Privates und Dienstliches voneinander trennen
Damit dienstliche Daten nicht beeinflusst oder gefährdet werden, müssen diese wirksam voneinander separiert werden. Am effektivsten ist die Trennung, wenn Sie für beide Bereiche je ein eigenes Gerät verwenden. Wenn aus wirtschaftlichen oder organisatorischen Gründen keine solche Gerätetrennung umgesetzt werden kann, empfiehlt sich zumindest der Einsatz einer Containerlösung, die Wechselwirkungen zwischen privater und geschäftlicher Verwendung des mobilen Endgerätes verhindert und alle dienstlichen Daten sicher speichert (sofern Android bzw. die Firmware keine Backdoors oder Sicherheitslücken aufweisen). Im Folgenden eine Auswahl der zur Verfügung stehenden Möglichkeiten:
- Auf Samsung-Knox-Geräte können Nutzer*innen mit der App "Secure Folder" (ab Knox-Version 2.4 und Android 7.0; zur Anleitung) einen geschützten Container anlegen. Es gibt folgende Bedingungen:
- Der Unlock-Code für den "Secure Folder" muss unabhängig vom Entsperrcode für das Display gewählt sein.
- Das Passwort zum Samsung-Konto muss ebenfalls stark sein, weil sonst ein Angreifer remote den Schutz aufheben kann (vgl. Samsung Product Help & Support).
- Die Zeit bis zum Lock ("Auto lock Secure Folder") sollte auf "Immediately" oder zumindest "After 5 minutes" gesetzt sein.
- Auf vielen anderen Android-Geräten kann mit dem Arbeitsprofil (work profile) eine scheinbar vergleichbare Lösung erstellt werden. Aber ohne ein Mobile Device Management (MDM) System im Hintergrund gibt es derzeit (Stand: Januar 2019) nur zwei Apps, um auf einem beliebigen Android-Gerät ein Arbeitsprofil zu erstellen: Shelter (zur Anleitung) und Island (Entwickler: Oasis Feng, Entwicklungsphase!). Beide Apps schaffen jedoch für das Arbeitsprofil derzeit keine eigene, vom privaten Bereich getrennte Verschlüsselung und Authentifizierung mit eigenem Unlock-Code - auch nicht unter Android 8 (vgl. iX 7/2018, S. 117). Die mit ihnen angelegten Profile sehen die Entwickler*innen mehr als Ausbruchssschutz von Apps im Arbeitsprofil auf Daten des privaten Profils denn als Einbruchsschutz von Apps im privaten Profil auf die Daten des Arbeitsprofils.
Keine Updates - keine Nutzung
Hat der Gerätehersteller das Modell abgekündigt, rollt er keine Sicherheitsupdates oder Versionsupdates auf den von ihnen modifizierten Android-Versionen mehr aus - auch wenn das Betriebssystem selbst noch gepflegt werden sollte. Dann genügt für eine Kompromittierung ein Aufruf einer Webseite, beim Empfang einer MMS oder Abspielen einer Video- bzw. Audio-Datei. Mitunter ist es nicht einfach, den Zeitpunkt das offizielle end-of-life des Modells in Erfahrung zu bringen.
Ein Weiterbetrieb einer abgekündigten Android-Version schließt sich in jeden Fall aus, da diese bereits vom Betriebssystem-Entwickler nicht mehr mit Sicherheitsupdates versorgt werden, die die Gerätehersteller portieren könnten.
Gerät nicht "rooten" und Entwickleroptionen deaktiviert lassen
Dies würde die Angriffsfläche vergrößern. Wer das dennoch benötigt, sollte sich genau über die Gefahren informieren und entsprechend sorgsam danach sein.
Wirksame Gerätesperre einrichten
Zum Schutz vor unbefugter Nutzung muss eine Displaysperre (Screen-Lock) genutzt werden, die sich automatisch nach einer kurzen Zeitspanne der Inaktivität einschalten und nur durch eine erneute Authentifizierung wieder aufheben lassen. Den beste Zugangsschutz bietet ein ausreichend langer PIN-Code (mindestens achtstellig) bzw. ein entsprechend komplexes alphanumerisches Passwort in Verbindung mit einer Zeitspanne bis zur automatischen Sperrung von 5 Sekunden.
Der lange Code und die kurze Zeit bis zur automatischen Sperre sind deswegen so wichtig, weil Android wenig Schutz vor "Brute-Force"-Angriffen auf die Displaysperre bietet (30-Sekunden Verzögerung nach 5 Fehlversuchen), d.h. sollten Sie Ihr Smartphone verlieren oder es geklaut werden, sollte es dem Angreifer so schwierig wie möglich gemacht werden, die Displaysperre durch Ausprobieren der PIN-Kombinationen zu umgehen.
Speicher verschlüsseln
Um die auf mobilen Geräten gespeicherten Daten zu schützen, braucht es eine ausreichende Verschlüsselung. Durch die Verschlüsselung des Datenträgers (Full-Disk Encryption) muss der Nutzer die PIN beim Start zur Entschlüsselung eingeben. Allerdings ist es zunächst dieselbe PIN, wie für die Displaysperre und bietet so nicht viel mehr Schutz - Sie sollten den Entsperrcode für das Display umgehend unabhängig vom Entschlüsselungspasswort setzen. Danach verfügen Sie (mit der SIM-Karten-PIN) über drei PINs, die Sie sich merken müssen.
Nach der Entschlüsselung hält Android die Entschlüsselung faktisch solange aufrecht, wie das Gerät Strom erhält und der Nutzer es nicht aktiv ausschaltet. Werden PCs und Laptops üblichweise ausgeschaltet, bleiben mobile Endgeräte jedoch oft dauerhaft eingeschaltet, wodurch der Schutz selten wirklich wirksam ist. Deshalb sollte das Gerät besser häufiger zwischen den Nutzungszeiten herunter gefahren werden.
Ist die SD-Karte nicht mit verschlüsselt, gehören dort keine dienstlichen Daten oder Apps darauf.
Nur benötigte, aktuelle Apps aus zuverlässiger Quelle installieren
Es gibt eine stetig zunehmende Anzahl von Schadsoftware, die auf Smartphones spezialisiert sind. Auch die Nutzung des Google Play-Stores als Quelle von Apps ist kein Garant für einen schadsoftwarefreien Marktplatz (vor der Aufnahme wird eine App auf ihr Verhalten und ihre Funktionsweise untersucht, vgl. Mike Kuketz: "Android unter Kontrolle", 2017). Die Frage, ob eine App schadhaft ist oder nicht, lässt sich oftmals erst durch ausgiebige und umfangreiche Langzeittests oder eine Quellcode-Analyse beantworten. Es bleibt vielen Endnutzern eigentlich nur, die App-Anzahl auf ein Minimum zu reduzieren (das schließt auch die Deinstallation von vorinstallierten Apps mit ein, wenn diese nicht benötigt werden, vgl. c't 26/2018 S. 144-147) und die angeforderten Berechtigungen kritisch zu prüfen (vgl. BSI: "Exkurs: App-Berechtigungen bei Android"). Die Erfahrung zeigt, dass einige Anwendungen weitreichende Zugriffsrechte verlangen, ohne dass dies erforderlich wäre.
Eine ergänzende Maßnahme ist die Suche nach Einschätzungen durch unabhängige Stellen vor der Installation, bspw. durch Abfrage einer Repudationsdatenbank. Der integrierte Google-Dienst "Apps verifizieren" ist wohl derzeit einer der effektivsten Schutzoptionen gegen schädliche Apps. Zu beachten ist, dass die Option einen Google-Account erfordert und ein Cloud-Dienst ist, wodurch Informationen über die Apps sowie über das Gerät an Google gesendet werden.
Im Zweifelsfall sollte eine App nicht installiert werden.
Fernlokalisierung und -löschung des Gerätes im Falle des Verlusts
Mit der Google-Funktion "Find My Device" kann das Gerät von der Ferne aus geortet und gelöscht werden, erfordert aber einen Account bei Google.
2-Faktor Authentifizierung für Google-Account aktivieren
Um den PlayStore (s.o.) oder "Find my Device" (s.o.) nutzen zu können, muss das Gerät mit einem Google-Account verknüpft werden. Erlangt ein Angreifer die Kontrolle über den Account, kann er Ihnen Software unterschieben und ggf. das Gerät von der Ferne aus orten und löschen. Mit einer 2-Faktor-Authentifizierung wird es einem Angreifer erschwert, Kontrolle über den Google-Account zu erlangen.
Backups anlegen, um bei Verlust des Gerätes darauf zurückgreifen zu können
Wichtige Daten auf den Smartphones und Tablets sollten regelmäßig, möglichst zentral, gesichert werden.
Keine dienstlichen Daten in unsichere/externe Cloud-Dienste synchronisieren
... auch nicht Backups, Konfigurationseinstellungen und Telefonbücher mit dienstlichen Telefonnummern.
Schnitsttellen (Bluetooth, NFC) nur bei Bedarf aktivieren
Eine direkte Kopplung mit anderen Geräten zum Austausch von Daten, etwa über Bluetooth, darf nur bei vertrauenswürdigen Partnern geschehen, um zu vermeiden, dass das eigene Gerät manipuliert oder mit Schadsoftware infiziert wird (vgl. Diskussion auf StackExchange: "What can an attacker do with Bluetooth and how should it be mitigated?").
Keine Widgets, die sensible Daten im Sperrbildschirm anzeigen
(Schadhafte) Werbung blockieren
Auf Basis von Filterlisten, die Tracking- und Werbedomains blockieren, lässt sich der Auslieferung von (schädlicher) Werbung und dem Abfluss von persönlichen Daten an zweifelhafte Drittanbieter einen Riegel vorzuschieben. Mit Apps wie DNS66 (oder Blokada) geschieht das App-übergreifend und nicht nur im Browser. Die Schwierigkeit dabei: Solche Block-Apps wird man nicht im herkömmlichen Google Play Store antreffen, da diese anscheinend unvereinbar mit den Bedingungen von Google sind.
Im F-Droid App-Store dagegen gibt es sie. Auf mobilsicher.de gibt es eine Anleitung, wie der alternative App-Store installiert wird. Ab Android 8 ist es möglich, einzelnen Apps die Erlaubnis zu geben, Apps aus "unbekannten Quellen" zu installieren. Der F-Droid-App können Sie die Berechtigung dauerhaft einräumen, da Sie hier den Standard-Paketquelle vertrauen können.* Dem Browser sollten Sie die Berechtigung nach der Installation von F-Droid wieder entziehen, da hier die Gefahr besteht, auf bösartigen Webseiten zu landen.
Beide Apps kommen mit vordefinierten Filterlisten. Wer sich selbst welche zusammen suchen möchte, kann auf filterlists.com schauen.
* In einer Studie von 2017 kam heraus, dass im F-Droid Store keine einzige Schadsoftware gefunden wurde, vgl. Mike Kuketz "Android: Kann man F-Droid vertrauen bzw. ist der App-Store sicher?" und zu den Gründen c't Hefte 25/2018, S. 182-185 und 3/2019, S. 162-164.