Skip to content

Was tun nach Verlust des Android Geräts?

Heute fragte mich meine Frau, was eigentlich passiert, wenn sie ihr Android Handy verliert? Hat der Finder dann Zugriff auf die darin konfigurierten Konten (speziell die Google Mail), wenn er die SIM Karte austauscht? Das machte mich stutzig, denn meine Meinung dazu war: Ja, das ist in der Tat so! :-O

Das ist vermutlich gar nicht jedem so bewusst: Wenn man sein Handy verliert, dann verliert man nicht wie früher einfach nur die SIM Karte, sondern ein Device, auf dem sehr viele Accounts konfiguriert und evtl sogar Schlüssel hinterlegt sind. Ich fragte meine Follower:

Als Antwort bekam ich u.a. einen interessanten Artikel auf AndroidNext, der das Problem aus eigener Erfahrung beschreibt. Dort werden auch einige Tools aufgelistet, die das Handy nach Diebstahl oder sonstigen Verlust säubern können, wenn man sie vorher eingerichtet hat. @rowi empfiehlt außerdem noch diese Anwendung (habe ich selbst noch nicht getestet).

Bestätigung in zwei Schritten für Google Profile

Eine andere Möglichkeit, wie man zumindest den Google Account absichern kann, ist die "Bestätigung in zwei Schritten" von Google. Man kann sie sich vorstellen, wie das TAN Verfahren beim Online Banking: Man loggt sich nicht mehr einfach nur mit seinem Account und seinem Passwort ein, sondern zusätzlich auch mit einem Verifizierungscode, den man per SMS oder per Android App erhalten kann.

In der Beschreibung zur Android App für diesem Mechanismus findet sich auch ein Video, das ganz zum Schluss eine hier relevante Eigenheit dieses Mechanismus beschreibt: Anwendungsspezifische Passwörter, die nun benötigt werden, da die meisten Anwendungen (Mail Clients z.B. aber auch das Android Device an sich) natürlich keine Möglichkeit für einen zusätzlichen AuthCode vorsehen.

Der Mechanismus der anwendungsspezifischen Passwörter kann man sich wie folgt vorstellen: Es gibt nicht ein Passwort für den Google Service, sondern beliebig viele. Man kann sie unter einem Namen anlegen (z.B. "Android HTC Desire") und das so angelegt Passwort dann für den Google Sync Account und den Mail Zugriff am Handy einrichten. Genauer: Wenn man das Zwei Schritte Verfahren aktiviert, muss man sogar ein spezielles Passwort benutzen, das bisherige geht dann nicht mehr!

Der Vorteil dabei: Man kann beliebig viele dieser Passwörter anlegen und jedes einzelne Passwort durch einen einfachen Klick im Google Profil Manager wieder zurück rufen (ungültig machen). Wenn man sein Handy also verliert, dann geht man am Rechner zu seinem Profil und löscht das Passwort, danach kann das verlorene Handy nicht mehr auf den Google Account zugreifen! Da meine Frau keine weiteren Accounts an ihrem Androiden hat, ist dieser Service für sie schon völlig ausreichend.

Einrichtung

Diese Art der Authentifizierung muss im eigenen Google Profil eingestellt werden. Auf der linken Seite klickt man auf die Kategorie Sicherheit und findet dort "Bestätigung in zwei Schritten", die man dort aktivieren und konfigurieren kann. Hat man dies getan, geht man (wieder in der Kategorie Sicherheit) auf die Option "Autorisierung von Anwendungen und Websites". Hier sieht man erst einmal eine Liste von Anwendungen, denen man bisher Zugriff auf den Google Account gegeben hat.

Ganz unten findet man nun die "Anwendungsspezifischen Passwörter":

 

Das Passwort, das wir hier generieren, können wir dann im Android Handy in den Einstellungen unter "Konten und Synchr." für die Google Synchronisation einstellen. Man kann hier übrigens nicht das Passwort ändern oder die installierte Synchronisation löschen. Man kann sie aber einfach noch einmal (jetzt mit dem neu generierten Passwort) erstellen, die neue Konfiguration überschreibt dann die alte.

Zusätzlich sollte man das neue Passwort auch an allen installierten Clients eintragen, die auf dieses Konto zugreifen. Ich hole z.B. meine Google Mail mit dem K9 Client ab. Hier kann man das Passwort einfach in der Konto Konfiguration ändern.

Fazit

Jetzt wo ich das anwendungsspezifische Passwort kennen gelernt habe, wünsche ich mir das für andere Services auch.. Einige Services bieten ja bereits OAuth (Twitter z.B.), hier wird auch für jeden einzelnen Client Zugriff gewährt (und kann eben wieder entzogen werden), Facebook hat etwas ähnliches.

Schick wäre ein Service, der alle diese Zugriffe auf allen Clients mit einem Click löschen könnte. So hat man aber noch einige Arbeit nach einem Verlust.. Alternativ habe ich hier eine Liste mit Links zusammen gestellt, die man nach einem Handy Verlust besuchen sollte, wenn man diese Services so wie ich am Handy benutzt:

Wenn man sich diese Todo Liste ansieht, die ich mir beim Durchschauen meiner auf dem Gerät installierten Clients zusammen gestellt habe, wird einem erst bewusst, dass das Smartphone mittlerweile ein echter Identitätsspeicher ist, der auch so behandelt werden sollte! :-O

Bedenken sollte man außerdem, dass durch Ändern der Passwörter und Zugriffe zwar der Zugriff auf neuen Content verwehrt wird, auf dem Handy bereits gespeicherter Content aber durchaus noch lesbar sein kann!

Trackbacks

mattsches

mattsches am : mattsches via Twitter

"mattsches via Twitter" vollständig lesen
RT @gbrockhaus: blog: Was tun nach Verlust des #Android Geräts? http://t.co/plkRW167 #google #sicherheit
markustacker

markustacker am : markustacker via Twitter

"markustacker via Twitter" vollständig lesen
@AzumasLair Was tun nach Verlust des Android-Geräts? http://t.co/N1TJPPp6 / via @gbrockhaus
Dahie

Dahie am : Dahie via Twitter

"Dahie via Twitter" vollständig lesen
@ToWoNo Was tun beim Verlust eines Android-Gerätes: http://t.co/oNmr6LO0 geschrieben vom @gbrockhaus

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Matthias Gutjahr

Matthias Gutjahr Auf Twitter lesen: am :

Es gibt auch noch Prey https://play.google.com/store/apps/details?id=com.prey - das außerdem auch auf Notebooks und offenbar ähnlich wie Cerberus funktioniert. Ob's im Ernstfall was bringt, will ich allerdings gar nicht ausprobieren ;-)

Grischa

Grischa Auf Twitter lesen: am :

Ich habe jetzt erst mal Cerberus ausprobiert. Das Tool ist der absolute Wahnsinn! Das kann eigentlich alles, was man sich so vorstellen kann, was sinnvoll ist.

Außer Telefon/SD Speicher löschen habe ich bereits auch alles erfolgreich getestet.

Gekauft! :-)

Grischa schrieb auch: Samsung S3 angetestet: Nicht mein Fall.

Patrice

Patrice am :

Nettes Spielzeug und beruhigt evtl. erst einmal. Derjenige in dessen Hände dein Handy fällt und der tatsächlich vorhat deine Daten zu missbrauchen, wird schon wisssen was sich als erstes empfiehlt: Alle Funkverbindungen ausschalten! Bleibt nur die Zeit zwischen Verlust und Fund, wenn du da überhaupt ne Verbindung hast. Nach Verlust/Diebstahl alle Passwörter ändern wirst du so oder so tun wollen...

Grischa

Grischa Auf Twitter lesen: am :

Richtig. Das mit der Funkverbindung ist ein Problem. Deshalb sollte auch eine Telefon Sperre rein, was ich inzwischen wieder zusätzlich drin habe. Bis die überwunden ist, greift immerhin meine eigene Flatrate noch. So schnell hat der Dieb / Finder dann ja sicher auch keine SIM zu Hand, mal abgesehen davon, dass man schon relativ gut Bescheid wissen muss, um zu erkennen, dass so etwas installiert sein könnte.

Aber klar, 100%en Schutz bietet auch das nicht, aber man hat zumindest ein potentiell weiteres Hilfsmittel in der Hand, mit dem man agieren kann, und das in vielen Fällen noch funktionieren wird. Diese Option sind mir die 3€ wert gewesen. :-)

Zumindest das Google Konto ist aber immerhin mit obigem Mechanismus relativ gut geschützt.

Grischa schrieb auch: Projekt: Serendipity als Microblog

Patrice

Patrice am :

Jeder Finder von dem wir hier sprechen hat wohl eine SIM-Karte "zur Hand" - nämlich im eigenen Handy! :-) Wer hat das heute nicht? Wer eine PIN-Sperre vorfindet (ist ja nicht unbedingt ersichtlich ob die vom Sim oder von eimem Locker kommt), steckt wohl erst mal seine SIM rein, dann ist Funkstille für dich!

Aber klar: Schaden kanns nicht, mal abgesehen davon dass ein so mächtiger serverbasierter Dienst potentiell ein eigenes Sicherheitsrisko für dich darstellt. ;-))

Grischa

Grischa Auf Twitter lesen: am :

Zum Sicherheitsrisiko für mich durch den Service selbst: Dazu hatte ich auf G+ schon mal etwas kommentiert. Ich werde zu Cerberus (u.ä.) wohl auch noch mal einen eigenen Artikel schreiben müssen.

Für mich ist das eine Risiko Abschätzung. Der Service kann natürlich übelstes mit meinem Handy machen. Ich würde das auch nicht mitbekommen.

Allerdings würde er sich damit sein Geschäftsmodell ruinieren (ohne davon irgend etwas zu haben). Denn das Risiko, dass irgendwer das heraus findet ist nicht zu verachten und so was spricht sich dann ganz schnell im Web herum.

Klar. Riskant. Aber das Risiko halte ich persönlich für minimal.

Grischa schrieb auch: NVida Grafik Treiber für Ubuntu 12.04

Grischa

Grischa Auf Twitter lesen: am :

Interessant an dem Client ist: Der ist komplett OpenSource, inklusive dem Server!

Man könnte sich also seinen eigenen Service aufsetzen. Leider kann der aber noch recht wenig.. Aber verdammt interessant! :-)

Bernd

Bernd Auf Twitter lesen: am :

Ich hab einfach eine PIN-Sperre aktiviert für mein Telefon. Würde ich es ganz sicher wollen, könnte ich am iPhone sogar einstellen, dass nach X Fehleingaben alle Daten gelöscht werden.

Grischa

Grischa Auf Twitter lesen: am :

Na, der normale PIN Code sperrt ja nur die SIM Karte. Oder meinst Du eine Geräte PIN Sperre? Ja, die habe ich auch, aber was schützt z.B. davor, die Daten per USB auszulesen? Ich traue der nicht so richtig bei den Daten, die ich da drauf habe..

Automatisch alles löschen nach mehrmalig falscher Eingabe wäre mir zu heiß. Dafür ist mein Gerät z.B. zu oft unbeobachtet in Kinderhänden..

Bernd

Bernd Auf Twitter lesen: am :

Ja, ich meine eine Geräte-Pin-Sperre. Könnte ich jetzt gar nicht mal sagen, ob man das iPhone an nem fremden PC trotzdem auslesen könnte, auf dem das Gerät nicht aktiviert/synchronisiert ist.

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Dieses Blog erlaubt Dir, Audio Kommentare über audioboo.fm hinzuzufügen. Erstelle einen neuen Boo und gib hier den Link auf die Seite Deines Boos ein.
record
Wenn Du Deinen Twitter Namen eingibst wird Deine Timeline in Deinem Kommentar verlinkt.
Bewirb einen Deiner letzten Artikel
Dieses Blog erlaubt Dir mit Deinem Kommentar einen Deiner letzten Artikel zu bewerben. Bitte gib Deine Blog URL als Homepage ein, dann wird eine Auswahl erscheinen, in der Du einen Artikel auswählen kannst. (Javascript erforderlich)
(Bedingung: 1 Kommentare geschrieben)
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
tweetbackcheck