Studie - Trend Micro

Transcription

Sind Unternehmen bereit für die
Nutzung von Mobilplattformen
aus dem Consumer-Bereich?
Inhalt
Die Fakten ......................................................................................................................................................... 3
Mobile Rollen und Profile . ............................................................................................................................ 4
BEWERTUNG MOBILER PLATTFORMEN ................................................................................................... 6
BlackBerry OS ................................................................................................................................................. 9
Apple iOS .......................................................................................................................................................... 11
Google Android .............................................................................................................................................. 13
Microsoft Windows Phone ........................................................................................................................... 15
Anhang – Sicherheits- und Verwaltungskriterien .................................................................................. 17
SIND UNTERNEHMEN BEREIT FÜR DIE NUTZUNG VON MOBILPLATTFORMEN AUS DEM CONSUMER-BEREICH? I WHITEPAPER
Seite 2
Die Fakten
Immer mehr Unternehmen ermöglichen in ihren Netzwerken die Nutzung von Mobiltechnologien
für Privatanwender. Dieser Trend, auch als Konsumerisierung der Unternehmensmobilität
bezeichnet, bringt jedoch Störfaktoren mit sich, wenn die Mitarbeiter nämlich eigene Smart
phones und Tablets geschäftlich nutzen dürfen – ein Phänomen, das sich BYOD (Bring Your Own
Device) nennt.
Consumer-Technologien sind komfortabel, leicht verständlich und unterhaltsam, entsprechen
jedoch häufig nicht den Sicherheits- und Verwaltungsansprüchen eines Unternehmens. Doch
hinsichtlich Produktivität und Unternehmensagilität bieten diese Technologien einen echten
Mehrwert. Fehlt ein strategischer Ansatz für die IT-Konsumerisierung im Unternehmen, ergeben
sich allerdings sicherheitsbezogene und finanzielle Risiken, und verwaltungstechnisch ist es ein
Albtraum. Statt sich dem Trend zu widersetzen, sollten Unternehmen auf die Konsumerisierung
setzen, um ihr Geschäftspotenzial voll auszuschöpfen. Das erfordert einen strategischen Ansatz,
flexible Richtlinien und angemessene Sicherheits- und Verwaltungstools.
Am Anfang eines strategischen Konsumerisierungsansatzes steht das klare Verständnis der
Sicherheits- und Verwaltungsfunktionen der einzelnen mobilen Plattformen. Keine mobile
Plattform ist gegen Sicherheitslücken und Verwaltungsbarrieren immun. Dennoch bieten einige
Plattformen mehr Möglichkeiten als andere, um die passenden Richtlinien zu erfüllen, die die
unterschiedlichen mobilen Rollen innerhalb des Unternehmens erfordern.
Diese unabhängige Studie liefert eine unparteiische und objektive Bewertung der vier aktuell
führenden Betriebssysteme für Mobilgeräte: BlackBerry OS, Apple iOS, Windows Phone und
Android. Zudem bietet der Bericht eine umfassende Analyse einschließlich 60 Sicherheitsund Verwaltungskriterien unterteilt in 12 Kategorien sowie einen entsprechenden Leitfaden
mit der Definition mobiler Rollen und Profile. Dieses Dokument gibt keine Vorhersage über
die Verbreitung oder Marktperspektive einzelner Plattformen ab. Derartige Aussagen sind für
IT‑Leiter eher uninteressant, da Support in der ein oder anderen Form in Zukunft wahrscheinlich
für alle Plattformen in Betracht gezogen werden muss. Die Analyse und die Bewertungen durch
Experten stellen dagegen ein wertvolles Mittel dar, um solide Richtlinien für Mobiltechnologien
zu definieren. IT-Manager können damit zuversichtlich auf die Konsumerisierung setzen und
daraus Wettbewerbsvorteile für das Unternehmen ziehen.
Seite 3
Mobile Rollen und Profile
Die rollenbasierte Methodik definiert über die Rolle des Benutzers oder Eigentümers eines Geräts das
Maß sowie die Art der Verwaltung und des Datenschutzes. Diese Methode wird zunehmend in vielen
Unternehmen verwendet, die nach neuen Wegen suchen, um das Risiko zu profilieren, das von mobilen
Geräten und ihren Benutzern ausgeht.
Tools für die Verwaltung mobiler Geräte konzentrieren sich derzeit auf das Entfernen von Daten auf
verloren gegangenen Geräten. Die Funktion, Daten bei Geräteverlust zu sperren oder zu löschen, ist
zwar wichtig, bietet jedoch noch keinen Datenschutz oder eine Regelung hinsichtlich der Erfassung,
Speicherung und Übertragung von Daten.
Rollen wie allgemeine Wissensarbeiter, Auftragnehmer, gelegentliche Anwender und – bis zu einem
gewissen Grad – auch Führungskräfte sind häufig von strengen Kontrollen ausgeschlossen. Hierzu
zählen beispielsweise eine umfassende Geräteauthentifizierung und -verschlüsselung. Es gibt jedoch
Rollen mit leitender Funktion, die sofortigen Zugriff auf höchst vertrauliche Informationen wie
Schadensersatz- oder Lohnzahlungen erfordern. Bei Speicherung derartiger Daten auf dem Mobilgerät
einer Führungskraft bedarf es unbedingt stärkerer Kontrollen. Das Risikoprofil eines Geräts erhöht
sich bei gelegentlichen Anwendern möglicherweise aufgrund der gemeinsamen Nutzung eines Geräts
durch mehrere Personen oder bei Auftragnehmern durch die Verwendung eines Privatgeräts oder
eines Geräts, das Eigentum eines anderen Unternehmens ist.
Rolle
Beschreibung
Führungskräfte in
Schlüsselpositionen
Da diese Anwender häufig im Zentrum des öffentlichen Interesses stehen, sind
sie besonders anfällig für gezielte Bedrohungen und geplante Angriffe auf
das Gerät. Besonders wertvoll für die Ausführung weiterer Spear-PhishingAngriffe und Erpressungsversuche sind möglicherweise die auf dem Gerät
gespeicherten E-Mail- und Kontaktdaten.
Manager
Manager arbeiten mit Personaldaten und in einem erheblichen Maße mit
Daten, die zum geistigen Eigentum des Unternehmens zählen. Sie sind daher
ähnlich einzustufen wie Mitarbeiter, die vorwiegend mit Daten arbeiten, die der
Richtlinieneinhaltung unterliegen.
Mitarbeiter mit
Complianceorientiertem
Arbeitsumfeld
Diese Anwender arbeiten in Betriebsbereichen wie HR und Finanzen und sind
damit regelmäßig im Besitz von Daten, die strengen Sicherheitskontrollen
unterliegen. Diese werden durch verschiedene Auflagen zur Richtlinienein
haltung durchgesetzt.
Wissensarbeiter
Wissensarbeiter wünschen sich – bedingt durch ihre Arbeit – grundlegende
PIM-Funktionen auf den von ihnen genutzten Geräten.
Außendienst
mitarbeiter
Ähnlich wie die Wissensarbeiter speichern Außendienstmitarbeiter Daten auf
Geräten, wenn sie außerhalb der Reichweite von Mobilfunknetzen sind. Für
diese Anwender sind daher möglicherweise zusätzliche Sicherheitskontrollen
erforderlich.
Auftragnehmer/
gelegentliche
Anwender
Auftragnehmer und andere vertrauenswürdige, freie Mitarbeiter haben
Zugriff auf Unternehmensdaten, unterliegen jedoch aufgrund ihres Dritt
anbieterstatus nicht denselben Kontrollen und Richtlinien. Zur Ausübung ihrer
Aufgaben benötigen sie den Zugriff auf Daten und stellen damit eine große
Verwaltungsherausforderung dar.
Tabelle 1 – Definition mobiler Rollen
Seite 4
Ein Anwender kann auch zu mehreren Gruppen zählen. So üben viele Führungskräfte in
Schlüsselpositionen gleichzeitig die Rolle eines Managers aus, und viele Manager oder auch
die Wissensarbeiter fallen aufgrund ihrer Branche möglicherweise unter die Kategorie
„Mitarbeiter mit Compliance-orientiertem Arbeitsumfeld“. Das Sicherheitsprofil für ein Gerät
eines Mitarbeiters, der zu mehreren Gruppen zählt, sollte standardmäßig auf die höchste
Kontrollebene eingestellt werden.
Ge
rä
te
ve
rs
M
ch
ul
lü
tiss
Fa
el
kt
un
or
Zu
g
-A
gr
ut
iff
he
au
nt
fl
Da
ifi
ok
zi
te
a
er
nfi
le
un
n
lte
g
S
r(
pe
Ko
Da
ic
m
he
ta
pl
ex
r
Lo
e
ss
Zu
Ke
Pr
gr
nn
ev
iff
w
en
ör
au
t
tio
er
fD
Ve
n,
at
rw
DL
ei
en
an
P)
du
h
ng
än
Ve
ge
rb
ni
ch
in
du
tz
ng
el
lu
sv
la
er
re
sc
rF
hl
un
üs
kn
se
lu
et
ng
ze
Die unten stehende Tabelle soll die Erstellung von Richtlinien fördern, nicht ersetzen. Detaillierte
Profile der verschiedenen Benutzergruppen innerhalb jedes Unternehmens ähneln wahrscheinlich
vielen der hier aufgeführten Gruppen. Dennoch wird es individuelle Unterschiede geben, die
genauere und eindeutigere Richtlinienentscheidungen erfordern. Der Grad an Genauigkeit bei
Entscheidungen zu Geräterichtlinien sollte auch durch etwaige relevante Compliance-Standards
motiviert sein, die in ihren Anforderungen wahrscheinlich weit präskriptiver sind (einschließlich
entsprechender Strafen bei mangelnder Einhaltung der formulierten Spezifikation).
Rolle
Führungskräfte in
Schlüsselpositionen
■
■
○
●
■
■
■
■
Manager
■
●
■
■
●
■
○
■
Mitarbeiter mit
Complianceorientiertem
Arbeitsumfeld
■
■
○
■
■
○
○
■
Wissensarbeiter
●
○
○
○
○
○
○
■
Außendienst
mitarbeiter
■
○
■
●
○
■
■
■
Auftragnehmer/
gelegentliche
Anwender
●
■
○
●
■
○
○
●
Richtlinien
abdeckung
Erforderlich
Vorteilhaft
Nicht erforderlich
■
●
○
Tabelle 2 – Mobile Rollen und Profile
Seite 5
BEWERTUNG MOBILER PLATTFORMEN
Die Analyse der Experten für mobile Sicherheit zeigt, dass sich heutige Mobilplattformen
hinsichtlich Sicherheits- und Verwaltungsfunktionalität stark voneinander unterscheiden.
Im Großen und Ganzen bieten aktuelle Mobilplattformen grundsätzlich mehr Sicherheit als
herkömmliche Desktop-Betriebssysteme, betrachtet man integrierte Sicherheitsmechanismen,
Authentifizierung und Datenschutz. Dennoch sind sie anfällig für bestimmte Angriffe, die DesktopPCs nicht betreffen. Anwendungssicherheit, Geräteverwaltung und unternehmensweiter E-MailSupport sind ausreichend, bieten jedoch noch Raum für Verbesserungen. IT-Manager sollten
daher hohen Wert auf folgende Punkte legen: Sicherheitszertifizierungen, Geräte-Firewall und
Unterstützung von Virtualisierungsinitiativen, an denen es noch größtenteils mangelt.
14,00
12,00
10,00
Android
8,00
Windows Phone
Apple iOS
6,00
BlackBerry OS
4,00
2,00
he
Au
t
In
te
g
rie
rt
e
Si
ch
e
nt rhe
ifi
it
zi
e
ru
Da
ng
te
n
An
s
ch
Ge
w
ut
rä
Lö en
z
t
d
e
s
un
sc
Un
ch
h
g
te
u
s
Ve en
rn
vo sich tz
rw
eh
n
e
a
m
en ltun Ger rhe
it
ä
sw
g
te
m
ei
d
o
t
at
bi
e
Ac e Ele
rG n
M
tiv
a
e
il
eS
yn -Ve räte
rw
cUn
a
te ltun
Si
rs
ch
tü g
Ge
er
tz
he
r
its äte ung
-F
ze
ire
rt
ifi
wa
zi
ll
e
r
Vi
un
rt
ge
ua
n
lis
ie
ru
ng
0,00
Abbildung 1 – Bewertung nach Kategorie
Seite 6
BLACKBERRY OS: Bei der Betrachtung einzelner Plattformen zeigt die Expertenanalyse deutlich,
dass einige Betriebssysteme ausgereifter sind als andere. BlackBerry OS wird insgesamt sehr
hoch bewertet und setzt sich damit klar von der Gruppe der drei aktuell aufstrebenden Mobil
plattformen für Privatanwender ab. Sicherheit und Verwaltbarkeit auf Unternehmensebene
machen diese Plattform zur besten Wahl für die Rollen mobiler Anwender mit den strengsten
Sicherheitsauflagen.
APPLE iOS: In seiner fünften Version ist Apple iOS aktuell der stärkste Herausforderer. Der
proprietäre Ansatz von Apple ist unternehmensfreundlicher geworden: Die strenge Kontrolle
durch Apple über das gesamte Ökosystem – von der Hardware über das Betriebssystem bis hin
zu den Anwendungen – macht diese Plattform im Bereich Mobiltechnologie für Privatanwender
sicherer und besser verwaltbar. Im Gegensatz zum vollständig integrierten Ansatz von RIM
werden die Backend-Komponenten für den Schutz und die Verwaltung von Mobilgeräten von
Apple jedoch nicht direkt durch Apple, sondern durch eine Vielzahl anderer Anbieter aus dem
Bereich Mobile Device Management geliefert. Bei ergänzender Drittanbieter-Infrastruktur sind
die Sicherheit und Verwaltbarkeit von Apple iOS bereits für mobile Rollen ausreichend, die eine
Geräteverschlüsselung und Richtlinienkontrolle erfordern.
ANDROID: Trotz der beeindruckenden Markterfolge zeigt Android segmentweit die schlechtesten
Bewertungen im Bereich Sicherheit und Verwaltbarkeit. Das Google Android Betriebssystem liegt
derzeit in der vierten veröffentlichten Version vor und wurde vor Kurzem durch einige wichtige
Sicherheitserweiterungen wie die Unterstützung von Geräteverschlüsselung verbessert.
Dennoch fällt das Betriebssystem durch einen deutlichen Mangel an guten Mobile Device
Management APIs auf und bietet keine zuverlässige Kontrolle über das gesamte Ökosystem
hinsichtlich Betriebssystemversionierung und Anwendungen. Das System ist stark durch Malware
und Datenverlust gefährdet, und die Plattformfragmentierung aus dem umfassenden OEMÖkosystem hat sich für die Verwendung in Unternehmen als schwierig erwiesen. Zweifelsohne
sollten IT-Manager Android in ihre Gruppe flexibler Richtlinien aufnehmen. Die Verwendung
von Android sollte jedoch auf die Rollen mobiler Anwender mit den geringsten Sicherheits
anforderungen beschränkt werden.
WINDOWS PHONE: Obwohl Microsoft Windows Phone zuletzt in dieses Marktsegment eingeführt
wurde, zeigt es insgesamt eine recht gute Leistung – vor allem angesichts der Tatsache, dass
die Version 7.5 erst seit weniger als 18 Monaten auf dem Markt ist. Das System ist zu neu, um
eine angemessene Erfolgsquote bezüglich der Verwendung in Unternehmen aufzuweisen.
Unternehmensrichtlinien sollten dies berücksichtigen, sofern sie in Erwägung ziehen, Windows
Phone Geräte nicht ausschließlich für mobile Anwender der Kategorie Wissensarbeiter zu
verwenden.
Seite 7
40,00
35,00
30,00
Virtualisierung
Geräte-Firewall
Sicherheitszertifizierungen
25,00
ActiveSync-Unterstützung
Unternehmensweite E-MailVerwaltung
20,00
Verwaltung mobiler Geräte
Löschen von Gerätedaten
Anwendungssicherheit
15,00
Geräteschutz
Datenschutz
10,00
Authentifizierung
Integrierte Sicherheit
5,00
0,00
BlackBerry
OS
Apple
iOS
Windows
Phone
Android
Abbildung 2 – Bewertung nach Mobilplattform
Seite 8
BlackBerry OS
Das neue BlackBerry OS 7.0 des kanadischen Smartphone-Herstellers Research in Motion wartet
mit einem überarbeiteten Design und einigen neuen Funktionen wie Touchscreens und Near Field
Communication (NFC) auf. Alle diese Erweiterungen sollen die Produkte des Telefonherstellers
für Anwender wieder attraktiver gestalten, die zunehmend ihre eigenen Geräte verwenden
oder sogar anschaffen. BlackBerry Geräte und ihre Backend-Verwaltung über den BlackBerry
Enterprise Server (BES) werden von vielen als führend im Bereich Gerätesicherheit angesehen.
Die zahlreichen Empfehlungen und Befürwortungen der letzten Version des Betriebssystems
bekräftigten diesen guten Ruf. Viele der neuen Funktionen des BlackBerry Smartphones und des
dazugehörigen Betriebssystems sind darauf ausgerichtet, die Attraktivität für den Verbraucher
zu steigern. Dies zeigt sich in einem starken Kundenzuwachs – nicht nur in Nordamerika. Im Laufe
dieses Jahres wird die Veröffentlichung eines neuen Betriebssystem erwartet. Es ist jedoch noch
ungewiss, ob die Funktionen des neuen Betriebssystems BlackBerry 10 eher verbraucher- oder
unternehmensorientiert sein werden.
Zahlreiche Funktionen von BlackBerry 7 sind Updates aus vorherigen Versionen des Betriebs
systems. RIM stützt sich damit auf eine solide Sicherheitsgrundlage. Aufgrund der Änderung der
Betriebssystemversionierung ist jedoch eine Neuvorlage und das Testen von Funktionen wie der
Federal Information Protection Standards (FIPS) 140-2-Klassifizierung erforderlich. Diese wurde
erst nach der Analyse abgeschlossen.
Die Stärken von BlackBerry liegen in der zielgenauen Kontrolle durch IT-Richtlinien, die auf dem
BES selbst vorliegen. Geräte, die mit dem BES eines Unternehmens verbunden sind, werden
in Hinblick auf sämtliche Sicherheitsmerkmale insgesamt recht gut bewertet. Es sollte jedoch
darauf hingewiesen werden, dass viele Funktionen und Schutzmaßnahmen, die gewöhnlich über
den BES aktiviert oder durchsetzbar sind, nicht auf Geräten verfügbar sind, die über BlackBerry
Internet Services (BIS) bereitgestellt werden. Mit BIS können Anwender E-Mails, Kontakte und
Kalenderdaten mit ActiveSync-fähigen Servern oder privaten, POP- und IMAP-Mailservern
synchronisieren. Einige der leistungsstärksten Funktionen, die hoch riskante Aktivitäten von
Anwendern verhindern, werden möglicherweise deaktiviert, wenn das Gerät des Anwenders
nicht über den BES bereitgestellt wird. Zu diesen riskanten Aktivitäten zählen zum Beispiel das
Entfernen des Kennwortschutzes auf dem Gerät, die Nichtbeachtung der Geräteverschlüsselung
und die Standardkomplexität von Kennwörtern. Aus diesem Grund wurden bei der Bewertung
des BlackBerry Betriebssystems viele Kategorien im mittleren Bereich bewertet, da deren
tatsächliche Verwendung und Durchsetzung von einer komplexen Backend-Infrastruktur
abhängt, über die möglicherweise nicht alle Unternehmen verfügen beziehungsweise verfügen
möchten.
Research in Motion befindet sich an einem Wendepunkt – sowohl als Unternehmen als auch
aus Sicht des Produktangebots. Die neue Geschäftsführung hat versichert, dass neue Geräte,
die auf der in Kürze erscheinenden BlackBerry 10 Plattform basieren – also einem vollständig
neuartigen Entwurf der Gerätesoftware – erwartungsgemäß im zweiten Halbjahr 2012 auf den
Markt kommen. Darüber hinaus wird eine zukünftige neue Konnektivität der Geräte erwartet. Es
ist zudem noch nicht genau bekannt, wie BlackBerry Geräte in der nächsten Version von Serverund Gerätesoftware verwaltet werden. BlackBerry 7 OS ist wahrscheinlich die letzte Version des
„alten“ Gerätebetriebssystems, die das Unternehmen aus Waterloo veröffentlicht. Für GeräteManager von Unternehmen stellt es eine bekannte Größe dar – wenn auch voraussichtlich nicht
besonders lange, denn die neuen BlackBerry 10-basierten Geräte kommen bereits im Laufe
dieses Jahres auf den Markt.
Seite 9
en
sc
h
vo
n
rä
te
-
Ge
rä
Ge
Fi
re
wa
ll
t
e
Au
da
th
te
en
n
tifi
zi
er
Ve
un
rw
D
g
at
al
tu
en
ng
sc
Un
hu
m
te
o
tz
bi
rn
le
eh
r
m
Ge
en
rä
sw
Ge
te
ei
r
ät
te
es
Ech
M
ai
ut
l-V
z
In
e
rw
te
gr
al
Si
tu
ie
ch
rt
ng
e
er
Si
he
c
its
he
ze
rh
rt
ei
ifi
t
An
zi
w
e
en
ru
ng
du
en
ng
ss
ic
he
rh
Ac
Vi
ei
rt
tiv
t
u
eS
al
is
yn
i
er
cun
Un
g
te
rs
tü
tz
un
g
Lö
5,00
4,00
3,00
2,00
1,00
0,00
Abbildung 3 – Bewertungen für BlackBerry OS
Seite 10
Apple iOS
Der herausragende Erfolg von Apple mit der iOS Plattform, sowohl für das iPhone als auch das
iPad, wird meistens irrtümlicherweise auf den First-Mover-Vorteil oder den erfolgreichen App
Store mit seinen über 500.000 katalogisierten Anwendungen zurückgeführt. Dies ist jedoch
nicht der wahre Grund für den großen Erfolg der iOS Plattform von Apple. Der Erfolg erklärt sich
vielmehr durch die konsequente Konzentration auf eine einzige Sache: das Anwendererlebnis.
Mit diesem Wort werden in erster Linie physische Merkmale der Hardware (die nicht zu unter
schätzen sind) oder die mühelose Bedienung der Betriebssystemoberfläche verbunden. Die zwei
Punkte sind sicherlich wichtig. Der Begriff Anwendererlebnis geht bei Apple jedoch weit über
diese offensichtlichen Eigenschaften hinaus.
Apple bezieht hier außerdem die Qualität der Anwendungen mit ein, die Anwendern über den
App Store bereitgestellt werden. Ob nun richtig oder falsch, Apple verfügt über strenge Richt
linien für den Genehmigungsprozess der Anwendungen, die von Dritten entwickelt werden.
Hierzu zählen nicht nur Richtlinien zur Benutzeroberfläche, sondern auch zu APM (Application
Performance Management) und damit zur Sicherheit. Die iOS Anwendungsarchitektur bietet
Anwendern nativen Schutz durch Isolieren von Anwendungen mittels Sandbox-Simulation in
einer gewöhnlichen Speicherumgebung. Der Nachteil dieser Architektur besteht darin, dass
die Gesamtleistung jeweils von der schwächsten Anwendung abhängig ist. Die Sicherheit in iOS
umfasst auch physische Merkmale des iPhone und iPad. Es gibt keine Optionen zum Hinzufügen
von Wechselspeichermedien. Dies bietet Anwendern eine weitere Schutzschicht.
Sicherheit innerhalb des iOS Konstrukts erstreckt sich auf weitere Ebenen, insbesondere dort,
wo ohne Zustimmung des Anwenders keine Anwendung installiert oder aktualisiert werden kann.
Selbst wenn ein Unternehmen eine Lösung zur App-Verwaltung verwendet, um einem Mitarbeiter
Anwendungen bereitzustellen, muss dieser zunächst der App-Installation auf seinem Gerät
zustimmen. Warum? Die Antwort ist einfach: iOS ist ein anwenderzentriertes Betriebssystem für
Mobilgeräte.
An der iOS Plattform wurde von jeher bemängelt, dass sie im Vergleich zum BlackBerry Betriebs
system kein entsprechendes Maß an Sicherheit bot. Das war ein berechtigter Vorwurf, denn die
Erstversion von iOS verfügte über keine einzige IT-Verwaltungsrichtlinie, BlackBerry dagegen
über mehr als 500 (zum damaligen Zeitpunkt). Heute bietet iOS über unabhängige Software
anbieter Mobilitätsmanagement für eine Reihe nativer APIs mit äußerst kompetenten Geräte
verwaltungsfunktionen (allerdings nicht annähernd so viele wie die mehr als 700 von BlackBerry).
Auch hier besteht jedoch ein wesentlicher Unterschied. Bei der BlackBerry Plattform hat der
IT-Administrator die vollständige Kontrolle über das Gerät. In einer iOS Umgebung dagegen
kann die IT-Abteilung lediglich bestimmte Einstellungen konfigurieren – allerdings nur, wenn der
Anwender dem IT-Administrator die entsprechende Berechtigung erteilt hat.
Apple hat die Auffassung von mobiler Sicherheit weltweit revolutioniert: Der Ansatz, bei dem
alle Richtlinien ausschließlich von der IT-Abteilung bestimmt wurden (ungeachtet der Wirkung
auf den einzelnen Anwender), wurde durch ein Modell ersetzt, bei dem die IT-Abteilung einen
Ausgleich schaffen muss zwischen den Anforderungen des Arbeitsplatzes und denen der
Mitarbeiter.
Seite 11
In
te
Un
gr
te
ie
rn
rt
e
eh
Si
m
ch
en
er
Ve
sw
he
rw
ei
it
te
al
tu
Ve Eng
rw Ma
al ilm
tu
ob
An
ng
ile
w
r
en
Ge
du
rä
ng
te
ss
ic
he
Au
rh
Ac
th
ei
en
tiv
t
t
eS
ifi
yn
zi
er
cun
Un
g
te
rs
tü
tz
un
Lö
Da
g
sc
he
te
ns
n
vo
ch
n
ut
Ge
z
rä
te
da
Si
Vi
te
ch
r
n
tu
er
al
he
i
si
its
er
ze
un
rt
g
ifi
zi
er
un
ge
Ge
n
rä
te
sc
hu
Ge
tz
rä
te
-F
ire
wa
ll
5,00
4,00
3,00
2,00
1,00
0,00
Abbildung 4 – Bewertungen für Apple iOS
Seite 12
Google Android
Bei der Entwicklung von Android hatten Sicherheitsaspekte von Anfang an höchste Priorität.
Das Betriebssystem nutzt Privilegientrennung und Anwendungen können ohne vorherige
Genehmigung nicht auf das Netzwerk zugreifen. Apps werden mittels Sandboxing-Technologie
in ihrer individuellen isolierten Umgebung ausgeführt, Berechtigungen werden durch den
Anwender für jede App einzeln erteilt. Leider lesen eilige Anwender die Berechtigungsdialoge
nicht immer sorgfältig, da sie die App möglichst schnell ausführen möchten. Für den Durch
schnittsanwender gilt daher, dass Berechtigungen für eine App eher willkürlich ohne genaue
Kenntnisse der jeweiligen Funktionen erteilt werden. Nach der Installation einer Anwendung
erfolgt keine erneute Überprüfung durch den Anwender. Das Betriebssystem verwendet
die Berechtigungen ohne den Anwender erneut zu einer Bestätigung aufzufordern. Dieses
Modell ist zwar theoretisch sicherer als die allgemeine Sandbox-Simulation des Apple iOS,
hat jedoch zur Folge, dass nicht das Betriebssystem, sondern der einzelne Anwender für die
eigene Sicherheit verantwortlich ist. Die letzte Version von Android 4.x beinhaltet vollständige
Geräteverschlüsselung für den Datenschutz und Address Space Layout Randomization (ASLR)
zum Schutz vor Pufferüberlauf. Durch die Fragmentierung des Mobiltelefonmarkts ist jedoch
Android 2.x noch immer die am häufigsten installierte Version, die auf den meisten neuen Mobil
telefonen bereitgestellt wird. Ein Nebeneffekt dieser Marktfragmentierung ist, dass es keine
zentrale Möglichkeit zur Bereitstellung von Betriebssystem-Updates gibt. Sicherheitspatches
werden an Kunden durch einzelne Betreiber oder Hersteller von Mobiltelefonen geliefert.
Dies bedeutet unakzeptable Ablaufverzögerungen. Viele Anwender bleiben über längere Zeit
ungeschützt vor schwerwiegenden Schwachstellen.
Android ist zurzeit die bevorzugte Plattform für Cyberkriminelle. Mit raffinierten Social
Engineering-Taktiken überreden sie ihre Opfer, eine „nützliche“ Anwendung zu installieren. Der
Anwender erteilt bereitwillig die entsprechende Berechtigung. Und Bingo! Der Angriff auf das
Gerät verlief erfolgreich. Premium SMS-Trojaner erinnern auf kostspielige Weise an die Existenz
bösartiger Apps. Noch schlimmer ist jedoch die Funktion zum Herausfiltern von Daten, die
in letzter Zeit zu einigen digitalen Albträumen führte – Malware kann SMS kopieren, Anrufe
abfangen, das Mikrofon remote aktivieren oder andere unheimliche Dinge tun.
Angreifer verwenden Android App Stores als Verteilungsmechanismus. Sie bieten ihre
Apps über Online-Marketing-Aktivitäten, einschließlich Spam-Sendungen, an. Dies wird
durch eine fehlende Vorabüberprüfung von Apps ermöglicht, die nach der Lieferung an App
Stores und vor der Bereitstellung zum Download erfolgen sollte. Das Problem wird durch die
Drittanbieter-App-Store-Funktion des Android App-Modells noch verstärkt. Dieses offene
Ökosystem wird von Cyberkriminellen so lange missbraucht werden, bis App Store-Anbieter
selbst eine strenge Reputationsüberprüfung einrichten. Die Empfehlung für Anwender, Apps
nur aus vertrauenswürdigen Quellen herunterzuladen, mindert das Risiko, birgt jedoch auch
gewisse Nachteile. Anwender halten den offiziellen Android Market, jetzt Google Play, für eine
vertrauenswürdige Quelle. Es gibt jedoch zahlreiche Beispiele, die belegen, dass bösartiger Code
regelmäßig über diesen offiziellen Kanal verbreitet wird. Wirksame Social Engineering-Taktiken
erschweren die Beurteilung, ob es sich um einen vertrauenswürdigen oder einen böswilligen
Herausgeber handelt. Die Verantwortung liegt beim App Store-Betreiber und es bleibt zu hoffen,
dass hier zukünftig strengere Kontrollen eingeführt werden. Google hat diese Notwendigkeit
erkannt und am 2. Februar 2012 Google Bouncer eingeführt, um bösartige Apps abzuweisen.
Dennoch gibt es im Store immer noch schädliche Apps. Andere Marktplätze bieten noch keine
„digitale Hygiene“. Aus diesem Grund gibt es möglicherweise ähnliche Malware-Probleme wie
auf Windows-Plattformen – vielleicht keine herkömmlichen selbst replizierenden Würmer, aber
sicherlich Trojaner. Wenn Android App-Store-Anbieter nicht schnell handeln, könnten wir bis
Ende dieses Jahres mit über 120.000 bösartigen Android Apps rechnen.
Seite 13
Die Kontrollen im Android Ökosystem sollten daher etwas verstärkt werden, damit dieses
großartige flexible Betriebssystem sicher bleibt und nicht zum nächsten „Microsoft Windows“
wird – ein Betriebssystem, das ohne Malware-Schutz langfristig nicht tragbar ist.
5,00
4,00
3,00
2,00
1,00
sc
hu
m
ob
tz
ile
rG
Au
er
th
ät
en
e
tifi
zi
er
un
Ge
g
rä
te
sc
hu
Ac
Vi
tz
rt
tiv
ua
eS
l
is
yn
ie
cru
Un
ng
An
te
rs
w
tü
en
tz
Si
du
un
ch
ng
g
er
ss
he
ic
its
he
ze
rh
Lö
r
ei
tifi
sc
t
zi
he
er
Un
n
un
vo
te
ge
n
rn
G
n
eh
er
m
ät
en
ed
sw
at
en
ei
te
Ve Er M
Ge wal ailtu
rä
ng
te
-F
ire
wa
ll
tu
n
g
Da
te
n
wa
l
Ve
r
In
te
gr
ie
rt
e
Si
ch
er
he
it
0,00
Abbildung 5 – Bewertungen für Google Android
Seite 14
Microsoft Windows Phone
Microsoft scheint in vielerlei Hinsicht aus vergangenen Fehlern gelernt zu haben und hat mit
Windows Phone ein leicht verständliches, stabiles und sicheres Betriebssystem für Smartphones
entwickelt.
Das Betriebssystem verwendet ein ähnliches Sicherheitsmodell wie die Android Plattform mit
einem Minimum an Privilegien und Isolierungstechniken zur Isolation von Prozessen – oder
in der Windows Phone Terminologie: für die Bereitstellung von Kammern (Chambers), die als
individuelle Prozessräume agieren. Die Kammern werden basierend auf einem Richtliniensystem
erstellt und implementiert. Dieses System wiederum definiert, auf welche Systemfunktionen die
in einer Kammer ausgeführten Prozesse zugreifen können.
Funktionen, die zum Beispiel den Standort eines Anwenders ermitteln oder eine Quelle für private
Daten liefern, werden in Windows Phone „Fähigkeiten“ (Capabilities) genannt. Das Least Privilege
Chamber verfügt über eine minimale Zusammenstellung an Zugriffsrechten, die standardmäßig
erteilt werden. Diese Rechte sind jedoch dynamisch und können durch die Verwendung von
Fähigkeiten während der Anwendungsinstallation erweitert werden. Diese Fähigkeiten werden
bei der Installation einer Anwendung erteilt und können während der Laufzeit nicht erweitert
werden. Jede potenzielle Angriffsfläche wird damit reduziert und es wird sichergestellt, dass
eine Anwendung dem Anwender gegenüber alle Fähigkeiten offenlegt. Die Fähigkeiten einer
Anwendung werden im Windows Phone Marketplace auf der Seite mit den Anwendungsdetails
veröffentlicht. Der Anwender wird während des Kaufvorgangs der Anwendung zur Bestätigung
aufgefordert sowie vor der ersten Verwendung der Standortlokalisierung von Anwendung und
Gerät.
Windows Phone unterstützt keine Wechselspeichermedien und der SD-Steckplatz des Geräts ist
nur für die OEM-Verwendung vorgesehen. Wenn ein Hardwarehersteller Wechselmedien bietet,
sperrt das Telefon diese mit einem integrierten 128-Bit-Schlüssel. Dieser Schlüssel wiederum
verbindet das Telefon mit dem Wechseldatenträger und verhindert damit, dass er in einem
anderen Gerät oder PC verwendet wird.
Die über den Microsoft Marketplace Hub angebotenen Anwendungen werden von Entwicklern
geliefert, die sich für das Anwendungsentwicklungsprogramm registriert haben. Windows
Phone und die Xbox-Spielesysteme sind die einzigen Plattformen von Microsoft, die eine
Vorabgenehmigung von Anwendungen erfordern, bevor diese von Anwendern ausgeführt
werden können. Dennoch versuchen Entwickler, inoffizielle Apps für die Plattform zu erstellen.
Diese Versuche wurden nachträglich durch Microsoft gestoppt, indem die Entwickler von
ChevronWP7 überzeugt wurden, ihr Tool aus dem Verkehr zu ziehen. Entwickler erhalten als
Teil des Registrierungsvorgangs ein Zertifikat, indem alle Anwendungen durch VeriSign signiert
werden. Nicht signierte Anwendungen sind auf einem Windows Phone nicht ausführbar. Der
Registrierungsprozess beinhaltet eine Identitätsprüfung für jeden Entwickler, der sich für das
Programm registriert. Beim Upload von Anwendungen in den Marketplace Hub werden Inhalts-,
Funktions- und Compliance-Prüfungen anhand von Marketplace-Richtlinien durchgeführt.
Anwendungen können in Fällen ernster Sicherheitsrisiken zurückgerufen werden. In weniger
schwerwiegenden Fällen werden möglicherweise Updates an Anwender gesendet. Anwendungen
werden unter Verwendung von verwaltetem Code entwickelt. In Kombination mit der Isolierung
von Anwendungen und einem Least-Privilege-Modell unterstützt dies das Sicherheitsmodell von
Windows Phone. Das Anwendungsicherheitsmodell verhindert, dass der Windows Phone Internet
Explorer Anwendungen installiert und dieses Modell umgeht.
Seite 15
Keinem der führenden Anti-Malware-Anbieter wurden bedeutende Malware-Angriffe auf
Windows Phone gemeldet.
Die kommenden Monate sind für Microsoft und das Windows Phone entscheidend. Das Produkt
wurde bisher von iPhone und Android Geräten in den Schatten gestellt. Bei den aktuellen
Problemen, mit denen RIM konfrontiert ist, hat Microsoft jedoch Gelegenheit, verstimmte
Anwender für sich zu gewinnen – insbesondere innerhalb der bestehenden Microsoft Shops.
Absatzfördernd sind neben der Kundenbegeisterung vor allem die Apps. Es ist schwierig, eine
ausreichend hohe Nachfrage auf dem Markt zu erzeugen, wenn Entwickler keine Apps für die
Plattform erstellen. Und dies führt zu einem Teufelskreis, der nur schwer zu durchbrechen
ist. Es bleibt die Hoffnung, dass Microsoft Glück mit seinem Entwicklerprogramm hat und ein
erfolgreiches Ökosystem aufbaut. Erst die Zeit wird zeigen, ob sich diese Hoffnung letztlich
bewahrheitet.
5,00
4,00
3,00
2,00
1,00
zi
er
un
Un
g
te
rs
tü
tz
un
Da
g
te
ns
ch
Lö
ut
Ge
sc
z
rä
he
te
n
sc
vo
hu
n
tz
Ge
An
rä
w
te
en
da
du
Ve
te
ng
rw
n
ss
al
tu
ic
h
ng
er
m
he
ob
it
ile
rG
er
Vi
ät
rt
e
ua
lis
Un
ie
te
ru
Ge
rn
ng
r
eh
ät
e
m
-F
en
ire
Si
sw
wa
ch
e
ll
i
er
te
he
Ve Eits
rw Ma
ze
al ilrt
tu
ifi
ng
zi
er
un
ge
n
Ac
t
iv
eS
yn
c-
nt
ifi
he
Au
t
In
te
g
rie
rt
e
Si
ch
er
he
it
0,00
Abbildung 6 – Bewertungen für Microsoft Windows Phone
Seite 16
Anhang – Sicherheits- und Verwaltungskriterien
Hinweis: Als Vergleich wird NB Android 2.3 verwendet, da es sich hierbei um die meist installierte/bereitgestellte
Version handelt.
ID
1,00
ATTRIBUT
Integrierte Sicherheit
BB 7.0
iOS 5
WP 7.5
Android 2.3
3,13
3,75
3,50
2,50
1,10
Codesignierung
5,00
5,00
5,00
5,00
1,20
Schlüsselbund (Keychain)
2,50
5,00
0,00
0,00
1,30
Schutz vor Pufferüberlauf
2,50
2,50
4,50
2,50
1,40
2,00
Schutz vor Stapelpufferüberlauf
Anwendungssicherheit
2,50
2,50
4,50
2,50
2,44
2,06
1,88
1,44
2,10
Zentrale Anwendungssignierung
4,50
2,50
0,00
1,00
2,11
Anwendungssignierung durch Entwickler
4,50
2,50
4,50
1,50
2,20
Zentrales Testen von Anwendungen
3,50
2,50
4,00
1,00
2,30
Anwenderorientiertes Modell
(Anwenderzustimmung)
4,50
5,00
2,50
4,00
2,40
Integrierter Malware-Schutz
2,50
4,00
4,00
2,00
2,41
Unterstützung von Anti-Malware über offene APIs
0,00
0,00
0,00
2,00
2,50
Integrierte Web Reputation
0,00
0,00
0,00
0,00
2,51
Web Reputation über APIs
0,00
0,00
0,00
0,00
3,90
2,00
3,20
2,00
3,00
Authentifizierung
3,10
Authentifizierung bei Einschalten
2,50
2,50
4,50
2,50
3,20
Zeitlimit für Inaktivität
5,00
2,50
4,50
2,50
3,30
SIM-Änderung
2,50
0,00
0,00
0,00
3,40
Anforderungen an Kennwortstärke
5,00
2,50
4,50
2,50
3,50
Schutz bei zu häufigen Anmeldeversuchen
4,50
2,50
2,50
2,50
4,00
1,25
2,25
0,63
4,00
Löschen von Gerätedaten
4,10
Lokale Datenlöschung – nach zu vielen erfolglosen
Anmeldeversuchen
4,50
2,50
4,50
0,00
4,20
Datenlöschung per Fernzugriff über IP
3,50
2,50
4,50
2,50
4,21
Datenlöschung per Fernzugriff über IP
3,50
0,00
0,00
0,00
4,30
Selektive Datenlöschung
4,50
0,00
0,00
0,00
4,50
0,00
0,00
0,00
5,00
Geräte-Firewall
5,10
Über Internet Protocol (IP)
4,00
0,00
0,00
0,00
5,20
Über Short Message Service (SMS)
5,00
0,00
0,00
0,00
3,80
1,50
2,40
2,00
6,00
Datenschutz
6,10
Daten im Speicher – Verschlüsselung
5,00
2,50
4,50
0,00
6,20
Daten bei der Verarbeitung – Dateitrennung
0,00
2,50
2,50
2,50
6,30
Daten bei der Übertragung – VPN, 802.1X
5,00
2,50
5,00
5,00
6,40
Datensicherheit bei Remote Backup Services –
iCloud
4,00
0,00
0,00
2,50
6,50
Wechselmedien – SD/USB SIM
5,00
0,00
0,00
0,00
3,50
0,63
2,38
2,00
7,00
Geräteschutz
7,10
Jailbreaking/Rooting
1,50
0,00
3,00
0,00
7,20
Patching – Betriebssystem/Apps
3,00
0,00
4,50
3,00
7,30
Over-the-Air-Updates (OTA) des Betriebssystems
5,00
2,50
2,00
5,00
7,40
Zugriff auf nicht vertrauenswürdige Zertifikate
sperren – SSL
4,50
0,00
0,00
0,00
Seite 17
Anhang – Sicherheits- und Verwaltungskriterien (Fortsetzung)
Hinweis: Als Vergleich wird NB Android 2.3 verwendet, da es sich hierbei um die am häufigsten installierte/bereitgestellte
Version handelt.
ID
8,00
ATTRIBUT
BB 7.0
iOS 5
WP 7.5
Android 2.3
Unternehmensweite E-Mail-Verwaltung
3,42
3,00
0,00
0,00
8,10
Löschen von Konten per Fernzugriff
2,50
3,00
0,00
0,00
8,20
Schutz vor Weiterleitung von E-Mails
4,50
3,00
0,00
0,00
8,30
Schutz vor E-Mail-Verschiebung innerhalb des
Posteingangs
0,00
3,00
0,00
0,00
8,40
Verwendungsausschluss von Anwendungen
4,50
3,00
0,00
0,00
8,50
Ausschluss von Ausschneiden und Einfügen
4,50
3,00
0,00
0,00
8,60
E-Mail-Authentifizierung und -Verschlüsselung
mit S/MIME
4,50
3,00
0,00
0,00
0,00
2,00
2,50
1,50
9,00
ActiveSync-Unterstützung
9,10
Anzahl der unterstützten Richtlinien – aktuelle
ActiveSync-Version
0,00
2,00
2,50
1,50
9,20
Anzahl der unterstützten Richtlinien – veraltete
ActiveSync-Version
0,00
2,00
2,50
1,50
3,50
2,50
1,25
2,00
10,00
Verwaltung mobiler Geräte
10,10
API-Umfang
2,00
2,50
0,00
1,50
10,20
Vom Anbieter bereitgestellter Server
5,00
2,50
2,50
2,50
0,00
0,83
0,00
1,67
11,00
Virtualisierung
11,10
Virtuelles natives Betriebssystem
0,00
2,50
0,00
0,00
11,20
Virtuelle native Apps
0,00
0,00
0,00
5,00
11,30
Geteiltes Anwenderprofil (Split User)
0,00
0,00
0,00
0,00
2,50
0,83
0,00
0,67
12,00
Sicherheitszertifizierungen
12,10
Federal Information Processing Standard (FIPS)
140-2
2,50
2,50
0,00
2,00
12,20
Evaluation Assurance Level (EAL) 4
5,00
0,00
0,00
0,00
12,30
FDA-Zustimmung
0,00
0,00
0,00
0,00
2,89
1,70
1,61
1,37
Durchschnittswert des Betriebssystems
Mitwirkende:
Rik Ferguson – Director of Security Research and Communications, EMEA, Trend Micro
Cesare Garlati – Vice President, Mobile Security, Trend Micro
Raimund Genes – Chief Technology Officer, Trend Micro
Chris Silva – Branchenspezialist, Altimeter Group
Nigel Stanley – Leiter des Bereichs Sicherheitsverfahren, Bloor Research
© 2012 Trend Micro, Incorporated. Alle Rechte vorbehalten. Trend
Micro, das Trend Micro T-Ball-Logo und OfficeScan sind Marken oder
eingetragene Marken von Trend Micro Incorporated. Alle anderen
Firmen- oder Produktnamen sind Marken oder eingetragene Marken
ihrer jeweiligen Eigentümer. [WP01_Enterprise_Readiness_of_
Consumer_Mobile_Platforms_120316DE]
www.trendmicro.com
Seite 18

Studie - Trend Micro

Transcription

Similar documents

Kultur- und Medienmanagement, duales Studienmodell

- Hochschule Hamm

Enterprise

Supply Chain Agility

Intershop Communications AG