Smartphones sind auf dem Vormarsch. Allein im vergangenen Jahr wurden weltweit mehr als 480 Millionen Geräte verkauft. Doch mit ihrer Verbreitung steigt auch die Zahl der kriminellen Angriffe auf Ihre Nutzer durch sogenannte Smartphone-Hacker. Dabei geraten zunehmend Manager ins Visier der Verbrecher.

In Deutschland nutzen knapp 30 Millionen Menschen Smartphones und die Zahl steigt täglich. Was kaum einer weiß – seit kurzem starten Hacker immer neue Angriffswellen auf die Nutzer der portablen Mini-Computer, berichtet  Markus Grimm vom Internet-Dienst Chip Online:  "Grundsätzlich sind die mal hinter allem her, was sie kriegen können und das kommt dann eben auch auf die Raffinesse von der Spyware an. Also es fängt an bei normalen Daten: Wo surf ich im Internet? Welche Seiten interessieren mich? Worauf klick ich? Bis hin zu Login Daten, z.B. Facebook oder Amazon, und Pins fürs Online-Banking."

Die Dunkelziffer der Geschädigten ist erschreckend – aktuell geht man davon aus, dass bereits jedes dritte Smartphone von Spyware infiziert ist. Doch das ist offenbar erst der Anfang, warnt Kommissar Carsten Szymanski vom Landeskriminalamt Berlin: "Grundsätzlich, das kann man nicht anders sagen, muss man sich im Klaren sein: Wer das Handy oder ein Smartphone benutzt, muss wissen, was dieses Smartphone kann. Und wo die Missbrauchsmöglichkeiten sind. Kleines Beispiel: Am Flughafen logge ich mich in das WLAN ein. Bin ich nun aber wirklich im WLAN des Flughafens, bin ich vielleicht im WLAN des Nachbarn, der mich ausspionieren will? Was mache ich da? Das kann ich sehen. Wenn ich weiß, was mein Smartphone macht und wie es ausschaut."

Von Hackern lernen, um Schutzprogramme zu schreiben

Im Institut für Internetsicherheit in Gelsenkirchen - kurz Ifis - sitzt Deutschlands High Society der Computergenies. Das Institut hat sich darauf spezialisiert, Hackerpraktiken in ihre Testlabore zu holen, um der steigenden Internet-Kriminalität etwas entgegenzusetzen. Doch um später einmal Schutzsoftware für Smartphones entwickeln zu können, müssen die Experten erst einmal lernen, wie Kriminelle zu denken, erklärt Prof. Dr. Norbert Pohlmann:  "Stellen Sie sich vor: Ein Manager, Geschäftsführer, Vorstand, der ist halt ständig an der privaten Adresse seiner Assistentin, dann kann ich davon ausgehen, dass er eine Affäre hat und damit kann ich ihn erpressen. Ich kann zum Beispiel sagen 'Hör mal, für 50.000 Euro sage ich deiner Frau nichts'. Oder wenn der Geschäftsführer ständig bei der Konkurrenz ist, könnte man annehmen, der macht Fusionsverhandlungen und da kann ich halt sagen, ich kaufe oder verkaufe Aktien. Also in Abhängigkeit, was ich glaube, wie sich die Aktien entwickeln. Und damit kann ich auch wieder Geld verdienen."

Stefan Tomanek vom Ifis zählt zur Elite der deutschen Profi-Hacker. Im Essener Cafe Central wagt er für uns ein Experiment. Ein fiktives Szenario, das stellvertretend für die neue Angriffswelle auf Manager und Geschäftsführer steht. Die geraten immer häufiger ins Fadenkreuz der Verbrecherbanden. Doch das Szenario kann natürlich jeden treffen. Am Flughafen, in der Bahn, im Café.

Das Vorgehen der Hacker ist dabei erschreckend einfach und beginnt mit dem Scan der vorhandenen Smartphones – Signale, die automatisch nach freien W-LAN-Netzen suchen. Stefan Tomanek schildert, was er sieht: "Wir haben ja ungefähr 30 verschiedene WLAN-Geräte hier im Raum, die meisten Telefone hier, die haben auch ihr WLAN nicht deaktiviert. Ich sehe also, welche Netzwerke diese Geräte normalerweise nachfragen. Und wenn sie einen Telekom-Hotspot möchten, dann gebe ich Ihnen auch einfach einen Telekom Hotspot."

Stefan Tomanek benutzt einen handelsüblichen W-LAN-Dongel, der mit Hilfe einer Handy-SIMCARD ein W-LAN-Netzwerk erzeugt. Den Namen für den so entstandenen Hotspot kann unser Hacker frei wählen und entscheidet sich für einen hierzulande bekannten HotSpot-Namen. Nur kurze Zeit später wählen sich in der näheren Umgebung all die SmartPhones und Tabletcomputer automatisch ein, die diesen Hot-Spotnamen bereits in Ihrer WLAN-Liste haben. Doch egal, welche Daten sie fortan abrufen, sie laufen zuvor über den Rechner des Hackers. Die Folgen sind verheerend, zeigt Stefan Tomanek vom Ifis auf: "Wenn ein Email-Provider zum Beispiel eine Schwachstelle hat und ich übernehme die Identität, dann habe ich ja nicht nur den Zugriff auf seine Mails, ich kann mir zum Beispiel bei seinen ganzen Auktionshäusern und Versandhäusern neue Zugangsdaten zuschicken lassen und kann so Stück für Stück die gesamte digitale Identität meines Opfers übernehmen. Ohne dass er irgendetwas davon merkt."

Das Experiment zeigt erschreckende Ergebnisse

Doch unser Experiment geht noch einen Schritt weiter. Statistisch haben die meisten Smartphone-Besitzer ein Passwort mit nur vier Stellen. Das ergibt genau 10.000 mögliche Kombinationen – ein Kinderspiel für unseren Hacker. Wer sein Smartphone gar nicht schützt, hat noch schlechtere Karten. Sogenannte Spy-Apps sind für jedermann einfach zu installieren und nach der Installation oft nicht sichtbar. Noch schlimmer sind Apps, die harmlose Eigenschaften vorgeben und den Nutzer ganz automatisch ausspionieren, warnt Stefan Tomanek: "Bei der Software auf dem Telefon, die ich jetzt installiert habe, da handelt es sich um ein kommerzielles Produkt, mit dem das Telefon aus der Ferne ausspioniert werden kann. Das heißt, ich kann die Mails der Person lesen, ich kann damit lesen, was sie für SMS bekommt und ich kann das Telefon anrufen, ohne dass die Person selber etwas davon merkt."

Die Folgen sind fatal, denn einmal aktiviert wird das Smartphone zur Wanze - bereit, jedes noch so vertrauliche Gespräch zu übertragen.  Stefan Tomanek: "Die App, das ist eigentlich ein klassischer Trojaner. Sie gibt nach außen vor eine ganz harmlose Anwendung zu sein, mit der man halt Gitarrengriffbilder nachschlagen kann, aber im Hintergrund sammelt sie einfach Informationen. Das heißt, sie sammelt das Adressbuch ein, sie verschickt die aktuelle Position des Benutzers, sie meldet Anrufe an einen zentralen Server und diese Informationen werden im Hintergrund einfach an mich verschickt."

Betreiber solcher Apps verkaufen Adressen und GPS-Daten zum Stückpreis von ca. ein Cent an Spam-Werber. Doch ist man wirklich hilflos? LKA-Mann Carsten Szymanski gibt Hoffnung: "Die Apps, die etwas machen, die müssen Sie bestätigen, und das ist das Einfallstor. Da hilft Ihnen auch keine Virenschutzsoftware. Aber die Dinge, die unbemerkt drauf kommen, da wäre eine Virenschutzsoftware hilfreich und sinnvoll – ich habe eine drauf. Und so ist das eben. Aber die Vorsicht ist wirklich auch die Mutter der Porzellankiste."

Und das gilt für Smartphones und PCs gleichermaßen, weiß Markus Grimm vom Computermagazin Chip online: "Am PC gibt es eigentlich drei relativ einfache Hilfsmittel. Zum einen sollte man immer einen Virenscanner auf dem PC installiert haben, der erkennt auch die Spyware. Dann darauf achten, dass die Software immer auf dem neuesten Stand ist, weil auch Sicherheitslücken in Software, Programme, die man nicht haben will, reinschleusen. Und zuletzt sollte man beim Surfen im Internet darauf achten, ein gesundes Mistrauen dabei haben. Dasselbe gilt jetzt mittlerweile auch schon für die Smartphones, auch da ist ein Virenscanner gerade bei Android-Pflicht. Auch da im Internet drüber nachdenken, muss ich darauf jetzt wirklich klicken oder könnte da vielleicht was Gefährliches dahinterstecken."

Attacken von Smartphone –Hackern nehmen täglich zu. Wer aber über SSL-Verbindungen surft, ein 10-stelliges Passwort wählt und nicht jedes App blind herunterlädt, hat gute Karten.