Es ist eigentlich nicht anders zu erwarten, als dass ein Security-Anbieter die Sicherheitsbedrohungen im Netz in den schwärzesten Farben malt. Schließlich will er seine Lösungen ja verkaufen, mit denen Anwender sich vor Cyber-Piraten schützen können. Das gilt auch für das Unternehmen Trusteer, das sich um sichere Web Access Services kümmert. Deren Warnung: In ein bis spätestens zwei Jahren sind 5,6 Prozent aller Android-Handys und iPhones mit Finanz-Malware und Trojanern infiziert, die den Usern das Geld von ihrem Konto saugen wollen.
Foto: Apple, JailbreakMe, Montage Rene Schmöl
Möglich mache dies zum einen, dass Google neue Apps von Herstellern im Android Market nicht auf Sicherheitsrisiken durchleuchtet. "Im Vergleich zu Apples App Store is der Android Market der Wilde Westen", schreibt Trusteer-CEO Mickey Boodaei. Aber auch das iPhone-Betriebssystem iOS sei stark gefährdet - durch Jailbreak.
Viele User öffneten Schadcodes Tür und Tor, indem sie mit einem Jailbreak ihres Smartphones Software den Weg ebnen, die nicht von Apple freigegeben wurde. Zudem sei jetzt wieder eine Sicherheitslücke aufgetaucht, über die Malware-Programmierer iPhones ganz ohne Zustimmung des Besitzers vom Internet aus jailbreaken können. Die Rede ist von infizierten PDF-Dokumenten, die beim Öffnen durch den User das Handy knacken.
Jetzt sei es nur noch eine Frage der Zeit, bis Cyber-Kriminelle Apple iOS systematisch nach Lücken durchforsten - und diese dann in Black Hole exploit kits integrieren. Diese Kits könnten dann ein iPhone nach dem anderen automatisiert infizieren.
Mobile Banking ist das Hauptziel der Angreifer
Beim Mobile Banking mit Android-Handys bedienen sich Cyber-Gangster laut Trusteer gerne einer Man-in- the-Mobile-Attacke (MitMo). Dabei wird sowohl das Online-Banking-Portal der Bank als auch das Handy infiziert. Der User glaubt, die Bank wolle eine Sicherheits-Software aufspielen, bestätigt eine entsprechende Nachricht, und gibt so den Weg frei für die Ganoven. Die können dann in Seelenruhe sein Konto leerräumen.
Foto: BITKOM
Trusteer-Chef Boodaei spricht vom "größten Sicherheitsproblem für Kunden, das wir kennen". Noch böten Handy-Nutzer zwar nicht die größte Angriffsfläche, weil Mobile Banking noch nicht weit verbreitet sei. Doch dies werde sich in den nächsten zwölf bis 24 Monaten ändern.
Zum Schutz vor derartigen Attacken sollten Handybesitzer bei jeder neuen App vorsichtig sein - und nichts herunterladen, was neu im Store oder Market ist oder schlecht bewertet ist. Wenn Android-Apps um Zugriff auf SMS und persönliche Daten bitten, sollten die Alarmglocken schrillen. Eine Security-Software am PC, auch speziell für Online Banking, hilft. Zu guter Letzt sollten die Handynutzer regelmäßig Updates für ihr mobiles Gerät aufspielen.
Foto: BITKOM
Das Bedrohungsszenario von 5,6 Prozent infizierter iOS- und Android-Smartphones errechnet der Sicherheits-Anbieter aus seinen eigenen Statistiken. Im Juni 2011 habe das Black Hole Kit pro Tag einen von 1500 Usern infiziert - oder 667 aus einer Million. Wenn es im Schnitt drei Wochen dauert, bis Apple oder Google eine Sicherheitslücke schließen und die Kunden das Update installiert haben, werden aus den 667 Usern in 21 Tagen 14.000. Treten vier solcher Lücken im Jahr auf, kommt Trusteer auf 56.000 Infektionen im Jahr. Das entspricht 5,6 Prozent.
Sicherheitssoftware bald unverzichtbar wie auf PCs
"Nutzer sind sich der Gefahren, die bei Mobilgeräten lauern, noch nicht so bewusst wie der letztendlich gleichen Gefahren auf dem PC", erklärt Juniper-Analyst Nitin Bhas gegenüber pressetext. Dabei kann auch eine Architektur wie die von Apples iOS nicht vor allen Risiken schützen. "Um eine sichere Umgebung für den Endnutzer zu schaffen, braucht es Betriebssystem-Sicherheit plus Drittanbieter-Lösungen", stellt Bhas klar. Er prognostiziert daher, dass der Mobile-Security-Markt bis 2016 auf ein Volumen von 3,5 Mrd. Dollar wachsen wird - vorerst getrieben durch Unternehmenskunden.
Googles Android hat durch verseuchte Apps im offiziellen Marktplatz für Negativ-Schlagzeilen gesorgt. Das sollte beim vergleichsweise abgeschotteten iOS zwar nicht passieren. "Angesichts der schieren Menge der Apple-Geräte wird iOS für Malware-Schreiber sehr attraktiv", warnt Bhas dennoch. Denn potenziell brandgefährliche Sicherheitslücken sind nie ganz auszuschließen, was vergangenen Sommer JailbreakMe 2.0 beweisen hat. Zudem ist Malware nur ein Teilproblem.
"Es ist wichtig sich darüber im Klaren zu sein, dass das Internet das gleiche Internet bleibt, egal, ob man vom Smartphone oder Laptop darauf zugreift", betont der Juniper-Analyst. Egal, wie sicher iOS oder ein anderes mobiles Betriebssystem ist - viele Bedrohungen wie Phishing kann es gar nicht unterbinden. Dabei greifen immer mehr User mit dem Smartphone auf E-Mails sowie Webseiten zu und führen auch Online-Transaktionen durch. Juniper kommt daher im Bericht "Mobile Security Opportunities" zum Schluss, dass Sicherheitssoftware für Smartphones ebenso unverzichtbar wird wie auf Desktop-PCs. (mec)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO.