Das passiert wirklich, wenn Sie Ihr Gerät zur Reparatur geben

Könnte jemand Ihre privaten Fotos einsehen, während Ihr Gerät repariert wird?

Wahrscheinlich hat jeder in seinem Leben schon einmal sein Smartphone, Tablet oder seinen Laptop beschädigt und musste das Gerät reparieren lassen. Der Grund für den Schaden kann die eigene Nachlässigkeit des Nutzers sein: So hat der Ersatz kaputter Smartphone-Bildschirme der Branche bereits unzählige Milliarden Dollar eingebracht. Viel häufiger ist es jedoch eine zufällige Fehlfunktion, wie z. B. ein defekter Akku, eine defekte Festplatte oder eine von der Tastatur abgefallene Taste, die einen Nutzer dazu bewegt, einen Reparaturservice in Anspruch zu nehmen. Und so etwas kann jederzeit passieren.

Unglücklicherweise sind moderne Geräte so beschaffen, dass selbst die geschicktesten Computerexperten sie oft nicht selbst reparieren können. Die Reparaturfähigkeit von Smartphones wird von Jahr zu Jahr immer schlechter. Um die neuesten Modelle zu reparieren, braucht man nicht nur Geschick und ein generelles Verständnis für die Funktionsweise aller Arten von digitalen Geräten, sondern auch Spezialwerkzeuge, Fachwissen und Zugang zu Dokumentation sowie zu speziellen Ersatzteilen.

Geht also ein Smartphone oder Laptop kaputt, so bleibt dem Nutzer in der Regel nichts anderes übrig, als ein Service-Center aufzusuchen. Schließlich ist es keine Option, das kaputte Gerät einfach wegzuwerfen, ein neues zu kaufen und noch einmal von vorne anzufangen, weil man wahrscheinlich alle darauf befindlichen Daten wiederherstellen möchte. Deshalb ist der Gang zum Service-Center unerlässlich. Allerdings gibt es dabei ein Problem: Sie müssen Ihr Gerät in die Hände eines Fremden geben. Fotos und Videos, E-Mails und Anrufprotokolle, Dokumente und Finanzdaten können von jemandem, den Sie nicht kennen, direkt eingesehen werden. Kann dieser Person vertraut werden?

Das Anschauen selbstgedrehter Pornos – in Werkstätten gängige Praxis?

Ich selbst habe kürzlich ernsthaft darüber nachgedacht, nachdem mir ein Freund davon erzählt hatte. Er hatte sich inoffiziell mit einigen Mitarbeitern einer kleinen Werkstatt unterhalten. Sie erzählten ihm, ohne zu zögern, dass sie gelegentlich selbstgedrehte Pornos, die sie auf den von ihnen reparierten Geräten finden, anschauen!

In den Nachrichten tauchen von Zeit zu Zeit ähnliche Vorfälle auf. In mehr als einem Service-Center wurden Beschäftigte bereits beim Diebstahl privater Fotos von Kunden erwischt. Und manchmal kommen sogar noch viel gravierendere Geschichten ans Licht: In einem der Fälle stahlen Mitarbeiter von Service-Centern nicht nur jahrelang Fotos von Kundinnen, sondern legten auch ganze Sammlungen davon an und gaben sie weiter.

Aber sind solche Vorfälle nicht Ausnahmen von der üblichen Praxis? Nicht in jedem Service-Center gibt es Mitarbeiter, die es auf die persönlichen Daten der Kunden abgesehen haben, oder? Die Ergebnisse einer Studie, auf die ich kürzlich gestoßen bin, zeigen leider, dass die Datenschutzverletzungen durch Servicetechniker weitaus verbreiteter sind, als wir alle glauben mögen. In der Tat scheint es sehr wahrscheinlich, dass die übermäßige Neugier des Servicepersonals ein Merkmal dieser Branche ist und nicht nur ein einzelner skandalöser Vorfall. Aber wir wollen nicht zu viel vorwegnehmen. Ich werde Sie schrittweise durch das Thema führen.

 

Wie Elektronik-Reparaturdienste mit den Daten ihrer Kunden umgehen

Eine Studie wurde von Forschern der Universität Guelph in Kanada durchgeführt. Sie umfasst vier Teile, von denen zwei der Analyse von Gesprächen mit Kunden von Reparaturdiensten gewidmet sind, zwei weitere waren Felduntersuchungen in den Werkstätten selbst (auf die ich mich hier konzentrieren werde) gewidmet. Im ersten Teil dieser Feldforschungen versuchten die Forscher herauszufinden, wie Werkstätten die Privatsphäre im Hinblick auf ihre Intentionen behandeln. Die Forscher waren in erster Linie daran interessiert, welche Datenschutzrichtlinien oder -verfahren die Werkstätten zum Schutz der Kundendaten anwenden.

Dazu besuchten die Forscher fast 20 Werkstätten unterschiedlicher Art (von kleinen lokalen Werkstätten bis hin zu regionalen und nationalen Dienstleistern). Anlass für jeden Besuch war der Wechsel des Akkus eines ASUS UX330U Notebooks. Der Grund für diese Wahl der Störung war einfach: Für die Diagnose und Lösung des Problems ist kein Zugriff auf das Betriebssystem erforderlich, und alle dafür notwendigen Tools befinden sich in der UEFI des Laptops (die Forscher verwenden den veralteten Begriff BIOS).

Der Besuch der Forscher in den Service-Centern bestand aus mehreren Schritten. Zuerst suchten sie nach Informationen über die Datenschutzpolitik des Service-Centers, die für den Kunden leicht zugänglich waren. Anschließend überprüften die Forscher, welche Informationen der Mitarbeiter, der das Gerät entgegennahm, für die Anmeldung beim Betriebssystem benötigte, und wenn ja, wie er die Übergabe dieser Informationen begründete (hierfür gibt es keinen offensichtlichen Grund, da, wie bereits erwähnt, für den Austausch der Batterie kein Zugriff auf das Betriebssystem erforderlich ist). Als Drittes hielten die Forscher fest, wie das Passwort für das zur Reparatur übergebene Gerät gespeichert wurde. Und schließlich, viertens, stellten sie dem Mitarbeiter, der das Gerät entgegennahm, eine direkte und eindeutige Frage: „Wie stellen Sie sicher, dass niemand auf meine persönlichen Daten zugreift?“, um herauszufinden, welche Datenschutzrichtlinien und -protokolle angewandt werden.

 

Die Ergebnisse zu diesem Teil der Studie waren enttäuschend.

  • Keine der von den Forschern besuchten Service-Shops informierte die „Kunden“ vor der Annahme des Geräts über die jeweiligen Datenschutzrichtlinien.
  • Mit einer einzigen Ausnahme verlangten alle Servicestellen das Login-Passwort – mit dem Argument, dass es für Diagnose- oder Reparaturzwecke oder zur Überprüfung der Qualität der erbrachten Dienstleistungen erforderlich sei (was, wie oben erwähnt, nicht der Fall ist).
  • Auf die Frage, ob es möglich sei, den Austausch der Batterie ohne Passwort durchzuführen, antworteten alle drei nationalen Anbieter mit „Nein“. Bei fünf kleineren Diensten erklärten die Mitarbeiter, dass sie ohne Passwort nicht in der Lage seien, die Qualität der ausgeführten Arbeiten zu überprüfen, und sich daher weigerten, die Verantwortung für das Ergebnis der Reparatur zu übernehmen. Eine weitere Servicestelle schlug vor, das Passwort ganz zu entfernen, sofern der Kunde es nicht freigeben wolle! Und schließlich gab die letzte besuchte Werkstatt an, dass das Gerät auf die Werkseinstellungen zurückgesetzt werden könne, wenn dem Servicetechniker das Passwort nicht mitgeteilt würde.
  • Was die Speicherung der Zugangsdaten anbelangt, so wurden diese in fast allen Fällen zusammen mit dem Namen, der Telefonnummer und der E-Mail-Adresse des Kunden in einer elektronischen Datenbank gespeichert, ohne dass erläutert wurde, wer auf diese Datenbank zugreifen kann.
  • In rund der Hälfte der Fälle waren die Zugangsdaten auch physisch an dem zur Reparatur übergebenen Laptop angebracht. Sie waren entweder als Aufkleber ausgedruckt und angebracht (bei größeren Diensten) oder einfach handschriftlich auf einem Notizzettel vermerkt – ein Klassiker! Somit konnte offenbar jeder Mitarbeiter der Servicestellen (vielleicht auch zufällige Besucher) Zugang zu den Passwörtern erhalten.
  • Auf die Frage, wie die Sicherheit der Daten gewährleistet wird, versicherten der Mitarbeiter, dem das Gerät übergeben wurde, und andere Mitarbeiter der Reparaturwerkstatt, dass nur der Techniker, der das Gerät repariert, Zugang zu den Daten haben würde. Allerdings zeigten weitere Nachforschungen, dass es keinen Mechanismus gab, der dies garantieren konnte; es galt lediglich ihr Versprechen diesbezüglich.

 

Was tun Wartungstechniker denn nun mit persönlichen Kundendaten?

Nachdem die Forscher festgestellt hatten, dass die Service-Center über keinerlei Mechanismen verfügen, um die Neugier ihrer Spezialisten zu zügeln, untersuchten sie im nächsten Teil der Studie, was tatsächlich mit einem Gerät passiert, nachdem es zur Reparatur übergeben wird. Dazu kauften sie zunächst sechs neue Laptops und simulierten ein grundsätzliches Problem mit dem Audio-Treiber auf diesen Geräten. Dazu wurde er einfach ausgeschaltet. Die „Reparatur“ bestand also nur aus einer oberflächlichen Diagnose und einer schnellen Behebung des Problems durch erneutes Einschalten des Treibers. Diese spezielle Fehlfunktion wurde gewählt, da die „Reparatur“ des Audio-Treibers im Gegensatz zu anderen Diensten (wie z. B. der Entfernung von Viren aus dem System) keinerlei Zugriff auf die Dateien der Benutzer erfordert.

Die Forscher legten fiktive Nutzeridentitäten auf den Laptops an (männliche Nutzer in der ersten Hälfte des Experiments und weibliche Nutzer in der zweiten Hälfte). Sie richteten einen Browserverlauf, E-Mail- und Gaming-Konten ein und ergänzten den Laptop mit diversen Dateien, darunter auch Fotos der Versuchspersonen. Zudem legten sie den ersten „Köder“ aus: eine Datei mit den Zugangsdaten zu einem Wallet einer Kryptobörse. Der zweite Köder war ein separater Ordner mit leicht expliziten Bildern. Die Forscher nutzten für das Experiment echte, weiblich kodierte Bilder von Reddit-Nutzern (natürlich nach einer vorher erteilten Zustimmung).

Und schließlich, und dies ist der wichtigste Punkt, schalteten die Forscher vor der Übergabe der Laptops an den Dienst das Dienstprogramm Windows Problem Steps Recorder ein, das jede auf dem Gerät ausgeführte Aktion aufzeichnet. Danach wurden die Laptops zur Reparatur an 16 Service-Center weitergegeben. Um ein umfassendes Bild zu erhalten, wurden sowohl kleine lokale Dienste als auch Zentren großer regionaler oder nationaler Anbieter besucht. Die Geschlechter der „Kunden“ waren gleichmäßig verteilt: In acht Fällen wurden die Geräte mit einer fiktiven weiblichen Persönlichkeit konfiguriert, in den anderen acht – mit einer männlichen.

 

Das Fazit der Forscher lautet wie folgt:

  • Trotz der Einfachheit wurde das Problem mit dem Audio-Treiber nur in zwei Fällen in Anwesenheit des „Kunden“ nach einer kurzen Wartezeit gelöst. Bei den anderen Experimenten mussten die Laptops mindestens bis zum nächsten Tag in der Werkstatt bleiben. Die Service-Center der nationalen Dienstleister behielten sie mindestens zwei Tage lang zur „Reparatur“ ein.
  • Bei zwei lokalen Dienstleistern war es nicht möglich, die Handlungsprotokolle des Reparaturpersonals zu erfassen. In einem Fall konnte dafür kein plausibler Grund gefunden werden. In dem anderen Fall wurde den Forschern mitgeteilt, dass die Wartungsmitarbeiter aufgrund mehrerer Viren eine Antivirensoftware auf dem Gerät ausführen und die Festplatte bereinigen mussten (die Forscher waren sich absolut sicher, dass der Laptop zum Zeitpunkt der Übergabe nicht infiziert gewesen sein konnte).
  • In den anderen Fällen waren die Forscher in der Lage, die Protokolle zu untersuchen; nachfolgend sind ihre Ergebnisse aufgeführt:
  • Unter den verbleibenden Aufzeichnungen entdeckten die Forscher sechs Fälle, in denen die Techniker Zugriff auf persönliche Dateien oder den Browserverlauf hatten. In vier Fällen wurde dies auf den „weiblichen“ Laptops aufgezeichnet, in den beiden anderen auf denen der „männlichen“.
  • Bei der Hälfte der Fälle versuchten neugierige Service-Center-Mitarbeiter, die Spuren ihres Verhaltens zu verwischen, indem sie die Liste der zuletzt geöffneten Windows-Dateien löschten.
  • Die Reparaturmitarbeiter interessierten sich vor allem für die Bildordner. Deren Inhalt (einschließlich expliziter Fotos) wurde in fünf Fällen eingesehen. Vier der Laptops in diesen Fällen „gehörten“ Frauen, der andere – einem Mann.
  • Der Browserverlauf wurde bei zwei Laptops eingesehen, die beide „Männern“ gehörten.
  • Finanzdaten wurden in einem Fall eingesehen – auf dem Gerät eines „Mannes“.
  • In zwei Fällen wurden Benutzerdateien von Wartungstechnikern auf ein externes Gerät kopiert. Beide Male handelte es sich um explizite Fotos, und in einem Fall wurden die bereits erwähnten Finanzdaten ergänzt.
Ergebnisse einer Studie über Datenschutzverletzungen durch Mitarbeiter von Service-Centern

In ungefähr der Hälfte aller Fälle verschafften sich Mitarbeiter von Service-Centern Zugang zu den Dateien der Nutzer. Sie waren fast immer an Bildern interessiert – auch an expliziten Fotos

 

So schützen Sie sich vor neugierigen Wartungstechnikern

 

Selbstverständlich sollte nicht vergessen werden, dass es sich um eine kanadische Studie handelt. Die Ergebnisse lassen sich nicht auf alle Länder übertragen. Ich bezweifle jedoch, dass sich die Lage diesbezüglich in anderen Teilen der Welt wesentlich besser darstellt. Es ist anzunehmen, dass die Service-Center in den meisten Ländern, genau wie in Kanada, über keine vernünftigen Mechanismen verfügen, um ihre Mitarbeiter daran zu hindern, die Privatsphäre ihrer Kunden zu missachten. Außerdem ist es wahrscheinlich, dass diese Mitarbeiter die fehlenden Beschränkungen ihrer Arbeitgeber ausnutzen, um die persönlichen Daten der Kunden – insbesondere die von Frauen – einzusehen.

 

Bevor Sie Ihr Gerät also zur Reparatur bringen, lohnt es sich, einige Vorbereitungen zu treffen:

  • Erstellen Sie unbedingt ein vollständiges Backup aller auf dem Gerät befindlichen Daten auf einem externen Speichermedium oder in der Cloud (wenn möglich, natürlich). Es ist üblich, dass Service-Center keinerlei Garantien für die Sicherheit von Kundendaten geben, sodass Sie im Zuge einer Reparatur durchaus wertvolle Dateien verlieren können.
  • Idealerweise sollte Ihr Gerät vor der Reparatur vollständig bereinigt und auf die Werkseinstellungen zurückgesetzt werden. Dies empfiehlt zum Beispiel Apple.
  • Wenn das Bereinigen und Vorbereiten des Geräts für die Reparatur nicht möglich ist (z. B. weil das Display Ihres Smartphones kaputt ist), dann suchen Sie sich einen Anbieter, der die Reparatur schnell und direkt vor Ort durchführt. Kleinere Zentren sind in dieser Hinsicht meist flexibler.
  • Bei Laptops kann es ausreichen, alle vertraulichen Informationen in einem Krypto-Container (zum Beispiel mit einer [Kaspersky Premium placeholder]Sicherheitslösung[/Kaspersky Premium placeholder] oder zumindest in einem passwortgeschützten Archiv zu verstecken.
  • Besitzer von Android-Smartphones sollten das App-Lock-Feature von [Kaspersky Premium Android placeholder]Kaspersky Premium für Android[/Kaspersky Premium Android placeholder] Damit lassen sich alle Apps mit einem separaten Pin-Code sperren, der in keinem Zusammenhang mit dem zum Entsperren des Smartphones verwendeten steht.

 

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.