Samsung will künftig nicht nur Endgeräte im Consumer-Bereich verkaufen, sondern zunehmend im Business-Bereich Fuß fassen. Da Unternehmen immer mehr auf den Bring-Your-Own-Device (BYOD)-Ansatz setzen, also Anwendern erlauben, ihre privaten Geräte mit dem Firmennetzwerk zu verbinden, muss sich Samsung etwas einfallen lassen, um Android-Geräte salonfähig zu machen.
Android 5.0 und KNOX
In Android 5.0 werden dazu einige Techniken von KNOX bereits integriert und die neue Version arbeitet enger mit KNOX zusammen, als jemals zuvor.
Es gibt die Möglichkeit in Android 5 auf Basis von Samsung KNOX eigene Container zu erstellen, auf die nur der lokale Anwender Zugriff hat. Unternehmen, die mit KNOX die Unternehmens-Smartphones absichern wollen, sollten daher auf Android 5 setzen. Es werden allerdings nicht alle KNOX-Funktionen in Android 5 übertragen. Zentraler Bestandteil von KNOX in Android 5 sind ein sicherer Container, MDM APIs, das KNOX Standard-SDK, früher bekannt unter dem Namen SAFE sowie einige Bereiche von SE for Android.
Viele KNOX-Funktionen lassen sich aber nicht ohne KNOX direkt in Android 5 verwenden. Dazu gehören Hardware-abhängige Sicherheitselemente wie ARM TrustZone-basierte Integrity Management Architecture (TIMA), Trusted Boot, Client Certificate Management (CCM), TrustZone-based KeyStore, remote attestation, biometric authentication und Common Access Card authentication.
Auch Single Sign-On (SSO) und VPN frameworks bleiben KNOX vorbehalten. Cloud Services wie KNOX Enterprise Mobility Management und KNOX Marketplace sind ebenfalls nicht vollständig integriert, sondern müssen über KNOX in das Netzwerk und Android 5 eingebunden werden. Zusätzliche App Stores wie Galaxy Apps, KNOX Apps, Device Theft Recovery und KNOX Customization sind derzeit auch nicht direkt in Android 5.0 integriert, sondern müssen nachträglich über KNOX Enterprise eingebunden werden. Das gilt auch für Industrie-Zertifizierungen wie Common Criteria für Regierungen und FIPS 140-2 sowie DISA MOS SRG Compliance für das Militär.
Android ist im Vergleich zu den anderen verbreiteten Smartphone-Systemen im Firmenbereich deutlich unsicherer, was nicht zuletzt an der starken Fragmentierung der Versionen und an der offenen Struktur des Betriebssystems liegt.
Was ist KNOX überhaupt?
Die grundsätzliche Sicherheitsfunktion von Samsung KNOX basiert auf dem NSA-System Security Enhanced Android (SE Android) und einem besonders gesicherten Bootloader in Verbindung mit speziell abgesicherter Hardware. KNOX unterstützt auch Secure Boot. Das heißt, bereits beim Starten des Gerätes lässt sich sicherstellen, dass keine Schadsoftware geladen wird, obwohl KNOX noch gar nicht gestartet ist.
- Samsung Knox
Knox soll Smartphones und Tablets der Galaxy-Serie für den Business-Einsatz fit machen. - Samsung Knox
Die Technologie trennt private Apps und Daten von den Unternehmens-Anwendungen. - Samsung Knox
Die Knox-Technologie setzt sich aus verschiedenen Verfahren zusammen. Hierzu zählt beispielsweise Secure Boot. - Samsung Knox
Die Authentizität des Android-Kernels wird durch Secure Boot überprüft. Das heißt, bereits beim Starten des Gerätes lässt sich sicherstellen, dass keine Schadsoftware geladen wird, obwohl Knox noch gar nicht gestartet ist. - Samsung Knox
Enterprise-Anwendungen laufen in einem abgeschotteten und verschlüsselten Knox-Container. - Samsung Knox
Knox arbeitet mit vielen MDM-Lösungen zusammen. - Samsung Knox
Knox schützt das Betriebssystem durch "SE für Android", die auf SELinux basiert. SE für Android schützt das OS durch Aufteilung in Sicherheits-Domänen. - Samsung Knox
Samsung verwendet bei Knox auch die Integrity Measurement Architecture TIMA. Das TIMA-Modul überwacht den Kernel des Betriebssystems auch ohne Knox-Aktivierung. Das Modul soll sicherstellen, dass keine Sicherheitsprobleme vorliegen. - Samsung Knox
Bei Samsungs Knox-Container handelt es sich um eine Android-Umgebung innerhalb des Geräts, komplett mit eigener Startseite, Startbildschirm, Apps und Widgets. - Samsung Knox
Knox arbeitet mit einer 256-Bit-AES-Verschlüsselung. - Samsung Knox
Die Umgebung erlaubt es Administratoren, die Einrichtung von VPNs für einzelne Apps in Knox zu konfigurieren. - Samsung Knox
Samsung unterstützt mit Knox viele Verwaltungslösungen (MDM).
Samsung verwendet hierbei auch die Integrity Measurement Architecture TIMA. Das TIMA-Modul überwacht den Kernel des Betriebssystems auch ohne KNOX-Aktivierung. Das Modul soll sicherstellen, dass keine Sicherheitsprobleme vorliegen. Auf Wunsch schaltet das Modul das Gerät ab, wenn der Kernel kompromittiert ist. Security Enhancements for Android lassen sich auch mit KNOX nutzen. Sie sorgen dafür, dass wichtige Daten und Apps in isolierten Bereichen gespeichert werden. Das verhindert die Auswirkungen eines Angriffs auf das Gerät.
KNOX ist eine Erweiterung von Samsung für Enterprise (SAFE), damit mehr Unternehmen auch dienstlich den Einsatz von Android-Geräten erlauben. Bestandteil der neuen Funktion ist zum Beispiel die Möglichkeit, automatisch die Kamera im Smartphone zu deaktivieren, sobald der Anwender das Firmengelände betritt. Außerdem soll KNOX verhindern, dass Viren auf den Endgeräten in das Firmennetzwerk eindringen oder wichtige Firmendaten auf den Endgeräten zerstören oder auslesen.