Wird ein Smartphone gestohlen, geht damit mehr als ein Geräteverlust einher. Plötzlich sind nicht nur höchstpersönliche Daten, sondern auch der Zugriff auf das eigene Konto oder die Kreditkarte in den Händen von Kriminellen. Deshalb setzen Google, Apple und Co. auf immer stärkere Sicherheitsmechanismen, die das Schlimmste verhindern sollen und gleichzeitig das Nutzungserlebnis nicht zu sehr stören. In der ständigen Weiterentwicklung dieser Mechanismen spielen sowohl industrielle Forschung als auch akademische Arbeiten eine Rolle. So verweist in einem Blogbeitrag zu den aktuellen Android-Sicherheitsupdates Jeremiah Cox, Senior Security Engineer bei Google, explizit auch auf relevante wissenschaftliche Studien. Darunter ist ein Paper aus dem Jahr 2021, an dem CISPA-Faculty Dr. Maximilian Golla, der damals noch am Max-Planck-Institut für Sicherheit und Privatsphäre forschte, zusammen mit Kollegen der Ruhr-Universität in Bochum sowie der George Washington University beteiligt war.
In ihrer Arbeit mit dem Titel „On the Security of Smartphone Unlock PINs“ haben die Forschenden damals untersucht, wie gut etablierte Schutzmaßnahmen unter realistischen Bedingungen tatsächlich wirken. Ihre Ergebnisse zeigten, dass Standard-Maßnahmen wie längere PINs oder das Verbieten beliebter Zahlen-Kombinationen allein oft nicht ausreichen, um Angriffe ausreichend zu erschweren. Gegen Rate-Angriffe, bei denen Angreifende verschiedene PIN-Kombinationen systematisch testen, hilft stattdessen laut der Forscher vor allem eins: Weniger Fehlversuche erlauben. „Mit unserer Forschung zeigen wir, welche Sicherheitsmechanismen nicht nur theoretisch, sondern auch praktisch stark sind. Wir freuen uns, wenn Erkenntnisse ihren Weg aus der Forschung in die Anwendung finden und so die Sicherheit für alle erhöhen“, sagt Golla.
Ausweitung der Biometrie auf sensible Bereiche
Auch die Weiterentwicklung von Androids „Identity Check“, der an bestimmten Orten biometrische Authentifizierung auch auf Drittanbieter-Apps und andere sensible Aktionen ausweitet, bewertet der Forscher positiv. Zu ähnlichen Schlussfolgerungen und einer klaren Empfehlung an die Unternehmen kam auch eine weitere empirische Studie aus seiner Forschungsgruppe. In der nutzerzentrierten Arbeit „Understanding How Users Prepare for and React to Smartphone Theft“ aus dem Jahr 2025 hat CISPA-Forscher Divyanshu Bhardwaj gemeinsam mit Kolleg:innen und betreut von Maximilian Golla und CISPA-Faculty Dr. Katharina Krombholz untersucht, wie Menschen sich auf Smartphone-Diebstahl vorbereiten und wie sie nach einem Vorfall reagieren.
Die Interviews zeigten, dass Betroffene im Ernstfall vor allem von Stress und der Angst vor Datenmissbrauch dominiert werden und versuchen, schnell wieder die Kontrolle zu erlangen. Dabei verlassen sie sich primär auf grundlegende Schutzmechanismen wie die Bildschirm-Sperre. Solche Sicherheitsmaßnahmen greifen jedoch oft zu kurz, weil sie Angriffsszenarien wie das Ausspähen der PIN beim Blick über die Schulter nicht abdecken. Entsprechend beschrieben Studien-Teilnehmende insbesondere belebte Alltagssituationen wie Konzerte oder den öffentlichen Nahverkehr als unsicher und wünschten sich dort zusätzliche Sicherheitsvorkehrungen. Eine Empfehlung der Forschenden war daher die Einführung eines temporären Hochrisikomodus, der in solchen Situationen sensible Aktionen zusätzlich zwingend durch biometrische Authentifizierung absichert und das nicht nur auf Systemebene, sondern auch für besonders schützenswerte Inhalte wie private Fotos oder Drittanbieter-Apps mit sensiblen oder finanziellen Daten.
Smartphone-Diebstahl aus Betroffenen- und Forschungsperspektive
Beide Arbeiten verdeutlichen: Es braucht umfassende empirische Untersuchungen, die Sicherheitsmechanismen nicht isoliert betrachten, sondern im Zusammenspiel mit realen Angriffsszenarien und tatsächlichem Nutzerverhalten. Nur so lässt sich erkennen, welche Maßnahmen im Alltag tatsächlich schützen.
In unserem Podcast CISPA TL;DR haben wir mit Divyanshu Bhardwaj über Smartphone-Diebstahl gesprochen, von realen Angriffsszenarien bis zu Herausforderungen der Wiederherstellung nach einem Vorfall. Hier ist die Folge (in Englisch) zu finden:
