iOS- vs. Android-Security
Welche Smartphones sind sicherer?
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Mobile Devices im Visier der Hacker
Laut Symantecs "Internet Security Threat Report" vom April 2017, haben sich die erkannten Security-Bedrohungen auf mobilen Endgeräten im Vergleich zum Vorjahr verdoppelt: 18,4 Millionen Malware-Infektionen stellten die Security-Experten fest:
Foto: Symantec
Die zwischen 2014 und 2016 festgestellten iOS-Schwachstellen bewegten sich laut Symantec dabei stets auf demselben Niveau. Und obwohl die Zahl neuer Android-Malware-Familien von 2014 bis 2016 erheblich gesunken ist (von 46 auf vier), stellt das Open-Source-Betriebssystem laut Symantec immer noch das Hauptziel für Hackerangriffe und Malware-Attacken auf mobile Endgeräte dar. Die Gesamtzahl der bösartigen Android Apps wuchs demnach im Jahr 2016 um 105 Prozent. Trotzdem ist das eine Verbesserung im Vergleich zum Vorjahr. Damals lag der Wert noch bei 152 Prozent.
Insbesondere für Unternehmen die BYOD praktizieren stellt die Bedrohung durch Android ein signifikantes Problem dar, wie Analyst Gold erklärt: "Diese Firmen haben überhaupt keine Wahl: Die Geräte gehören nicht ihnen und sie haben keinen Einfluss darauf, ob darauf das aktuellste Betriebssystem installiert ist. Einige Unternehmen lassen zwar nur Devices mit aktuellem OS ins Netzwerk, aber das ist die Ausnahme."
- AhnLab V3 Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Alibaba Mobile Security
Ergebnis Schutzwirkung: 4 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Antiy AVL
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Avast Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 5 Sterne - Baidu Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Bitdefender Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne - BullGuard Mobile Security
Ergebnis Schutzwirkung: 4,5 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Cheetah Mobile Clean Master
Ergebnis Schutzwirkung: 4,5 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Cheetah Mobile CM Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Eset Mobile Security & Antivirus
Ergebnis Schutzwirkung: 5,5 Sterne Ergebnis Benutzbarkeit: 6 Sterne - G Data Internet Security
Ergebnis Schutzwirkung: 5,5 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Ikarus mobile.security
Ergebnis Schutzwirkung: 5 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Intel Security McAfee Mobile Security
Ergebnis Schutzwirkung: 5,5 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Kaspersky Lab Internet Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Norton Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne - NSHC Droid-X
Ergebnis Schutzwirkung: 3 Sterne Ergebnis Benutzbarkeit: 6 Sterne - ONE App MAX
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Quick Heal Total Security
Ergebnis Schutzwirkung: 5,5 Sterne Ergebnis Benutzbarkeit: 5 Sterne - Sophos Mobile Security
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Tencent WeSecure
Ergebnis Schutzwirkung: 6 Sterne Ergebnis Benutzbarkeit: 6 Sterne - Trend Micro Mobile Security
Ergebnis Schutzwirkung: 5,5 Sterne Ergebnis Benutzbarkeit: 5 Sterne
Symantec folgerte aus seiner Untersuchung, dass die kriminellen Hacker sich inzwischen darauf konzentrieren, neue Malware-Varianten aus bereits bekannten -Familien zu erstellen, statt gänzlich neue Bedrohungen zu erschaffen.
Auch iPhones werden gehackt
Das betrifft allerdings auch iOS-Geräte. Zero-Day-Schwachstellen sind bei Apples mobilem Betriebssystem zwar relativ rar gesät - dennoch wurden laut Symantec drei solcher Lücken im Jahr 2016 im Zuge zielgerichteter Angriffe ausgenutzt. Das Ziel der Hacker: die Infektion von iPhones mit der Pegasus Malware. Dabei handelt es sich um Spyware, die auf Nachrichten, Anrufe und E-Mails zugreift. Pegasus kann darüber hinaus auch Informationen von Apps abgreifen - beispielsweise Gmail, Facebook, Skype oder Whatsapp.
Den Opfern wird die Malware über einen Link in einer Text-Message feilgeboten. Bei Klick folgt der Jailbreak, was den Weg für den Schadcode freimacht. Zu den Sicherheitslücken, die die Pegasus-Attacke erst möglich machten, gehörte laut Symantec unter anderem eine Schwachstelle im Safari Webkit, die es kriminellen Hackern erlaubte, auf die iPhones ihrer Opfer zuzugreifen.
Schenkt man einem Whitepaper von J. Gold Associates und dem Ponemon Institute Glauben, kann die Infektion eines einzelnen Mobilgeräts mit Malware ein Unternehmen durchschnittlich knapp 9500 Dollar kosten. Sollte der Angreifer sich so die Zugangsdaten von Mitarbeitern verschaffen und Zugriff auf weitere Unternehmensdaten bekommen, belaufen sich diese Kosten bereits auf durchschnittlich 21.000 Dollar pro Endgerät - um den Angriff zu untersuchen und entsprechende Gegenmaßnahmen zu ergreifen.
- Offenes Verderben
Öffentliche WLAN-Netzwerke stellen einen verbreiteten Angriffsvektor für Hacker dar, die auf der Suche nach privaten Daten sind. Sie sollten also wenn möglich stets den Umweg über VPN nehmen. Avast Software hat im Vorfeld des Mobile World Congress 2016 ein Experiment dazu am Flughafen von Barcelona durchgeführt. Das Ergebnis: Tausende MWC-Besucher hatten die Gefahr aus Bequemlichkeit ignoriert und ihre Devices und Daten aufs Spiel gesetzt. - Datenverzicht
Wo keine Daten sind, kann auch nichts gestohlen werden, verloren gehen oder missbraucht werden. Die erste Generation von Security-Lösungen für Mobile Devices versuchten die Geräte komplett abzuschirmen, um die Daten zu schützen. Inzwischen wissen wir, dass Device Management alleine nicht genügt. Verschiedene mobile Geräte und Betriebssysteme zu managen, kann dafür sorgen, dass IT-Abteilungen mit Anfragen überhäuft werden. Das wiederum fördert die allgemeine IT-Sicherheit in den betreffenden Unternehmen. Nicht. - Nonstop-No-Go
Ein weiterer Weg, Hacker vor den Kopf zu stoßen: Sorgen Sie dafür, dass Ihre Applikationen möglichst wenig Angriffsfläche bieten. Dazu sollten Sie sicherstellen, dass die Cyber-Bösewichte nicht massig Zeit haben, um einen strategischen Pfad zu Ihrer IP zu finden. Indem Sie dauerhafte Verbindungen gar nicht erst zulassen, machen Sie es den Angreifern schwer. - Vollstreckungsbescheid
Einer der schnellsten und einfachsten Wege, um Kontrolle über mobile Applikationen zu gewinnen: Prüfen Sie Ihre Richtlinien! Jedes Unternehmen sollte über einfach durchsetzbare Richtlinien verfügen, die sowohl den Zugriff der Mitarbeiter auf Mobile Apps als auch den Ressourcen-Zugriff der Applikationen selbst abdeckt. Angestellte, die nur über eine absehbare Zeit im Unternehmen sind, brauchen zum Beispiel keinen Zugriff auf das gesamte Netzwerk - stattdessen sollten sie nur auf die Applikationen zugreifen können, die sie für ihre Aufgaben benötigen. Übergreifende Berechtigungen von Third-Party-Apps sollten übrigens ebenfalls der Kontrolle der IT-Abteilung unterliegen und nicht den Mitarbeitern beziehungsweise Usern. - Schlüssel zum Glück
Security-Entwicklertools sind eine wunderbare Sache, wenn es um den Schutz Ihrer Daten geht. Mit jedem IT-Sicherheits-Layer wird es für die Netzschurken schwieriger, auf die Daten zuzugreifen. Klingt eigentlich logisch, oder? Und trotzdem ist das alles andere als "Business as usual". - Fusionsküche
IT-Sicherheit und der App-Entwicklungsprozess werden immer noch getrennt voneinander betrachtet. Dabei sollte Security längt im gesamten Entwicklungsprozess integriert sein - von den ersten Tests über die eigentliche Produktion bis hin zur Übermittlung an den App Store. Den Aspekt der IT-Sicherheit nicht in den Gesamtprozess mit einzubeziehen, kommt einem gewaltigen Fail gleich. Nur damit Sie Bescheid wissen. - Fremde Federn
Entwickler setzen bei der App-Entwicklung oft auf Komponenten von Dritten - zum Beispiel, wenn es um File-Format-Parsing oder Kompression geht. Diese modularen Bestandteile passen den Apps meist wie ein gut eingetragenes Paar Kampfhandschuhe und es wäre nicht effizient, diese jedesmal neu zu entwerfen. Allerdings sollten Ihre Entwickler in diesem Fall auf jeden Fall überprüfen, dass jede Komponente von Drittherstellern auf dem neuesten Stand ist. Auch nach Release!
Die meisten Hackerangriffe auf Smartphones und Tablets dienen dazu, vertrauliche Informationen zu stehlen - beispielsweise Kontaktlisten. Aber auch die Nutzung der Endgeräte um weitere maliziöse Nachrichten zu verschicken oder die Initiierung von DDoS-Attacken stehen bei Cyberkriminellen hoch im Kurs. Und Analyst Jack Gold erwartet für die Zukunft keine Besserung - im Gegenteil: "Ransomware wird die nächste große Bedrohung für mobile Devices. Ich kann mir zumindest nicht vorstellen, wieso es nicht so kommen sollte. Denken Sie mal darüber nach, was der Durchschnitts-User so auf seinem Smartphone hat. Wenn morgen ein Hacker Ihr Telefon als Geisel nimmt, wäre das wahrscheinlich ein ziemlich großes Problem."
Android Oreo für mehr Security
Es gibt jedoch Anlass zur Hoffnung. Laut William Stofega, Direktor für Mobile Phone Research bei IDC, hat GoogleGoogle seine Bemühungen bezüglich der Sicherheit des Android-Betriebssystems deutlich intensiviert: "Im Gegensatz zu früher, wo jeder den Quellcode ändern konnte, möchte Google die Kontrolle über sein Betriebssystem zurückgewinnen." Alles zu Google auf CIO.de
Inzwischen hat Google die neue Android-Version Oreo vorgestellt. In den nächsten Wochen rollt der Konzern das Betriebssystem zunächst für die eigenen Geräte Pixel, Pixel XL, Nexus 5X und Nexus 6P aus. Mit dem frisch veröffentlichten Android Oreo geht Google auch neue Wege in Sachen Sicherheit. So überprüft Oreo beispielsweise im Hintergrund alle installierten Apps auf schädliches Verhalten. Im folgenden Video sehen Sie, welche neuen Features Android 8 Oreo mitbringt:
Auch die Hersteller von Android-Smartphones und -Tablets bemühen sich inzwischen mehr um die IT-Sicherheit. Zum Beispiel Samsung: die Koreaner bieten mit ihrer kostenlosen Containerization App "Knox" eine Lösung, um persönliche Daten und Unternehmensdaten besser voneinander getrennt zu halten. Das schafft die App über eine virtuelle Android-Umgebung. Dabei wird ein Container erzeugt, auf dessen Inhalte ausschließlich entsprechend autorisierte Personen Zugriff haben. Alle Dateien und Daten innerhalb des Containers sind zudem verschlüsselt.
Dass Android-Smartphones also ein generelles Sicherheitsrisiko für Unternehmen darstellen, gehört ins Reich der Mythen. IDC-Chefanalyst Stofega bringt es auf den Punkt: "Es kommt ganz darauf an, wie Sie so ein mobiles Betriebssystem im Unternehmensumfeld einführen."