Wenn Gesundheits-Apps an der Sicherheit kranken

Mit über drei Millionen neuer Android-Schaddateien war die Gefahrenlage 2017 hoch. (Foto: G Data Software AG)

Jeder zweite Deutsche nutzt laut dem IT-Branchenverband Bitkom Gesundheits-Apps auf seinem Smartphone. Doch wie sieht es bei den Apps mit der Datensicherheit aus? Immer wieder tauchen Informationslecks in den Nachrichten auf. Wer hat Zugriff auf Daten, die beispielsweise per Fitness-Armband aufgezeichnet werden und wie sicher sind diese? Regelmäßig erscheinen Berichte in den Medien über Datendiebstähle. Auch Malware ist ein wachsendes Problem auf Mobilgeräten.

Gastbeitrag von Christian Lueg, Public Relations Manager, G Data Software AG

Ein Beispiel dafür, wie schnell Apps zum Sicherheitsrisiko werden können, sind Fitness-Gadgets. Sie generieren eine Fülle von Daten. Das können zum Beispiel Standort- und Bewegungsinformationen sein. Welches Ausmaß das erreichen kann zeigt das Portal „Strava“. Hier wurden Daten aller registrierten Nutzer in einer „Heatmap“ zusammengefasst. Einerseits war die starke Verbreitung der App zu sehen, andererseits aber auch das Straßen- und Wegenetz – auch die Umrisse von geheimen Militärstützpunkten. Was hier ohne böse Absichten öffentlich gemacht wurde, kann aber auch für kriminelle Zwecke ausgenutzt werden.

Das Gold des 21. Jahrhunderts

Apps sind in der Vergangenheit bereits durch Sicherheitslücken aufgefallen. Selbst wenn einzelne Informationen für sich genommen unkritisch sind, gewähren sie im Zusammenhang unter Umständen Einblicke, die weder gewollt noch gewünscht sind. Für ausreichend motivierte Angreifer ist es ohne großen Aufwand möglich, Daten zu sammeln. Anwender sollten die Einstellungen der Geräte und eingeforderten Berechtigungen der Apps genau prüfen. In aktuellen Betriebssystem ist es in der Regel möglich, einer App den Zugriff auf bestimmte Daten zu verweigern, wie etwa Standortdaten, Kontaktliste oder Kamera. Doch nicht nur das Datensammeln ist ein Problem, Cyberkriminelle nutzen auch Schadprogramme, um Smartphone- und Tablet-Nutzer in die Falle zu locken.

Hohe Bedrohungslage bei Android

Mit über 3 Millionen neuer Android-Schaddateien war die Gefahrenlage im vergangenen Jahr weiterhin hoch. Davon 744.065 im vierten Quartal 2017. Das bedeutet, dass die G Data Analysten pro Tag durchschnittlich 8.225 neue Schaddateien für das Android-Betriebssystem zählen. Trotz eines geringen Rückgangs des Jahresgesamtanstiegs im Vergleich zum Vorjahr (3.246.284) bleibt die Bedrohungslage weiterhin hoch. Doch warum ist gerade Android bei Cyberkriminellen so beliebt?

Über 67 Prozent aller Smartphones in Deutschland hatten im vierten Quartal das Android Betriebssystem installiert, weltweit sogar über 72 Prozent (Quelle: Statcounter). Ein Taschendieb agiert auch eher an Orten mit vielen Menschen, da hier bereits zahlreiche potentielle Opfer vorhanden sind und er in kurzer Zeit große Beute machen kann. Cyberkriminelle verhalten sich ähnlich. Da viele Nutzer Android als Betriebssystem haben, können mit Malware-Kampagnen schnell hohe Gewinn erzielt werden. Andere Betriebssysteme sind daher nicht so stark im Fokus.

2017: 700.000 „schlechte“ Apps bei Google Play

Allein im vergangenen Jahr entdeckten Google und AV-Hersteller über 700.000 Apps, die gegen die Richtlinien des Play Stores verstießen. Dies waren 70 Prozent mehr als noch 2016. Unter den schlechten Apps waren Copycats, Apps mit inakzeptablem Inhalt und Malware. Die Statistik zeigt, dass Schad-Apps trotz der zahlreichen Sicherheitsfeatures von Google in deren Store gelangen können. Anwender sollten daher unbedingt eine Security-App auf ihrem Gerät im Einsatz haben. Diese kann Anwendungen mit schädlichen Funktionen frühzeitig erkennen. Die Security-App sollte einen Virenscanner beinhalten, dass das Android-Gerät und alle Apps auf Trojaner, Viren und andere Schädlinge überprüfen.

Sicherheitslücken fordern Umdenken

Android ist bei Experten der klare Spitzenreiter, wenn es um Sicherheitslücken geht. Allein 841 Schwachstellen entdeckten Entwickler und Forscher bei den verschiedenen Versionen des Google-Betriebssystems im Jahr 2017. Diese Führungsposition ist aber damit zu erklären, dass Android ein Open-Source Projekt ist und daher viele Menschen die Möglichkeit haben, daran zu arbeiten und zu forschen. Problematisch sind aber nicht nur Schwachstellen in Software, sondern insbesondere die Lücken in der Hardware. Die schweren Sicherheitslücken in Prozessoren „Meltdown“ und „Spectre“, die auch in Mobilgeräten vorhanden sind, haben hier wieder gezeigt, wie wichtig schnelle Abläufe sind, damit Anwender rasch neue Updates bekommen. Denn: Bei den meisten Cyberattacken werden bereits bekannte Sicherheitslücken ausgenutzt.

Treble: Endlich Licht im Android-Update-Dschungel?

Android-Updates sind ein sehr leidiges Thema – nicht nur aus der Sicht der Nutzer. Immer häufiger und in immer kürzeren Abständen werden Sicherheitslücken bekannt. Gerade Smartphones sind hier in großer Gefahr. Mit der Veröffentlichung von Android 8.0 „Oreo“ stellte Google sein „Project Treble“ vor. Damit verfolgen die Android-Entwickler das Ziel, Updates schneller und langfristiger an die Nutzer zu verteilen. Somit sollen nicht mehr nur Pixel- und Nexus-Modelle zügig Aktualisierungen erhalten. Allerdings ist ein nachträgliches Update auf Android 8 keine Garantie für die Partizipation beim “Project Treble”, da Google es Herstellern freistellt, die Funktion bei einer Aktualisierung mitzuliefern. Anwender sollten daher beim Kauf eines neuen Smartphones mit Android-Betriebssystem darauf achten, dass „Project Treble“ beziehungsweise Android ab Version 8 dabei ist. So ist sichergestellt, dass das Gerät zügig Updates erhält.