Webcam, E-Mail, Standort - Sicherheitsmythen auf dem Prüfstand

Ausgeschaltete Handys kann man orten

Sobald das Smartphone in irgendeiner Form mit einem Sender verbunden ist, kann es geortet werden. Das funktioniert über Mobilfunk, WLAN oder Bluetooth. "Dann gibt es einen Kontakt, und das Telefon meldet sich", erklärt Fabian Scherschel vom "c't"-Fachmagazin. Diese Ortung funktioniert in der Regel auch im Stand-by-Modus. Ist das Telefon hingegen im Flugmodus oder ausgeschaltet, kann es keine Verbindungen herstellen und damit eigentlich nicht geortet werden.

"Es soll aber angeblich Techniken geben, über einen unabhängigen Chip im Telefon trotzdem Zugriff zu bekommen", erklärt Scherschel. "Um vollständig sicher zu sein, müsste man den Akku des Telefons entfernen", sagt Tim Griese vom Bundesamt für Sicherheit und Informationstechnik (BSI). Bei vielen Geräten geht das aber nicht.

Es gibt keine Mac-Viren

Doch, auch für Apple-Rechner gibt es Schadsoftware. "Windows- und Android-Betriebssysteme sind aufgrund des höheren Verbreitungsgrades aber eher im Fokus von Angreifern", sagt Griese. Rund 90 Prozent der Rechner laufen mit Windows. Für Massenangriffe sind Mac-Computer also deutlich unattraktiver.

Die Nutzung von Apple- oder Linux-Systemen ist somit theoretisch sicherer. Das gilt aber nicht für gezielte Angriffe: "Der Aufwand für Hacker ist bei allen Betriebssystemen der gleiche", sagt Prof. Norbert Pohlmann, Leiter des Instituts für Internetsicherheit.

Mein Anbieter liest meine E-Mails

Bei unverschlüsselten Nachrichten ist das theoretisch immer möglich. Praktisch geht es aber nicht um gezieltes Lesen, sondern um großflächiges Scannen der Mails auf Viren oder zu Werbezwecken. "Google macht das und sucht in den Mails nach Stichwörtern, um den Kunden Werbung zuzuspielen", sagt Scherschel.

Das passiert automatisiert wie anonymisiert - und nicht, um Nutzer zu überwachen. Google hat aber angekündigt, das Scannen einzustellen.

"In der Praxis ist entscheidender, ob andere Dritte Zugriff auf E-Mails haben können, zum Beispiel bei der Nutzung des WLANs im Café", erläutert Griese. Das BSI empfiehlt deshalb, seine Mails zu verschlüsseln. Dies gelte besonders für sensible Inhalte. Bei kurzen Nachrichten rät Scherschel aus Komfortgründen eher zu Messenger-Diensten mit integrierter Ende-zu-Ende-Verschlüsselung.

Cookies sind schlecht

Viele Internetseiten informieren ihre Besucher, dass sie Cookies verwenden. Für einige Nutzer klingt das wie eine Warnung. Tatsächlich sind diese Cookies oft aber nichts anderes als eine Art Lesezeichen und können für den Benutzerkomfort wichtig sein. "Bei einem Online-Shop merkt sich das System so zum Beispiel die Produkte im Warenkorb", erklärt Prof. Pohlmann. In vielen Fällen sind die Cookies sogar unbedingt notwendig. Wer eine Speicherung ablehnt, kann sie über die Browser-Einstellungen löschen.

Google weiß immer, wo man ist

Wird am Smartphone der Standortzugriff aktiviert, erfahren die Diensteanbieter aller Apps mit entsprechender Berechtigung, wo man sich aufhält. Dazu gehört bei Android-Smartphones natürlich auch Google - so wie Apple bei iPhones.

Das BSI empfiehlt Nutzern zu prüfen, wie transparent Anbieter mit ihren Daten umgehen, und Einstellmöglichkeiten zu nutzen. "Bei Google kann die Nutzung über das Dashboard angezeigt und eingeschränkt werden", nennt Tim Griese ein Beispiel. Der Standortzugriff kann aber auch einen klaren Nutzen haben, etwa bei Wetter-Apps, oder gar unerlässlich sein wie bei Navigations-Anwendungen.

Man wird über seine Webcam beobachtet

Per Malware können Angreifer tatsächlich die Kameras von Geräten übernehmen. "Die Schadsoftware ist auch in der Lage, die LED zur Erkennung der Nutzung zu deaktivieren", sagt Tim Griese. Da die meisten Nutzer ihre Webcam ohnehin selten verwenden, ist das Abkleben eine gute Strategie.

Die Spionier-Gefahr besteht auch bei Smartphones, Tablets oder Smart-TVs. "Das Zukleben ist hier aber in der Regel unpraktisch", ergänzt Scherschel. Entsprechend inkonsequenter seien hier die Nutzer, obwohl theoretisch die gleiche Gefahr besteht. Scherschel rät in allen Sicherheitsfragen grundsätzlich: "Dem Nutzer sollte nicht alles egal sein. Er sollte aber auch nicht paranoid werden."