Security-Lösung für Unternehmen

Samsung KNOX - Sicherheit für Android

20.01.2014 von Thomas Joos
Sichere Android-Plattform, geschützte Apps und Daten sowie eine umfassende Gerätekontrolle; all das will Samsung mit seiner KNOX-Technologie erschlagen. KNOX soll Smartphones und Tablets der Galaxy-Serie für den Business-Einsatz fit machen. Lesen Sie, was Samsungs Security-Lösung kann und wo die Grenzen liegen.

Samsung will zukünftig nicht nur Endgeräte im Consumerbereich verkaufen, sondern auch im Business-Bereich Fuß fassen. Da Unternehmen immer mehr auf den Bring-Your-Own-Device-Ansatz (BYOD) setzen, also Anwendern erlauben ihre privaten Geräte mit dem Firmennetzwerk zu verbinden, muss sich Samsung etwas einfallen lassen, um Android-Geräte salonfähig zu machen.

Android ist im Vergleich zu den anderen verbreiteten Smartphone-Systemen im Firmenbereich deutlich unsicherer, was nicht zuletzt an der starken Fragmentierung der Versionen liegt und der offenen Struktur des Betriebssystems.

Was ist KNOX überhaupt?

Die grundsätzliche Sicherheitsfunktion von Samsung KNOX besteht auf Basis des NSA-Systems Security Enhanced Android (SE Android) und einem besonders gesicherten Bootloader; in Verbindung mit speziell abgesicherter Hardware. KNOX unterstützt auch Secure Boot. Das heißt, bereits beim Starten des Gerätes lässt sich sicherstellen, dass keine Schadsoftware geladen wird, obwohl KNOX noch gar nicht gestartet ist.

Bildergalerie:
Samsung Knox
Knox soll Smartphones und Tablets der Galaxy-Serie für den Business-Einsatz fit machen.
Samsung Knox
Die Technologie trennt private Apps und Daten von den Unternehmens-Anwendungen.
Samsung Knox
Die Knox-Technologie setzt sich aus verschiedenen Verfahren zusammen. Hierzu zählt beispielsweise Secure Boot.
Samsung Knox
Die Authentizität des Android-Kernels wird durch Secure Boot überprüft. Das heißt, bereits beim Starten des Gerätes lässt sich sicherstellen, dass keine Schadsoftware geladen wird, obwohl Knox noch gar nicht gestartet ist.
Samsung Knox
Enterprise-Anwendungen laufen in einem abgeschotteten und verschlüsselten Knox-Container.
Samsung Knox
Knox arbeitet mit vielen MDM-Lösungen zusammen.
Samsung Knox
Knox schützt das Betriebssystem durch "SE für Android", die auf SELinux basiert. SE für Android schützt das OS durch Aufteilung in Sicherheits-Domänen.
Samsung Knox
Samsung verwendet bei Knox auch die Integrity Measurement Architecture TIMA. Das TIMA-Modul überwacht den Kernel des Betriebssystems auch ohne Knox-Aktivierung. Das Modul soll sicherstellen, dass keine Sicherheitsprobleme vorliegen.
Samsung Knox
Bei Samsungs Knox-Container handelt es sich um eine Android-Umgebung innerhalb des Geräts, komplett mit eigener Startseite, Startbildschirm, Apps und Widgets.
Samsung Knox
Knox arbeitet mit einer 256-Bit-AES-Verschlüsselung.
Samsung Knox
Die Umgebung erlaubt es Administratoren, die Einrichtung von VPNs für einzelne Apps in Knox zu konfigurieren.
Samsung Knox
Samsung unterstützt mit Knox viele Verwaltungslösungen (MDM).

Samsung verwendet hierbei auch die Integrity Measurement Architecture TIMA. Das TIMA-Modul überwacht den Kernel des Betriebssystems auch ohne KNOX-Aktivierung. Das Modul soll sicherstellen, dass keine Sicherheitsprobleme vorliegen. Auf Wunsch schaltet das Modul das Gerät ab, wenn der Kernel kompromittiert ist. Security Enhancements for Android lassen sich auch mit KNOX nutzen. Diese sorgen dafür, dass wichtige Daten und Apps in isolierten Bereiche gespeichert werden. Das verhindert die Auswirkungen eines Angriffs auf das Gerät.

KNOX ist eine Erweiterung von Samsung für Enterprise (SAFE), damit mehr Unternehmen auch dienstlich den Einsatz von Android-Geräten erlauben. Bestandteil der neuen Funktion ist zum Beispiel auch die Möglichkeit automatisch die Kamera im Smartphone zu deaktivieren, sobald der Anwender das Firmengelände betritt. Außerdem soll KNOX verhindern, dass Viren auf den Endgeräten in das Firmennetzwerk eindringen oder wichtige Firmendaten auf den Endgeräten zerstören oder auslesen.

KNOX nur auf bestimmten Galaxy-Geräten

Sinn des Systems soll sein, auf Endgeräten mehrere Android-Versionen parallel zu installieren. Das funktioniert natürlich nur mit spezieller Hardware, zum Beispiel dem Galaxy Note 4 und dem neuen Galaxy Note 10.1.

Durch die beiden Systeme auf den Geräten, kann ein Anwender Profile anlegen. So besteht die Möglichkeit ein privates System und ein abgesichertes berufliches Profil auf ein und demselben Gerät zu verwenden. Samsung will in Zukunft weitere Geräte kompatibel mit KNOX machen, zum Beispiel das Galaxy S3 durch ein spezielles Update. Welche Android-Versionen und Samsung-Geräte zukünftig mit KNOX zusammen arbeiten, ist aktuell noch nicht klar. Es ist aber zu erwarten, dass vor allem die Galaxy-Geräte und Note-Geräte kompatibel mit KNOX gemacht werden. Samsung führt auf der eigenen KNOX-Webseite alle unterstützten Geräte auf.

Da KNOX den beruflichen Teil vom geschäftlichen Teil trennt, schützt es Anwender allerdings nicht davor, sich unsichere Apps oder Viren auf dem Gerät zu installieren. Hier kann die Anwendung nicht eingreifen. Das heißt, Unternehmen, die KNOX einsetzen wollen, müssen parallel noch für Sicherheit auf dem privaten Teil des Smartphones sorgen.

Ablauf bei der Anbindung von KNOX

Der Ablauf bei der Anbindung eines KNOX-kompatiblen Gerätes an das Firmennetzwerk ist folgender: Das Gerät des Anwenders wird in die MDM-Software (Mobile Device Management) des Unternehmens integriert und KNOX installiert. Nach der Anbindung und der Installation von KNOX findet der Anwender auf dem Homescreen seines Gerätes ein neues Icon für KNOX.

Abgeschottet: Die Technologie trennt private Apps und Daten von den Unternehmens-Anwendungen.
Foto: Samsung

Klickt der Anwender dieses Icon an, öffnet sich die sichere Umgebung von KNOX, inklusive einem eigenen App-Store. Die Technik ist ähnlich zu Blackberry Balance. Andere Einstellungen auf dem Endgerät ändern sich nicht, der Anwender kann, wie zuvor auch, problemlos weiterhin parallel mit seinem Gerät arbeiten.

KNOX wird nicht als paralleles Betriebssystem genutzt. Anwender müssen für die Verwendung von KNOX also nicht ihr System neu starten, sondern die KNOX-Umgebung stellt ein "Unterbetriebssystem" dar, welches im laufenden Betrieb gestartet und auch wieder beendet werden kann. Die Firmendaten bleiben ausschließlich im entsprechend abgesicherten Bereich gespeichert. Die KNOX-Umgebung, gestartet durch ein neues Icon auf dem Homescreen, verfügt dann wiederum über einen eigenen Homescreen mit eigenem Launcher, eigenen Apps und eigenen Widgets.

Privates und Geschäftliches auf einem Smartphone

Durch die strikte Trennung der beiden Systeme, können Anwender ihr Smartphone privat und beruflich nutzen. Bestandteil von Security Enhanced Edition von Android ist auch eine Verschlüsselung. Da das System eigentlich von der NSA entwickelt wurde, bleibt natürlich ein Beigeschmack bezüglich der Abhörsicherheit.

Auf der anderen Seite handelt es sich bei SE Android um eine Open Source-Linux-Lösung. Das heißt, Hintertürchen für die amerikanischen Geheimdienste wären mittlerweile entdeckt worden. Im Fokus der NSA stehen im Bereich Android im Übrigen vor allem die Absicherung von Android vor gegnerischen Spionageangriffen, weniger die eigenen Abhörmöglichkeiten. Nach ersten Tests soll keine Backdoor enthalten sein. Verlassen sollte man sich allerdings darauf nicht, denn die NSA ist nicht gerade bekannt dafür, sichere Anwendungen für externe Nutzer zu programmieren.

SE-Android ist allerdings auch Bestandteil von AOSP (Android Open Source Project). Das heißt, Sicherheitslücken oder Hintertüren werden normalerweise durch Entwickler erkannt und beseitigt, sollten welche vorhanden sein.

KNOX und das Rooten

Viele Android-Anwender, vor allem Profis rooten ihr Gerät. Dadurch erhalten sie mehr Zugriff auf die Funktionen von Android und dessen Dateisystem. Das ist auch beim Einsatz von KNOX möglich. Allerdings lässt sich zum einen nur der private, nicht der von KNOX abgesicherte Teil rooten. Zum anderen erkennt der KNOX-Teil den Root-Vorgang und protokolliert diesen auch.

Secure Boot: Die Authentizität des Android-Kernels wird beim Booten überprüft. Das heißt, bereits beim Starten des Gerätes lässt sich sicherstellen, dass keine Schadsoftware geladen wird, obwohl KNOX noch gar nicht gestartet ist.
Foto: Samsung

Die Hardware von KNOX-kompatiblen Geräten erkennt einen Root-Vorgang in den meisten Fällen mit einer durchgebrannten E-Fuse. Das heißt, bei Hardware-Problemen mit einem gerooteten Endgerät, kann Samsung die Garantie für solche Geräte ausschließen. Die Administratoren im Unternehmen erkennen außerdem solche Vorgänge und können gerootete Geräte von der Firmenumgebung ausschließen.

Standardmäßig blockiert KNOX den Zugriff auf den verschlüsselten Teil der Daten, sobald das Gerät einen Root-Zugriff erkennt. Auch hier wird der Root-Vorgang durch die durchgebrannte E-Fuse erkannt. Das heißt, hier sollten sich Anwender vor der Anbindung an KNOX mit den Administratoren des Unternehmens absprechen.

Private Daten und Berufliche Daten nutzen

KNOX beeinträchtigt Smartphones oder auch Tablets ansonsten nicht. Die Anwender können ihr Gerät uneingeschränkt privat und beruflich nutzen. Auch Apps aus Google Play lassen sich weiterhin problemlos installieren. Allerdings stehen diese Apps nicht in der KNOX-Umgebung zu Verfügung.

Der einzige Unterschied ist der Sachverhalt, dass ein zweites System auf dem Gerät verfügbar ist, welches Anwender aus ihrer Standard-Umgebung heraus starten können. Über ein Icon auf dem Homescreen lässt sich die sichere Umgebung schnell und unkompliziert starten. Die Daten der beiden Systeme sind voneinander getrennt. Das heißt, der berufliche und durch KNOX abgesicherte Teil, hat keinen Zugriff auf die privaten Daten und umgekehrt. Die beiden Systeme sind komplett voneinander abgeschottet. Allerdings erscheinen die privaten Termine im KNOX-Kalender. Umgekehrt sind die geschäftlichen Termine aus dem KNOX-Container aber nicht im privaten Kalender zu sehen. Auch der lesende Zugriff auf Kontaktdaten, die außerhalb des Containers liegen, ist möglich. Diese Vorgänge muss der Anwender aber erst erlauben.

Encryption: KNOX arbeitet mit einer 256-Bit-AES-Verschlüsselung.
Foto: Samsung

Die beruflichen Daten verweilen in einem so genannten KNOX-Container. Dieser soll, laut Samsung, auch vor Malware, Phishing und physischem Zugriff auf das Endgerät geschützt sein. Das heißt, auch beim Verlust oder Diebstahl des Gerätes sollen die durch KNOX geschützten Daten sicher sein. Die Daten in diesem Container sind durch eine zertifizierte Advanced Encryption Standard (AES) mit 256-bit-Verschlüsselung (AES-256) gesichert. Die Prozesse im KNOX-Container können nicht mit außenliegenden Apps oder Prozessen interagieren.

Administratoren haben die Möglichkeit, den KNOX-Container und dessen Daten vom Endgerät des Anwenders zu entfernen. Die privaten Daten des Anwenders sind davon nicht betroffen.

MDM und mehr mit KNOX

Samsung unterstützt mit KNOX viele Verwaltungslösungen (MDM). Das ist klar, da sich solche komplexen Umgebungen nur mit einer zentralen Lösung nutzen lassen. Mit KNOX können Unternehmen außerdem VPN-Szenarien darstellen, auf Verwaltungslösungen Dritter setzen, und auf Basis von Exchange ActiveSync die gesicherte Android-Version auch an Exchange anbinden. Alle Daten in der KNOX-Umgebung sind AES-verschlüsselt. Die Umgebung erlaubt es Administratoren, die Einrichtung von VPNs für einzelne Apps in KNOX zu konfigurieren.

MDM: KNOX arbeitet mit vielen etablierten Lösungen zusammen.
Foto: Samsung

Auch hier bleiben die gesicherten Daten in der KNOX-Umgebung. Im Rahmen dieser zentralen Verwaltung können Administratoren remote auch Apps auf den Endgeräten installieren oder entfernen. Allerdings unterstützt die KNOX-Umgebung hier nicht die offiziellen Android-Apps aus Google Play, sondern nur die besonders abgesicherten und signierten KNOX-Apps von Samsung.

Auch die Absicherung von Daten und die Anpassung von Rechten sind möglich. KNOX kann nicht nur von Anwendern manuell aktiviert werden, sondern kann sich in bestimmten Szenarien auch automatisch aktivieren, zum Beispiel wenn ein Anwender ein Firmengebäude betritt. Wie bei solchen Anwendungen üblich, lassen sich mit KNOX auch Hardware-Funktionen, wie die Kamera oder Speicherkarten deaktivieren. Darüber hinaus besteht die Möglichkeit, KNOX-abgesicherte Geräte remote zurückzusetzen.

Fazit

Das Android für Unternehmen nicht gerade die sicherste Umgebung ist, stellt kein Geheimnis dar. Samsung will auf der anderen Seite, als Marktführer bei Android-Geräten, auch im Business-Bereich punkten. Hier muss jedoch Sicherheit und Verwaltbarkeit her.

KNOX stellt durchaus einen interessanten Ansatz dar, vor allem Angesichts der Tatsache, dass Android derzeit mit Abstand das verbreitetste Smartphone-System ist. Unternehmen, die den BYOD-Ansatz verfolgen, kommen daher um die Anbindung von Android-Geräten kaum herum. Hier kann KNOX durchaus sinnvoll sein.

Allerdings ist die Umgebung auch stark eingeschränkt und erfordert einiges an Sicherheitswissen von den Anwendern. KNOX blendet nämlich immer Informationen ein, wenn das System denkt, eine App würde Zugriff auf das System nehmen. Das kann Anwender schnell überfordern. Einen Blick ist die Lösung in jedem Fall wert. (cvi)