Volle Kontrolle: So geht Smartphone-Schutz in elf Schritten

Berlin - Smartphones sind für viele keine Sicherheits-Sorgenkinder. Dabei sollte man ein waches Auge auf mögliche Gefahren haben - und wissen, welche Vorkehrungen man treffen muss.

Vorsicht ist besser als Nachsicht. Das ist leicht gesagt, trifft beim Smartphone aber voll ins Schwarze. Wer etwas Zeit in Prävention und Schutzmaßnahmen investiert, spart sich im Ernstfall viel Frust und Ärger mit seinem Telefon - egal ob iPhone oder Android. So schützen Sie ihren wichtigsten Helfer im Alltag:

1. Updates, Updates, Updates

Nutzerinnen und Nutzer sollten regelmäßig Aktualisierungen einspielen, um das Ausnutzen bekannter und eigentlich längst behobener Sicherheitslücken zu verhindern. Dazu rät Peter Mayer vom Karlsruher Institut für Technologie (KIT).

"Dies gilt sowohl für das Betriebssystem als auch für die installierten Apps", sagt der Experte für IT-Sicherheit. Falls möglich, sei es auch sinnvoll, automatische Updates zu aktivieren.

2. Keine App zu viel

"Es gibt leider keine Strategie, mit der man garantieren kann, dass ein Gerät sicher bleibt", sagt Prof. Melanie Volkamer, die am KIT die Forschungsgruppe Security Usability Society (SECUSO) leitet. "Aber man kann das Risiko minimieren, indem Nutzerinnen und Nutzer sich auf ein Minimum notwendiger Apps beschränken und darauf achten, welche Apps sie installieren."

Man sollte also auf Apps verzichten, die man gar nicht benötigt. Die Anwendungen, die man installiert, sollten aus den offiziellen Stores stammen. Dort Apps mit breiter Nutzerbasis, guten Bewertungen und häufigen Aktualisierungen den Vorzug geben.

3. Rooten verboten

Erweiterte Smartphone-Rechte erlangen - das klingt verlockend. Sinnvoll sind das sogenannte Rooten (Android) und der sogenannte Jailbreak (iOS) für normale Anwenderinnen und Anwender aber nicht. "Dieser Vorgang kompromittiert das Sicherheitsmodell des Geräts und sollte vermieden werden", sagt Prof. Volkamer.

Ansonsten mache man es Angreifern im Zweifel nur leichter, aufs Gerät zu kommen. Und es kann passieren, dass sicherheitskritische Anwendungen wie Banking-Apps dies überprüfen - und unter Umständen nicht richtig funktionieren oder die Funktionen einschränken.

4. Berechtigungen einschränken

Hat man die Berechtigungen nicht schon bei oder direkt nach der Installation einer neuen App geprüft, holt man das am besten nach. Anfragen für besonders sensible Berechtigungen, etwa für Kamera, Mikrofon und Standort, sollten besonders kritisch hinterfragt werden.

Zulassen sollte man grundsätzlich nur Berechtigungen, die für den jeweiligen Anwendungszweck nötig und plausibel erscheinen, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Achtung: Mit Updates können sich Berechtigungen ändern, weshalb diese bei jeder App am besten turnusmäßig geprüft werden.

5. Nie ohne Bildschirmsperre

Egal ob per Fingerabdruck, Gesichts-Scan oder Zahlencode: Ohne Bildschirmsperre läuft am besten nichts. Wenn jemand das Gerät entsperrt in die Finger bekommt, hat dieser Mensch freie Hand mit und freie Einsicht ins Smartphone. Ein Alptraum.

Auch die PIN-Sperre für die SIM-Karte sollte man nicht einfach aus Bequemlichkeit deaktivieren.

Die Bildschirmsperre ist eine unverzichtbare Barriere gegen die unberechtigte Nutzung von Smartphones und Tablets. © Till Simon Nagel/dpa-tmn

6. Immer misstrauisch sein

Abzockversuche per SMS, Messenger oder E-Mail haben gemein, dass sich der Absender leicht vortäuschen oder fälschen lässt. Der offizielle Look von Behörden-, Banken- und Unternehmensmails ebenfalls. Das sogenannte Phishing ist im Netz überall. Oft versuchen Angreifer Angst, Schrecken, Panik oder zeitlichen Druck aufzubauen, damit man unüberlegt handelt und sensible Daten preisgibt.

Wichtig: Links und Anhänge immer kritisch prüfen. Ist die Adresse hinter einem Link plausibel? Bei Zweifeln bloß nicht öffnen. Es schadet auch nie, den angeblichen Absender einfach einmal anzurufen.

Apps, die unverlangt als E-Mail-Anhang zugesandt oder als Download-Link angeboten werden, niemals installieren, warnt das BSI.

7. Und misstrauisch bleiben

Misstrauen bringt man am besten auch Anrufen mit unbekannter oder unterdrückter Nummer entgegen. Betrügerinnen und Betrüger versuchen manchmal, im direkten Gespräch an Passwörter oder PINs heranzukommen, warnt das BSI. Klingt plump, aber die Anruferinnen und Anrufer sind oft geschult, sehr manipulativ und überzeugend.

Im Browser kann man mit aggressiven Bannern konfrontiert werden. Diese aufdringlichen Pop-ups lügen das Blaue vom Himmel - von der fingierten Virenwarnung bis zum frei erfundenen Riesengewinn. Davon keinesfalls beeindrucken lassen. Bloß keinen "Anweisungen" folgen.

Anrufe von unbekannten oder unterdrückten Nummern können Betrugsanrufe sein. © Christin Klose/dpa-tmn

8. Mehr als ein Passwort

Lange, sichere und für jeden Einsatzzweck individuelle Passwörter sind überall Pflicht, auch auf Mobilgeräten. Passwortmanager sind empfehlenswert, um den Durchblick zu behalten. Die gibt es in aller Regel nicht nur als Software für den Rechner, sondern auch als App.

Wo immer es bei Konten und Diensten möglich ist, rät das BSI auch zur Zwei-Faktor-Authentisierung (2FA), also zur Nutzung eines zweiten Codes zusätzlich zum Passwort beim Einloggen. Solche Codes kann etwa eine 2FA-App ganz komfortabel auf dem Telefon anzeigen.

9. Verfolger abschütteln

Um Privatsphäre und Datenschutz auf dem Smartphone zu verbessern, lassen sich Tracker aussperren. Nicht nur im Browser, sondern in allen Apps und sogar für den gesamten Datenverkehr des Smartphones.

iOS- und Android-Anwendungen, die das leisten, hat etwa das Open-Source-Projekt Blokada hervorgebracht: Sie blockieren einfach alle Verbindungen zu unerwünschten Servern.

Ohne App lässt sich dasselbe durch das Aktivieren eines alternativen DNS-Anbieters wie Dnsforge.de in den Smartphone-Einstellungen auch auf Androiden ab Version 9 erreichen.

10. Keine Chance für Abofallen

Trotz vorgeschriebener Schutzmaßnahmen wie der Button-Lösung und Zahlungsabschluss auf einer Mobilfunkanbieter-Seite (Redirect-Verfahren) werden Verbraucher immer noch mit Abofallen betrogen, beobachtet die Stiftung Warentest. Dann bezieht man etwa auf einmal Videos oder Börsennews, die man nie wollte.

Zum Schutz davor lässt man am besten eine Drittanbietersperre einrichten. Dann kann für Dienste und Abos Dritter kein Geld mehr über die Handyrechnung eingezogen werden. Der Mobilfunkanbieter ist zum kostenlosen Schalten dieser Sperre verpflichtet. Das Einrichten geht online, per E-Mail und auch telefonisch.

Die Button-Lösung ist im Verbraucherschutzrecht festgeschrieben: Unmittelbar vor dem Aufgeben einer Bestellung muss es zunächst hervorgehoben und übersichtlich eine Zusammenfassung geben - und zwar mit Angaben zum Produkt oder zur Dienstleistung, zum Gesamtpreis, zu Versand- und Zusatzkosten sowie zu einer möglichen Mindestlaufzeit.

Abgeschlossen werden kann eine Bestellung laut Gesetz dann nur durch ausdrückliche Bestätigung des Verbrauchers - etwa durch eine gut lesbare Schaltfläche mit einer eindeutigen Formulierung wie "zahlungspflichtig bestellen".

Das Redirect-Verfahren geht auf eine Allgemeinverfügung der Bundesnetzagentur zurück. Damit ein Abo abgeschlossen werden kann, sieht das Verfahren vor, dass der Verbraucher auf eine gesonderte Seite des Mobilfunkanbieters umgeleitet wird, die auf entstehende Kosten hinweist. Erst wenn auf dieser Seite die Bestellung noch einmal bestätigt wird, ist ein Vertrag geschlossen.

Mehr zum Thema

9 Fakten, die Sie über das Internet wissen müssen

So lassen Sie Smartphone-Angreifern keine Chance

Wie Sie und Ihr Kind sicher Whatsapp und Co. nutzen

11. Lockanrufe ins Leere laufen lassen

Bei Lockanrufen (Ping-Calls) klingelt es so kurz, dass man gar nicht herangehen kann. Ziel der Betrüger ist es, dass man dann vom Smartphone aus teure Mehrwert-, Auslands- oder Satellitennummern zurückruft. Das sollte man also nicht direkt tun und die jeweilige Nummer erst einmal ganz genau prüfen.

Teils sind die Anfänge der Nummern leicht mit den Vorwahlen bekannter deutscher Ortsnetze zu verwechseln, erklärt die Bundesnetzagentur. Die Vorwahl von Madagaskar etwa lautet 00261 und die Vorwahl von Koblenz 0261. Im Zweifel lässt man teure Rufnummernbereiche einfach bei seinem Netzbetreiber für ausgehende Anrufe sperren.

Das funktioniert meist in Eigenregie gratis und online im Kundenbereich der Anbieter-Seite oder in der Anbieter-App. Findet sich dort keine Sperrmöglichkeit, fragt man beim Kundendienst an, erkundigt sich dann sicherheitshalber aber auch danach, ob beim Sperren über den Kundendienst Servicegebühren anfallen.