Firmenhandys: Sicherheitslücken bei Android-Geräten

Im Unternehmensalltag sind Smartphones und Tablets mittlerweile normal geworden. Egal, ob es sich dabei um geschäftlich genutzte Privatgeräte (Stichwort: „Bring Your Own Device“) oder um Firmenhandys handelt: Immer stellt sich die Frage nach der sicheren Einbindung der Mobile Devices in die Netzwerkumgebung. Sind Android-Geräte dabei prinzipiell unsicherer als die von der iOS-Konkurrenz?
ipad-605439_640
ipad-605439_640
Inhaltsverzeichnis

Android unsicherer als iOS?

Es gibt viele Unternehmen und Konzerne, die aus Gründen der Mobile Security eine strikte Hardware-Policy verfolgen und nur Mobilgeräte von Apple einsetzen. 2017 gab etwa VW den Umstieg von Blackberry aufs iPhone bekannt und versorgte seine Führungskräfte durchgängig mit den (damals noch recht aktuellen) Modellen iPhone SE.

Bei dieser Entscheidung spielten sicherlich auch Sicherheitsbedenken eine tragende Rolle. Lies hierzu mehr in unserem Whitepaper „Mobile Device Management“.

Aber sind denn iOS-Geräte wirklich sicherer als Android-Devices?

Mit einem Wort: Ja.

Sicherheitslücken auch bei iOS

Warum ist das so? Schließlich hat auch Apple seine Schwierigkeiten damit, sein mobiles Betriebssystem wasserdicht zu bekommen. Im Laufe der Jahre gab es immer wieder iOS-Sicherheitslücken – auch schwerwiegende – und mögliche Einfallstore.

ipad-605439_640

Zuletzt geriet Apple mit einem doppelten „Lauschangriff“ in die Kritik.

Erstens konnten durch eine Fehlprogrammierung im Video-Messenger Facetime die Mobilgeräte praktisch in eine Wanze umprogrammiert werden. Grundlage hierfür waren recht simple Manipulationen bei der Erstellung eines Gruppenanrufs über Facetime.

Zweitens konnte die für Hörgeschädigte gedachte iPhone-Funktion „Live Mithören“ mit Bluetooth-Kopfhörern ebenfalls quasi vom Hörgerät zum Abhörgerät umfunktioniert werden.

App-Sicherheit: Android vs. iOS

Aber: Aufgrund der „geschlossenen“ Apple-Welt und der rigiden Kontrolle neuer Apps im App Store bietet iOS grundlegend einen höheren Sicherheitsgrad. Apple handhabt den Zugang zum App Store sehr restriktiv: Anwendungen werden nur nach gründlichen Sicherheitsüberprüfungen zugelassen. Das heißt, dass ohne Ausschalten der nativen Sicherheitssperren („Jailbreak“) iPhones und iPads von Grund auf bereits ziemlich sicher sind.

Open Source macht Android angreifbarer

Im Gegensatz hierzu ist der Android-Quellcode als Open-Source-Lösung zumindest in Teilen der Öffentlichkeit zugänglich. Das macht es Hackern und anderen Cyberkriminellen prinzipiell einfacher, Sicherheitslücken zu identifizieren und Schadcode zu verteilen.

So kann sich der Play Store von Google zwar eines viel größeren Angebots an Apps rühmen. Im Android-Kosmos gelingt es aber immer wieder auch Fake-Apps, die Sicherheitsmaßnahmen des Play Stores zu überwinden und den Android-User*innen zum Download zur Verfügung zu stehen. Zuletzt machte eine Reihe gefälschter Banking-Apps im Play Store von sich reden.

android-199225_640Echt oder gefälscht? Im Play Store warten auch schädliche Fake-Apps auf arglose Nutzer*innen.

Komplizierte Update-Auslieferung bei Android

Eine Schwachstelle der Android-Betriebssysteme ist ihre Auslieferungskette. Während Apple neue iOS-Patches zentral an alle iOS-Nutzer*innen mit dem aktuellen mobilen Betriebssystem ausliefern kann, ist dies bei Android deutlich komplizierter: Google liefert das Update an den Chiphersteller, von dem geht es zum Hersteller des Smartphones. Dort wiederum werden die Fixes an den Mobilfunkanbieter weitergeleitet – und dann erst an die Kund*innen. Reißt ein Glied in der Kette, bleiben notwendige Sicherheitsupdates erstmal aus.

Sicherheitslücken bei Android-Firmenhandys

Der Albtraum für alle Sicherheitsverantwortlichen: Durch ein kompromittiertes Endgerät verschaffen sich Hacker Zugang zum Firmennetzwerk und schaden dem Unternehmen durch erpresserische Ransomware, Trojaner, Viren oder andere Handy-Malware.

Auf durchschnittlich 750.000 Euro Schaden bezifferte eine vom Endpoint-Security-Softwarehersteller SentinelOne beauftragte Studie den entstandenen Schaden in Unternehmen bei Erpressungstrojanern.

Diese Gefahr steigt natürlich mit der Anzahl unsicher (oder gar nicht) konfigurierter Geräte im Unternehmensnetzwerk. Erlauben Firmen ihren Angestellten zum Beispiel die berufliche Nutzung privater Geräte („Bring Your Own Device“), herrscht in der IT-Abteilung meist keine Klarheit darüber, welche und wie viele Clients überhaupt Zugang zum Firmennetzwerk haben (Stichwort: „Dark-BYOD“).


Problematisch: Privatgeräte im Job

Hier genügt es nicht, die Belegschaft für Aspekte der IT-Sicherheit einigermaßen zu sensibilisieren. Technische Lösungen wie ein Sicherheits-Container oder eine Mobile-Device-Management-Lösung sind hier dringend angeraten, um das Unternehmen vor Datenverlust und Datendiebstahl zu schützen.

Unsere Tipps für sicherere Android-Firmenhandys

  • Sensibilisiere deine Beschäftigten für den Gebrauch von Smartphones im Unternehmen in Bezug auf …
    • Passwörter
    • Social Engineering
    • Malware
    • lokal gespeicherte Inhalte
    • unsichere Zugänge (z. B. öffentliche WLAN-Netze)
  • Sensibilisiere deine Beschäftigten in Bezug auf Datenschutzfragen (z. B. Verwendung von WhatsApp auf dem Firmenhandy)
  • Sorge für eine klare Mobile Policy
  • Überdenke deine Mobile Strategy
  • Implementiere eine technische Sicherheitsbarriere: entweder eine Container-App oder ein MDM, das eine solche enthält
  • Ruf‘ uns an: 030 516958275

Android-Sicherheitslücken: Weblinks

Mobile Threat Defense

Wir helfen euch, eure Mobilgeräte gegen Angriffe abzusichern.

Everphone

Empfohlene Artikel

10069

Gehackte iPhones: mobile Sicherheitslücken bei Apple

10349
Open Source MDM Android

Open-Source-MDMs für Android-Firmenhandys

9475

Android Enterprise – Funktion und Nutzen

9480
10104
mdm android enterprise

MDM Android Enterprise – flexible digitale Datenplattform

10111
Mobile-Device-Management_Android_iOS

Mobile Device Management für Android und iOS

Bleib' in Verbindung

Mit unserem Newsletter bekommst du die neuesten Informationen über mobile Arbeit und mobile Geräte in deinen Posteingang. Abonniere ihn hier und wir halten dich auf dem Laufenden. Du kannst uns auch auf unseren Social-Media-Kanälen folgen, um weitere Einblicke und Updates zu Everphone zu erhalten.

Blog-Kategorien

Mobiles Arbeiten

Nachhaltigkeit

Business-Mobilfunktarife

Technologie

Employer Branding

Datensicherheit

Downloads

Expertenwissen mit unseren Whitepapers

Vertiefte Lektüre zur Mobilgeräteverwaltung aus Sicht von IT, HR und Technischem Einkauf gibt es in unseren Papers. Der Download ist kostenlos.

Report: Mobilgeräte und Nachhaltigkeit

Whitepaper: Mobile Sicherheit

Whitepaper: Firmenhandys als Benefit