Tech

Hackerin erklärt: So vermeidest du eine Katastrophe, wenn du dein Smartphone verlierst

Das Handy zu verlieren wäre für Lisa Passing der schlimmste Alptraum. Im Interview erklärt die Hackerin ein paar simple Dinge, die jeder tun sollte, um für den Notfall gewappnet zu sein.

von Anna Biselli
16 November 2018, 8:26am

Smartphones sind wie kleine, ausgelagerte Gehirne: Nacktfotos, die du einer längst verflossenen Liebe geschickt hast oder Fotos vom letzten Urlaub mit der besten Freundin. Apps, in die du einträgst, ob du schlecht geschlafen hast und die dich daran erinnern, deine Pillen zu nehmen. Wenn das Handy mal kaputt geht, ist das schlimm. Aber noch schlimmer ist es, wenn dein Handy plötzlich weg ist: Was, wenn jemand jetzt auf all deine privaten Informationen Zugriff hat und dich mit Fotos erpresst, die du lieber nicht mit der ganzen Welt teilen willst – wie es zum Beispiel einem Essener Wirt passiert ist?

Wir haben mit Lisa Passing von der Open Knowledge Foundation darüber geredet, was du tun musst, um keine Angst mehr zu haben, dass deine Daten verloren gehen oder in falsche Hände geraten. Weil ihr Privatsphäre wichtig ist, organisiert die Softwareentwicklerin in ihrer Freizeit Krypto-Partys, bei denen sich Menschen gegenseitig Verschlüsselungstechniken beibringen.

Motherboard: Hast du schon mal dein Handy verloren oder wurde es dir geklaut?
Lisa Passing : Nein. Das wäre mein schlimmster Albtraum, deshalb versuche ich, es so nah wie möglich an mir zu halten. Aber es ist mir schon passiert, dass mein Handy plötzlich nicht mehr anging.

Was sollte ich als Erstes tun, wenn mein Handy weg ist?
Dann ist es eigentlich schon zu spät. Deshalb solltest du darauf vorbereitet sein. Es gibt ja – grob gesagt – zwei Szenarien: Entweder das Telefon ist weg, wird geklaut, geht verloren. Oder es geht kaputt. Auf beide Fälle musst du dich fast gleich vorbereiten und dafür sorgen, dass du noch an deine Daten rankommst.

Wie mache ich das?
Da gilt das Gleiche wie beim Computer: Backups machen. Es gibt mehrere Möglichkeiten. Das Simpelste ist, immer mal zwischendurch die Daten auf den Computer zu ziehen. Das Dateisystem eines Smartphones funktioniert ja auch so, dass es verschiedene Ordner gibt, in denen die Sachen gespeichert sind: Bilder, Kontakte und Nachrichten zum Beispiel.
Es gibt aber je nach Smartphone auch spezielle Backup-Optionen, zum Beispiel automatische Backups in die Cloud. Aber du musst dir überlegen, ob du willst, dass die Daten dann immer bei Apple oder Google liegen oder ob du sie lieber lokal auf deinem Computer speichern willst und sie vielleicht sogar noch extra verschlüsselst.

Lisa Passing sitzt vor ihrem Laptop, stützt ihren Kopf auf ihre Faust und grinst in die Kamera. Die Rückseite des Laptop-Monitors ist übersät mit Aufklebern.
Es wäre Lisas schlimmster Albtraum, wenn ihr Handy geklaut werden würde – deshalb bereitet sie sich vor | Bild: Lisa Passing

Wie oft machst du selbst Backups?
Einen guten Rhythmus zu finden, ist gar nicht so einfach. Ich mache das meistens per Hand. Eine praktische Routine wäre zum Beispiel, immer sonntags ein Backup zu machen – beim Computer wie beim Telefon. Oder auch mal außerhalb der Reihe, wenn du gerade im Urlaub warst und 100 neue Fotos gemacht hast.

Im glücklichen Fall hat dein Handy wenig Akku, wenn es geklaut wird.

Gut, dann komme ich noch an meine Daten ran. Aber wie kann ich verhindern, dass jemand, der mir mein Handy geklaut hat, das nicht tut?
Dafür musst du das Telefon verschlüsseln, das musst du vorher aktivieren. Dafür kannst du bei Android und iOS im Menü ein Passwort setzen, um den Gerätespeicher extra zu verschlüsseln. Das Passwort musst du immer beim Anschalten des Handys eingeben.

Screenshots, die den Weg zur richtigen Sicherheitseinstellung noch einmal erklären.
Das Telefon zu verschlüsseln ist einfach, es kann nur eine Weile dauern | Bild: Screenshot | Android

Im glücklichen Fall hat dein Handy wenig Akku, wenn es geklaut wird. Die Verschlüsselung hilft nämlich nur, wenn dein Telefon aus ist. Das ist dann wie eine verschlüsselte Festplatte: Die Daten ruhen und da kommt man ohne Passwort nicht mehr ran.

Wo ist der Unterschied zu dem Passwort, das ich eingebe, um meinen Bildschirm zu entsperren?
Beim Handy gibt es drei unterschiedliche Arten von Passwörtern, beziehungsweise PINs. Eines ist für die Verschlüsselung. Das zweite ist der PIN-Code für die SIM-Karte. Diese PIN wird beim Anschalten abgefragt, das ist aber keine Verschlüsselung. Der Dieb kann auch ohne SIM-PIN deine Fotos sehen, aber zumindest nicht telefonieren oder Nachrichten empfangen. Aber schon das ist ein Vorteil, denn bei vielen Apps muss man sich per Anruf oder SMS authentifizieren. Das klappt dann nicht mehr.
Das dritte Passwort ist für den Screenlock. Wenn man keinen hat, dann swipt man einfach oder tippt auf den Screen und kommt auf den Hauptbildschirm. Dort kann man alles sehen und auch die Apps benutzen, bei denen du angemeldet bist. Deshalb würde ich auf jeden Fall empfehlen, einen Screenlock einzurichten, den man mit einer Kombination aus Buchstaben und Zahlen oder einem Wischmuster entsperren muss. Das ist die erste Hürde für einen Angreifer.

Was für eine Entsperrmethode ist die sicherste?
Du musst immer überlegen, wie wahrscheinlich es ist, dass jemand anderes dein Geheimnis oder Passwort erraten könnte. Wir tendieren leider oft dazu, einfache Muster zu benutzen. Wenn man zum Beispiel ein Wischmuster nutzt und dann in einem Gitter von 3 mal 3 Punkten ein einfaches Muster wählt – wie eine Schlange von der oberen in die untere Ecke –, ist das nicht schwer zu erraten. Aber auch bei Passwörtern sollte man darauf achten, dass man ein starkes Passwort benutzt. Also am besten nicht nur eine PIN mit vier Ziffern, sondern ein echtes Passwort aus Buchstaben und Zahlen mit mindestens acht Zeichen.

Screenshots, die noch einmal erklären, wie man einen Sperrbildschirm einrichtet.
So richtest du bei Android einen Sperrbildschirm ein | Bild: Screenshot | Android

Du solltest auch darauf achten, nach welcher Zeit der Passcode erneut abgefragt wird. Wenn der Bildschirm ausgeht, kann es ein paar Sekunden dauern, bis der Screenlock aktiviert wird. Du kannst aber einstellen, dass die Sperre angeht, sobald der Bildschirm aus ist.

Ein Lock ist besser als kein Lock.

Ist es sicher, wenn ich mein Handy mit meinem Fingerabdruck oder einem Gesichtsbild entsperre?
Das gibt es mittlerweile bei vielen Geräten. Ich würde das nicht machen. Es gab immer wieder Menschen, die es geschafft haben, diese Methoden auszutricksen. Aber: Ein Lock ist besser als kein Lock.

Wenn jetzt aber mein Handy weg ist und ich nicht mal eine SIM-Lock eingerichtet habe: Was kann ich überhaupt noch tun?
Du kannst bei einer Sperrhotline anrufen, um deine SIM-Karte sperren zu lassen. Am besten schaust du vorher schonmal nach, welche Nummer die Hotline von deinem Anbieter hat und speicherst die Info nicht nur auf dem Telefon, sondern schreibst sie vielleicht auf einen Zettel, den du bei dir trägst oder zu Hause hast.
Du solltest auch so schnell wie möglich die Passwörter von den Diensten ändern, bei denen du auf deinem Telefon eingeloggt bist. Manchmal kannst du bei Apps auch ein extra Passwort einstellen, das du beim Start der App eingeben musst. Meistens ist das aber nicht der Fall, deshalb ist man etwa bei sozialen Netzwerken auf dem Telefon oft ständig eingeloggt.

Kann ich auch verhindern, dass jemand noch an meine Daten kommt, wenn ich keinen Screenlock habe?
Es gibt bei Android und Apple die Funktion "Find my Device" beziehungsweise "Find my Phone". Wenn du das aktiviert hast, kannst du dich von einem anderen Rechner aus in deinen mit dem Telefon verknüpften Google- oder Apple-Account einloggen und sagen, dass du dein Gerät sperren lassen oder die Daten löschen willst. Und du kannst auch das Telefon orten, wenn es eingeschaltet ist.
Das muss aber schnell passieren. Je länger du dafür brauchst, desto mehr Zeit hat eine Person, sich im Telefon umzuschauen oder es zurückzusetzen. Manche Telefone haben ja einen recht hohen Wiederverkaufswert und den Dieb interessieren deine Daten vielleicht gar nicht. Außerdem muss dein Telefon eingeschaltet sein und Netz haben, damit das funktioniert.

Nutze Recovery-Codes, sonst kommst du erst mal nicht so schnell wieder an dein Onlineleben ran.

Es wird oft empfohlen, bei Accounts die Zweifaktor-Authentifizierung zu benutzen. Dann braucht man nicht mehr nur ein Passwort, sondern beispielsweise auch einen Einmalcode, den man vom Telefon abliest. Wie schaffe ich es, dass ich mich dann nicht aussperre?
Vor dem Problem stand ich auch mal, als mein letztes Telefon einfach abgestürzt ist. Aber wenn du die Zweifaktor-Authentifizierung aktivierst, bekommst du meist sogenannte Recovery Codes. Die kannst du statt der frischen Codes nutzen, die du sonst über dein Handy bekommen würdest, oft sind das rund zehn Stück. Diese Codes solltest du unbedingt aufheben. Ich speichere die in meinem Passwort-Manager, dann kann ich über meinen Computer noch darauf zugreifen, wenn das Telefon weg ist oder nicht mehr funktioniert.
Wenn man aber als zweiten Faktor SMS nutzt, die man an das Handy schicken lässt, ist das ein Problem: Dann kommt man erst mal nicht so schnell wieder an sein Onlineleben ran.

10 Tipps wie ein Handyverlust nicht zur Katastrophe wird
Wenn du diese 10 Dinge beachtest, bist du bestens gewappnet | Bild: Motherboard

Wenn wir jetzt mal vom besten Fall ausgehen: Wie finde ich denn mein Telefon am besten wieder, wenn es jemand Nettes gefunden hat?
Wenn du keine Sicherheitsvorkehrungen getroffen hast, kommt die Person einfach in dein Telefon und weiß dann wahrscheinlich, welcher Facebooknutzer du bist und kann dir schreiben. (lacht)


Auch bei Motherboard: Totalüberwachung für 150 Euro


Wenn du es gut geschützt hast, kann die Person es einfach im Fundbüro abgeben. Dafür ist es sinnvoll, wenn du dir die IMEI von deinem Gerät aufschreibst. Das ist eine einzigartige Nummer, die nur dein Telefon hat. Damit kannst du leichter beweisen, dass es wirklich dein Gerät ist. Die Nummer findest du, wenn du den Akku rausnimmst. Wenn das bei deinem Telefon nicht geht, kannst du auch eine Nummer wählen – die *#06# – dann bekommst du die IMEI angezeigt.

Sollte ich vielleicht einfach auch mal versuchen, mein Telefon anzurufen?
Warum nicht. Das Schlimmste, was passieren kann, ist doch, dass die Person nicht abnimmt oder der Akku leer ist.

Folgt Anna auf Twitter und Motherboard auf Facebook, Instagram, Snapchat und Twitter