Die Sicherheitslücken „Meltdown“, „Spectre“ und deren Varianten die in den Prozessoren von Computern und Mobilgeräten gefunden wurden sind gravierend, aber sie können nur dann ausgenutzt werden, wenn sich betroffene Geräte eine dafür entwickelte Schadsoftware auf dem üblichen Wege einhandeln, also per e-mail Anhang, Download etc.

Weil das Sicherheitsproblem in der Hardware liegt, die nicht einfach ausgewechselt werden kann, arbeiten die betroffenen Hersteller Intel und AMD gemeinsam mit den Software-Herstellern Microsoft, Google, Apple und Anderen an Aktualisierungen, damit die Sicherheitslücken zukünftig nicht mehr ausgenutzt werden können.
Diese Aktualisierungen sind laufend in Arbeit und werden durch die regelmäßigen System- und Softwareupdates bereitgestellt.

Praktisch bedeutet dies keine Änderung der dringenden Empfehlung, stets darauf zu achten, dass sich alle Geräte und die verwendete Software auf dem aktuellsten Stand befinden, und natürlich auch weiterhin keine zweifelhaften Mailanhänge zu öffnen oder Programme aus unbekannten Quellen zu installieren.
Viele Systeme haben eine automatische Aktualisierung eingerichtet, manche müssen aber manuell in den jeweiligen System- oder Programmeinstellungen überprüft werden.

Regelmäßige Updates sind zwar lästig aber ganz wesentlich für den Datenschutz und die sichere Nutzung aller modernen Geräte. Alte Computer, Handys und Software, die keine Aktualisierungen mehr bekommen, gehören dagegen leider ausgemustert und verschrottet.

Im Juli und August 2015 wurden mehrere gravierende Sicherheitslücken in nahezu allen Android Systemen bis einschließlich Version 5.1.1 entdeckt, die sehr wahrscheinlich über 90% aller Android-Geräte betrifft. Durch diese Sicherheitslücken können sich Angreifer zum Beispiel mittels einer präparierten Videodatei die Kontrolle über ein Android-Gerät verschaffen. Dies geschieht beispielsweise durch eine entsprechende MMS (Multimedia-Nachricht) die an das Opfer versendet wird. Das tückische dabei ist, dass der Empfänger als Opfer davon nichts mitbekommt und somit völlig unbemerkt von Schadsoftware infiziert wird, die zum Beispiel das Handy in eine Wanze verwandelt oder die Kamera regelmäßig Bilder senden lässt. Ebenso sind sämtliche Daten auf dem Gerät, also Konversationen, Adressbücher etc., ebenfalls im Zugriff der Angreifer.

Die meisten Hersteller arbeiten zwar schon an Updates die die Sicherheitslücke schließen, jedoch wird es üblicherweise noch Wochen bis Monate dauern, bis die Updates verfügbar sind. Außerdem werden viele Geräte niemals ein Update erhalten, weil sich die Hersteller zumeist auf ihre jeweiligen Top-Geräte kümmern und günstige oder ältere Geräte ignorieren.

Um sich etwas Sicherheit zu verschaffen, sollte man beim Mobilfunkprovider MMS generell deaktivieren lassen oder zumindest im Gerät deren automatischen Empfang abschalten. Unklar ist derzeit noch, welche Apps darüber hinaus angreifbar sind, wie zum Beispiel Webbrowser, WhatsApp, Threema, Google Hangouts. Es ist aber davon auszugehen, dass auch dort oft dieselbe Sicherheitslücke ausgenutzt werden kann durch manipulierte Videos.

Vor der spontanen Installation und Nutzung der Outlook App von Microsoft für iOS und Android muss ich leider warnen. Zuvor sollte folgender Umstand bedacht werden, der sicher in den meisten Fällen von der Installation abhält:

Die App kommuniziert nämlich, anders als „normale“ Mail Apps, nicht direkt mit dem jeweiligen Mailserver, sondern nutzt den Umweg über Server in den USA von der Firma Acompli. Demzufolge übergibt man die Zugangsdaten zum Postfach/Mailserver mittels der Outlook-App vollständig an Accompli, damit deren Server die Postfachinhalte zunächst selbst abrufen, um sie danach erst indirekt an die App des Mobilgräts auszuliefern. Defacto besteht somit eine sehr hohe Wahrscheinlichkeit, dass sämtliche Daten des Postfachs auf fremden Servern zwischengespeichert und womöglich auch inhaltlich ausgewertet werden (können).

Die Firma Acompli und deren Geschäftsmodell mit Apps und Datenservern wurde zwar von Microsoft zu 100% übernommen, dennoch erachte ich die Zwischenspeicherung aller Postfachdaten auf deren Servern für höchst kritisch. Details dazu können hier nachgelesen werden…

Sofern man die schon App ausprobiert hat mit echten Zugangsdaten, sollten diese nach Entfernung der App unbedingt geändert werden! Sonst besteht die Gefahr, dass unbemerkt weiterhin auf das Postfach zugegriffen wird.