Mit einer technischen Warnmeldung der Risikostufe 5 vom 02.08.2016 (TW-T16-0081) (https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0081.html (abgerufen am 03.08.2016)) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Nutzern von Smartphones mit dem von Google entwickelten Betriebssystem Android empfohlen, das neuste Sicherheitsupdate zu installieren. Das Update mit dem Patchlevel-Datum 5. August 2016 steht für die Google-eigenen Nexus Geräte sowie Blackberry unverzüglich zur Verfügung. Für Geräte anderer Hersteller gilt: Installieren, sobald das Update verfügbar ist (http://www.heise.de/security/meldung/BSI-warnt-vor-Sicherheitsluecken-in-Android-3284831.html (abgerufen am 03.08.2016)). Google schließt mit dem Update über 100 Sicherheitslücken, von denen 12 unter anderem deswegen als „kritisch“ eingestuft wurden (https://source.android.com/security/bulletin/2016-08-01.html (abgerufen am 03.08.2016)), da sie wohl aktiv ausgenutzt werden (http://winfuture.de/news,93440.html (abgerufen am 03.08.2016)). So ist es einem Angreifer aktuell möglich, Informationen auszuspähen, zusätzliche Berechtigungen zu erlangen, die Verfügbarkeit bestimmter Dienste und des gesamten Geräts zu beeinträchtigen sowie beliebige Befehle und Programme auszuführen und damit dauerhaft die Kontrolle über ein Gerät zu übernehmen (https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t16-0081.html (abgerufen am 03.08.2016)). Betroffen sind alle Geräte mit Android 4.4.4 KitKat, 5.0.2, 5.1.1 Lollipop, 6.0 oder 6.0.1 Mashmallow sowie Blackberry powered by Android (https://source.android.com/security/bulletin/2016-08-01.html (abgerufen am 03.08.2016)).
Wieder einmal stellt sich angesichts dieser massiven Sicherheitslücken die Frage, wie sicher Android denn nun ist, wie sicher es sich in Zukunft überhaupt gestalten lässt und wie es sich im Vergleich zu anderen Betriebssystemen, insbesondere Apples iOS, schlägt. Grundsätzlich lässt sich wohl festhalten, dass kein Betriebssystem zu 100 % vor Malware und unerwünschten Zugriffen geschützt ist. Ein kompletter Schutz ist auch in Zukunft aufgrund der rasanten technischen Entwicklung und der Vielzahl an Möglichkeiten, Malware unter zu bringen, nicht denkbar.
Fakt ist jedoch, dass Google mit Android den Smartphone Markt dominiert (2016: 83,7 %) und diese Stellung in Zukunft noch ausbauen wird (2020: 85,1 %) (http://de.statista.com/statistik/daten/studie/182363/umfrage/prognostizierte-marktanteile-bei-smartphone-betriebssystemen/ (abgerufen am 03.08.2016)). Daher interessieren sich Angreifer eher für Android als für andere Betriebssysteme. Downloads aus den offiziellen App Stores bergen grundsätzlich ein geringes Malware-Risiko, da Google (Play Store) und Apple (App Store) die dort angebotenen Apps auf Schadsoftware prüfen (https://www.androidpit.de/android-als-zielscheibe-mobiler-malware (abgerufen am 03.08.2016)). Jedoch ist es im Gegensatz zu iOS bei Android Geräten auch möglich, Apps von sogenannten Drittanbieter-App-Stores zu installieren. Dies sind dann meist legitim aussehende und funktionierende Apps, die aber einen unerkennbaren Schadcode enthalten und das Gerät mit Malware infizieren. Auch die „klassische“ SMS mit Downloadlink wird nach wie vor von Angreifern verwendet (https://www.androidpit.de/android-als-zielscheibe-mobiler-malware (abgerufen am 03.08.2016)). Problematisch ist, dass Android in verschiedenen Versionen auf Geräten verschiedener Hersteller läuft. Denn so müssen Sicherheitsupdates von jedem Hersteller für seine Geräte entwickelt werden, was oft aus Kostengründen unterbleibt (https://www.androidpit.de/android-als-zielscheibe-mobiler-malware (abgerufen am 03.08.2016)). Im Gegensatz dazu genügt ein einziges iOS Update, um alle iPads und iPhones auf den neusten Stand zu bringen.
Für Unternehmen besteht bei einem Malware-Befall natürlich die Gefahr, dass Firmeninterna und sonstige vertrauliche Daten in die Hände von Unbefugten oder sogar Konkurrenten gelangen. Daher sollte von vornherein dafür gesorgt werden, dass Mitarbeiter ein Gerät ausschließlich für berufliche und eines ausschließlich für private Zwecke verwenden. Des Weiteren sollte ein Anti-Malware oder Anti-Virus Programm auf dem Gerät installiert sein. Auch müssen Mitarbeiter davor gewarnt werden, inoffizielle Apps herunterzuladen. Insbesondere der Download aus Drittanbieter-App-Stores sollte nach Möglichkeit ganz unterbleiben. Wichtig ist es auch, immer die neusten Sicherheitsupdates zu installieren. So sind zumindest die bekannten Sicherheitslücken geschlossen. Ein lückenloser Schutz lässt sich aber leider nicht erreichen. Deswegen sollten Mitarbeiter auch dazu angehalten werden, technische Ungereimtheiten oder Vorkommnisse dem firmeninternen Administrator zu melden. Nur so kann sichergestellt werden, dass schnell die richtigen Maßnahmen zum Schutz vertraulicher Daten getroffen werden können.