Ist Android sicher genug für den Unternehmenseinsatz (Teil 2)

Consumer-Funktionen und der Datenschutz

Mark Zimmermann weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Er versteht es diese Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Hierzu ist er auf nationale Vorträgen und als freier Autor für Fachpublikationen tätig.
Nun möchte ich jedoch einige ganz speziell von Google getriebenen Entwicklungen, die einen Einsatz in Unternehmen meiner persönlichen Meinung nach im Wege stehen, aufzeigen bzw. individuell zu bewerten.
Eignet sich das bei privaten Anwendern beliebte Android auch für den Unternehmenseinsatz?
Eignet sich das bei privaten Anwendern beliebte Android auch für den Unternehmenseinsatz?
Foto: Bloomua - shutterstock.com

Im ersten Teil meiner Serie habe ich auf die Probleme der Fragmentierung, der Sicherheit und der Update-Politik aufmerksam gemacht. Die Erkenntnisse aus Teil 1 finden in der Tagespresse immer wieder Bestätigung. So haben vor kurzem Forscher der University of Cambridge die vor mir beschriebene Architekturschwäche mit einer aktuellen Studie (PDF) unterfüttert. Sie kamen zu dem Ergebnis, dass 87,7 Prozent aller Geräte mindestens einem von elf bekannten kritischen Sicherheitslücken ausgeliefert sind. Im Vergleich der verschiedenen Hersteller kommt heraus, dass Googles Nexus-Geräte die Updates in der Regel am schnellsten bekommen. Aber selbst Nexus-Geräte erreichen nur einen Wert von etwas die Hälfte der möglichen Scoring-Punkten der Forscher. Gefolgt wird Google von LG und Motorola.

Studie: 87,7 Prozent aller Android-Geräte sind mindestens einem von elf bekannten kritischen Sicherheitslücken ausgeliefert.
Studie: 87,7 Prozent aller Android-Geräte sind mindestens einem von elf bekannten kritischen Sicherheitslücken ausgeliefert.
Foto: University of Cambridge

Auch Android M zeigt ein bekanntes Update-Bild für vielen Anwender. Die Update-Fahrpläne für Geräte älter als zwei Jahre suchen viele Anwender vergeblich. Selbst die Nexus-Reihe von Google - eigentlich als Vorzeigehardware forciert - wird mit Nexus 4 anscheinend nicht mehr supportet.

Consumer-Funktionen im Unternehmens-Kontext

Google speichert vieles über seine Anwender, so beispielsweise auch die Audiosamples seiner Google-Now-Nutzer. Verwendet einer Ihrer Mitarbeiter diesen Dienst, um einen dienstlichen Termin zu organisieren, können Sie das Ganze dort wiederfinden. Die Informationen, die Google speichert, werden dem Anwender unter https://history.google.com/history/ dargestellt und können detailiert eingesehen werden.

Hier muss man sich jedoch ernsthaft die Frage stellen, warum diese überhaupt erhoben werden. Selbst wenn Google die Daten verschlüsselt, keinen Ermittlungsbehörden übergibt und die höchsten Sicherheitseinstellungen der Welt ermöglichen bzw. versprechen würde, wäre da ein "schwaches" Glied in der Sicherheitskette trotzdem übrig: der Anwender selbst.

Dessen Zugriffsmöglichkeit auf die Daten, bzw. dessen privater Computer stellt ein lohnenswertes Ziel für einen potentiellen Angreifer dar. Die Möglichkeit, gerade den privaten Computer auszuspähen oder gar zu kapern stellt die wohl "effektivste" Möglichkeit dar, um sich Zugang zu den einschlägigen Seiten bei Google zu verschaffen. Fest hinterlegte Kennwörter und das "definierte und freigegebene" Vertrauen des eigenen Rechners helfen einem Dritten, wenn er erst einmal den Computer bedient.

Dabei müssen es nicht einmal professionelle Angreifer sein. Freunde, Bekannte oder der IT-Support im Dorf haben mit Zugriff auf den Rechner oft Einblicke, die in diesem Fall nicht nur die private Seite des Anwenders betreffen. Suchhistorie, Aufenthaltsorte (historisiert schön als Karte aufbereitet) und sogar Spracheingaben bei Google Now sind als Download verfügbar.

Dieses Thema sollte jeden Anwender von Android- und Google-Diensten allgemein interessieren. Ich tu mir schwer bei dem Gedanken, dass die Daten, die über ein Firmen-Android-Gerät erfasst werden, z.B. durch Google Now Anweisungen, so offen festgehalten und dokumentiert werden sollte.

Google-Analyse in ByoD-Containern

Google Now on Tab bietet Zusatzinformationen zur geöffneten App oder Website.
Google Now on Tab bietet Zusatzinformationen zur geöffneten App oder Website.
Foto: Google

Viel spannender für den Datenschutz ist jedoch die Erweiterung "Now on Tab" von Google Now. Dieser Dienst wurde oft als Gamechanger gefeierte und wurde mit dem aktuellen Release Android M eingeführt. Googles "Now on Tab" hat die Aufgabe kontextabhängige Informationen anhand von Tageszeiten, Kalender-Informationen, E-Mail-Eingängen und des Bildschirminhalts bzw. des Contents der gerade aktiven App des Anwenders einzublenden. Hält der Anwender den (virtuellen) Home-Button länger gedrückt, analysiert Android den Bildschirminhalt (Fotos & Text Analysen), verschlagwortet dies Informationen mithilfe des Google-Knowledge-Trees (Beziehungswissen über Datentöpfe) und bietet dem Anwender die Informationen an, die er jetzt wahrscheinlich am meisten braucht und die zu seiner gerade offenen App und dem abgebildeten Content passt.

Zeigt ein Eintrag in Facebook ein dem Anwender unbekanntes Auto, kann dieser über "Now on Tab" erfahren, dass es sich um einen Tesla Model S handelt. Schaut sich der Anwender einen Filmtrailer an, kann er sehen in welchem Kino er läuft und fragt er im Anschluss Google Now nach dem Autor des Buches bekommt er diesen genannt, da der Zusammenhang zur letzten "Now on Tab" Analyse als Information für den Knowledge Tree herangezogen wurde.

Was sich spannend und wirklich nutzbringend anhört, ist in meinen Augen eine große Herausforderung für den Schutz von privaten- und vor allem für unternehmensbezogenen Daten. Stellen Sie sich vor, Sie unterstützen Android als BYOD (Bring-Your-Own-Device) Plattform. Ihre Anwender nutzen einen E-Mail-Container, wie sie von den großen Firmen im Gartner-Quadranten angeboten werden (z.B. Good for Enterprise, Secure Workspace usw.). Ein MDM-System nutzen Sie nicht, da Ihre Anwender freie Endgeräte nutzen sollen. Ein Klick auf "Now on Tab" analysiert den Bildschirminhalt (z.B. eine offene eMail, ein Foto von einem neuen Produkt oder eine Draft Version Ihres Geschäftsberichtes) und übermittelt diese direkt und ungefragt auf die Server von Google zur kontextsensitiven Analyse. Dieser Dienst ist für jede App im Zugriff. Eine Anpassung von Apps ist laut Google nicht nötig, solange diese von dem Konzern indiziert wurden.

Inhalt dieses Artikels

 

Mark Zimmermann

Und auch im März 2016 werden an den identischen Stellen neue Lücken gefunden (http://www.itworld.com/article... und Millionen Geräte warten wohl auch hier vergebens auf Hilfe !

Mark Zimmermann

Kontaktdaten von Kunden oder Lieferanten des Unternehmens, werden häufig, gerade auf mobilen Endgeräten, nicht ausreichend vor dem Zugriff Dritter geschützt sind. Aus Datenschutzgründen ist das sehr bedenklich – denn Geschäftsführer und Inhaber können haftbar gemacht werden, wenn Dritte unbefugt Zugriff auf Daten bekommen, die eigentlich nur dem Unternehmen zur Verfügung gestellt wurden. Auch Mailadressen von Kunden und ihre Telefonnummern gehören zu den zu schützenden Daten.

comments powered by Disqus