Physische Mobile Sicherheit

Ihr Handy ist Ihr digitales Leben. Und wird es immer mehr. Wie kann es abhanden kommen, warum, was bedeutet das für Sie und wie können Sie sich schützen.

Mögliche Szenarien

Sie liegen im Freibad und gehen ins Wasser. Als Sie zurück kommen stellen Sie fest, Ihr Handy ist weg.

Macht ja nichts, es hat einen vierstelligen Pin, alle Daten sind in der Cloud und Sie haben „Wo ist?“ aktiviert.

Vielleicht haben Sie es auch nur verlegt oder zu Hause vergessen. Denn heute klaut kein Mensch mehr ein Handy, so wie früher. Weil es auffindbar ist, sicher. Das hat Ihnen der Mensch im Mediamarkt erklärt und Google, Apple und Samsung werben doch die ganze Zeit damit. Verschlüsselt, sicher, Backup in der Cloud. „Machen Sie sich keine Sorgen, wir kümmern uns.“

Sie sitzen in einer Bar. Das Handy liegt neben ihnen. Die Bar ist gut gefüllt. Neben Ihnen sitzt ein attraktiver Mensch, lächelt Sie an und schlürft an seinem Bier. Ihr Handy piept, was sonst. Sie heben es an, aber mal wieder funktioniert die Face-ID nicht sofort. Oder jetzt ist gerade der Zeitpunkt, als das Gerät automatisch mal wieder die Pin erfragt, damit Sie sie nicht vergessen. 

Genervt tippen Sie Ihre vierstellige Pin ein. 0000. Sie haben ja Face-ID und damit denken Sie sich, die Pin ist eh nicht so wichtig.

Ausserdem: Ihr Gedächtnis war nie gut, daher diese Pin. Außerdem: Kein Mensch wird denken, dass es jemanden gibt, der so eine Pin verwendet. Noch auf dem Tresen liegend sehen Sie die WhatApp Ihrer Mutter. Ach ne, echt jetzt. Sie sperren das Handy wieder. Von der anderen Seite spricht Sie ein Mensch an. Sie drehen sich um, kommen ins Plaudern. Nach ein paar Minuten ist der Flirt vorbei, sie beugen sich wieder nach vorne und denken und fühlen: Hm, hier stimmt etwas nicht. Wo ist mein Handy? Weg! Manche Diebe arbeiten in Gruppen.

Macht ja nichts, es hat einen vierstelligen Pin, alle Daten sind in der Cloud und Sie haben „Wo ist?“ aktiviert.

„Machen Sie sich keine Sorgen, wir kümmern uns.“

Sie laufen im Urlaub durch eine faszinierende Stadt. Sie ist beliebt und belebt, eine Hochburg der Kultur und des Tourismus. Natürlich teilen Sie das Ihrer besten Freundin zu Hause mit. Sie halten, wie das heute so modern ist, dass Handy wie einen Toast zum Anbeißen vor den Mund, Lautsprecher aktiv, und berichten Ihrer Freundin, was sie gerade so sehen. Oder verwenden Facetime, Skype, Zoom, Teams und teilen was Sie sehen mit der Freundin. Wow, ohne Internet und Handy wäre all das nicht möglich. Aus dem Augenwinkel sehen Sie einen sportlichen Typen auf sich zu joggen. Trainiert sieht der Junge aus. Bis Sie ihn nur noch von hinten sehen, mit Ihrem entsperrten Handy.

Macht ja nichts, es hat eine vierstelligen Pin, alle Daten sind in der Cloud und Sie haben „Wo ist?“ aktiviert.

„Machen Sie sich keine Sorgen, wir kümmern uns.“

Mist, das Handy war entsperrt. Aber sind nicht alle Daten verschlüsselt? Haben Sie nicht sowieso alle Konten mit Zwei-Faktor-Authentifizierung (2FA) gesichert?

Sie wollen ein Selfie machen, ein wunderbarer Sonnenuntergant am Meer. Doch die Arme sind zu kurz, viel Kopf wenig Meer und Sonne sind zu sehen. Da kommt eine nette Einheimische auf Sie zu und bietet Ihnen Hilfe an. Natürlich, die Menschen hier sind eh viel freundlicher als zu Hause. Sie zeigen Ihr das Handy, zeigen, wo die Dame drauf drücken soll, gehen ein Stück nach hinten, die Dame lächelt. Noch ein bisschen nach rechts, 1/5 Regelung beim Fotografieren. Und während Sie sich nochmal umdrehen, um den schönen Sonnenuntergang genau auszutarieren, ist die Dame mit dem Handy weg.

Macht ja nichts, es hat eine vierstelligen Pin, alle Daten sind in der Cloud und Sie haben „Wo ist?“ aktiviert.

„Machen Sie sich keine Sorgen, wir kümmern uns.“

Mist, das Handy war entsperrt. Aber sind nicht alle Daten verschlüsselt? Haben Sie nicht sowieso alle Konten mit Zwei-Faktor-Authentifizierung (2FA) gesichert? 

Kommt Ihnen das bekannt vor? Haben Sie schon mal davon gehört? Haben Sie darüber schon mal nachgedacht? Oder gar erlebt?

Wir denken viel über Hacking, Ransomware usw. nach. Schuldig! Ich auch. Oftmals vernachlässigen wir aber auch die analogen Gefahren, die dann in digitale münden können.

Es stimmt. Handys werden heute weniger wegen des materiellen Wertes geklaut. Und ja, sie sind diebstahlsicherer mit „Wo ist?“ und anderen Möglichkeiten, sie zu lokalisieren.

Motivation des Handydiebstahls

Aber es gibt auch andere Motivationen, sich Ihres Handys zu bemächtigen. Welche könnten das sein?

Es gibt prinzipiell drei Möglichkeiten, warum jemand Ihr Handy stehlen möchte:

  • Er möchte es verkaufen. Es wird geklaut, an einen anderen weiterverkauft, der löscht sofort alles und setzt alles zurück und verkauft es dann wiederum weiter. Das ist seltener geworden. Aber gerade in ärmeren Ländern, wo 100€ einem Monatseinkommen entsprechen, durchaus noch vorhanden.
  • Sie sind eine Person der Öffentlichkeit. Sie sind Richter, vielleicht in einem Terrorismus- oder Clan-Fall, ein Anwalt, ein Politiker, ein Sportler, ein bekannter Journalist oder ein Firmenmogul. Dann kann es sein, dass man das Handy will, um an windige Nachrichten, nicht sehr schmeichelhafte Fotos oder andere Informationen zu kommen, um Sie ggf. erpressen zu können. Das ist ein gezielter Angriff und für die meisten von uns sicherlich nicht relevant.
  • Sie sind wie jeder andere Mensch auch. Dann wollen die Diebe vor allem Ihr Geld. 

Kümmern wir uns vor allem um den letzten der drei Fälle. 

Mögliche Diebstahlausgangslagen

Ihr Handy kann in vier verschiedenen Modi sein, wenn es entwendet wird.

Schauen wir uns die einzelnen Fälle an.

  • Fall 1: Ihr Handy war gesperrt und der Dieb hat nicht gesehen, wie Sie die Pin eingegeben haben, vielleicht weil Touch- oder Face-ID gut funktioniert oder Sie die komplizierte Pin geschützt eingegeben haben. Oder er es sowieso nur auf das Handy abgesehen hat.
    Damit ist Ihr Handy zwar weg, aber die Daten sind relativ sicher. Im schlimmsten Fall verkauft er es und Sie müssen ein neues kaufen. Möglicherweise finden Sie es sogar mit Apple‘s oder Google‘s Hilfe wieder. Hoffen Sie nicht darauf. Bei einer einfachen Pin gehen Sie zu Fall 3.
  • Fall 2: Ihr Handy war entsperrt, aber der Dieb hat nicht gesehen, welche Pin Sie haben.
    Das ist schlechter. Denn solange der Dieb es schafft, dass sich das Handy nicht selber sperrt, hat er Zugang zu Ihren Daten und das ist nicht gut. Dazu gleich mehr.
  • Fall 3: Ihr Handy war gesperrt, aber der Dieb kann die Eingabe der Pin gesehen haben, vielleicht weil Sie keine biometrischen Verfahren verwenden oder diese mal wieder nicht funktioniert haben.
    Das ist schlimm. Denn nun kann der Dieb nach Gutdünken mit dem Handy verfahren, wir sehen gleich, was das bedeutet.
  • Fall 4: Ihr Handy war entsperrt und der Dieb kennt die Pin.
    Siehe Fall 3.

Was haben wir heute alles auf einem Handy? Paypal, Messenger wie WhatsApp oder Threema, E-Mail, Banking-App, Tinder, Zyklus-Apps, Gesundheitsdaten, Passwortmanager, viele einfach alles. Ihr ganzes (digitales) Leben. Wir haben die Fotos der letzten Jahre, die Videos, Musik uvm. Sie bezahlen mit Google Pay oder Apple Pay. Natürlich, als hipper informierter Finanzguru haben Sie Ihr Bitcoin-Wallet auf dem Handy. Der Markt ist so volatil, da müssen Sie schnell handeln können.

Missverständnis

Wenn Sie glauben, Ihre Daten sind verschlüsselt, dann stimmt das zwar, aber wenn der Dieb den Schlüssel, sprich Ihre Pin hat, ist es nichts wert. Wenn Sie Ihr Haus abschliessen und den Schlüssel dem Einbrecher geben, nützt das Schloss nichts. Wenn der Einbrecher schon im Haus ist, hilft es auch nichts mehr, sprich wenn das Handy beim Entwenden entsperrt war. Es hilft aber bei etwas anderen, wenn der Dieb die Pin nicht kennt, wie wir gleich sehen werden.

D.h. für die Apps und alle Diensteanbieter sind Sie am Handy, nicht ein Dieb. Woher sollten die auch wissen, dass nicht Sie das sind? 

Die meisten Menschen, die ich kenne, schützen Ihre Apps nicht. 

Auf dem Handy denken viele, alles ist sicher, solange die Pin da ist. Damit ist ja alles geschützt. Viele verwenden durch Face-ID oder Touch-ID schwächere Pins. Zum einen, weil sie diese seltener eingeben müssen und sich daher an längere nicht erinnern können, das ist unbequem. Zum zweiten, weil sie glauben, dass durch die Touch/Face-ID das Handy sowieso sicherer ist. Das stimmt nicht. Daher müssen Sie nach einem Starten des Handys beispielsweise immer Ihre Pin eingeben.

Wenn Sie die Banking-, Paypal-, Threema-, WhatsApp-, Passwortmanager Apps starten, geben Sie dann nochmal einen Pin-Code ein? Ein Passwort? Denselben Pin wie am Handy? Oder starten Sie die Apps unbehelligt und nutzen sie?

Das ist bei den meisten so. Sie nutzen die Apps einfach. Beim ersten Starten der App nach der Installation werden Sie angemeldet, dass speichert das System und dann nutzen Sie die Apps einfach. Das geht schnell und ist bequem. So soll es sein. Das bedeutet nichts anderes, das zum Beispiel beim iPhone die Passwörter etc. im Schlüsselbund in der Cloud abgelegt werden. Von dort werden sie bei Bedarf geladen.

Das können Sie mit einem Passwortmanager vergleichen. Wer das Passwort zu einem hat, hat alle Passwörter. In diesem Fall ist dieses sog. Masterpasswort Ihre Pin und der Passwortmanager der Schlüsselbund. Wer dieses Masterpasswort, die Pin hat, der …

Für die vier Fälle oben ist das aber leider nicht sehr sicher.

Daten in Gefahr

Ihre Bilder von der Hochzeit sind jetzt sichtbar. Auch die, die vielleicht für die Öffentlichkeit nicht bestimmt sind, vielleicht von der Hochzeitsnacht. Ein Dickpick für die neue Freundin, ein ‚Oben Ohne‘ Bild für den neuen Freund oder die neue Freundin, bewusst nicht synchronisiert mit der Cloud, sind jetzt dem Dieb sein eigen. Mails oder Nachrichten, die Ende-zu-Ende verschlüsselt sind und aus Ihrer Sicht super sicher, in denen Sie sich persönlich über Ihren Chef oder die beste Freundin beschweren, die nie für jemanden anderen gedacht waren, sind jetzt möglicherweise in der Öffentlichkeit. 

Sind Sie eine Person des öffentlichen Interesses, sind Sie spätestens jetzt erpressbar (aber Sie haben wohl nichts zu verbergen, dann ist alles gut).

Der Zugriff gilt nicht nur für das Gerät. Alles, was Sie in der Cloud abgelegt haben, mit der ungestört und oft unbewusst interagieren, ist für den Dieb sichtbar. Dokumente auf Google oder iCloud Drive, Ihre Backups, Ihre Fotos, Ihre Videos, uvm. Frühere WhatsApp Backups auf Google Drive sind unverschlüsselt. 

Wenn Sie ohne weitere Verifikation beispielsweise die Paypal App starten, dann kann der Besitzer des Handys das jetzt missbrauchen und Geld überweisen.

Er kann Ihre E-Mails lesen und beantworten. Doch das ist nicht das Schlimmste. Er kann auf die Online-Konten von Ihnen gehen und ihre Passwörter zurücksetzen lassen. Denn der Link zum Zurücksetzen eines Passwortes landet fast immer in der E-Mail App des Handys. 

2FA wird es schon richten

Ach, denken Sie sich vielleicht. Ich habe bei meiner Bank und bei Paypal usw. meine Zwei-Faktor-Authentifizierung (2FA) hinterlegt. Da passiert nichts.

Falsch gedacht. Welche 2FA-Methode haben Sie gewählt? Welche haben Ihnen die Anbieter offeriert?

Bei manchen ist es SMS. Wo kommt diese SMS an, wenn sie gesendet wird? Auf Ihrem Handy, dass jetzt der Dieb hat. Schon kann er auf das Konto zugreifen. 

Manche verwenden Authenticator Apps, wie OAuth, Google Authenticator oder andere. Doch wo laufen diese Apps? Auf Ihrem Handy. Wo ist das Handy jetzt? Beim Dieb. D.h. er kann problemlos auf ALLE Ihre Konten zugreifen. Sogar einen Schutz mit einem Yubikey, einem USB-Stick, den man für 2FA nutzen kann und mit dem 2FA nur geht, wenn man im Besitz dieses USB-Sticks ist, reicht nicht. Alleine mit der Pin, lässt sich beispielsweise beim iPhone die 2FA mittels Yubikey einfach ausschalten.

Schon vor langer Zeit haben Sicherheitsforscher gewarnt. 2FA ist grossartig. Aber Passwort und Authenticator App sollten nicht auf demselben Gerät zugänglich sein. Etwas, das man weiss, etwas, das man hat. Wenn Wissen und Haben auf demselben Gerät sind …

Genauso wenig, wie man beispielsweise Bitwarden, einen Passwortmanager, nicht für Passwörter und 2FA nutzen sollte. Alleine schon aus dem Grund: Wenn die App kaputt geht oder nicht funktioniert oder sonst was passiert, haben Sie keine Möglichkeiten mehr.

Vor ein paar Tagen wurde bekannt, dass man nur mit der Pin des iPhones die Apple ID zurücksetzen kann. Damit wird der gesamte Apple Verkehr, alle Daten, alle Konten, übernommen. Ihr ganzes digitales Leben ist somit nicht mehr in Ihren Händen. Nur mit der einen Pin. Mir fehlt leider die Fantasie mir auszumalen, was das alles bedeuten kann, sonst würde ich Bücher schreiben. Aber ich stelle mir das gruselig vor.

D.h. alles Digitale ist nicht mehr unter Ihrer Kontrolle. Schauen Sie auf Ihr Handy. Schauen Sie auf die Apps. Schauen Sie, was Sie alles dort haben. Das alles gehört Ihnen dann nicht mehr, alle Daten, alle Kontenzugriffe, egal ob auf Messenger, E-Mails, Passwortmanager oder Bankkonten, sind dann nicht mehr unter Ihrer Kontrolle.

Verwenden Sie Apple oder Google Pay? Manchen Dieben reicht es einfach, mit dem Handy in den Supermarkt zu gehen, einmal richtig einzukaufen und das Handy wegzuschmeißen. Bei den aktuellen Preisen … Ihr Handy wird gefunden, aber der Schaden ist da. Vielleicht geringfügig. 

Habe ich Sie in Wallung gebracht? Ich hoffe ein bisschen. Dass in Deutschland ein Handy geklaut wird, habe ich bisher selten gehört. Aber es gibt es.

Was aber, wenn Sie in die Bronx reisen, nach Chicago, in den Kongo, nach Tokio oder Beijing. Südafrika, Australien, … Legen Sie überall die Hand ins Feuer, dass Sie auf keinen Fall beklaut werden? Ich nicht. Was passiert dort, wenn Sie kein Handy mehr haben. Haben Sie Telefonnummern im Kopf, die Sie von einem anderen Phone anrufen können? Die E-Mail-Adressen? Die Kreditkarten haben Sie natürlich physisch dabei, oder etwa nicht? Auf einer Reise lief meine Kreditkarte ab, ganz ohne Handy. Das war aufwändig und nervig, glauben Sie mir.

Das können Sie tun

Verwenden Sie biometrische Verfahren in der Öffentlichkeit. Wenn Sie davon ausgehen, nicht entführt zu werden oder man Ihnen mit Folter drohen könnte. Aber das ist ein ganz anderer Fall. Stellen Sie sicher, dass nach der Nutzung das Gerät sofort gesperrt wird und nicht erst nach 10 Minuten.

Wenn Sie am Bankautomaten Geld abheben, sind Schutzmechanismen zu sehen, über den Tasten. Denken Sie an diese, wenn Sie in der Öffentlichkeit eine Pin auf Ihrem Handy eingeben. Ist jemand in der Nähe? Schaut jemand?

Nutzen Sie eine längere Pin. Vier Ziffern erlauben viele Systeme nicht mehr, aber sechs Ziffern à la 111111 helfen auch nicht. Machen Sie es den Dieben schwerer. Je öfter Sie diese eingeben, desto schneller werden Sie. Das macht es den Dieben schwerer. 

Besser noch: Längere Pins. Meine ist 12 Zeichen. Ich habe diese so oft eingegeben, dass ich mich an die Ziffern nur schwer erinnere, aber meine Finger kennen genau den Rhythmus und sind damit so schnell, dass es mir schwer fällt zu glauben, dass das jemand wirklich mitbekommt und sich merken kann. Denken Sie aber auch daran, dass es überall Kameras gibt und Sie vielleicht die Kamera eines Diebes nicht sehen. Trotzdem: Länger ist besser. Ich kenne Sicherheitsmenschen, die haben eine 20-stellige Pin. Oder/und alphanumerisch.

Denken Sie immer daran: Die Pin geht immer, die muss sicher sein. Auch wenn Sie fast immer Face/Touch-ID verwenden.

Wichtige Apps schützen

Als nächstes können Sie schauen, ob Ihre Apps die Möglichkeit bieten, den Start der App zu schützen. 

Drei Optionen (nicht pro App, sondern allgemein)

1. Sie haben keine Möglichkeit, die App zu schützen. Das gibt es oft bei Apps, bei denen das auch nicht nötig ist, oder wollen Sie jedes Mal bei der Wetterabfrage eine Pin eingeben müssen? Welche Daten wollen Sie damit schützen?

2. Die App bietet die Möglichkeit, den Pin des Handys zum Entsperren zu verwenden. Ggf. auch mit biometrischen Verfahren wie Touch-ID oder Face-ID.
Das hilft, wenn der Dieb das Gerät im entsperrten Zustand geklaut hat aber die Pin nicht kennt. Diese Apps kann er nicht starten, da er weder Ihren Fingerabdruck noch Ihre Pin hat. Tutanota, eine meiner bevorzugten Mail-Apps, bietet das an, ebenso Signal.

3. Die App bietet eine separate Methode an. Sie können eine andere Pin als beim Entsperren und ggf. auch biometrische Verfahren verwenden. Standard Notes bietet das an, aber auch andere Apps wie Threema oder Protonmail.

Bei Banking Apps müssen Sie schauen, was angeboten wird. Da ich keine auf meinen mobilen Geräten verwende, weiss ich das nicht.

Welche Apps schützen

Ganz genau sollten Sie bei den Apps schauen, die sicher sein müssen. Ihre Authenticator App, wenn Sie diese auf dem Handy verwenden. Die App, mit der Sie Ihre Standard-E-Mails abholen, die, auf der die Passwörter zurückgesetzt werden, sollte unbedingt geschützt werden. Natürlich auch die Passwortmanager App. 

Sie müssen das nicht immer machen, vielleicht nicht, wenn Sie in Deutschland zu Hause krank im Bett liegen. Aber es gibt Länder, wenn ich in diese Reise, überprüfe ich das alles auf dem Flug dorthin. Das kann auch dazu führen, dass ich Apps deinstalliere, wenn sie nicht den gewünschten Schutz bieten.

Ich verwende Standard Notes nicht nur für die Notizen des täglichen Lebens, es ist auch meine Authenticator App. Standard Notes bietet dafür ganz vorzügliche Möglichkeiten. Zum einen kann ich die gesamte App separat schützen. Aber wen interessieren schon meine Notizen. Daher bietet Standard Notes ausserdem an, einzelne Notes zu schützen. Für die paranoiden: Sie schützen die App und dann nochmal die Note, in der die ganzen 2FA-Codes erzeugt werden. Oder aber Sie lassen Standard Notes offen und sichern nur die Notizen, die Sie als wertvoll erachten. Wenn alles wertvoll ist, sichern Sie die App und lassen alle Notizen ungeschützt. Ihrer Paranoia sind hier nur wenige Grenzen gesetzt.

Bedenken Sie, welche Daten, Zugriffe und Apps Sie schützen wollen und müssen. Für den Notfall.