Smartphone-Sicherheitstipps vom CERT-FR und CISA – wenig praktikabel
Die IT-Sicherheitsorganisationen CERT-FR und CISA haben Tipps fĂĽr die Absicherung von Smartphones gesammelt. Die gehen etwas weit.
(Bild: pim pic/ Shutterstock.com)
Das französische CERT und die US-amerikanische CISA haben die Sicherheit von Smartphones und den Bedrohungsverlauf der vergangenen zehn Jahre analysiert. Daraus leiten die Institutionen ab, wie die Geräte abzusichern sind. Allerdings gehen zumindest die Tipps aus Frankreich am Ende etwas weit.
Das CERT-FR gibt Interessierten ein 40-seitiges PDF an die Hand, die CISA beschränkt sich in ihrem PDF auf überschaubare fünf Seiten. Das fängt bei Banalitäten an, wie dem Nutzen von Mehr-Faktor-Authentifizierung und FIDO-Sticks sowie dem Einsatz von Passwort-Managern. Von SMS als 2FA-Mechanismus raten die IT-Experten ab. Außerdem sollten Nutzerinnen und Nutzer eine PIN setzen, etwa zum SIM-Entsperren, und regelmäßig Softwareaktualisierungen installieren.
Weiter geht es dahin, dass auf die jüngste Hardware der Smartphone-Hersteller gesetzt werden sollte – bei denen sollten zudem die Hersteller bevorzugt werden, die sich bekanntermaßen um Sicherheit kümmern und lange Sicherheitsupdate-Zeiträume versprechen. Die CISA lehnt zudem die Nutzung von „persönlicher VPN-Software“ ab, da diese Restrisiken vom Internetprovider zum VPN-Anbieter verschieben und oftmals die Angriffsfläche vergrößern. Das bezieht sich aber eher auf VPN-Anbieter, die oftmals zur Umgehung von GeoIP-Einschränkungen genutzt werden, und nicht um professionelle Organisation-VPNs. Für das iPhone empfiehlt die CISA speziell den Lock-Down-Mode – der begrenzt bestimmte Apps, Webseiten und Funktionen und reduziert die Angriffsoberfläche, aber damit auch die Nutzbarkeit.
Fußangel: „Alles was geht“ hilft nicht immer
Die Franzosen gehen weiter in die Vollen. „Deaktivere WLAN, wenn es nicht genutzt wird“, dasselbe schreiben sie für Bluetooth und NFC in ihren Empfehlungen. Den mit Android 16 eingeführten „Advanced Protection Mode“ sollten Nutzerinnen und Nutzer aktivieren, der ähnlich dem iOS-Lock-Down-Mode wirkt. Es finden sich auch Wiedergänger wie „schließe dein Mobiltelefon nicht an unbekannte USB-Ports und -Geräte an“. Auch sollten die zugewiesenen Berechtigungen aller Apps geprüft und angepasst werden.
Videos by heise
Die Tipps sind natürlich nicht grundsätzlich falsch. Aber die CISA schränkt schon mal ein, dass sich der Maßnahmenkatalog eher an „stark anvisierte Individuen“ richtet. Eine Beleuchtung, was für Einschränkungen die jeweilige Maßnahme mit sich bringt gegenüber dem zu erwartenden Nutzen, würde helfen, dass sich Interessierte leichter ein Bild machen und den potenziellen Nutzen informiert abwägen können. Sollte jemand etwa die vorgeschlagenen Maßnahmen alle so umsetzen, hält der überspitzt formuliert eher ein Retro-Handy als ein Smartphone in Händen, mit dem sich (mit Glück) noch telefonieren lässt. Etwa der Lock-Down-Mode von iOS wehrt viele der bekannten Spyware-Kampagnen ab, unterbindet dabei jedoch auch Dinge und Aktionen, die viele im Alltag nutzen.
Am Ende richten sich die Hinweise eher an hochrangige Personen, die davon ausgehen müssen, im Visier von Cyberkriminellen oder anderen staatlichen Akteuren zu stehen. Für die breite Masse an Nutzerinnen und Nutzern gehen viele der Konfigurationstipps jedoch deutlich zu weit und machen die Smartphones für sie nahezu unbenutzbar. Als Übersicht, was an Schutzmaßnahmen machbar ist, sind die Übersichten ebenfalls ein guter Anfang – denen jedoch noch Erläuterungen über die weiteren Auswirkungen fehlen.
(dmk)
