Interview mit Steganos-Gründer Gabriel F. Yoran: „App-Nutzungsrechte müssten kontextbezogen abgefragt werden.“

von Fritz Ramisch am 23.Mai 2014 in Interviews, Mobile Security, News

Gabriel_Yoran_Geschaeftsfuehrer_Steganos_Software_GmbH„Es ist nicht sinnvoll, sich bei der Installation einer App die Lizenz für eine Batterie an Erlaubnissen zu holen, wie das gerade der Fall ist. Das liest keiner mehr. Es muss dann gefragt werden, wenn der Nutzer eine konkrete Aktion ausgelöst hat, zum Beispiel wenn er eine App auf sein Adressbuch oder die Kamera zugreifen lässt“, sagt Steganos-Geschäftsführer Gabriel F. Yoran. Yoran gründete das Unternehmen für Sichherheitssoftware zum Schutz der digitalen Privatsphäre 1997 mit zwei Schulfreunden in Frankfurt am Main. Der Diplom-Kommunikationswirt und gebürtige Frankfurter ist für die strategische Produktentwicklung und -konzeption des Unternehmens zuständig und ist sich sicher, dass „der Kontext hier eine wichtige Rolle für das Verständnis des Nutzers spielt. Es ist natürlich ein Mehraufwand für den Entwickler, weil er immer damit rechnen muss, dass der Nutzer bestimmte Erlaubnisse nicht erteilt. Damit müssen Apps aber dann zurechtkommen“. Steganos hat kürzlich die neue Android-App „Steganos Online Shield“ veröffentlicht. Einmal aktiviert, leitet die App den gesamten Datenverkehr via VPN-Verschlüsselung über speziell gesicherte Server und macht ein Mitlesen von Nachrichten nahezu unmöglich. Wir haben Gabriel F. Yoran zu Malware auf dem Smartphone, die Sicherheit von iOS und die Vorratsdatenspeicherung befragt.

mobilbranche.de: Wann hatten Sie das letzte Mal einen Virus oder Ähnliches auf dem Smartphone?

Gabriel F. Yoran: Ich benutze ein iPhone, auf dem man – im Vergleich zu Android – besser dasteht, wenn es um Malware geht. Bei Android sieht das anders aus: Das System erlaubt Installationen aus anderen Quellen. Diese Malware kann dann auch viel mehr Schaden anrichten als auf einem iPhone. Das ist auch der Grund, warum über 99 Prozent aller Malware-Installationen Android-Geräte betreffen. Den letzten Fall, den ich auf einem Android-Testgerät hatte, betraf ein Tool, das eigentlich versprach, Passwörter von Routern auszuspähen. Es nistete sich dann aber so tief ins System ein und blendete Werbung in fremde Apps ein, von denen es dann profitierte. Das ist zwar kein Virus, aber definitiv Malware-Verhalten. Die besagte App war in Googles Play-Store und ist dort immer noch zu finden.

mobilbranche.de: Ich persönlich hatte bislang noch nie Probleme mit Schadsoftware auf meinen Mobilgeräten – auf dem Laptop und PC schon eher. Inwiefern unterscheiden sich die Gefahren für Desktop-Nutzer und Mobilgeräte-Nutzer?

Gabriel F. Yoran: Mit einem Androidgerät tragen Sie einen vollwertigen Rechner mit sich herum, der neben Kamera und Mikrofon zudem mit Sensoren ausgestattet ist, die Ihr PC nicht hat: GPS, Schrittzähler und so weiter. Es handelt sich sozusagen um einen mobilen Rechner, der den PC als Hub für persönliche Daten abgelöst hat. Das Smartphone ist zudem meist nur mit einer PIN geschützt und gibt praktisch alle Daten frei. Und: Smartphones sind an Shopsysteme mit hinterlegten Kreditkartendaten angeschlossen. Diese Faktoren machen Schadsoftware auf Smartphones gefährlicher als auf dem PC: Mit wenig Aufwand kann diese viel mehr Schaden anrichten.

mobilbranche.de: Immer häufiger kursieren auch Meldungen über Schadsoftware auf iPad und iPhone. Ist die weit verbreitete Annahme, dass iOS-Geräte sicher (bzw. sicherer als Android-Geräte) sind, noch zeitgemäß? Warum ist das so?

Gabriel F. Yoran: Auch iOS-Apps übertragen manchmal Daten, die man – wenn man es wüsste – nicht übertragen wollen würde. Aber durch die Kontrollmechanismen des App-Stores ist man vor den meisten Attacken geschützt – um den Preis, dass es neben dem App-Store keine von Apple unterstützte Methode gibt, Software auf iOS-Geräte zu bringen.

mobilbranche.de: Derzeit überschlagen sich die Meldungen über Hacker-Angriffe, Daten-Spionage und Privatsphäre-Mängel in diversen mobilen Diensten. Solche Schlagzeilen müssten den Chef eines Sicherheits-Unternehmens doch eigentlich freuen, oder?

Gabriel F. Yoran: Wir würden uns freuen, wenn diese Meldungen auch zu einem geänderten Verhalten der Nutzer führten. Wir beobachten einen zarten Trend in diese Richtung, jedoch ist die Reaktion der meisten Nutzer auf die andauernden Horrormeldungen eine schleichende Resignation: Man kann ja sowieso nichts machen, ist das Gefühl, das viele haben. Aber das stimmt nicht. Natürlich kann man sich nicht gegen jede Eventualität schützen, aber so wie jeder seine Haustür abschließt, obwohl man sie auch dann mit einem Rammbock durchbrechen könnte, so sollte man seine Daten und seine Identität auch auf Smartphones schützen.

mobilbranche.de: Inwieweit haben aktuelle Meldungen etwa die der Vorratsdatenspeicherung Einfluss auf die Arbeit von Herstellern von Sicherheitssoftware?

Gabriel F. Yoran: Wir sind sehr froh über das Grundsatzurteil des EuGH zur Vorratsdatenspeicherung. Und ehrlich gesagt haben wir auch nichts anderes erwartet: Wir empfanden die VDS immer als ein völlig unverhältnismäßiges Mittel zur Verbrechensbekämpfung. Steganos ist ja 1997 auch unter schwierigen politischen Rahmenbedingungen gestartet: Damals wollte Innenminister Manfred Kanther ein generelles Verschlüsselungsverbot durchsetzen – auch angeblich zur Verbrechensbekämpfung. Das wäre heute undenkbar. Es gibt also einen Fortschritt, auch in der Politik, wenn auch einen sehr langsamen.

mobilbranche.de: Kürzlich hat Steganos die neue Android-App „Steganos Online Shield“ veröffentlicht. Einmal aktiviert, leitet die App den gesamten Datenverkehr via VPN-Verschlüsselung über speziell gesicherte Server und macht ein Mitlesen unmöglich. Wie wichtig sind Verschlüsselung und gesicherte Server heutzutage für mobile Internetnutzer?

Gabriel F. Yoran: VPNs sind ein sehr guter Weg, sich grundsätzlich vor Hackern im WLAN zu schützen. VPNs sind kein Wundermittel, aber lösen eine ganze Reihe von Problemen und zwar für praktisch alle Apps: Weil die gesamte Verbindung verschlüsselt wird – egal welche App sie dann nutzt. Das Fraunhofer Institut für Angewandte und Integrierte Sicherheit wies darauf hin, dass die meisten der 10.000 beliebtesten Android-Apps Daten unverschlüsselt übertragen. Da man zudem nicht genau weiss, was übertragen wird, können private Daten in WLANs abgefangen werden. Das verhindert zum Beispiel das Steganos Online Shield für Android.

mobilbranche.de: Mitarbeiter nutzen ihre privaten Mobilgeräte auf Arbeit (BYOD) oder andersherum. Inwieweit haben sich die Anforderungen an mobile Sicherheitssoftware dadurch verändert.

Gabriel F. Yoran: Das ist zum großen Teil eine Sache der Policy-Unterstützung mobiler Betriebssysteme. Mit den Konfigurationsprofilen unter iOS zum Beispiel kann man auch die Sicherheitsaspekte, zum Beispiel die zwangsweise Nutzung von VPNs, sicherstellen.

mobilbranche.de: Ein Blick in die Glaskugel: Wie wird sich die Sicherheitslage mobiler Dienste in den kommenden 5 Jahren entwickeln, welche Gefahren, Gegenmaßnahmen könnten Sie sich vorstellen?

Gabriel F. Yoran: https muss überall eingesetzt werden, auch dort, wo man es nicht wie im Browser „sieht“, also auch in den Apps. Im Zweifelsfall erzwingt man die Sicherheit zumindest auf der „letzten Meile“ mit einer VPN-Lösung. Auch muss es unter Android klarer werden, in welchem Kontext welche App welche sicherheitskritische Aktion auslöst. Es ist nicht sinnvoll, sich bei der Installation einer App die Lizenz für eine Batterie an Erlaubnissen zu holen, wie das gerade der Fall ist. Das liest keiner mehr. Es muss dann gefragt werden, wenn der Nutzer eine konkrete Aktion ausgelöst hat, zum Beispiel wenn er eine App auf sein Adressbuch oder die Kamera zugreifen lässt. Der Kontext spielt hier eine wichtige Rolle für das Verständnis des Nutzers. Es ist natürlich ein Mehraufwand für den Entwickler, weil er immer damit rechnen muss, dass der Nutzer bestimmte Erlaubnisse nicht erteilt. Damit müssen Apps aber dann zurechtkommen.

mobilbranche.de: Vielen Dank für das Interview.

Weitere spannende Interviews zum Mobile Business:

Wollen Sie über die Entwicklungen im Mobile Business auf dem Laufenden bleiben? Dann abonnieren Sie den kostenlosen Newsletter von mobilbranche.de im Formular oben rechts oder per E-Mail an abo@mobilbranche.de.


Artikel teilen

Sichern Sie sich jetzt Ihren Wissensvorsprung in Mobile Marketing und Mobile Business und abonnieren Sie die Meldungen von mobilbranche.de ganz bequem per E-Mail. Unser Newsletter erscheint täglich um 13 Uhr und ist kostenlos.

Hiermit akzeptiere ich die Datenschutzbestimmungen.

Facebook Kommentare:

Kommentare