"Bei WLAN-fähigen Barbies stellt es mir die Haare auf"

Android ist das am weitesten verbreitete mobile Betriebssystem der Welt. Was die Sicherheit des Systems angeht gibt es allerdings ungelöste Probleme, etwa die mangelnde Verbreitung sicherheitsrelevanter Updates. Mit der zunehmenden Vernetzung einer immer größeren Anzahl von Geräten werden sich die Herausforderungen potenzieren. Beim Android Security Symposium in Wien haben Experten drei Tage lang über die Sicherheit von Android debattiert. René Mayrhofer, Vorstand des Instituts für Netzwerke und Sicherheit an der Johannes Kepler Universität Linz und Leiter des Symposium-Organisators Josef Ressel Zentrum "u'smile" der Fachhochschule Oberösterreich, Campus Hagenberg, erklärt, wie weit er den Android-Sicherheitsvorkehrungen traut und warum er für die Zukunft zur Vorsicht mahnt.

Wie ist die Idee für das Android Security Symposium entstanden? Das Josef Ressel Zentrum für User­-friendly Secure Mobile Environments arbeitet seit drei Jahren vorrangig an der benutzbaren Sicherheit von mobilen Geräten mit einem Fokus auf Android. Zuvor hat es so gut wie keine Möglichkeit gegeben, Android Security im Austausch zwischen akademischer Forschung, Industrie, und den verschiedenen Communites zu diskutieren. Wir wollten ein solches Forum schaffen und haben dafür eine Spezialförderung der Christian Doppler Gesellschaft erhalten. Es ist also noch nicht sicher, dass es nächstes Jahr wieder ein Symposium gibt, da dies von einer weiteren Förderung abhängen würde, um das Symposium wieder gratis anbieten zu können. Der Andrang ist jedenfalls groß, auch international.

Sie scheinen mit der Veranstaltung einen Nerv getroffen zu haben. Warum ist das Interesse gerade jetzt so hoch?Die bisherige Entwicklung hat gezeigt, dass Android als offenes Konzept funktioniert. Das Interesse ist deshalb groß, weil sich Android in allen Segmenten, von billig bis High­-End, durchgesetzt hat und Sicherheitsfragen jetzt stärker öffentlich wahrgenommen werden.

Wo sehen Sie die größten Sicherheitsrisiken bei Android? Es gibt verschiedene Herausforderungen. Wir haben Malware, Phishing­-Attacken und aggressive Werbenetzwerke. Diese Vielzahl an Bedrohungen ist durch die Breite von Android getrieben. Das System wird immerhin auch von Firmenchefs genutzt, um sensible Entscheidungen zu treffen. Es ist ein attraktives Angriffsziel.

Sind diese Breite und Offenheit ein Hindernis für Sicherheitsbestrebungen? Jede Offenheit bringt naturgemäß auch Probleme mit sich. Apple oder Microsoft haben ein eingezäuntes Ökosystem und können deshalb bestimmte Bedrohungsklassen besser abfangen. Andrerseits hat Android seit Beginn das System darauf ausgelegt, dass Apps nicht immer vertrauenswürdig sind. Mittlerweile nähern sich Android und iOS bei den Sicherheitskonzepten an.

Ist ein Android­-Nutzer heute sicher? Die Sicherheit von Android hängt heute von der Verwendung ab. Wer ein aktuelles System hat und nur Standard­-Apps aus dem Playstore installiert, hat ein überschaubares Risiko. Google sortiert ja viele Probleme aus. Profis sind mit Android besser bedient. Die gefährdetste Gruppe sind die Nutzer, die sich gut genug auskennen, um zu experimentieren, aber keine Sicherheitsexperten sind.

Welche Tipps geben sie Android­-Normalverbrauchern? Ich empfehle, Apps nur aus dem Playstore zu installieren. Physischer Zugriff für Dritte sollte unbedingt vermieden werden. Wirklich Privates würde ich vom Smartphone heute noch fernhalten, auch wenn das mit kommenden Android­-Versionen vielleicht nicht mehr gelten wird.

Wie sehen Sie den Vergleich zu iOS?iOS und Android bewegen sich heute auf Augenhöhe, Unterschiede gibt es hauptsächlich in Details.

Die Fragmentierung bei Android ist kein zusätzliches Risiko? Die unzureichenden Patch­-Zyklen, die sich aus der Fragmentierung ergeben, sind eines der Hauptprobleme von Android. Es ist mit zu viel Aufwand verbunden, vor allem ältere Geräte auf dem neusten Software-­Stand zu halten.

Gibt es hier Lösungsvorschläge? Wir arbeiten im Enterprise-­Bereich etwa an dynamischem Patching. Für Privatanwender ist es schwer. Google versucht, wichtige Anwendungen aus dem Android Update-­Zyklus herauszunehmen und über die Play­-Services zu aktualisieren. Das ist ein Ansatz, aber das System ist dann nicht mehr offen im Sinne der Verfügbarkeit des Quellcodes für die in die Play­-Services übernommenen Teile.

Das ändert auch nichts an der fehlenden Unterstützung der Gerätehersteller. Solange Updates nur für das gesamte System auf einmal möglich sind, gibt es wenig prinzipielle Besserung. Man könnte die Firmware in kleinere Einzelteile partitionieren, so dass die Gerätehersteller nicht mehr verzögern, aber ich sehe keine Schritte in diese Richtung, wohl hauptsächlich, weil das mit mehr Komplexität verbunden wäre. Man müsste die Gerätehersteller und die Netzbetreiber stärker in die Pflicht nehmen.

Wenn ich Ihnen mein Smartphone gebe, auf dem eine alte Android­-Version läuft, wie lange brauchen Sie dann, um es zu knacken? Ich könnte ihr Handy vermutlich in fünf Minuten fast vollständig unter meine Kontrolle bringen und alle Daten auslesen. Aber physischer Zugriff ist immer der Tod von Sicherheitsmechanismen, das gilt für alle aktuellen mobilen Geräte.

Wie können die Geräte allgemein sicherer gemacht werden? Die Zukunft der mobilen Sicherheit sehe ich in hardwarebasierten Systemen. Der Kernel von Betriebssystemen ist einfach zu komplex, er kann nie fehlerfrei sein. Der Hardware-­Ansatz setzt auf einen kleinen Chip, wie er etwa in Smartcards eingesetzt wird. Diese Systeme sind viel simpler und daher leichter zu prüfen und können leicht in mobilen Geräten untergebracht werden. Der Aufwand für Angreifer wird dadurch ungleich höher.

Mit dieser Technik könnte ein Teil eines mobilen Systems abgesichert werden, nach dem Motto “Oben Party, unten Business” bliebe die Offenheit gewährleistet. Ist das ein guter Ansatz? Man kann die relevanten Teile eines Systems sichern, ohne die Offenheit zu opfern. Aber nur, wenn der zu sichernde Teil überschaubar bleibt. Die App­Qualität ist dann irrelevant und experimentieren bleibt erlaubt.

Viele der Sicherheitsprobleme, die wir im mobilen Bereich sehen, werden sich auch in eingebetteten Systemen fortsetzen. Bekommen wir dort neuen Ärger? Es wird einen Sprung in der Zahl der Geräte pro Person geben. Heute hat eine Person sich maximal um die Instandhaltung einer handvoll Geräte zu kümmern. Bei 1000 Devices pro Person wird das schwierig, ein Lichtschalter erinnert nicht per Pop­up an Updates. Sicherheitsrelevante Anwendungen, wie in Autos, stellen uns nochmals vor neue Probleme.

Ist die schwächere Hardware bei eingebetteten Systemen ein Problem? Die Prozessoren in Lichtschaltern haben heute genug Power für Sicherheitsfeatures. Aber der soll 20 Jahre lang funktionieren. Ob er dann auch noch Angriffe überstehen kann, ist sehr fraglich. Das ist eine große Herausforderung und ich weiß derzeit noch nicht, wie wir sie lösen werden.

Das klingt nicht optimistisch. Ich habe aktuell keine fertigen Antworten, außer dass ich zur Vorsicht mahne. Beim Gedanken an WLAN­-fähige Barbies in Kinderzimmern stellt es mir die Haare auf. Es ist ein aktives Forschungsthema, wie mit diesen Herausforderungen umzugehen ist, und international beschäftigen sich bereits einige Forscher damit, in diesen Fragen vorauszudenken. Manche mobilen Konzepte werden wir übertragen können, aber wir brauchen auch neue. Persönlich glaube ich, dass wir uns auf Einfachheit und Robustheit statt immer mehr Features besinnen müssen, und zusätzlich verstärkt auf die automatisierte Prüfung von Systemen.

Dieser Artikel ist im Rahmen einer Kooperation zwischen futurezone und FH Oberösterreich entstanden.