Ein Trend: Mobile Application Management
Zu den Entwicklungen, die den Bereich Mobile Security in den kommenden Monaten prägen werden, zählt die Integration von Funktionen für das Mobile Application Management (MAM) in Mobilbetriebssysteme. Dies ist unter anderem bei Samsung Knox und iOS 7 der Fall. Auch VMware beschreitet mit Horizon Mobile diesen Weg. Der Vorteil: Apps, die für die entsprechenden Betriebssysteme und Hardware-Plattformen freigegeben wurden, lassen sich ohne Hilfe von Tools verwalten, die Drittanbieter bereitstellen. Der Nachteil: Die Zahl der unterstützten Endgeräte und Betriebssystem-Versionen ist stark eingeschränkt.
MAM-Lösungen solcher Drittanbieter unterstützen dagegen eine breitere Palette von Endgeräten, etwa Android-Systeme unterschiedlicher Hersteller. Dafür muss die IT-Abteilung in Kauf nehmen, dass sich mit solchen Werkzeugen nur eine begrenzte Zahl von Apps verwalten lässt. Doch gleich, ob integraler Bestandteil eines Betriebssystems oder externe Applikation - eine zentrale Verwaltung von mobilen Anwendungen wird im Zusammenhang mit Mobile Security immer wichtiger.
- Android-Security
Wir zeigen Ihnen, was Sie zum Schutz Ihres Android-Smartphones tun können. - App-Verification
So könnten grundsätzlich viele Probleme gelöst werden: Die App-Verification, wie Google sie ab der Version 4.2 von Android unterstützt. (Quelle: Jiang-Studie) - App-Verification
Ab Android 4.2 Standard (hier unter Android 4.3): In den Sicherheitseinstellung des Geräts können die Anwender die Verifizierung der Apps durch den „App-Verification-Client“ einschalten. - App Ops Starter
Welche App auf dem Android-Gerät kann aktiv mit welchen Berechtigungen arbeiten? Der „App Ops Starter“ hilft, auf diese Berechtigungen unter Android 4.3 zuzugreifen. - App Ops Starter
Google+ wird standardmäßig mit sehr vielen Zugriffsrechten installiert: Durch den „App Ops Starter“ kann der Nutzer diese nachträglich überprüfen und der App auch wieder entziehen. - App Ops Starter
Einer der vielen Gründe, warum Anwender die Installation von APK-Paketen aus anderen Quellen als dem Google Play Store erlauben (müssen): Nur so können zum Beispiel Apps aus dem Amazon Store auf ein „Nicht-Kindle“-Gerät gelangen. - Mobile Sandbox
Wie sicher ist eigentlich die APK-Datei, die ich aus dem Web geladen habe: Mit der Web-App „Mobile Sandbox“ kann das überprüft werden. - Mobile Sandbox
Was haben andere Nutzer bereits testen lassen? Hat der Anwender der Veröffentlichung auf der Seite zugestimmt, so können auch die Prüfberichte anderer APK-Dateien direkt eingesehen werden. - Sophos Antivirus
Klassische AV-Lösung mit vielen Extras auf den Android-Geräten: Auf Wunsch blockiert die Sophos-Software den Zugriff auf ausgewählte Apps wie hier beispielsweise dem PlayStore durch ein zusätzliches Passwort. - Sophos Antivirus
Der Sicherheitsberater von Sophos „Free Antivirus and Security“: Er hilft dem Anwender bei der sicheren Konfiguration seines Geräts auch in deutscher Sprache. - Avira USSD Exploit Blocker
. Schutz vor USSD-Hacks: Die App des Anbieter Avira erläutert dem Anwender auch, wie und weshalb er sie auf seinem Android-Smartphone betreiben sollte. - Avira USSD Exploit Blocker
Eine URL wurde im Browser des Smartphones angeklickt. Der Nutzer kann entscheiden, mit welcher Anwendung diese geöffnet wird – der sichere Weg: Eine der Sicherheitslösungen gegen USSD-Angriffe wie Avira USSD Exploit wird zum Öffnen verwendet. - Avira USSD Exploit Blocker
Und hier zeigt sich, dass die URL wirklich einen USSD-Code übermitteln wollte: Hier war es „#6#“, um die IMEI-Nummer des Geräts auszulesen. - avast! Free Mobile Security
Sicherheit durch das Rooten? Wer die Anti-Theft-Lösung von Avast mit allen Möglichkeiten installieren und damit wirklich tief in das System einbringen möchte, muss das Gerät leider rooten. - avast! Free Mobile Security
Bei der Avast-Software können Nutzer ohne den richtigen Code keine Konfigurationsänderungen vornehmen: Sie sind so auch nicht einmal dazu in der Lage, ohne Eingabe des Codes ein Scan-Ergebnis näher zu betrachten. - avast! Free Mobile Security
Hat etwas enttäuscht: Egal wie es die Tester es auch drehten und wendeten – der EICAR-Teststring wurde von der Avast-Software einfach nicht entdeckt und als Problem angezeigt.
Eine weitere Entwicklung: Über MIM zu Mobile Risk Management
Bei den Anwendern und den Anbietern von Lösungen für das "mobile Unternehmen" gewinnt zudem ein weitere Aspekt an Bedeutung: die Absicherung und das Management der Daten selbst sowie der Verbindungen, über die diese Informationen transportiert werden. Das bestätigt auch F-Secure-Fachmann Rüdiger Trost: "Mobile Security hat viele Facetten, vom Virenschutz und einer Firewall auf einem mobilen Endgerät über den Schutz von Geschäftsinformationen mittels Verschlüsselung und Virtualisierung bis hin zu VPNs und speziellen Cloud-Sharing-Lösungen." Mithilfe gesicherter Cloud-Speicher können Geschäftskunden Daten auf sichere Weise mit Kollegen und Partnerfirmen teilen und gemeinsam bearbeiten.
"Allerdings sollte ein Unternehmen im Vorfeld festlegen, welche Daten in solchen Online-Speicherplätzen gespeichert werden dürfen. Dies setzt eine Klassifizierung der Unternehmensdaten und wirkungsvolle Policies voraus", so Trost weiter, Stichwort Mobile Information Management (MIM).
Derzeit beschränken sich Lösungen für das Mobile Information Management in der Regel auf Produkte, welche die Freigabe und das Synchronisieren von Dateien regeln, beispielsweise Citrix ShareFile oder AppSense DataNow. Ein "echtes" MIM sollte jedoch den Zugriff und den Transfer aller Arten von Informationen von und zu mobilen Systemen erfassen, etwa auch den Inhalt von E-Mails, nicht nur deren Attachments. Hier spielen andere IT-Disziplinen mit hinein wie etwas Data Loss Prevention und Information Lifecycle Management.
Oliver Schonschek, Research Fellow bei der Marktforschungs- und Beratungsfirma Experton Group, geht noch einen Schritt weiter: Angesichts der Risiken, die mit dem Einsatz von Mobile Enterprise Solutions verbunden sind, hält er ein Mobile Risk Management (MRM) für erforderlich. Dieser Ansatz stellt nicht alleine die Sicherheit von Geräten, Anwendungen oder Daten in den Mittelpunkt, sondern erfasst alle Risiken, die mit dem Einsatz von mobilen Systemen und Anwendungen für ein Unternehmen verbunden sind. MRM schließt eine Risikobewertung und Priorisierung von Maßnahmen mit ein. Somit sei ein Mobile Risk Management gewissermaßen der Überbau von MDM, MAM und MIM.