PortalDerWirtschaft.de



Suchmaschinenoptimierung mit PdW
mit Content-Marketing - Ihre News
English

Carrier IQ: Wo ist das Problem?


Von TREND MICRO Deutschland GmbH

Ein Kommentar von Udo Schneider, 'Solution Architect' beim IT-Sicherheitsanbieter Trend Micro

Viel ist in den vergangenen Wochen über Carrier IQ und die mit der Software verbundenen Datenschutzrisiken geschrieben worden. Oftmals entstand dabei der Eindruck, die App bestehe im Grunde nur zum Absaugen von Informationen, die missbraucht werden können....
Thumb

Hallbergmoos, 15.12.2011 - Viel ist in den vergangenen Wochen über Carrier IQ und die mit der Software verbundenen Datenschutzrisiken geschrieben worden. Oftmals entstand dabei der Eindruck, die App bestehe im Grunde nur zum Absaugen von Informationen, die missbraucht werden können. Deshalb ist klar festzuhalten: Dies ist der nicht der Fall. Nicht die ausgewerteten und weitergeleiteten Informationen sind das Problem, sondern die mangelnde Transparenz für die Anwender sowie der Anreiz für Cyberkriminelle, die Software wegen ihrer großen Verbreitung als Einfallstor zu nutzen.

Carrier IQ ist für die Kontrolle der Leistung des Netzwerks und des verwendeten Handgeräts konzipiert und zuständig. Um diese Aufgabe erfüllen zu können, muss die Software die angebotenen Dienste prüfen, also Anrufe, Internetverbindungen, Textnachrichtenempfang und -versand etc. Anders als bisweilen behauptet, zeichnet Carrier IQ bei sachgerechter Implementierung laut Hersteller keine Tastenbewegungen in SMS-Nachrichten auf, sondern erkennt lediglich Tastendruck-Sequenzen, die lokale Befehle für die Software darstellen, also zum Beispiel 'upload diagnostics now'. Zwar überwacht Carrier IQ ankommende SMS-Nachrichten, aber auch in diesem Fall geht es um Nachrichten, die vom Netzbetreiber stammen und als Befehle für die Software dienen. Informationen und Daten, die dem Einsatzweck der Software nicht entsprechen, werden laut Hersteller nicht verarbeitet, geschweige denn an den Netzbetreiber weitergegeben. Es gibt keinen triftigen Grund, an den Herstellerangaben zu zweifeln. Denn Trevor Eckhart, der Forscher, der die Diskussion um Carrier IQ ausgelöst hat, hat teilweise den versteckten Debugging-Modus verwendet, was die eigentliche Implementierungsweise von Carrier IQ auf den Geräten nicht korrekt widerspiegelt. Jedoch hat auch Carrier IQ inzwischen einen (unkritischen) Fehler in der Software eingeräumt. Woher kommt also die Panik?

Das Bewusstsein fehlt

Eine Antwort könnte sein, dass den Anwendern immer noch nicht ausreichend bewusst ist, dass die Dienste des digitalen Lebensstils immer den Austausch von Informationen im Hintergrund erfordern, damit sie überhaupt in der erwarteten Qualität möglich sind. Im Falle der Nutzung von Smartphones heißt das, dass jede Textnachricht, jeder Anruf und jeder Internet-Suchlauf notwendigerweise mit der Weitergabe von Anwenderinformationen an verschiedene Stellen verbunden ist.

Transparenz und Einwilligung erforderlich

Dennoch soll hier keine Anwenderschelte betrieben werden. Vielmehr zeigt das Beispiel auch und vor allem, dass den Anwendern ihre Privatsphäre sehr viel wert ist und dass sie von den Herstellern zu Recht erwarten dürfen, über die Weitergabe von Informationen und auch welcher Informationen im Vorhinein unterrichtet zu werden. In Deutschland, im Mutterland des Datenschutzes gibt es das Grundrecht auf informationelle Selbstbestimmung. Deshalb sollten die Hersteller sich in der Pflicht sehen, den Anwendern alle diejenigen Auskünfte zu erteilen, die zur Ausübung dieses Rechts nötig sind ? und zwar bevor sie einen Dienst in Anspruch nehmen. Erst wenn die Anwender ihre ausdrückliche Einwilligung geben, sollten Services gestartet werden.

Leider ist es wohl noch ein weiter Weg zu dem geforderten Maß an Transparenz. Denn die Anwender können heute noch nicht einmal sehen, ob Carrier IQ auf ihrem Gerät installiert ist. Wer es wissen will, dem bietet Trend Micro hierfür ein kostenloses Werkzeug, das hier heruntergeladen werden kann: https://market.android.com/details?id=com.trendmicro.mobilelab.securetool.ciq.

Monokultur ist Anreiz für Cyberkriminelle

Ferner sollten Netzbetreiber und Anwender sich stets bewusst sein, dass Monokulturen generell anfällig sind. Das gilt nicht nur für Pflanzen, sondern auch für Anwendungen oder Plattformen. Je mehr Menschen eine Software oder ein Betriebssystem nutzen, desto mehr lohnt es sich für Cyberkriminelle, Angriffsmethoden zu entwickeln, die deren Sicherheitslücken ausnutzen oder Funktionalitäten missbrauchen. Leider besteht diese Gefahr auch bei Carrier IQ. Allein dadurch, dass viele Netzbetreiber ein und denselben Carrier IQ-Code implementiert haben, gibt es eine hohe Anzahl potenzieller Opfer. Das sollte genug Ansporn für die Netzbetreiber, darauf zu achten, dass die Kunden keinen unnötigen Risiken ausgesetzt sind, wie zum Beispiel durch das verzögerte Einspielen von Sicherheitsupdates.

Über Udo Schneider

Als 'Solution Architect EMEA' beim IT-Sicherheitsanbieter Trend Micro ist Udo Schneider mit den Gefahren vertraut, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bei der Entwicklung geeigneter Gegenmaßnahmen konzentriert er sich auf die Themen Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.

Schneider greift dabei auf eine langjährige Erfahrung zurück, die er als Berater, Trainer und Professional-Services-Analyst bei führenden Anbietern des IT-Sicherheitsmarktes erworben hat.


Kommentare

Bewerten Sie diesen Artikel
Noch nicht bewertet
Hinweis Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 654 Wörter, 5085 Zeichen. Artikel reklamieren
Keywords
Diese Pressemitteilung wurde erstellt, um bei Google besser gefunden zu werden.

Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!