iOS- vs. Android-Security

Welche Smartphones sind sicherer?

01.09.2017 von Lucas Mearian und Florian Maier
Hundertprozentige Sicherheit gibt es bekanntlich nicht. Dennoch stehen Android-Geräte im Ruf, wesentlich unsicherer zu sein als iOS-Devices. Wir gehen der Sache auf den Grund.

Android und iOS nehmen gemeinsam den Löwenanteil des Marktes für mobile Betriebssysteme ein. Die Nutzung dieser Devices im Unternehmen ist dabei immer mit Risiken verbunden. Dabei gelten Android-Smartphones und -Tablets jedoch als besonders anfällig für Sicherheitslücken und deren Ausnutzung - und sind somit in den Augen Vieler pauschal "unsicher". Doch so einfach ist das nicht.

Smartphones und Tablets werden auch bei kriminellen Hackern immer beliebter. Sind mobile Geräte mit Android dabei wirklich unsicherer als solche mit iOS?
Foto: Mikko Lemola - shutterstock.com

Darum gilt das iPhone als "sicherer"

Dass die Chancen, Opfer einer Malware-Attacke zu werden - und damit eine Bedrohung für das eigene Unternehmen darzustellen - bei Nutzung eines Android-Geräts steigen, zeigen beispielsweise die Daten von Symantec:

Die Malware-Gefahr steigt bei Nutzung von Android Devices. Das hat mehrere Gründe.
Foto: Symantec

Jack Gold von J. Gold Associates erklärt, worin in seinen Augen die Gründe dafür liegen: "Der Punkt ist, dass Android Open Sourceist. So kann sich jeder ganz genau ansehen, wie dieAndroid-Systeme aufgebaut sind. Das geht bei iOS nicht. Wenn Sie beispielsweise LG sind und ein Smartphone mit einem schlecht modifizierten Android OS auf den Markt bringen, stellt das eine potenzielle Bedrohung für Unternehmen dar. Denn in diesen Zeiten ist es so gut wie sicher, dass irgendjemand diese Lücke findet."

Solche Sicherheitslücken können bereits bei vermeintlich sehr kleinen Modifikationen am Betriebssystem auftreten, wie Gold weiß: "Sogar wenn Sie nur den Look einer Messaging App leicht verändern, könnten daraus Security-Schwachstellen erwachsen. Das ist das Problem mit Open Source: Bevor man es nicht getestet hat, kann man sich nicht sicher sein."

Apple ist bei seinem mobilen Betriebssystem hingegen äußerst restriktiv, wenn es um die Möglichkeiten der Entwickler geht und stellt seinen Quellcode nicht öffentlich zur Verfügung. "Und weil Apple sowohl Hard-, als auch Software kontrolliert, sind sie dazu in der Lage ein höheres Sicherheitsniveau zu gewährleisten", resümiert Gold.

Kostenlose Business-iPhone-Apps
Die besten Business-iPhone-Apps
Das iPhone ist nicht nur bei Privatpersonen populär. Auch auf Unternehmen wirkt sich die zunehmende Verbreitung des Apple-Smartphones aus. Wir haben eine Bestenliste von Business-iPhone-Apps zusammengestellt, die sich zum produktiven Arbeiten eignen.
Microsoft Word
Die kostenlose App erlaubt in der aktuellen Version auch ohne ein Office-365-Konto das Lesen, Erstellen und Bearbeiten von Word-Dokumenten. Mit einem Abonnement erhält der Nutzer noch mehr Features in der App. Word für das iPhone setzt auf eine Integration von OneDrive, Dokumente lassen sich aber auch lokal speichern. Eine Dropbox-Einbindung ist ebenfalls möglich.
Microsoft Excel
Ebenso wie Word ist auch die Tabellenkalkulation Excel kostenlos für das iPhone verfügbar.
Microsoft PowerPoint
Das Präsentationswerkzeugt PowerPoint komplettiert die kostenlose Office-Suite für das iPhone. Auch hier ist das Lesen, Bearbeiten und Erstellen von Präsentationen mit der Gratisversion möglich. Wer ein Office-365-Abonnement besitzt, darf auf mehr Features zurückgreifen.
Skype for Business (Lync 2013 für iPhone)
Mit der App stehen die Leistungen von Microsofts Skype for Business (Lync 2013) auf dem iPhone zur Verfügung. Hierzu zählen VoIP- und Videofunktionen über WLAN, Anwesenheitsinformationen, Chat, Konferenzen. Als Voraussetzung ist ein Skype-Konto erforderlich
Roambi Analytics
So gelungen die Touch-Bedienung des iPhones auch sein mag, einen echten Vorteil bei Darstellung von Tabellen und Listen konnte man bisher nicht daraus ziehen. Genau hier versuchen die App-Entwickler anzusetzen und bieten mit Roambi einen gelungen Aufbereitungsdienst für Geschäftszahlen an. Roambi verwandelt dröge Zahlenolonnen in interaktiv bedienbare Informationshäppchen - ideal für mobile Endgeräte. Daten bezieht die App über die gleichlautende Webseite, die Daten aus Microsoft Excel, CSV, HTML, Google Docs, SalesForce CRM und verbreiteten Business Intelligence- und Datenbank-Produkten annimmt.
Lufthansa
Über die Lufthansa-App gibt es Zugriff auf die eigenen Buchungen, Flugpläne, Flugstatus, Check-in und mehr. Das persönliche Miles & More Konto ist ebenfalls integriert.
IP Network Scanner Lite
Beim IP Network Scanner Lite handelt es sich um einen Netzwerkscanner für das iPhone, der gefundenen Geräten auch Namen und Typ zuzuordnen versucht. Zu den angezeigten Informationen zählen Hersteller, MAC- und IP-Adresse sowie der interne Name im Netz. Kann ein Gerät nicht korrekt identifiziert werden, lassen sich diese Informationen auch händisch nachtragen. Sämtliche Messergebnisse können auch via E-Mail exportiert werden und stehen dem Admin so auch am PC zur Verfügung.
OneDrive
Mit der OneDrive-App (vormals SkyDrive) greifen Sie auf Ihre eigenen OneDrive-Inhalte zu, sowie auf den Content, den andere OneDrive-Nutzer für Sie freigegeben haben. Mit der iPhone-App lassen sich Ordner verschieben, löschen, umbenennen und auch erstellen. Dateien, die auf OneDrive liegen, kann man zudem in anderen Apps auf dem iPhone öffnen. Sie können Dateien und Fotos freigeben und den entsprechenden Link per E-Mail versenden. Dateien können Sie nun vom Smartphone aus auch nach OneDrive hochladen. Die App bietet auch eine automatische Sicherung der gemachten Fotos und Videos auf dem iPhone an.
i-nigma
i-nigma erkennt in sekundenschnelle verschiedenste Barcode-Typen wie etwa QR-Code und DataMatrix.
Parcel
Mit Parcel erhalten Sie eine kostenlose Paket-Sendungsverfolgung für das iPhone an die Hand, mit der Sie Lieferungen von aktuell 180 verschieden Zustellunternehmen abwickeln können - darunter auch Größen wie DHL Express, GLS, Hermes oder die Deutsche Post. Aufbau und Bedienung von Parcel sind einfach gehalten und konzentrieren sich auf das Wesentliche. Stellt der Paketdienstleister genaue Geodaten für den Paketstandort zur Verfügung, so können diese sogar in Maps betrachtet werden. Um Push-Benachrichtigungen über Statusänderungen zu erhalten, ist ein In-App Purchase für 1,79 Euro Voraussetzung.
DB Navigator
Der DB Navigator für das iPhone taugt nicht nur für Fahrplanauskünfte der Bahn. Auch auf viele Abfahrtspläne großer ÖPNV-Dienstleister, wie etwa der MVG in München, hat die iPhone-App Zugriff. Insbesondere die GPS-Ortung der nächsten Haltestelle ist hier ein praktisches Feature. So wird auch der genaue Fußweg zur nächsten Station mit der Kartenfunktion angezeigt. Doch auch für Bahn-Reisende bietet der DB Navigator einen echten Mehrwert. Bei der Reiseplanung werden selbst aktuelle Verspätungsinformationen mit einbezogen. Auch der Ticket-Kauf via iPhone ist möglich.
Das Telefonbuch
Das Telefonbuch der deutschen Telekom findet schnell gewerbliche Telefon-, Fax-, Mobilfunk- und Servicenummern innerhalb Deutschlands. Außerdem kann im direkten Umkreis gesucht werden, die Routenfunktion navigiert anschließend zum gewählten Ziel.
Stau Mobil
Stau Mobil ist, der Name deutet es bereits an, eine Stauauskunft für das iPhone. Das Hauptaugenmerkt der Anwendung liegt auf den Informationen deutscher Autobahnen. Aber auch Verkehrsinformationen zu Landstraßen sind eingepflegt. Als Benutzer hat man die Wahl sich speziell über eine Autobahn zu informieren, oder einfach alle Staumeldungen in der Umgebung anzeigen zu lassen. Kennen Sie das betroffene Streckenstück nicht, hilft Ihnen die Kartenfunktion weiter, in der betroffene Gebiete markiert sind. Als Datenquelle greifen die Entwickler auf Verkehrsinformationen des ADAC zurück.
Mein iPhone suchen
Ein verloren gegangenes Smartphone ist nicht immer ausschließlich ärgerlich. Durch die Verknüpfung von Adressdaten, Kalenderinformationen und E-Mail-Verläufen droht ein großer Schwung sensibler Daten in fremde Hände geraden. Zum Orten, Sperren oder Fernlöschen von Geräten bietet Apple die kostenlose App "Mein iPhone suchen" an. So kann direkt in der Kartenfunktion der Anwendung ein verloren geglaubtes Gerät wieder lokalisiert werden. Potentielle Finder lassen sich über Textnachrichten ansprechen, so dass eine eventuelle Rückgabe arrangiert werden kann.
Dragon Dictation
Dragon Dictation ist eine Spracherkennungs-App und will den Griff zur Tastatur überflüssig machen. Dabei funktioniert die Erkennung sehr gut. Erkannte Texte lassen sich nach der Aufnahme überarbeiten um eventuelle Fehler schnell korrigieren zu können. Die Verknüpfung von Dragon Dictation mit dem iPhone-Adressbuch verbessert die Erkennung von Namen - sofern der Benutzer den Datenzugriff erlaubt. Leider benötigt die App eine bestehende Datenverbindung, da alle Aufnahmen nicht von der Anwendung selbst, sondern von einem zwischengeschalteten Server verarbeitet werden.
Kalkulilo
Kalkulilo ist eine kostenlose App die weit mehr Funktionen anzubieten hat als der Standard-Taschenrechner des iPhones. Neben den Funktionen eines wissenschaftlichen Taschenrechners bietet Kalkulilo zwei weitere Rechenmodi an. Im Bit/Integer-Modus können, neben logischen Operatoren wie AND, OR, XOR usw., auch Berechnungen in verschiedenen Zahlensystemen angestellt werden. Ein weiterer Rechenmodus eignet sich für Berechnungen im Bereich der Statistik und Stochastik. Die App ist universell auf dem iPhone und iPad einsetzbar.
Epson iPrint
Epson iPrint macht den direkten Bilderdruck von auf dem iPhone gespeicherten Fotos auf vielen Epson-Netzwerkdrucker möglich. Dazu muss sich das iPhone nur im selben Netzwerk aufhalten wie der Drucker, die Erkennung und Einrichtung des Netzwerkdruckers soll dabei automatisch funktionieren.
WorldCard Mobile Lite - business card
WorldCard Mobile Lite erkennt die Daten einer fotografierten Visitenkarten und trägt die erkannten Informationen in das iPhone-Adressbuch ein. In der Lite-Version sind in der ersten Woche nach Installation fünf Exporte in das Adressbuch möglich, danach jede Woche einer. Die Vollversion besitzt diese Einschränkung nicht.
Skype
Skype ist der offizielle Client des bekannten VOIP-Anbieters. Die App ermöglicht es, ein- und ausgehende Anrufe im Skype-Netzwerk durchzuführen. Mit der Instant-Messenging-Funktion sind Chat-Unterhaltungen möglich.
Dropbox
Dropbox ist ein Cloud-Dienst mit dem Dateien über mehrere PCs hinweg synchronisiert werden können. Mit dieser App erhalten Sie Zugriff auf Ihre gesamte Dropbox und können unterwegs Bilder, Videos oder sonstige Dokumente abrufen. Außerdem ist es möglich geschossene Fotos direkt in die Wolke hochzuladen, wodurch sie direkt auf allen mit dem Dropbox-Account verbundenen PCs zur Verfügung stehen. Ist die Dropbox-Client-Software einmal nicht vorhanden, ist der Dateizugriff dennoch über ein Webinterface möglich.
Mocha VNC Lite
Die kostenlose App Mocha VNC Lite gewährt dem iPhone einen direkten Zugriff auf nahezu jeden VNC-Server. Dazu wird der Bildschirminhalt des VNC-Servers auf das iPhone-Display skaliert und kann wie gewohnt über Gesten bedient und vergrößert werden. Kompatibel ist die Anwendung laut dem Hersteller MochaSoft unter anderem mit RealVNC, TightVNC und UltrVNC für Windows und Apple Remote Management für Mac OS X.
Xing
Die geschäftlich orientierte Kontaktplattform Xing bietet eine eigene iPhone-App an. Mit ihr lassen sich Neuigkeiten empfangen, Nachrichten bearbeiten und Kontakte pflegen.
vTie - Krawattenknoten
Sie tragen nie eine Krawatte, aber ausgerechnet heute ist dringend eine erforderlich? Wenn Sie nicht (mehr) wissen wie Sie eine Krawatte richtig zu binden haben, kann vTie - Krawattenknoten Ihre Rettung sein. Die kostenlose iPhone App enthält einfache Schritt-für-Schritt-Anleitungen für fünf Krawattenknoten, die oft schon nach dem ersten Versuch klappen.

Androids spezielle Security-Probleme

Laut aktuellen Zahlen von Gartner vereinnahmen Android und iOS gemeinsam 99,8 Prozent des Mobile-OS-Marktes. Android ist dabei mit 86 Prozent Marktanteil eindeutig die dominante Plattform. Apple bringt es demnach auf 13 Prozent. Die übrigen mobilen Betriebssysteme kommen noch auf 0,2 Prozent.

Alleine durch die Vielzahl der Android Devices bestehe bereits ein höheres Security-Risiko, zeigt sich Analyst Gold überzeugt - sieht aber noch ein weiteres, gravierendes Problem: "Auf die [Anm.d.Red.: inzwischen nicht mehr] aktuelle Android-Version Nougat entfällt lediglich ein Bruchteil der im Einsatz befindlichen Geräte. Die neuesten Sicherheits-Updates bekommt also nur ein kleiner Teil der Android-Nutzer. Bei Apple-Geräten ist das anders, hier werden alle Nutzer versorgt."

Was Gold hier etwas überspitzt ausdrückt, meint auch das vielfach beschriebene "Update-Problem" vieler Android-Nutzer, deren Smartphones oft schon nach einem Jahr zum "alten Eisen" gehören und keine neue Software mehr erhalten. Apple hingegen versorgt seine iPhones im Regelfall vier bis fünf Jahre mit aktueller Software.

Android Nougat ist derzeit die OS-Version mit der geringsten Verbreitung. Ob sich das mit Oreo ändert, bleibt abzuwarten.
Foto: Symantec

Ein spezielles Android-Problem im Unternehmensumfeld ist außerdem, dass viele Firmen inzwischen im Rahmen einer Mobile-First-Strategie ihre eigenen Applikationen entwickeln. Die Chancen, dass Inhouse-Entwickler dabei versehentlich Open-Source-Code verwenden, der mit Schwachstellen behaftet ist, stehen nicht schlecht. Denn Apps werden heutzutage kaum noch von Grund auf neu entwickelt. Typischerweise bedienen sich Entwickler zur Erstellung maßgeschneiderter Mobile-App-Lösungen in Online-Bibliotheken, die Open-Source-Komponenten zur Verfügung stellen. Diese "Code-Stücke" können sowohl modifiziert/manipuliert werden, als auch von Beginn an Sicherheitslücken enthalten.

Mobile Devices im Visier der Hacker

Laut Symantecs "Internet Security Threat Report" vom April 2017, haben sich die erkannten Security-Bedrohungen auf mobilen Endgeräten im Vergleich zum Vorjahr verdoppelt: 18,4 Millionen Malware-Infektionen stellten die Security-Experten fest:

Die Bedrohungslage im Bereich Mobile verschärft sich zusehends.
Foto: Symantec

Die zwischen 2014 und 2016 festgestellten iOS-Schwachstellen bewegten sich laut Symantec dabei stets auf demselben Niveau. Und obwohl die Zahl neuer Android-Malware-Familien von 2014 bis 2016 erheblich gesunken ist (von 46 auf vier), stellt das Open-Source-Betriebssystem laut Symantec immer noch das Hauptziel für Hackerangriffe und Malware-Attacken auf mobile Endgeräte dar. Die Gesamtzahl der bösartigen Android Apps wuchs demnach im Jahr 2016 um 105 Prozent. Trotzdem ist das eine Verbesserung im Vergleich zum Vorjahr. Damals lag der Wert noch bei 152 Prozent.

Insbesondere für Unternehmen die BYOD praktizieren stellt die Bedrohung durch Android ein signifikantes Problem dar, wie Analyst Gold erklärt: "Diese Firmen haben überhaupt keine Wahl: Die Geräte gehören nicht ihnen und sie haben keinen Einfluss darauf, ob darauf das aktuellste Betriebssystem installiert ist. Einige Unternehmen lassen zwar nur Devices mit aktuellem OS ins Netzwerk, aber das ist die Ausnahme."

21 Android-Virenscanner im Test
AhnLab V3 Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Alibaba Mobile Security
Ergebnis Schutzwirkung: 4 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Antiy AVL
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Avast Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 5 Sterne
Baidu Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Bitdefender Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne
BullGuard Mobile Security
Ergebnis Schutzwirkung: 4,5 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Cheetah Mobile Clean Master
Ergebnis Schutzwirkung: 4,5 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Cheetah Mobile CM Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Eset Mobile Security & Antivirus
Ergebnis Schutzwirkung: 5,5 Sterne Ergebnis Benutzbarkeit: 6 Sterne
G Data Internet Security
Ergebnis Schutzwirkung: 5,5 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Ikarus mobile.security
Ergebnis Schutzwirkung: 5 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Intel Security McAfee Mobile Security
Ergebnis Schutzwirkung: 5,5 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Kaspersky Lab Internet Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Norton Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne
NSHC Droid-X
Ergebnis Schutzwirkung: 3 Sterne Ergebnis Benutzbarkeit: 6 Sterne
ONE App MAX
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Quick Heal Total Security
Ergebnis Schutzwirkung: 5,5 Sterne Ergebnis Benutzbarkeit: 5 Sterne
Sophos Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Tencent WeSecure
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne
Trend Micro Mobile Security
Ergebnis Schutzwirkung: 5,5 Sterne Ergebnis Benutzbarkeit: 5 Sterne

Symantec folgerte aus seiner Untersuchung, dass die kriminellen Hacker sich inzwischen darauf konzentrieren, neue Malware-Varianten aus bereits bekannten -Familien zu erstellen, statt gänzlich neue Bedrohungen zu erschaffen.

Auch iPhones werden gehackt

Das betrifft allerdings auch iOS-Geräte. Zero-Day-Schwachstellen sind bei Apples mobilem Betriebssystem zwar relativ rar gesät - dennoch wurden laut Symantec drei solcher Lücken im Jahr 2016 im Zuge zielgerichteter Angriffe ausgenutzt. Das Ziel der Hacker: die Infektion von iPhones mit der Pegasus Malware. Dabei handelt es sich um Spyware, die auf Nachrichten, Anrufe und E-Mails zugreift. Pegasus kann darüber hinaus auch Informationen von Apps abgreifen - beispielsweise Gmail, Facebook, Skype oder Whatsapp.

Den Opfern wird die Malware über einen Link in einer Text-Message feilgeboten. Bei Klick folgt der Jailbreak, was den Weg für den Schadcode freimacht. Zu den Sicherheitslücken, die die Pegasus-Attacke erst möglich machten, gehörte laut Symantec unter anderem eine Schwachstelle im Safari Webkit, die es kriminellen Hackern erlaubte, auf die iPhones ihrer Opfer zuzugreifen.

Schenkt man einem Whitepaper von J. Gold Associates und dem Ponemon Institute Glauben, kann die Infektion eines einzelnen Mobilgeräts mit Malware ein Unternehmen durchschnittlich knapp 9500 Dollar kosten. Sollte der Angreifer sich so die Zugangsdaten von Mitarbeitern verschaffen und Zugriff auf weitere Unternehmensdaten bekommen, belaufen sich diese Kosten bereits auf durchschnittlich 21.000 Dollar pro Endgerät - um den Angriff zu untersuchen und entsprechende Gegenmaßnahmen zu ergreifen.

7 Tipps gegen Hacker auf Smartphone, Tablet & Co.
Offenes Verderben
Öffentliche WLAN-Netzwerke stellen einen verbreiteten Angriffsvektor für Hacker dar, die auf der Suche nach privaten Daten sind. Sie sollten also wenn möglich stets den Umweg über VPN nehmen. Avast Software hat im Vorfeld des Mobile World Congress 2016 ein Experiment dazu am Flughafen von Barcelona durchgeführt. Das Ergebnis: Tausende MWC-Besucher hatten die Gefahr aus Bequemlichkeit ignoriert und ihre Devices und Daten aufs Spiel gesetzt.
Datenverzicht
Wo keine Daten sind, kann auch nichts gestohlen werden, verloren gehen oder missbraucht werden. Die erste Generation von Security-Lösungen für Mobile Devices versuchten die Geräte komplett abzuschirmen, um die Daten zu schützen. Inzwischen wissen wir, dass Device Management alleine nicht genügt. Verschiedene mobile Geräte und Betriebssysteme zu managen, kann dafür sorgen, dass IT-Abteilungen mit Anfragen überhäuft werden. Das wiederum fördert die allgemeine IT-Sicherheit in den betreffenden Unternehmen. Nicht.
Nonstop-No-Go
Ein weiterer Weg, Hacker vor den Kopf zu stoßen: Sorgen Sie dafür, dass Ihre Applikationen möglichst wenig Angriffsfläche bieten. Dazu sollten Sie sicherstellen, dass die Cyber-Bösewichte nicht massig Zeit haben, um einen strategischen Pfad zu Ihrer IP zu finden. Indem Sie dauerhafte Verbindungen gar nicht erst zulassen, machen Sie es den Angreifern schwer.
Vollstreckungsbescheid
Einer der schnellsten und einfachsten Wege, um Kontrolle über mobile Applikationen zu gewinnen: Prüfen Sie Ihre Richtlinien! Jedes Unternehmen sollte über einfach durchsetzbare Richtlinien verfügen, die sowohl den Zugriff der Mitarbeiter auf Mobile Apps als auch den Ressourcen-Zugriff der Applikationen selbst abdeckt. Angestellte, die nur über eine absehbare Zeit im Unternehmen sind, brauchen zum Beispiel keinen Zugriff auf das gesamte Netzwerk - stattdessen sollten sie nur auf die Applikationen zugreifen können, die sie für ihre Aufgaben benötigen. Übergreifende Berechtigungen von Third-Party-Apps sollten übrigens ebenfalls der Kontrolle der IT-Abteilung unterliegen und nicht den Mitarbeitern beziehungsweise Usern.
Schlüssel zum Glück
Security-Entwicklertools sind eine wunderbare Sache, wenn es um den Schutz Ihrer Daten geht. Mit jedem IT-Sicherheits-Layer wird es für die Netzschurken schwieriger, auf die Daten zuzugreifen. Klingt eigentlich logisch, oder? Und trotzdem ist das alles andere als "Business as usual".
Fusionsküche
IT-Sicherheit und der App-Entwicklungsprozess werden immer noch getrennt voneinander betrachtet. Dabei sollte Security längt im gesamten Entwicklungsprozess integriert sein - von den ersten Tests über die eigentliche Produktion bis hin zur Übermittlung an den App Store. Den Aspekt der IT-Sicherheit nicht in den Gesamtprozess mit einzubeziehen, kommt einem gewaltigen Fail gleich. Nur damit Sie Bescheid wissen.
Fremde Federn
Entwickler setzen bei der App-Entwicklung oft auf Komponenten von Dritten - zum Beispiel, wenn es um File-Format-Parsing oder Kompression geht. Diese modularen Bestandteile passen den Apps meist wie ein gut eingetragenes Paar Kampfhandschuhe und es wäre nicht effizient, diese jedesmal neu zu entwerfen. Allerdings sollten Ihre Entwickler in diesem Fall auf jeden Fall überprüfen, dass jede Komponente von Drittherstellern auf dem neuesten Stand ist. Auch nach Release!

Die meisten Hackerangriffe auf Smartphones und Tablets dienen dazu, vertrauliche Informationen zu stehlen - beispielsweise Kontaktlisten. Aber auch die Nutzung der Endgeräte um weitere maliziöse Nachrichten zu verschicken oder die Initiierung von DDoS-Attacken stehen bei Cyberkriminellen hoch im Kurs. Und Analyst Jack Gold erwartet für die Zukunft keine Besserung - im Gegenteil: "Ransomware wird die nächste große Bedrohung für mobile Devices. Ich kann mir zumindest nicht vorstellen, wieso es nicht so kommen sollte. Denken Sie mal darüber nach, was der Durchschnitts-User so auf seinem Smartphone hat. Wenn morgen ein Hacker Ihr Telefon als Geisel nimmt, wäre das wahrscheinlich ein ziemlich großes Problem."

Android Oreo für mehr Security

Es gibt jedoch Anlass zur Hoffnung. Laut William Stofega, Direktor für Mobile Phone Research bei IDC, hat Google seine Bemühungen bezüglich der Sicherheit des Android-Betriebssystems deutlich intensiviert: "Im Gegensatz zu früher, wo jeder den Quellcode ändern konnte, möchte Google die Kontrolle über sein Betriebssystem zurückgewinnen."

Inzwischen hat Google die neue Android-Version Oreo vorgestellt. In den nächsten Wochen rollt der Konzern das Betriebssystem zunächst für die eigenen Geräte Pixel, Pixel XL, Nexus 5X und Nexus 6P aus. Mit dem frisch veröffentlichten Android Oreo geht Google auch neue Wege in Sachen Sicherheit. So überprüft Oreo beispielsweise im Hintergrund alle installierten Apps auf schädliches Verhalten. Im folgenden Video sehen Sie, welche neuen Features Android 8 Oreo mitbringt:

Auch die Hersteller von Android-Smartphones und -Tablets bemühen sich inzwischen mehr um die IT-Sicherheit. Zum Beispiel Samsung: die Koreaner bieten mit ihrer kostenlosen Containerization App "Knox" eine Lösung, um persönliche Daten und Unternehmensdaten besser voneinander getrennt zu halten. Das schafft die App über eine virtuelle Android-Umgebung. Dabei wird ein Container erzeugt, auf dessen Inhalte ausschließlich entsprechend autorisierte Personen Zugriff haben. Alle Dateien und Daten innerhalb des Containers sind zudem verschlüsselt.

Dass Android-Smartphones also ein generelles Sicherheitsrisiko für Unternehmen darstellen, gehört ins Reich der Mythen. IDC-Chefanalyst Stofega bringt es auf den Punkt: "Es kommt ganz darauf an, wie Sie so ein mobiles Betriebssystem im Unternehmensumfeld einführen."

Warum Sie keine Mobile-Security-Strategie brauchen

Einer der ersten und einfachsten Schritte um vor Malware verschont zu bleiben, heißt: regelmäßige Software-Updates. Das ist leider nicht immer einfach zu bewerkstelligen, wie auch Stofega weiß: "Ich habe mit vielen IT-Managern gesprochen - die User wollen ihre Software oft nicht updaten. Aber das wäre eben verdammt wichtig."

Eine Mobile-Security-Strategie brauchen Unternehmen dennoch nicht, wie Jack Gold erklärt: "Sie sollten eine IT-Security-Strategie haben und ein Part davon sollte Mobile sein. Wenn Sie versuchen, hier etwas Eigenständiges für Smartphones und Tablets zu etablieren, könnte es sein, dass das überhaupt nicht zu dem Rest Ihrer Strategie passt. Wenn Sie hingegen eine übergreifende Sicherheitsstrategie haben, können Sie alle Dinge die Sie für mobile Endgeräte umsetzen wollen, dort einbetten. Optimieren Sie zuerst die allgemeine IT-Sicherheit und konzentrieren Sie sich anschließend darauf, was auf den einzelnen Devices möglich ist. In manchen Fällen gibt es dabei Abweichungen. Setzen Sie es einfach bestmöglich um."

Im Folgenden bekommen Sie noch einige Tipps von Jack Gold, William Stofega und Symantec, welche Sicherheits-Maßnahmen Unternehmen in diesem Zusammenhang (nicht nur) bei Android-Endgeräten treffen sollten:

Der Gerätehersteller kann ebenfalls eine Schlüsselrolle dabei einnehmen, Smartphones und Tablets im Unternehmen ganz allgemein sicherer zu machen. Wenn ein Hersteller dafür bekannt ist, Betriebssystem-Updates über Monate hinauszuschieben, sollte das ein Indikator für Sie sein, keine Hardware mehr von diesem Unternehmen zu beziehen.

Letztlich kommt man aber nicht umhin, auch in diesem Fall auf das Thema Awareness hinzuweisen: "Es geht dabei auch darum, die User auf Ihre Seite zu bekommen", weiß Gold. "Sie sollten Ihre Angestellten im Dialog darüber aufklären (lassen), warum IT-Sicherheit notwendig ist. Es gibt viele Unarten, die nur deshalb existieren, weil die User es einfach nicht besser wissen."

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpubliktion Computerworld.

Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten