DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Sta­gefright ist der Star auf der Blackhat

Die meisten Android-Handys können mit einer ein­fachen MMS oder einer Mul­ti­me­dia­datei gehackt werden.

 

 

Die Blackhat ist eine inter­na­tionale Kon­ferenz, auf der weltweit IT-Sicher­heits­­­be­auf­­tragte und „gute“ Hacker zusam­men­ge­bracht werden. Schon im Vorfeld lassen sich hier die Trends aus­machen, die IT-Security-Fach­­leute in den nächsten 12 Monaten haupt­sächlich beschäf­tigen werden. Die größte Auf­merk­samkeit erhielt dieses Jahr Sta­gefright, eine Sicher­heits­lücke für Android-Systeme, die im mobilen Bereich wohl die­selben Ausmaße annehmen kann, wie Heart­bleed in Netz­werken.

Warum Sta­gefright so furcht­erregend für Sicher­heits­ex­perten ist, lässt sich leicht aus­machen. Android ist das meist­ver­breitete Betriebs­system für mobile Geräte weltweit. Der Bug in der Mul­ti­me­di­a­wi­e­der­ga­be­ma­schine von Android macht 95 % aller Android-Geräte anfällig dafür. Der Angreifer muss dafür eigentlich nur die Mobil­funk­nummer seines poten­zi­ellen Opfers kennen. Dann kann er eine Medi­en­datei, bei­spiels­weise eine MMS, ver­schicken und einfach abwarten bis die Schad­software über­nimmt. Das Opfer muss gar nichts tun, da Sta­gefright keine Inter­aktion benötigt. Sobald die Datei an das Smart­phone gesendet wurde, kann sie dort sofort aktiv werden und Ver­än­de­rungen vor­nehmen.


Schla­fende Hunde wecken
Wie immer bei Sicher­heits­lücken, gibt es auch für Sta­gefright Patches, aber hier hat Android im Ver­gleich zu Apples Betriebs­system iOS einen gewal­tigen Nachteil. Während Apple auf­grund seiner ver­trieb­lichen Struktur alle End­geräte gleich­zeitig patchen kann, haben beim mobilen Betriebs­system Android ver­schieden Player, wie Mobil­funk­be­treiber oder Gerä­te­her­steller ihre Hände im Spiel. Daher wird nicht jeder Anwender recht­zeitig patchen können. Eine Tat­sache, die sich findige Hacker leider zunutze machen werden. Denn erkannt und gemeldet wurde Sta­gefright bereits im April. Google hat auch zeitnah ent­spre­chende Patches bereit­ge­stellt. Sobald die Red­ner­bei­träge für die Blackhat bekannt waren, erreichte Sta­gefright aber große Auf­merk­samkeit in den Medien. Und das ist die Kehr­seite beim Bekannt­werden einer Sicher­heits­lücke. Man kann zwar ver­suchen, sich aktiv dagegen zu schützen, aber auch Hacker, die diese Schwach­stelle noch nicht im Visier hatten, wissen nun wo sie aktiv werden können.

Bild: © Erwin Lorenzen / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekann­ten­kreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.