Carrier IQ: Wo ist das Problem?

Ein Kommentar von Udo Schneider, „Solution Architect“ beim IT-Sicherheitsanbieter Trend Micro

(PresseBox) (Hallbergmoos, ) Viel ist in den vergangenen Wochen über Carrier IQ und die mit der Software verbundenen Datenschutzrisiken geschrieben worden. Oftmals entstand dabei der Eindruck, die App bestehe im Grunde nur zum Absaugen von Informationen, die missbraucht werden können. Deshalb ist klar festzuhalten: Dies ist der nicht der Fall. Nicht die ausgewerteten und weitergeleiteten Informationen sind das Problem, sondern die mangelnde Transparenz für die Anwender sowie der Anreiz für Cyberkriminelle, die Software wegen ihrer großen Verbreitung als Einfallstor zu nutzen.

Carrier IQ ist für die Kontrolle der Leistung des Netzwerks und des verwendeten Handgeräts konzipiert und zuständig. Um diese Aufgabe erfüllen zu können, muss die Software die angebotenen Dienste prüfen, also Anrufe, Internetverbindungen, Textnachrichtenempfang und -versand etc. Anders als bisweilen behauptet, zeichnet Carrier IQ bei sachgerechter Implementierung laut Hersteller keine Tastenbewegungen in SMS-Nachrichten auf, sondern erkennt lediglich Tastendruck-Sequenzen, die lokale Befehle für die Software darstellen, also zum Beispiel „upload diagnostics now“. Zwar überwacht Carrier IQ ankommende SMS-Nachrichten, aber auch in diesem Fall geht es um Nachrichten, die vom Netzbetreiber stammen und als Befehle für die Software dienen. Informationen und Daten, die dem Einsatzweck der Software nicht entsprechen, werden laut Hersteller nicht verarbeitet, geschweige denn an den Netzbetreiber weitergegeben. Es gibt keinen triftigen Grund, an den Herstellerangaben zu zweifeln. Denn Trevor Eckhart, der Forscher, der die Diskussion um Carrier IQ ausgelöst hat, hat teilweise den versteckten Debugging-Modus verwendet, was die eigentliche Implementierungsweise von Carrier IQ auf den Geräten nicht korrekt widerspiegelt. Jedoch hat auch Carrier IQ inzwischen einen (unkritischen) Fehler in der Software eingeräumt. Woher kommt also die Panik?

Das Bewusstsein fehlt
Eine Antwort könnte sein, dass den Anwendern immer noch nicht ausreichend bewusst ist, dass die Dienste des digitalen Lebensstils immer den Austausch von Informationen im Hintergrund erfordern, damit sie überhaupt in der erwarteten Qualität möglich sind. Im Falle der Nutzung von Smartphones heißt das, dass jede Textnachricht, jeder Anruf und jeder Internet-Suchlauf notwendigerweise mit der Weitergabe von Anwenderinformationen an verschiedene Stellen verbunden ist.

Transparenz und Einwilligung erforderlich
Dennoch soll hier keine Anwenderschelte betrieben werden. Vielmehr zeigt das Beispiel auch und vor allem, dass den Anwendern ihre Privatsphäre sehr viel wert ist und dass sie von den Herstellern zu Recht erwarten dürfen, über die Weitergabe von Informationen und auch welcher Informationen im Vorhinein unterrichtet zu werden. In Deutschland, im Mutterland des Datenschutzes gibt es das Grundrecht auf informationelle Selbstbestimmung. Deshalb sollten die Hersteller sich in der Pflicht sehen, den Anwendern alle diejenigen Auskünfte zu erteilen, die zur Ausübung dieses Rechts nötig sind – und zwar bevor sie einen Dienst in Anspruch nehmen. Erst wenn die Anwender ihre ausdrückliche Einwilligung geben, sollten Services gestartet werden.

Leider ist es wohl noch ein weiter Weg zu dem geforderten Maß an Transparenz. Denn die Anwender können heute noch nicht einmal sehen, ob Carrier IQ auf ihrem Gerät installiert ist. Wer es wissen will, dem bietet Trend Micro hierfür ein kostenloses Werkzeug, das hier heruntergeladen werden kann: https://market.android.com/....

Monokultur ist Anreiz für Cyberkriminelle
Ferner sollten Netzbetreiber und Anwender sich stets bewusst sein, dass Monokulturen generell anfällig sind. Das gilt nicht nur für Pflanzen, sondern auch für Anwendungen oder Plattformen. Je mehr Menschen eine Software oder ein Betriebssystem nutzen, desto mehr lohnt es sich für Cyberkriminelle, Angriffsmethoden zu entwickeln, die deren Sicherheitslücken ausnutzen oder Funktionalitäten missbrauchen. Leider besteht diese Gefahr auch bei Carrier IQ. Allein dadurch, dass viele Netzbetreiber ein und denselben Carrier IQ-Code implementiert haben, gibt es eine hohe Anzahl potenzieller Opfer. Das sollte genug Ansporn für die Netzbetreiber, darauf zu achten, dass die Kunden keinen unnötigen Risiken ausgesetzt sind, wie zum Beispiel durch das verzögerte Einspielen von Sicherheitsupdates.

Über Udo Schneider
Als „Solution Architect EMEA“ beim IT-Sicherheitsanbieter Trend Micro ist Udo Schneider mit den Gefahren vertraut, die im Internet lauern, und weiß, wie man sich vor ihnen schützen kann. Bei der Entwicklung geeigneter Gegenmaßnahmen konzentriert er sich auf die Themen Cloud-Computing, Virtualisierung, Verschlüsselung und Netzwerksicherheit.
Schneider greift dabei auf eine langjährige Erfahrung zurück, die er als Berater, Trainer und Professional-Services-Analyst bei führenden Anbietern des IT-Sicherheitsmarktes erworben hat.

TREND MICRO Deutschland GmbH

Trend Micro, einer der international führenden Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.