Strategien und Technologien zur Mobile Security

Mobile Daten in der Praxis effizient schützen

07.05.2014 von Bernd  Reder
Smartphone, Notebook und Tablet-Rechner sind heute für viele Mitarbeiter ebenso unverzichtbar wie früher wie Festnetztelefon und der PC. Doch dieser Trend wirft Fragen bezüglich der Absicherung von Geschäftsdaten und Anwendungen auf den mobilen Endgeräten auf. Zur Wahl stehen unterschiedliche Konzepte, von rigiden Vorgaben bezüglich der Endgeräte über verschlüsselte Container bis hin zum Einsatz von virtualisierten Desktops.

IT-Abteilungen, aber auch Compliance-Fachleute und Chief Security Officers von Unternehmen müssen sich in immer stärkerem Maße damit auseinandersetzen, wie sich Smartphones, Tablets und Ultrabooks in Geschäftsabläufe integrieren lassen. Und dies, ohne dass Sicherheitsprobleme entstehen oder Geschäftsdaten in falsche Hände geraten. Laut einer Studie von IDC Deutschland zum Thema "Enterprise Mobility" vom Juli 2013 arbeiten 57 Prozent der Beschäftigten in Deutschland zumindest teilweise mit Mobilgeräten. Mehr als die Hälfte der befragten Unternehmen (54 Prozent) hat daher bereits eine Mobility-Strategie implementiert. Weitere 25 Prozent wollen das innerhalb der nächsten zwei Jahre zu tun.

Laut einer Untersuchung von Citrix von 2013 nutzen an die 19 Prozent der Arbeitnehmer auf Mobilsystemen, die sie auch für berufliche Zwecke einsetzen, private Apps Dies kann Sicherheitsrisiken mit sich bringen.
Foto: Citrix

Zu denken gibt, dass 16 Prozent der befragten IT- und Fachbereichsleiter einräumten, dass ihnen in den vergangenen Jahren mindestens einmal ein Mobilgerät mit Firmendaten an Bord abhanden kam. Um die Risiken durch gestohlene oder unzureichend abgesicherte Mobilsysteme zu minimieren, sehen 52 Prozent der Entscheider ein Mobile Device Management (MDM) und eine Mobile-Security-Strategie als unverzichtbar an.

Fehlerhafte Mobile-Security-Strategien

In der Praxis werden bei der Umsetzung einer Mobile-Security-Strategie laut einer Untersuchung der Beratungsgesellschaft Deloitte allerdings häufig Fehler gemacht. Folgende Vorgehensweisen seitens der IT-Abteilung seien besonders oft zu beobachten:

Die Nein-Sager

Die IT-Verantwortlichen sagen schlichtweg "Nein": Der Einsatz von Smartphones, Notebooks und Tablet-Rechnern wird weitgehend unterbunden. Dies gilt insbesondere für private Geräte, die Beschäftige im Unternehmen einsetzen wollen. Als Gründe führen IT-Fachleute Sicherheitsrisiken und mögliche Verstöße gegen Compliance-Regeln an. Es liegt auf der Hand, dass eine solche rigide Haltung kaum durchzuhalten ist. Zum einen deshalb, weil dadurch die Produktivität der Mitarbeiter leidet, zum anderen weil moderne Geschäftsprozesse kürzere Reaktionszeiten erfordern.

Diese können nur dann erreicht werden, wenn Mitarbeiter auch auf einer Dienstreise oder vom Home-Office aus ihre Aufgabe erledigen können. Hinzu kommt, dass die IT-Abteilung spätestens dann klein beigeben muss, wenn Führungskräfte darauf bestehen, dass sie selbst und ihre Abteilungen mit Mobilsystemen ausgestattet werden.

Einfach mal ein MDM-System kaufen

Die IT-Abteilung beschafft das erstbeste Mobile-Device-Management-System (MDM) und glaubt sich damit auf der sicheren Seite: Dies ist alleine deshalb fahrlässig, weil es derzeit etwa über 100 unterschiedliche MDM-Lösungen auf dem Markt gibt. Sie unterscheiden sich erheblich in Bezug auf den Funktionsumfang, die Bereitstellungsmodelle (Cloud, Installation im Firmenrechenzentrum) und die Einbindung in die vorhandene IT-Management-Landschaft. IT-Fachleute sollten daher zunächst prüfen, welche mobilen Endgeräte im Unternehmen verwendet werden, welche Sicherheitsforderungen im Bereich "Mobility" bestehen und welche Anforderungen die Anwender an Mobilsysteme und darauf abgestimmte Arbeitsabläufe haben, bevor sie ein MDM-System anschaffen.

Sieben Schritte zum MDM -
Sieben Schritte zum MDM
Wie kommt ein Unternehmen zu einem sicheren Mobile-Device-Management?
Mobility-Strategie
Zunächst muss jedes Unternehmen für sich definieren, welche Rolle das Thema Mobilität generell spielen und inwiefern MDM in eine Arbeitsplatzstrategie eingebettet werden soll. Dabei empfiehlt FI-TS, künftige Anforderungen in die Planung einzubeziehen. In der ersten Planungsphase müssen unternehmensspezifische Bedürfnisse evaluiert, der Status quo beurteilt und die Ziele für den MDM-Einsatz benannt werden.
ByoD – ja oder nein?
Die zweite wichtige Entscheidung lautet: Darf der Mitarbeiter sein eigenes privates Gerät beruflich verwenden, oder sollen firmeneigene Devices genutzt beziehungsweise angeschafft werden? Und: Welche Mitarbeiter benötigen überhaupt ein Mobilgerät? Für und gegen Bring your own Device (ByoD) gibt es jeweils viele Argumente. FI-TS hat sich für Firmengeräte entschieden – mit der Begründung, dass diese Variante weniger Sicherheitsrisiken berge. Die Festlegung auf ein Betriebssystem erleichtere die Umsetzung.
Anbieter wählen
Auf dem Markt für MDM-Lösungen tummeln sich zahlreiche Anbieter. Die Unterschiede im Angebot seien oft marginal, so FI-TS. Der Dienstleister plädiert deshalb für einen Anbieter „mit Branchenfokus“, weil dieser mit den spezifischen Anforderungen eines Industriezweigs vertraut sei und die wichtigen Features bereitstelle.
Technische Lösung
Eine MDM-Lösung umfasst im Wesentlichen folgende Funktionen: die Durchsetzung von Policies zur Absicherung des Endgeräts inklusive Daten und Apps, Richtlinien zur Trennung der beruflichen von der privaten Nutzung und zur Regulierung des Zugriffs auf interne sowie externe Daten, dazu Passwort- Bestimmungen und externe Gerätesteuerung für den Notfall. Ausführliche Beratung und ein sorgfältiger Vergleich der Lösungen sind unerlässlich.
Betriebsrat & Co.
Rechtlich handelt es sich bei MDM-Einführungen um Vertragsanpassungen oder Nutzungsvereinbarungen. Darin involviert beziehungsweise damit abgedeckt sind Pflichten und Rechte von Arbeitnehmern und -gebern sowie geldwerte Vorteile, aber auch das Fernmeldegeheimnis. Auf der organisatorischen Seite empfiehlt es sich, Betriebsrat, interne Kommunikation und Personalabteilung frühzeitig in die Planungen einzubeziehen, um Daten- und Mitarbeiterschutz, Personalschulungen, User-Support und begleitende Kommunikationsmaßnahmen abzustimmen.
Rollout und Testen
Ein Pilotprojekt mit einer begrenzten Zahl von Test-Usern könne bereits im Vorfeld des Rollouts gröbere Fehler aufdecken und die Benutzerfreundlichkeit der Lösung überprü- fen, so FI-TS. Der Rollout selbst sollte von einem Monitoring des technischen Betriebs und der Admin-Prozesse begleitet sein. In dieser Phase lassen sich Nachbesserungen vornehmen sowie das User-Verhalten überwachen und eventuell durch Kommunikationsmaßnahmen unterstützen.
User-Support
Bei der Einführung eines MDM geht es nicht um die reine Technik. Hier stehen vor allem die Mitarbeiter im Blickpunkt. Die sind unbedingt frühzeitig über die neue Mobility-Strategie des Unternehmens zu informieren. Während und nach dem eigentlichen Rollout müssen sie umfassend geschult und beraten werden. Manche Mitarbeiter brauchen ja vielleicht ein wenig Zeit, um sich an die neuen Geräte und Handhabungen zu gewöhnen. Für ein erfolgreiches MDM ist zudem wichtig, dass sie nicht nur über die technische Bedienung aufgeklärt werden, sondern auch über ihre Rechte und Möglichkeiten.

Alle dicht

Die IT-Abteilung macht "die Schotten" dicht: Dies bedeutet, dass alle potenziell gefährlichen Funktionen des Mobilsystems deaktiviert werden. Dies kann beispielsweise die Installation oder Nutzung bestimmter Anwendungen betreffen, etwa WhatsApp, Facebook et cetera, aber auch den Zugriff auf bestimmte Web-Services wie Musikdienste. Die Folge: Anwender suchen nach Wegen, solche Restriktionen zu unterlaufen. Sie greifen beispielsweise verbotener Weise zu nicht "kastrierten" privaten Systemen oder sie weigern sich, an einem "Bring-Your-Own-Device"-Programm des Unternehmens teilzunehmen. Ein weiteres Problemfeld: Cloud-basierte Storage- und File-Sharing-Dienste werden ohne Wissen der IT-Abteilung verwendet, wenn diese keine Alternativen bereitstellt.

Private Endgeräte

Der Einsatz privater Endgeräte wird unzureichend geregelt: Umgekehrt sind manche Unternehmen allzu liberal, wenn es um BYOD geht. Wenn überhaupt, werden nur wenige Grundregeln eingeführt, etwa dass Systeme mit einem bestimmten Betriebssystem nicht verwendet werden dürfen, weil dieses überholt ist. Das kann dazu führen, dass im Unternehmen viele unterschiedliche Systemplattformen unterstützt werden müssen. Dies wiederum erhöht den Support-Aufwand und führt zu Sicherheitsrisiken.

Problemfall IT-Abteilung

Die IT-Abteilung ist paralysiert: Angesichts der Komplexität, die mit dem Management und der Absicherung mobiler Geräte verbunden ist, sind laut Deloitte manche IT-Abteilungen überfordert. Sie wissen nicht, welche Maßnahmen sie treffen sollen und "ducken" sich gewissermaßen weg. Diese Strategie ist naturgemäß mit hohen Risiken verbunden und in hohem Maße kontraproduktiv.

Was Unternehmen erwarten
Einer Studie von IDC Deutschland zufolge erwarten sich deutsche Unternehmen vom Einsatz von Mobilsystemen handfeste wirtschaftliche Vorteile. Eine höhere Zufriedenheit von Mitarbeitern spielt eine untergeordnete Rolle.
Hürden in Sachen Mobility
Einer Umfrage von Citrix unter IT-Fachleuten zufolge sind potenzielle Sicherheitsrisiken ein Grund dafür, dass Mobility-Strategien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden.
Apple vor Android
Apples iOS knapp vor Android: In Unternehmen in Deutschland, Frankreich, Großbritannien und der Schweiz waren nach einer Untersuchung der Beratungsfirma Pierre Audoin Consultants (PAC) im vergangenen Jahr im Schnitt 2,4 Mobilbetriebssysteme im Einsatz. Auch Blackberry hielt sich trotz der wirtschaftlichen Probleme des Herstellers RIM beachtlich.
Länderverteilung
Nach Angaben des Marktforschungsinstituts PAC setzen deutsche Firmen vor allem auf Mobilgeräte mit Apples Betriebs iOS und Android-Systeme. Immer noch stark vertreten ist RIM mit Blackberry.
Strikte Regeln
PAC zufolge bestehen vor allem deutsche Unternehmen auf strikten Regeln bei der Nutzung mobiler Geräte und dem Umfang mit entsprechenden Daten.
App-Regeln
Viele Firmen verzichten darauf, Regeln für die Nutzung von Apps auf Mobilgeräten zu definieren. Im Gegensatz dazu existieren in den meisten Organisationen Vorgaben, welche Mobilsysteme verwendet werden dürfen.
Private Apps
Laut einer Untersuchung von Citrix von 2013 nutzen an die 19 Prozent der Arbeitnehmer auf Mobilsystemen, die sie auch für berufliche Zwecke einsetzen, private Apps Dies kann Sicherheitsrisiken mit sich bringen.
Der Citrix-Ansatz
Mit MDX von Citrix kann ein User von seinem Mobilgerät aus über ein Virtual Private Networks auf Daten und Anwendungen im Firmenrechenzentrum zugreifen. Die Apps und lokalen Daten auf dem Mobilsystem werden mithilfe von Wrapping und Containern geschützt.
Schutzwirkung
Die amerikanische Sicherheitsfirma Mobile Active Defense hat Mobile-Security-Technologien anhand ihrer Schutzwirkung klassifiziert. Ein Mobile Device Management (MDM) alleine ist demnach unzureichend.
Zugriffs-Policies
Eine Beispiel für abgestufte Zugriffsregelungen für Nutzer von Mobilgeräten: Nutzer von Android-Geräten mit dem Original-Betriebssystem und MDM können auf weniger IT-Ressourcen zugreifen als User von Android-Systemen, deren Betriebssystem-Kernel für ein umfassendes Remote-Management modifiziert wurde.
Pro und Contra
Vor- und Nachteile unterschiedlicher Mobile-Security-Verfahren aus Sicht des amerikanischen Mobility-Spezialisten Mobile Spaces
Die Techniken
Unterschiedliche Ansätze: Um mobile Applikationen und Daten auf sichere Weise bereitzustellen, haben IT-Abteilungen die Wahl zwischen einer Vielzahl von Verfahren. Etliche, etwa das Wrapping von Anwendungen, erfordern teilweise den Einsatz von Software Development Kits (SDKs) und Eingriffe in den Programmcode von Applikationen.
Urteil des Fachmanns
Rüdiger Trost, Sicherheitsfachmann von F-Secure: "Zu einer Mobile-Security-Strategie gehören nicht nur Container für Apps und Daten, sondern auch die Absicherung der Verbindungen zwischen Mobilgerät und Firmennetz sowie speziell abgesicherte Online-Plattformen für den Datenaustausch zwischen Mitarbeitern."

Restriktives Vorgehen

Restriktive Strategien sind in der Praxis in speziellen Branchen anzutreffen: "In unserem Unternehmen ist es schlichtweg untersagt, private Mobilgeräte zu verwenden", sagt beispielsweise eine leitende Mitarbeiterin der IT-Abteilung eines italienisch-deutschen Bankhauses in München. "Als Mobiltelefone kommen immer noch Blackberrys zum Einsatz, zudem Notebooks, die zentral von der IT-Abteilung bereitgestellt und verwaltet werden."

Die amerikanische Sicherheitsfirma Mobile Active Defense hat Mobile-Security-Technologien anhand ihrer Schutzwirkung klassifiziert. Ein Mobile Device Management (MDM) alleine ist demnach unzureichend.
Foto: Mobile Active Defense

Wer gegen diese Regelungen verstößt, riskiert laut der IT-Fachfrau eine Abmahnung oder gar die Kündigung. Die Folge: Mitarbeiter nutzen für offizielle Tätigkeiten ihre Blackberrys, setzen aber sehr wohl daneben eigene Smartphones ein. Allerdings, so die IT-Spezialistin, würden diese privaten Systeme nicht - oder zumindest nicht mit Wissen der IT-Abteilung - in das Firmennetz der Bank integriert.

Wie schnell sich eine solche homogene Mobility-Welt in ein buntes Miteinander diverser Plattformen verwandeln kann, belegt ein zweites Beispiel: der Fahrzeughersteller MAN. Auch dort war vor der Übernahme des Unternehmens durch den VW-Konzern nach Angaben eines IT-Spezialisten, der nicht namentlich genannt werden will, Blackberry das Maß aller Dinge. Mitarbeiter waren mit entsprechenden Endgeräten ausgestattet. Als zentrales Kommunikationssystem diente der Blackberry Enterprise Server.

"Jetzt müssen wir auf Wunsch von VW-Managern, die Führungsaufgaben bei MAN übernehmen, auch iPhones und iPads unterstützen", sagt der IT-Fachmann. "Für uns bedeutete es einen erheblichen Aufwand, diese neuen Systeme in die IT-Infrastruktur zu integrieren und auf die entsprechenden Prozesse abzustimmen." Ein weiterer Effekt dieses Politikwechsels: Nun haben Mitarbeiter den Wunsch geäußert, dass auch Android-Smartphones und -Tablets unterstützt werden.

Technische Lösungen: Von Containern bis hin zu Spaces

IT-Fachleute, die Daten und Anwendungen auf Mobilsystemen schützen möchten, haben die Wahl zwischen mehreren Techniken. Hoch im Kurs stehen bei etlichen Herstellern von Sicherheitslösungen so genannte Container: "Nach unserer Auffassung bieten Container ein hohes Schutzniveau und erlauben es zudem, private und geschäftliche Daten auf einem Mobilgerät zu trennen", sagt Rüdiger Trost, Senior Sales Engineer beim finnischen IT-Security-Spezialisten F-Secure. Dies wiederum würde die Einführung von BYOD-Programmen (Bring Your Own Device) in Unternehmen erleichtern.

Ein Container ist ein verschlüsselter, durch ein Passwort geschützter Bereich auf einem Mobilgerät, der mithilfe einer speziellen Software eingerichtet wird. Er agiert unabhängig von der "normalen" Arbeitsumgebung des Smartphones oder Tablet-Rechners. In solchen Containern werden Geschäftsdaten und Anwendungen abgelegt, etwa E-Mail, Geschäftskontakte, Kalender und Browser, außerdem unternehmensspezifische Applikationen.

Vorteile der Container-Technik sind das hohe Sicherheitsniveau und die Möglichkeit, den Einsatz privater Endgeräte für geschäftliche Zwecke zu erlauben, ohne dass es zu einer Vermengung privater und beruflicher Daten und Anwendungen kommt. Die IT-Abteilung hat zudem die Kontrolle über die Container, kann also deren Inhalt ändern oder diese "Behälter" komplett löschen.

Zu den Nachteilen zählt, dass viele Container-Technologien herstellerspezifisch sind. Dies bedeutet, dass sich der Anwender an einen Anbieter bindet. Hinzu kommt, dass einige Lösungen ein Rekompilieren der ursprünglichen Anwendung mithilfe von Software Development Kits (SDKs) erfordern. Das schränkt die Zahl der unterstützten Applikationen ein. Anbieter von solchen Container-Lösungen sind unter anderem Citrix und Good Technology.

App-Wrapping: Anwendungen werden eingepackt

Bei App Wrapping werden in eine mobile Anwendung beispielsweise unternehmenseigene Sicherheitsregeln "injiziert". Dies kann mithilfe von Software Development Kits erfolgen, allerdings auch ohne massive Änderungen am Programmcode der Applikation.
Foto: Good Technology

Ohne SDKs kommen "App Wrapper" aus. Der Anbieter, beispielsweise MobileIron oder VMware-AirWatch, modifiziert in diesem Fall den ausführbaren Code einer Anwendung. Hinzugefügt werden beispielsweise Sicherheitsregeln. Diese legen fest, wo welche Daten gespeichert werden und über welche Verbindungen diese transportiert werden dürfen. Dieser Ansatz weist ähnliche Vorteile auf wie das "Containerisieren" von Apps und Daten, insbesondere die Trennung zwischen privaten und geschäftlichen Bereichen auf einem Mobilgerät.

Zu den potenziellen Problemen zählt, dass manche Hersteller von Anwendungen es untersagen, deren Code zu modifizieren. Zudem ist das Patchen solcher ummantelter Anwendungen komplexer als bei Original-Applikationen. Vor allem bei Standard-Applikationen, die beispielsweise über die App-Stores von Google, Apple, Microsoft oder auch RIM/Blackberry bezogen werden, sind Techniken wie Wrapping mit einem höheren Aufwand verbunden und lassen sich wegen des mangelnden Zugriffs auf den Programmcode oft gar nicht umsetzen.

Mittlerweile werben etliche Anbieter wie etwa Good Technology oder Apperian mit einem "App-Wrapping ohne Coding". So ersetzt beispielsweise die Good Dynamics Secure Mobility Platform Standard-Systemaufrufe durch "Secure Calls" von Sicherheitsbibliotheken von Good. Auch IT-Fachleute ohne profunde Programmierkenntnisse können so laut Good mobile Anwendungen "einpacken".

Mit dem Good Dynamics SDK dagegen lassen sich dagegen Container erzeugen, indem der Programmcode der Anwendungen geändert wird. Dieses Verfahren eignet sich vorzugsweise für Apps, die ein Unternehmen selbst entwickelt hat. Der erhöhte Aufwand zahlt sich laut Good durch einen größeren Funktionsumfang aus: Apps können so konzipiert werden, dass sie untereinander auf sichere Weise Daten austauschen, oder applikationsspezifische Policies können über dieselbe zentrale Management-Konsole gesteuert werden, über welche die Verwaltung von Standard-Sicherheitsregeln erfolgt.

Mobile Daten in der Praxis effizient schützen
Foto: Jakub Jirsak, Fotolia.com

Virtualisierung: Desktops und Anwendungen im Rechenzentrum

Gerade in jüngster Zeit haben Ansätze wie virtualisierte Desktops im Mobilbereich an Boden gewonnen. Ein Grund dafür ist, dass die erforderlichen Mobilfunkverbindungen oder Anbindungen über ein öffentliches Wireless LAN mittlerweile erschwinglich sind. Das gilt insbesondere für den Zugriff auf Desktops-Umgebungen über 3G- sowie 4G-Netze.

Unternehmen wie Citrix und VMware bieten solche virtualisierte Desktop-Umgebungen an (Virtual Desktop Infrastructures, VDIs). Anwendungen und Daten werden im Firmen-Data-Center oder einem Cloud-Rechenzentrum vorgehalten. Der Nutzer greift darauf über VPN-Verbindungen (Virtual Private Network) vom Mobilgerät aus zu. Weder Anwendungen noch Daten werden auf dem Endgerät gespeichert - ein Vorteil in puncto Sicherheit.

Dem stehen Nachteile wie die Abhängigkeit von einer Datenverbindung und die eingeschränkte Zahl von Anwendungen gegenüber. Denn Original-Apps auf dem Endgerät, mit denen ein User vertraut ist, lassen sich bei diesem Ansatz nicht einsetzen. Zudem müssen die Anwendungen im Rechenzentrum auf die eingesetzten Mobilgeräte hin zugeschnitten werden, etwa die Displays (Größe, Auflösung) und die verwendeten Browser. Das erfordert einen höheren Aufwand.

Virtualisierung als App oder im Betriebssystem

Die Virtualisierungstechniken im mobilen Bereich lassen sich in zwei Kategorien einteilen:

Typ-1-Hypervisors: Sie setzen direkt auf der Hardware des Mobilgeräts auf ("Bare Metal"). Betriebssystem und Apps werden in Form von Virtual Machines auf dem Hypervisor ausgeführt. Dadurch ist es möglich, zwei komplett getrennte Systeme (Virtual Machines) aufzusetzen - eines für den privaten Gebrauch und eines für berufliche Zwecke. Als Ergänzung kann eine Verschlüsslung der Daten erfolgen, sowohl auf dem Endgerät auf der VM-Ebene als auch beim Transport. Der Nachteil: Dieses Verfahren ist aufwändig und erfordert eine nachhaltige Unterstützung durch den Hersteller des Mobilgeräts.

Typ-2-Hypervisors: Sie werden wie eine App auf dem Endgerät ausgeführt und erzeugen dort gewissermaßen in zweites, virtualisiertes Smartphone oder Tablet. Auch in diesem Fall lassen sich private und berufliche Bereiche auf dem Endgerät trennen. Allerdings wirken sich Typ-2-Hyervisors negativ auf die Batterielaufzeit und Performance des Endgeräts aus. Zudem muss die Virtualisierungsfunktion Zugriff auf zentrale Funktionen des Betriebssystems haben.

Spezielle Ansätze: Samsung Knox und Mobile Spaces

Einen eigenen Weg geht Samsung mit Knox. Diese Virtualisierungslösung setzt auf Security Enhanced Android (SE Android) auf und klinkt sich sowohl in die Hard- als auch Software eines Samsung-Galaxy-Systems ein. Ein Vorteil: Knox bietet eine AES-Verschlüsselung mittels AES (Advanced Encryption Standard) mit 256-Bit-Schlüsseln auf der Hardware-Ebene. Der User kann das Endgerät wie gewohnt einsetzen. Der Start der virtualisierten Arbeitsumgebung erfolgt über einen Button auf der Benutzeroberfläche. Zudem ist die Anbindung an MDM-Lösungen von Anbietern wie MobileIron möglich.

Ein Nachteil: SE Android wurde vom US-Geheimdienst NSA entwickelt. Auch wenn dieser nach eigenen Angaben keine Hintertüren in das Betriebssystem eingebaut hat, bleiben nach den Enthüllungen von Edward Snowden über die Ausspähaktionen der NSA Zweifel. Auf dem Mobile World Congress 2014 im Februar in Barcelona stellte Samsung Version 2.0 von Knox vor. Eine gravierende Änderung: Samsung hat selbst entwickelte MDM-Funktionen in Knox integriert. Die Lösung steht voraussichtlich ab April 2014 zur Verfügung.

Eine virtualisierte Runtime-Umgebung auf dem Mobilgerät richtet auch Mobile Spaces der gleichnamigen amerikanischen Firma ein. Eine Besonderheit der Lösung ist, dass der Hersteller sie mit Mobile-Application-Management-Funktionen ausgestattet hat. So steht eine Agent-App zur Verfügung, die als App-Starter dient. Sie stellt dem User eine Liste mit Anwendungen zur Verfügung, die von der IT-Abteilung freigegeben wurde. Der Nutzer wählt eine dieser Applikationen aus, die anschließend von Mobiles Spaces gestartet wird. Das heißt, es erfolgt kein direkter Aufruf von Apps durch den Nutzer. Diese Aufgabe übernimmt Mobile Spaces.

Ein Trend: Mobile Application Management

Zu den Entwicklungen, die den Bereich Mobile Security in den kommenden Monaten prägen werden, zählt die Integration von Funktionen für das Mobile Application Management (MAM) in Mobilbetriebssysteme. Dies ist unter anderem bei Samsung Knox und iOS 7 der Fall. Auch VMware beschreitet mit Horizon Mobile diesen Weg. Der Vorteil: Apps, die für die entsprechenden Betriebssysteme und Hardware-Plattformen freigegeben wurden, lassen sich ohne Hilfe von Tools verwalten, die Drittanbieter bereitstellen. Der Nachteil: Die Zahl der unterstützten Endgeräte und Betriebssystem-Versionen ist stark eingeschränkt.

MAM-Lösungen solcher Drittanbieter unterstützen dagegen eine breitere Palette von Endgeräten, etwa Android-Systeme unterschiedlicher Hersteller. Dafür muss die IT-Abteilung in Kauf nehmen, dass sich mit solchen Werkzeugen nur eine begrenzte Zahl von Apps verwalten lässt. Doch gleich, ob integraler Bestandteil eines Betriebssystems oder externe Applikation - eine zentrale Verwaltung von mobilen Anwendungen wird im Zusammenhang mit Mobile Security immer wichtiger.

Lösungen für mehr Android-Security -
Android-Security
Wir zeigen Ihnen, was Sie zum Schutz Ihres Android-Smartphones tun können.
App-Verification
So könnten grundsätzlich viele Probleme gelöst werden: Die App-Verification, wie Google sie ab der Version 4.2 von Android unterstützt. (Quelle: Jiang-Studie)
App-Verification
Ab Android 4.2 Standard (hier unter Android 4.3): In den Sicherheitseinstellung des Geräts können die Anwender die Verifizierung der Apps durch den „App-Verification-Client“ einschalten.
App Ops Starter
Welche App auf dem Android-Gerät kann aktiv mit welchen Berechtigungen arbeiten? Der „App Ops Starter“ hilft, auf diese Berechtigungen unter Android 4.3 zuzugreifen.
App Ops Starter
Google+ wird standardmäßig mit sehr vielen Zugriffsrechten installiert: Durch den „App Ops Starter“ kann der Nutzer diese nachträglich überprüfen und der App auch wieder entziehen.
App Ops Starter
Einer der vielen Gründe, warum Anwender die Installation von APK-Paketen aus anderen Quellen als dem Google Play Store erlauben (müssen): Nur so können zum Beispiel Apps aus dem Amazon Store auf ein „Nicht-Kindle“-Gerät gelangen.
Mobile Sandbox
Wie sicher ist eigentlich die APK-Datei, die ich aus dem Web geladen habe: Mit der Web-App „Mobile Sandbox“ kann das überprüft werden.
Mobile Sandbox
Was haben andere Nutzer bereits testen lassen? Hat der Anwender der Veröffentlichung auf der Seite zugestimmt, so können auch die Prüfberichte anderer APK-Dateien direkt eingesehen werden.
Sophos Antivirus
Klassische AV-Lösung mit vielen Extras auf den Android-Geräten: Auf Wunsch blockiert die Sophos-Software den Zugriff auf ausgewählte Apps wie hier beispielsweise dem PlayStore durch ein zusätzliches Passwort.
Sophos Antivirus
Der Sicherheitsberater von Sophos „Free Antivirus and Security“: Er hilft dem Anwender bei der sicheren Konfiguration seines Geräts auch in deutscher Sprache.
Avira USSD Exploit Blocker
. Schutz vor USSD-Hacks: Die App des Anbieter Avira erläutert dem Anwender auch, wie und weshalb er sie auf seinem Android-Smartphone betreiben sollte.
Avira USSD Exploit Blocker
Eine URL wurde im Browser des Smartphones angeklickt. Der Nutzer kann entscheiden, mit welcher Anwendung diese geöffnet wird – der sichere Weg: Eine der Sicherheitslösungen gegen USSD-Angriffe wie Avira USSD Exploit wird zum Öffnen verwendet.
Avira USSD Exploit Blocker
Und hier zeigt sich, dass die URL wirklich einen USSD-Code übermitteln wollte: Hier war es „#6#“, um die IMEI-Nummer des Geräts auszulesen.
avast! Free Mobile Security
Sicherheit durch das Rooten? Wer die Anti-Theft-Lösung von Avast mit allen Möglichkeiten installieren und damit wirklich tief in das System einbringen möchte, muss das Gerät leider rooten.
avast! Free Mobile Security
Bei der Avast-Software können Nutzer ohne den richtigen Code keine Konfigurationsänderungen vornehmen: Sie sind so auch nicht einmal dazu in der Lage, ohne Eingabe des Codes ein Scan-Ergebnis näher zu betrachten.
avast! Free Mobile Security
Hat etwas enttäuscht: Egal wie es die Tester es auch drehten und wendeten – der EICAR-Teststring wurde von der Avast-Software einfach nicht entdeckt und als Problem angezeigt.

Eine weitere Entwicklung: Über MIM zu Mobile Risk Management

Bei den Anwendern und den Anbietern von Lösungen für das "mobile Unternehmen" gewinnt zudem ein weitere Aspekt an Bedeutung: die Absicherung und das Management der Daten selbst sowie der Verbindungen, über die diese Informationen transportiert werden. Das bestätigt auch F-Secure-Fachmann Rüdiger Trost: "Mobile Security hat viele Facetten, vom Virenschutz und einer Firewall auf einem mobilen Endgerät über den Schutz von Geschäftsinformationen mittels Verschlüsselung und Virtualisierung bis hin zu VPNs und speziellen Cloud-Sharing-Lösungen." Mithilfe gesicherter Cloud-Speicher können Geschäftskunden Daten auf sichere Weise mit Kollegen und Partnerfirmen teilen und gemeinsam bearbeiten.

"Allerdings sollte ein Unternehmen im Vorfeld festlegen, welche Daten in solchen Online-Speicherplätzen gespeichert werden dürfen. Dies setzt eine Klassifizierung der Unternehmensdaten und wirkungsvolle Policies voraus", so Trost weiter, Stichwort Mobile Information Management (MIM).

Derzeit beschränken sich Lösungen für das Mobile Information Management in der Regel auf Produkte, welche die Freigabe und das Synchronisieren von Dateien regeln, beispielsweise Citrix ShareFile oder AppSense DataNow. Ein "echtes" MIM sollte jedoch den Zugriff und den Transfer aller Arten von Informationen von und zu mobilen Systemen erfassen, etwa auch den Inhalt von E-Mails, nicht nur deren Attachments. Hier spielen andere IT-Disziplinen mit hinein wie etwas Data Loss Prevention und Information Lifecycle Management.

Oliver Schonschek, Research Fellow bei der Marktforschungs- und Beratungsfirma Experton Group, geht noch einen Schritt weiter: Angesichts der Risiken, die mit dem Einsatz von Mobile Enterprise Solutions verbunden sind, hält er ein Mobile Risk Management (MRM) für erforderlich. Dieser Ansatz stellt nicht alleine die Sicherheit von Geräten, Anwendungen oder Daten in den Mittelpunkt, sondern erfasst alle Risiken, die mit dem Einsatz von mobilen Systemen und Anwendungen für ein Unternehmen verbunden sind. MRM schließt eine Risikobewertung und Priorisierung von Maßnahmen mit ein. Somit sei ein Mobile Risk Management gewissermaßen der Überbau von MDM, MAM und MIM.