Aufgepasst: Keine Datenräume als App nutzen – Höchste Sicherheitsstufe des BSI

03.12.2017

Immer wieder bieten Datenraum-Anbieter den Zugriff auf Datenräume über sogenannte Apps an, die z. B. im App Store oder Google Play heruntergeladen werden können. dataroomX^® hat immer wieder davor gewarnt, Datenraum-Anbieter mit Apps zu nutzen. Die Gefahr besteht, dass die Datenräume durch Sicherheitslücken gehackt oder von US-amerikanischen Geheimdiensten ausgespäht werden könnten. Ersteres ist nun wieder bekannt geworden. Im August musste Deutschlands Sicherheitsbehörde Nr. 1, das Bundesamt für Sicherheit in der Informationstechnik (BSI), die höchste Risikostufe für das Betriebssystem Android ausrufen. Die dort verwendeten Apps stellten und stellen insbesondere für hochsichere Datenraum-Apps eine enorme Gefahr dar.

Geheime Datenraum-Inhalte in Gefahr

Grundsätzlich gilt: US-amerikanische Nachrichtendienste können jederzeit auf Datenbanken und die Software von US-Firmen zugreifen. Der Auslandsgeheimdienst CIA und die Sicherheitsbehörde NSA tun dies allerdings nicht nur zur Terrorabwehr, sondern spionieren direkt oder indirekt europäische Unternehmen aus. Das geht aus den Aussagen des Whistleblowers Edward Snowden hervor. 2014 war zudem bekannt geworden, dass die Mobilfunkgeräte einiger Regierungsmitglieder, darunter Bundeskanzlerin Angela Merkel, abgehört worden waren.

Warnung vor Datenraum-Apps – Ausnahme: sicheres Betriebssystem und nur von seriösen Anbieter

Nun geht die Gefahr für das Betriebssystem Android und den dort verwendeten Apps aus. Apps sollten nur aus eindeutig seriösen Quellen installiert werden, so das BSI. Android wird als Betriebssystem für mobile Geräte wie Smartphones, Netbooks und Tablet-Computer verwendet. Es können ansonsten beliebige Programme ausgeführt, Passwörter abgegriffen oder andere Angriffe gestartet werden. Daher sollten Apps zum Zugreifen auf Datenräume nicht verwendet werden, bzw. nur von sicheren Betriebssystemen und einem seriösen Datenraum-App-Anbieter mit deutscher Herkunft.

Keine Datenraum-Nutzung: Achtung vor Schwachstellen in Google Android

Unter Bekanntgabe unterschiedlicher Quellen, die Sie auf der Website des BSI nachlesen können, geht es um mehrere Schwachstellen in Google Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 und 7.1.2 vor Version 2017-08-05. Diese ermöglichen lt. BSI einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten privilegierter Dienste, wie dem Mediaserver, die Erweiterung von Privilegien installierter Anwendungen, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Ausspähen sensitiver Informationen.

Anleitung zur Schwachstellen-Behebung

Der Wortlaut im Original: „Google stellt die Patch Level 2017-08-01 und 2017-08-05 bereit, mit denen die Schwachstellen behoben werden. Der Patch Level 2017-08-01 behebt dabei allgemeine Schwachstellen im Google Android Betriebssystem, der Patch Level 2017-08-05 behebt hauptsächlich hardwarespezifische Schwachstellen in Chipsätzen und Treibern von Herstellern verschiedener Komponenten. Google stellt für seine Geräte Sicherheitsupdates durch ein Over-the-air-Update (OTA) bereit und stellt die Firmware-Images über die Entwicklerseite zum Download zur Verfügung.

Information an andere Android-Smartphone-Hersteller über Schwachstelle

Andere Hersteller (Partner) wurden mindestens einen Monat vor Veröffentlichung dieser Meldung, oder früher, über die Schwachstellen informiert. Google adressiert mit seinen gerätespezifischen Firmware-Images zudem die Schwachstellen CVE-2017-0744, CVE-2017-0748, CVE-2017-0751, CVE-2017-9679 bis CVE-2017-9681 sowie CVE-2017-9692 bis CVE-2017-9694. Samsung veröffentlicht für einige Geräte ein Sicherheitsupdate, das eine Teilmenge der hier referenzierten Schwachstellen behebt und adressiert mit diesem Sicherheitsupdate zusätzlich Samsung spezifische Schwachstellen und Verwundbarkeiten (SVE), von denen acht explizit genannt werden. Samsung teilt hierzu mit, dass einige SVE’s, die mit dem aktuellen Sicherheitsupdate behoben werden, zum jetzigen Zeitpunkt noch nicht öffentlich bekannt gegeben werden können. Samsung stellt keine Informationen zum verwendeten Patch Level zur Verfügung.“ (Ende des Wortlautes des BSI)