Sicherheitslücke ausgemustertes Smartphone

Eine wahre Geschichte

 

Michael Wiesel (alle Namen sind durch die Red. geändert) ist spätestens nach den täglich neuen Berichten über Cyberkriminalität inzwischen hochsensibel, was Sicherheit angeht. Und so wundert er sich nur wenig über eine in schlechtem Deutsch verfasste E-Mail von einem ihm bis dato unbekannten Ali Recep. Irgendwie hat es die Nachricht durch seinen Spamfilter geschafft. Bei den neuesten Maschen kann das mal passieren.

 

Ali Recep schreibt, er habe ein altes iPhone auf dem Flohmarkt erstanden. Es enthalte persönliche Daten von Michael Wiesel. Er könne sie nicht löschen, die Zugriffsrechte habe nur der Besitzer selbst. Ha! Denkt sich Wiesel. Ein billiger Trick, um an sein iCloud Passwort zu kommen. Die Grammatik ist gewohnt schlecht, der Versuch daher wie gewohnt leicht zu enttarnen – die Idee ist aber neu. Er löscht die E-Mail. Nice try – denkt er sich.

 

Stutzig wird er, als er nach Hause kommt, und seine Frau ihm berichtet, ein Ali Irgendwas hätte versucht ihn zu erreichen, es ginge um irgendein altes iPhone. Das Cyberkriminelle das Telefon benutzen gibt es, z.B. beim „Microsoft-Hotline-Trick", ist selten, passt aber zur zuvor erhaltenen E-Mail. „Omni-Kommunikationskanal“-Attacken sind noch seltener, aber zunehmend möglich, da Cyberkriminelle inzwischen professionelle Datenbankservices betreiben, die ergaunerte Daten zusammenführen, anreichern und bereinigen. So erreichen Cyberkriminelle bald eine bessere Datenqualität als die Telefonauskunft. Um einen Rückruf bittet aber keiner von denen. Das ist nun wirklich neu und macht Wiesel neugierig.

 

Er beschließt, zurückzurufen. Ali Recep bedankt sich höflich für den Rückruf und erzählt ihm von einem defekten iPhone. Wiesel vorbeikommen und die Löschung einleiten. Offenkundig führt Recep tatsächlich nichts Böses im Schilde. Doch was ist das für ein iPhone. Seine Frau berichtet ihm kleinlaut, sie habe beim Entrümpeln die Kiste mit kaputten alten Handys entdeckt und ordentlich wie sie ist zum Wertstoffhof gebracht. Darunter offenkundig das totgesagte aber länger lebende iPhone. Einen PIN-Schutz hatte das Gerät nicht – damals war Wiesel noch nachlässig, was Sicherheitsfragen betraf. Wiesel wird alles klar. 

 

Recep, der sich als ganz besonders ehrlicher und verantwortungsvoller Mitbürger entpuppt erklärt Wiesel, dass er sich außerstande sieht, das Gerät mit seinem Auto vorbeizubringen, weil er bereits an seinem Feierabendbier genippt habe. So beschließt Wiesel, selbst hinzufahren. An der Tür eines Einfamilienhauses in einem Neubaugebiet in gehobener Wohnlage begrüßt ihn Dr.-Ing. Ali Recep. Wiesel ist schockiert als er realisiert, worauf Recep alles Zugriff gehabt hätte, wäre er nicht so eine ehrliche Haut gewesen. Emails, Dokumente, Geschäftsgeheinisse, Bilder, Videos, Browserhistorie, im Browser gespeicherte Zugangsdaten – ein Krimineller hätte leichtes Spiel beim Stehlen der Identität gehabt. Offensichtlich verkaufen Mitarbeiter des städtischen Entsorgungsbetriebes gedankenlos defekte Digitalgeräte auf Flohmärkten. Die ursprünglichen Besitzer sind aufgrund von technischen Defekten oft nicht in der Lage, die Daten vorher zu löschen. So auch Wiesel. 

 

Wiesel löscht das iPhone, bedankt sich bei Ali Recep für seine Ehrlichkeit, beglückwünscht ihm zu dem guten Geschäft und verabschiedet sich mit der Erkenntnis, dass es nicht ausreicht, wenn man selbst auf Sicherheit bedacht ist, denn die Schwachstelle kann auch das nächste Umfeld sein – hier seine Frau. 

 

Bei List + Lohr werden Datenträger grundsätzlich durch Europas führenden Anbieter für Datenvernichtung, Reisswolf, unbrauchbar gemacht. Eingelieferte Geräte werden sofort mit Seriennummer dokumentiert und eingeschlossen. Dieser Service steht Kunden für eine geringe Gebühr zur Verfügung.

 

Wir empfehlen zudem:

- Löschen Sie immer Daten von alten Geräten (oder lassen Sie sie von uns löschen). Bei defekten Geräten funktioniert oft eine Fernlöschung.

- Zwingen Sie per Mobile Device Management ihre Anwender dazu, ihre Dienstnotebooks, Tablets und Smartphones per PIN zu schützen und regelmäßig zu ändern.

- Wir empfehlen für den Schutz von sensiblen Unternehmensdaten SecurePIM und für Zugangsdaten Password Safe.