Foto: Andreas Proschofsky / STANDARD

Gerade in den vergangenen Wochen ist die Diskussion über den behördlichen Zugriff auf Smartphones wieder neu aufgeflammt. Vor allem die Frage, in welchen Ausmaß die Hersteller dabei behilflich sind – oder dies überhaupt können – spielt dabei eine entscheidende Rolle.

Behauptung

Der New Yorker Bezirksstaatsanwalt Cyrus Vance hat dabei nun einen Bericht veröffentlicht, der für einige Aufregung in Teilen der Tech-Presse sorgt: Google könne praktisch alle Android-Geräte aus der Ferne entsperren, heißt es in so manchen Schlagzeilen.

Fakten

Das Problem dabei: Dies stimmt so einfach nicht, wie Android-Sicherheitschef Adrian Ludwig in einem Posting auf Google+ herausstreicht. Android kenne keinerlei Möglichkeit Geräte, die mit einem PIN, Passwort oder Fingerabdruck geschützt sind, von außen zu entsperren. Einzige Ausnahme bilden jene Geräte, die eine Mustersperre aufweisen. Hier habe man lange eine Recovery-Option angeboten, diese wurde aber mit Android 5.0 aus Sicherheitsüberlegungen gestrichen.

Device Manager

Freilich gäbe es – wie übrigens seit langem bekannt – theoretisch noch einen anderen Weg, von außen auf ein Android-Gerät zuzugreifen: den Android Device Manager. Dieser ist eigentlich dazu gedacht, den Nutzer beim Aufspüren verloren gegangener Geräte zu helfen und im Fall des Falles die darauf befindlichen Daten zu löschen. Eine zeitlang war es darüber aber auch möglich einen neuen PIN für ein bereits geschütztes Gerät festzulegen, so man Zugang zum zugehörigen Google-Account hatte. Aber auch diese Funktionalität wurde vor geraumer Zeit aus Sicherheitsbedenken gestrichen, und zwar bei sämtlichen im Umlauf befindlichen Geräten. Ist die entsprechende Funktionalität doch Teil der Google Play Services, die unabhängig von der jeweiligen Androidversion aktualisiert wird.

Böses Update?

Bliebe natürlich die Möglichkeit, dass Google eine solche Funktionalität nachträglich über ein Update wieder einführt. Dies wäre sicherlich theoretisch machbar, allerdings keine Google-Besonderheit. Jeder Betriebssystemhersteller kann prinzipiell über Updates Funktionen nach Belieben nachreichen und verändern, ob dies unbemerkt – und ohne Kritik – bliebe ist dabei allerdings eine ganz andere Frage.

Realitätscheck

Allerdings geht die gesamte Diskussion über den vermeintlichen Fernzugriff ohnehin prinzipiell am Thema vorbei. Behörden werden nämlich kaum bei Google zur Entsperrung anklopfen, wenn sie ohnehin selbst auf die Daten zugreifen können. Und dies ist bei allen Geräten, die nicht verschlüsselt wurden, kein sonderliches Problem. Immerhin kann man bei diesen direkt auf den Datenspeicher zugreifen, und die darauf enthaltenen Informationen mit gängigen Tools kopieren. Ist das Gerät hingegen verschlüsselt, wird beim Boot vor dem PIN noch das Verschlüsselungspasswort abgefragt – das Ändern eines PINs würde also keinen Zugriff bringen, selbst wenn Google solch ein Feature zur Verfügung hätte.

Verschlüsselung

Wer seine lokalen Daten effektiv vor Dritten schützen will, kommt also um eine Verschlüsselung des Geräts ohnehin nicht herum – wie seit langem bekannt ist. Von Haus aus ist diese bei den allermeisten Android-Smartphones deaktiviert, da die Hersteller negative Schlagzeilen durch Performance-Einbußen befürchten, hier müssen auf Datensicherheit bedachte Nutzer also selbst die entsprechende Option aktivieren. Erst mit Android 6.0 ist diese nun zumindest für High-End-Geräte verpflichtend, bei Android 5.0 hatten sich die Dritthersteller noch erfolgreich gegen solch eine Vorschrift gewehrt. (Andreas Proschofsky, 25.11.2015)