DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Handy Tro­janer

Handy-Trojaner

Offenbar wurden nun auch in Deutschland Nutzer von Android-Smar­t­­phones Opfer von Angriffen. In den Medien wurde zum Teil unter der Über­schrift „Handy Tro­janer“ darüber berichtet. Was steckt aber wirklich dahinter und wie sieht sinn­voller Schutz aus?

Vor einigen Tagen stol­perte ich über den Bericht „Handy-Tro­­janer räumt Konten leer“ (Quelle: Spiegel.de). Dass es mit der Sicherheit von Smart­phones noch eher schlecht bestellt ist und ins­be­sondere Apps im Hin­ter­grund eine Vielzahl von Mög­lich­keiten zum Über­tragen von Daten haben ist bekannt. Aber was ist ein „Handy Tro­janer“ ganz konkret?

Grundlage des Artikels ist eine Warnung der Ber­liner Polizei: Darin wird über ein Ver­fahren berichtet, das bereits 2010 in Spanien zum Einsatz kam. Es ist nun erstmals in Deutschland ange­wendet worden und hat dazu geführt, dass die Konten meh­rerer Betrof­fener leer­ge­räumt wurden. Alle Geschä­digten nutzten Online-Banking mit dem an sich relativ sicheren SMS-TAN-Ver­­­fahren (siehe Blog­beitrag “Online-Banking mit dem Smart­phone”) und hatten Smart­phones mit dem Betriebs­system Android im Einsatz.

Wie kam es dazu?
In all diesen Fällen wurde ein Tro­janer auf dem Com­puter der Betrof­fenen ein­ge­schleust und damit zunächst die Zugangs­daten zu den Online-Konten aus­ge­späht. Durch einen Hinweis im Browser wurde den Betrof­fenen vor­ge­gaukelt, sie müssten ihr Smart­phone mit einem Sicher­heits-Update schützen und dafür ihre Han­dy­nummer sowie das Han­dy­m­odell angeben. Das ver­meint­liche Sicher­heits-Update wurde dann per Link auf das Smart­phone geschickt und vom Benutzer in gutem Glauben instal­liert. Natürlich leitet dieses „Sicher­heits-Update“ per SMS ver­sendete TAN-Nummern an ein anderes Handy um. Bis der Betroffene mit­be­kommt was pas­siert, sind bereits mehrere Über­wei­sungen von seinem Konto erfolgt.

Wie können Sie sich schützen?
Es handelt sich also nicht um einen „Handy-Tro­­janer“, der unbe­merkt und ohne Zutun des Handy-Nutzers ein­ge­schleust wird! Ganz im Gegenteil: Aus­löser ist ein her­kömm­licher aus der PC-Welt bekannter PC-Tro­­janer. Zum Knacken des SMS-TAN-Ver­­­fahrens kommt leider eine erschre­ckende Tat­sache dazu: Die betrof­fenen Nutzer der Smart­phones haben alle War­nungen und Grund­regeln im Inter­net­verkehr gründlich miss­achtet.  Diese sind:

  • Niemals aus fremden Quellen Software instal­lieren! Erst recht nicht über einen zuge­sandten Link auf Ihrem Smartphone.
  • Bleiben Sie immer miss­trauisch! Instal­lieren Sie Apps nur wenn Sie sie wirklich benö­tigen und nur aus ver­trau­ens­wür­digen Quellen. Beachten Sie bei Android-Smar­t­­phones die vor der Instal­lation ange­zeigten Berech­ti­gungen und hin­ter­fragen Sie, ob Sie der App und damit deren Ent­wicklern wirklich diesen Zugriff geben wollen.

Eine schöne Beschreibung der Schutz­maß­nahmen, die Nutzer von Android-Smar­t­­phones treffen sollten, findet sich eben­falls auf Spiegel-Online: Denken Sie daran: Da Smart­phones immer mehr Ver­breitung finden, werden diese natürlich auch immer mehr in den Fokus Kri­mi­neller wandern und damit wird immer mehr Schad­software in Umlauf kommen.

Bild: © Niko Korte / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.