DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Kri­ti­scher Umgang mit dem Handy aus Sicht des Daten­schutzes

Vor­sicht Feind hört mit”

Der im Sommer 2017 ver­öf­fent­lichte Blog-Beitrag „Tech­ni­klust oder Daten­schutz­frust” betrachtete die daten­schutz­recht­lichen Risiken von elek­tro­ni­schen Sprachas­sis­tenten.

Auch wenn man es in den letzten Jahren viel­leicht nur ahnte, bes­ten­falls im Kreis pro­fes­sio­neller Sicher­heits­ex­perten dis­ku­tierte, aber nicht der breiten Masse kom­mu­ni­zierte: Spä­testens seit Ent­de­ckung der Malware „Skygofree” vor wenigen Tagen steht fest: Unsere Smart­phones hören und sehen bei ent­spre­chendem Viren­befall heimlich mit. Die Presse ist zwi­schen­zeitlich voll mit über­wiegend tech­ni­schen Infor­ma­tionen zu dem oben genannten Virus, so dass eine Wie­der­holung dieser Details hier nicht nötig ist. Dieser Blog beschäftigt sich jedoch mit den daten­schutz­recht­lichen Risiken solcher Schad­pro­gramme.

Haben Viren wie „Skygofree” und Co. den Weg auf unsere, quasi unver­zicht­baren elek­tro­ni­schen Helfer gefunden und sich im schlimmsten Fall unein­ge­schränkte Zugriffs­rechte auf das Betriebs­system ver­schafft, kann ein Angreifer mit diesen „Root-Rechten” das Handy kom­plett fern­steuern. Betroffene Anwender sind zwar noch Eigen­tümer der Hardware, haben jedoch den Besitz der Software unwis­sentlich kom­plett aus der Hand gegeben, da sie kei­nerlei Kon­trolle mehr über ihre Apps und ihre Daten haben. Darüber hinaus haben Hacker Voll­zu­griff auf alle Funk­tionen des Geräts, wie z. B. auf die Kamera und das Mikrofon — auch bei abge­schal­teten Bild­schirm.

Das ganze Ausmaß der Risiken für Anwender und Unter­nehmen ist gar nicht abschätzbar. Ver­mutlich hat Skygofree (man spricht hier von einem Staats­trojaner), in der Zeit bis zu einer Ent­de­ckung bereits vielfach anvi­sierte Betriebs­systeme (Android und ggf. auch Windows) gekapert. Die Angreifer können mit diesem oder ähn­lichen Viren heimlich und ohne Wissen und Ein­ver­ständnis des Anwenders Fotos und Videos (auch Selfies) auf­nehmen, Gespräche mit­hören und auf­zeichnen, Pass­wörter und Kon­to­ver­bin­dungs­daten aus­for­schen sowie Mails (auch ver­schlüs­selte) mit­lesen. So kann das Handy sich mit eigenen WLAN-Netzen ver­binden und sämt­liche Daten des infi­zierten Geräts heimlich auf ihre Server über­tragen. Sie können mit Iden­ti­fi­ka­ti­ons­daten im Namen des Anwenders private und geschäft­liche Nach­richten ver­fassen, falsche reli­giöse oder poli­tische Über­zeu­gungen posten, ein­kaufen, bezahlen sowie andere Per­sonen dis­kre­di­tieren. Das ist gelinde gesagt Über­wa­chung in Rein­kultur und wäre ver­mutlich der Traum jedes ehe­ma­ligen Stasi-Beamten gewesen.

Kon­kreter werden die pri­vaten und unter­neh­me­ri­schen Risiken bei näherer Betrachtung der betref­fenden Daten. Man könnte sich hierzu einige Fragen stellen:

Wo befinde ich mich gerade und wo befindet sich mein Handy? Kann ich wirklich sicher sein, dass von mir -und den Per­sonen in meinem direkten Umfeld- nicht gerade Fotos, Videos oder Gespräche auf­ge­zeichnet werden? Mit wem habe ich heute schon Nach­richten und mit welchem Inhalt aus­ge­tauscht? Habe ich in der letzten Zeit Online-Banking betrieben? Habe ich kürzlich mit meinen Freunden oder Geschäfts­kol­legen über meinen Arbeits­platz, meinen Chef, meine per­sön­lichen Vor­lieben, meine poli­ti­schen und reli­giösen Über­zeu­gungen, meinen Gesund­heits­zu­stand etc. dis­ku­tiert? Welche pri­vaten oder geschäft­lichen Fotos habe ich auf meinem Handy gespei­chert? Und nicht zuletzt: Möchte ich, dass all diese Daten und Infor­ma­tionen wei­terhin nur mir gehören oder was würde meiner Familie, meinen Freunden, meinen Kol­legen und mir schlimms­ten­falls im Fall einer unge­wollten Ver­viel­fäl­tigung oder Ver­öf­fent­li­chung pas­sieren?

Sieht man für sich bzw. das private oder beruf­liche Umfeld keine Risiken, eignet sich an dieser Stelle ein Aus­stieg aus dem Blog. Andern­falls lohnt sich ggf. die kri­tische Selbst­re­flexion mit dem eigenen Umgang seines Handys. Aktuelle Trends wie „Digital Detox”, digi­tales Fasten oder die erhöhte Nach­frage nach alten Handys ohne Smart­phone-Tech­no­logie kommen schließlich nicht von ungefähr und zeigen mit ein­fachen Maß­nahmen und Methoden, wie man auch (zeit­weise) ohne Handy und Co. aus­kommen kann. Aus daten­schutz­recht­licher Sicht gute Ansätze, um dem „großen Bruder” -zumindest teil­weise- zu ent­fliehen.

Denn eines muss klar sein: Bereits heute, spä­testens jedoch in Zeiten gesell­schaft­licher, reli­giöser oder poli­ti­scher Insta­bi­lität, ist das per­sön­liche Risiko jedes ein­zelnen glä­sernen Bürgers vor Benach­tei­ligung, Dif­fa­mierung, Ver­folgung oder Ver­treibung nicht mehr kal­ku­lierbar. Das hat sich innerhalb Europas bereits bewahr­heitet und die Geschichte wie­derholt sich bekann­ter­maßen gerne. Daher ist jeder gut beraten, die nunmehr bekannten poten­zi­ellen Spione künftig mit einer gesunden Portion Skepsis und Vor­sicht zu nutzen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Robert Lederer, DATEV eG

Dipl.-Betriebswirt (FH), Dipl.-Wirtschaftsinformatiker (FH), zer­ti­fi­zierter Daten­schutz- und IT-Security Auditor (TÜV), 5 Jahre Pro­jekt­leiter für attri­butive Qua­li­täts­si­che­rungs­systeme mit sta­tis­ti­scher Pro­zess­kon­trolle in der Auto­mobil-Industrie, seit 1995 bei DATEV eG, zunächst zuständig für Pro­dukt­mar­keting und Service MS-Office-Pro­dukte und Doku­men­ten­or­ga­ni­sation im Geschäftsfeld Eigen­or­ga­ni­sation, seit 2000 tätig für Vor­stands-Kor­re­spondenz, Qua­li­täts­ma­nagement und Reporting in der Stabs­stelle „Service Quality Management“ beim Bereichs­vor­stand Service und Ver­trieb der DATEV eG, seit 2002 dort als Fach­be­rater und Bereichs­be­auf­tragter zuständig für den Daten­schutz.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.