Achtsamkeit – von Klebstoff und Smartphones

27.06.2023 / Oliver Flüs

Wie man von Klebstoff zum Smartphone kommen kann

Neulich bekam ich einen Lesehinweis auf einen Artikel einer Berliner Tageszeitung, der in der digitalen Form kostenlos zugänglich war. Darin wurde über neue Maschen von Einbrechern in Berlin berichtet. Als in dieser Form eher neu wurde unter anderem der Trick erläutert, bei dem dünne Klebstofffäden vor Türen dazu angebracht werden, um länger verlassene Wohnungen zu bestimmen. Einbrecher möchten ungestört bleiben, schon beim Überwinden von Türschlössern. Kein Schloss ist unüberwindbar, aber für gute Schlösser braucht der Einbrecher mehr Zeit. Die Abwesenheit von Bewohnern ist eine interessante Information für Kriminelle, die Einbrüche planen und gute Gelegenheiten dafür ausloten. Denkt man ein bisschen weiter, kommt man bei digitalen Möglichkeiten an, wie jemand die Abwesenheit vom Wohnort ausspionieren könnte. Eine denkbare Quelle: das Smartphone – unterwegs immer dabei, und es kann Aufenthaltsorte und damit verbundene Gewohnheiten auf verschiedene Weise preisgeben.

Einbrecher bleiben gerne ungestört und spionieren Abwesenheit aus

Kriminelle nutzen gerne Informationen aus scheinbar alltäglichen Situationen, um sich zu informieren, bevor sie „zuschlagen“. Warnhinweise in Presse und Medien sowie direkt durch die Polizei mögen im ersten Moment langweilig klingen oder gar wegen Wiederholung als nervig empfunden werden, sind aber sinnvoll. Habe ich wirklich jeden Trick schon gehört, über den man beobachten kann, dass ich etwas länger nicht zu Hause bin?

Außerdem: Selbst oder mit Hilfe von freundlichen Nachbarn oder anderen Vertrauenspersonen versucht doch (fast) jeder, typische Anzeichen auf Abwesenheit zu vermeiden: Ein überquellender Briefkasten und tagelang heruntergelassene Rollos fallen da spontan als zu vermeidende Hinweise ein. Wer den Trick mit dem Klebstoff kennt, kann auch gezielter auf solche scheinbar harmlose Zeichen achten und diese mindestens entfernen.

Mit der Zeit gehen und aufmerksam bleiben: auch neuere Tricks berücksichtigen

Online-Bestellungen kurz vor einer Reise zu vermeiden, die länger im Hausflur oder gar vor der Wohnungstür liegende Pakete zur Folge haben, könnte man beispielsweise mit auf eine moderne „so besser nicht“-Liste schreiben. Nicht immer läuft bei der Lieferung alles streng nach Vorschrift. Kriminelle auf der Suche danach, wo und wann ein Einbruchsversuch mit guten Aussichten, nicht ertappt zu werden, möglich ist, schlingeln sich gerne mehrfach in ein Treppenhaus hinein und halten unauffällig nach derartigen Anzeigen auf „hier ist jemand verreist“ Ausschau. Genau so funktionieren ja Tricks wie die gezielt vom Kriminellen an der Wohnungstür wie beim Putzen hochgestellte Fußmatte, oder eben die wie Spinnweben an Türrahmen angebrachten Klebstofffäden. Was so länger unkorrigiert bleibt, ist verräterisch.

Bei den „analogen“ Themen wie Briefkasten, Paketlieferungen, Rollos usw. hat man sich hoffentlich daran gewöhnt, zumindest bei längeren Reisen Vorkehrungen zu treffen. Das ist aber nur die analoge Seite der Indizien. Gibt es nicht auch digitale Bespitzelungsmöglichkeiten?

Dieser Gedanke machte den scheinbar nebensächlichen Artikel zur Meldung der Klebstoffmasche in Berlin – ich wohne gar nicht dort – zu einem kleinen Weckruf in eine andere Richtung.

Digitales Ausspionieren: mächtiger und oft weniger leicht zu entdecken

Was war der Weckruf? Einmal an das Thema „Abwesenheiten bzw. Aufenthaltsorte ausspionieren“ erinnert, kamen mir verschiedene kleine Aspekte wieder ins Gedächtnis, die das Thema Aufenthalt und Bewegungsprofile im mobilen und digitalen Alltag betreffen. Ansatzpunkte, aus denen man den Aufenthalt eines mobilen Geräts, etwa eines Smartphones lernen und verfolgen kann, gibt es diverse.

Da gibt es die IP-Adresse, die bei wiederkehrender Verwendung für immer dasselbe Gerät in einer Umgebung, in der dieses regelmäßig benutzt wird, dessen Bewegungen nachvollziehbar machen. Bei IPv6 hat man gezielt Alternativen entwickelt, um die Hardware-Adresse der Netzschnittstelle eines Geräts nicht als Teil einer generierten IPv6-Adresse zu verwenden.

Weiterer häufiger Warnhinweis: Bucht das Gerät sich in ein ungeschütztes Gast-WLAN ein oder man nutzt einen öffentlichen Hotspot, kann dies auch von anderen Teilnehmern beobachtet werden. Mit einem vielen Personen bekannten Passwort „geschützten“, selten gewechselten Hotel-WLAN ist das nicht viel besser. Manche Dienste und zugehörige Apps auf einem Smartphone sind gar dafür gedacht, per Drahtlos-Schnittstelle mal schnell von Gerät zu Gerät Informationen auszutauschen, etwa Kontaktinformationen nach dem ersten Kennenlernen.

Natürlich: Ohne entsprechende Ausstattung, um derartige Kommunikation durch das mobile Gerät abzuhören, nützt so etwas einem Dritten mit kriminellen Absichten erst einmal nichts. Er muss ja a) den Vorgang mitbekommen und das Gerät an seinem aktuellen Standort erfassen und b) mit der zugehörigen Person identifizieren.

Das ist aber gar nicht so schwer, die Hilfsmittel sind nicht nur Geheimdiensten usw. zugänglich. Kriminelle gehen mit der Zeit und verschaffen sich auch modernere Hilfsmittel, wenn diese nicht allzu teuer und auch für Nicht-Spezialisten bedienbar sind. Was digitales Ausspionieren von Aufenthalt und Bewegungsgewohnheiten für den Täter attraktiv macht und schon daher die Investition für die Lauschmittel lohnend erscheinen lassen kann: Wer auf derartigem Weg den Aufenthalt von Menschen auszuspionieren versucht, ist dabei weniger auffällig als jemand, der sich als fremde Person im Treppenhaus eines Gebäudes aufhält.

Hinzu kommt: Man kann digitale Horchposten an verschiedenen Stellen aufbauen und vernetzen, ihre Informationen an zentraler Stelle zusammenziehen und so eine Person mit ihren Bewegungsgewohnheiten beobachten, ohne sie physisch zu „verfolgen“. Es gibt bereits Berichte von fake-WLANs und -Hot-Spots, die nur zu solchen Zwecken errichtet worden sind. Fatal: Mit entsprechender Voreinstellung sucht ein mobiles Gerät derartige Netzzugänge und verbindet sich mit diesen automatisch, selbst wenn man derzeit gar nicht aktiv mit dem Gerät kommunizieren will!

Wem das nicht reicht, um das Smartphone mit etwas weniger Arglosigkeit zu betrachten, der sollte an das Thema „bösartiger Code“ und dabei an Apps denken. Auch eine eigentlich nützliche und zunächst angesichts ihres eigentlichen Zwecks harmlose, aber entsprechend verseuchte App kann z.B. den Aufenthaltsort von Gerät und Besitzer verraten. Dabei kann die App solche Informationen gleich aktiv an eine einprogrammierte Sammelstelle senden, die mit dem Schadcode „konfiguriert“ wurde. Der am Ausspionieren Interessierte muss also nicht einmal einen technischen Horchposten in der Nähe der ausgespähten Person platziert haben. Lassen wir einmal andere, auch nach Hacken eines Smartphones dort entdeckbare oder mitlesbare Informationen außen vor und konzentrieren uns auf das Thema Aufenthaltsort und Bewegungsgewohnheiten. Dann sind bestimmte Apps besonders zu beachten: solche mit Zugriff auf die Information „aktueller Standort“. Kann diese unbemerkt weitergegeben werden, ist das für Aufenthalts- und Bewegungsverfolgung der Jackpot. Genauer und mit weniger Aufwand zur Standortbestimmung geht es ja nicht.

Organisiertes Verbrechen arbeitet auch digital – der freundliche Nachbar hilft da nicht

Konzentriert auf das Eingangsthema, das Ausspionieren von Einbruchsvorbereitung durch Ermitteln längerer Abwesenheiten von zu Haus, bedeutet dies: Das alltägliche Mitführen stets eingeschalteter mobiler Geräte schafft für Standortverfolgung und Ermittlung von Bewegungsprofilen einen neuen, bei entsprechender Ausrüstung sogar bequemeren und weniger auffälligeren Ansatzpunkt.

Kleine Gelegenheitsdiebe werden vermutlich weiter beim Ausspionieren direkt am Wohnort bleiben, durch passives Beobachten von Kommen und Gehen bzw. mit kleinen Tricks wie Probeklingeln, Fußmatten hochstellen, Klebstofffäden oder Ähnlichem.

Werden die andiskutierten digitalen Möglichkeiten aber auch gezielt genutzt werden? Sicherlich ja!

Organisierte Kriminelle gehen mit der Zeit. Man sieht dies an bekannten Beispielen: Der in verschiedenen Ausprägungen bekannte „Enkeltrick“ lässt sich gezielt dadurch vorbereiten, dass man zunächst feststellt, welche Zielpersonen sich wegen Alter, Wohnsituation, usw. als mögliche Opfer anbieten. Dies passiert auch, und dabei werden gezielt digitale Informationen verwendet, sogar mit Sammlung der Informationen und Steuerung der Verwendung aus dem Ausland. Die Polizei mag an solche im Ausland sitzenden Drahtzieher schwer herankommen. Formen der Arbeitsweise mit Informationsbeschaffung wie beschrieben wurden aber über gezielte Ermittlungen nachvollziehbar aufgedeckt.

Was kann ich tun?

Die eigentlich einfache Antwort lautet: Das eigene mobile Gerät nicht unnötig vertrauensselig nutzen.

Man muss nicht alles zulassen, was für maximalen Komfort standardmäßig voreingestellt oder bei der Installation einer interessanten App angefordert wird. Man muss auch nicht alle Dienste und Netzverbindungen ständig „an“ lassen, egal wo man sich aufhält.

Vor allem: Man muss kein Technik- und Sicherheitsspezialist sein, der versteht, wie die verschiedenen Methoden des Ausspionierens genau funktionieren und wo sie ansetzen. Es reicht, bei regelmäßig erfolgenden Meldungen und Kurzartikeln in Medien, gezielten Hinweisen der Polizei aus gegebenem Anlass usw. genauer hinzuhören oder zu lesen, oder sich bei leicht auffindbaren Download-Möglichkeiten zum Thema „Smartphone und Sicherheit“ zu bedienen. Ein Beispiel ist

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Wegweiser_Checklisten_Flyer/Brosch_A6_Mobilkommunikation.pdf

Die Listen an Tipps und möglichen Handgriffen in solchen Ratgebern sind erst einmal lang und auf den ersten Blick vielleicht abschreckend. Auch sind die Inhalte mindestens lästig. Viele haben mit gezieltem Verzicht auf „alles Einschalten und einfach zulassen“ zu tun, ganz oder zeitweilig. Häufigere Reflexreaktionen: „das halte ich sowieso nicht durch“ oder „dann nützt mir das Gerät oder die App doch kaum noch“. Genau hier hat man aber die Wahl, nicht einfach wehrloses Opfer zu sein, sondern je nach eigener Situation und persönlichem Zweck der Nutzung böswilligen Dritten zumindest das Leben schwer zu machen.

Wenn man mit dieser Idee herangeht, sind die Ratgeber-Vorschläge kein unpraktikabler und lebensferner Unsinn, sondern sie nennen Möglichkeiten, aus denen man für sich Passendes und Machbares auswählen kann. Ein paar Beispiele, wie man sich selbst einfache Fragen immer wieder stellen und dann gezielt agieren kann:

  • Abschalten von gerade nicht benötigten Drahtlosschnittstellen

Brauche ich unterwegs wirklich ständig eingeschaltetes WLAN, inklusive automatischem Einbuchen durch das Gerät, wenn ein offenes WLAN in der Nähe ist? Viele online-Dienste und Apps sind auch schon über den Internet-Zugang des Providers aktiv, den ich mobil auch zum Telefonieren nutze. Wenn das WLAN am Zielort meiner „Bewegung“ besser ist, kann ich es ja gezielt nutzen. Zu Hause und am Arbeitsplatz etwa ist das bestimmt ein gesichertes WLAN mit Internetzugang, das nicht „jeder“ nutzen kann – da bleiben Angreifer hoffentlich draußen.

„Das vergesse ich bestimmt ein- und auszuschalten!“

Wirklich? Hier lohnt sich ein kleiner Selbstversuch, verbunden mit etwas Geduld. Fenster schließen und die Tür von außen extra abschließen, wenn man die Wohnung oder den Arbeitsort als letzter verlässt, hat man sich auch irgendwann so antrainiert, dass man das „reflexartig“ macht. Oft kann man sich gar nicht mehr daran erinnern, so automatisch hat man diese Angewohnheit heute wieder durchgezogen. Das vergessene Wiedereinschalten am Zielort wird man nötigenfalls nachholen, wenn man merkt, dass beim nutzenden Griff zum Gerät irgendetwas nicht wie gewohnt bzw. langsamer als sonst in dieser Umgebung funktioniert.

Wer im Alltag nach Selbstversuch an dieser Stelle kapituliert, kann wenigstens darüber nachdenken, diesen Tipp während einer längeren Urlaubsreise zu beherzigen. In diesem Fall bewegt man sicher nicht das Smartphone nur im Auto im Pendelverkehr zwischen zwei Lokationen mit sicherem WLAN hin und her. Man kann vielmehr an Orten entdeckt werden, die mit Fernreisen zu tun haben bzw. sich weit vom Wohn- und üblichen Arbeitsort befinden – Rückkehr „in Kürze“ also ausgeschlossen.

Netter Nebeneffekt, wenn man das Abschalten zeitweise nicht benötigter Drahtlos-Dienste und Schnittstellen, mit ihren Suchaktivitäten nach Vernetzungsmöglichkeiten, durchzieht: Der Akku hält spürbar länger durch, bis man wieder an die Steckdose oder die Powerbank muss!

  • Öffentliche Hotspots vorsichtig nutzen

Der einfachste Schritt, hier kein unnötiges Risiko einzugehen: zumindest Automatismen ausschalten, über die das Gerät bei Nähe zu einem solchen Hotspot mit „schöner Geschwindigkeit“ diesen sofort selbständig nutzt. Einen solchen Wechsel will ich selber bewusst vollziehen, und dabei vorhandene Möglichkeiten zur Absicherung gezielt nutzen, z.B. eine VPN-Verbindung zum Schutz aufbauen – was automatisch oft nicht geht. Bietet der Hotspot kaum bessere Geschwindigkeit an als mein Mobilnetz-Provider, verzichte ich vielleicht sogar gezielt auf manuelles Einbuchen, um kein unnötiges Risiko einzugehen.

  • Apps nur Zugriff auf „den Standort“ geben, wenn das wirklich gerade nützlich ist

Eine Navi-App braucht den aktuellen Standort, um zu funktionieren. Gilt das aber auch für jede andere App, die permanenten Zugriff auf die Standortinformation haben möchte?

Ein Beispiel, bei dem man flexibel je nach Situation entscheiden kann, sind Warn-Apps. Bin ich etwa mit dem Auto auf einer längeren Fahrt, ist es sicherlich sinnvoll, wenn eine App wie NINA oder Warnwetter mich vor Unwetter etc. in der näheren Umgebung warnt. Pendele ich jedoch im Alltag meist zwischen Wohnort und Arbeitsstätte, kann es oft reichen, solchen Melde-Apps diese beiden Orte fest vorzugeben und nur zu diesen akute Meldungen zu erhalten.

Wer beim Verlassen von Wohnung oder Arbeitsstätte ein Fenster gekippt lässt, wird beim Entdecken dieses Versäumnisses typisch kurz zusammenzucken. Die Wohnungstür sperrangelweit offen zu lassen, wenn man länger das Haus verlässt, wird man tunlichst vermeiden. Den berühmten Zweitschlüssel unter die Matte zu legen macht (hoffentlich) niemand mehr. Bei längerer Abwesenheit von zu Hause Vorkehrungen gegen Zeichen wie vollen Briefkasten oder sich stapelnde Päckchen vom Paketdienst zu ergreifen, ist auch kein überraschender Tipp.

Für die digitale Ausstattung, z.B. das Smartphone, ähnliche Schutzvorkehrungen für den Alltag zu kennen und zumindest einige gezielt zu nutzen: auch das kann jeder schaffen.

Sicherheit trotz oder wegen der Cloud

Grundlagen der IT-Sicherheit
12.12.-13.12.2023 in Köln oder online

Mobilfunk von 1G bis 5G
26.09.-27.09.2023 in Bonn oder online

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.