<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

25.05.12

Verlust von Smartphone oder Tablet: Wenn mobile Geräte zum Sicherheitsrisiko werden

Mobile, mit der Cloud verbundene Geräte werden immer mehr zum Dreh- und Angelpunkt unseres Alltags - und damit auch zum potenziellen Sicherheitsrisiko. Vorkehrungen für den Fall von Verlust oder Diebstahl sind sinnvoll.

Der vor gut einer Woche propagierte digitale Minimalismus hat (mindestens) einen entscheidenden Nachteil: Je mehr man bestrebt ist, möglichst alle Aspekte des beruflichen und privaten Alltags über möglichst wenige, dafür aber sehr leistungsfähige Gerätschaften abzuwickeln, desto größer ist die Abhängigkeit von selbigen, und desto wichtiger ist es, die Kontrolle über Notebook, Smartphone und Tablet zu behalten. Gelangen diese und die auf ihnen gespeicherten Informationen und Benutzerkonten in falsche Hände, kann dies zu einer Vielzahl von unangenehmen Szenarien führen. Insofern sollte jeder digitale Minimalist, aber eigentlich auch jeder andere aktive Nutzer von modernen, mit dem Internet verbundenen portablen Computern sich über eine Notfall-Strategie Gedanken machen. Wie verfährt man in einer Situation, in der einem ein mit vielen Apps und persönlichen Daten bestücktes Smartphone oder Tablet abhanden kommt? Welche Schritte sollte man einleiten, welche Passwörter zuerst ändern und welche Maßnahmen ergreifen, um möglichst schon im Vorfeld für Schadensbegrenzung zu sorgen? Da mir gestern mein iPhone abhanden gekommen ist und vermutlich gestohlen wurde, erhielt ich die Gelegenheit, mich intensiv mit dieser Frage zu beschäftigen.

Anders, als in diesem Beitrag empfohlen, hatte ich mir bisher weniger Gedanken darüber gemacht, wie ich in einem solchen Fall verfahren muss. Insofern war schnelles Improvisieren angesagt. Vorweg: Es handelte sich um ein iPhone 4, dessen Garantie abgelaufen war und dessen Home-Button in letzter Zeit den Eindruck machte, bald seinen Geist aufzugeben. Um die Hardware trauere ich somit eher weniger (auch wenn es ärgerlich ist). Sehr viel problematischer ist der immaterielle "Besitz", der einem beim Diebstahl aus den Fingern gleitet.

Glücklicherweise bin ich grundsätzlich darauf bedacht, präventive Vorkehrungen zu treffen, um mein digitales Ich vor dem Zugriff durch Unbefugte zu schützen. Eine Passcode-Sperre für mein Smartphone war für mich schon immer selbstverständlich - auch ohne negative Erfahrungen mit geklauten Mobiltelefonen. Damit musste ich nach dem Entdecken des iPhone-Verlusts schon einmal nicht in Panik ausbrechen. Sicherlich lässt sich der Passwortschutz entfernen, aber Zeit gewinnt man in jedem Fall.

Zuerst versuchte ich, meine eigene Mobilfunknummer anzurufen. Doch das Telefon war abgeschaltet. Da ich es zwei Stunden zuvor voll aufgeladen hatte, halte ich es für unwahrscheinlich, dass ein leerer Akku dafür verantwortlich war. Deshalb ließ sich leider die in iCloud enthaltene "Find my iPhone"-Funktion nicht nutzen. Deren Aktivierung ist sehr zu empfehlen, hilft aber nicht, wenn Langfinger iPhone oder iPad rechtzeitig ausschalten (oder die Internetverbindung kappen).

Immerhin: Das Feature, mit dem sich iOS-Geräte aus der Ferne sperren oder löschen lassen, erlaubt es, diese Aktionen dennoch zu initiieren. Sollte das entsprechende Geräte doch nochmal ans Netz gehen, solange es über das persönliche Apple-Konto angemeldet ist, erfolgt umgehend die Sperrung oder Löschung.

Oberste Priorität: Online-Passwörter ändern

Nachdem ich mich mit dem Gedanken angefreundet hatte, dass mein Smartphone mit großer Wahrscheinlichkeit gestohlen wurde, ohne dass ich es noch irgendwie "retten" konnte, hastete ich unverzüglich zu meinem Notebook, um alle wichtigen Passwörter von installierten Apps zu ändern. Zwar bewertete ich das Risiko, dass der Dieb Zugang zu diesen erhalten würde, aufgrund oben beschriebener Maßnahmen als sehr gering. Dennoch wollte ich auf Nummer sicher gehen. Gerade für jemanden, der auf vielen Kanälen im Web präsent ist und persönliche Daten an verschiedenen Orten in der Cloud speichert, wäre ein "Datenleck" ungünstig.

Im Geiste ging ich durch meine installierten iPhone-Apps - soweit ich mich erinnern konnte - und versuchte mich an einer spontanen Beurteilung der Sensibilität der darüber zugänglichen Daten. Entstanden ist folgende Liste von Diensten, deren Passwörter ich unverzüglich änderte. Diese sieht natürlich bei jedem und jeder anders aus. Ich werde meine aber künftig parat haben und für mich auch aktuell halten, um in Zukunft keine Zeit mehr verlieren zu müssen:

Facebook

Google

IMAP/Pop3 E-Mail-Konto

Dropbox

Instagram

Skype

Evernote

Spotify

Twitter

Wordpress

iCloud

Path

foursquare

Xing

LinkedIn

Dropbox-App mit kritischer Lücke

Nachdem ich über den Browser das jeweilige Passwort veränderte hatte, erforderten die meisten Apps nach einem Öffnen die Eingabe der Benutzerdaten. Enttäuschend ist hier allerdings Dropbox - trotz einer Passwortänderung auf der Website gewährt die iOS-App weiterhin Zugriff auf sämtliche persönlichen Dateien (und damit meine ich nicht nur die, die man für den Offline-Zugriff ausgewählt hat). Immerhin weiß ich jetzt, dass die App eine eigene Passcode-Sperre anbietet, die mir bisher nicht bekannt war. Dennoch: Bei vorhandener Internetverbindung und geänderten Zugangsdaten sollte Dropbox diese von Nutzern der iOS-App auch abverlangen!

Nachtrag: Leser Aaron weist auf die Möglichkeit hin, über den Admin-Bereich der Dropbox-Website einzelne angeschlossene Geräte von der persönlichen Dropbox abzukoppeln. Ein Passwortwechsel ist dann gar nicht notwendig. Das ändert jedoch nichts an der Tatsache, dass im Falle eines neuen Passworts der Zugang über die Apps nicht mehr möglich sein sollte.

Nicht ganz perfekt lässt sich die Absicherung von über IMAP abgerufenen E-Mail-Konten handhaben. Zwar kann mit einem neuen Mail-Passwort der künftige Zugriff auf neue Mails vom iPhone unterbunden werden. Die Mail-App von iOS speichert aber aktuelle Mails offline. In Augenblicken ohne funktionierende Internetverbindung ist dies praktisch. Wenn man jedoch weiß, dass sich das Smartphone in fremden Händen befindet und (zumindest bei nicht vorhandenem Passcode und fehlender Fern-Sperrung über "Find my iPhone") einige Mails unweigerlich abrufbar sind, dann hinterlässt dies schon ein ungutes Gefühl.

Private Fotos befanden sich aufgrund einer erst vor einer Woche durchgeführten Neuformatierung meines Smartphones so gut wie gar keine auf dem Gerät.

Erst nachdem ich den Eindruck gewonnen hatte, alle essentiellen Benutzerkonten abgesichert zu haben, nahm ich Kontakt mit meinem Provider auf, um die SIM-Karte zu sperren. Früher war dies das erste, was man beim Verlust das Handys getan hätte. Im Jahr 2012 sind andere Dinge wichtiger.

Insgesamt glaube ich, dass sich abgesehen vom bürokratischen Aufwand, den der Verlust eines Mobiltelefons mitbringt (Anzeige bei der Polizei, Versicherung), sowie der verlorenen Zeit durch das Ändern aller Passwörter der Schaden für mich in Grenzen hält. Insofern sehe ich das Ereignis auch als willkommene Gelegenheit, einmal den Worst Case zu testen und mir eine Strategie für künftige Vorkommnisse dieser Art auszudenken.

Meine persönlichen Tipps für Besitzer von Smartphones und Tablets:

1. Passwortschutz aktivieren, selbst wenn er lästig ist

2. Liste mit Apps/Diensten anfertigen, deren Passwörter man im Ernstfall sofort ändern sollte

3. Nicht zu viele Passwörter im Browser speichern

4. Gegebenenfalls manuelles Einloggen in Apps praktizieren

5. Sicherstellen, dass so wenige (sensible) Mails wie möglich offline abrufbar sind

6. Mit sensiblen lokal gespeicherten Informationen sparsam sein

Habt ihr weitere Tipps? Besitzt ihr einen (gedanklichen) Notfallplan? Und wo wir schon dabei sind: Welche Tools oder Vorgehensweisen sind empfehlenswert, um Daten auf Notebooks (Windows oder Mac) besser zu schützen?

Förderland-Newsletter

Wissen für Gründer und Unternehmer