Fakten zur Überwachung: Warum die NSA Merkels Parteihandy abhörte
Bundeskanzlerin Angela Merkel (CDU) tippt neben ihrem Sprecher Steffen Seibert im Bundeskanzleramt in Berlin in ihr Handy.
Foto: dpaDie NSA hört mit. Offenbar nicht nur bei Telefonaten von Privatbürgern, sondern auch bei der deutschen Bundeskanzlerin. Am Mittwochabend teilte der Sprecher der Bundesregierung, Steffen Seibert, mit, dass „die Bundesregierung Informationen erhalten [hat], dass das Mobiltelefon der Bundeskanzlerin möglicherweise durch amerikanische Dienste überwacht wird. Wir haben umgehend eine Anfrage an unsere amerikanischen Partner gerichtet und um sofortige und umfassende Aufklärung gebeten.“
Der Verdacht ist so konkret, dass sich die Bundeskanzlerin genötigt sah, noch am Abend bei US-Präsident Barack Obama anzurufen, um sich zu beschweren. Der Vorgang sei „völlig inakzeptabel“, so Merkel. Der US-Präsident gab sich wortkarg. Er erklärte, dass die deutsche Bundeskanzlerin „derzeit nicht überwacht” und auch in Zukunft „nicht überwacht“ werde. Ob das aber in der Vergangenheit passiert ist, ließ Washington offen.
Aus Protest gegen die mutmaßlichen US-Spähangriffe auf das Handy von Kanzlerin Angela Merkel hat Außenminister Guido Westerwelle am Donnerstag den amerikanischen Botschafter John B. Emerson einbestellt. Die Affäre soll auch beim EU-Gipfel am Donnerstag zur Sprache kommen. „Ich denke, dass wir das teilweise im (Europäischen) Rat diskutieren werden“, sagte die litauische Staatspräsidentin Dalia Grybauskaite am Donnerstagmittag in Brüssel. Litauen führt derzeit die EU-Ratspräsidentschaft.
Mittlerweile scheint zumindest der Verdacht ausgeräumt, dass sogar das neue, hochverschlüsselte Diensthandy der Kanzlerin von der Abhöraktion betroffen ist. Gegenüber Golem teilte ein Sprecher des Bundesamt für Sicherheit in der Informationstechnik (BSI) mit, dass es "sehr unwahrscheinlich" sei, dass ein vom BSI zugelassenes Smartphone abgehört wurde.
Der Grund dafür liegt in der Technik begründet, die die Kanzlerin nutzt. Die wichtigsten Fakten im Überblick:
Wie kommuniziert Merkel überhaupt?
Die Bundeskanzlerin besitzt zwei Handys – ein privates und ein dienstliches. Bei dem privaten Smartphone handelt es sich um ein LG Optimus One, ein nicht extra abgesichertes Standardgerät. Das Diensthandy wurde erst vor wenigen Monaten ausgetauscht. In Umlauf sind sowohl das Telekom-Smartphone „SIMKo 3“ als auch das Blackberry Z10.
Bei dem „SIMKo 3“ handelt es sich um ein speziell angepasstes Samsung Galaxy 3. Es wurde nach den Anforderungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und ist damit offiziell für die Geheimhaltungsstufe „Verschlusssache - Nur für den Dienstgebrauch“ freigegeben. Der Nachteil des Telefons: Es verschlüsselt ausschließlich Textnachrichten. Telefonieren ist damit noch nicht abhörsicher.
Zwar verfügt die Telekom über eine Sprachverschlüsselungsvariante, die beispielsweise Unternehmenskunden nutzen. Aber für die Bundesbehörden verlangt das BSI einen anderen Standard – und der soll erst Mitte des kommenden Jahres für die SIMKo-Geräte verfügbar sein.
Daher wird derzeit unter Regierungsmitgliedern vor allem das Blackberry genutzt. Seit Anfang Oktober wird die jüngste Weiterentwicklung der Sicherheitssoftware von der darin verbauten Sicherheitssoftware Smartsecure ausgeliefert. Das auf dem Blackberry Z10 basierende System verfügt über eine spezielle SIM-Card und eine zusätzliche Sicherheitssoftware, die alle Sprach- und Datenübertragungen in Verbindung mit einem speziellen Krypto-Chip auf einer ins Gerät eingeschobenen Smart-Card verschlüsselt.
Dabei handelt es sich um einen sogenannte Ende-zu-Ende-Verschlüsselung, die unter anderem verhindert, dass die Datenströme auf dem Weg von Endgerät zu Endgerät (also beispielsweise in Vermittlungsstellen oder auf Knotenrechnern im Internet) mitgeschnitten und ausgewertet werden. Damit soll dann zumindest zwischen entsprechend ausgerüsteten Smartphones auch das abhörsichere Telefonieren möglich sein.
Ein Bild aus der Zeit der deutschen Wende: Angela Merkel in jungen Jahren mit einem klobigen Mobiltelefon.
Foto: imago imagesIm März 2007 sitzt Angela Merkel mit einem Nokia-Handy im Bundestag. Dem finnischen Hersteller ist sie bis ins Jahr 2013 treu.
Foto: dpaIm Oktober 2008 im Bundestag mit dem Nokia 6131: Bis zu 50 SMS pro Tag soll die Kanzlerin in dieser Zeit versendet haben.
Foto: dpaIm Oktober 2009 zeigt Angela Merkel ihr Mobiltelefon. Auch da war es noch das Klappmodell von Nokia. Wenig später wechselt Merkel jedoch das Gerät.
Foto: imago imagesEnde 2009 erhält Merkel das neue Gerät, dem Vernehmen nach ausgestattet mit einem Verschlüsselungschip der Firma Secusmart. Das Bild zeigt Merkel im April 2010 im Bundestag.
Foto: imago imagesAngeblich handelt es sich bei dem Gerät um ein Nokia E63, doch dem Augenschein nach ist es wohl eher ein Nokia 6260 Slide. Im Oktober 2011 tippt Angela Merkel im Bundeskanzleramt in das Gerät, während sie auf einen Staatsgast wartet.
Foto: imago imagesAuch im April 2012 auf der Computermesse Cebit in Hannover ist Angela Merkel immer noch treue Nutzerin des Modells.
Foto: imago imagesEin Jahr später, im März 2013, ist Merkel wieder auf der Cebit. Diesmal nimmt sie speziell ausgestattete Blackberry-Geräte in Augenschein.
Foto: imago imagesDie Verschlüsselung des entsprechend angepassten Blackberry Z10 durch die Firma Secusmart ist vom Bundesamt für Sicherheit in der Informationstechnik für die Geheimstufe „Verschlusssache - Nur für den Dienstgebrauch VS-NfD“ freigegeben. Die Bonner Behörde erteilte der kanadisch-deutschen Lösung ihren Segen, als sichergestellt war, dass die Daten nicht länger über ein Rechenzentrum vom Blackberry in Großbritannien transportiert werden.
Foto: imago imagesAuch Angela Merkel sollte ein solches Gerät erhalten. Ob die Kanzlerin und ihre Minister stets abhörsichere Verbindungen nutzen, steht allerdings auf einem anderen Papier. „Jeder weiß, dass wir unsere privaten Telefone benutzen, obwohl es verboten ist“, sagte Wirtschaftsminister Philipp Rösler im Mai 2013 bei seiner Tour durch das kalifornische Silicon Valley.
Foto: imago images
Auto-Transporter
Wer sensible Daten mit Kollegen oder Freunden über Online-Dienste wie Dropbox & Co. tauscht, läuft Gefahr, dass Spitzel und Hacker mitlesen. Eine smarte Alternative bietet der Speicher- und Synchronisationsdienst des US-Startups Connected Data. Bei dessen Transporter genannten Festplatten kann der Nutzer selbst bestimmen, welche Dateien per Direktverbindung automatisch und verschlüsselt mit den Transporter-Disks anderer Nutzer synchronisiert werden.
Preis: ab 299 Dollar
Foto: PressePlatten-Sperre
Wer verhindern will, dass Spionagesoftware die Passworteingabe für die verschlüsselte Festplatte aufzeichnet, sollte externe Speicher mit eigener Entsperrtechnik einsetzen – wie die DataLocker-Festplatte von Origin. Das Modell Enterprise 2.0 besitzt ein Tastenfeld für die Code-Eingabe und ist von der US-Technologiebehörde NIST unter anderem für den militärischen Einsatz zertifiziert.
Preis: ab 390 Euro
Foto: PressePasswörter-Buch
Wer kann sich noch die Passwörter merken, die er auf Hunderten Web-Seiten eingibt? Der MyIDkey des US-Startups Arkami hilft da weiter: Der USB-Stick, der sich nur über den eingebauten Fingerabdruck-Scanner aktivieren lässt, merkt sich sämtliche Benutzernamen und Passwörter, die der Nutzer in Web-Seiten eingibt – und füllt die Zugangsdaten bereits besuchter Web-Seiten automatisch in die vorgegebenen Eingabefelder ein. Via Bluetooth-Funk funktioniert das auch mit Smartphones.
Preis: 170 Dollar
Foto: PresseMerkel-Berry
Private Daten und Unternehmensinformationen hält die Spezialversion des Blackberry Z10 vom deutschen Sicherheitsspezialisten Secusmart strikt getrennt. Möglich macht das, neben Sicherungen im Betriebssystem, die Zusatz- verschlüsselung per Smartcard, die der Technik Secusuite gerade die Freigabe als Regierungshandy beschert hat.
Preis: 2500 Euro
Foto: PresseSprech-Stelle
Abhörsicher telefonieren, unabhängig von Handy oder Notebook, das ermöglicht das Sprachverschlüsselungssystem Topsec mobile des Berliner Spezialisten Rohde&Schwarz SIT. Die Krypto-Box mit eigenem Headset wird per Bluetooth mit internetfähigen Handys oder Computern gekoppelt und baut hochverschlüsselte Sprachverbindungen zu baugleichen Topsec-Modulen auf.
Preis: 2300 Euro
Foto: WirtschaftsWocheAbdruck-Analyst
Nicht ganz so sicher wie ein komplexes Passwort, aber deutlich komfortabler – und allemal besser als kein Zugriffscode: Das sind Fingerabdruckleser, die viele Business-Notebooks eingebaut haben, wie etwa das Thinkpad X1 Carbon von Lenovo.
Preis: 1470 Euro
Foto: PressePost-Geheimnis
Mit den Verschlüsselungsverfahren PGP und S/Mime gibt es wirksame Technologien, um elektronische Post gegen unerwünschte Mitleser zu sichern. Nur ist die Konfiguration gerade für Laien teils recht aufwendig. Einfacher und für den Unternehmenseinsatz geeignet sind Programme wie gpg4o des Softwarehauses Giegerich&Partner. Das Paket gibt’s als Erweiterung für Microsofts Outlook 2010 und 2013.
Preis: ab 94 Euro
Foto: ScreenshotBlick-Fänger
Längst nicht immer kommen Spione übers Netz. Oft genug – etwa im Zug oder am Flughafen – lesen sie einfach von der Seite mit, was Geschäftsleute auf dem Laptop-Display anschauen. Abhilfe schafft der Vikuiti Blickschutzfilter von 3M, der nur direkt von vorne freie Sicht aufs Display von Smartphone, Tablet oder PC ermöglicht. Neugierige Späher von der Seite sehen dagegen Schwarz.
Preis: ab 30 Euro
Foto: PresseGesichts-Login
Auch das eigene Gesicht kann den PC-Zugriff freigeben. Programme wie KeyLemon des gleichnamigen Schweizer Unternehmens nutzen dafür die in fast allen neuen Laptops integrierte Webcam. Die Software erkennt den rechtmäßigen Nutzer an dessen Gesichtsproportionen. Experten warnen aber grundsätzlich, dass sich derartige biometrische Sicherungen leichter knacken lassen als gute Passwörter.
Preis: kostenlos
Foto: ScreenshotSpion-Späher
WLAN-Kameras als Wächter für daheim oder im Büro sind Bestseller. Dumm nur, dass viele Nutzer die Bilderströme offen ins Netz stellen und damit fast jedem Einblick auf ihren Schreibtisch ermöglichen. Die Überwachungskamera In.Sight von Philips dagegen verschlüsselt die Aufnahmen, bevor sie die per WLAN und Internet zur passenden Smartphone-App überspielt.
Preis: 130 Euro
Foto: PresseBundes-Fon
Den Komfort eines modernen Smartphones, gepaart mit vom Bundesamt für Sicherheit in der Informationstechnik zertifizierten Sicherheitsfunktionen, das bietet auch die Simko3-Softwareplattform. T-Systems und der Softwareanbieter Trust2Core haben sie gemeinsam entwickelt und vertreiben sie unter anderem für Galaxy-Handys von Samsung.
Preis: ab 1700 Euro
Foto: PresseFunk-Fresser
Smartphones sind nicht nur Datenspeicher ersten Ranges, sondern auch ein Paradies für Datendiebe: Sie lassen sich per GPS orten oder über WLAN-Funk attackieren. Spitzel-Apps täuschen sogar vor, dass das Telefon aus- geschaltet ist, und durchsuchen das Gerät dann heimlich. Die Handytasche Rapp It Up unterbindet solche Zugriffe rustikal: Ein ein- genähtes Drahtgitter soll jede Funkverbindung unterbinden.
Preis: 37,50 Dollar
Foto: PresseSoftware-Safe
Informationen gegen fremde Zugriffe zu schützen ist viel leichter als gedacht, denn bei den Profi-Versionen von Windows liefert Microsoft die Festplattenverschlüsselung Bitlocker gleich mit. Auf Mausklick wandern die Daten in den Software-Safe. Neue Versionen des Apple-Betriebssystems Mac OS X kommen mit einer ähnlichen Software namens Filevault. Sicherheitsexperten vermuten, dass die Hersteller Schlupflöcher für US-Geheimdienste offen lassen, doch Wirtschaftsspione oder Kriminelle müssen draußen bleiben.
Preis: Teil des Betriebssystems
Foto: WirtschaftsWocheGeheimnis-Träger
Die Smartphone-App oneSafe verschlüsselt Zugangscodes: Benutzernamen und Passwörter, Kreditkarten- und Pin-Nummern, Texte oder Fotos. Via Apples Online-Service iCloud lassen sich die Daten zwischen iPhones, iPads und Mac-Rechnern synchronisieren. Um die App zu öffnen, gibt der Nutzer ein Passwort ein. Wer ein falsches Passwort eingibt, den fotografiert die Frontkamera des Handys.
Preis: 5,49 Euro
Foto: PresseZweit-Schlüssel
Doppelt hält besser – das gilt auch für die Absicherung von Rechnern und Datennetzen. Experten empfehlen daher, bei der Anmeldung am PC oder für den Zugriff auf gesicherte Datenbanken eine Kombination aus Passwort und digitalem Sicherheitsmedium zu nutzen. Der SecurID 800 Hybrid Authenticator des US-Sicherheitsunternehmens RSA Security speichert solche Signaturen und dient so bei der sicheren Anmeldung als zweite Sicherheitsstufe. Preis: 60 Dollar
Foto: WirtschaftsWocheDaten-Tunnel
Sicherheitsexperten staunen immer wieder, wie schlecht Unternehmen ihre Netze absichern. Der IT-Spezialist Lancom Systems bietet jetzt als erster Anbieter Übertragungsrechner an, deren Verschlüsselung vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert ist; wie den Router 1781A-4G CC. Über so gesicherte Daten-Tunnel dürfen nun selbst Behörden und Militärs Dokumente abhörsicher austauschen und Telefonate führen.
Preis: 1100 Euro
Foto: PresseWolken-Schloss
Was nützt die sicherste Internet-Verbindung, wenn sensible Daten auf den Cloud-Servern von Google bis Microsoft unverschlüsselt für Hacker oder Geheimdienste erreichbar sind? Die Software Boxcryptor des Augsburger Startups Secomba ändert das, indem sie Dokumente vor der Ablage im Netz verschlüsselt. Beim Öffnen auf PC, Tablet oder Smartphone werden die Dateien wieder entschlüsselt.
Preis: Basisversion gratis
Foto: WirtschaftsWocheSicherheits-Glas
Strategiemeetings, vertrauliche Projektbesprechungen: In vielen Situationen sind Zuschauer unerwünscht. Nun lassen sich ganze Fensterfronten, etwa die Glaswände von Konferenzräumen, blitzschnell gegen neugierige Blicke absichern: Die Klebefolie Sonte wird per WLAN-Funk vom Smartphone aktiviert und verwandelt sie in Milchglasscheiben.
Preis: 280 Dollar
Foto: PresseTaschen-Tresor
Das iWallet des gleichnamigen US-Startups besitzt ein Karbongehäuse, das Geld, Kreditkarten oder Zugangsausweise fest umschließt. Wer es öffnen will, muss es über den eingebauten Fingerabdruck-Sensor öffnen.
Preis: ab 459 Dollar
Foto: PresseAllem Anschein nach hat der amerikanische Geheimdienst in der Vergangenheit private Telefonate der Kanzlerin mitgehört. Das berichtet zumindest der „Spiegel“, durch dessen Recherche der Abhörverdacht öffentlich wurde. Die Frankfurter Allgemeine Zeitung meldete, dass Merkels Parteihandy abgehört worden sei. Merkel soll dieses vor allem in ihrer Funktion als CDU-Vorsitzende genutzt haben.
Beide Handys sind deutlich schlechter gesichert, als die neuen Diensthandys. So konnte die NSA problemlos mithören. Welche Informationen die NSA letztlich den abgehörten Gesprächen genau entnommen haben könnte, ist bisher nicht klar.
Fakt ist, dass mit den Praktiken des Geheimdienstes Milliarden Daten gesammelt und dank umfassender Big-Data-Analysen ausgewertet werden können. Die Praktiken hat der Whistle-Blower Edward Snowden bereits vor Monaten in einem umfangreichen Bericht offengelegt. Danach soll die amerikanische Bundespolizei FBI Telekommunikationsdaten direkt von den großen Internetfirmen wie Google, Yahoo, Facebook, Apple und Microsoft abgreifen. Gleichzeitig werden Vorratsdaten von Providern abgegriffen, Glasfaserkabel angezapft und Router gehackt.
Haupteinfallstor aller Angriffe sind sind jedoch Software-Schwachstellen in den Betriebssystemen von Smartphones oder Computern der auszuspähenden Politiker oder Manager. Diese Bugs, die in den immer komplexeren, oft Millionen von Codezeilen umfassenden, Programmen so gut wie nicht zu vermeiden sind, sind das Einbruchswerkzeug für Online-Betrüger und Cyber-Spione.
Und längst hat sich eine lukrative Industrie entwickelt, die nichts Anderes zum Geschäftszweck hat, als genau diese Stolperstellen im Code zu entdecken – noch bevor die Programmanbieter selbst darauf stoßen und sie beheben können – und dieses Wissen zu versilbern. Auch Deutsche mischen auf diesem grauen Markt mit, in dem auch staatliche Einkäufer, etwa von Geheimdiensten, für gute Ware teils astronomische Summer zahlen: Laut einer im vergangenen Frühjahr veröffentlichten Übersicht reichen die gebotenen Preise für solche Schwachstellen von 5000 Dollar – bei älteren Versionen von Adobes Dokumentensoftware Acrobat Reader – bis zu 250.000 Dollar für einen funktionierenden Angriff auf Apples Smartphone-Betriebssystem iOS.
Wer besitzt die sicheren Smartphones?
Insgesamt sollen nach und nach etwa 4000 Beamte im Berliner Politbetrieb mit dem Smartphone ausgestattet werden. Im Regierungsviertel ist die Nachfrage nach den Blackberrys in den letzten Wochen stark gestiegen. Bundesministerien haben inzwischen mehr als 1000 Smartphones des Modells Z10 bestellt.
Auch im Ausland gibt es Interesse. "Wir sind mit anderen europäischen Ländern im Gespräch", sagt Secusmart-Chef Hans-Christoph Quelle. Ein Auftrag könnte schon in den nächsten Wochen abgeschlossen werden, für das kommende Jahr sind Tests in drei weiteren Ländern geplant.
Darüber hinaus ist das Interesse bei Wirtschaftsbossen groß. Verschiedene Großunternehmen, auch Dax-30-Konzerne, testen das Gerät oder haben es schon bestellt.
Kann jeder die Merkel-Handys nutzen?
Ja, die Geräte kann jeder kaufen. Etwa 2500 Euro kostet das Z10 von Blackberry mit der Zusatzausstattung des Düsseldorfer IT-Sicherheitsdienstleisters SecuSmart. Die entsprechend „gehärteten“ Geräte vertreiben die Düsseldorfer und der kanadische Smartphone-Hersteller gemeinsam. Dabei war die Entwicklung der Sicherheitslösung von Anfang an darauf angelegt nicht nur Behördenbedürfnisse zu befriedigen, sondern ausdrücklich auch Systeme für sicherheitsbedürftige Unternehmen anbieten zu können. Das passt zudem perfekt in die inzwischen primär auf Firmenkunden fokussierte Geschäftsstrategie, der angeschlagenen Kanadier.
Die SIMKo-Geräte sind mit 1700 Euro zwar ein Drittel günstiger, dafür ist das Telefonieren aber auch nicht nach den Anforderungen des Bundesamt für Sicherheit in der Informationstechnik verschlüsselt.
Die "sehr kritischen" Apps - Diese Apps können Kontaktdaten, Kalendereinträge, E-Mail, Browserdaten oder Konten lesen und unter Umständen übermitteln, meistens ohne dass die App vorher um Erlaubnis fragt.
Als besonders kritisch wurde in der Studie "WhatsApp" eingestuft. Der Messenger, der seit Monaten immer wieder in der Kritik steht, weist erhebliche Mängel auf: Die App installiert sich mit der Berechtigung, Kontodaten zu verändern. Damit ist das Lesen und Löschen von Passwörtern möglich. Außerdem kann WhatsApp selbstständig und ohne Nachfrage, Anpassungen der Synchronisierungs- und Systemeinstellungen vornehmen. Die App zeigt den exakten Standort des Handys (und damit auch in den meisten Fällen den des Users) und den Netzwerkstatus an.
Foto: Presse, Montage WirtschaftsWoche OnlineEbenfalls als besonders kritisch für Sicherheitsrichtlinien in Unternehmen wurde die Facebook-App eingestuft. Audio-, Bilder- und Videoaufnahmen sowie Kontaktdaten können verändert und gelesen werden. Dateientransfer über Facebook via Internet ist ein Kinderspiel. Auch hier ist es möglich den Telefonstatus und den Netzwerkstatus zu erkennen. Der Standort des Smartphones wird je nach Situation genau und ungefähr ermittelt.
Foto: Presse, Montage WirtschaftsWoche OnlineSkype
Die App des Chat- und Telefon-Programms "Skype" verlangt bei der Installation insgesamt 28 Berechtigungen. Unter diesen sind einige, die für ein Unternehmen besonders kritisch sein können. So bekommt die Berechtigung, Kontaktdaten auf dem Smartphone zu verändern und zu lesen. Auch die Synchronisierungseinstellungen (wie Einschalten von Bluetooth) lassen sich verändern und der Netzwerkstatus wird angezeigt. Darüber hinaus verbraucht diese App sehr viel Netzwerkspeicher und Akkuressourcen. Die App wird bezüglich Firmendaten laut Studie als besonders kritisch eingestuft.
Foto: Presse, Montage WirtschaftsWoche OnlineNavigon
Ebenfalls "sehr kritisch" für Unternehmen wird die App "Navigon" eingestuft. Diese App verschafft sich die Berechtigung, Audios und Videos aufnehmen, Systemeinstellungen und den WLAN-Status zu ändern. Auch alle Anwendungen, die aktuell auf dem Telefon laufen, können abgerufen und sogar beendet werden. Ohne Begründung für die Hauptfunktionalität können Kontaktdaten und vertrauliche Systemprotokolle gelesen und unter Umständen ins Internet übertragen werden. Zudem ist es möglich, Broadcast zu senden, was zu einem immensen Speicherverbrauch führt. Beim Broadcasting werden Datenpakete von einem Punkt aus an alle Teilnehmer eines Netzes übertragen und aufrecht zu erhalten.
Foto: Presse, Montage WirtschaftsWoche OnlineViber
Viber verschafft sich auch Zugriff auf etliche Funktionen des Smartphones. So lassen sich unter anderem Audios, Bilder und Video aufnehmen, Kontaktdaten schreiben und lesen und in das Internet übertragen, vertrauliche Protokolle lesen und Konten identifizieren. Es können alle Telefonnummern aus dem Adressbuch angerufen werden. Damit gilt die App für freie Internet-Telefonie als hervorragendes Tool ist aber für den Schutz von Firmendaten "sehr kritisch".
Foto: Presse, Montage WirtschaftsWoche OnlineÖffi
Auch die App des öffentlichen Nahverkehrs "Öffi" wird als besonders kritisch eingeordnet. Die App kann Kalendereinträge auf dem Smartphone und Kontaktdaten lesen und diese unter Umständen ins Internet übermitteln. Diese Aktionen sind für Funktionalitäten der App nicht nötig. Außerdem wird der genaue Standort des Handys einsehbar.
Foto: Presse, Montage WirtschaftsWoche OnlineSPB-TV
Die TV-App SPB-TV gilt ebenfalls als besonders unsicher. Die App verschafft sich uneingeschränkten Zugang zum Internet mit dem Smartphone und kann sowohl den Telefon- als auch den Netzwerkstatus einsehen.
Foto: Presse, Montage WirtschaftsWoche OnlineICQ
Der Messenger ICQ schneidet in der App-Bewertung zur Sicherheit von Firmendaten eher schlecht ab. Die App kann Kontaktdaten lesen und unter Umständen übertragen, bekannte Konten suchen und authentifizieren sowie neue Synchronisierungseinstellungen schreiben.
Foto: Presse, Montage WirtschaftsWoche OnlineMapmyride
Die App für Fahrrad-Freunde "Mapmyride" stellt aufgrund der auch für Dritte möglichen Bluetooth- und Kameramanipulationen sowie der Standorterkennung ein Sicherheitsrisiko für Unternehmen dar. Systemeinstellungen können verändert werden auch der genaue Standort des Smartphones lässt sich ermitteln.
Foto: Presse, Montage WirtschaftsWoche OnlineThe Weather Channel
Sonnenschein oder Regenwetter? Die App "The Weather Channel" gibt Auskunft. Beim Blick auf die Risiken, die die App mit sich bringt, ist aber wohl eher Schlecht-Wetter-Stimmung angesagt. Die App verlangt bei der Installation die Erlaubnis, Audios aufzunehmen, obwohl dies für ihre Hauptfunktion nicht nötig ist. Sie übermittelt den Standort und unter Umständen können die für den Benutzer hereinkommenden Daten abgefangen werden.
Foto: Presse, Montage WirtschaftsWoche OnlineDroid Blocker
Umfassende Rechte erbittet sich auch die App "Droid Blocker". Die App, die eigentlich unerwünschte Anrufer und SMS blockiert, darf den Browserverlauf und die Lesezeichen schreiben, Kontaktdaten lesen und schreiben, und auch der SD-Karteninhalt kann einfach gelöscht werden. Auch SMS und MMS lassen sich lesen und empfangen und im Namen des Besitzers versenden. Außerdem lassen sich Verknüpfungen auf dem Smartphone nach Belieben installieren und deinstallieren.
Foto: Presse, Montage WirtschaftsWoche OnlineAls sehr kritisch für den BYOD-Einsatz wird auch die Social-Media-App "Linkedin" kategorisiert. Sie hat uneingeschränkten Zugriff auf das Netzwerk, darf Kontolisten lesen und im Internet authentifizieren, den SD-Karteninhalt ändern oder löschen sowie neue Kontaktdaten erstellen. Auch ressourcenfressende Dauerbroadcasts sind möglich.
Foto: Presse, Montage WirtschaftsWoche OnlineQik Video
Bereits bei der Installation lässt die Liste der 28 verlangten Berechtigungen den sehr kritischen Charakter der App erahnen. Diese erlauben die Verwaltung der eingerichteten Konten und das Lesen und Schreiben von Kontaktdaten. Bluetooth-Verbindungen können von der App hergestellt und auch verwaltet werden. Neben der dauerhaften Broadcast-Verbindung kann die App Manipulationen der Statusleiste und des Dateisystems vornehmen.
Foto: Presse, Montage WirtschaftsWoche OnlineGtasks
Die To-do-Liste für das Smartphone "Gtasks" kann die Kalendereinträge lesen, auf das Internet zugreifen, Authentifizierungsinformationen verwenden, bekannte Konten suchen und konfigurierte Konten lesen. Für Unternehmen ein Sicherheitsrisiko.
Foto: Presse, Montage WirtschaftsWoche OnlineDie "kritischen" Apps - Kontaktdaten, Kalendereinträge, E-Mails, Surfverhalten, Dateien und Konten werden gelesen und unter Umständen übermittelt, nachdem die App um Erlaubnis gefragt hat.
Barcoo
Neben den "sehr kritischen" Apps wurden weitere Applikationen in der Analyse auch in die etwas seichtere Kategorie "kritisch" eingestuft. Diese gelten ebenfalls als unsicher. Dazu zählt auch "Barcoo". Der Barcodescanner fürs Smartphone kann es im schlimmsten Fall möglich machen, Bilder und Videos aufzunehmen, den genauen oder ungefähren Standort zu ermitteln und Kontaktdaten zu lesen. Auch der Browserverlauf wird einsehbar.
Foto: Presse, Montage WirtschaftsWoche OnlineEbay
Der größte Flohmarkt der Welt "Ebay" gilt ebenfalls als "kritisch" für Unternehmen. Die App kann Bilder und Videos aufnehmen, den genauen oder ungefähren Standort des Handys ermitteln und Inhalte der SD-Karte verändern.
Foto: Presse, Montage WirtschaftsWoche Onlinedict.cc
Ebenfalls Schwächen für den BYOD-Einsatz weist das Wörterbuch "dict.cc" auf. Es fordert den uneingeschränkten Zugang zum Netzwerk des Smartphones sowie Zugriff auf den SD-Karteninhalt, der sich ändern und sogar löschen lässt.
Foto: Presse, Montage WirtschaftsWoche OnlineDB Navigator
Auch die vielgenutzte App der Deutschen Bahn wird in die Kategorie "kritisch" eingestuft. Die App erhält die Erlaubnis, auf Kalendereinträge und Kontaktdaten zuzugreifen, E-Mails zu versenden und den SD-Karten-Inhalts zu verändern oder zu löschen.
Foto: Presse, Montage WirtschaftsWoche OnlineMega Jump
Den Telefonstatus lesen und identifizieren, den SD-Karteninhalt ändern oder löschen oder auch Zugriff auf das Netzwerk - die Spiele-App "Mega Jump" wurde im Ranking ebenfalls als kritisch eingestuft.
Foto: Presse, Montage WirtschaftsWoche OnlineRTL inside
Die App des Fernsehsenders RTL weist Sicherheitsrisiken für den BYOD-Einsatz auf. Sie erhält Zugriff auf den SD-Karteninhalt sowie uneingeschränkten Zugriff auf das Internet.
Foto: Presse, Montage WirtschaftsWoche OnlineHRS App
Die App "HRS" hilft bei der Hotelsuche. Die Applikation verschafft sich vom Benutzer die Berechtigung, Bilder und Videos aufzunehmen, Kontaktdaten zu lesen und zu verändern, sowie den genauen oder ungefähren Standort des Telefons zu ermitteln.
Foto: Presse, Montage WirtschaftsWoche OnlineBloomberg
Als "kritisch" wurde auch die App des Wirtschaftsnachrichtendienstes Bloomberg eingestuft. Der Netzwerkstatus kann gelesen werden und auch ein uneingeschränkter Zugriff ist möglich.
Foto: Presse, Montage WirtschaftsWoche OnlineDer Kurznachrichtendienst "Twitter" wird viel genutzt. Die App verschafft sich die Berechtigungen, Kontaktdaten einzusehen und neu anzulegen. Außerdem ist unter anderem die Suche nach bekannten Konten möglich.
Foto: Presse, Montage WirtschaftsWoche OnlineCamcard
Der Visitenkartenleser "Camcard" wird wegen der Möglichkeit, Telefonnummern direkt anzurufen, Videos aufzunehmen, vertrauliche Protokolle zu lesen als "kritisch" eingestuft.
Foto: Presse, Montage WirtschaftsWoche OnlineBump
Die App "Bump" hilft dabei Fotos vom Smartphone auf den Computer zu spielen. Als "kritisch" wird auch dieser Service bewertet. Der WLAN-Status kann geändert, Kontaktdaten gelesen und verändert, vertrauliche Protokolle und auch der genaue oder ungefähre Standort kann bestimmt werden.
Foto: Presse, Montage WirtschaftsWoche OnlineDie App der Foto-Community "Instagram" hat ebenfalls ihre Tücken. Sie gilt aufgrund der Berechtigungen, Bilder und Videos aufzunehmen, Kontaktdaten zu lesen und den genauen Standort zu ermitteln, als kritisch.
Foto: Presse, Montage WirtschaftsWoche Online
Statt Fatalismus ist nun Realismus gefragt: Selbst wenn es Hackern – egal, ob in staatlichem oder kriminellem Auftrag – gelänge, hoch gesicherte Kommunikationsmittel wie das Handy der Kanzlerin abzuhören, heißt das noch lange nicht, dass sensible Personendaten oder geschäftskritische Unternehmensinformationen nicht mehr geschützt werden müssten. Denn tatsächlich ist es immer eine Frage des technischen Aufwands den es kostet, um an die Daten zu gelangen. Und das führt letztlich immer zu der ökonomischen Überlegung, wie viel Geld und Zeit Angreifer aufwenden wollen, um an die Informationen zu gelangen.
Umgekehrt heißt das, wer sich beispielsweise vor Industriespionage schützen will, kann mit vergleichsweise geringem Aufwand für die Absicherung der mobilen Kommunikation (und auch der drahtgebundenen) schon die Kosten eines Angriffs für Hacker so weit in die Höhe treiben, dass sich die Spione möglicherweise zunächst einmal leichter ausspähbaren Zielen zuwenden.
Analog zu der Wohnzimmerlampe daheim, die mancher einschaltet, wenn er abends das Haus verlässt. Will der Einbrecher dennoch genau in dieses Haus einbrechen, wird er einigen Aufwand betreiben, um herauszufinden, ob vielleicht trotz des Lichts niemand daheim ist. Wer aber nur auf einen schnellen Raubzug aus ist, sucht sich dann doch lieber die leichte Beute, ein paar Häuser weiter, wo es dunkel ist.
Genauso ist es bei der sicheren digitalen Kommunikation. Natürlich ist für die Geheimdienste von mehr bis minder freundlich gesonnenen Staaten hochspannend, was die Kanzlerin denkt und mit wem sie telefoniert. Und selbst wenn die NSA aktuell nicht lauscht, was Frau Merkel so an Vertraulichem über ihr Telefon kommuniziert, es wäre naiv zu glauben, dass die Schlapphüte es nicht mindestens früher versucht haben. Und vermutlich ist es genauso naiv, davon auszugehen, dass sie es nicht doch in Zukunft wieder versuchen werden.
Umso mehr ist der Aufwand, den Bundes- und Länderbehörden betreiben, um ihre Sprach- und Datenverbindung zu sichern, eher Beleg für die Notwendigkeit auch für Unternehmen und Privatleute, sich vor elektronischen Spähattacken zu schützen. Nur weil hier und da ein Einbruch in ein Haus oder eine Wohnung gelingt, würde ja auch niemand ernsthaft damit aufhören, seine Haustür beim Weggehen nicht mehr abzuschließen, sondern gleich sperrangelweit offen stehen zu lassen.
Die Bundeskanzlerin machte aus ihrer Verärgerung keinen Hehl. Der mutmaßliche Lauschangriff sei „völlig inakzeptabel“ und gehöre sich nicht unter Partnern. „Das ist nicht hinzunehmen“, findet auch Verteidigungsminister Thomas de Maizière.
Deutlich verhaltener sind die Reaktionen in den USA. Hier taugt weder die Überwachung von ausländischen Bürgern noch Lauschangriffe auf internationale Regierungschefs zum Aufreger. Nach den Anschlägen vom 11. September 2001 ist die innere Sicherheit das vorrangige Ziel jedweden politischen Handelns. Dass dadurch die Freiheitsrechte eingeschränkt werden, ist den US-Amerikanern mehrheitlich egal. Erst recht, da die Gefahr von Terrorangriffen nicht gebannt ist, wie die Anschläge auf den Boston Marathon am 15. April zeigten.
Die US-Sicht ist wichtig, um die Dinge einordnen zu können. Akzeptieren muss man die NSA-Praktiken deshalb noch lange nicht. Der Bekämpfung des Terrorismus darf nicht alles untergeordnet werden. Die massenhafte Ausspähung von Bürgern (und Politikern) geht zu weit. Nur in begründeten Verdachtsfällen sind solche Praktiken angemessen. Prophylaktische Lauschangriffe sind nicht hinnehmbar.
Die USA sind zu weit gegangen und dürften einen hohen Preis bezahlen. Das Verhältnis zur Bundeskanzlerin ist beschädigt. Das ist für Washington umso bitterer, da Deutschland stets ein treuer Verbündeter war und die Vereinigten Staaten auch öffentlich verteidigte.
Die Verhandlungen über eine transatlantische Freihandelszone, die die USA dringender brauchen als Europa, dürften über Jahre ins Stocken geraten. Und mit der Aussetzung des Swift-Abkommens, das den Austausch von Informationen zwischen den US- und EU-Behörden über internationale Überweisungen regelt, für das das EU-Parlament votierte, hat Europa ein Zeichen gesetzt, dass es auf Konfrontationskurs zu den USA geht.
Das gilt nicht nur für Europa. Auch einer der wichtigsten US-Verbündeten in Südamerika, Brasilien, ist durch die NSA-Praktiken verstimmt. Telefonate und E-Mails der Präsidentin Dilma Rousseff sollen ausgespäht worden sein. „Illegale Praktiken“ empörte sich die Brasilianerin, und sagte einen lange geplanten Staatsbesuch in die USA kurzerhand ab.