1907976

Android-Sicherheit im Unternehmen

07.03.2014 | 10:40 Uhr |

Ist Android sicher genug für die Nutzung in Unternehmen? Wir stellen Ihnen die größten Android-Risiken vor und zeigen Strategien und Tools, die für die nötige Sicherheit sorgen.

Welche Gefahren bedrohen Android-Nutzer? Das ist die Kernfrage für jedes Unternehmen, das über die Anschaffung von Androidgeräten nachdenkt. Wir klären auf.

Android endlich abhörsicher – so geht´s

Androids hat zwei große Risiken beziehungsweise Angriffspunkte:

* Den Google Play Store

* Die "Aufsplitterung" von Geräten und Betriebssystemversionen

Die Risiken des Google Play Store

Android ist ein wirklich offenes Betriebssystem und das mache es risikoreich, sagt Andrew Borg, der Research Director für Unternehmensmobilität und Zusammenarbeit beim Forschungsunternehmen Aberdeen. „Im Gegensatz zu Windows Phone oder iOS gibt es keinen 'ummauerten Garten' und das führt zu potentiellen Sicherheitslücken, wenn Sie damit nicht adäquat umgehen,“ sagt Borg.

„Bei Google Play gibt es eine prozentual größere Menge an Apps, die Malware beinhalten, als bei jedem anderen App-Store,“ sagt Borg. „Es ist ein weniger gut kontrolliertes Umfeld. Das erschwert die Akzeptanz von Android-Geräten in Unternehmen.“

Wenn Nutzer Apps von Google Play herunterladen, achten diese oft nicht auf das Ausmaß der Berechtigungen, welches eine App auf ihren Gerät besitzt, sagt Chandra Sekar, Senior Director der Mobile Platforms Group bei Citrix Systems. „Im Normalfall akzeptieren die Nutzer einfach die Bedingungen während der Installation,“ sagt er. „Und in den meisten Fällen fordern Apps mehr Berechtigungen als sie benötigen.“

Borg erzählt von einer Demonstration auf einer Konferenz, welche ihn fast verrückt machte. Der Vortragende, ein White Hat Hacker, nahm ein brandneues Android-Gerät aus der Verpackung und lud ein Spiel, das Very Angry Birds hieß, welches prinzipiell ein Klon des berühmten Spiels Angry Birds ist, aus einem App-Store herunter. „Das Gerät hatte die aktuellste Version von McAfee und Symantec Sicherheit für Android installiert, aber das Spiel beinhaltete Malware, welche keine dieser beiden Lösungen erkannte,“ sagt Borg.

Alles sah soweit in Ordnung aus und als das Spiel sich öffnete, änderte sich nichts auf dem Gerät. „Dann nahm der Vorführende einen Laptop heraus und konnte damit ein Kontrollfenster öffnen, in welchem er alle Smartphones, die das Spiel heruntergeladen hatten, sehen konnte und diese und alle Mails, die diese heruntergeladen hatten, genau überwachen konnte.“

Er versetzte das Android-Gerät dann in den Schlafmodus und machte mit dem Gerät ein Bild über seinen Laptop. „Normalerweise hören Sie dabei ein Auslöse-Geräusch, aber diese Malware hat den Ton abgeschalten,“ sagt Borg „Er hat Bilder und Videos gemacht und während der gesamten Zeit sah es aus, als wäre das Gerät im Schlafmodus.“

Borg: „Das ist ein Weckruf dafür, dass die Sicherheit nicht als selbstverständlich angesehen werden kann. Ich denke nicht, dass diese Android-Sicherheitsprobleme überzogen sind.“

Die Risiken durch Androids Versions-Aufsplitterung

Die Android-Plattform leidet unter ihrer Aufsplitterung – es gibt verschiedene Versionen von Android auf dem Markt, selbst auf aktuellen Geräten. Die Hersteller nehmen oft ihre eigenen Änderungen an Android vor und bleiben hinter Googles aktuellster Version zurück. Noch schlimmer: Die Hersteller von Android-Smartphones und -Tablets aktualisieren die Android-Version ihrer Geräte oft nicht. Dadurch bleiben Lücken ungeschlossen.

Deshalb können viele Mitarbeiter veraltete Androidversionen benutzen, die gespickt mit Schwachstellen sind. „Die Leute fokussieren sich auf die Malware-Risiken, aber unter Umständen ist die Aufsplitterung das größere Risiko,“ sagt Ojas Rege, Strategie Vizepräsident von MobileIron. „Nachforschungen zeigen, dass der Großteil der Nutzer von Android-Geräten mit veralteten Versionen unterwegs ist,“ sagt Bob Egan, Hauptanalytiker bei der Consultingfirma Sepharim Group. „Manche dieser Telefone und Betriebssysteme haben allgemein bekannte Sicherheitslücken".

Falls Nutzer ältere Versionen von Android besitzen, kann das bedeuten, dass Schwächen nicht beseitigt werden und neue Funktionen des Betriebssystems die Nutzer nicht erreichen. „Vielleicht können Sie die Sicherheitslücken von, zum Beispiel einem HTC One, angehen, aber das könnte auf einem älteren Samsung-Gerät nicht zutreffen,“ sagt Borg. „Das Aufsplitterung-Problem vergrößert die Angriffsfläche, um ein Vielfaches; dementsprechend gibt es keine alleinige Sicherheitslösung, die auf alle Android-Varianten passt,“ sagt er.

Der große Sicherheits-Check für Android

Manche Android-Risiken sind übertrieben und andere unterschätzt

Experten bemerken, dass einige Android-Risiken übertrieben werden, während andere nicht genügend Aufmerksamkeit bekommen. Sekar von Citrix hält beispielsweise die Malware-Ängste bei Android für überzogen: „Antivirus-Software-Verkäufer schüren oft die Angst vor Malware bei Android,“ sagt er.

„Aber ein Risiko, welches oft übersehen wird,“ sagt Scott Kelley, Android Produktmanager bei AirWatch, "ist die Bereitschaft der Nutzer den „Akzeptieren“-Button für jegliche Berechtigungen, die eine App fordert, einfach zu drücken. „Das hängt häufig mit übereifrigen Berechtigungsforderungen der Entwickler zusammen, die daraus resultieren, dass diesen das Verständnis darüber, welche Berechtigungen eine App benötigt, fehlt,“ sagt er. „Apps sollten die geringste Anzahl von möglichen Berechtigungen, die zur ordnungsgemäßen Funktion nötig sind, fordern und die Nutzer sollten sich daran gewöhnen, Apps nicht automatisch Berechtigungen zu gewähren, die deren Funktionen nicht zu benötigen scheinen.“

Wie Sie ein sicheres Android-Umfeld aufbauen

Entwickeln Sie ein Vertrauensmodell

„Wir nennen es die Entwicklung eines Vertrauensmodells, welches festsetzt, welche Daten oder Apps unter welchen Umständen welchen Nutzern anvertraut werden,“ sagt Rege. „Jedes größere Unternehmen hat sich mit der Klassifizierung von Daten beschäftigt, um seine Sicherheitsrichtlinien festzulegen.“ Allerdings bemerkt er, „Das dauert für Android länger, da die Aufsplitterung von Android diesen Prozess komplizierter macht.“

Ernennen Sie einen Android-Experten in Ihrer IT

Bestimmen Sie einen Mitarbeiter, der die Rolle des Android-Experten übernimmt, fordert Rege. „Immer mehr IT-Mitarbeiter sollen mit Android vertraut werden. Unsere Kunden brauchen eine einzelne Person, die sich nur darum kümmert mit der schnellen Veränderung des Android Ökosystems mitzuhalten,“ sagt er. Andernfalls könnte die Android-Wissensbasis der IT schnell veralten.

Nutzen Sie einen Bewertungsdienst für Apps

Eine weitere gute Methode ist es einen Bewertungsdienst eines Drittanbietersfür Apps zu nutzen, welcher Apps beurteilt und deren Risiko bestimmt. „Dann können Sie diese Risiko-Auswertung benutzen, um Richtlinien zu setzen", sagt Rege. Zum Beispiel könnten Sie eine Regel festlegen, die die Email eines Angestellten blockt und dieser auf gewisse Daten keinen Zugriff mehr hat, wenn er eine App mit hoher Risikowertung installiert. Das wäre dann so lange der Fall, bis die App wieder entfernt wird.

Legen Sie eine mehrstufige Sicherheitsarchitektur an

Ein in mehreren Stufen angelegtes Sicherheitsmodell macht für ein Android-Umfeld Sinn. Um das Risiko auf jeder Stufe zu verringern, empfiehlt Tyler Shields, Senior Analytiker für Mobilgerät- und Anwendungssicherheit bei Forrester Research, eine Kombination aus Mobile-Sicherheits-Technologien, von denen jede speziell auf eine andere Sicherheitsstufe abzielt. „Der Basis-Sicherheitsbedarf ist es, ein MDM-Tool zu haben, welches alle Geräte in Ihrem Umfeld organisiert,“ sagt er. „Das hilft Ihnen bei den Fernzugriffsmöglichkeiten, dem Auffinden von verlorenen Geräten und der allgemeinen Organisation und dem Sicherheitsgrundbedarf.“

Schaffen Sie eine Organisation von Mobilgeräten (MDM)

„Android-Geräte sollten in keinem Unternehmen ohne solides MDM eingeführt werden,“ sagt Abhi Beniwal, Senior Vizepräsidentbei der Daymon Worldwide's Interactions-Tochterfirma. "Mit einer MDM-Plattform hat die IT-Abteilung eines Unternehmens den Überblick über die Mobilgeräte, den es benötigt um Sicherheitslücken und Gefahren proaktiv anzugehen".

Interactions hat auf Android basierende Tablets und Mobile-Apps in mehr als 1000 Filialen in Nord-Amerika eingesetzt. Die meisten von deren Arbeitskräften sind im Außendienst tätig und die Mobiltechnologie erlaubt den Nutzern Informationen in Echtzeit auszutauschen, sagt Beniwal.

Das Unternehmen führte zunächst eine MDM-Plattform von AirWatch ein, bevor es Android Geräte in der Firma zuließ und hat seitdem keine Sicherheitsprobleme mit den Geräten festgestellt, sagt Beniwal. „Wir nehmen es sehr ernst und beobachten potentielle Sicherheitsrisiken für unsere Geräte und gehen mit diesen proaktiv um,“ fügt er hinzu.

Erstellen Sie Einhaltungsrichtlinien

Aberdeen empfiehlt, dass Unternehmen Einhaltungsrichtlinien für die Teilnehmer, welche eigene Geräte im Unternehmen nutzen, erstellen, so dass nicht jedes Smartphone oder Tablet in der Arbeitsumgebung zulässig ist. „Organisationen sollten die Anfälligkeiten der bekanntesten Plattformen und Versionen austesten und sicherstellen, dass diese sicher genutzt werden können, bevor diese Geräte Zugang zum Arbeitsnetzwerk erhalten", empfiehlt Borg. „Das ist eine Richtlinie für die Nutzung eigener Geräte mit Einschränkungen. Eine unkontrolliertes Konzept ist sehr problematisch, weil es Geräten, welche nicht sicher sein könnten, den Zugang zum Netzwerk gestattet."

Diese Bemühungen sollten für die meisten Einrichtungen kein großes Hindernis sein, sagt Borg, weil viele der aktuellsten Versionen von Samsungs Android Smartphones den Sicherheitsrichtlinien von Unternehmen angenehm entgegenkommen. „Falls Sie im 'Samsung-Universum' bleiben, gibt es brauchbare, solide Sicherheitslösungen, welche mit den MDM-Tools zusammenarbeiten,“ sagt er.

Unterstützen Sie keine alten Android-Versionen

Unternehmen sollten ein Datum für das Ende des Supports von alten Betriebssystemen ansetzen, um sicherzustellen, dass Nutzer immer aktuelle Versionen von Android haben, sagt Egan von Sepharim. Er empfiehlt auch, dass Unternehmen Android für nicht sehr viel mehr als Mails nutzen sollten „und das auch nur auf „sicheren“ Geräten.“

Die zehn wichtigsten Android-Sicherheitstipps

Neue Sicherheitstechnologien machen Android sicherer

Innerhalb des Android-Ökosystems werden stetig neue Verbesserungen an der Android-Sicherheit gemacht.

Zum Beispiel bietet Samsung seine Sicherheitslösung Samsung Knox an. Eine Containertechnologie für Samsung-Android-Geräte, welche entwickelt wurde, um eine virtuelle Partition auf den Geräten zu erstellen, die Apps und Daten vor Angriffen beschützt. „Samsung Knox ist die erste wirkliche Sicherheitslösung, welche für Android herauskommt,“ sagt Egan. Trotzdem ist Knox kein Allheilmittel, angesichts folgender Restriktionen: Es funktioniert derzeit nur auf wenigen Samsung-Geräten und auch nur mit wenigen MDM-Tools, außerdem kostet es eine monatliche Gebühr für jeden Nutzer, zusätzlich zu den MDM-Gebühren. Nichtsdestotrotz, sieht die Containermethode vielversprechend aus für die Sicherheitsanforderungen von Unternehmen.

Samsung Knox - Sicherheit für Android

Dieser Artikel stammt von unserer Schwesterpublikation Infoworld.

0 Kommentare zu diesem Artikel
1907976