Zunächst einmal eine kurze Erklärung vorweg. Ein Removal Kit entfernt einen einzigen Virus oder eine einzige Virenfamilie mit einem genau definierten Funktionsumfang. In der Regel wird ein Removal Kit von den Herstellern der Handy-Betriebssysteme oder von Herstellern der Antivirensoftware angeboten, wenn diese Marktanteile gewinnen möchten.

Ein echter Virenscanner hingegen bietet einen Schutz vor den bis zur Veröffentlichung des Virus bekannt gewordenen Schädlingen. Werden neue Viren entdeckt, wird in der Regel nicht das ganze Programm neu erstellt. Mit den üblichen Updates werden normalerweise Erkennungs- und Funktionsdefinitionen der neuen Viren in einen vorhandenen Scanner eingespielt. Die Routinen etwa zur Beseitigung von Dateien, bsp. Löschen, sind ja in der Basisversion des Antivirenprogramms schon enthalten.

Frage ist, wann es diese Updates gibt und vor allem wie schnell. Die nächste Frage, eigentlich noch wichtiger: Wenn man sich eine Demo-Version einer Antivirensoftware herunterlädt – ist die auf dem aktuellen Stand der Dinge oder handelt es sich um eine Uralt-Version, welche keinen Schutz vor aktuellen Bedrohungen bietet?

Bei renommierten Herstellern ist dies in der Regel kein Problem. Auch die Geschwindigkeit bei der Erstellung von Updates dürfte kein größeres Problem sein. Immerhin haben die großen Sicherheitsfirmen weltweit verteilt ihre Labore, die zeitnah für eine adäquate Analyse sowie das entsprechende Update sorgen können. Dumm aber, wenn man mit einer uralten Demo-Version unterwegs ist und sich dann voll auf diese verlässt. Hier dürften meiner Meinung nach gerade nachrangige Hersteller Schwierigkeiten haben.

Daher gilt – genau wie für den PC – wenn irgendwo etwas schief geht, ein Virus auftaucht, ist schnellstmögliche Reaktion gefordert und der passende Download muss zur Verfügung stehen. Entweder in Form eines Removal Kits oder mit schnell und einfach verfügbaren Updates. Noch besser, wenn die Virenscanner Automatismen eingebaut haben, die bei einer aktuellen Bedrohung sofort das Handy ebenso aktuell absichern. Hier dürften sich – persönliche Prognose – bald Allianzen zwischen den Herstellern von Antivirusprogrammen sowie den Mobilfunkprovidern ergeben, welche für eine entsprechend schnelle Lösung garantieren.

Kaum drängen die ersten ernst zu nehmenden Viren für Handys in den Markt, stellt sich die Frage nach älteren Handys und ob diese heute noch gefährlich sein können.

In Deutschland bekommt man alle 2 Jahre bei Handyverträgen ein subventioniertes Mobiltelefon. Hierbei gibt es ein total unterschiedliches Kaufverhalten. Die einen wählen einfach nur einen günstigen Ersatz für ältere Modelle (oft sind dies ehemals teure Geräte, die im Produktlebenszyklus billiger wurden), die anderen möchten die jeweils aktuellsten Modelle haben.

Entsprechend kann man je nach Lust und Laune zwei bis vier Handygenerationen überspringen. In der Regel haben die neuesten Modelle mit älteren Viren überhaupt keine Probleme, die entsprechenden Fehlerkorrekturen sind in Betriebssysteme und Applikationen eingeflossen. Einzig ein unvorsichtiges Benutzerverhalten kann alten Viren den Zugang ermöglichen – etwa bei leichtsinnigem Umgang mit Bluetooth.

Trotzdem sind ältere Handys nicht ohne Probleme. Gerade die vermeintlich “dummen” Geräte aus der Zeit vor vollflächigen Displays können zwar nicht unbedingt gut fotografieren oder ins Web gehen – dafür beherrschen sie aber oft Bluetooth und MMS, mithin einen sehr interessanten Infektionsweg.

Insgesamt dürften sich die Virenprogrammierer aktuell auf folgende Gerätetypen konzentrieren: entweder sehr hoher Marktanteil, so dass eine Infektion leicht durchführbar ist oder Business-Handys mit interessanten, weil teuren Daten. Seltene Betriebssysteme oder wirklich alte Geräte ohne Multimedia, Foto und mit schlechter Bluetooth-Integration sind dagegen immun. Das macht sie zu interessanten Handys bsp. für die Urlaubsreise. Ein Verlust wirkt nicht tragisch und ein Angriff ist auch nicht sehr wahrscheinlich.

Mit frühen Handys der Multimediageneration ist dagegen ohne Antivirensoftware ein Urlaub speziell in Asien etwas riskant aus folgenden Gründen: Gerade in China und anderen Billigländern sind viele Handys im Einsatz, die alte, billig zu produzierende Standards verwenden. Und dass China einen zweifelhaften Ruf in Sachen IT-Sicherheit genießt, ist auch nicht neu.

Immer mehr Handys sind auf unterschiedlichen Betriebssystemen unterwegs. Das Sepktrum reicht von Android über Symbian bis zu Windows Mobile und neuerdings auch einer ganzen Menge an herstellerspezifischen Systemen. Vorteil: eine Applikation lässt sich auf den verschiedensten Geräten nutzen, es sind oft keine tiefgreifenden Anpassungen nötig.

Die Frage aber ist: können Java-Applikationen potentiell gefährlich sein?

Die Antwort fällt zweigeteilt aus. Im Prinzip ja, wahrscheinlich werden aber nicht alle Systeme gleich betroffen sein. Viele Funktionen auf dem Handy sind erst mit einer Verbindung unterschiedlicher Funktionsbereiche nutzbar. Wenn beispielsweise eine Funkstrecke über Bluetooth aufgebaut werden soll, erfordert dies von den Betriebssystemen eine Ansprache des jeweiligen Funkmoduls. Das ist oft unterschiedlich bei den Systemen gelöst.

Prinzipiell kann man also via Java dem Betriebssystem des Handys sagen: bitte baue eine Verbindung auf – wie das aber genau intern gelöst wird, hängt wiederum vom Betriebssystemen und der Implementation der Chips ab. Da ist es schon sehr schwierig, eine für alle Systeme gleichermaßen funktionsfähige Schadroutine zu entwickeln. Zudem gibt es unterschiedliche Versionen von Java auf den jeweiligen Handys. Diese gilt es natürlich, optimal anzusprechen, wenn man einen Schaden verursachen möchte. Zudem haben die Betriebssysteme unterschiedliche Rechte- und Rollenkonzepte für Programme.

Prinzipiell also sind Java-Viren denkbar, wenn auch nicht für alle Handys gleich gefährlich. Und, nicht zu vernachlässigen, es muss auch eine Sicherheitslücke in Java selbst geben, bevor ein Virus in tiefere Regionen durchschlagen kann.

Anders und noch komplexer sieht dies bei Applikationen aus. Ein Handy-Browser für Symbian arbeitet anders als für Windows Mobile. Java-Script hat zumindest auf PCs immer wieder Sicherheitslücken im Explorer oder auf Firefox verursacht. Das kann durchaus auch bei Handys passieren. Aber die Virenprogrammierer müssen sich dann schon auf die Systeme einschießen, welche leicht zu knacken sind, die zudem einen manipulierbaren Browser haben und hohe Marktanteile oder sehr wichtige Daten – sonst lohnt der Aufwand nicht.

Wer sich gecrackte Versionen von Programmen auf sein Handy lädt, lebt ungleich gefährlicher, als beim Kauf legaler Versionen. Gerne wird die vermeintliche billige Software als Transportmittel für Handy-Viren benutzt. Das kann man relativ leicht umgehen, indem man sich nur legale Software herunterlädt.

Wo liegen im Einzelnen die Gefahren? Viele Apps haben eine Zertifizierung hinter sich, bevor sie in den Verkauf gelangen. Die Hersteller diverser Betriebssysteme prüfen oft die über ihre Shops verkaufte Software. Das fällt bei gecrackten Versionen natürlich aus.

Schlimmer noch, einige Programmierer nutzen die Gier der breiten Masse nach billiger Software und bieten Versionen über diverse Webseiten an, welche nicht nur gecrackt sind – also um die Zertifizierungsroutine erleichtert oder eine gefälschtes Zertifikat verwendend – sondern noch die ein oder andere “Nebenwirkung” haben.

Damit streuen sich die Infektionsherde recht schnell durch das Netz und nachher auch durch die Handy-Welt selbst.

Wer sicher gehen möchte, dass er sich zumindest beim Kauf keinen Virus einfängt, sollte daher offizielle Webseiten zum Download von Software bevorzugen.

Bei Windows ist die Sache relativ leicht. Es ist so ziemlich egal, welche Version man hat – immer findet sich eine entsprechende Antivirensoftware von verschiedensten Herstellern. Für die Apple-Fraktion gilt dasselbe: eine breite Auswahl an Antivirusprogrammen. Etwas anders sieht es bei Handys oder Tablet-PCs aus. Aktuell gibt es gleich mehrere Betriebssysteme im Markt, die jeweils auf beachtliche Benutzerzahlen verweisen können.

Symbian hat eine lange Entwicklungsgeschichte und ist neben Nokia gleich auch auf zig anderen Modellen zu finden. Unix ist der Stammvater von sowohl Apples iPhone System, wie auch Android, was gerade erhebliche Zuwachszahlen verzeichnet. Dazu kommt noch Windows Mobile in den verschiedensten Versionen sowie eine steigende Anzahl an Herstellern, welche eigene Betriebssysteme für ihre Handys entwickeln.

Nehmen wir einmal das Beispiel Samsung. Ich selbst verfüge sowohl über einSamsung 8910 HD, wie auch ein S 8000 Jet. Auf dem 8910 HD läuft Symbian mit S60, auf dem Jet ein eigens von Samsung entwickeltes System. Besitzer eines Samsung Omnia oder Omnia 2 hingegen haben als Betriebssystem jeweils Windows Mobile 6.1 (genau wie mein Sony Ericsson Xperia X1), respektive 6.5. Da ist es schon etwas schwieriger, selbst bei nur einem Hersteller einen passenden Virenscanner zu finden.

Nicht unbedingt leichter wird das Problem, wenn man die Updatezyklen oder subventionierten Handys betrachtet. In der Regel ist in Deutschland alle 2 Jahre ein neues Mobiltelefon vergünstigt bei den Providern zu haben. Wer sich ein längeres Abo einer Antivirensoftware geholt hat, kann diese ggf. nicht auf dem neuen Wunschhandy einsetzen – falsches Betriebssystem.

Auch reichen bsp. bei nachrangigen Herstellern aus Fernost die Angebote für Antivirenprogramme nicht unbedingt bis zur neuesten Generation der Betriebssysteme. Dumm, wenn man sein 2 Jahre altes Handy schützen kann, aber das nagelneue Business-Handy ungeschützt bleiben muss, weil die Software-Entwicklung nicht hinterher kommt.

Persönliche Meinung: Immer mit einem Auge bei sowohl dem Kauf von Handys, wie auch der Antivirensoftware auf das Betriebssystem, wie auch die Historie des Antivirenprogrammes achten. Hier traue ich den etablierten Sicherheitsspezialisten bedeutend weiter, als kleineren Firmen oder unbekannten Herstellern.

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS), Bluetooth
Schadwirkung: mittel (Virus ist veraltet)

Dampig ist eine Art Trägerschiff für den Cabir-Virus. Dabei gibt er sich als eine gecrackte Programmversion von FSCaller aus, beispielsweise FSCaller3.xCrackxxx.sis und gelangt via SIS-Dateien aufs Handy. Die eigentliche Telefonfunktion wird nicht lahmgelegt, jedoch eignet sich Dampig den Zugriff auf das Adressbuch sowie die Message-Funktionalitäten an.

Dampig kann mehrere Varianten von Cabir transportieren und einsetzen.  Deren Entfernung wiederum ist kein Problem, gängige Virenscanner von Kaspersky, Symantec oder auch Avira erkennen den “alten Bekannten” zuverlässig und können ihn bekämpfen. Eigentlich sollte jede halbwegs vernünftige Antivirensoftware von Markenherstellern das Gespann aus Dampig und den Cabir-Varianten zügig in den Griff bekommen.

Betroffene Systeme: Windows CE
Übertragungsweg: Datei
Schadwirkung: gering (ausgestorben)

Obwohl es kaum noch Mobiltelefone und Geräte mit Windows CE als Betriebssystem gibt – der Nachfolger Windows Mobile ist seit langer Zeit im Einsatz – möchte ich Brador einmal herausgreifen, um an dessen Beispiel die Schadwirkungen eines richtigen Backdoor-Virus zu erläutern.

Brador verbreitete sich über Dateien und infizierte so das Handy. Als erster Handy-Virus brachte er ausgefeilte Funktionen mit, die einem Angreifer den Zugriff auf das Handy sowie Manipulationsmöglichkeiten erlaubte. Brador konnte Verzeichnisse und Dateien infizierter Geräte auslesen und diese dann über eine normale Verbindung an die wahrscheinlich in Russland beheimateten Urheber des Virus übermitteln.

Die so ergaunerten Informationen konnten die Urheber nutzen, um Brador über den Port 2989 Befehle zu erteilen, die weitere Aktivitäten auf dem Handy auslösten. Der Virus konnte nach Wunsch der Urheber weitere Dateien auflisten, an den Urheber übermitteln oder auch zusätzliche Dateien von den Autoren des Virus empfangen und auf dem Handy ablegen. Hierdurch war permanent ein Mithören etwa des SMS-Verkehrs oder eine Kopie der vorhandenen Adressarchive möglich. De facto konnten die Autoren des Virus still und heimlich die vollständige Kontrolle über das Gerät übernehmen, ohne dass der Benutzer dies merkte.

Heute ist der Virus de facto ausgestorben und kann in seinen Windows CE basierten Programmierungen auch keine Kontrolle mehr über aktuelle Handys unter Windows Mobile übernehmen. Trotzdem war dies ein erster, heftiger Warnschuss in Sachen Sicherheit für Mobiltelefone.

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS), Bluetooth, PC
Schadwirkung: mittel

Der Lasco-Virus ist ein recht altes Programm. Er bietet sich über Bluetooth zum Download an und nutzt gleichzeitig die oft praktizierte Möglichkeit einer Infektion via PC. Dort sucht die Windows-Variante (der eigentliche Infektionsherd) namens sisinfect.exe nach installierbaren SIS-Dateien, welche später auf ein Handy übertragen werden können. sisinfect.exe versucht, sich in gefundene SIS-Archive zu replizieren. Die reine Virusdatei heißt velasco.sis.

Ist der Schädling erst einmal auf dem Handy, sucht er via Bluetooth permanent nach anderen infizierbaren Geräten in seinem Umfeld.

Die Abwehr des Virus ist dementsprechend leicht: Auf dem PC sorgt ein aktueller Virenscanner für den Schutz des Computers, während das Handy nur im “invisible” Modus von Bluetooth betrieben werden sollte. Damit sind unverlangte Datenübertragungen ausgeschlossen und man kann in Ruhe vor Lasco arbeiten.

Aktuelle Antivirensoftware sowohl für Handys, wie auch PC von beispielsweise F-Secure, Kaspersky oder Symantec unterbinden zuverlässig den Virus.

Alle Handys mit dem Betriebssystem Android sind vor Viren relativ sicher. Dies liegt vor allem an der Architektur des Betriebssystems selbst sowie die Art, wie dort Anwendungsprogramme eingebunden werden.

Android basiert grundsätzlich auf Linux, einem an sich schon bekannt sicheren System. Linux ist in mehrere Unterprogramme aufgeteilt, wovon der sogenannte Kernel das Herz des Systems ausmacht. Der Kernel teilt Rechenzeiten für Prozesse zu und regelt auch die Zugriffsrechte sowie Interaktion von Programmen untereinander.

Dazu kommt ein ausgefeiltes Rollenkonzept, was ein Benutzer oder ein Programm darf – oder eben nicht. Um eine Analogie zur Windows-Welt zu ziehen: der Kernel ist so etwas wie die system.exe und wer etwas an Prozessen starten oder beeinflussen darf, richtet sich nach den Rechten als Administrator, User und Programm. Von Haus aus sind die Programme untereinander recht klar abgeschottet. Entsprechend darf ein Programm nicht ohne die entsprechenden Rechte in anderen Programmen herumwildern oder sich als Administrator aufführen, der eben mal Zugriffe auf Systemeigenschaften freigibt.

Damit ist eine der häufigsten Sicherheitslücken von Windows oder Symbian schon deutlich besser gelöst. Bei vielen der bislang aufgetretenen Viren waren dort nämlich Zugriffe über ein, zwei Programme auf Systemeigenschaften und Daten anderer Programme möglich.

Trotzdem ist auch ein Linux nicht hundertprozentig sicher. Es wird nach wie vor Updates geben, welche Probleme beim Kernel oder bei einzelnen Applikationen beheben. Wird eine Lücke erkannt, ist sie in der Regel aber auch sehr schnell beseitigt. Immerhin arbeitet eine Unzahl von Entwicklern an Linux und seinen Artverwandten, was eine schnelle Fehlerkorrektur in der Regel gewährleistet. Ein ähnliches System auf Linux-Basis verwendet Apple für sein iPhone, das auch schon einmal upgedatet werden musste – Lücken mit eventuell kritischen Zugriffsmöglichkeiten auf Systemprozesse sollten beseitigt werden.

Tendenziell gilt: je breiter die Basis von engagierten Entwicklern ist, desto eher fallen Probleme auf und desto schneller ist eine Lösung gefunden. Nach meiner persönlichen Meinung wird es in Zukunft aber auch Antivirensoftware und vielleicht sogar richtige Firewalls für Android geben. Bei Linux sind diverse Firewalls in guter Qualität kostenlos verfügbar. Immerhin können derart leistungsfähige Handys nicht nur als eigener Rechner gesehen werden, sondern sie stellen in einer komplett vernetzten Umgebung auch ihrerseits eine Infektionsmöglichkeit für andere Geräte dar (auch, wenn sie eigentlich selbst nicht betroffen sind).

Viren gibt es fast so lange, wie es Computer gibt. In Zeiten immer leistungsfähigerer Handys breiten sich die Schädlinge logischerweise auch auf Smartphones und Fotohandys aus.

Wie arbeiten denn die renommierten Hersteller von Antivirensoftware, um den Schädlingen zu begegnen?

Weltweit gibt es verschiedenste Antiviren-Labore, welche neben dem normalen Informationsverkehr über Computer zunehmend auch Handyviren auf die Schliche kommen. Von den großen Herstellern hat fast jeder mehrere Labors in verschiedenen Zeitzonen über die ganze Welt verteilt – nur so ist eine schnelle Reaktion beim Auftreten eines neuen Schädlings möglich. Recht schnell ist ein Virus in seinen Schadroutinen analysiert. Etwas aufwändiger wird es, wenn nicht nur das Betriebssystem betroffen ist, sondern eine Interaktion mit diversen Applikationen erfolgt. Trotzdem sind in historischer Betrachtung oft schon Abwehrmaßnahmen nach weniger als einer Stunde verfügbar gewesen.

Dann ist ein schnellstmögliches Update der betroffenen Geräte nötig. Beim Computer geschieht dies normalerweise andauernd. Beim Handy muss man gegebenenfalls eine neue Datei über ein Vernbindungskabel zum PC einspielen oder (teurer) via Browser direkt von einer WAP/Web-Seite laden.

Gut, wenn dann auch hier eine ebenso schnelle Lösung verfügbar ist. Hier haben die renommierten Hersteller meiner Meinung nach nicht nur einen Vorteil:

a) sie merken sehr schnell, wenn irgendwo auf der Welt etwas passiert
b) sie können sehr schnell angepasste Abwehrfunktionen und Desinfektionsroutinen zur Verfügung stellen
c) meist sitzt zumindest ein Teil der Labors in der Nähe des Ausbruchherdes
d) es sind oft keine besonderen Anpassungen der Software oder eine komplette Neuinstallation erforderlich
e) oft schon gibt es preisgünstige Bundles – die Antivirensoftware für den PC und die Antivirensoftware für das Handy kann man in einem Vorgang erwerben

Bei No-Name Anbietern ist meiner Meinung nach diese Reaktionsgeschwindigkeit und die Breite an Services nicht immer gewährleistet. Persönliches Fazit: Lieber Markenware erwerben, als auf No-Name Services setzen.