Smartphone-Viren: Wie groß ist die Gefahr wirklich?

Sie reden vom Untergrundgeschäft mit mobiler Schadsoftware, von mangelndem Bewusstsein bei der Absicherung mobiler Geräte oder von einem großen Gefahrenpotenzial für mobile Geräte und deren Anwender: Sie, das sind die Hersteller von Antivirensoftware, die ihre Produkte gerne auf Smartphones sähen. Experten sind da anderer Meinung - und raten derzeit sogar eher von Scanner-Software ab. Wer bei Apps auf die Herkunft achtet, hat schon viel gewonnen.

"Virenscannner derzeit keine Pflicht"

"Man kann sagen, dass die Antiviren-Software-Hersteller ein großes Interesse haben, die Gefahr groß aussehen zu lassen, manchmal auch größer als sie wirklich ist", sagt Jürgen Schmidt, Chefredakteur des Fachdienstes "Heise Security". Die Smartphone-Bedrohung sei noch um etliches kleiner als beim Windows-PC. "Ein Virenscanner ist derzeit definitiv noch keine Pflicht fürs Smartphone."

Die relative Bedrohung ist nicht für alle mobilen Betriebssysteme (OS) gleich groß. "Im Moment ist das Risiko für Android-Smartphones höher, einige Experten sagen schon, 'Android ist das Smartphone-Windows der Zukunft'", erklärt Schmidt. Auch für das altgediente Symbian, dessen Anwendungen sich wie Android-Apps frei installieren lassen, ist der ein oder andere Schädling im Umlauf, während Malware für Blackberry oder mobiles Windows sehr selten ist.

Sicherheits-Primus ist iOS, weil Anwendungen nur im offiziellen App-Store erhältlich sind und dort erst nach einem Check eingestellt werden. "Man mag von der Überprüfung bei Apple halten, was man will, aber sie hat unter Sicherheitsaspekten einen gewissen Vorteil", so Schmidt. Zumindest schränkt sie die Verbreitungsmöglichkeiten ein, weil Apps schnell wieder aus iTunes entfernt werden können.

Doch nicht nur iOS-Geräte können auf Virenscanner, Firewalls und Co. verzichten, auch die anderen OS kommen ohne aus - weil die Sicherheitsprogramme das Smartphone ausbremsen. "Das ist eine zusätzliche Ressourcenbelastung, es geht auf den Akku und es werden Alarme kommen", sagt Schmidt. "Man holt sich all das ins Haus, was man bei Windows hassen gelernt hat." Sinnvoller wären mehr vorgelagerte Antiviren-Tests in den Shops der OS-Anbieter wie Google.

Virenschutz: Nicht alles blind herunterladen

"Wir brauchen mittelfristig ganz andere Technologien", sagt dagegen Prof. Norbert Pohlmann vom Institut für Internetsicherheit an der Fachhochschule Gelsenkirchen. Auf den Smartphones müssten zum Beispiel wichtige Programme von unwichtigen getrennt werden. Derzeit lauere die größte Gefahr für Smartphone-Besitzer im blinden Installieren von Anwendungen. "Es ist eine neue Herausforderung, dass man sich diszipliniert, nicht alles herunterzuladen."

Auch Schmidt rät, Software nur aus vertrauenswürdigen Quellen zu installieren. "Damit kann man einen Großteil des Risikos ausschließen und zumindest im Moment noch einigermaßen beruhigt schlafen."

Ein Problem bleibt allerdings: der Hunger nach Daten rund um den Anwender, den mobile Apps und ihre Anbieter an den Tag legen. "Man kann viel mehr abgreifen als auf dem PC, auch Bewegungsdaten", erklärt Pohlmann. Der Anwender steckt dabei in einem Dilemma: "Viele Apps sind nützlich, und wenn man höhere Ansprüche an seinen Datenschutz und an seine Privatsphäre stellt, steht man schnell ziemlich alleine da", sagt Schmidt.

Ein Mittelweg kann es sein, sich an populären Anwendungen zu orientieren. "Nutzer sollten weit verbreitete Apps installieren, nicht irgendwelche neuen mit einem geringen Marktanteil, bei denen man nicht weiß, was dahintersteckt", rät Alexander Tsolkas, IT-Sicherheitsexperte und selbstständiger Sicherheitsberater.

Mobile OS stellen dem Nutzer bei der Installation von Apps immerhin Sicherheitsabfragen, bei denen Zugriffsberechtigungen aktiv erteilt werden müssen. Bei allzu neugierigen Anwendungen ist es leicht, misstrauisch zu werden - zum Beispiel, wenn eine Kompass-App Kontaktdaten und SMS lesen sowie Anwendungen starten will.

Doch oft seien die Sicherheitsabfragen ein stumpfes Schwert, meint Schmidt. "Die Leute haben sich daran gewöhnt, alles abzunicken." Und selbst wenn sie jede Abfrage genau betrachten würden, seien die meisten Anwender überfordert: "Es ist sehr schwierig, richtig einzuschätzen, warum eine App auf bestimmte Daten zugreifen will."

Schädlinge drängen vom PC aufs Smartphone

Derzeit stellen die meisten Banken von Papier-TAN-Listen auf per SMS versandte TANs (mTANs) um. Daher gibt es erste Banking-Trojaner, die versuchen, mTANS abzufangen. "Die Trojaner versuchen, vom PC aufs Smartphone überzuspringen", erklärt Jürgen Schmidt, Chefredakteur des Fachdienstes "Heise Security". Am PC gibt sich der Schädling als Bank des Nutzers aus und erschleicht sich zum Beispiel die Handynummer. Aufs Smartphone kommt dann die Aufforderung, eine Anwendung oder ein falsches Zertifikat zu installieren - was man nicht tun sollte, weil sonst alle mTANs abgefangen und missbraucht werden können.