Mein Smartphone, die Petze - und wie ich das sicher verhindere

03.02.2023
Mein Smartphone, die Petze
Keywan Tonekaboni

 

Ausdrücklich erwünscht: Tippen am Smartphone
Beim ver.di Workshop holten sich Teilnehmende vor Ort und Online Tipps für mehr IT-Sicherheit

Eigentlich hätte es nach fünf Minuten schon vorbei sein können, denn unser Kollege Keywan Tonekaboni (Redakteur bei c't) startete mit seinem schwerwiegendsten Tipp:

Immer das Betriebssystem auf dem neuesten Stand halten!

„Ich bin Keywan und arbeite als Redakteur bei der c’t, dem Magazin für Computertechnik, “ so stellte sich der Technikjournalist am 10. Januar 2023 beim Praxisworkshop der ver.di-Fachgruppe Medien, Journalismus und Film vor. Natürlich hatte er noch detailliertere Infos zum Thema Smartphone-Sicherheit mitgebracht. Während Keywan immer weiter in die Verstrickungen zwischen App-Berechtigungen und wirtschaftlichen Zielen einstieg, beugten sich die Teilnehmenden über ihre Smartphones und tippten auf den Screens herum. Mal mehr, mal weniger erschreckt. Die wichtigsten Tipps sind am Ende in einem Kurzüberblick zusammengefasst.

Das Herz der Smartphones ist das aktuelle Update.

Zu den Basics aus Keywans Werkzeugtasche gehört der Blick in den Wikipedia-Artikel, welche Version des Android-Betriebssystems noch mit Sicherheitsupdates versorgt wird. Die eigene Android-Version fanden die Teilnehmenden auf ihren Smartphones jeweils unter dem Punkt „Einstellungen“. Es gebe zwar für manche ältere Smartphones von Freiwilligen gepflegte Android-Versionen wie Lineage OS. Diese zu installieren, bräuchte dann aber schon einiges an IT-Wissen.
„Auf Smartphones und Tablets sind Virenscanner überflüssig“, sagt Keywan. Android ist eine Open-Source-Software. Die Smartphone-Hersteller können auf Basis dieses Google-Betriebssystems jeweils eigene Android-Varianten erstellen. Welches Interesse die Hersteller mit ihrer Software verfolgen, sollte kritisch hinterfragt werden.
Keywan weist noch auf ein Open-Source-Betriebssystem für Mobiltelefone – ohne Google-Einbindung – hin. Das sogenannte /e/OS läuft datenschutzsensibel auf Smartphones von Fairphone oder Samsung. Manche Nutzungen lassen aber noch den Komfort vermissen.

https://de.wikipedia.org/wiki/Liste_von_Android-Versionen

https://e.foundation/de/e-os/

Wie kommst du an sichere Apps?

Auf gar keinen Fall sollten wir die Applikationen (Apps) aus Quellen herunterladen, die App-Pakete gar nicht überprüfen, rät Keywan. Am besten von großen Shops wie dem Google Play Store oder Apples App Store. Dort würden sie schon aufgrund von deren Qualitätsstandards geprüft, ob sie Schadsoftware enthalten.
Dafür lohne es sich sogar, ein Google-Konto anzulegen, das nur für solche Zwecke genutzt wird. Ohne Kontakte oder E-Mails. Dann kann der Suchmaschinenbetreiber aus den USA auch nichts diesbezüglich auswerten.
Wichtig sei auch, den Unterschied zwischen IT-Sicherheit und Datensicherheit zu verstehen. In Ersterem sei Google optimal. Die persönlichen Daten wertet Google allerdings entsprechend der Unternehmensziele aus. „Haben nur ich, Google und die NSA die Daten? Oder auch jeder dahergelaufene Hacker? Das solltet ihr euch dabei ernsthaft fragen.“

Lieber mit Bekannten.

Beim Installieren unbekannterer Apps immer die Herkunft und weitere Parameter checken, empfiehlt Keywan. Wir könnten immer selbst überprüfen, wer etwa der Hersteller ist, wie oft eine App heruntergeladen wurde und was die Nutzer in den Bewertungen sagen.
Auch nutzen manche dubiosen Apps ähnliche Namen wie populäre Programme. Von daher sollte hier immer genau geschaut werden, ob die App wirklich die ist, die ich wollte. Und ob sie von dem eigentlichen Hersteller kommt.

Berechtigung oder keine Berechtigung?

Eine App braucht mehr oder weniger Freigaben der Nutzenden, um ihren Dienst zu tun. Wie viele, das musst du abwägen, erklärt Keywan. Dass Routenplaner oder Navigations-Apps den Standort gelegentlich brauchen, ist klar. Oder dass eine Multimedia-App auch auf die Kamera und das Mikrofon zugreifen darf, ist nachvollziehbar. Aber eine Wetter-App braucht diese Berechtigungen nicht, und auch nicht die Freigabe der persönlichen Kontakte.
Deshalb sollte in den Einstellungen der App die Funktion „nicht zulassen“ oder „nur bei Nutzung erlauben“ ausgewählt werden. Leider befinden sich diese Menüpunkte in der Regel in Untermenüs. „Sie sind oft wirklich gut versteckt.“, stöhnt Keywan über seinem Test-Smartphone. Denn mal wieder hatte sich der Ort bei einem Update geändert.
Apple habe für IOS als erster Hardwarehersteller seine Apps besonders abgeschottet gestaltet und mit ganz engen Rechten versehen. Das natürlich, weil Apple über Hardware- und Software-Verkäufe Geld verdient und weniger mit Werbung. Die wenigen Iphone-Nutzer:innen im Raum freuen sich. Auch, wenn diese Konzernpolitik kritisch zu betrachten ist. Ansonsten sind die App-Berechtigungen an ähnlichen Stellen im IOS-Menü zu finden.

Kontaktfreigabe sparsam einsetzen.

Besonders mit der Freigabe der Kontakte oder in Spezialfällen der Zugriff auf alle Dateien sollte sehr vorsichtig umgegangen werden. Sollte es einmal aus Versehen geschehen sein, dass der Zugriff erlaubt wurde, dann kann man über die Einstellungen der App die Rechte wieder entziehen.
Auf Basis der Datenschutzgrundverordnung (DSGVO) kann man versuchen beim Unternehmen die gespeicherten Daten erfragen und bei Bedarf löschen lassen.

Das WLAN berichtet weiter.

Selbst, wenn man das WLAN abschaltet, ist es weiter aktiv. Google nutzt die Funktion „WLAN-Suche“, um anhand der erkannten Funknetzwerke, die in einer Datenbank gespeichert sind, den Standort schneller und präziser zu bestimmen, als es über das Satelliten-System GPS möglich ist. Daher sammeln Smartphones im „Vorbeilaufen“ die Daten aller WLAN-Netzwerke.
Also heißt „deaktiviert“ nicht automatisch, dass keine Daten mehr gesammelt werden.

Tracken kann gut sein, Kontrolle ist besser.

„Wer weiß, was ein Tracker ist?“, fragt Keywan in die überwiegend antwortlose Runde.
„Tracker sind keine Cookies, nutzen aber auch Cookies.“ Letztere sind Textdateien, die User-Einstellungen von Websites für eine leichtere Folgenutzung speichern. Ein Tracker misst das Nutzer-Verhalten und folgt dessen Spuren im Netz. „Das sind bildlich gesprochen Dienste, die speichern, wo ich auf der Datenautobahn abbiege“, fasst Keywan zusammen. Diese Daten werden an den Anbieter weitergeleitet, damit dieser seine Dienste verbessern kann, aber auch um Daten für personalisierte Werbung zu sammeln. Viele Tracker sind für die Funktion der App völlig überflüssig.
Auf der französischen non-profit Plattform „Exodus-Privacy“ schauen wir schließlich sogar auf Deutsch nach, welche Tracker und Berechtigungen an sich harmlose Seiten und Apps haben. Da kommt einiges zusammen. „Bitte nicht nervös werden“, beruhigte Keywan, „die Berechtigungen könnt ihr einzeln abschalten.“ Aber gut, sie überhaupt erstmal zu kennen. Über ein Untermenü werden die Anbieter der Tracker gezeigt und können nachrecherchiert werden. Bedenkliche Berechtigungen markiert die Seite mit einem roten Fragezeichen.
Mehr und mehr wird klar, dass die Smartphone-Nutzung eben gerade kein Kinderspiel ist, auch wenn die äußere Erscheinung dies immer wieder nahe legen will. Ja, dass die Hersteller die Nutzenden am liebsten vom Ändern der Einstellungen fern halten möchten. Doch mit etwas Beharrlichkeit und Übung finden sich die entsprechenden Regler immer schneller. Um dann ausgeschaltet zu werden.

Den Boten töten? Messenger ist nicht gleich Messenger.

Das letzte Unterthema von Keywan sind die Messenger-Plattformen. Telegram hat beispielsweise 54 Berechtigungen, wovon 14 als mögliches Risiko eingestuft werden. Dabei bietet Telegram nicht einmal permanent eine Ende-zu-Ende-Verschlüsselung an. Das sollten wir uns bewusst machen.
Im Vergleich sei sogar die Datenkrake Whatsapp besser. Immerhin verschlüsselt sie die Nachrichten unlesbar für „Fremde“ im Ende-zu-Ende-Verfahren. Das bedeutet, dass ein Text noch auf dem Gerät verschlüsselt und dann als Paket über die Datenleitung gesandt wird. Erst auf dem autorisierten Empfängergerät wird die Nachricht entschlüsselt. Doch vor einiger Zeit hat Facebook bzw. der Mutterkonzern Meta beschlossen, Daten zwischen Facebook, Instagram und WhatsApp auszutauschen. Auch das wäre als Auswahlkriterium zu berücksichtigen. Interessanter als die Inhalte der Nachrichten sind für die Netzwerke die Verbindungen zwischen den Menschen - also wer kennt wen. Dies hat einen wirtschaftlichen Wert für die Anbieter.
Alle Messenger-Dienste (sogar Signal) fragen beim Start nach der Freigabe der Adressbücher, um so Kontakte zueinander zuzuordnen. Dabei ist die Freigabe grundsätzlich mindestens juristisch fragwürdig. Denn in der Regel verfügt die Nutzerin, der Nutzer nicht über die spezielle Erlaubnis, die Daten anderer an einen Konzern zu übermitteln.
Whatsapp und Signal sind technisch nahezu identisch, erklärte Keywan, aber Signal sammelt keine Daten.

Google-Suche und „off the records“.

Am Ende fischt Keywan noch weitere nützliche Details aus seiner Werkzeugtasche, wie das gezielte Löschen oder zumindest das Deaktivieren von vorgegebenen Android-Apps wie die Google-Suche oder das Deaktivieren von automatischen Untertiteln. Beide Dienste können im aktivierten Modus Schlagworte gezielt einem Smartphone – und damit Nutzenden – zuordnen.

Wie immer am Ende „off the records“ stand Keywan Tonekaboni noch für persönliche Nachfragen zur Verfügung. Das hatte schon Potenzial für einen weiteren Workshop. Für die Online-Teilnehmenden war das leider nicht möglich. Sie konnten aber Fragen im Chat stellen. Es war der erste Versuch eines hybriden Workshops in unserer Fachgruppe. Das wollen wir by doing immer weiter verbessern.

Habt ihr Themenwünsche und Anliegen, die eure ver.di-Fachgruppe Medien, Journalismus und Film mal auf eine größere Bühne heben soll, dann mailt uns das Was und Wie. Und gerne alles, was ihr euch sonst von uns an Themen rund um „Besser im Beruf“ wünscht.

Kontakt: beate.barrein@dju-hannover.de

              annette.rose@dju-nds-hb.de

 

Überblick: 8 Tipps aus Workshop für mehr Smartphone-Sicherheit.

• immer das aktuelle Betriebssystem verwenden
• nur Apps aus Shops mit Qualitätsstandards (bspw. Google, Apple) laden
• Namen und Hersteller von Apps prüfen
• Zugriffe von Apps (bspw. auf Mikrofon, Kamera, Standort) sparsam geben und punktuell
• Kontaktfreigabe, auch für den Datenschutz der Beteiligten, eher ablehnen
• die Tracker und deren Funktionsrelevanz jeder App prüfen
• Messenger-Dienst nach Datenschutzkriterien und Konzernpolitik auswählen
• vorinstallierte Dienste mit Petz-Verhalten (wie Google-Suche, Untertitel) deaktivieren

 Text: Beate Barrein