Projektbericht zur Sicherheit mobiler Betriebssysteme

Transkript

1 Projektbericht zur Sicherheit mobiler Betriebssysteme Seite 1

2 Die vorliegende Publikation wurde im Rahmen der Arbeitsgruppe 4 des Nationalen IT-Gipfels erstellt. Sie spiegelt den technischen Stand von Oktober 2013 wider. Das Wort Hersteller wird synonym für den Hersteller i. e. S. als auch den Plattformbetreiber verwendet. Wir danken diesen für die fachliche Unterstützung. Die Nennung von Waren erfolgt ohne Erwähnung von etwaigen Patenten, Gebrauchsmustern oder Marken. Das Fehlen eines solchen Hinweises begründet also nicht die Annahme, eine nicht gekennzeichnete Ware oder Dienstleistung sei frei. Seite 2

3 1. Ein weiterer Leitfaden? Zahlreiche Fachmagazine, Webseiten und Blogs widmen sich dem Thema IT-Sicherheit in aller Ausführlichkeit. Warum also eine weitere Veröffentlichung, die sich noch dazu des Spezialgebiets mobile Betriebssysteme annimmt? Bereits 2012 stieß die Arbeitsgruppe 4 des Nationalen IT-Gipfels mit der Publikation zweier Umfragen zu Sicherheitsaspekten mobiler Datenkommunikation im privaten und gewerblichen Umfeld auf beachtliches Interesse. Parallel stieg nicht nur die Zahl der Nutzer von Smartphones, sondern auch die Anzahl sinnvoller Einsatzmöglichkeiten mobiler Endgeräte beachtlich an. Mit der steigenden Verbreitung einher gehen Fragen zur mobilen Sicherheit: Wie kann sich der private Nutzer wirksam gegen Angriffe auf sein Smartphone schützen? Wie kann optimale Sicherheit bei der mobilen Kommunikation, z. B. im Unternehmen, gewährleistet werden? Kurz: Wie kann das auf die individuellen Nutzerbedürfnisse adaptierte Smartphone gewählt werden? Im Zuge der Diskussion wurde immer deutlicher, dass eine eindeutige Antwort auf diese Fragen nicht formuliert werden kann. Vielmehr muss das mobile Ökosystem insgesamt betrachtet werden: Vom Gerät zum Betriebssystem, von der App bis hin zum individuellen Nutzungsverhalten. Die entsprechende Projektgruppe der AG 4 ( Unterarbeitsgruppe Mobile Sicherheit ) hat sich daher bei ihren Untersuchungen auf einen Aspekt mobiler Wertschöpfungskette mobile Betriebssysteme (OS) beschränkt. Unter maßgeblicher Mitarbeit aller relevanten Marktakteure (Apple / ios, Google / Android, BlackBerry / BlackBerry 10, Microsoft / Windows Phone) konnten die unterschiedlichen Sicherheitsphilosophien der mobilen OS herausgearbeitet werden. Das vorliegende Dokument trifft insofern keine binären Aussagen zu Vor- oder Nachteilen eines OS. Es kann bei der rapiden technologischen Fortentwicklung weder einen Anspruch auf Vollständigkeit noch auf Unabänderlichkeit der jeweiligen Sicherheitsansätze geben. Zudem wird die Sicherheit von Unternehmensprozessen einschließlich etwaiger (auch technologieunabhängiger) Richtlinien zum Umgang mit vertraulichen Informationen nicht betrachtet. Im Sinne einer Handreichung für private Nutzer sowie kleine und mittlere Unternehmen soll mit dieser Publikation vielmehr eine Entscheidungshilfe geboten werden, für welchen Einsatzkontext grundsätzlich mehr oder weniger geeignete OS gewählt werden können. Als technische Übersicht deckt diese Publikation eines jedoch nicht ab: Die letztendliche Verantwortung des Nutzers, sich mit dem Thema IT-Sicherheit privat oder im Unternehmen zu befassen und die richtigen Entscheidungen zu treffen. Seite 3

4 2. Kontrolle über Apps Eine breite mediale Aufmerksamkeit findet die Frage, ob der Nutzer erkennen kann, auf welche persönlichen Daten, etwa Kontakt oder GPS-Einstellungen, die installierten Apps zugreifen können. Sämtliche Hersteller beantworten diese Frage ähnlich: So wird bei ios der Nutzer bei Zugriffsversuchen auf die Adressdatenbank und weitere datenschutzrelevante Informationen gewarnt. Android hält diese Informationen in seinem Berechtigungsmodell vor, Windows Phone im Store (wobei die zentrale Kontrolle über Ortungsdienste in den OS-Einstellungen modifiziert werden kann). Für BlackBerry ist diese Frage elementarer Teil der Grundphilosophie des OS: Der Nutzer muss in der Lage sein zu erkennen, auf welche Informationen eine App zugreifen möchte. Insofern kann dort bei Zugriffen einer App auf bestimmte persönliche Daten nicht nur als Opt-Out bei der Installation, sondern auch nachträglich per Detailsteuerung in die entsprechenden Einstellungen eingegriffen werden. Bei Apple können Apps (ab ios 6) ausschließlich mit vorheriger Zustimmung des Benutzers auf seine Kontakte, Kalender, Aufgaben, Fotos und Geodaten zugreifen. Sie haben keinen Zugriff auf die Geräte-ID. Allerdings das machen Android und Windows Phone ganz ähnlich deutlich sind bestimmte Apps auf der Freigabe entsprechender Funktionalitäten aufgebaut und können entsprechend nur dann eingeschränkt werden, wenn sie es selber vorsehen. Relevanter ist daher die Frage, ob auch bei Inkaufnahme bestimmter Funktionseinschränkungen die Zugriffe auf bestimmte Daten (z. B. Kontakte, GPS) unterbunden werden können. Dies ist bei Windows Phone global für Ortungs- und Hintergrunddienste möglich, bei BlackBerry für GPS-Dienste (für Privatkunden). Im Rahmen eines BlackBerry Enterprise Service 10 (BES10) kann u. a. der Zugriff auf GPS, persönliche Daten und Kontakte beschränkt werden. In der Umfrage unter den OS-Herstellern wurde zudem die Frage gestellt, ob der automatische bzw. ungefragte Download und die Installation von Apps verhindert werden könnten. Zur Installation bedarf es beispielsweise bei Windows Phone stets einer Nutzerinitiierung; ähnlich BlackBerry: Ein automatischer Download ist grundsätzlich nicht vorgesehen. Allerdings könnten bei BES 10 durch den Administrator verpflichtend Apps per Push auf die Geräte gespielt werden oder umgekehrt der Download aus dem Enterprise-Store beschränkt werden. Das Betriebssystem ios erlaubt grundsätzlich nur eine vom Nutzer initiierte Installation. Mit ios 7 können per MDM App-Installationen auch ohne Nutzer-Interaktionen ausgeführt werden. Seite 4

5 Bei der Deinstallation von vorinstallierter Software von Drittanbietern ist die Flexibilität der OS unterschiedlich ausgeprägt. Bei ios könnten beispielsweise individuell für den Jugendschutz relevante Apps entfernt werden (Browser, Store, Videodatenbankzugriff, Kamera, Spielecenter usw.). Allerdings darauf weist Google hin können vorinstallierte Anwendungen auch Teil wesentlicher OS-Funktionalitäten sein, wie z. B. Telefonie, Kontakte oder der Browser, bzw. durch ein OEM entwickelt. Technisch gesehen können seit Android 3 vorinstallierte Anwendungen deaktiviert werden, jedoch nicht gelöscht im engeren Sinne (Systempartition erlaubt nur Lesezugriffe). Anders Windows Phone: Alle vorinstallierten Apps von Drittanbietern können vom Nutzer restlos entfernt werden. BlackBerry löst die Herausforderung dahingehend, dass vorinstallierte Apps einer Aktivierung durch den Nutzer bedürfen (bzw. durch die zentrale Administration geregelt werden). Bestimmte Apps sind bereits im OS-Image enthalten, welches an die Provider geliefert wird diese haben keine Änderungsmöglichkeit (Service-Hinweise des Providers bestehen maximal aus HTML-Links). Updates können verhindert werden. Es besteht jederzeit die Möglichkeit zur Deinstallation von Apps (mit Ausnahme von Kernapplikationen wie z. B. Telefon, Kontakte oder Kalender). Seite 5

6 3. App-Stores Wie kann vor dem Download bzw. vor. der Installation erkannt werden, auf welche Daten und Dienste eine App zugreifen wird? 1 Sämtliche OS-Anbieter informieren den Nutzer durch Hinweis-Mechanismen, auf welche Funktionalitäten oder APIs eine App zugreifen wird. Dabei ist bei ios der Zugriff auf persönliche Nutzerdaten ausgeschlossen. Bei Windows Phone ist ein explizites Opt-in bei dem Zugriff auf Orts- und Kontaktdaten nötig; Browser-Plugins sind nicht erlaubt. Diese Informations-Mechanismen versetzen bei BlackBerry den Nutzer ebenfalls in die Lage, selbstbestimmt zu entscheiden, welche Zugriffe er gewähren möchte. Im Zuge der Projektarbeiten interessierte auch die Frage, ob und ggf. wie die Apps schon im Appstore gegen Schadfunktionen getestet werden; zudem wurde erfragt, welche Restriktionen der App-Store den Programmierern auferlegt. Sämtliche beteiligten Hersteller haben dazu umfangreiche Guidelines veröffentlicht. Dessen ungeachtet ist die grundsätzliche Trennlinie bei Schadfunktionen schwer zu ziehen: Bestimmte Funktionen einer technisch legitim arbeitenden App würden möglicherweise im weiteren Sinne nicht als Schadsoftware identifiziert, obwohl die Funktionalität vom erwünschten Verhalten abweicht (unbeabsichtigt oder beabsichtigt). Schon aufgrund der Vielzahl der Apps kann eine allumfassende, forensische Analyse nicht durchgeführt werden. BlackBerry prüft vor Aufnahme in seinen Store alle Apps manuell auf deren Grundfunktionalitäten und gibt sie technisch frei (oder lehnt sie ab); alle App-Anbieter müssen sich zudem registrieren und als natürliche oder juristische Person identifiziert sein. Bei Windows Phone wird automatisiert und manuell auf Malware getestet (obwohl gegenwärtig keine Schadsoftware für Windows Phone bekannt ist und sowohl Jailbreak und Rooting bisher unmöglich waren). Sicherheitskritische APIs sind nicht zugänglich. Durch das Sandboxing-Prinzip werden Angriffsmöglichkeiten weiter reduziert. Bei Android wird vor der Einstellung in den Store in einer virtuellen Umgebung ( Bouncer ) eine App forensisch getestet; Apps werden signiert und zertifiziert. Sämtliche Kriterien werden wie bei allen Anbietern transparent dargestellt. Bei ios wird das eigentliche Verfahren aus Sicherheitsgründen nicht veröffentlicht, allerdings sind auch dort die freigegebenen API nicht sicherheitskritisch. Die Apps werden von Apple signiert. Eine weitergehende Sicherheitsanalyse (zum Beispiel Kommunikationsnachverfolgung einer App) wird zur Vermeidung unlauterer Zwecke nicht durchgeführt. 1 Auf die qualitative Ausprägung von Apps und die Kohärenz der dort verwendeten sicherheitsrelevanten Funktionen in ihrer Interaktion mit dem Betriebssystem wird an dieser Stelle nicht näher eingegangen. Seite 6

7 Die Bewertung der Sicherheitsaspekte einer App erfolgt i. d. R. durch Ratings in den Stores. Diese Auswahl lässt sich z. B. bei Google nach content ratings verfeinern, um Anwendungen mit bestimmten Funktionalitäten auszuschließen. BlackBerry weist darauf hin, dass bei sicherheitskritischen Auffälligkeiten einer App diese aus dem Store entfernt wird. Hinsichtlich vorhandener Jugendschutz-Hinweise bei Apps bieten alle Anbieter in Abhängigkeit der jeweiligen App. Grundlegende Funktionen wie zum Beispiel der Netzwerkzugriff können systemlogisch bei ios nicht abgeschaltet werden. Auffälligkeiten (Sicherheitsverletzungen) können individuell an die App-Store-Betreiber gemeldet werden. Wenn sich eine App als nicht vertrauenswürdig oder fehleranfällig im Hinblick auf Sicherheit erweist, werden stringent von allen OS-Anbietern die Apps aus dem eigenen Store entfernt, der Entwickler aus dem Developer Program ausgeschlossen und Käufer benachrichtigt (ios) bzw. Programme zur Behebung angeboten (BlackBerry). Kompromittierte Anwendungen würden von den Herstellern allerdings nicht (ios, BlackBerry) oder nur in extremen Ausnahmefällen (Android, Windows Phone) entfernt dies wäre in erster Linie bei Themen der Fall, bei denen es um den Schutz der Privatsphäre des Nutzers geht. Seite 7

8 4. Sicherheit des Betriebssystems Abgefragt wurde, wie das Betriebssystem persönliche und sicherheitsrelevante Daten (z. B. PINs) sowie die Funktionalität anderer Apps und des Betriebssystems gegen Schadsoftware, die unerkannt auf das Gerät gelangt ist sowie Apps, die unerwünscht auf bestimmte Daten zugreifen, schützt. Zentral ist dabei bei ios, Android und Windows Phone das Sandboxing-Prinzip, das Apps im Wesentlichen nur erlaubt, auf die jeweils eigenen Daten zuzugreifen. Zusätzlich dürfen Systemressourcen nur in begrenztem Umfang genutzt werden (Android). Bei Windows Phone sorgt ein integriertes Information Rights Management für den Schutz von Kommunikation und einzelnen Dokumenten. Microsoft liefert zudem seine Binärdateien nur zertifiziert aus und sichert die Integrität des Systems über den Secure-Boot-Vorgang nach UEFI-Standard (Jailbreak / Rooting bislang erfolglos). Ähnlich BlackBerry: Bei einem Reboot werden alle Elemente auf ihre Integrität überprüft, einschließlich der OS-eigenen Prozesse. Alle Apps müssen code-signed sein und können nur dann ausgeführt werden. Zur Frage, ob das Betriebssystem die Möglichkeit bietet, Netzverbindungen einzuschränken oder nur unter bestimmten Bedingungen zuzulassen, bieten die OS unterschiedliche Ansätze: Während bei Android Proxies und VPN unterstützt werden (bei Windows Phone dezidierte APN), kann bei BlackBerry policy-seitig der Zugriff auf bestimmte Schnittstellen von vornherein ausgeschlossen werden. Dies umfasst beispielsweise USB, Telefonie oder auch -Zugriffe. Für den Fall erkannter Sicherheitslücken im Betriebssystem können bei Windows Phone OTA-Updates jederzeit für alle Geräte angeboten werden; dies kann bei Android bei der eigenen Gerätelinie Nexus oder durch OEM erfolgen. Bei BlackBerry befasst sich ein eigenes Security Incident Response Team mit etwaigen Vorfällen; Informationen werden per und auf der Webseite zur Verfügung gestellt. Sowohl für private (außerhalb einer Unternehmens-MDM) als auch gewerbliche Nutzer kann die OS-seitige Möglichkeit sinnvoll sein, unter bestimmten Voraussetzungen über autorisierte Fernsperrung bzw. löschung (Remote Lock, Remote Wipe) Sicherheitsvorfällen zu begegnen. Android bietet dazu eine Device-Policy-API, die genutzt werden kann, um das Gerät aus der Ferne zu löschen. Diese API wird von vielen MDM-Lösungen und Sicherheitsanwendungen genutzt. Durch die API steht diese Möglichkeit auch Endnutzern zur Verfügung, sofern sie eine entsprechende Anwendung installiert haben. Die Konditionen zur Nutzung der API sind durch die jeweilige MDM- Software bestimmt. Bei Windows Phone ist dies analog: Für Unternehmenskunden über Seite 8

9 den Microsoft Exchange Server oder Windows Intune (MDM), für Privatkunden über das mit dem Telefon assoziierte Microsoft-Konto. Bei BlackBerry 10 ist die Lösung BlackBerry Protect vorinstalliert und bietet die Möglichkeit, Geräte zu orten, zu sperren, Passwörter zu ändern oder zu setzen bzw. eine Fernlöschung vorzunehmen. Im Unternehmenskontext sind alle Funktionen durch den Administrator umsetzbar. Das Mobile Device Management erlaubt bei ios die Konfiguration, Verwaltung, das Management von Apps sowie die Fernlöschung des Endgeräts. Deutlicher konturiert sind die unterschiedlichen Philosophien bei der Frage getrennter Arbeitsbereiche oder Domains im OS. Im engeren Sinne bietet nur BlackBerry diese Funktionalität ( Balance, Perimeter mit Perimeter-Umschaltmöglichkeit im laufenden Betrieb). Minimale Komfortdurchgänge, wie z. B. die GUI-seitige Zusammenführung von Kontakten, sind möglich, bleiben aber inhaltlich-technisch dennoch getrennt. Sowohl ios, Android als auch Windows Phone setzen hingegen auf eine Prozess-seitige Trennung via Sandboxing (aber bspw. IRM-Schutz für vertrauliche Dokumente bei Windows Phone). Bei ios 7 werden Apps und Daten in den beiden Arbeitsbereichen gemanagt und ungemanagt zusammengefasst. Der Datenaustausch zwischen den beiden Bereichen kann administrativ unterbunden werden. Welches Betriebssystem bietet verschlüsselte Speicherbereiche für die Ablage von (sicherheitskritischen) Nutzerdaten? Dies ist bei ios (seit 3GS, AES 256), Android (seit 3.0, Full Filesystem Encryption), Windows Phone (hardwareunterstützte Verschlüsselung des internen Speichers mit Bitlocker-Technologie; IRM für vertrauliche Dokumente) und BlackBerry (hardwareunterstützte Verschlüsselung je nach Bereich auf unterschiedlichen Schlüsseltoken) möglich. Bei der Verschlüsselung von externen Speichermedien (außer ios) ist das Spektrum breit: Android bietet eine vollständige Verschlüsselung von Speichermedien. Für Anwendungen bietet Android eine Reihe von Kryptographie-APIs zur Verschlüsselung von Daten. Externe Speichermedien können grundsätzlich verschlüsselt werden, diese Funktionalität kann jedoch von der Firmware des jeweiligen OEM abhängig sein. Bei Windows Phone kann eine optionale SD-Karte zwar nicht verschlüsselt, aber deaktiviert werden. BlackBerry ermöglicht hingegen den Einbau einer SD-Karte mit Kryptofunktionalität sowie die Option, Daten auf Speichermedien separat zu verschlüsseln. Die Sicherheit des Smartphones beginnt mit dem Zugang. Die Frage, ob das OS das Smartphone mit einem unumgänglichen Code gegen unbefugte Nutzung schützt, beantworten alle Hersteller positiv: Die Passwortstärke ist gemäß Sicherheitsrichtlinien konfigurierbar. Bei der Nutzung bestimmter Dienste (z. B. Corporate Mail) kann bei ios, Android und Windows Phone das Paßwort auch automatisch erzwungen werden. Seite 9

10 Stärker unterscheiden sich hingegen die technischen Ansätze der Hersteller zur Möglichkeit eines Resets bzw. der Wiederherstellung eines Passworts. Unter ios können bestimmte Parameter eingestellt werden. Android unterstützt Muster, PIN, Passwörter und Face Unlock ; die minimalen Voraussetzungen für eine Authentifizierung können über die Device-Policy-API festgelegt werden, Einstellungen zur Fernlöschung über die Geräteeinstellungen oder die Device-Policy-API. Windows Phone ermöglicht die Konfigurierung der automatischen Löschfunktion bei mehrmaliger Fehleingabe, die Passwortänderung ist nur durch den Nutzer möglich. BlackBerry bietet bestimmte szenarienbasierte Wiederherstellungsoptionen (ausschließlich bei zentral verwalteten Geräten im Geschäftskundenumfeld oder bei Endkundengeräten, wenn diese den Service von BlackBerry Protect eingerichtet haben). Das Zurücksetzen des Passworts ist ausschließlich dem Nutzer vorbehalten und kann nicht durch den Hersteller durchgeführt werden. Darüber hinaus bestehen vielfältige Konfigurationsmöglichkeiten. Ebenso unterschiedlich ist die Herangehensweise der unterschiedlichen OS bei der Frage, ob das Smartphone mit einem Hardwaretoken betrieben werden kann, das zur Benutzerauthentisierung, als sicherer Schlüsselspeicher oder externes entfernbares Speichermedium bzw. als externer Kryptoprozessor dient. Bei ios bieten dazu Drittanbieter Möglichkeiten an zu beachten ist allerdings, dass bestimmte Bedrohungsszenarien (z. B. Trojaner) technisch nicht gleichermaßen relevant sind für ios wie für andere Anbieter und somit Hardware-Token eine andere Gewichtung haben. Bei Android hingegen ist die Möglichkeit zur Tokenverwendung (z. B. via NFC; Zwei-Faktor-Authentifizierung, Software Token) ebenso wie bei Windows Phone gegeben. Android kennt zahlreiche Methoden zur Interoperabilität mit Sicherheits-Peripherie. Eine spezielle API steht dafür nicht zur Verfügung; es gibt eine interne API für hardware-gebundene Kryptographie für die Benutzung privater Schlüssel. Breiter gefächert sind die Nutzungsmöglichkeiten bei BlackBerry: Als Token sind neben Micro-SD-Karten auch externe Smartcards via Black- Berry Smartcard Reader, Hardware- und Software-Token möglich. BlackBerry verweist insbesondere auf Secure Micro SD Cards. Über einen Bluetooth-Smartcard-Reader können auch Schlüssel und Zertifikate auf regulären Smartcards für Kryptographie und Zwei-Faktor-Authentisierung benutzt werden. Die Transcoder-API bietet die Möglichkeit, mit eigenen Krypto-Algorithmen die Daten zusätzlich neben der nicht abschaltbaren AES-256-Verschlüsselung zu verschlüsseln. Auch VPN-Verbindungen sind möglich (v. a. via Micro-SD-Karten). Wie kann verhindert werden, dass sich das Smartphone in Verbindung mit beliebigen PCs synchronisiert, die über USB-Kabel angebunden sind, um damit der Gefahr unbefugten Auslesens vorzubeugen? Dazu weisen sowohl Android als auch Windows Phone Möglichkeiten der Nutzerkontrolle auf. Bei Windows Phone (bei entsperrtem Gerät via PIN / Paßwort) ist via USB nur der Zugriff auf Multimedia-Daten und Seite 10

11 lokale ungeschützte Dokumente möglich, nicht jedoch auf PIM-Daten. Ähnlich BlackBerry: Zugriffsmöglichkeiten werden über Application Policies konfiguriert. Bei ios werden im betreuten Modus Datenverbindungen zu nicht authorisierten PCs blockiert. Firewalls von Drittanbietern werden weder von Windows Phone noch von Android explizit unterstützt. Android und ios bieten allerdings die Möglichkeit, VPN-Konfigurationen einzurichten, die der Funktionalität einer Firewall entsprechen. In den folgenden Abschnitten werden Themen behandelt, die insbesondere das zentrale Management von Endgeräten und die Einbindung in zentrale Infrastrukturen umfassen. Diese dürften daher vor allem für Administratoren im Organisationskontext von besonderem Interesse sein. Seite 11

12 5. MDM und Enterprise Appstore Gefragt wurde danach, ob das Betriebssystem des Smartphones eine Schnittstelle bietet, über die einem MDM angezeigt wird, auf welche Daten bereits installierte Apps auf dem Smartphone zugreifen, das MDM den Zugriff einer App auf bestimmte sicherheitsrelevante Daten des Nutzers oder des Unternehmens konfigurieren bzw. einschränken kann bzw. das MDM den Zugriff auf bestimmte Daten generell für alle Apps unterbunden wird. Ferner war von Interesse, ob das Betriebssystem des Smartphones eine Schnittstelle bietet, über die bestimmte sicherheitsrelevante Geräteeinstellungen zentral durch ein MDM konfiguriert werden ( Netzverbindungen konfigurieren (WLAN, Bluetooth ein-/ausschalten, WLAN nur für WPA2-Verbindungen zulassen, VPN erzwingen), Passwortauthentisierung mit bestimmter Mindestqualität erzwingen, Download und Installation oder Deinstallation von Apps, Deaktivierung der Kamera, Deaktivierung des Mikrofons mit Ausnahme von Telefonie). Google (Android) verweist darauf, dass die Device-Policy- APIs grundsätzlich auf das Management des Gerätes zielen, nicht auf das Management von Anwendungen oder Anwendungsdaten. Bei Windows Phone sind Daten in firmeneigenen Apps per Voreinstellung in dieser App isoliert und können von anderen Apps nicht erreicht werden. BlackBerry bietet mit dem BlackBerry Enterprise Service 10 eine eigene MDM Plattform. Darüber sind BlackBerry Smartphones administrierbar. Gleichzeitig kann über diesen Service auch das Management sowie die Schaffung eines Secure-Containers auf ios und Android ermöglicht werden. Im Enterprise-Umfeld können bestimmt Zugriffe von Anfang an vom Administrator blockiert werden. Die bei Windows Phone dokumentierte MDM-Schnittstelle bietet die Möglichkeit, Richtlinien für Geräte- Paßwort, Device-Wipe, Geräteverschlüsselung und das Management von Firmen-Apps zu verteilen. Bei ios wird auf die Einhaltung der Unternehmens-Sicherheits-Policies verwiesen: Der Unternehmenszugang ist an die Einhaltung der Sicherheitsrichtlinien gekoppelt. Richtlinien lassen sich in Form von Konfigurationsprofilen installieren und entfernt verwalten. Durch die Bündelung mit dem Zugang ist ihre Einhaltung verpflichtend. Per Exchange ActiveSync bzw. Mobile Device-Management können die Richtlinien verwaltet und erzwungen werden. Jede der übertragenen Zertifikate kann vom MDM wieder entzogen werden (selektiver Wipe). Analog wurde danach gefragt, ob das Betriebssystem des Smartphones die Möglichkeit unterstützt, bestimmte sicherheitsrelevante App-spezifische Einstellungen zu konfigurieren, z. B. sicherheitsrelevante Einstellungen der Browser-App (sofern mit dem Betriebssystem assoziiert) oder die automatische Verschlüsselung von s und Synchronisationsdaten. Dazu gibt es bei Windows Phone keine Seite 12

13 zentrale Konfigurationsmöglichkeit; auch Android verweist darauf, dass diese Einstellungen grundsätzlich von den individuellen Anwendungen realisiert werden. Abweichend BlackBerry: Hier können diese Einstellungen via Enterprise Service 10 vorgenommen werden. ios erlaubt die Konfiguration von Safari. Mit ios 7 können über MDM auch beliebige App-Einstellungen gemanagt werden. Bei der Frage zur Jailbreak-Erkennung durch das OS ist die Situation bei Android dergestalt, dass keine API zur Feststellung eines Unlock oder Rooting existiert. Bei Windows Phone OS 8 ist ein Jailbreak technisch noch nie gelungen. Unterstützt das Betriebssystem des Smartphones einen Ende-zu-Ende-verschlüsselten Kanal zwischen Smartphone und MDM-Server, sowie eine gegenseitige Authentisierung zwischen Smartphone und MDM-Server? Diese Frage wird in beiden Teilen von Microsoft (Windows Phone) bejaht. Ebenso BlackBerry: Optional ist dies via AES256-Verschlüsselung über die BlackBerry-Infrastruktur oder über VPN machbar. Der Zugriff erfolgt ausschließlich über den verbundenen BES 10. Android handhabt die Kommunikation des MDM-Agenten durch eben diesen. Die Device-Policy-Anwendung von Google verschlüsselt die Kommunikation zwischen Google und dem entsprechenden Gerät. Der Benutzer selber hat die Wahl, welchen MDM-Agenten er installieren möchte. Entsprechend verschieden handhaben die OS die Thematik, ob bestimmte sicherheitsrelevante Einstellungen ausschließlich durch das MDM konfiguriert und durch den Benutzer nicht geändert werden können. Diese Frage bejaht Apple (ios): Per Einschränkungen ( Parental Controls ) kann der Benutzer daran gehindert werden, die Konfiguration des Datenschutzes selber zu ändern. Ebenso bejahen Microsoft (Windows Phone) und BlackBerry diese Frage. Bei Android kann folgelogisch zu den vorhergegangenen Fragen der Zugriff auf bestimmte Daten oder Einstellungen vorausgesetzt werden; der Benutzer kann den MDM-Agenten jedoch jederzeit entfernen. Bei getrennten Arbeitsbereichen des Betriebssystems wäre es eine denkbare Option, jeden der Arbeitsbereiche individuell durch das MDM konfigurieren zu lassen. So kann bei Android-Tablets jeder Benutzer den MDM-Agenten selber wählen. Bei BlackBerry ist dies anders angelegt: Betriebssystemseitig wird dies so nicht unterstützt, allerdings kann der persönliche Perimeter gemanagt werden. Alternativ kann auch eine Lösung mit einem ausschließlichen Enterprise-Perimeter genutzt werden. Im Folgenden drängt sich die Frage im Unternehmenskontext auf, ob das Smartphone den Remote Wipe oder Remote Lock durch ein Unternehmens-MDM unterstützt. Dies ist grundsätzlich bei allen OS möglich, so zum Beispiel bei ios über Exchange Acti- Seite 13

14 vesync oder MDM im Unternehmensumfeld bzw. via icloud im Konsumentenumfeld, bei Windows Phone über den Exchange Server (als Administrator) oder durch den Nutzer als Self-Service (im Konsumentenumfeld mit dem Microsoft-Konto des Nutzers). In den vergangenen Monaten sind Unternehmen immer stärker dazu übergegangen, Unternehmens-App-Stores zu nutzen. Dementsprechend ist die nachstehende Frage insbesondere für Unternehmen von Interesse: Unterstützt das Betriebssystem des Smartphones Enterprise Appstore Lösungen? Lässt sich der Download von Apps durch die Smartphones des Unternehmens auf den Enterprise Appstore einschränken? Unterstützt der mit dem Betriebssystem assoziierte Appstore den Betrieb von Enterprise Appstores? ios hält dafür zwei Ansätze vor: So gibt es Im Rahmen des Enterprise Developer Programms eine Signatur für Unternehmen, mit der eigene Apps an Mitarbeiter verteilt werden können. Zudem ist dies als B2B-Programm verfügbar, mit dem Developer Apps gezielt für Kunden freigeschaltet, so dass diese nicht öffentlich im App Store zu laden sind. Ein Volume Purchase von Apps ist durch Unternehmen möglich, um diese dann kostenfrei für den Nutzer in-house verfügbar zu machen. Android ermöglicht den offenen Zugriff auf jegliche Installationsquellen, einschließlich Enterprise App Stores. Der Benutzer kann festlegen, ob lediglich Apps aus vertrauten Quellen (vorinstallierte Appstores) oder aus beliebigen Quellen installiert werden können. Google Play unterstützt Enterprise App Stores / Enterprise App Channels. Darüber hinaus wird auf Enterprise Device Management und Android Device Policies verwiesen Windows Phone 8 erlaubt das Ausrollen und Verwalten unternehmenseigener Apps (mit Unternehmenszertifikat signiert) über MDM oder eigene Infrastruktur. Microsoft ist in diesem Fall nicht für die App-Zertifizierung zuständig. Der Download öffentlicher Apps kann nur durch Verbot der Anmeldung mit einem Microsoft-Konto durch den Nutzer unterdrückt werden. Enterprise App Stores sind möglich. Auch bei BlackBerry sind Enterprise App Stores möglich: Dies ist individuell konfigurierbar und ist eine Frage des Vertrauens des Unternehmens in seine Nutzer und in das OS. Auch lizenzrechtliche Fragen, die bspw. über die SIM-Karte abgerechnet werden, sind konfigurierbar. Zusätzlich werden unter BBOS Enterprise Appworlds von Drittanbietern unterstützt. Ab BlackBerry 10 OS ist über BlackBerry Balance eine Enterprise Appworld vorgesehen. Im Enterprise- und Government-Bereich ist es durch den BlackBerry Enterprise Server für den Administrator möglich, Apps völlig zu verbieten, oder Black- und Whitelists zu erstellen. Seite 14

15 Daran schließt sich an, ob das OS die Beschränkung des App-Downloads aus dem Enterprise Appstore anbietet. Wie bereits dargelegt, ist dies bei BlackBerry möglich. Bei Android können in der Voreinstellung nur Anwendungen aus vertrauten Quellen installiert werden. Der Benutzer kann wählen, ebenfalls Anwendungen aus einem Enterprise App Store zu vertrauen. Windows Phone OS bietet an, Enterprise Apps pro Nutzer(gruppe) freizugeben. Seite 15

16 6. Sichere Anbindung an das Unternehmensnetz Unterstützt das Betriebssystem einen verschlüsselten und authentisierten VPN- Kanal des Smartphones zu einem Unternehmensnetz? Diese Funktion ist bei Android sowohl vorinstalliert als auch über Drittanbieter erhältlich. ios bietet SSL-VPN sowie IPSEC-VPN an. Bei BlackBerry sind alle gängigen Gateways vorinstalliert, alternative Gateways können nachgerüstet werden. Bei Windows Phone wird diese Funktionalität ab dem 2. Quartal 2014 vorhanden sein. Im Rahmen des Projekts war ferner die Frage von Interesse, ob sich die Smartphone- Verbindungen über öffentliche Netzprovider per Konfiguration auf den sicheren VPN-Kanal einschränken lassen. Dies ist bei Android und ios möglich (VPN können als always on konfiguriert werden); auch bei Windows Phone ist ein dezidierter APN beim Carrier mit Anbindung an das Firmennetzwerk möglich. BlackBerry ermöglicht es, TCPIP-Verkehr vom Carrier-APN zum Unternehmens Netzwerk umzuleiten (Kanalisierung über normale unternehmenseigene Proxy). Dadurch gelten für Internetzugänge auf dem BlackBerry die gleichen Rechte wie bei einem Unternehmens-PC, da beide die gleiche Firewall, Proxies und ISP-Zugänge benutzen. Seite 16

17 Seite 17

18 Seite 18