Android und iOS nehmen gemeinsam den Löwenanteil des Marktes für mobile Betriebssysteme ein. Die Nutzung dieser Devices im Unternehmen ist dabei immer mit Risiken verbunden. Dabei gelten Android-Smartphones und -Tablets jedoch als besonders anfällig für Sicherheitslücken und deren Ausnutzung - und sind somit in den Augen Vieler pauschal "unsicher". Doch so einfach ist das nicht.
Foto: Mikko Lemola - shutterstock.com
Darum gilt das iPhone als "sicherer"
Dass die Chancen, Opfer einer Malware-Attacke zu werden - und damit eine Bedrohung für das eigene Unternehmen darzustellen - bei Nutzung eines Android-Geräts steigen, zeigen beispielsweise die Daten von Symantec:
Foto: Symantec
Jack Gold von J. Gold Associates erklärt, worin in seinen Augen die Gründe dafür liegen: "Der Punkt ist, dass Android Open Sourceist. So kann sich jeder ganz genau ansehen, wie dieAndroid-Systeme aufgebaut sind. Das geht bei iOS nicht. Wenn Sie beispielsweise LG sind und ein Smartphone mit einem schlecht modifizierten Android OS auf den Markt bringen, stellt das eine potenzielle Bedrohung für Unternehmen dar. Denn in diesen Zeiten ist es so gut wie sicher, dass irgendjemand diese Lücke findet."
Solche Sicherheitslücken können bereits bei vermeintlich sehr kleinen Modifikationen am Betriebssystem auftreten, wie Gold weiß: "Sogar wenn Sie nur den Look einer Messaging App leicht verändern, könnten daraus Security-Schwachstellen erwachsen. Das ist das Problem mit Open Source: Bevor man es nicht getestet hat, kann man sich nicht sicher sein."
Apple ist bei seinem mobilen Betriebssystem hingegen äußerst restriktiv, wenn es um die Möglichkeiten der Entwickler geht und stellt seinen Quellcode nicht öffentlich zur Verfügung. "Und weil Apple sowohl Hard-, als auch Software kontrolliert, sind sie dazu in der Lage ein höheres Sicherheitsniveau zu gewährleisten", resümiert Gold.
Androids spezielle Security-Probleme
Laut aktuellen Zahlen von Gartner vereinnahmen Android und iOS gemeinsam 99,8 Prozent des Mobile-OS-Marktes. Android ist dabei mit 86 Prozent Marktanteil eindeutig die dominante Plattform. Apple bringt es demnach auf 13 Prozent. Die übrigen mobilen Betriebssysteme kommen noch auf 0,2 Prozent.
Alleine durch die Vielzahl der Android Devices bestehe bereits ein höheres Security-Risiko, zeigt sich Analyst Gold überzeugt - sieht aber noch ein weiteres, gravierendes Problem: "Auf die [Anm.d.Red.: inzwischen nicht mehr] aktuelle Android-Version Nougat entfällt lediglich ein Bruchteil der im Einsatz befindlichen Geräte. Die neuesten Sicherheits-Updates bekommt also nur ein kleiner Teil der Android-Nutzer. Bei Apple-Geräten ist das anders, hier werden alle Nutzer versorgt."
Was Gold hier etwas überspitzt ausdrückt, meint auch das vielfach beschriebene "Update-Problem" vieler Android-Nutzer, deren Smartphones oft schon nach einem Jahr zum "alten Eisen" gehören und keine neue Software mehr erhalten. Apple hingegen versorgt seine iPhones im Regelfall vier bis fünf Jahre mit aktueller Software.
Foto: Symantec
Ein spezielles Android-Problem im Unternehmensumfeld ist außerdem, dass viele Firmen inzwischen im Rahmen einer Mobile-First-Strategie ihre eigenen Applikationen entwickeln. Die Chancen, dass Inhouse-Entwickler dabei versehentlich Open-Source-Code verwenden, der mit Schwachstellen behaftet ist, stehen nicht schlecht. Denn Apps werden heutzutage kaum noch von Grund auf neu entwickelt. Typischerweise bedienen sich Entwickler zur Erstellung maßgeschneiderter Mobile-App-Lösungen in Online-Bibliotheken, die Open-Source-Komponenten zur Verfügung stellen. Diese "Code-Stücke" können sowohl modifiziert/manipuliert werden, als auch von Beginn an Sicherheitslücken enthalten.
Mobile Devices im Visier der Hacker
Laut Symantecs "Internet Security Threat Report" vom April 2017, haben sich die erkannten Security-Bedrohungen auf mobilen Endgeräten im Vergleich zum Vorjahr verdoppelt: 18,4 Millionen Malware-Infektionen stellten die Security-Experten fest:
Foto: Symantec
Die zwischen 2014 und 2016 festgestellten iOS-Schwachstellen bewegten sich laut Symantec dabei stets auf demselben Niveau. Und obwohl die Zahl neuer Android-Malware-Familien von 2014 bis 2016 erheblich gesunken ist (von 46 auf vier), stellt das Open-Source-Betriebssystem laut Symantec immer noch das Hauptziel für Hackerangriffe und Malware-Attacken auf mobile Endgeräte dar. Die Gesamtzahl der bösartigen Android Apps wuchs demnach im Jahr 2016 um 105 Prozent. Trotzdem ist das eine Verbesserung im Vergleich zum Vorjahr. Damals lag der Wert noch bei 152 Prozent.
Insbesondere für Unternehmen die BYOD praktizieren stellt die Bedrohung durch Android ein signifikantes Problem dar, wie Analyst Gold erklärt: "Diese Firmen haben überhaupt keine Wahl: Die Geräte gehören nicht ihnen und sie haben keinen Einfluss darauf, ob darauf das aktuellste Betriebssystem installiert ist. Einige Unternehmen lassen zwar nur Devices mit aktuellem OS ins Netzwerk, aber das ist die Ausnahme."
Symantec folgerte aus seiner Untersuchung, dass die kriminellen Hacker sich inzwischen darauf konzentrieren, neue Malware-Varianten aus bereits bekannten -Familien zu erstellen, statt gänzlich neue Bedrohungen zu erschaffen.
Auch iPhones werden gehackt
Das betrifft allerdings auch iOS-Geräte. Zero-Day-Schwachstellen sind bei Apples mobilem Betriebssystem zwar relativ rar gesät - dennoch wurden laut Symantec drei solcher Lücken im Jahr 2016 im Zuge zielgerichteter Angriffe ausgenutzt. Das Ziel der Hacker: die Infektion von iPhones mit der Pegasus Malware. Dabei handelt es sich um Spyware, die auf Nachrichten, Anrufe und E-Mails zugreift. Pegasus kann darüber hinaus auch Informationen von Apps abgreifen - beispielsweise Gmail, Facebook, Skype oder Whatsapp.
Den Opfern wird die Malware über einen Link in einer Text-Message feilgeboten. Bei Klick folgt der Jailbreak, was den Weg für den Schadcode freimacht. Zu den Sicherheitslücken, die die Pegasus-Attacke erst möglich machten, gehörte laut Symantec unter anderem eine Schwachstelle im Safari Webkit, die es kriminellen Hackern erlaubte, auf die iPhones ihrer Opfer zuzugreifen.
Schenkt man einem Whitepaper von J. Gold Associates und dem Ponemon Institute Glauben, kann die Infektion eines einzelnen Mobilgeräts mit Malware ein Unternehmen durchschnittlich knapp 9500 Dollar kosten. Sollte der Angreifer sich so die Zugangsdaten von Mitarbeitern verschaffen und Zugriff auf weitere Unternehmensdaten bekommen, belaufen sich diese Kosten bereits auf durchschnittlich 21.000 Dollar pro Endgerät - um den Angriff zu untersuchen und entsprechende Gegenmaßnahmen zu ergreifen.
Die meisten Hackerangriffe auf Smartphones und Tablets dienen dazu, vertrauliche Informationen zu stehlen - beispielsweise Kontaktlisten. Aber auch die Nutzung der Endgeräte um weitere maliziöse Nachrichten zu verschicken oder die Initiierung von DDoS-Attacken stehen bei Cyberkriminellen hoch im Kurs. Und Analyst Jack Gold erwartet für die Zukunft keine Besserung - im Gegenteil: "Ransomware wird die nächste große Bedrohung für mobile Devices. Ich kann mir zumindest nicht vorstellen, wieso es nicht so kommen sollte. Denken Sie mal darüber nach, was der Durchschnitts-User so auf seinem Smartphone hat. Wenn morgen ein Hacker Ihr Telefon als Geisel nimmt, wäre das wahrscheinlich ein ziemlich großes Problem."
Android Oreo für mehr Security
Es gibt jedoch Anlass zur Hoffnung. Laut William Stofega, Direktor für Mobile Phone Research bei IDC, hat Google seine Bemühungen bezüglich der Sicherheit des Android-Betriebssystems deutlich intensiviert: "Im Gegensatz zu früher, wo jeder den Quellcode ändern konnte, möchte Google die Kontrolle über sein Betriebssystem zurückgewinnen."
Inzwischen hat Google die neue Android-Version Oreo vorgestellt. In den nächsten Wochen rollt der Konzern das Betriebssystem zunächst für die eigenen Geräte Pixel, Pixel XL, Nexus 5X und Nexus 6P aus. Mit dem frisch veröffentlichten Android Oreo geht Google auch neue Wege in Sachen Sicherheit. So überprüft Oreo beispielsweise im Hintergrund alle installierten Apps auf schädliches Verhalten. Im folgenden Video sehen Sie, welche neuen Features Android 8 Oreo mitbringt:
Auch die Hersteller von Android-Smartphones und -Tablets bemühen sich inzwischen mehr um die IT-Sicherheit. Zum Beispiel Samsung: die Koreaner bieten mit ihrer kostenlosen Containerization App "Knox" eine Lösung, um persönliche Daten und Unternehmensdaten besser voneinander getrennt zu halten. Das schafft die App über eine virtuelle Android-Umgebung. Dabei wird ein Container erzeugt, auf dessen Inhalte ausschließlich entsprechend autorisierte Personen Zugriff haben. Alle Dateien und Daten innerhalb des Containers sind zudem verschlüsselt.
Dass Android-Smartphones also ein generelles Sicherheitsrisiko für Unternehmen darstellen, gehört ins Reich der Mythen. IDC-Chefanalyst Stofega bringt es auf den Punkt: "Es kommt ganz darauf an, wie Sie so ein mobiles Betriebssystem im Unternehmensumfeld einführen."
Warum Sie keine Mobile-Security-Strategie brauchen
Einer der ersten und einfachsten Schritte um vor Malware verschont zu bleiben, heißt: regelmäßige Software-Updates. Das ist leider nicht immer einfach zu bewerkstelligen, wie auch Stofega weiß: "Ich habe mit vielen IT-Managern gesprochen - die User wollen ihre Software oft nicht updaten. Aber das wäre eben verdammt wichtig."
Eine Mobile-Security-Strategie brauchen Unternehmen dennoch nicht, wie Jack Gold erklärt: "Sie sollten eine IT-Security-Strategie haben und ein Part davon sollte Mobile sein. Wenn Sie versuchen, hier etwas Eigenständiges für Smartphones und Tablets zu etablieren, könnte es sein, dass das überhaupt nicht zu dem Rest Ihrer Strategie passt. Wenn Sie hingegen eine übergreifende Sicherheitsstrategie haben, können Sie alle Dinge die Sie für mobile Endgeräte umsetzen wollen, dort einbetten. Optimieren Sie zuerst die allgemeine IT-Sicherheit und konzentrieren Sie sich anschließend darauf, was auf den einzelnen Devices möglich ist. In manchen Fällen gibt es dabei Abweichungen. Setzen Sie es einfach bestmöglich um."
Im Folgenden bekommen Sie noch einige Tipps von Jack Gold, William Stofega und Symantec, welche Sicherheits-Maßnahmen Unternehmen in diesem Zusammenhang (nicht nur) bei Android-Endgeräten treffen sollten:
Führen Sie regelmäßige Software-Updates bei unternehmenseigenen Geräten durch.
Erinnern Sie die Mitarbeiter in regelmäßigen Abständen daran, das auch mit ihren eigenen Geräten zu tun.
Downloaden und installieren Sie ausschließlich Applikationen aus vertrauenswürdigen Quellen.
IT-Admins sollten ein Auge auf die Berechtigungen einzelner Apps haben, da hieraus Hinweise auf maliziöses Verhalten gelesen werden können.
Android-Smartphones und -Tablets sollten für den Unternehmenseinsatz gerüstet sein - beispielsweise mit einem Upgrade aufAndroid at Work.
Da einige neuere (mobile) Malware-Varianten Rootkit-Fähigkeiten aufweisen, empfiehlt es sich, mobile Endgeräte mit Root Detection Software auszustatten. Oder von vorneherein Hardware anzuschaffen, die bereits entsprechend vorkonfiguriert ist.
Der Gerätehersteller kann ebenfalls eine Schlüsselrolle dabei einnehmen, Smartphones und Tablets im Unternehmen ganz allgemein sicherer zu machen. Wenn ein Hersteller dafür bekannt ist, Betriebssystem-Updates über Monate hinauszuschieben, sollte das ein Indikator für Sie sein, keine Hardware mehr von diesem Unternehmen zu beziehen.
Letztlich kommt man aber nicht umhin, auch in diesem Fall auf das Thema Awareness hinzuweisen: "Es geht dabei auch darum, die User auf Ihre Seite zu bekommen", weiß Gold. "Sie sollten Ihre Angestellten im Dialog darüber aufklären (lassen), warum IT-Sicherheit notwendig ist. Es gibt viele Unarten, die nur deshalb existieren, weil die User es einfach nicht besser wissen."
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpubliktion Computerworld.