Bundesamt für Sicherheit in der Informationstechnik warnt vor vorinstallierten Schadprogrammen
Wir kennen es alle: Beim Kauf eines IT-Geräts spielen das Design, die Funktionalität und vor allem der Preis eine bedeutsame Rolle bei der Kaufentscheidung. Die digitale Sicherheit gerät dabei häufig in den Hintergrund. Nun warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kunden in den vergangenen Wochen vor vorinstallierten Schadprogrammen auf Tablets und Smartphones. Besonders bei günstigeren Geräten soll eine Ausspähung der Daten zu befürchten sein.
Ausgangspunkt
Im Januar und Februar 2019 hat das BSI über die Online-Plattform Amazon mehrere Geräte bestellt und anschließend analysiert. Das Ergebnis ist beunruhigend. Betroffen sind Geräte der Hersteller Krüger & Matz, Ulefone und Blackview. Der Analyse zufolge ist auf dem Tablet Eagle 504 der Marke Krüger & Matz eine Schadsoftware installiert worden, die Daten mit einem bekannten Command & Control-Server austauscht. Zwar konnten bei dem Smartphone S8 Pro von Ulefone (Firmwareversion F9G62C.GQU.Ulefone.HB.H.SSXSJS5MHMYP1HK.042) und dem A10 von Blackview (Firmwareversion V3EG62A.JKE.HB.H.P3.0711.V3.05_20180711-1021) keine Malware nachgewiesen werden, jedoch ist auch hier zur Vorsicht geboten. Die Hersteller der Smartphones bieten auf ihren Webseiten als einzige Möglichkeit eine ältere Firmware zum Download an, in welcher die Schadsoftware enthalten ist.
Gravierende Folgen für den Betroffenen
Die Schadsoftware – auch Schadprogramm oder Malware genannt – ermöglicht dem Hacker einerseits den Zugriff auf die Daten des Anwenders und andererseits die unbemerkte Fernsteuerung des Geräts. In- und Deinstallationen werden dem Hacker gemeldet und neue Programme können auf dem betroffenen Gerät installiert werden. Zusätzlich befürchtet die Behörde die Ausspähung von Kontodaten mittels Banking-Trojanern. In den meisten Fällen laden Nutzer willentlich ein Programm runter und während des Downloads wird automatisch ein weiteres Programm heruntergeladen, auf das der Nutzer jedoch nicht hingewiesen wird. Der Trojaner ist hierbei das eingeschleuste Computerprogramm.
„Wir haben die Hersteller der Geräte über unsere Erkenntnisse informiert und sie aufgefordert geeignete Maßnahmen zu treffen, um die Sicherheit ihrer Kunden wiederherzustellen“
Nachdem das BSI auf seine Kenntnisse hinwies, nahm die Online-Plattform Amazon die drei oben genannten Geräte aus dem Sortiment. Sowohl Blackview als auch Ulefone reagierten, indem sie ein Firmware-Update zur Verfügung stellten. Das BSI hat die betroffenen Updates überprüft und ihre Unbedenklichkeit bestätigt.
Schlechte Nachrichten
Dem BSI liegen Informationen vor, welche bestätigen, dass Daten von täglich mehr als 20.000 IP-Adressen an den Command & Control-Server übermittelt werden. Das BSI befürchtet, dass noch weitere Gerätetypen und möglicherweise auch andere Hersteller betroffen seien.
Die weitere Vorgehensweise an die Problematik ist noch unklar. Das Bundesamt für Sicherheit in der Informationstechnik rät den betroffenen Käufern, das infizierte Gerät so schnell wie möglich auszusortieren und sich an die Händler zu wenden. „Mehr ist dem BSI derzeit nicht möglich“, so BSI-Präsident Arne Schönbohm.
Währenddessen schlägt IT-Experte Jörg Schwenk einen anderen Weg ein. Dieser fordert einen IT-TÜV. Demnach sollen IT-Geräte in einem Labor auf ihre Aktivitäten geprüft werden, bevor man sie verkaufe.
Ob die Forderung des IT-Experten Schwenk umgesetzt werden kann, wird sich in Zukunft herausstellen. Bis dahin wird den Käufern geraten, sich vor dem Kauf eines Geräts über folgende Sicherheitsmerkmale zu informieren:
- Das neu gekaufte Gerät sollte die neueste verfügbare Firmware installiert haben.
- Die Käufer sollten nachfragen, ob eine Update-Versorgung durch den Hersteller zur Verfügung gestellt wird, um mögliche Fehler des Betriebssystems zu beheben.
- Eine SD-Kartenverschlüsselung ist eine Option, um Unbefugte daran zu hindern, auf die persönlichen Daten auf dem Gerät zuzugreifen. Hierzu sollten sich die Käufer informieren, ob eine SD-Kartenverschlüsselung vom Hersteller mitgeliefert wird.
Quellen
- Philipp Wundersee, Schadsoftware auf Tablets und Smartphones, tagesschau.de, 26.02.2019, abrufbar unter: https://www.tagesschau.de/wirtschaft/warnung-schadsoftware-101.html, zuletzt abgerufen am 19.03.2019
- Bundesamt für Sicherheit in der Informationstechnik, Update: BSI warnt vor IT-Geräten mit vorinstallierter Schadsoftware https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Warnung_vorinst_Schadsoftware_260219.html, zuletzt abgerufen am 19.03.2019
- Alexander Unger, Schadsoftware auf Tablets und Smartphones inklusive, Onetz, 26.02.2019, abrufbar unter: https://www.onetz.de/deutschland-welt/oberpfalz/schadsoftware-tablets-smartphones-inklusive-id2644855.html, zuletzt abgerufen am 19.03.2019
- Bundesamt für Sicherheit in der Informationstechnik, Beim Kauf von IT-Geräten geht die Sicherheit vor, abrufbar unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/produktwarnung-it-geraete.html, zuletzt abgerufen am 19.03.2019
- Franziska Baum, Was ist ein Trojaner? , 01.09.2016, abrufbar unter: https://www.onlinewarnungen.de/lexikon/trojaner/