Tipp: Sicherheit für Android-Handys – So geht’s in 10 Schritten

Es ist eine allgemeingültige Regel der Digitalisierung: Alles, was mit einem Netzwerk verbunden ist, ist auch angreifbar. Und je länger die Verbindung dauert, desto größer wird das theoretische Risiko für einen Angriff. Schlecht für alle Smartphones, denn die sind typischerweise dauerhaft eingeschaltet und ebenso dauerhaft mit dem Netz verbunden – obendrein noch wahlweise über die mobile Datenverbindung oder ein WLAN und somit Funkverbindungen, die per se angreifbarer sind als solche via Kabel. Zu allem Überfluss kommen auch noch jene Risiken hinzu, die sich nicht direkt auf die Netzverbindung stützen, sondern andere Schwachstellen.

Hier kommt nun Android ins Spiel: Das Betriebssystem besitzt in jüngster Zeit einen Marktanteil von deutlich über 70 Prozent aller Smartphones weltweit. Bei einer globalen Gesamtzahl von ungefähr 3,6 Milliarden Smartphones macht das mehr als zweieinhalb Milliarden Android-Handys. Bei einer derart gigantischen Masse ist es kaum ein Wunder, dass sich viele Hacker und sonstige Kriminelle auf dieses eine Betriebssystem fokussiert haben – das, so gut es auch ist, eben auch seine Schwachstellen hat, so wie praktisch jedes digitale System. 

In der Praxis liegt es deshalb an dir: Du als Nutzer musst sicherstellen, dass dein Smartphone so sicher ist, wie es nur möglich ist. Dazu zählt richtiges Verhalten ebenso wie das Nutzen von Angeboten, die dein Handy sicherer machen. Insgesamt ergeben sich daraus zehn Sicherheitsschritte, die du befolgen solltest – und die wir dir im Folgenden in aller Ausführlichkeit erklären.

Schritt 1: Nutze immer ein Sicherheitsmerkmal für den Lockscreen

Eigentlich findet sich der Sinn und Zweck des Lockscreens oder Sperrbildschirms bereits in seinem Namen: Er soll das Handy sperren, soll unbefugten Zugriff auf das Gerät weitgehend vermeiden. 

Hier kommt nun erstmalig ein Problem zur Sprache, welches du in den folgenden Kapiteln noch häufiger zumindest zwischen den Zeilen lesen wirst:

Bei Digitaltechnik geht Komfort
fast immer zulasten der Sicherheit 

Beim Sperrbildschirm drückt sich das so aus, dass nach wie vor viele User ihn einfach nur durch einen Fingerwisch nach oben verschwinden lassen – komfortabel ist das fraglos, aber es ist eben auch haarsträubend unsicher. 

Hier solltest du einmal überlegen, wie viele intime Daten sich auf deinem Smartphone befinden:

• Zugänge zu deinen ständig eingeloggten Social-Media-Apps
• E-Mails
• Accounts bei diversen Shops
• Passwörter und sonstige Login-Daten, die in deinem Browser gespeichert sind
• Nachrichten- und Anrufverläufe
• Zahllose private Fotos und Videos

 Selbst wenn auf deinem Gerät nicht auch noch PayPal, Kreditkarten und ähnliche Zahlungsinformationen hinterlegt sind, hat der Gesamtinhalt deines Speichers unglaubliche Sprengkraft, sobald er in die falschen Hände gerät – und sperrt der Sperrbildschirm nicht wirklich, kann der Besitzer dieser falschen Hände alles missbrauchen.

Aus diesem Grund solltest du den Lockscreen unbedingt absichern, auch wenn es ein wenig unkomfortabler ist. Absolutes Mindestmaß sollte ein Wischmuster sein, wobei das auch nicht wirklich sicher ist, weil das Muster typischerweise dauernd als langer Fingerabdruck auf dem Displayglas erkennbar ist. Besser ist ein mindestens vierstelliger PIN, noch besser jedoch ein wirklich starkes Passwort. 

Sollte dein Gerät jedoch über einen Fingerabdrucksensor verfügen, können wir dir nur ans Herz legen, diesen zu verwenden. Auch, weil er eine wirklich sehr hohe Sicherheit mit maximalem Komfort verbindet; du musst schließlich nur den Finger auf den Sensor legen. Alles kannst du über „Einstellungen -> Sicherheit -> Displaysperre“ ganz leicht bei jedem Androiden einstellen. 

Schritt 2: Installiere eine Virenschutz-Software

In den Anfangsjahren von Android gab es tatsächlich kaum Viren oder sonstige Malware auf diesem Betriebssystem. Wer jedoch behauptet, dass dies auch noch für die heutige Zeit gilt, der hat höchstwahrscheinlich keine Ahnung: Über zweieinhalb Milliarden Android-Handys sind einfach eine viel zu große Zahl potenzieller Opfer, als dass Hacker, Programmierer von Ransomware oder ähnlichen Schad-Tools sie links liegen lassen würden.

Grundsätzlich ist zwar jedes Android-Handy schon seit 2017 durch Google Play Protect mit einem Basisschutz ausgestattet – das Programm durchforstet alle Apps ständig nach Bedrohungen. Allerdings geht es immer auch besser; nicht umsonst haben sämtliche namhaften Hersteller von Schutz-Software ihre Programme im Play Store. Auch zeigen diverse Tests immer wieder, dass Play Protect in Sachen Schutzwirkung deutlich hinter „richtigen“ Sicherheits-Suiten rangiert – etwa die regelmäßigen Einblicke des AV-Test Institutes. 

Dementsprechend solltest du das Google-Tool besser um eine dedizierte Schutz-Software ergänzen. Die muss nicht unbedingt etwas kosten, allerdings solltest du auch an die Sicherheit deines Handys kein Preisschild hängen – zumal die Bezahlvarianten solcher Apps natürlich die umfangreichsten Funktionen mitbringen.

Schritt 3: Lass das System deines Handys nicht dauerhaft offen

Wenn du ein normaler Android-User bist, dann dürfte dieser Schritt für dich ohne Relevanz sein. Denn im Serienzustand sind die „Hintertüren“ im Android-System ordentlich verschlossen.

Wenn du jedoch zu denjenigen Usern gehörst, die gerne mit erweiterten Funktionen spielen oder eine Custom-ROM à la LineageOS installieren, solltest du sehr vorsichtig sein. Denn wir sprechen hier von damit einhergehenden Hintertüren, die dabei zwangsläufig geöffnet werden müssen – zumindest temporär:

• Das Freischalten der Entwickleroptionen durch siebenmaliges Tippen auf die Build-Nummer in den Einstellungen – insbesondere, wenn anschließend OEM-Unlocking aktiviert wird.
• Das Rooten des Handys, also das Nutzen mit vollen Administratorrechten.
• Das Entsperren und vor allem entsperrt lassen des Bootloaders.

Ohne tiefer ins Detail zu gehen (das würde den Rahmen dieses Artikels sprengen): Du solltest all diese Türen nur so lange geöffnet lassen, wie du es für die nötigen Modifikationen benötigst. Niemals solltest du beispielsweise mit einem dauerhaft entsperrten Bootloader agieren. Dann nämlich kann ein Dieb mit PC und erweiterten Kenntnissen alle anderen Sicherheitsmaßnahmen unterlaufen – wie eine bestens verriegelte Haustür, unter der es einen halbmeterbreiten Spalt gibt, durch den ein Einbrecher kriechen kann. 

Schritt 4: Sei auch mobil misstrauisch bei deinen E-Mails

Seitdem im Jahr 1999 das Melissa-Virus sich erstmalig über zigtausende E-Mail-Accounts selbsttätig verbreitete, hat die E-Mail keinen Deut in ihrem Gewicht als maßgeblicher Verbreiter von allerlei Schad-Software verloren. Ganz im Gegenteil, dadurch, dass heute praktisch jeder seine Mails aufs Smartphone geschickt bekommt, bietet sich hier für Kriminelle ein wunderbares Einfallstor – nicht zuletzt deshalb, weil es darauf auch unzählige Kontakte gibt, über die sich eine Software weiterverbreiten könnte.

Doch das Problem ist nicht einmal so sehr Schad-Software; erst recht nicht, wenn du ein Schutzprogramm installiert hast. Es ist das, was anderweitig über Mails getan wird: Phishing. Ein riesiges Problem, welches Schutzmaßnahmen unterläuft – da es darauf vertraut, dass du eine Fake-Mail als echt ansiehst und darüber den Kriminellen wertvolle Daten gibst. 

Tatsächlich wäre es deshalb am besten, wenn du auf deinem Androiden gar keine E-Mails nutzt. Das wäre allerdings kaum praxistauglich. Zumindest aber solltest du nur wirklich sichere Mail-Programme nutzen, etwa die vorinstallierte Gmail App. Achte zudem immer auf verräterische Anzeichen und nimm dir immer die Zeit, verdächtige Mails als Spam zu markieren – nur so kann Gmail lernen. 

Schritt 5: Surfe im Zweifelsfall lieber, als Apps zu benutzen

Sicherheit bei Androiden bedeutet primär Schutz vor echten Kriminellen. Sekundär solltest du allerdings auch nicht vergessen, dass es daneben auch um die schlichte, großmaßstäbliche und dabei meist völlig intransparente Sammelwut der allermeisten digitalen Dienste und ihrer Anbieter geht.  

 Anders formuliert: Praktisch jeder, der dir eine digitale Dienstleistung offeriert, greift eine mehr oder weniger große Menge an Nutzerdaten ab. Wenn du hier ganz grundsätzlich (allerdings für Laien recht knifflig) den Stecker ziehen wolltest, wäre es wohl der beste Schritt, gleich das gesamte Google-Play-Paket über Bord zu werfen und auf microG zu setzen – eine Alternative zu den regulären Play-Diensten, welche allen Apps zwar gleichen Funktionsumfang ermöglicht, aber deutlich weniger Nutzerdaten weiterleitet.

Allerdings ist das, wie erwähnt, etwas, für das du Erfahrungen im Modifizieren von Android benötigst. Einfacher, aber trotzdem ebenfalls ziemlich datensicher ist es dagegen, wenn du das Thema Apps kritischer betrachtest.

Denn obwohl du spätestens seit Android 11 eine deutlich umfassendere Rechteverwaltung von Apps hast (mehr dazu weiter unten), so gibt es bei Apps doch zwei Tatsachen:

1. Sie greifen ziemlich tief ins System ein. Welche Daten sie übermitteln, lässt sich kaum kontrollieren.
2. Durch ihre Vielzahl machen sie es dir deutlich schwerer, für alle einen ähnlichen Sicherheitsstandard zu etablieren.

Das heißt nicht, dass du dich von Apps fernhalten solltest. Wohl aber empfehlen wir dir, dich zu beschränken. Heißt, sofern es keinen gravierenden Funktionsunterschied gibt, solltest du eher über den Browser auf die dazugehörige Website zugreifen – schon deshalb, weil der Browser alle Seiten in das gleiche Sicherheitskorsett zwingt. Wählst du dann noch einen besonders sicheren Browser (es muss nicht immer Chrome sein, beispielsweise gilt DuckDuckGo als äußerst sichere Alternative) und stellst ihn sorgfältig ein, hast du kaum Abstriche beim Komfort – erst recht nicht, wenn du mit Lesezeichen arbeitest. Dennoch vermeidest du, dass eine App unkontrolliert Daten nach außen schleust. 

Schritt 6: Drücke dich niemals um Backups

Ja, wir wissen es, wenn Android mal wieder mittendrin meldet, dass ein System-Update heruntergeladen wurde und installationsbereit ist, dann kann das gewaltig stören. Ebenso das ständige Updaten von Apps. Allerdings gilt hier einmal mehr die Diskrepanz von Komfort und Sicherheit: Sowohl bei Apps als auch bei deinem Betriebssystem kannst du davon ausgehen, dass jedes Update neben diversen anderen Funktionen auch die Sicherheit deines Gerätes erhöht – beispielsweise, weil jüngst bekanntgewordene Einfallstore geschlossen werden. 

Um Updates jeglicher Art solltest du dich deshalb nicht bloß nicht drücken, sondern sie automatisieren, sodass sie sofort installiert werden, sobald sie verfügbar sind. Und: Einmal monatlich solltest du auch unter „Einstellungen -> System -> System Update“ auch manuell prüfen, ob es für deinen Androiden etwas Neues gibt. 

Schritt 7: Allerhöchste Vorsicht bei Apps aus Fremdquellen

Standardmäßig gibt es auf jedem normalen Android-Handy nur eine Möglichkeit, Apps zu installieren: der Play Store. Alles andere wird schon dadurch verhindert, dass standardmäßig Drittanbieter-Apps nicht ohne Weiteres installiert werden können – verkompliziert wurde das nochmals bei Android 11. 

Prinzipiell ist das gut und sicher. Denn was aus dem Play Store kommt, wird dort geprüft und muss außerdem beim Installieren durch dein Play Protect laufen. Allerdings wissen wir natürlich, dass es im Play Store nicht alles gibt, dafür aber das Netz nur so von alternativen Anbietern von APKs (Android Package Kit, prinzipiell eine App-Installationsdatei) wimmelt. 

Hier solltest du nach folgendem Muster handeln: 

Wenn es unbedingt Apps von
Drittanbietern sein müssen,
dann achte bloß auf die Quelle

Das heißt, es ist sicherlich kein Risiko, wenn du beispielsweise ein APK über den alternativen Store F-Droid beziehst. Auch von Amazon oder namhaften Computermagazinen musst du nichts befürchten. 

Shady wird es jedoch in den anderen Ecken des Internets. Dort, wo die APKs eine nicht verifizierbare Herkunft haben, vielleicht gecrackt wurden oder mit Schad-Software infiziert sind. Von solchen Quellen solltest du wirklich die Finger lassen – ja, auch wenn auf deinem Gerät eine erstklassige Schutz-Software arbeitet.

Schritt 8: Sei unbedingt sehr geizig, was die Berechtigungen deiner Apps anbelangt

• Kamera
• Kontakte
• Mikrofon
• Speicher
• Anrufliste
• Standort
• Telefon
• SMS

Das ist nicht die Liste möglicher Berechtigungen irgendeiner obskuren App, von der man sowieso besser die Finger lassen sollte, sondern die Liste von WhatsApp. 

So, wie die App des millionenfach verwendeten Messengers ziemlich üppig Berechtigungen einfordert, sieht es auch bei vielen anderen Apps aus – oft auch kaum nachvollziehbar; warum beispielsweise benötigt die App eines großen deutschen Nachrichtenmagazins Zugriff auf den Inhalt deines SD-Speichers?

Tatsache ist, dass es meist eine riesige Diskrepanz gibt – zwischen dem, was Apps an Berechtigungen möchten und dem, was sie für die von dir genutzten Funktionen benötigen. Grundsätzlich raten wir dir deshalb dazu, direkt nach dem Einrichten von Android sowie der Installation jeder weiteren App unter „Einstellungen -> Apps & Benachrichtigungen -> Jeweilige App -> Berechtigungen“ zunächst großzügig alles zu entziehen. 

Benutzt du die App, wird das System um Erlaubnis bitten, eine nötige Berechtigung zu erteilen. Auch hier solltest du nochmals auf Nummer Sicher gehen. Bei neueren Android-Versionen kannst du die Berechtigungen auch so einstellen, dass sie nur vergeben werden, solange die App genutzt wird („Zugriff nur während der Nutzung zulassen“). Noch sicherer, wenngleich leicht unkomfortabler, ist jedoch „Jedes Mal fragen“. Dann sind die Berechtigungen ausgeschaltet und du musst bei jeder Nutzung kurz bestätigen. 

Übrigens: In die gleiche Kerbe schlagen auch die Verbindungen deines Geräts. Bluetooth beispielsweise solltest du nur dann aktivieren, wenn du diese Funktion wirklich benötigst. Das hat auch den netten Nebeneffekt, dass dein Akkustand etwas geschont wird. 

Schritt 9: Übe allerhöchste Vorsicht in öffentlichen WLAN-Netzen

Deutschland ist nicht nur eine Mittelfeld-Nation, was die generellen Internetgeschwindigkeiten und den Ausbau schneller Mobilverbindungen anbelangt, sondern auch eine, in der mobile Datenvolumina ausnehmend teuer sind. Hierzulande kostet ein Gigabyte Datenvolumen im Schnitt 3,60 Euro – bei unseren Nachbarn in Italien und Frankreich sind es dagegen nur 38, respektive 72 Cent.

 Da ist es verständlich, wenn du unterwegs gerne jede Möglichkeit ergreifst, um dein Datenvolumen zu schonen. Und dank zahlloser offener WLAN-Netzwerke gibt es dazu auch allerlei Möglichkeiten. 

Das Problem ist jedoch: Diese Netzwerke sind nicht nur offen für jedermann, sondern auch anonym – und dadurch unglaublich unsicher. Jeder in Reichweite kann sich einloggen und kann Daten abfangen, die in diesem WLAN zwischen Nutzern und Routern ausgetauscht werden. 

Direkte Angriffe auf deinen Androiden musst du hier zwar nicht befürchten, wohl aber, dass du als Handy-Besitzer anderweitig geschädigt wirst. Das gilt ganz speziell bei allem, was du in diesem WLAN tust und bei dem intime Daten ausgetauscht werden – Login-Daten beispielsweise oder, noch gefährlicher, Zahlungsdaten.

Online Banking beispielsweise solltest du kategorisch niemals über ein offenes WLAN abwickeln, sondern nur über dein Handynetz. Auch wenn du irgendwo einen neuen Account samt Passwort (und womöglich Kreditkartendaten) erstellen willst, ist das WLAN im Schnellrestaurant, an Bahnhof und Co. der völlig falsche Ort. Hier solltest du nur ganz grundsätzliches „Basis-Surfen“ betreiben. 

Schritt 10: Behalte dir die Möglichkeit offen, dein Gerät aus der Distanz unbrauchbar zu machen

Bootloader und Co. sind gesperrt, deinen Lockscreen überwindet man auch nur mit dem Fingerabdruck. Grundsätzlich ist dein Smartphone damit ziemlich sicher gegen unbefugte Benutzung. Wenn dein Gerät jetzt allerdings gestohlen oder verloren und von Unbefugten gefunden wird, solltest du dennoch kein Risiko eingehen. Dazu ist das, was hinter diesen Sperren auf deinem Gerät liegt, einfach zu gefährlich bei einer missbräuchlichen Nutzung.

Unter „Einstellungen -> Sicherheit“ findest du die Einstellung „Mein Gerät finden“. Sie solltest du standardmäßig aktivieren und außerdem immer den Standortzugriff eingeschaltet lassen – ja, auch wenn das an der Akku-Power zehrt. 

Denn im Zusammenspiel dieser beiden Funktionen hast du über Google ein sehr mächtiges Schwert in der Hand, um sicherzustellen, dass niemand sich so lange an deinem Gerät zu schaffen machen kann, bis er die Sperren dennoch überwunden hat. 

Ist dein Gerät verschwunden, benötigst du nur die Login-Daten deines Google-Kontos (also das, womit du auch in deinem Gerät für die ganzen Google-Dienste angemeldet bist). Diese Daten gibst du auf einer speziellen Unterseite von Google über irgendeinen Browser ein. 

Einmal eingeloggt, kannst du nun folgendes tun:

• Du kannst dir den Standort deines Gerätes auf einer Karte anzeigen lassen – sofern das Handy natürlich Kontakt dazu aufnehmen kann. 
• Du kannst dein Handy ungeachtet der aktuellen Lautstärkeeinstellung für mehrere Minuten lang bei voller Lautstärke klingeln lassen – praktisch nicht nur, um verlorene Geräte zu orten, sondern vielleicht auch denjenigen zu finden, der dein Gerät eingesteckt hat.
• Du kannst, falls du es noch nicht getan hast, das Gerät via Wischmuster, PIN oder Passwort blockieren.

Wenn du jedoch wirklich auf Nummer Sicher gehen willst, bietet Google dir jetzt auch noch die „Kill-Option“ an: Mit einigen Klicks kannst du aus der Ferne den gesamten Gerätespeicher deines Handys löschen. Eventuelle SD-Karten bleiben zwar unangetastet, dafür ist dein Handy aber in den Werkszustand zurückversetzt. Alle Apps und, noch wichtiger, die Login- und sonstigen Daten werden entfernt und können nur unter allergrößten Schwierigkeiten wiederhergestellt werden – zu schwierig für die allermeisten Kriminellen, die nur mal eben mit einem gestohlenen Handy Unsinn anrichten möchten.