Ist Android sicher genug für den Unternehmenseinsatz?

Der Architekturschwäche auf der Spur

Mark Zimmermann weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Er versteht es diese Themen aus den aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Hierzu ist er auf nationale Vorträgen und als freier Autor für Fachpublikationen tätig.
Google schwächelte Anfangs im Company-Owned Umfeld. Die gebotenen MDM-Möglichkeiten sind im Vergleich zu iOS stark eingeschränkt. Daher ist es nicht verwunderlich, dass Samsung mit der SAFE-Funktion beziehungsweise mit Knox den Company-Owned Markt für sich erschließen will.

Aufgrund des geringen Kaufpreises der Geräte hat Android zumindest in den Diskussionen einen starken Fuß in der Tür. Diese Diskussion ist immer gerne geführt aber inhaltlich nicht vollständig betrachtet. Die geringeren Anschaffungskosten, welche im übrigen netto, abzüglich Rabatt über drei Jahre abgeschrieben werden, reichen für eine TCO-Betrachtung nicht aus. Auch Themen wie RollOut, Betrieb, Schulung, Support, Verlässlichkeit oder Zusatzleistungen müssen Bedarfs- und Anforderungsgerecht einfließen. Die Kosten zur Absicherung sind ebenfalls zu beachten (Vorsorgekosten und Kosten für den Ernstfall).

Android unterliegt einer herausfordernden Entwicklung, was die Nutzung auf Firmengeräten fraglich werden lässt.
Android unterliegt einer herausfordernden Entwicklung, was die Nutzung auf Firmengeräten fraglich werden lässt.

Der hohe Marktanteil im Consumerumfeld, vor allem auch mit stellenweise alten Release-Ständen machen Android interessant für viele Cyberkriminelle und vor kurzem wurden mehrere gefährliche Fehler in Androids Sicherheitsvorkehrungen entdeckt.Die Stagefright Lücke erlaubt es Angreifern beispielsweise den Zugriff auf ein Android-Gerät mit einer einzigen bösartigen Multimedia Messaging Service (MMS)-Nachricht zu erhalten. Diese Lücke betrifft dabei 95 Prozent der Geräte - angefangen bei Android 2.2 bis 5.1.
50 Prozent aller Android-Geräte schickt der Angreifer mit einer präparieren Mediendatei nicht nur in ein Dauer-Crash-Verhalten, sondern kann auch einen Overflow erzeugen und einen Code einschleusen, der dann mit den Rechten des Mediaserver-Prozesses ausgeführt wird.
Ein Ende derartiger Meldungen ist nicht in Sicht.

Diese stetig empfundene Zunahme von Malware und die seit längerem bestehenden Sicherheitsbedenken lassen nicht nur Anwender sondern auch Unternehmen die Situation kritisch bewerten.
Nun verstehen Sie mich bitte nicht falsch. Jede Plattform hat Schwachstellen. Es ist unmöglich, sie alle zu beseitigen, bevor die Software in der Wildnis verfügbar ist. Die Kunst liegt jedoch darin Angreifer durch eine hohe aufeinander abgestimmte Sicherheit zu entmutigen und auf erkannte Probleme schnell zu reagieren. Es ist also eine Frage der Architektur und Plattformprinzipien.

Es gab und gibt immer wieder auch für andere Systeme Sicherheitslücken. So haben iOS, Windows Mobile und sogar BlackBerry ebenfalls "Löcher". Aber Maleware trifft im Vergleich viel geringer auf die Anwender direk. Viele schädliche Apps verlassen nie ihre Laborumgebung. In freier Wildbahn sind diese oft nicht direkt zugänglich. Unter iOS finden diese beispielsweise ihren Weg meist nur über Cydia, auf die jailbroken Geräte der Anwender. Das Problem hier ist jedoch nicht die Maleware selbst, sondern der ursprünglich vom Anwender aktiv selbstständig durchgeführte Jailbreak.

Um Android steht es jedoch deutlich schlechter. Herstellern und Netz-Providern fehlt jeglicher Anreiz die von Google angebotenen Fehlerbehebungen im Android Ökosystem auszuliefern.Eine Besserung ist dabei aufgrund der nach wie vor vorherrschenden Fragmentierung und schlechten Updatepolitik der OEMs nicht in Sicht, eher das Gegenteil. Das Ganze wird von Dienstanbietern noch weiter verschärft. So unterscheidet beispielsweise Facebook die Android-Geräte nicht mehr nach ihrer Betriebssystemversion, sondern an den tatsächlichen Hardware-Spezifikationen.

Dabei war das schon mal anders. Viele von Ihnen erinnern sich sicherlich noch an die "Google Play edition" (GPe). Endgeräte mit unverändertem Android war, bei diesem Programm, das Zauberwort. Systemupdates und fixes waren hier sofort adaptierterbar. Nach nur sechs Android-Geräten in knapp zwei Jahren ist dieses Programm am Ende gewesen - nach Deutschland hatten es die Geräte gar nicht erst geschafft.
Mir der "Android Update Alliance" hat Google einen neuen Versuch gestartet, die OEMs zu Zertifizieren, wenn diese sich zu zeitnahen Updates verpflichten. Meiner persönlichen Meinung nach hat kein OEM wirklich nachhaltig hier mitgemacht.

Google hat keine Kontrolle mehr über Android, wie der Tech-Journalist Ron Amadeo es in einem umfangreichen Bericht beschrieben hat.

Unterschiedliche Sichten auf das Ökosystem.

OEMs wollen Geräte verkaufen und so viel Gewinn wie möglich mit ihrer Hardware machen. Ein stetiger Preiskampf sorgt dabei für gefühlt "viel Hardware fürs Geld", drückt die Margen aber zusätzlich. Updates stellen für bereits verkaufte Endgeräte nicht unerhebliche Aufwände dar. Das blockieren oder verzögern Updates von neuen Softwareversionen wird stellenweise als ein möglicher Weg interpretiert die Anwender zu ermutigen, einen neues Smartphone zu kaufen, um damit Zugriff auf die neueste Funktionen von Android zu erlangen: Mehr Geräte -> Mehr Aufwand zur Produktpflege -> Weniger Geld.

Google auf der anderen Seite hat ein Interesse seine Dienstleistungen auf so vielen Geräten wie möglich anzubieten. Zusätzlich bekommt Google mit dem Android System die Möglichkeit seine Position an der Spitze der Suchmaschinen zu behalten. Die großen Daten der Android Anwender helfen-dabei. Das Geschäftsmodell ist somit einfach: Mehr Geräte -> Mehr Werbung -> Mehr Geld.

Leidtragend ist der Anwender. Nur mit ein bisschen Glück erhält der Anwender, zumindest auf aktuellen Geräten einen passenden Bugfix. Eine Garantie dafür, dass klaffende Sicherheitslücken überhaupt geschlossen werden, gibt es nicht.Sicherlich ist dies nicht für alle Anwender gleichgewichtig in der Wahrnehmung. Die WhatsApp-Generation kann ihre Bedürfnisse mit günstigen Handys auch dann befriedigen, wenn Updates nicht angeboten werden. Den Unternehmen reicht dies nicht.

Aber nicht nur die mangelnde Verteilung von Updates durch OEMs ist ein Problem. Auch Google selbst entscheidet sich manchmal (selten) gegen das beheben von Sicherheitslöchern. So gab Google Anfang 2015 bekannt, keine eigenen Sicherheitsupdates für die WebView-Komponente von Pre-KitKat-Geräten - Android 4.4, eingeführt im Oktober 2013, mehr anzubieten.iOS-Anwender kennen das so nicht. Wenn ein Anwender ein iOS-Gerät kauft, unabhängig davon, ob es sich um ein iPhone oder iPad handelt, hat er die nicht ausgesprochene Garantie, dass das Produkt über die nächsten drei Jahre von Neuigkeiten profitieren wird. Apple bemühte sich auch sehr alte Geräte noch auf eine neue Major Version ihres Betriebssystems mitzuziehen beziehungsweise Fixes bereit zu stellen.

Im Vergleich zu Android ist Apple somit sehr gut mit dem Fokus auf Anwender und Unternehmen aufgestellt, da die Produkte attraktiver sind und die Kundenbindung höher ist. Apple bietet eine sehr robuste Roadmap für seine Produkte und Dienste. Im Gegensatz zu Google sind zwar weniger Dienste wie Google Wave oder Google Reader verfügbar, diese aber langlebiger.
Apples Erfolgsrezept: Hardware + Software aus einer Hand -> Mehr Kundenzufriedenheit -> Mehr Geld.

Inhalt dieses Artikels

 

Mark Zimmermann

Im Vergleich der verschiedenen Hersteller kommt heraus, dass Googles Nexus-Geräte die Updates in der Regel am schnellsten bekommen. Aber selbst Nexus-Geräte erreichen nur einen Wert von etwas die hälfte der möglichen Scoring Punkten der Forscher. Gefolgt wird Google von LG mit 3,9 Punkten und Motorola mit 3 Punkten. Armes Ökosystem

Mark Zimmermann

Drei Forscher der Cambridge-Universität haben die Auslieferung von Sicherheitsupdates auf Android-Geräten untersucht. Sie kommen zu dem Schluss, dass zu jeder gegebenen Zeit im Schnitt 87,7 Prozent aller Android-Geräte durch Sicherheitslücken verwundbar sind. Im Vergleich der verschiedenen Hersteller kommt heraus, dass Googles Nexus-Geräte die Updates in der Regel am schnellsten bekommen. Aber selbst Nexus-Geräte erreichen nur einen Wert von etwas über 5 von 10 möglichen Punkten im Scoring der Forscher. Gefolgt wird Google von LG mit 3,9 Punkten und Motorola mit 3 Punkten.

mark_zimmermann@me.com

Forscher der University of Cambridge haben die beschriebene Architekturschwäche, meiner Meinug nach, mit einer aktuellen Studie unterfüttert. Das Ergebnis: 87,7 Prozent aller Geräte sind mindestens einem von 11 bekannten kritischen Sicherheitslücken ausgeliefert.

Mark Zimmermann

gerade heute wieder eine interessante Diskussion gehabt. Natürlich ist Android for Work zur Datentrennung geeignet ... aber eine App mit Systemrechten kann zwischen den Bereichen eigenständig zugreifen ... das halte ich dann doch für problematisch (gerade im Kompromitierungsfall)

Mark Zimmermann

Nach der Lücke ist vor der Lücke. Die Entdecker von Stagefright haben eine weitere Schwachstelle ausfindig gemacht, die alle Android Endgeräte betrifft. Über manipulierte MP3-Dateien lassen sich weiterhin die Geräte kapern...egal ob es sich um ein "normales" Android oder ein "Android for Work" handelt.

Mark Zimmermann

iOS 9 hat es in nur einer halben Woche bereits auf die Hälfte aller iOS-Geräte geschafft. Davon kann Android nur träumen. :-(

Mark Zimmermann

Das sagt auch viel aus : http://www.scmagazine.com/scan...

Mark Zimmermann

Ich bin schwer gespannt, wie BlackBerry mit dem geleakten neuen Handy (http://www.techstage.de/news/B... das in den griff bekommt

comments powered by Disqus