<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

25.05.12Leser-Kommentare

Verlust von Smartphone oder Tablet: Wenn mobile Geräte zum Sicherheitsrisiko werden

Mobile, mit der Cloud verbundene Geräte werden immer mehr zum Dreh- und Angelpunkt unseres Alltags - und damit auch zum potenziellen Sicherheitsrisiko. Vorkehrungen für den Fall von Verlust oder Diebstahl sind sinnvoll.

Der vor gut einer Woche propagierte digitale Minimalismus hat (mindestens) einen entscheidenden Nachteil: Je mehr man bestrebt ist, möglichst alle Aspekte des beruflichen und privaten Alltags über möglichst wenige, dafür aber sehr leistungsfähige Gerätschaften abzuwickeln, desto größer ist die Abhängigkeit von selbigen, und desto wichtiger ist es, die Kontrolle über Notebook, Smartphone und Tablet zu behalten. Gelangen diese und die auf ihnen gespeicherten Informationen und Benutzerkonten in falsche Hände, kann dies zu einer Vielzahl von unangenehmen Szenarien führen. Insofern sollte jeder digitale Minimalist, aber eigentlich auch jeder andere aktive Nutzer von modernen, mit dem Internet verbundenen portablen Computern sich über eine Notfall-Strategie Gedanken machen. Wie verfährt man in einer Situation, in der einem ein mit vielen Apps und persönlichen Daten bestücktes Smartphone oder Tablet abhanden kommt? Welche Schritte sollte man einleiten, welche Passwörter zuerst ändern und welche Maßnahmen ergreifen, um möglichst schon im Vorfeld für Schadensbegrenzung zu sorgen? Da mir gestern mein iPhone abhanden gekommen ist und vermutlich gestohlen wurde, erhielt ich die Gelegenheit, mich intensiv mit dieser Frage zu beschäftigen.

Anders, als in diesem Beitrag empfohlen, hatte ich mir bisher weniger Gedanken darüber gemacht, wie ich in einem solchen Fall verfahren muss. Insofern war schnelles Improvisieren angesagt. Vorweg: Es handelte sich um ein iPhone 4, dessen Garantie abgelaufen war und dessen Home-Button in letzter Zeit den Eindruck machte, bald seinen Geist aufzugeben. Um die Hardware trauere ich somit eher weniger (auch wenn es ärgerlich ist). Sehr viel problematischer ist der immaterielle "Besitz", der einem beim Diebstahl aus den Fingern gleitet.

Glücklicherweise bin ich grundsätzlich darauf bedacht, präventive Vorkehrungen zu treffen, um mein digitales Ich vor dem Zugriff durch Unbefugte zu schützen. Eine Passcode-Sperre für mein Smartphone war für mich schon immer selbstverständlich - auch ohne negative Erfahrungen mit geklauten Mobiltelefonen. Damit musste ich nach dem Entdecken des iPhone-Verlusts schon einmal nicht in Panik ausbrechen. Sicherlich lässt sich der Passwortschutz entfernen, aber Zeit gewinnt man in jedem Fall.

Zuerst versuchte ich, meine eigene Mobilfunknummer anzurufen. Doch das Telefon war abgeschaltet. Da ich es zwei Stunden zuvor voll aufgeladen hatte, halte ich es für unwahrscheinlich, dass ein leerer Akku dafür verantwortlich war. Deshalb ließ sich leider die in iCloud enthaltene "Find my iPhone"-Funktion nicht nutzen. Deren Aktivierung ist sehr zu empfehlen, hilft aber nicht, wenn Langfinger iPhone oder iPad rechtzeitig ausschalten (oder die Internetverbindung kappen).

Immerhin: Das Feature, mit dem sich iOS-Geräte aus der Ferne sperren oder löschen lassen, erlaubt es, diese Aktionen dennoch zu initiieren. Sollte das entsprechende Geräte doch nochmal ans Netz gehen, solange es über das persönliche Apple-Konto angemeldet ist, erfolgt umgehend die Sperrung oder Löschung.

Oberste Priorität: Online-Passwörter ändern

Nachdem ich mich mit dem Gedanken angefreundet hatte, dass mein Smartphone mit großer Wahrscheinlichkeit gestohlen wurde, ohne dass ich es noch irgendwie "retten" konnte, hastete ich unverzüglich zu meinem Notebook, um alle wichtigen Passwörter von installierten Apps zu ändern. Zwar bewertete ich das Risiko, dass der Dieb Zugang zu diesen erhalten würde, aufgrund oben beschriebener Maßnahmen als sehr gering. Dennoch wollte ich auf Nummer sicher gehen. Gerade für jemanden, der auf vielen Kanälen im Web präsent ist und persönliche Daten an verschiedenen Orten in der Cloud speichert, wäre ein "Datenleck" ungünstig.

Im Geiste ging ich durch meine installierten iPhone-Apps - soweit ich mich erinnern konnte - und versuchte mich an einer spontanen Beurteilung der Sensibilität der darüber zugänglichen Daten. Entstanden ist folgende Liste von Diensten, deren Passwörter ich unverzüglich änderte. Diese sieht natürlich bei jedem und jeder anders aus. Ich werde meine aber künftig parat haben und für mich auch aktuell halten, um in Zukunft keine Zeit mehr verlieren zu müssen:

Facebook

Google

IMAP/Pop3 E-Mail-Konto

Dropbox

Instagram

Skype

Evernote

Spotify

Twitter

Wordpress

iCloud

Path

foursquare

Xing

LinkedIn

Dropbox-App mit kritischer Lücke

Nachdem ich über den Browser das jeweilige Passwort veränderte hatte, erforderten die meisten Apps nach einem Öffnen die Eingabe der Benutzerdaten. Enttäuschend ist hier allerdings Dropbox - trotz einer Passwortänderung auf der Website gewährt die iOS-App weiterhin Zugriff auf sämtliche persönlichen Dateien (und damit meine ich nicht nur die, die man für den Offline-Zugriff ausgewählt hat). Immerhin weiß ich jetzt, dass die App eine eigene Passcode-Sperre anbietet, die mir bisher nicht bekannt war. Dennoch: Bei vorhandener Internetverbindung und geänderten Zugangsdaten sollte Dropbox diese von Nutzern der iOS-App auch abverlangen!

Nachtrag: Leser Aaron weist auf die Möglichkeit hin, über den Admin-Bereich der Dropbox-Website einzelne angeschlossene Geräte von der persönlichen Dropbox abzukoppeln. Ein Passwortwechsel ist dann gar nicht notwendig. Das ändert jedoch nichts an der Tatsache, dass im Falle eines neuen Passworts der Zugang über die Apps nicht mehr möglich sein sollte.

Nicht ganz perfekt lässt sich die Absicherung von über IMAP abgerufenen E-Mail-Konten handhaben. Zwar kann mit einem neuen Mail-Passwort der künftige Zugriff auf neue Mails vom iPhone unterbunden werden. Die Mail-App von iOS speichert aber aktuelle Mails offline. In Augenblicken ohne funktionierende Internetverbindung ist dies praktisch. Wenn man jedoch weiß, dass sich das Smartphone in fremden Händen befindet und (zumindest bei nicht vorhandenem Passcode und fehlender Fern-Sperrung über "Find my iPhone") einige Mails unweigerlich abrufbar sind, dann hinterlässt dies schon ein ungutes Gefühl.

Private Fotos befanden sich aufgrund einer erst vor einer Woche durchgeführten Neuformatierung meines Smartphones so gut wie gar keine auf dem Gerät.

Erst nachdem ich den Eindruck gewonnen hatte, alle essentiellen Benutzerkonten abgesichert zu haben, nahm ich Kontakt mit meinem Provider auf, um die SIM-Karte zu sperren. Früher war dies das erste, was man beim Verlust das Handys getan hätte. Im Jahr 2012 sind andere Dinge wichtiger.

Insgesamt glaube ich, dass sich abgesehen vom bürokratischen Aufwand, den der Verlust eines Mobiltelefons mitbringt (Anzeige bei der Polizei, Versicherung), sowie der verlorenen Zeit durch das Ändern aller Passwörter der Schaden für mich in Grenzen hält. Insofern sehe ich das Ereignis auch als willkommene Gelegenheit, einmal den Worst Case zu testen und mir eine Strategie für künftige Vorkommnisse dieser Art auszudenken.

Meine persönlichen Tipps für Besitzer von Smartphones und Tablets:

1. Passwortschutz aktivieren, selbst wenn er lästig ist

2. Liste mit Apps/Diensten anfertigen, deren Passwörter man im Ernstfall sofort ändern sollte

3. Nicht zu viele Passwörter im Browser speichern

4. Gegebenenfalls manuelles Einloggen in Apps praktizieren

5. Sicherstellen, dass so wenige (sensible) Mails wie möglich offline abrufbar sind

6. Mit sensiblen lokal gespeicherten Informationen sparsam sein

Habt ihr weitere Tipps? Besitzt ihr einen (gedanklichen) Notfallplan? Und wo wir schon dabei sind: Welche Tools oder Vorgehensweisen sind empfehlenswert, um Daten auf Notebooks (Windows oder Mac) besser zu schützen?

Kommentare

  • Dominik

    25.05.12 (13:05:12)

    habe überall Find My iPhone App installiert. Damit lassen sich die Geräte lokalisieren, remote sperren oder remote löschen.

  • Martin Weigert

    25.05.12 (13:07:18)

    Jo aber wie ich im Artikel schreib - nur dann, wenn die Geräte online sind.

  • Aaron

    25.05.12 (14:45:21)

    Zu Dropbox: Du kannst doch unter https://www.dropbox.com/account#manage die Verknüpfung zu dem gestohlenen iPhone aufheben. Dann ist von dem entsprechenden Gerät kein Zugriff mehr möglich. Insofern brauchst Du noch nicht einmal das Passwort Deines Dropbox Accounts zu ändern.

  • Martin Weigert

    25.05.12 (14:48:40)

    Das ist interessant. Diese Lösung war mir nicht bewusst. Das ist zwar erst einmal gut, dass Dropbox dies so einräumt. Aber als Nutzer ist man eben von den meisten anderen Apps auch ein anderes Verhalten gewöhnt. Wenn man aber das Passwort ändert (was für die meisten User der erste Gedanke sein wird), dann sollte Dropbox trotzdem den ungehinderten Zugriff durch die Apps unmöglich machen.

  • Raphael

    25.05.12 (16:21:00)

    Danke für den Artikel, diese Problematik beschäftigt mich ebenfalls seit einer Weile. Find my iPhone hilft eben leider nur bei unbedarften Dieben. Schaltet man das iPhone sofort aus, nimmt dann die SIM-Karte raus und schaltet das iPhone erst wieder in einer WLAN-freien Umgebung ein, so kann man das WLAN ausschalten und Find my iPhone hatte kein einziges mal eine Möglichkeit mit dem iPhone in Kontakt zu treten. Bedenkt man dann noch, dass ein PIN-Code via Jailbreak trivial "weggebruteforcet" werden kann, bekommt die hier beschriebene Problematik absolut reale Züge. Es würde ja schon helfen, wenn zum Ausschalten die PIN eingegeben werden müsste. Das würde zeitlichen Spielraum zum Senden des Remote-Wipes schaffen. Aber wahrscheinlich gibt's bis dahin iPhone-Boxen für Diebe, die kein Signal nach außen lassen oder so.

  • Manuel

    25.05.12 (17:02:05)

    Ich glaube man muss sich zwischen zwei Varianten entscheiden: Sicherheit oder Spass (und evtl. Gerät zurück) Für die Sicherheit ist eine "Full Device Encryption" sicher ideal. Damit wird der neue Besitzer nicht an die Daten kommen, aber ziemlich bald das Device resetten. So werden dann auch Ortungs-Apps gelöscht. Wenn man keine sensiblen Daten auf dem Gerät hat, kann man ein Tool wie Prey (http://preyproject.com/) installieren. Damit lassen sich remote Screenshots erstellen, Bilder abgreifen, Ortungen per GPS durchführen etc.

  • Julian

    25.05.12 (18:46:06)

    Bei Androidgeräten gibt es "Theft Aware". Blockiert auf SMS Kommando das Gerät, lässt es unabschaltbar lärmen, ortet es usw usw. Mit Root Funktionalität wird es außerdem unsichtbar UND überlebt selbst einen Factory Reset... Ansonsten (grade für Verlust von Notebook und Co) sind 2 Factor Authentications sehr nützlich. Google (und afaik Facebook) bieten so was zum Beispiel an.

  • Jens

    25.05.12 (18:47:07)

    also ich "find my iPhone" vor knapp zwei Jahren installiert hab, da gab es auch eine entsprechende Website zur Ortung. Kann man inzwischen nur noch über eine App darauf zugreifen? Weiß da jemand zufällig was?

  • Martin Weigert

    25.05.12 (19:12:15)

    Das geht jetzt direkt über iCloud.com

  • Jens

    25.05.12 (19:57:55)

    Danke, Martin! Hast mir sehr geholfen :)

  • Mario

    26.05.12 (08:49:58)

    Die Code-Sperre lässt sich auch so einstellen, dass sie nicht sofort, sondern erst nach 1 oder 5 Minuten aktiv wird. Das nervt weniger, gibt aber trotzdem die Sicherheit, dass das iPhone vor unbefugten Zugriff sicher ist

  • Wolfram

    26.05.12 (08:54:24)

    Nachdem ich mitbekommen habe, wie schnell jemand an die Firefox Passwörter eine Windows Benutzers gekommen ist, speichere ich keine Passwörter mehr im Web-Browser ab. Das mit den E-Mails ist mir, obwohl offensichtlich, nicht so präsent gewesen. Da weiß ich allerdings keine sinnvolle Lösung, da die Webmail-Systeme oft auf dem iPad nicht funktionieren. OK, man sollte sich wirklich mal einen Notfallplan überlegen. Wolfram

  • Kromonos

    26.05.12 (09:50:16)

    Für Android gibt es Apps wie Cerberus oder in HTC Geräten direkt in Sense integriert, mit denen sich das "verlorene" Handy Lokalisieren, löschen, sperren, verfolgen, ... lässt. Somit sind dann nur noch wenige Mausklicks nötig, um alles zu entfernen. Sogar die SD Karte wird mit gelöscht. Würde also gar nichts mehr übrig bleiben.

  • Carla

    26.05.12 (16:19:25)

    Für den Fall, dass sich mein iPhone nicht lokalisieren lässt, habe ich mir zumindest einen Schutzbrief angeschafft. So bekomme ich wenigstens ein neues und muss nicht dem Alten Sherlock Holms mäßig hinterher spionieren. Ansonsten habe ich auch ein Passwort auf dem Handy und logge mich bei den meisten Apps (Facebook/ Mail) nach jeder Sitzung aus. So muss derjenige erstmal die Passwörter herausfinden. Ansonsten ziehe ich gemachte Bilder bis auf Wallpaper immer direkt auf den Laptop und habe in meinem Adressbuch eine Nummer mit "An den lieben Finder" gespeichert. Da ist dann meine Haustelefonnummer drin. Vielleicht gibt es ja noch gute Menschen...

  • Thomas

    27.05.12 (11:36:01)

    Neben dem Passwortschutz kann man beim iPhone ergänzend einstellen, dass alle Inhalte gelöscht werden, wenn das Passwort 10mal falsch eingegeben wird. Ist vermutlich auch eher etwas, das Profis kaum abschreckt, Gelegenheitsdiebe vermutlich eher.

  • Raphael

    27.05.12 (13:45:18)

    @Julian:Theft Aware ist dann aber auch von einer aktiven Datenverbindung abhängig, oder? Wie ich oben geschrieben habe, greifen die Schußmaßnahmen des iPhones nicht. Der PIN-Code kann in wenigen Sekunden mit 100%-prozentiger Sicherheit durch Brute-Force herausgefunden werden. Dabei ist es egal, ob im iPhone eingestellt ist, dass bei 10-maliger Falscheingabe das iPhone gelöscht werden soll. Das Herausfinden des PIN-Codes findet durch den per Jailbreak ermöglichten Rootzugang statt. Ein überlegt handelnder Dieb kann also das iPhone entriegeln. Der PIN-Code wiegt insofern in trügerischer Sicherheit. Apple muss hier definitiv aktiv werden, vielleicht passiert hier in ein paar Wochen etwas mit iOS 6.

  • Martin Weigert

    27.05.12 (13:52:03)

    Danke für eure Kommentare und konstruktiven Vorschläge. Es gibt also durchaus eine Reihe von Maßnahmen, die man ergreifen kann, um es Dieben nicht allzu einfach zu machen. Aber klar ist auch: Wer an die persönlichen Daten auf dem Gerät kommen will, der schafft dies auch - wenn auch nicht unbedingt sofort. Nun vermute ich, dass die meisten Diebe an der Hardware interessiert sind, die sie verkaufen können, und nicht an persönlichen Facebook-Messages, Mails und Logins. Aber dennoch: Hier scheint noch viel Raum für Innovation zu sein. Was ich mir wünschen würde: Eine per Opt-In aktivierbare Funktion, mit der das Smartphone auch im abgeschalteten Modus von einem selbst geortet und gelöscht werden kann. Eine Lücke bleibt zwar auch so bestehen - nämlich wenn das Gerät offline ist. Trotzdem wäre es ein erneuter Zugewinn an Sicherheit. Nicht uninteressant wäre auch ein Feature, das automatisch jedes Mal, wenn ein Smartphone aus dem Ruhezustand geweckt wird, ein paar Kamerabilder schiesst und diese automatisch online für den Besitzer verfügbar macht. Somit könnte man selbst bei einem vom Dieb hastig abgeschalteten Gerät noch Indizien erhalten, was passiert ist und ggf auch, wer der Dieb ist.

  • skip

    28.05.12 (19:05:29)

    @Martin: Mach' Dich mit der Fotoidee nicht lächerlich. Selbst Neugeborene haben schon Daumen, die man auf die Linse halten kann. Ältere nehmen vielleicht einen Streifen undurchsichtiges Klebeband.

  • Martin Weigert

    28.05.12 (20:18:30)

    Stimmt, lässt sich austricksen. Eine berührungssensitive Selbstschussanlage wäre vielleicht besser ;)

  • Andreas Hobi

    31.05.12 (13:25:22)

    Da habe ich wieder etwas gelernt! Einige Tipps kannte ich schon, andere waren neu für mich. Habe mir deshalb die wichtigsten Punkte gleich notiert. Kleine Randbemerkung noch von meiner Seite betreffend deinem ausgeschalteten iPhone. Zuerst versuchte ich, meine eigene Mobilfunknummer anzurufen. Doch das Telefon war abgeschaltet. Da ich es zwei Stunden zuvor voll aufgeladen hatte, halte ich es für unwahrscheinlich, dass ein leerer Akku dafür verantwortlich war. Wenn bei der SBB ein Mobiltelefon gefunden wird - sei es im Zug oder im Bahnhof - wird es vom Personal umgehend ausgeschaltet. Der Besitzer muss es dann beim Abholen am Bahnschalter vor dem Personal entsperren; nur dann wird es herausgegeben. So wird sichergestellt, dass nicht einfach jemand "auf gut Glück" kommen kann mit der Behauptung, er habe gestern im Verlaufe des Tages - wann wisse er nicht genau - irgendwo im Hauptbahnhof Zürich ein iPhone verloren. (Dass im Verlaufe des Tages "irgendwo" im HB zu "irgendeiner Zeit" ein iPhone gefunden wird, das ist meines Erachtens sehr wahrscheinlich...) Deshalb: Ein ausgeschaltetes iPhone muss nicht zwingend negativ ausgelegt werden. Es kann auch einfach bedeuten, dass das Gerät von einem ehrlichen Finder am Bahnschalter abgegeben wurde.

  • Martin Weigert

    31.05.12 (14:33:59)

    Stimmt, berechtigter Hinweis. Ehrliche Finder sollten also lernen, dass es besser ist, das Gerät nicht einfach abzuschalten ;)

  • skip

    31.05.12 (20:07:21)

    Man muss dem ehrlichen Finder aber auch Gelegenheit geben, das iPhone zurückzugeben: http://i47.tinypic.com/b4jj47.jpg

  • Martin Weigert

    31.05.12 (20:22:21)

    Das als Wallpaper? ;)

  • skip

    31.05.12 (20:24:54)

    Genauer: Als Sperrbildschirm.

  • Martin Weigert

    31.05.12 (20:26:06)

    Nicht dumm..

  • David Grob

    06.06.13 (13:31:14)

    Mir wurde mein Samsung Tablet gestohlen. Ich hatte die GMail- und GMX-App drauf, beide mit automatischem Login / Passwort. Ich habe in der Zwischenzeit die Passwörter geändert. Wenn ich mir jetzt ein neues Samsung Tablet zulege mich wieder unter meinem Namen registriere und wiederum die GMail- und GMX-App installiere, a) kann es dann sein dass der Dieb auf dem Weg übers Internet via meinem alten Tablet irgendwie (Synchronisation) auch an die neuen Passwörter kommen kann? (sind dann zwei identische Geräte mit gleichen Apps wobei das Eine nur die neuen Passwörter bekommt) b) kann es Probleme machen wenn ich mein neues Tablet wieder mit derselben e-Mail-Adresse registriere?

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer