Samsung will künftig nicht nur Endgeräte im Consumer-Bereich verkaufen, sondern zunehmend im Business-Bereich Fuß fassen. Da Unternehmen immer mehr auf den Bring-Your-Own-Device (BYOD)-Ansatz setzen, also Anwendern erlauben, ihre privaten Geräte mit dem Firmennetzwerk zu verbinden, muss sich Samsung etwas einfallen lassen, um Android-Geräte salonfähig zu machen.
Android 5.0 und KNOX
In Android 5.0 werden dazu einige Techniken von KNOX bereits integriert und die neue Version arbeitet enger mit KNOX zusammen, als jemals zuvor.
Es gibt die Möglichkeit in Android 5 auf Basis von Samsung KNOX eigene Container zu erstellen, auf die nur der lokale Anwender Zugriff hat. Unternehmen, die mit KNOX die Unternehmens-Smartphones absichern wollen, sollten daher auf Android 5 setzen. Es werden allerdings nicht alle KNOX-Funktionen in Android 5 übertragen. Zentraler Bestandteil von KNOX in Android 5 sind ein sicherer Container, MDM APIs, das KNOX Standard-SDK, früher bekannt unter dem Namen SAFE sowie einige Bereiche von SE for Android.
Viele KNOX-Funktionen lassen sich aber nicht ohne KNOX direkt in Android 5 verwenden. Dazu gehören Hardware-abhängige Sicherheitselemente wie ARM TrustZone-basierte Integrity Management Architecture (TIMA), Trusted Boot, Client Certificate Management (CCM), TrustZone-based KeyStore, remote attestation, biometric authentication und Common Access Card authentication.
Auch Single Sign-On (SSO) und VPN frameworks bleiben KNOX vorbehalten. Cloud Services wie KNOX Enterprise Mobility Management und KNOX Marketplace sind ebenfalls nicht vollständig integriert, sondern müssen über KNOX in das Netzwerk und Android 5 eingebunden werden. Zusätzliche App Stores wie Galaxy Apps, KNOX Apps, Device Theft Recovery und KNOX Customization sind derzeit auch nicht direkt in Android 5.0 integriert, sondern müssen nachträglich über KNOX Enterprise eingebunden werden. Das gilt auch für Industrie-Zertifizierungen wie Common Criteria für Regierungen und FIPS 140-2 sowie DISA MOS SRG Compliance für das Militär.
Android ist im Vergleich zu den anderen verbreiteten Smartphone-Systemen im Firmenbereich deutlich unsicherer, was nicht zuletzt an der starken Fragmentierung der Versionen und an der offenen Struktur des Betriebssystems liegt.
Was ist KNOX überhaupt?
Die grundsätzliche Sicherheitsfunktion von Samsung KNOX basiert auf dem NSA-System Security Enhanced Android (SE Android) und einem besonders gesicherten Bootloader in Verbindung mit speziell abgesicherter Hardware. KNOX unterstützt auch Secure Boot. Das heißt, bereits beim Starten des Gerätes lässt sich sicherstellen, dass keine Schadsoftware geladen wird, obwohl KNOX noch gar nicht gestartet ist.
Samsung verwendet hierbei auch die Integrity Measurement Architecture TIMA. Das TIMA-Modul überwacht den Kernel des Betriebssystems auch ohne KNOX-Aktivierung. Das Modul soll sicherstellen, dass keine Sicherheitsprobleme vorliegen. Auf Wunsch schaltet das Modul das Gerät ab, wenn der Kernel kompromittiert ist. Security Enhancements for Android lassen sich auch mit KNOX nutzen. Sie sorgen dafür, dass wichtige Daten und Apps in isolierten Bereichen gespeichert werden. Das verhindert die Auswirkungen eines Angriffs auf das Gerät.
KNOX ist eine Erweiterung von Samsung für Enterprise (SAFE), damit mehr Unternehmen auch dienstlich den Einsatz von Android-Geräten erlauben. Bestandteil der neuen Funktion ist zum Beispiel die Möglichkeit, automatisch die Kamera im Smartphone zu deaktivieren, sobald der Anwender das Firmengelände betritt. Außerdem soll KNOX verhindern, dass Viren auf den Endgeräten in das Firmennetzwerk eindringen oder wichtige Firmendaten auf den Endgeräten zerstören oder auslesen.
KNOX nur auf bestimmten Galaxy-Geräten
Sinn des Systems soll es sein, auf Endgeräten mehrere getrennte Bereiche parallel zu installieren. Das funktioniert natürlich nur mit spezieller Hardware, zum Beispiel dem Galaxy S5 und dem neuen Galaxy Note 4.
Dank der beiden Systeme auf den Geräten kann ein Anwender Profile anlegen. So besteht die Möglichkeit, ein privates System und ein abgesichertes berufliches Profil auf ein und demselben Gerät zu verwenden. Samsung will in Zukunft weitere Geräte KNOX-kompatibel machen. Welche Android-Versionen und Samsung-Geräte künftig mit KNOX zusammenarbeiten, ist aktuell noch nicht klar. Es ist aber zu erwarten, dass vor allem die Galaxy- und die Note-Geräte kompatibel gemacht werden. Samsung führt auf der eigenen KNOX-Website alle unterstützten Geräte auf.
Da KNOX den beruflichen vom geschäftlichen Teil trennt, schützt es Anwender allerdings nicht davor, sich unsichere Apps oder Viren auf dem Gerät zu installieren. Hier kann die Anwendung nicht eingreifen. Das heißt, Unternehmen, die KNOX einsetzen wollen, müssen parallel für Sicherheit auf dem privaten Teil des Smartphones sorgen.
Ablauf bei der Anbindung von KNOX
Die Anbindung eines KNOX-kompatiblen Gerätes an das Firmennetzwerk geht wie folgt vonstatten: Das Gerät des Anwenders wird in die MDM-Software (Mobile Device Management) des Unternehmens integriert, und KNOX wird installiert. Nach der Anbindung und der Installation von KNOX findet der Anwender auf dem Homescreen seines Gerätes ein neues Icon für KNOX.
Foto: Samsung
Klickt der Anwender dieses Icon an, öffnet sich die sichere Umgebung von KNOX, inklusive eines eigenen App-Stores. Die Technik ist ähnlich wie bei Blackberry Balance. Andere Einstellungen auf dem Endgerät ändern sich nicht, der Anwender kann, wie zuvor auch, problemlos weiterhin parallel mit seinem Gerät arbeiten.
KNOX wird nicht als paralleles Betriebssystem genutzt. Anwender müssen für den Einsatz von KNOX also nicht ihr System neu starten, vielmehr stellt die KNOX-Umgebung ein "Unterbetriebssystem" dar, das im laufenden Betrieb gestartet und auch wieder beendet werden kann. Die Firmendaten bleiben ausschließlich im entsprechend abgesicherten Bereich gespeichert. Die KNOX-Umgebung, gestartet durch ein neues Icon auf dem Homescreen, verfügt dann wiederum über einen eigenen Homescreen mit eigenem Launcher, eigenen Apps und eigenen Widgets.
Privates und Geschäftliches auf einem Smartphone
Durch die strikte Trennung der beiden Systeme können Anwender ihr Smartphone privat und beruflich nutzen. Bestandteil von Security Enhanced Edition von Android ist auch eine Verschlüsselung. Da das System eigentlich von der NSA entwickelt wurde, bleibt natürlich ein Beigeschmack, was die Abhörsicherheit betrifft.
Indes handelt es sich bei SE Android um eine Open-Source-Linux-Lösung. Das heißt, Hintertürchen für die amerikanischen Geheimdienste wären mittlerweile entdeckt worden. Im Fokus der NSA steht im Bereich Android im Übrigen vor allem die Absicherung von Android vor gegnerischen Spionageangriffen, weniger die eigenen Abhörmöglichkeiten. Nach ersten Tests soll keine Backdoor enthalten sein. Verlassen sollte man sich allerdings darauf nicht, denn die NSA ist nicht gerade bekannt dafür, sichere Anwendungen für externe Nutzer zu programmieren.
SE-Android ist allerdings auch Bestandteil von AOSP (Android Open Source Project). Das heißt, Sicherheitslücken oder Hintertüren werden normalerweise durch Entwickler erkannt und beseitigt, sollten welche vorhanden sein.
KNOX und das Rooten
Viele Android-Anwender, vor allem Profis, rooten ihr Gerät. Dadurch erhalten sie mehr Zugriff auf die Funktionen von Android und dessen Dateisystem. Das ist auch beim Einsatz von KNOX möglich. Allerdings lässt sich zum einen nur der private, nicht der von KNOX abgesicherte Teil rooten. Zum anderen erkennt der KNOX-Teil den Root-Vorgang und protokolliert ihn auch.
Foto: Samsung
Die Hardware von KNOX-kompatiblen Geräten erkennt einen Root-Vorgang in den meisten Fällen an einer durchgebrannten E-Fuse. Das heißt, bei Hardwareproblemen mit einem gerooteten Endgerät kann Samsung die Garantie für solche Geräte ausschließen. Die Administratoren im Unternehmen erkennen außerdem solche Vorgänge und können gerootete Geräte von der Firmenumgebung ausschließen.
Standardmäßig blockiert KNOX den Zugriff auf den verschlüsselten Teil der Daten, sobald das Gerät einen Root-Zugriff erkennt. Auch hier wird der Root-Vorgang an der durchgebrannten E-Fuse erkannt. Anwender sollten sich also vor der Anbindung an KNOX mit den Administratoren des Unternehmens absprechen.
Private und berufliche Daten nutzen
KNOX beeinträchtigt Smartphones oder auch Tablets ansonsten nicht. Die Anwender können ihr Gerät uneingeschränkt privat und beruflich nutzen. Auch Apps aus Google Play lassen sich weiterhin problemlos installieren. Allerdings stehen diese Apps nicht in der KNOX-Umgebung zur Verfügung.
Der einzige Unterschied ist die Tatsache, dass ein zweites System auf dem Gerät verfügbar ist, das Anwender aus ihrer Standardumgebung heraus starten können. Über ein Icon auf dem Homescreen lässt sich die sichere Umgebung schnell und unkompliziert starten. Die Daten der beiden Systeme sind voneinander getrennt. Das heißt, der berufliche und durch KNOX abgesicherte Teil hat keinen Zugriff auf die privaten Daten und umgekehrt. Die beiden Systeme sind komplett voneinander abgeschottet. Allerdings erscheinen die privaten Termine im KNOX-Kalender. Umgekehrt sind die geschäftlichen Termine aus dem KNOX-Container nicht im privaten Kalender zu sehen. Auch der Lesezugriff auf Kontaktdaten, die außerhalb des Containers liegen, ist möglich. Diese Vorgänge muss der Anwender aber erst erlauben.
Foto: Samsung
Die beruflichen Daten verbleiben in einem sogenannten KNOX-Container. Dieser soll laut Samsung auch vor Malware, Phishing und physischem Zugriff auf das Endgerät geschützt sein. Das heißt, auch beim Verlust oder Diebstahl des Gerätes sollen die durch KNOX geschützten Daten sicher sein. Die Daten in diesem Container sind durch eine zertifizierte Advanced Encryption Standard (AES) mit 256-Bit-Verschlüsselung (AES-256) gesichert. Die Prozesse im KNOX-Container können nicht mit außenliegenden Apps oder Prozessen interagieren.
Administratoren haben die Möglichkeit, den KNOX-Container und seine Daten vom Endgerät des Anwenders zu entfernen. Die privaten Daten des Anwenders sind davon nicht betroffen.
MDM und mehr mit KNOX
Samsung unterstützt mit KNOX viele Verwaltungslösungen (MDM). Das ist klar, da sich solche komplexen Umgebungen nur mit einer zentralen Lösung nutzen lassen. Mit KNOX können Unternehmen außerdem VPN-Szenarien darstellen, auf Verwaltungslösungen Dritter setzen und auf Basis von Exchange ActiveSync die gesicherte Android-Version auch an Exchange anbinden. Alle Daten in der KNOX-Umgebung sind AES-verschlüsselt. Die Umgebung erlaubt es Administratoren, die Einrichtung von VPNs für einzelne Apps in KNOX zu konfigurieren.
Foto: Samsung
Auch hier bleiben die gesicherten Daten in der KNOX-Umgebung. Im Rahmen dieser zentralen Verwaltung können Administratoren remote auch Apps auf den Endgeräten installieren oder entfernen. Allerdings unterstützt die KNOX-Umgebung hier nicht die offiziellen Android-Apps aus Google Play, sondern nur die besonders abgesicherten und signierten KNOX-Apps von Samsung.
Auch die Absicherung von Daten und die Anpassung von Rechten sind möglich. KNOX kann nicht nur von Anwendern manuell aktiviert werden, sondern ist in der Lage, sich in bestimmten Szenarien auch automatisch zu aktivieren, zum Beispiel wenn ein Anwender ein Firmengebäude betritt. Wie bei solchen Anwendungen üblich, lassen sich mit KNOX auch Hardwarefunktionen, wie die Kamera oder Speicherkarten, deaktivieren. Darüber hinaus besteht die Möglichkeit, KNOX-abgesicherte Geräte remote zurückzusetzen.
KNOX mit zusätzlichen Features
Seit Version KNOX 2.0 integriert Samsung auch Funktionen, die mit dem Galaxy S5 ausgeliefert werden. Ein wichtiges Feature ist die Zwei-Faktor-Authentifizierung. Wird sie aktiviert, muss sich der Benutzer mit seinem Fingerabdruck und zusätzlich mit einem Kennwort anmelden. Diese Funktion ist dem neuen Fingerabdrucksensor des Galaxy S5 zu verdanken.
Eine weitere neue Funktion ist die Analyse des Datenaufkommens das von privaten und geschäftlichen Apps verursacht wird. Außerdem bindet Samsung die Lösung stärker an die Cloud. Das soll für die Anwender, aber auch für Administratoren mehr Flexibilität bringen. Mit den Mobile Device Management Services lassen sich mobile Geräte und der KNOX Marketplace verwalten, im KNOX-Marketplace spezielle Enterprise-Apps positionieren. KNOX setzt mindestens Android 4.4 voraus. Anwender, die auf das neue Samsung Galaxy 5 setzen, bekommen KNOX 2 bereits vorinstalliert auf dem Smartphone. Mit dem Smartphone lässt sich auch die neue Key-Store-Funktion nutzen. Diese erlaubt die Erstellung eines Schlüssels in einer gesicherten Umgebung. Außerdem werden dadurch der Kernel von Android und wichtige Systembereiche überwacht. Das soll Android sicherer für Unternehmen machen.
Da Samsung mit Good Technology zusammenarbeitet, können Anwender die meisten Google-Pay-Apps auch in einem sicheren Container betreiben. Möglich wird das durch eine sogenannte "Good Secure Domain". In dieser lässt sich eine spezielle Sicherheitsumgebung erstellen, die auch von KNOX 2.0 gesichert wird. Es ist geplant, dass KNOX noch weitere Sicherheitsumgebungen unterstützt, zum Beispiel von Fixmos SafeZone oder MobileIron AppConnect.
Fazit
Dass Android für Unternehmen nicht gerade die sicherste Umgebung ist, stellt kein Geheimnis dar. Samsung will indes, als Marktführer bei Android-Geräten, auch im Business-Bereich punkten, doch dafür müssen Sicherheit und Verwaltbarkeit her.
KNOX stellt einen durchaus interessanten Ansatz dar, vor allem angesichts der Tatsache, dass Android derzeit mit Abstand das am weitesten verbreitete Smartphone-System ist. Unternehmen, die den BYOD-Ansatz verfolgen, kommen daher um die Anbindung von Android-Geräten kaum herum. Hier kann KNOX durchaus sinnvoll sein.
Allerdings ist die Umgebung auch stark eingeschränkt und erfordert einiges an Sicherheitswissen von den Anwendern. KNOX blendet nämlich immer Informationen ein, wenn das System der Ansicht ist, eine App würde Zugriff auf das System nehmen. Das kann den Anwender schnell überfordern. Doch einen Blick ist die Lösung auf jeden Fall wert. (cvi)