Wie Windows Phone sicher wird

Microsoft steht für Windows, SharePoint, Exchange und Office - und darf sich in vielen dieser Bereiche als beinahe unangefochtener Platzhirsch bezeichnen. Geht es jedoch um mobile Geräte, sieht kaum jemand das Unternehmen aus Redmond in den vorderen Rängen. Ein Blick in die Historie zeigt, dass Microsoft sich schon einmal deutlich erfolgreicher im mobilen Segment bewegte.

Als Apple den Newton wieder aufgab und nur noch Palm den Handheld-Markt bediente, schaffte es Microsoft, eine sehr große Anzahl professioneller Entwickler für "Windows Mobile" zu gewinnen: Mit Windows Mobile kam ein kompaktes Betriebssystem auf den Markt, das für den Einsatz auf mobilen Geräten optimiert war. Zwar basiert es auf der Microsoft Win32-API, jedoch ist für den Anwender außer einer optischen Ähnlichkeit der Oberflächen kaum eine Ähnlichkeit in der Architektur erkennbar. Trotz dieser Unterschiede basieren selbst heute noch viele tragbare Datenerfassungsgeräte, Navigationssysteme und einfacher Pocket-PCs auf dem bis zum Jahr 2010 weiterentwickelten "Windows Mobile 6.5" oder einer seiner Ausprägungen.

Wichtige Kernfeatures dieses Systems:

• Windows Mobile bietet dem Benutzer den vollen Zugriff auf das Dateisystem;

• Es erlaubt die Installation von Programmen ohne Zwischenschaltung eines "Market Places";

• Es hat auch sonst weitaus mehr Eigenschaften eines minimalisierten Desktop-Betriebssystems zu bieten als viele moderne Mobil-Plattformen.

Windows Phone ist nicht Windows Mobile

Mit dem Erscheinen von Windows Phone 7 im Februar 2010 änderten sich nicht nur die Steuerung und die Optik des Betriebssystems. Es handelt sich hierbei zudem um eine komplette Neuentwicklung, die auf Windows CE 6.0 R3 und Teilen von Windows Embedded Compact 7 basiert. Die einstigen Freiheiten beim Zugriff auf Dateien und beim Erwerb von Software wurden komplett über Bord geworfen. Dadurch, dass Microsoft den Hardwareherstellern außerdem eindeutige Vorgaben macht, was die zulässige Ausstattung der Geräte angeht, existiert leider auch kein Gerät, das ein Update von 6.5 auf 7 ermöglicht.

Mit einer insgesamt viel intuitiveren Benutzeroberfläche sowie mit Multitouch- und Gestensteuerung ähnelt das Konzept viel mehr einem Apple iPhone als einem aktuellen Windows-Desktop-System. Es mit der kommenden Version 8 von Windows werden dann wohl alle "Windows-Varianten" wieder ähnlich bedient werden.

Das Sicherheitskonzept von Microsoft

Das Konzept des Windows-Phone-Betriebssystems ist kaum mit dem seines Vorgängers zu vergleichen:

• Viele Programme werden aus Gründen der Betriebssicherheit nicht mehr angeboten;

• Eine App (oder andere Möglichkeit) für die Erstellung von Screenshots existiert ebenfalls nicht;

• Das Betriebssystem verbietet Hintergrundprogramme im klassischen Sinne. Wird eine App geschlossen, so ist sie komplett deaktiviert. Das ist im Sinne der Sicherheit entscheidend: Hintergrund-Programme sind für jeden ausgewachsenen Schädling zwingend notwendig. Gibt es keine "Hintergrund-Programme" im klassischen Sinne, ist zunächst einmal grundsätzlich kein Programm dazu in der Lage, aus dem Hintergrund heraus Daten zu manipulieren;

• Das Recht zum direkten Versand von SMS wird bei Windows Phone 7 keiner Applikation eingeräumt: Der Benutzer muss stets im "Nachrichten"-Programm selbst auf "Senden" klicken;

• Jede App kann nur für sich selbst Daten ablegen und wieder einlesen;

• Es gibt keine Möglichkeit, auf die Dateien anderer Programme zuzugreifen.

Der einzige für den Anwender direkt zugängliche Speicherbereich ist für Musik- und Bilddateien vorgesehen. Gemäß den Vorgaben von Microsoft sind austauschbare Datenträger wie SD-Karten auf diesen Systemen ebenfalls nicht zulässig. Aus Kostengründen haben einige Telefonhersteller trotzdem SD-Karten verbaut. Somit wäre theoretisch dann auch ein Datenzugriff auf einem Desktop-PC möglich. Das ist e in weiterer in Hinblick auf die Sicherheit wichtiger Faktor: In der Praxis scheitert ein derartiger Zugriff am "Single Partition"-Modell des Dateisystems: Der Speichplatz der internen SD-Karten und der eingebaute Speicher im Windows Phone bilden immer eine Einheit. Wird die Karte entfernt, löscht das Betriebssystem alle Informationen des internen Speichers. Zudem verschlüsselt das Windows Phone die Daten auf der SD-Karte mit einem 128 Bit starken Passwort. Diese Mischung an Techniken macht es sehr unwahrscheinlich, dass die Daten ohne zusätzliche technische Hilfsmittel ausgelesen werden können. Weitere Details zum Sicherheitsmodell findet der interessierte Leser im englischsprachigen TechNet-Beitrag "Windows Phone 7.5 enterprise security and policy management".

Der Praxis-Test: Wie ist die Nutzbarkeit im täglichen Einsatz?

Bei einer derlei restriktiven Haltung von Seiten des Anbieters entsteht unweigerlich die Frage, ob mit einem solchen Gerät überhaupt gearbeitet werden kann. Wir haben deshalb ein Windows Phone 7.5 drei Monate im täglichen Praxiseinsatz eingehend getestet. Dabei haben wir beispielsweise die Verbindung mit zwei unterschiedlichen Exchange-E-Mail-Konten und mehrere Kalender täglich eingesetzt. Das Betriebssystem konnte alle gestellten Anforderungen problemlos bewältigen.

Gängige Apps wie "Spiegel Online", "Sportschau", "Kindle" und"Facebook" stehen auch für die Windows-Plattform zu Verfügung und lassen sich ebenso einfach installieren und benutzen, wie ihre iOS- oder Android-Pendants. Auch Fernwartungszugriffe auf Server per RDP funktionieren problemlos. Leider existiert eine unserer "Wunsch-Apps" noch nicht: Der Fernzugriff mittels der populären Teamviewer-Software funktioniert wegen dieser fehlenden App (noch) nicht.

Auch der Umfang des "Marketplace" kann mit dem der Apple- oder Android-Systeme bei Weitem noch nicht mithalten: Aber entsprechend witzige bis sinnfreie Apps gibt es auch dort in reichlicher Anzahl. Einzig die Suchfunktion im Microsoft Marketplace bietet Grund zur Kritik: Die Ergebnislisten wimmeln nur so von Musiktiteln - das macht die Suche nach einer App unnötig schwierig.

Windows Phone 7: Die einfachen Sicherheits-Tipps

Smartphones sind kleine Computer für die Hosentasche und nicht nur Telefone. Der gesunde Menschenverstand ist und bleibt der beste Sicherheitsberater. Hier einige Ratschläge, die den Einsatz eines Windows Phone 7 auf Dauer sicherer machen:

• Nehmen Sie auch auf diesen Systemen niemals einen "Jailbreak" vor, der dem Benutzer den Zugriff auf alle Ressourcen öffnet. Dies mag aus didaktischen Gründen für Entwickler und Sicherheitsprofis von Interesse sein, nicht aber für den normalen Benutzer. Hier existiert auch ein wichtiger Unterschied zu den anderen mobilen Betriebssystemen: Im Gegensatz zu Apples iOS und Googles Android scheint ein Jailbreak auf einem Microsoft System problemlos umkehrbar zu sein. Da in diesem Fall jedoch das Schutzsystem komplett deaktiviert wurde, sind diese Geräte auch nach einem zurückgenommenen Jailbreak immer als kompromittiert zu bezeichnen;

• Führen Sie Updates möglichst zeitnah aus. Der Update-Dienst von Microsoft zeigt wiederholt an, dass Updates für das Betriebssystem zur Installation anstehen. Um diese dann zu installieren, ist leider eine direkte Verbindung mit einem Desktop-Computer erforderlich, auf dem die Zune-Software installiert ist. Die Erfahrungen der letzten Monate zeigen, dass ein solches Update auch eine längere Zeit in Anspruch nehmen kann. Planen Sie für einen Wechsel von der "Urversion" Windows Phone 7.0 auf 7.5 Mango zwei Stunden an Zeit ein. Diese umständliche Update-Prozedur ist ein echter Nachteil dieses Betriebssystems;

• Aktivieren Sie den "Mein Handy finden"- Dienst von Microsoft: Dieser erhöht zwar den Akkuverbrauch, hilft aber, das Gerät über das Webinterface "Mein Handy" mit wenigen Mausklicks zu lokalisieren. Im Bedarfsfall können Sie das Gerät löschen oder zumindest sperren. Diese Möglichkeit ist vom Standpunkt der Sicherheit aus ein echter Gewinn: Auf den anderen mobilen Systemen mussten wir dazu erst eine zusätzliche App installieren;

• Deaktivieren Sie ungenutzte Dienste! Wenn Sie keine WLAN- Verbindung brauchen, deaktivieren Sie diese Funktion. Das reduziert das Risiko, von WLAN-Scannern entdeckt zu werden und erhöht die Akkulaufzeit deutlich;

• Besondere Vorsicht gilt bei offenen WLANs! Denken Sie daran, dass hier alle (!) Daten im Klartext über das Netz gehen - das gilt auch für die Kennwörter der E-Mail oder der Banking-App, solange diese Anwendungen bei der Verbindung nicht explizit einen eigenen, sicheren Tunnel aufbauen;

• Löschen Sie ungenutzte Apps. Programme, die keiner benutzt, blockieren Speicherplatz auf dem Gerät und stellen ein potenzielles Sicherheitsrisiko dar. Apps, die nicht vorhanden sind, müssen weder aktualisiert werden noch können Sicherheitslücken in ihnen ausgenutzt werden;

• Aktualisieren Sie möglichst regelmäßig die Apps auf Ihrem Gerät. Dank des Microsoft-Update-Dienstes muss der Benutzer nur noch die Aktualisierung bestätigen. Es gibt keinen Grund, dies aufzuschieben oder gar zu deaktivieren;

• Absolute Pflicht ist der Passwortschutz. Geht ein Gerät verloren oder wird es gestohlen, ist zumindest sichergestellt, dass es dem möglicherweise nicht aufrichtigen Finder schwer gemacht wird, an Ihre Daten zu gelangen. Es versteht sich von selbst, dass Sie niemals Ihr Gerät in die falschen Hände geben dürfen;

• Sperren Sie kostenpflichtige Mehrwertdienste-Nummern (Value Added Services).

Zusätzliche Sicherheitssoftware gibt es nicht

Mit dem Dienst "Mein Handy" hat Microsoft eine die wichtigsten Funktionen von Sicherheitsprogrammen bereits an Bord. Das Mobiltelefon lässt sich auf einer Kartenansicht lokalisieren. Über das Web-Interface kann der Nutzer zudem eine Sperre des Geräts, ein dauerhaftes Klingeln und selbst einen kompletten Löschbefehl ausführen. All diese Funktionen müssen in der Regel bei Android oder auch iOS mittels zusätzlicher Software nachinstalliert werden.

Während sich auf dem Windows Mobile 6.5- und Android-Markt die typischen Sicherheitshersteller wie Kaspersky, ESET oder Sophos tummeln, herrscht im Marketplace für das moderne Windows Phone 7 gähnende Leere. Antiviren-Lösungen oder Schutzsoftware gibt es aktuell für das Windows Phone nicht.

Da bisher noch kein einziger Schädling für die Plattform bekannt geworden ist, ist dies bis jetzt auch noch kein echter Mangel. Gibt der Benutzer dennoch beherzt "Antivirus" ein, so erscheint als App lediglich eine Software, die die Unterschiede von Viren erklärt und auf verschiedene Antiviren-Softwarehersteller verweist.

Der Hersteller AVG hat zwar eine Variante ihrer Sicherheitssoftware auch für Windows Phone 7 angekündigt, jedoch mit dem Vermerk, dass lediglich die Bild- und Musikdateien nach schädlichem Code durchsucht werden. Ein aktueller Blick auf die Website des Anbieters zeigt allerdings, dass "AVG Mobilation" immer noch auf "Coming soon" steht, beziehungsweise dass die sich App aktuell (April 2012) im Prozess der Zertifizierung für den Windows Phone Marketplace befindet. Mit einem zeitnahen Release ist aber durchaus zu rechnen.

Praktische Helferlein

Auch wenn es keine reinrassige Sicherheitssoftware für das Windows Phone gibt, existieren dennoch einige Apps, die dem Benutzer das Leben leichter machen. So legt beispielsweise der "Incognito Browser" generell keinen Verlauf an und eignet sich daher ausgezeichnet für Benutzer, die den Verlauf im herkömmlichen Internet Explorer "sauber halten" wollen. Wer nur schnell die Anfangszeiten eines Kino-Programms nachschlagen will, braucht später den Verlaufshinweis darauf gewiss nicht mehr. Die gerade einmal 1 MB große App für Windows Phone 7.5 basiert auf dem eingebauten Internet Explorer und erlaubt mit zwei Berührungen, Skripte ein- beziehungsweise auszuschalten. Leider fehlen Registerkarten und Lesezeichnen sowie eine Möglichkeit, auf eine "Standard-Desktop-Ansicht" zu wechseln.

Die Software "Password Crypt" von William B. Bassett ist ebenfalls nur 1 MB groß und steht für Windows Phone 7.5 zur Verfügung. Sie bietet die Möglichkeit, Passwörter und Benutzer-IDs für Webseiten in der Software abzulegen und durch ein einziges Master-Passwort zu schützen. In der aktuellen Version 2.1 wurden lediglich einige optische Anpassungen vorgenommen und eine automatische Generierung von Passwörtern eingefügt. Eine Möglichkeit, die Daten mit einem Desktop-PC zu teilen, scheint der Autor nicht in der Planung zu haben.

Fazit: Windows Phone 7 ohne Sicherheitslücken

Bezüglich des generellen Sicherheitsansatzes, der folgende Features anbietet:

• Kein Vollzugriff für den Benutzer,

• Programme nur aus dem Market-Place und

• nur minimaler Zugriff auf das Dateisystem,

unterscheiden sich die Anbieter Apple und Microsoft kaum voneinander. Folglich gibt es auch in den Shop-Systemen keine oder kaum Sicherheitssoftware für die mobilen Plattformen. Bei Microsoft scheint, so der aktuelle Jahresbericht des spanischen Sicherheitsdienstleisters S21sec, dieser Ansatz bisher auch aufzugehen. Für die aktuelle Mobilplattform von Microsoft ist bisher keine Sicherheitslücke bekannt geworden.

Apples iOS indes "glänzte" mit 35 Lücken, während nach diesem Bericht Googles Android mit sechs Lücken zu kämpfen hatte. Aus dem Report der Spanier geht jedoch nicht hervor, wie viel Zeit verging, bis eine Lücke geschlossen wurde. Ob die fehlenden, bekannt gewordenen Sicherheitslücken beim Windows Phone nun die Folge der geringen Verbreitung oder das Ergebnis einer besseren Architektur sind, lässt sich bis aktuell ebenso wenig sagen.

Lesen Sie auf der folgenden Seite unser abschließendes Security-Fazit über die drei mobilen Betriebssysteme Android, iOS und Windows Phone...

iOS, Android, WP7 im Sicherheitsvergleich

Welche der drei großen Smartphone-Plattformen Android, iOS oder Windows Phone 7 generell die beste ist, kann nicht so einfach beantwortet werden. Es kommt grundsätzlich immer auf die Anforderungen und Bedürfnisse des Nutzers an: In Bezug auf die Sicherheit bescheinigen wir allen drei Systemen generell ein durchaus gelungenes Konzept mit einem jeweils gut balanciertem "Benutzerfreundlichkeit-Sicherheit"-Verhältnis.

Android ist die flexibelste und kostengünstigste Plattform. Leider gibt Google als Anbieter des Betriebssystems den Software- und Hardware-Herstellern zu weit gefasste Vorgaben. Man bekommt beinahe den Eindruck, dass Google die Bereitstellung neuer Funktionen wichtiger sei als die Modellpflege. Wer sich für Android entscheidet, muss sich um die Sicherheitsbelange seines Geräts aktiv selbst kümmern. Die immer größere werdende Diversifizierung des Betriebssystem tut ein Übriges dazu: Auch heute ist es noch möglich, Android-System mit einem Betriebssystem in der Version 1.6 einschließlich der entsprechenden Sicherheitslücken zu erwerben. Alles zur Android-Sicherheit lesen Sie im CW-Artikel "Wie Android sicher wird".

Systemeinstellungen
Eine Kleinigkeit, die leider oft vernachlässig wird: In den Systemeinstellungen von Android kann die grundsätzliche Installation von Anwendungen, die nicht aus dem Android-Market stammen, zugelassen werden. Diese sollte immer wieder zurückgesetzt werden.

Release auf Release
Ein Problem der Android-Systeme ist der schnelle Release-Wechsel verbunden mit der gleichzeitig schleppende Update-Politik der Hersteller: Hier ein Blick auf das Release 4.0 (Ice Cream Sandwich), das bis jetzt nur auf wenigen Systemen zu finden ist (Quelle: Android Open Source project).

Cerberus
Eine Gewissensfrage: Viele Anwendungen für Android – auch solche, die selbst dem Schutz des Systems dienen wie die hier gezeigte "Cerberus"-Lösung – verlangen und benötigen weitgehende Rechte auf dem System.

AVG Free
Eine der Lösungen, die dem Anwender auch als Freeware unter Android zur Verfügung stehen: AVG Free für mobile Systeme.

Achtung vor USB-Debugging
Das konnte im Test überzeugen: Die AVG-Lösung machte nach der Installation sofort darauf aufmerksam, dass der sogenannte USB-Debugging-Modus, der auf diesem Gerät aktiviert war, eine Sicherheitslücke darstellt.

Schnelle Meldung
Auch an dieser Stelle machte die AVG-Lösung einen guten Eindruck: Obwohl der EICAR-Test-String und die Viren, für die er steht, dem Android-System nicht direkt schaden können, wurde die Datei auf der SD-Karte bemerkt und entsprechend gemeldet.

Lookout Security & Antivirus
Die Lookout-Software Security & Antivirus bei der Installation: Die Lösung wurde sehr gut lokalisiert und erläutert dem Anwender die einzelnen Schritte während der Installation auf dem Smartphone.

Backup
Eine integrierte Backup-Lösung steht ebenfalls zur Verfügung: Wer allerdings auch seine Bilder und Daten von der Telefon-Historie sichern will, muss die Premium-Version der Software käuflich erwerben.

App Scanning
Die Lookout-Lösung nach der Installation im Einsatz: Sie konzentriert sich bei der Untersuchung der Daten auf dem Smartphone vor allen Dingen auf die darauf installierten Apps und untersucht sie regelmäßig.

Nexploit
Der Versuch eines Angriffs: Der hier gezeigte Vulnerability-Scanner Nexploit konnte zwar auf unserem Tablet unter Android 2.3.5 eine theoretische Lücke im ICMP-Zeitstempel finden – angreifbar war diese hingegen nicht.

Ad Detector
Eine weitere Sicherheitsinformation für das Android-Gerät: Mit Hilfe der App "Ad Detector" werden die installierten Apps daraufhin untersucht, mit welchem Anzeigen-Netzwerk sie in Verbindung stehen.

Schadsoftware gefunden
Und schon ist ein Schuldiger gefunden: Ad Detector zeigt nicht nur an, zu welchen Anzeigen-Servern eine Verbindung besteht, sondern benennt auch die entsprechende App auf dem Android-Telefon. In diesem Fall war es eine App, die Hersteller Samsung auf dem System installiert hatte!

Mobile Threat Tracker
Sehr schön dargestellt: Mit Hilfe der Anwendung Mobile Threat Tracker wird dem Anwender sehr eindringlich die aktuelle Bedrohungslage visualisiert.

Apples iOS ist technisch gesehen etwas sicherer und der Hersteller bemüht sich redlich um die Einhaltung von Vorgaben für Softwareentwickler. Aufgrund der weiten Verbreitung und der beinahe schon sprichwörtlichen Scheu vor Sicherheitsprogrammen der Apple-Nutzer tummeln sich aber auch "schwarze Schafe" im Marketplace. Alles zur iOS-Sicherheit lesen Sie im CW-Artikel "Wie iOS sicher wird".

Wie iOs sicher wird
Um den scharfen Krallen von "Talking Tom" zu entkommen, lesen Sie unsere Tipps...

Eingeschränkt
Moderne Oberfläche, beliebtes Gerät – das iPhone von Apple: Der Benutzer kann vorinstallierte Apps wie "Wetter" und "Aktien" aber leider nicht selbst entfernen. Hersteller Apple kann hingegen im Bedarfsfall Apps automatisch deinstallieren.

Doppelsperre
Die wichtigsten Sicherheitseinstellungen unter iOS: die "Automatische Sperre" des Geräts und die "Code-Sperre". Mit ihrer Hilfe können unberechtigte Personen davon abgehalten werden, Zugriff auf die Daten zu bekommen.

WLAN aus!
Wer kein WLAN benötigt, sollte tunlichst die "Wi-Fi-Verbindung" ausschalten: Das verlängert nicht nur die Akkuleistung sondern senkt auch das Sicherheitsrisiko.

Sparsam mit den Apps
Ein weiterer wichtiger Tipp: Ungenutzte Applikationen sollten stets deinstalliert werden, das spart Speicherplatz und verringert das Risiko. Sobald Apple ein Update bereitstellt, sollte dieses zudem zügig installiert werden.

Update-Service
Der Update-Service für Apps macht es dem Benutzer wahrlich leicht – dieser sollte genutzt werden: Die Wahrscheinlichkeit unter iOS Opfer einer "Re-Packing"-App zu werden ist sehr gering.

Passwort please
Ein Vorteil in Bezug auf die Sicherheit: Einschränkungen auf dem iPhone stellen sicher, dass Funktionen nur durch Eingabe des Codes ausgeführt werden können.

Spielend sicher?
Ein typisches "Apple-Problem": Antivirus-Programme für iOS gibt es nicht – wer im Store danach sucht, findet lediglich Spiele.

Teurer Kater
Ein echter Angriff auf die iOS-Welt: Die Werbeeinblendungen von "Talking Tom" bestanden mitunter kostenpflichtige Abos oder 0900-Rufnummern und zeigten, dass auch dieses System kompromittiert werden kann

Risikoverwaltung
Wichtig in professionellen Umgebungen, in denen mobile Geräte zum Einsatz kommen: Der zentrale Blick auf die installierten Programme der Geräte zeigt mögliche Gefahren.

MDM
Das sogenannte Mobile Device Management (MDM): Mit Hilfe dieser Technik können IT-Administratoren die Sicherheitseinstellungen von Smartphones zentral steuern.

Das Windows Phone 7.x darf mit der Mischung aus dem auf Sicherheit getrimmten Betriebssystem und aufgrund der eher geringen Verbreitung derzeit als die sicherste Mobilplattform betrachtet werden. Wie aber die jüngsten Vorfälle um die Angriffe auf Apple Mac OS X deutlich zeigen, ist das keine Versicherung: Es gibt kein "per se" sicheres Betriebssystem - auch nicht auf den Smartphones. (sh)