Symantec: Unternehmensdaten werden unkontrolliert über mobile Geräte verteilt

Es ist mittlerweile üblich, seine Termine, Kontakte, wichtige Dokumente, eventuell Datenbestände spezieller Enterprise Apps, jederzeit auf seinem Kleincomputer aka Smartphone mit sich rumzutragen. Synchronisiert werden die Geräte möglicherweise vielfältig. Das kann über die Cloud mit Unternehmensservern sein, das kann aber auch eine gut gemeinte zusätzliche Sicherung in der privaten Dropbox oder auf dem heimischen PC sein. Aus Unternehmenssicht ist das alles schon alptraumhaft genug.

Was aber, wenn die Smartphones per Design so unsicher wären, dass es gar nicht unbedingt der Unbedarftheit im Sicherungsverhalten der User bedürfte, um vertrauliche Daten zu kompromittieren?

Diese Frage beantwortet Symantec in einem neuen Bericht mit dem Titel „A Window Into Mobile Device Security“. Darin befassen sich die Sicherheitsexperten mit der Architektur der beiden Betriebssysteme iOS und Android. Bereits einleitend machen die Symantec-Leute klar, dass es sich bei den untersuchten Plattformen aufgrund ihrer Architekturen und Herkunft (iOS entstand auf der Basis von OSX, Android auf der Basis von Linux), um grundsätzlich sicherheitsorientierte Systeme handelt. Anders als bei herkömmlichen PCs spreche man hier bereits über ein vom Start weg höheres Sicherheitslevel.

Nach Auffassung Symantecs hat sich jedoch durch die Verfügbarmachung der Plattformen für den Massenmarkt ein Kompromissbedarf ergeben, der es erforderlich machte, Sicherheit zugunsten von Bedienerfreundlichkeit zu reduzieren. Insofern seien sowohl iOS als auch Android in Sachen Sicherheit nur noch Kompromisse. Nun gehe es lediglich darum, deren Tragfähigkeit zu bestimmen.

Android vs iOS: Resistenz der mobilen OS gegen unterschiedliche Angriffsformen

Um vergleichende Aussagen zur Sicherheit der beiden Plattformen zu ermöglichen, definierten die Symantex-Experten sechs verschiedene Angriffsarten und prüften die Resistenz des jeweiligen Systems dagegen. Im Einzelnen werden Aussagen zu folgenden Angriffstypen gemacht:

• web-basierte Attacken
• Malware-Angriffe
• Angriffe auf der Basis des sog. Social Engineering (Phishing, Scam)
• Datenverluste (sowohl böswillig verursachte, wie auch unabsichtliche)
• Angriffe auf die Datenintegrität

Android vs. iOS: Implementation grundlegender Sicherheitsfeatures

Unabhängig von der Angriffslage untersuchten die Symantec-Fachleute die architekturimmanenten Schutzmechanismen der beiden Systeme. So trafen sie Aussagen zu

• Zugriffskontrollfunktionen
• Überprüfung der Applikationsherkunft
• Verschlüsselung
• Isolation der einzelnen Prozesse
• berechtigungsbasierte Zugriffsabstufungen

Android vs iOS: Übersichtstabellen der getroffenen Feststellungen

Folgend seht ihr die zu den einzelnen Prüfpunkten erteilten Einschätzungen des Symantec-Teams. Danach ist Android ganz augenfällig im Hintertreffen, besonders bei Fragen der Prüfung der Applikationsherkunft, der Angreifbarkeit durch Malware und des Datenverlustes. Nur in der Frage der Isolation der Prozesse schneidet Android besser ab als das iOS. In allen anderen Punkten ist es schlechter oder gleich gut bewertet worden.

Symantec: Die Beurteilung des iOS in der Zusammenfassung

Alles in allem hält Symantec das Sicherheitsmodell des iOS für ordentlich ausgelegt. Dafür spricht, dass es sich bislang als ausgesprochen robust gegen jedwede Form von Angriff gezeigt hat.

• Besonders gute Noten erhält das Verschlüsselungssystem des iOS. Dieses versieht E-Mails und Attachments mit starkem Schutz. Da iDevices nicht als USB-Laufwerke eingebunden werden, bietet das System zudem hinreichenden Schutz gegen Datenklau. Es bedürfte eines dezidierten Hackers, um an Daten aus iOS-Geräten zu gelangen.
• Installationen auf iOS-Geräten können ausschließlich über Apples App Store vorgenommen werden. Auf diese Weise ist sicher gestellt, dass alle Apps einer vorherigen Prüfung durch Apple-Personal unterzogen sind, so dass Apps dubioser Herkunft, eventuell mit Malware verseucht, konzeptionell auf dem iOS keine Chance haben.
• Die Prozessisolation unter dem iOS verhindert traditionelle Angriffsformen, wie Viren oder Würmer, völlig. Sollte es einer Spyware gelingen, sich auf dem Gerät zu etablieren, hätte diese aufgrund des Isolationskonzeptes nur geringsten Einblick in die auf dem Gerät abgelegten Daten.
• Das Berechtigungssystem verhindert zuverlässig, dass Apps ohne entsprechende Einwilligung des Verwenders Zugriff auf Standortdaten erhalten, Telefonate initiieren oder SMS senden können.

Symantec: Die Beurteilung von Android in der Zusammenfassung

Android verfügt nach Auffassung der Symantec-Experten über zwei wesentliche Schwachstellen.

• Die eine Schwachstelle manifestiert sich in der Möglichkeit, dass Apps dubioser Herkunft sogar offiziell über den Market Malware auf Android-Devices installieren können.
• Die zweite Schwachstelle findet sich im an sich sehr guten Berechtigungssystem. Trotz ausführlicher Darstellung der von der App angefordeten Rechte und weitgehenden Erläuterungen in Googles Supportsystemen kann es den Anwender letztlich nicht gut schützen. Dieser muss nämlich auf der Basis der erteilten Informationen technisch qualifizierte Entscheidungen treffen. Etwas, wozu der Otto Normalanwender gar nicht in der Lage ist.
• Die Verbreitung von Malware über den Market lässt sich nur stoppen, wenn es Programmierern erschwert wird, dort ohne redaktionelle Kontrolle und gegen einen Anerkennungsbetrag von 5 Euro jährlich jedweden Code verbreiten zu können. Die Verbreitung von Malware über APK lässt sich nur dadurch stoppen, dass Nicht-Market-Anwendungen grundsätzlich gar nicht installiert werden können. Der Großteil der Betrugsversuche im Rahmen des sog. Social Engineering lässt sich auf frei herunter geladene APK beziehen.
• Verschlüsselung kennt Android erst ab Version 3.0. Das führt dazu, dass es derzeit kein Android-Phone gibt, welches seine Daten verschlüsselt. So kann ein einfacher Root oder der Diebstahl der SD-Karte reichen, um an alle Daten eines Android-Devices zu gelangen.
• Gut beurteilt wird die Prozessisolation. So ist sicher gestellt, dass sich Prozesse untereinander genauso wenig gegenseitig beeinflussen können, wie den Kernel zu destabilisieren. Allerdings können alle Apps standardmäßig auf alle Daten einer SD-Karte zugreifen, was dem Datenklau Tür und Tor öffnet. Hier würde die eben erwähnte Verschlüsselung Abhilfe schaffen.

Android vs iOS: Was ist von Symantecs Einschätzung zu halten?

Schaut man sich die Kritikpunkte an Android einmal genauer an, so stellt man fest, dass es sich in der Mehrzahl um konzeptionelle Unterschiede zum besser bewerteten iOS handelt. Android ist stärker auf Offenheit ausgelegt und gibt bewusst Kontrolle an seinen Verwender ab. Dass darin auch Risiken liegen, ist dem technisch versierten Nutzer völlig klar.

Apple verhindert kritische Szenarien, indem es schlicht strikt den Zugang an allen Stellen einschränkt, an denen es potenziell gefährlich werden könnte. An allererster Stelle wäre hier sicherlich die Installation von Nicht-AppStore-Anwendungen zu nennen, die Android eine schlechte Bewertung einbringen und die es unter dem iOS schlichtweg gar nicht erst gibt. Ebenso verhält es sich mit dem Vollzugriff auf alle Daten einer SD oder des internen Speichers. SDs gibt es unter dem iOS bekanntlich überhaupt nicht.

Die fehlende Verschlüsselung indes lässt sich nicht weg reden. Smartphone-User werden wohl ab Ice Cream Sandwich in den Genuss dieses Sicherheitsfeatures gelangen.

Den ganzen 24-seitigen Bericht kann man übrigens frei unter diesem Link herunter laden.

Wie seht ihr das? Sollte Android sich im Sinne der Massentauglichkeit nach dem Beispiel Apples stärker abschotten? Oder sollten Android-Phones mit deutlichen Warnhinweisen für Unbedarfte verkauft werden? Oder ist jeder seines Glückes Schmied und sollte die Finger von Geräten lassen, die er nicht versteht?

Bildnachweis für die Newsübersicht: Foto: Tsahi Levent-Levi / flickr.com, Lizenz: CC-BY-SA

Weiterführende Links zu aktuellen News auf t3n.de:

• Teste Windows Phone auf deinem iPhone oder Android-Smartphone - t3n News
• Android 4.0-Update: Samsung nennt Kandidaten für Ice Cream Sandwich - t3n News
• So sieht Android 4.0 Ice Cream Sandwich auf dem Nexus S aus [Video & Download] - t3n News
• AirDroid – Absolute Pflicht-App für Android-Smartphones - t3n News
• Zeig mir deinen Homescreen: 11 Tipps für Android-Apps - t3n News
• Zeig mir deinen Homescreen: Sieben Tipps für iPhone-Apps - t3n News