Foto: Kirill_M - Fotolia.com
Google kann Android-Smartphones aus der Ferne entsperren, wenn ein entsprechender Durchsuchungsbefehl oder eine gerichtliche Anordnung vorliegt, um Sicherheitsbehörden Zugriff auf beschlagnahmte oder aufgefundene Smartphones zu verschaffen. Das behauptet zumindest der New Yorker Bezirksstaatsanwalt Cyrus Vance in einem Bericht (PDF) aus der vergangenen Woche. Darin geht es um Smartphone-Verschlüsselung und die öffentliche Sicherheit. Verschiedene Medien griffen den Bericht auf und berichteten, dass der einzige Schutz gegen den Fernzugriff die vollständige Verschlüsselung des Geräts ist. Doch das ist nur die halbe Wahrheit, wie nun ein Mitarbeiter des Android-Sicherheitsteams erklärt.
Verschlüsselung auf dem Android-Smartphone
Bei der Android-Verschlüsselung werden alle Konten, Einstellungen, heruntergeladene Apps und andere Daten auf dem Smartphone gegen unbefugten Zugriff gesichert. Beim Einschalten des Smartphones wird unter anderem nach einer PIN, einem Muster oder einer Passworteingabe verlangt, um die Daten auf dem Telefon wieder für den Nutzer zu entschlüsseln. Bereits seit Android 3.0 Honeycomb gibt es die Möglichkeit der Verschlüsselung, allerdings ging mit ihr auch eine enorme Verschlechterung der Performance einher. Auf dem Nexus 6 und Nexus 9, welche mit Android 5.0 Lollipop ausgeliefert werden, ist diese standardmäßig aktiviert. Auch alle mit Android 6.0 Marshmallow ausgelieferten Smartphones und Tablets sind von Haus aus verschlüsselt.
Wie der Google-Mitarbeiter aus dem Bereich Android-Sicherheit Adrian Ludwig über Google+ klar stellt, ist Google nicht in der Lage, diese Sperre zu umgehen. Der Grund dafür ist ganz einfach: Die Abfrage nach dem Zugangspasswort oder der PIN erfolgt noch vor dem Start des eigentlichen Betriebssystems. Zu diesem Zeitpunkt ist es unmöglich, das Gerät aus der Ferne anzusteuern. Die Verschlüsselung bietet also zumindest so lange Sicherheit, wie das Smartphone ausgeschaltet ist. Ist das Gerät allerdings eingeschaltet, was bei einem gefundenen oder beschlagnahmten Gerät deutlich wahrscheinlicher ist, sieht die Situation anders aus.
Eigentlicher Zugriffspunkt ist die Display-Sperre
Wer sein Android-Smartphone mit einer Display-Sperre schützt, hat die Wahl eine PIN, ein Passwort, den Fingerabdruck oder ein Entsperrmuster einzurichten. Während sich PIN, Passwort und Fingerabdruck nicht aus der Ferne aushebeln lassen, gilt das nicht für das Entsperrmuster. In den Android-Versionen vor Android 5.0 Lollipop gibt es die Möglichkeit, über den Android Gerätemanager das Entsperrmuster aufzuheben, sollte man es vergessen haben. Über diesen Weg ist es auch Google möglich, nach rechtlicher Aufforderung die Sperre zu entfernen. Mit Android 5.0 Lollipop wurde diese Funktion allerdings gestrichen und der Nutzer muss nun eine Sicherheits-PIN hinterlegen, mit der das Smartphone entsperrt werden kann, sollte ihm das Entsperrmuster entfallen sein. Über den Gerätemanager lässt sich nur noch eine Sperre einrichten, wenn bislang keine genutzt wurde.
Zusammengefasst hat Google also unter folgenden Bedingungen die Möglichkeit Android-Geräte aus der Ferne zu entsperren:
-
Das Smartphone muss mit einer Vorgänger-Version von Android 5.0 Lollipop laufen, was laut aktueller Google-Statistik derzeit auf rund 75 Prozent der Android-Geräte zutrifft.
-
Zudem muss auf dem Gerät ein Muster zum Entsperren genutzt werden und zum Zeitpunkt der Beschlagnahmung oder des Auffindens angeschaltet sein.
-
Auch eine aktive Verbindung mit dem Internet gehört zu den Voraussetzungen.
Angesichts der noch recht starken Verbreitung älterer Versionen als Android 5.0 Lollipop sowie der recht häufig genutzten Musterentsperrung ist die Wahrscheinlichkeit also tatsächlich recht hoch, dass all diese Gegebenheiten eintreffen. Dagegen hilft das Umstellen der Display-Sperre auf eine PIN oder ein Passwort, die ohnehin mehr Sicherheit bieten. Was allerdings die Vollverschlüsselung des Smartphones angeht, bietet diese keinen zusätzlichen Schutz gegen einen Fernzugriff, sofern das Gerät bereits eingeschaltet und der Lockscreen über ein Muster gesichert ist. Zudem sollte nicht vergessen werden - das wird auch im Bericht erwähnt - dass es für die meisten Sicherheitsbehörden kein Problem ist, ein physisch vorliegendes Smartphone auch ohne Googles Hilfe zu entsperren.