Smartphone richtig sichern

Das erste iPhone (2007) schuf eine neue Gerätekategorie — und ein neues Angriffsziel. App Stores (2008) öffneten die Verteilung von Software für alle, inklusive Schadsoftware. Erste mobile Banking-Trojaner erschienen 2010 (Zeus.Mitmo). Zu dieser Zeit begann auch die staatliche Mobilgeräte-Überwachung: FinFisher, kommerziell an Regierungen verkauft, konnte Smartphones ab 2011 vollständig kompromittieren. Pegasus der NSO Group wurde 2016 entdeckt und nutzte Zero-Click-Exploits — keine Interaktion des Opfers nötig. Ein Link, eine WhatsApp-Nachricht, eine iMessage reicht. Betroffen waren Journalisten, Aktivisten, Politiker weltweit.

• 2007: iPhone launcht — und definiert das mobile Angriffsziel für die nächste Dekade
• 2010: Zeus.Mitmo — erster mobiler Banking-Trojaner stiehlt mTAN-Codes per SMS
• 2011: FinFisher — kommerzielles Staatstrojaner-Kit für Android und iOS
• 2016: Pegasus entdeckt — NSO Groups Zero-Click-Exploit für iPhone kompromittiert Gerät vollständig
• 2021: Pegasus Project enthüllt — 37 Smartphones von Journalisten, Aktivisten infiziert
• 2023: Android hat täglich 230.000 neue Malware-Varianten (AV-TEST-Studie)

Juice Jacking nutzt USB-Ladekabel und öffentliche Ladestationen — ein manipuliertes Kabel oder eine manipulierte Ladestation kann über USB Daten übertragen und Malware installieren, während das Gerät geladen wird. Gefälschte Apps sind ein weiteres massives Problem: Der Google Play Store enthielt 2023 laut Kaspersky über 600 Millionen Downloads infizierter Apps. SIM-Swapping kompromittiert die Handynummer durch Social Engineering beim Mobilfunkanbieter — alle SMS-basierten 2FA-Codes werden dann an den Angreifer gesendet.

• Juice Jacking: Manipulierte USB-Ladestationen installieren Malware beim Laden
• Fake Apps: 600+ Mio. Downloads infizierter Apps im Google Play Store 2023
• SIM-Swapping: Social Engineering beim Mobilfunkanbieter — Handynummer übernommen
• Stalkerware: Kommerzielle Überwachungssoftware, installiert von Vertrauenspersonen
• IMSI-Catcher (Stingrays): Simulieren Mobilfunkmast — alle Anrufe und SMS abfangbar
• Baseband-Exploits: Angriffe auf Modem-Chips — tiefste Ebene, schwer zu erkennen

Moderne Smartphones sind sicherheitstechnisch ausgereifter als die meisten Desktop-Computer. Der Secure Enclave (Apple) und das Trusted Execution Environment (Android) sind Hardware-isolierte Chips, die kryptografische Schlüssel und biometrische Daten speichern — selbst ein Root-Angriff auf das Betriebssystem kommt nicht ran. App-Sandboxing bedeutet, dass Apps nicht auf die Daten anderer Apps zugreifen können. Vollverschlüsselung ist seit iOS 9 und Android 10 Standard. Das Problem: Diese Schutzmechanismen gelten nur bis zum nächsten Zero-Day-Exploit.

• Secure Enclave (Apple) / StrongBox (Android): Hardware-Chip für Schlüssel — unangreifbar ohne physischen Zugang
• App-Sandboxing: Apps können nicht auf Daten anderer Apps zugreifen
• Vollverschlüsselung: Seit iOS 9 und Android 10 Standard — bei Diebstahl Daten unlesbar
• Permission-System: Apps müssen explizit um Kamera, Mikrofon, Standort bitten
• Google Play Protect: Täglich 125 Milliarden App-Scans auf Schadsoftware
• iOS-Updates: Apple unterstützt iPhones 5-6 Jahre mit Sicherheitsupdates — Android variiert stark

Die wichtigsten Maßnahmen sind: Gerät verschlüsseln (Standard), Bildschirm-PIN nicht 4-stellig, Apps auf notwendige Berechtigungen beschränken, OS-Updates sofort installieren. Der häufigste Fehler: alte Apps, die jahrelang nicht aktualisiert wurden, mit weitreichenden Berechtigungen.

• Biometrie + starker PIN (6+ Stellen) für Bildschirm-Entsperrung konfigurieren
• App-Berechtigungen prüfen: Einstellungen → Apps → Berechtigungsmanager
• OS-Updates sofort installieren — Sicherheitspatches schließen aktiv ausgenutzte Lücken
• Nur offizielle App Stores nutzen — Sideloading auf Android erhöht Risiko massiv
• USB-Debugging deaktivieren (Android) — nur für Entwickler nötig, öffnet Angriffsfläche
• Signal für private Kommunikation: Ende-zu-Ende-verschlüsselt, open source, vertrauenswürdig