Eine der aktuell drängendsten Fragen in der Unternehmens-IT lautet: Wie ist es eigentlich um die Sicherheit von mobilen Endgeräten wie Smartphones bestellt? Security-Anbieter Symantec hat sich hierzu die Mühe eines umfassenden Vergleichs der führenden Betriebssysteme Apple iOS und Google Android gemacht. Das Ergebnis zeigt insgesamt klare Vorteile für Apple und jede Menge Nachholbedarf bei Android.
Zusammengefasst gibt es Bereiche, wo beide bisher überhaupt keinen Schutz bieten – wie etwa bei Social Engineering-Attacken. Daneben haben beide Anbieter ihre Hausaufgaben bei Web-basierten Attacken vorerst überzeugend erfüllt. Ansonsten zeigt sich aber Apple deutlich widerstandsfähiger gegenüber verschiedenen Angriffstypen. Und auch die Implementierung von Security-Features ist bei iOS laut Symantec-Vergleich einen Tick besser gelungen.
So bietet Apple umfassenden Schutz vor Malware, während Android hier nur wenig Sicherheit garantiert. Gegen kriminell motivierten oder unbeabsichtigten Datenverlust sowie gegen Anschläge auf die Datenintegrität ist Apple immerhin mittelmäßig gerüstet, Android aber nicht einmal das. Gegen Missbrauch von Ressourcen und Service-Attacken hat Apple ordentliche Schutzmechanismen zu bieten, Android nur durchschnittliche.
Vereinzelt steht auch Android besser da als iOS – etwa bei der Isolierung von Apps. Allerdings hat Apple auch bei den Features die Nase vorn, weil mit besseren Lösungen für Zugangskontrolle und Verschlüsselung aufgewartet wird. Zudem garantiert iOS, dass Apps aus sicherer Quelle kommen. Android ist davon weit entfernt. Ausgeglichen steht es bei den Features fürs Zugriffsmanagement, bei dem beide noch Luft nach oben haben.
„Insgesamt halten wir das Android-Sicherheitsmodell für einen großen Fortschritt gegenüber den Modellen, die traditionelle Desktop- und Server-basierte-Betriebssysteme verwenden“, urteilt Symantec über Android.
Zuviel Verantwortung für User
„Aber es hat zwei Pferdefüße.“ Erstens ermögliche es Angreifern, anonym Malware zu kreieren und zu verteilen. Zweitens sei die Steuerung der Zugriffsrechte zwar an sich sehr stark, überlasse aber den Nutzern zu sehr wichtige Sicherheitsentscheidungen. „Unglücklicherweise sind die meisten User technisch nicht dazu in der Lage, solche Entscheidungen zu treffen – was schon zu Social Engineering-Attacken geführt hat“, so Symantec.
Google sorge zwar dafür, dass nur digital signierte Apps auf Android-Geräten installiert werden können. Allerdings könnten Angreifer anonyme digitale Zertifikate verwenden, um ihre Schadsoftware dennoch zu platzieren. Auch gegenüber Trojanern und schädlichen Codes sei dieses System nicht immun, so Autor Carey Nachenberg. Allerdings fordere Google Gebühren und eine Registrierung von jedem, der Apps im offiziellen Android App Marketplace verkaufen wolle – nach Symantec-Einschätzung ein durchaus wirksames Abschreckungsinstrument.
Positiv bemerkt der Security-Anbieter, dass Android-Apps voneinander und auch von Betriebssystem und anderer Software auf dem Endgerät weitgehend isoliert sind. Eingebaute Verschlüsselung werde indes zwar neuerdings für Android 3.0 angeboten, fehle aber in älteren Versionen völlig. Deshalb könnten beispielsweise simple Diebstähle zu signifikantem Datenverlust führen.
Deutlich wohlwollender klingt das Fazit zur iOS-Sicherheit. „Ingesamt hält Symantec das iOS-Sicherheitsmodell für gelungen konzipiert“, heißt es in der Studie. „Bisher hat es sich als größtenteils robust gegenüber Attacken erwiesen.“
Das iOS-Verschlüsselungssystem habe sich durch starken Schutzen bei E-Mails und E-Mail-Anlagen bewährt und ermögliche eine Säuberung des Smartphones. Es biete allerdings weniger Schutz vor entschlossenen Angriffen, die auf das Gerät selbst zielen. Der von Apple gewählte Ansatz, jede einzelne erhältliche App für sich zu prüfen, könne zwar auch von Hackern ausgehebelt werden. Er habe sich bislang aber als wirksames Abschreckungsmittel gegen Malware-, Datenverlust-, Datenintegritäts- und Denial-of-Service-Angriffe erwiesen.
Keine Würmer bei iOS
Ähnliches Lob gibt es von Symantec auch für das iOS-Modell der Isolierung. Traditionelle Viren und Würmer würden komplett ausgeschlossen, zudem die für Spyware zugängliche Datenmenge begrenzt. Jedoch würden nicht alle Arten von Angriffen unterbunden, schränkt Autor Nachenberg ein.
Das iOS-Modell der Zugriffskontrolle gewährleistet laut Symantec, dass Apps nicht den Aufenthaltsort preisgeben können. Ohne Zustimmung des Nutzers können auch keine Kurznachrichten versendet oder Anrufe getätigt werden. Der entscheidende Makel an Apples Sicherheitskonzept bleibt aus Sicht von Symantec der fehlende Schutz vor Social Engineering-Attacken wie Phishing oder Spam.
Die Studie „A Window Into Mobile Device Security“ ist bei Symantec erhältlich.