionen zur Installation bereit. Die Testversion entspricht der Vollversion und darf 60 Tage getestet werden. Danach reduziert sich ihr Funktionsumfang. Die App automatisiert den Prozess des Verschlüsselns weitgehend. Im Verbund mit dem kostenfreien OI File Manager [8] ist sie in der Lage, Verzeichnisse zu verschlüsseln.

In der geöffneten App klicken Sie dafür auf Verschlüsseln und navigieren zum Zielordner. Dort klicken Sie auf Öffnen (Abbildung 5).

Geben Sie danach in beide Textboxen dasselbe Passwort ein und klicken auf den Knopf mit dem Telefon, der den Verschlüsselungsvorgang startet.

Handy weg, was nun?

Ans Sperren der SIM-Karte denken die meisten Nutzer, schließlich soll niemand mit dem eigenen Handy telefonieren und Kosten verursachen. Doch was ist mit dem Gerät selbst und den darauf befindlichen Daten? Da die Netzbetreiber und Telefonhersteller leider eher wenig Interesse an der Aufklärung von Telefondiebstählen haben sondern lieber neue Geräte verkaufen, bringt es leider auch wenig, die IMEI (eindeutige Identifikationsnummer des Geräts) in irgendwelche Blacklists einzutragen. Mit Ausnahme von England ist das Herausfiltern gemeldeter Geräte nämlich für Netzbetreiber nicht verpflichtend [9]. Dennoch werden laut Polizeiangaben innerhalb eines Jahres bis zu 40 Prozent der geklauten Smartphones via IMEI wieder gefunden. Sofern sich auf dem Gerät keine Daten befinden, die nicht in falsche Hände geraten sollten, lohnt es sich deshalb, mit dem Sperren bis zu einem Jahr zu warten, da ein definitiv gesperrtes Smartphone stets im Müll landet und die Chance auf Wiedererhalt somit gleich Null ist. Leider gibt es aber auch professionelle Dienstleister, die die IMEI fälschen. Möchten Sie das Gerät also unbedingt sperren und somit de facto aufgeben, dann müssen Sie schnell handeln.

Gestohlen oder verloren?

Vielleicht wurde Ihr Handy aber auch gar nicht gestohlen sondern Sie haben es nur verlegt. Praktisch jedes Android-Telefon besitzt heute GPS, das sich vorzüglich zum Abrufen der Standortinformationen eignet. Wer nicht auf die vom Hersteller angebotene Lösung zurückgreifen kann oder will, verwendet die App Lost [10]. Sie zeigt nicht nur die Koordinaten des vermissten Telefons an, sondern spielt bei Bedarf auch einen lauten Ton ab, um es in Hörweite zu finden. Beachten Sie, dass die App Administrator-Rechte auf dem Smartphone benötigt, um gegebenenfalls den Speicher zu formatieren. Nach der Installation zeigt die App ein Statusfenster an.

Im nächsten Schritt loggen Sie sich auf der Webseite http://www.androidlost.com mit Ihrem Google-Account ein, um auf das Telefon zuzugreifen. Als Beispiel sehen Sie die Ortung des Smartphones des Autors (Abbildung 6).

Über die Webseite weisen Sie die App auch an, Meldungen am Bildschirm anzuzeigen oder Töne auszugeben. Bei einem Diebstahl ist davon eher abzuraten, da Sie den Dieb zum Hardresetten des Telefons animieren – die Devise lautet vielmehr: Ruhig bleiben, und den Standort verfolgen, so lange die SIM-Karte noch nicht ausgetauscht bzw. das Gerät noch nicht auf Werkseinstellungen zurückgesetzt wurde. Dann helfen nur noch Tools, die per IMEI mit dem Handy kommunizieren und diese besitzt in der Regel nur der Provider oder die Polizei. Haben Sie Ihr Smartphone jedoch an der Uni, im Zug oder sonst irgendwo liegen lassen und können mit einem ehrlichen Finder rechnen, dann bietet sich eine Meldung auf dem Display als ideale Lösung an, um wieder an das Handy zu kommen.

Fazit

Das Absichern eines Telefons kostet wenig, bietet im Ernstfall aber jede Menge zusätzliche Sicherheit. Einige Aspekte deckt bereits das System selbst ab, andere fügen Sie durch Apps aus dem Market hinzu. Wer seine Daten sichert und verschlüsselt, schläft nach einem Diebstahl besser, mit etwas Vorsicht und der nötigen Portion Glück bleibt das Smartphone aber stets im eigenen Besitz.