Firmenhandys: Sicherheitslücken bei Android-Geräten

Von Ronny Wiegand am 1.2.2019
Ronny Wiegand
Vernetzen:

Im Unternehmensalltag sind Smartphones und Tablets mittlerweile normal geworden. Egal, ob es sich dabei um geschäftlich genutzte Privatgeräte (Stichwort: „Bring Your Own Device“) oder um Firmenhandys handelt: Immer stellt sich die Frage nach der sicheren Einbindung der Mobile Devices in die Netzwerkumgebung. Sind Android-Geräte dabei prinzipiell unsicherer als die von der iOS-Konkurrenz?

ipad-605439_640

 

Android unsicherer als iOS?

Es gibt viele Unternehmen und Konzerne, die aus Gründen der Mobile Security eine strikte Hardware-Policy verfolgen und nur Mobilgeräte von Apple einsetzen. 2017 gab etwa VW den Umstieg von Blackberry aufs iPhone bekannt und versorgte seine Führungskräfte durchgängig mit den damals noch recht aktuellen Modellen iPhone SE.

Bei dieser Entscheidung spielten sicherlich auch Sicherheitsbedenken eine tragende Rolle. Lesen Sie hierzu mehr in unserem Whitepaper „Mobile Device Management“: Hier geht’s zum kostenlosen Download.

Aber sind denn iOS-Geräte wirklich sicherer als Android-Devices?

Mit einem Wort: Ja.

 

Sicherheitslücken auch bei iOS

Warum ist das so? Schließlich hat auch Apple seine Schwierigkeiten damit, sein mobiles Betriebssystem wasserdicht zu bekommen. Im Laufe der Jahre gab es immer wieder iOS-Sicherheitslücken – auch schwerwiegende – und mögliche Einfallstore.

Zuletzt geriet Apple mit einem doppelten „Lauschangriff“ in die Kritik.

Erstens konnten durch eine Fehlprogrammierung im Video-Messenger „Facetime“ die Mobilgeräte praktisch in eine Wanze umprogrammiert werden. Grundlage hierfür waren recht simple Manipulationen bei der Erstellung eines Gruppenanrufs über Facetime.

Zweitens konnte die für Hörgeschädigte gedachte iPhone-Funktion „Live Mithören“ mit Bluetooth-Kopfhörern ebenfalls quasi vom Hörgerät zum Abhörgerät umfunktioniert werden.

App-Sicherheit: Android vs. iOS

Aber: Aufgrund der „geschlossenen“ Apple-Welt und der rigiden Kontrolle neuer Apps im App Store bietet iOS grundlegend einen höheren Sicherheitsgrad. Apple handhabt den Zugang zum App Store sehr restriktiv: Anwendungen werden nur nach gründlichen Sicherheitsüberprüfungen zugelassen. Das heißt, dass ohne Ausschalten der nativen Sicherheitssperren („Jailbreak“) iPhones und iPads von Grund auf bereits ziemlich sicher sind.

Open Source macht Android angreifbarer

Im Gegensatz hierzu ist der Android-Quellcode als Open-Source-Lösung zumindest in Teilen der Öffentlichkeit zugänglich. Das macht es Hackern und anderen Cyberkriminellen prinzipiell einfacher, Sicherheitslücken zu identifizieren und Schadcode zu verteilen.

So kann sich der Play Store von Google zwar eines viel größeren Angebots an Apps rühmen. Im Android-Kosmos gelingt es aber immer wieder auch Fake-Apps, die Sicherheitsmaßnahmen des Play Stores zu überwinden und den Android-Usern zum Download zur Verfügung zu stehen. Zuletzt machte eine Reihe gefälschter Banking-Apps im Play Store von sich reden. 

android-199225_640
Echt oder gefälscht? Im Play Store warten auch schädliche Fake-Apps auf arglose Nutzer

 

Komplizierte Update-Auslieferung bei Android

Eine Schwachstelle der Android-Betriebssysteme ist ihre Auslieferungskette. Während Apple neue iOS-Patches zentral an alle iOS-Nutzer mit dem aktuellen Betreibssystem ausliefer kann, ist dies bei Android deutlich komplizierter: Google liefert das Update an den Chiphersteller, von der geht es zum Hersteller des Smartphones. Dort wiederum werden die Fixes an den Mobilfunkanbieter weitergeleitet – und dann erst an den Kunden. Reiß´t ein Glied in der Kette, bleiben notwendige Sicherheitsupdates erstmal aus.

Sicherheitslücken bei Android-Firmenhandys

Der Albtraum für alle Sicherheitsverantwortlichen: Durch ein kompromittiertes Endgerät verschaffen sich Hacker Zugang zum Firmennetzwerk und schaden dem Unternehmen durch erpresserische Ransomware, Trojaner, Viren oder andere Schadsoftware.

Auf durchschnittlich 750.000 Euro Schaden bezifferte eine vom Endpoint-Security-Softwarehersteller SentinelOne beauftragte Studie den entstandenen Schaden in Unternehmen bei Erpressungstrojanern.

Diese Gefahr steigt natürlich mit der Anzahl unsicher (oder gar nicht) konfigurierter Geräte im Unternehmensnetzwerk. Erlauben Firmen ihren Angestellten zum Beispiel die beruflicher Nutzung privater Geräte („Bring Your Own Device“), herrscht in der IT-Abteilung meist keine Klarheit darüber, welche und wie viele Clients überhaupt Zugang zum Firmennetzwerk haben.

Hier genügt es nicht, die Mitarbeiter für Aspekte der IT-Sicherheit einigermaßen zu sensibilisieren. Technische Lösungen wie ein Sicherheits-Container oder eine Mobile-Device-Management-Lösung sind hier dringend angeraten, um das Unternehmen vor Datenverlust und Datenklau zu schützen.

Unsere Tipps für sicherere Android-Firmenhandys

  • Stellen Sie Ihre Smartphone-Flotte auf iOS um. :o)
  • Sensibilisieren Sie Ihre Mitarbeiter für den Gebrauch von Smartphones im Unternehmen in Bezug auf ...
    • Passwörter
    • Social Engineering
    • Malware
    • lokal gespeicherte Inhalte
    • Unsichere Zugänge (z. B. öffentliche WLAN-Netze)
  • Sensibilisieren Sie Ihre Mitarbeiter in Bezug auf Datenschutzfragen (z. B. Verwendung von WhatsApp)
  • Sorgen Sie für eine klare Mobile Policy
  • Überdenken Sie Ihre Mobile Strategy
  • Implementieren Sie eine technische Sicherheitsbarriere: entweder eine Container-App oder ein MDM, das eine solche enthält
  • Rufen Sie uns an: 030 516958275

 

Android-Sicherheitslücken: Weblinks

 

Neuer Call-to-Action

Themen: Mobile Device Management, Bring Your Own Device, Datenschutz, Mobile Security

Phone as a Service

everphone ist die One-Stop-Lösung für Firmensmartphones und -tablets. Im Blog schreiben wir über alles rund um Enterprise Mobility.

Mobile Device Management

E-Mail-Abonnement

Beliebte Beiträge