Datenschutz mit CyanogenMod: So schützen Sie Ihr Smartphone vor Datenklau – Teil 3: Apps

Das konfigurierte aber noch sehr karg ausgestattete Smartphone aus Teil 2 statte ich nun mit einigen Apps aus, die dem Datenschutz dienen bzw. diesen gewährleisten.

Antivirus

Obwohl die üblichen Schädlinge wie Viren, Trojaner oder Würmer im Mobilbereich (noch) nicht die gleiche Bedeutung haben wie im Desktop-Segment (Is antivirus software necessary for Android?1), Antivirus program may not be necessary for Android phone2)), ist die Installation einer Antiviren-App empfehlenswert, wenn Apps über apk-Dateien installiert werden sollen. Für welche Antiviren-App Sie sich entscheiden, sollten Sie von aktuellen Testberichten, wie sie zum Beispiel AV-Test 3)liefert, abhängig machen. Neben den bekannten Namen wie Bitdefender, Eset oder Kaspersky haben sich im Mobilbereich auch neuere Anbieter wie AhnLab, 360 oder Quick Heal einen Namen gemacht.

Telefonie und SMS

Die quelloffene App RedPhone der Firma Open Whisper Systems 4)ermöglicht Ende-zu-Ende-verschlüsselte Telefonie. Die Gespräche werden dabei mittels Voice over IP über die Server des Herstellers geleitet. Die App integriert sich in den regulären Telefonie-Vorgang und schlägt ein sicheres Telefonat vor, wenn beide Gesprächspartner die App installiert haben.

Ebenfalls Open Source, ermöglicht Linphone 5)die sichere Kommunikation per Sprache und Video. Die Software ist für alle gängigen Betriebssysteme (mobil und Desktop) verfügbar. Linphone überträgt auch Bilder und Text, allerdings unverschlüsselt. Eine weitere Alternative ist CSipSimple6), das als SIP-Client (Session Initiation Protocol) mit mehreren Anbietern von SIP-Diensten genutzt werden kann.

Die App TextSecure, die ebenso wie RedPhone von Open Whisper Systems stammt, galt lange Zeit als erste Wahl für verschlüsselte SMS-und MMS-Nachrichten. Nachdem der Hersteller jedoch angekündigt hat, die Verschlüsselung für diese Nachrichtentypen aus der App zu entfernen7), scheidet sie – zumindest für SMS / MMS – aus.

Als kommerzielle Alternative bleibt noch die App-Suite der Firma Silent Circle8), die mit Silent Phone und Silent Text eine Lösung sowohl für die Telefonie als auch den Versand der klassischen Kurznachrichten anbietet. In Ergänzung dazu können Kontaktinformationen mit Silent Contacts verschlüsselt werden. Diese Apps sind allerdings nicht quelloffen, sodass keine Kontrolle der verwendeten Verschlüsselungstechnologie möglich ist und dem Hersteller ein gewisses Grundvertrauen entgegengebracht werden muss.

Instant Messaging

Das bereits erwähnte TextSecure eignet sich auch ohne SMS-Versand zur sicheren Kommunikation per Instant Messaging. Die Open-Source-App bietet Ende-zu-Ende-Verschlüsselung, lokale Verschlüsselung der Nachrichtendatenbank sowie Folgenlosigkeit 9)(Forward Secrecy).

Alternativ können Sie auch das in CM integrierte WhisperPush 10)nutzen, das mit TextSecure kompatibel ist und jenes ersetzen soll. Allerdings lässt sich Whisper-Push nur einsetzen, wenn man die Google-Play-Store-App installiert.

Die Messenger-App Telegram 11)ist teilweise quelloffen und besonders im russischen Sprachraum verbreitet. Sie kann auf Mobilgeräten sowie (durch inoffizielle Versionen) auf Desktop-Computern genutzt werden. Kritisch ist allerdings, dass die Verschlüsselung explizit aktiviert werden muss. Außerdem überträgt die App Ihre komplette Kontaktliste an den Server des Herstellers.

Threema 12)wird kommerziell von der Schweizer Firma Threema GmbH betrieben und gehört im deutschsprachigen Raum zu den beliebtesten Messengern mit sicherer Verschlüsselung. Laut Herstellerangabe befinden sich die Server ausschließlich in der Schweiz, sodass die Firma dem schweizerischen Bundesgesetz über den Datenschutz unterliegt. Dementsprechend erhielt die App im Februar 2014 von der Stiftung Warentest das Urteil „unkritisch“ 13)im Bereich Datenschutz. Threema ist allerdings nicht quelloffen.

Das Besondere am Redact Secure Messenger 14)ist, dass eine Peer-to-Peer-Verbindung zwischen den Kommunikationspartnern aufgebaut wird; laut Hersteller werden keinerlei Informationen auf Servern gespeichert. Außerdem muss man bei der Registrierung keine persönlichen Daten wie E-Mail-Adresse oder Telefonnummer angeben.

Weitere Alternativen sind SIMSme15), Wickr16) und Gliph17). Mit letzterer App lassen sich sogar Bitcoins zwischen den Kommunikationspartnern übertragen.

Seit kurzem soll auch WhatsApp Ende-zu-Ende-Verschlüsselung benutzen18), aber ob man dem Betreiber Facebook in Sachen Datenschutz trauen will, muss jeder selbst entscheiden – siehe Kritik an Facebook19).

E-Mail

Unverschlüsselte E-Mail stellt noch immer eins der größten Datenschutzrisiken dar, was psychologische (siehe Managing user perceptions of email privacy20)) und technische (siehe E-Mail Verschlüsselung – aber wie?21)) Gründe hat. Dies lässt sich durch Einsatz der E-Mail-App K-9 Mail 22)mildern.

Dazu installieren Sie zunächst die App APG23), die das Verschlüsselungsformat OpenPGP 24)implementiert. Beim ersten Start können Sie ein neues Schlüsselpaar erstellen oder vorhandene Schlüssel importieren. Anschließend setzen Sie ein Passwort und legen mit Ihrem Namen und Ihrer E-Mail-Adresse eine Nutzer-ID an. Fertigen Sie über Alle Schlüssel exportieren und Alle geheimen Schlüssel exportieren unbedingt eine Sicherheitskopie der Schlüssel an. Zuletzt öffnen Sie das linke Menü und wählen Schlüssel Importieren, um nach den öffentlichen Schlüsseln Ihrer Kommunikationspartner zu suchen und diese zu importieren (Bild 3-1 und 3-2).

Schlüsselimport in APG
Bild 3-1
Der Schlüssel wurde erfolgreich von einem öffentlichen Schlüssel-Server importiert
Bild 3-2

Installieren Sie nun K-9 Mail und legen Sie Ihr Postfach an. Anschließend navigieren Sie in die Ansicht des Postfachs und wählen Einstellungen → Kontoeinstellungen → Kryptographie. Dort aktivieren Sie Automatisches Signieren und Automatische Verschlüsselung. Im Folgenden werden alle Mails automatisch verschlüsselt und signiert, sofern der öffentliche Schlüssel des Adressaten bekannt ist (Bild 3-3).

K-9 Mail erlaubt nun die Signierung (links) und Verschlüsselung (rechts) von E-Mails
Bild 3-3

Web Browsing

Übliche Web Browser verraten viel über Ihr Surf-Verhalten. Nicht so Dolphin Zero25). Der Webbrowser der Firma Mobotap befindet sich standardmäßig im anonymen Modus und hinterlässt keine Spuren auf Ihrem Gerät. Zur Suche im Web ist DuckDuckGo 26)vorkonfiguriert – eine auf Anonymität bedachte Suchmaschine. Alternativ verhindert der Browser Ghostery27), dass Tracking-Sites Ihr Verhalten aufzeichnen.

Sie können aber auch mit ganz regulären Web Browsern wie dem Android-Browser arbeiten; hier sollten Sie dann aber unter Einstellungen → Erweitert den Punkt JavaScript aktivieren abwählen. Außerdem sollten Sie jede Sitzung im anonymen Modus starten (Bild 3-4).

Starten einer anonymen Sitzung im Android-Browser
Bild 3-4

Fazit

Mit Hilfe eines durchdacht konfigurierten CyanogenMod und Einsatz der richtigen Apps können Sie eine Menge in Richtung Datenschutz auf Mobilgeräten tun. Vorausgesetzt, dass der Kommunikationspartner ein vergleichbares Setup benutzt, lassen sich alle wesentlichen Kanäle verschlüsseln und das Risiko für unerwünschten Datenklau minimieren.

Links   [ + ]

1. http://www.androidpit.com/is-antivirus-software-necessary-for-android
2. http://www.azcentral.com/story/money/business/tech/2014/04/02/antivirus-program-android-phone-colburn/7233809/
3. http://www.av-test.org
4. http://whispersystems.org
5. http://www.linphone.org
6. http://www.csipsimple.com
7. http://www.heise.de/security/meldung/Krypto-Messenger-TextSecure-ohne-verschluesselte-SMS-Sicher-jetzt-sicherer-2269353.html
8. http://silentcircle.com
9. https://de.wikipedia.org/wiki/Folgenlosigkeit
10. http://www.cyanogenmod.org/blog/whisperpush-secure-messaging-integration
11. http://telegram.org
12. http://threema.ch/de
13. https://www.test.de/messenger
14. http://www.redactapp.com
15. http://www.sims.me
16. http://wickr.com
17. http://gli.ph
18. http://www.heise.de/security/meldung/WhatsApp-bekommt-Ende-zu-Ende-Verschluesselung-2459903.html
19. http://de.wikipedia.org/wiki/Kritik_an_Facebook
20. http://scholar.google.de/scholar_url?url=http://weisband.faculty.arizona.edu/sites/weisband.faculty.arizona.edu/files/p40-weisband.pdf&hl=de&sa=X&scisig=AAGBfm0ojHFaphU5awSuO8LhrUsWBmwGfA&oi=scholarr&ei=3VitVIi0K8q3UYXjgxA&ved=0CCMQgAMoAjAA
21. http://www.all-about-security.de/security-artikel/endpoint-security/dlp-data-loss-prevention/artikel/16578-e-mail-verschluesselung-aber-wie/
22. https://de.wikipedia.org/wiki/K-9_Mail
23. https://play.google.com/store/apps/details?id=org.thialfihar.android.apg&hl=de
24. https://de.wikipedia.org/wiki/OpenPGP
25. https://play.google.com/store/apps/details?id=com.dolphin.browser.zero&hl=de
26. https://duckduckgo.com/
27. https://de.wikipedia.org/wiki/Ghostery

Artikelreihe "So schützen Sie Ihr Smartphone vor Datenklau"

Teil 1: Installation von CyanogenMod
Teil 2: Konfiguration
Teil 3: Apps

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.