Security-Lösung für Unternehmen

Samsung KNOX - Sicherheit für Android

09.01.2015
Von 
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.
Sichere Android-Plattform, geschützte Apps und Daten sowie eine umfassende Gerätekontrolle - all das will Samsung mit seiner KNOX-Technologie erschlagen. KNOX soll Smartphones und Tablets der Galaxy-Serie für den Business-Einsatz fit machen. Lesen Sie, was Samsungs Security-Lösung kann und wo ihre Grenzen sind.

Samsung will künftig nicht nur Endgeräte im Consumer-Bereich verkaufen, sondern zunehmend im Business-Bereich Fuß fassen. Da Unternehmen immer mehr auf den Bring-Your-Own-Device (BYOD)-Ansatz setzen, also Anwendern erlauben, ihre privaten Geräte mit dem Firmennetzwerk zu verbinden, muss sich Samsung etwas einfallen lassen, um Android-Geräte salonfähig zu machen.

Android 5.0 und KNOX

In Android 5.0 werden dazu einige Techniken von KNOX bereits integriert und die neue Version arbeitet enger mit KNOX zusammen, als jemals zuvor.

Es gibt die Möglichkeit in Android 5 auf Basis von Samsung KNOX eigene Container zu erstellen, auf die nur der lokale Anwender Zugriff hat. Unternehmen, die mit KNOX die Unternehmens-Smartphones absichern wollen, sollten daher auf Android 5 setzen. Es werden allerdings nicht alle KNOX-Funktionen in Android 5 übertragen. Zentraler Bestandteil von KNOX in Android 5 sind ein sicherer Container, MDM APIs, das KNOX Standard-SDK, früher bekannt unter dem Namen SAFE sowie einige Bereiche von SE for Android.

Viele KNOX-Funktionen lassen sich aber nicht ohne KNOX direkt in Android 5 verwenden. Dazu gehören Hardware-abhängige Sicherheitselemente wie ARM TrustZone-basierte Integrity Management Architecture (TIMA), Trusted Boot, Client Certificate Management (CCM), TrustZone-based KeyStore, remote attestation, biometric authentication und Common Access Card authentication.

Auch Single Sign-On (SSO) und VPN frameworks bleiben KNOX vorbehalten. Cloud Services wie KNOX Enterprise Mobility Management und KNOX Marketplace sind ebenfalls nicht vollständig integriert, sondern müssen über KNOX in das Netzwerk und Android 5 eingebunden werden. Zusätzliche App Stores wie Galaxy Apps, KNOX Apps, Device Theft Recovery und KNOX Customization sind derzeit auch nicht direkt in Android 5.0 integriert, sondern müssen nachträglich über KNOX Enterprise eingebunden werden. Das gilt auch für Industrie-Zertifizierungen wie Common Criteria für Regierungen und FIPS 140-2 sowie DISA MOS SRG Compliance für das Militär.

Android ist im Vergleich zu den anderen verbreiteten Smartphone-Systemen im Firmenbereich deutlich unsicherer, was nicht zuletzt an der starken Fragmentierung der Versionen und an der offenen Struktur des Betriebssystems liegt.

Was ist KNOX überhaupt?

Die grundsätzliche Sicherheitsfunktion von Samsung KNOX basiert auf dem NSA-System Security Enhanced Android (SE Android) und einem besonders gesicherten Bootloader in Verbindung mit speziell abgesicherter Hardware. KNOX unterstützt auch Secure Boot. Das heißt, bereits beim Starten des Gerätes lässt sich sicherstellen, dass keine Schadsoftware geladen wird, obwohl KNOX noch gar nicht gestartet ist.

Samsung verwendet hierbei auch die Integrity Measurement Architecture TIMA. Das TIMA-Modul überwacht den Kernel des Betriebssystems auch ohne KNOX-Aktivierung. Das Modul soll sicherstellen, dass keine Sicherheitsprobleme vorliegen. Auf Wunsch schaltet das Modul das Gerät ab, wenn der Kernel kompromittiert ist. Security Enhancements for Android lassen sich auch mit KNOX nutzen. Sie sorgen dafür, dass wichtige Daten und Apps in isolierten Bereichen gespeichert werden. Das verhindert die Auswirkungen eines Angriffs auf das Gerät.

KNOX ist eine Erweiterung von Samsung für Enterprise (SAFE), damit mehr Unternehmen auch dienstlich den Einsatz von Android-Geräten erlauben. Bestandteil der neuen Funktion ist zum Beispiel die Möglichkeit, automatisch die Kamera im Smartphone zu deaktivieren, sobald der Anwender das Firmengelände betritt. Außerdem soll KNOX verhindern, dass Viren auf den Endgeräten in das Firmennetzwerk eindringen oder wichtige Firmendaten auf den Endgeräten zerstören oder auslesen.