Dual-Persona-Lösung

First Look: Samsung Knox für Privatkunden

21.01.2014 von Manfred Bremmer
Bei den Bemühungen, Unternehmen seine Android-Geräte als Alternative zu iOS-Devices und Blackberrys schmackhaft zu machen, spielt der koreanische Handy-Riese Samsung mit Knox einen weiteren Trumpf aus. Die COMPUTERWOCHE hat sich die jetzt auch für Endkunden verfügbare Dual-Persona-Lösung genauer angeschaut.
Samsung hat mit Knox eine Lösung für ByoD-Szenarien und Android zusammengestellt.
Foto: Samsung

Anders als Google ist Samsung ernsthaft daran interessiert, Android nach dem großen Erfolg bei Endkunden auch im Business stärker zu etablieren. Dazu stellen die Koreaner bereits seit längerem im Rahmen des SAFE-Programms für ihre Flaggschiffe der Galaxy-Reihe zusätzliche Verwaltungsschnittstellen bereit. Diese erlauben es Administratoren, Business- Smartphones und -Tablets über ein Mobile-Device-Management-System stärker zu kontrollieren, als das etwa mit „Plain Android“ möglich ist.

Im vergangenen Frühjahr hat der Hersteller außerdem auf dem Mobile World Congress (MWC) in Barcelona „Samsung Knox“ vorgestellt. Die Dual-Persona- oder Container-Lösung errichtet auf neueren Galaxy-Geräten eine sichere Arbeitsumgebung mit eigenem Startbildschirm, Apps sowie Widgets. Knox ist damit besonders für Anwender gedacht, die ihr Smartphone oder Tablet sowohl privat wie auch beruflich nutzen - etwa in ByoD-Szenarien. Technisch basiert das System auf dem von der NSA (für die interne Android-Nutzung) entwickelten, gehärteten „Security Enhanced Android“ (SE Android) sowie auf spezielle Integritäts-Management-Services von Partnern, die sowohl in der Hardware wie auch dem Android-Framework integriert sind.

Grafik: Das macht Samsung Knox trotz Android-Basis sicher
Foto: Samsung

Inzwischen ist das Programm auch für Endanwender verfügbar - möglicherweise um Werbung für die Business-Version zu machen, die seit Ende 2013 auch in Europa genutzt werden kann. So weist auf dem Galaxy Note 3 bereits ein vorinstalliertes Knox-Symbol auf die App hin, während es erst kürzlich mit dem letzten Firmware-Upgrade (Android 4.3) auf das Smartphone-Flaggschiff Galaxy S4, dessen Vorgänger Galaxy S3 und das Galaxy Note 2 gelangte. Die nun deutlich gestiegene Verbreitung ist auf jeden Fall Grund genug, Samsung Knox einem näheren Blick zu unterziehen.

Langwierige Installation

Zu Risiken und Nebenwirkungen...

Wer Samsung Knox auf seinem Galaxy-Smartphone oder -Tablet installieren will, muss sich seiner Sache sicher sein. Nicht genug damit, dass die App auf dem Gerät stolze 133 MB Speicher belegt, der Nutzer darf sich außerdem nicht von den Geschäftsbedingungen und der dazugehörigen Datenschutzrichtlinie, denen er zustimmen muss, abschrecken lassen. Und selbst wenn dies geschehen und der Download abgeschlossen ist, geht es nicht gleich zur Sache, jetzt gilt es Passwort (mindestens sechs Zeichen, darunter eine Ziffer) und Passwort-Timeout festzulegen. Zur Auswahl stehen 5, 10, 15, 20 oder 30 Minuten. Alternativ kann der Nutzer auch festlegen, dass er sich automatisch ausgeloggt, sobald der Bildschirm ausgeschaltet wird. Als weiteren Schritt muss der Anwender außerdem eine Sicherungs-PIN festlegen – diese liefert nach 16 Falscheingaben (von 20 möglichen) einen Hinweis (erstes und letztes Zeichen) auf das Passwort.

Die Funktionen

Geschafft: Der Knox-Homescreen gibt sich relativ unspektakulär, kann aber angepasst werden.

Wer nach diesen – je nach Download-Geschwindigkeit – drei bis 13 Minuten noch nicht die App geschlossen hat, ist nun endlich am Ziel angelangt: dem eigenen Knox-Modus beziehungsweise -Container. Dieser gibt sich wenig spektakulär mit eigenem (anpassbaren) Startbildschirm, auf dem bereits die Icons einiger vorinstallierter Apps platziert sind, als Hinweis auf die Verschlüsselung (AES-256 FIBS) tragen sie an der rechten unteren Ecke das Knox-Symbol in Form eines Schlüssellochs. Außerdem weist ein Symbol den Weg zurück zum normalen Homescreen.

Per Default im Knox-Container vorhanden sind etwa E-Mail, Kamera, Internet (Browser), Eigene Dateien, Galerie, Downloads sowie die Samsung-Apps „S Memo“ und „S Planner“. Weitere teils kostenpflichtige, teils gratis erhältliche Apps gibt es im dazugehörigen Knox-Appstore. Das Angebot ist mit unter 50 Einträgen aktuell aber nicht gerade umfangreich, selbst wenn Apps wie „Polaris Office“, „ES File Explorer“, „Evernote“ oder „Wunderlist“ die wichtigsten Nutzungsbereiche abdecken.

Knox Appstore: Aktuell stehen 44 Apps zum Download bereit, darunter einige gute Bekannte.

Man darf bei dieser leichten Kritik allerdings nicht vergessen, wozu der Container eigentlich gedacht ist und diese Aufgabe erfüllt Knox ziemlich gut: So sind etwa Screenshots nicht möglich, auch das Kopieren und spätere Einfügen von Text (etwa aus S-Memo) funktioniert nur innerhalb des Knox-Containers. Hundertprozentig klappt die Trennung zwischen Beruflichem und Privatem allerdings nicht: Während man bei der Installation von Knox mit leeren Ordnern und einem frischen Browser startet, werden die Kontakte und Telefonie (einschließlich Verlauf) mit dem offenen, privaten Bereich geteilt. Eine klare Trennung ist ohne die Möglichkeit von zwei verschiedenen Rufnummern aber sowieso nicht machbar.

Noch ein paar Worte zum Unterschied zwischen Knox für Verbraucher und für Unternehmen: Zunächst einmal ist die Version für Privatanwender kostenlos, während für die Nutzung im Business Samsung-KNOX-Lizenzen zum Preis von monatlich knapp vier Dollar (UVP) erworben werden müssen. Weitere Voraussetzung für den Enterprise-Einsatz ist ein MDM-System. Aktuell wird Samsung Knox von Playern wie Airwatch, Citrix, MobileIron, SAP/Sybase oder Soti unterstützt. Dabei gibt es jedoch Unterschiede, Airwatch unterstützt beispielsweise laut Samsung aktuell nur 43 der 73 Knox-Richtlinien, Soti dagegen 58 Policies. Auch in diesem Bereich geht allerdings Qualität vor Quantität, weshalb sich ein zweiter Blick auf die Liste der unterstützten Features empfiehlt.

Bei der Verbraucher-Version können außerdem die Daten zu Sicherungszwecken aus dem Knox-Ordner herausgeholt werden, während dies im Unternehmenseinsatz eher unerwünscht ist. Hier können Admins wiederum die kompletten Inhalte im Knox-Container remote löschen, was Privatnutzern nicht möglich ist.

Fazit: Gut, aber nicht für jeden Zweck perfekt

Summa summarum handelt es sich bei der Consumer-Version von Samsung Knox um eine – von der Installation abgesehen – ziemlich praktikable Lösung, um sensible Geschäftsdaten auf dem privaten Smartphone vor dem Zugriff Dritter zu sichern. Geht es nur darum, eine Art Kindersicherung für Dokumente, Bilder etc. auf dem Gerät zu haben, gibt es sicher geeignetere Lösungen, etwa Andlock. Auch der Wechsel zwischen privatem und beruflichen Modus könnte besser gelöst sein, ideal ist hier klar die Wischbewegung in (dem nicht ohne BES10 nutzbaren) Blackberry Balance.

BB
Blackberry Balance auf dem Blackberry Z10
Mit Blackberry Balance kann der Anwender auf dem Gerät mit einem einfachen Wisch zwischen zwei Icons wählen, ob er vom privaten...
Blackberry Balance auf dem Blackberry Z10
...in den beruflichen Modus wechselt – und umgekehrt.
Blackberry Balance auf dem Blackberry Z10
Entscheidet er sich für den geschäftlichen Bereich, werden die private Inhalte nach dem Einloggen komplett ausgeblendet.
Blackberry Balance auf dem Blackberry Z10
Im Privat-Modus sind zuletzt geöffnete Business-Apps zwar noch sichtbar, aber passwortgesichert.
Blackberry Balance auf dem Blackberry Z10
Zusätzliche Programme findet der Nutzer in der geschäftlichen Blackberry World – einer Art Corporate AppStore. Hier können Unternehmen ihren Anwendern Enterprise-Anwendungen...
Blackberry Balance auf dem Blackberry Z10
...oder erwünschte oder zumindest geduldete öffentliche Apps bereitstellen.
Blackberry Balance auf dem Blackberry Z10
My World wiederum ist eine Sektion mit bereits geladenen Apps.
Blackberry Balance auf dem Blackberry Z10
Mit der App Blackberry Work Drives ist sogar der sichere Zugriff auf File-Systeme innerhalb des Unternehmens möglich.