Telefoniert-nach-hause.de, so heißt ein Wiki, das Informationen darüber sammelt, welche Daten kleine und große Software-Spione denn so von Smartphones, Tablets und PCs abgreifen. Das Wiki führt Analysen von Sicherheitsexperten an. Und häufig greifen die Mitglieder auch selbst zu einem Hacker-Tool, um gewisser Maßen einen eigenen Rechner anzugreifen, wo sie ein verdächtiges Stück Software installiert haben, erläutert Christian Drieling, der Gründer des Wikis:
"Mit diesem Programm lauscht man quasi am eigenen Netzwerkkabel oder an der WLAN-Schnittstelle und kann sich alle Pakete, die da durchlaufen anschauen."
Es sei denn der Datentransport von der verdächtigen Software zum Server des Herstellers ist verschlüsselt. Dann ist es schwieriger. Dann verwendet die verdächtige Software den öffentlichen Schlüssel des Herstellers, sodass der Datenstrom nur mit dessen geheimem wieder entschlüsselt werden kann. Und dass es sich auch wirklich um den öffentlichen Schlüssel des Empfängers handelt, das bestätigt ein Zertifikat. Wenn ein derartiger Datenstrom über Rechner läuft, auf die der Angreifer nicht zugreifen kann, dann ist er nur schwer zu knacken.
"Wenn ich mich aber in einer kontrollierten Umgebung wie zum Beispiel meinem Zuhause befinde - es ist mein Computer - dann hab' ich die Möglichkeit, dem Betriebssystem auch mitzuteilen, dass es anderen Zertifikaten vertrauen soll als den offiziell ausgestellten. So habe ich dann die Möglichkeit, meinem Programm, was mit seinem Hersteller kommunizieren möchte, zu sagen, dass ich der Hersteller bin. Das Ganze nennt man dann quasi die klassische Man-in-the-middle-Attacke. Aber in dem Fall ist es dann natürlich ein positiver Einsatz, um zu sehen, was geht von meiner Software ins Internet und zum Hersteller."
Einer Software, der die Wiki-Macher durch Abhören und Entschlüsseln des Datenverkehrs auf die Schliche gekommen sind, wenn auch nicht vollständig, ist ein Banking-Programm. Ein besonders sensibler Fall:
"Bei dem Starmoney-Artikel geht es darum, dass Mitglieder, die an diesem Wiki mitarbeiten, herausgefunden haben, dass bei jeder Transaktion, die durchgeführt wird, also bei jeder Überweisung, bei jedem Konto-Abruf Pakete zum Hersteller geschickt werden. Und zwar sind es immer zwei Pakete, die mitgeschickt werden. Das Problem an der Sache ist, dass sie nicht nur über einen verschlüsselten Transport-Weg verschickt werden, also über https, sondern dass auch noch mal der Inhalt separat verschlüsselt ist und nur vom Hersteller entschlüsselt werden kann."
Smartphone-Apps und sensible Nutzerdaten
Besonders mitteilungsbedürftig sind Smartphone-Apps. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit hat 10.000 davon untersucht. Ironisch spricht es von einem "Sendungsbewusstsein" der Apps. An 4.358 Server in aller Welt versenden die getesteten Android-Apps Daten - üblicher Weise, ohne dass der Nutzer sich dessen bewusst ist. Das liegt daran, dass in viele der kleinen Programme Werbemodule eingebaut sind. Die Funktionen, deretwegen der Nutzer die Apps installiert, sind hingegen häufig unproblematisch.
Die Werbemodule wiederum verlangen bei der Installation Zugriff auf sensible Nutzerdaten. Die wollen sie, damit ihre Entwickler oder deren Kundschaft personalisiert werben können. Vielleicht auch noch aus anderen Gründen. Die IT-Sicherheitsfirma Lookout hat den Anspruch, alle Apps unter die Lupe zu nehmen. Mehrere Millionen hat sie untersucht. Ein Ergebnis: Rund die Hälfte der Android-Apps verlangt - und hat, wenn installiert - Zugriff auf die Standortdaten und auf die Gerätekennung. Das Unternehmen hat deshalb eine Art Verhaltenskodex für die Entwickler von Werbemodulen vorgeschlagen, erläutert Marc Rogers von Lookout.
"Sie dürfen nicht das Adressbuch ohne Erlaubnis auslesen. Sie dürfen nicht die Telefonnummer ohne Erlaubnis abgreifen. In der Folge dessen hat Google Ende letzten Jahres eine Richtlinie für Werbemodule in Kraft gesetzt und eine erhebliche Zahl von Apps aus seinem Web-Store genommen, um diese Art von Software zurückzudrängen."
Allein: An Konzerne wie Google, Apple oder Microsoft zu appellieren, sie möchten sich doch quasi als Datenschutzbeauftragte ihrer App-Shops verhalten, so was nennt man in der anlogen Welt: den Bock zum Gärtner machen.
