30.09.2015
Container-Lösungen
1. Teil: „Daten auf Smartphones und Tablets schützen“
Daten auf Smartphones und Tablets schützen
Autor: Bernd Reder
Fotolia / everythingpossible
Container packen die Daten in einen geschützten Bereich, sind jedoch keine Patentlösung, um Geschäftsdaten auf Smartphones und Tablets abzusichern.
Smartphones und Tablet-Rechner sind für Cyberkriminelle wahre Fundgruben. Denn auf ihnen speichern die Nutzer jede Menge wertvoller Informationen – von Geschäftsadressen über Umsatzpläne bis hin zu privaten Bankdaten. Um solche Informationen zu schützen, entwickeln IT-Sicherheitsunternehmen sogenannte Container und packen wichtige Daten und Anwendungen in diesen geschützten Bereich auf dem Mobilgerät.
Container und Virtualisierung
Um Unternehmensdaten und Anwendungen auf Mobilsystemen vor Missbrauch oder Diebstahl zu schützen, gibt es mehrere Optionen. Dazu gehören insbesondere:
- der Einsatz von virtualisierten Desktop-Umgebungen (Virtual Desktop Infrastructure, VDI)
- die Implementierung von zwei Systemumgebungen auf dem Endgerät mittels Virtualisierung (Typ-1-Virtualisierung)
- die Trennung von privaten und geschäftlichen Apps und Informationen durch den Einsatz von Containern
Bei einer VDI werden die Anwendungen, Daten und die Desktop-Umgebung zentral in einem Rechenzentrum gehostet. Der Nutzer greift über eine sichere Internetverbindung auf diese Informationen zu. Der Vorteil: Die IT-Abteilung hat die Kontrolle über Anwendungen und Unternehmensdaten, sie kann zentral Datensicherungen vornehmen, Patches einspielen oder neue Versionen von Anwendungen bereitstellen. Zu den Nachteilen zählt, dass eine Verbindung zwischen dem Rechenzentrum und dem Smartphone, Tablet oder Notebook bestehen muss. Außerdem ist es erforderlich, auf den Endsystemen eine angepasste Oberfläche des Desktops bereitzustellen, allein deshalb, weil die Displays unterschiedliche Größen und Auflösungen aufweisen.
„Desktop-Virtualisierung ist das sicherste Mobile-Security-Konzept, weil keine Daten auf dem Gerät verweilen, sondern alles zu 100 Prozent via Streaming zur Verfügung gestellt wird“, sagt Sascha Rosbach, Senior Sales Manager Mobility Central Europe bei Citrix. „In der Realität stellt jedoch die Anforderung, dass der Nutzer stets online sein muss, das praktische mobile Arbeiten selbst infrage. Denn es ist nicht in jedem Fall eine Online-Verbindung verfügbar.“ Rosbach sieht daher in VDI eine „Ergänzung zum mobilen Arbeiten, weil Anwender Standard-Anwendungen direkt in die mobilen Geräte integrieren können, ohne dass eine spezifische Entwicklung von Apps erforderlich ist“.
2. Teil: „Sicherheit für Geschäftsdaten auf mobilen Geräten“
Sicherheit für Geschäftsdaten auf mobilen Geräten
Die Schwachstellen von Virtualisierung oder VDI-Umgebungen vermeiden mobile Container. Ein Großteil der Anbieter von Mobile-Security-Software hat Container-Lösungen entwickelt oder unterstützt solche Produkte. Dazu zählen Citrix, MobileIron, VMware Airwatch, Good Technology, Samsung, Maas360 (IBM) und Symantec.
Ein Container ist ein verschlüsselter Bereich auf einem Smartphone oder Tablet, der mit Hilfe einer speziellen Software eingerichtet wird und nur nach Eingabe eines Passworts zugänglich ist. Vor allem in Unternehmen, in denen Mitarbeiter Mobilgeräte sowohl geschäftlich als auch für private Zwecke nutzen (Bring Your Own Device, BYOD), ist der Einsatz von mobilen Containern sinnvoll.
In ihnen werden Geschäftsdaten und Anwendungen gespeichert, beispielsweise E-Mails und die dazugehörigen Programme, Kontakt- und Kalenderdaten, Browser, Collaboration-Tools und so weiter. Die IT-Abteilung kann diesen Bereich verwalten, also Anwendungen aktualisieren, Sicherheitseinstellungen ändern oder den Container nötigenfalls löschen, etwa wenn ein Mitarbeiter das Unternehmen verlässt.
Umgekehrt haben Administratoren keinen Zugang zu den privaten Informationen und Apps des Nutzers, die sich auf dem Endgerät befinden. Das ist aus Gründen des Datenschutzes wichtig. Denn Bundesdatenschutzgesetz und Telemediengesetz untersagen es Arbeitgebern in Deutschland, die private Kommunikation von Arbeitnehmern mitzulesen. Auch die neue Datenschutz-Grundverordnung, die gegenwärtig von den EU-Mitgliedsländern erarbeitet wird, sieht vergleichbare Regelungen vor.
3. Teil: „Physische und virtuelle Container isolieren Daten“
Physische und virtuelle Container isolieren Daten
Container sind eine praktikable Alternative zu VDI-Umgebungen. „Containerization ist im Bereich Mobile Security die beste Art, um Geschäftsdaten zu sichern und von privaten Daten zu isolieren“, sagt Stratos Komotoglou, EMEA Product Marketing Manager bei MobileIron. „Neben der Sicherheit und der Verschlüsselung sollte vor allem die native Benutzererfahrung im Vordergrund stehen.“
Genau dies können Physical Containers nicht leisten. Sie werden mit Hilfe von Typ-1-Hypervisoren eingerichtet, setzen direkt auf der Hardware des Mobilgeräts auf und führen das Betriebssystem und die Apps als Virtual Machines (VM) aus. Das Resultat sind zwei komplett getrennte Systeme, etwa eines für den privaten Gebrauch und eines für die berufliche Nutzung.
Dieser Ansatz ist in hohem Maß sicher, weil der Nutzer quasi zwei separate Endsysteme auf einem Smartphone oder Tablet nutzt. Private und geschäftliche Sphäre sind komplett getrennt. Allerdings müssen die Prozessoren der Mobilsysteme und die Betriebssysteme diese Form der Virtualisierung auch unterstützen.
Virtuelle Container
Eine Alternative sind Typ-2-Hypervisoren. Sie werden wie eine App auf dem Endgerät ausgeführt und richten dort eine Sandbox oder eine Art Java Virtual Machine ein. In dieser separaten Umgebung laufen die Unternehmens-Apps und Daten, die nicht mit dem privaten Teil eines Smartphones in Berührung kommen sollen, werden in verschlüsselter Form gespeichert. Vergleichbare Ansätze sind aus dem Desktop-Bereich bekannt, etwa von den Softwareherstellern Parallels und VMware, um beispielsweise auf einem Mac-Rechner Windows oder Linux zu installieren.
Doch dieser One-Size-Fits-All-Ansatz ist auch ein potenzieller Schwachpunkt. Denn er geht davon aus, dass die Apps und Daten im Container nicht manipuliert oder mit Schadcode verseucht wurden. Eine gefährliche App kann somit die Sicherheit des gesamten Containers kompromittieren.
Ein weiterer möglicher Schwachpunkt betrifft die Handhabung: Je nachdem wie ein Anbieter seine Container-Lösung designt hat, kann der Zugriff auf Applikationen und Daten im Container gewohnte Arbeitsabläufe beeinträchtigen. Bei der Anwendung von Samsung Knox Workspace beispielsweise funktioniert der Wechsel relativ einfach, indem der User die entsprechende Schaltfläche antippt. Allerdings ist auch in diesem Fall beim Wechsel vom privaten Bereich zum Unternehmens-Container eine Authentifizierung des Nutzers erforderlich.
4. Teil: „Container-Hopping und separater Sandkasten“
Container-Hopping und separater Sandkasten
Florian Bienvenu, Vice President Central & Southern EMEA bei Good Technology, plädiert folglich für eine möglichst komfortable Container-Umgebung: „Dual-Persona-Ansätze, bei denen der Benutzer sich jedes Mal neu anmelden muss, wenn sich die persönliche und die Arbeitswelt kreuzen, weisen Nachteile auf“, erläutert er. „Vielleicht schreibt ein User eine E-Mail an seine Frau, twittert für das Unternehmen, antwortet auf eine geschäftliche E-Mail, gibt ein CRM-Zitat frei oder kommentiert ein Dokument. Und möglicherweise schafft er all diese Dinge in fünf Minuten. In diesem Fall will sich der Nutzer in so einer kurzen Zeitspanne nicht fünfmal an- und abmelden.“
Das unterstreicht auch Sinisha Patkovic, Vice President Security Advisory bei Blackberry/RIM. In einem Beitrag im Bizz-Blog von Blackberry warnt er davor, dass IT-Abteilungen Sicherheitsmaßnahmen wie mobile Container wieder fallen lassen. Die Hintergründe stellt er folgendermaßen dar: Nutzer von Mobilsystemen beschweren sich über die komplexe Bedienung und den höheren Aufwand, der mit der Nutzung solcher Technologien verbunden ist. Spätestens dann, wenn ein Geschäftsführer oder andere Führungskräfte ins Lager der Container-Kritiker überschwenken, lockert auch der eine oder andere Chief Information Officer die Sicherheitsvorgaben. „Denn wer möchte schon gern den Chef verärgern“, so Patkovic.
Separater Sandkasten
Ein besonders flexibler Ansatz ist die Containerisierung auf der App-Ebene. Jede Applikation und die dazugehörigen Daten werden verschlüsselt und in einer Sandbox abgelegt. Policies stellen sicher, dass nur erlaubte Aktionen zwischen den Container-Apps und anderen Anwendungen auf dem Mobilsystem stattfinden. So lassen sich Copy-and-Paste-Vorgänge unterbinden, aber auch das Erstellen von Screenshots. Da alle Apps denselben Betriebssystem-Kernel nutzen, etwa Android, sollte sichergestellt sein, dass für die Anwendungen und Daten hohe Sicherheitsanforderungen gelten. Eine starke Verschlüsselung mittels 256-Bit-Keys und Verfahren wie AES (Advanced Encryption Standard) ist somit Pflicht.
Ein weiterer Nachteil ist, dass viele dieser Container-Technologien herstellerspezifisch sind. Das bedeutet, dass sich der Anwender binden muss, auch wenn das die Anbieter von Mobile-Container-Lösungen nicht gern hören: „Wir bei Citrix setzen von Anfang an auf das Open Ecosystem. Jeder Kunde oder App Developer kann sich unser SDK oder Wrapping-Tool frei herunterladen und somit seine App mit seinen Security-Richtlinien integrieren. Um die 25.000 Apps stehen bis dato zur Verfügung“, sagt beispielsweise Citrix-Manager
Sascha Rosbach.
Sascha Rosbach.
5. Teil: „App Wrapping und die Sicherheit der Anwendungen“
App Wrapping und die Sicherheit der Anwendungen
Um Apps für Container passend zu machen, haben Entwickler und Systemverwalter zwei Optionen. Die eine ist das Rekompilieren der ursprünglichen Anwendung mit Hilfe von Software Development Kits (SDKs), die der Anbieter einer Container-Lösung zur Verfügung stellt. Dieses Verfahren kommt vorzugsweise bei unternehmenseigenen Apps zum Einsatz, auf deren Programmcode die Entwickler Zugriff haben. SDKs werden im Idealfall bereits während des Software-Entwicklungsprozesses verwendet. Ändert sich das SDK, müssen auch die entsprechenden Apps angepasst werden.
Mittlerweile werben etliche Anbieter wie etwa Good Technology, MobileIron oder Apperian mit einem „App Wrapping ohne Coding“. So ersetzt beispielsweise die Good Dynamics Secure Mobility Platform Standardsystemaufrufe durch Secure Calls von Good-Technology-Sicherheitsbibliotheken. Auch IT-Fachleute ohne tief greifende Programmierkenntnisse können so laut Good mobile Anwendungen einpacken. Das Wrapping erfolgt dabei häufig über ein Webportal. Die entsprechenden Apps werden hochgeladen und dort verpackt.
Sicherheit der Anwendungen
Varnums Einschätzung bestätigt eine Untersuchung, die Appian durchführen ließ, ein Anbieter von Software für die Verwaltung mobiler Anwendungen. Danach haben die meisten IT-Verantwortlichen nur einen höchst lückenhaften Kenntnisstand, was die Nutzung von Apps auf Mobilsystemen im Unternehmen betrifft. So verfügt weniger als die Hälfte über Daten darüber, welcher Mitarbeiter wann und von welchem Ort aus, etwa einem Hotel oder Flughafen, welche mobilen Anwendungen einsetzt. Diese Ahnungslosigkeit macht es Angreifern einfacher, Smartphones und Tablets zu kapern und für ihre Zwecke zu missbrauchen. Allerdings ist diesem Phänomen mit Hilfe von mobilen Containern nur bedingt beizukommen. Vielmehr ist ein Enterprise Mobility Management (EMM) erforderlich. Und das ist gerade für mittelständische Unternehmen oft zu aufwendig und zu kostspielig.
6. Teil: „Smartphone-Betriebssysteme mit Containern“
Smartphone-Betriebssysteme mit Containern
Den Anbietern von Mobile-Container-Lösungen könnte bald Konkurrenz von einer ganz anderen Seite erwachsen: den Anbietern von Mobilbetriebssystemen wie Apple, Microsoft und Google (Android). Apple hat bereits mit iOS 7 (aktuell ist iOS 8) ein Sandbox-Modell für Apps und damit verbundene Daten eingeführt. Es ermöglicht Administratoren, die Konfigurationen von Apps zentral zu verwalten, App-spezifische Virtual Private Networks (VPN) einzurichten und eine Authentifizierung der Nutzer mittels Single-Sign-on zu implementieren. So lässt sich beispielsweise festlegen, welche App bestimmte Daten bearbeiten, kopieren, mittels File-Sharing-Diensten mit anderen teilen und per E-Mail versenden darf. Über die Standardschnittstellen (API) lassen sich diese Apps und iOS-Systeme mit Mobile-Device-Management- und Mobile-Application-Management-Lösungen (MDM, MAM) der gängigen Anbieter koppeln.
Sowohl die Container-Funktionen von Apple iOS als auch Android for Work erfordern den Einsatz einer MDM-Software. Über sie legen Administratoren die Regelwerke für Apps und Daten fest und setzen sie um. Android for Work arbeitet beispielsweise mit der Software von VMware Airwatch, Citrix, IBM, Mobile-Iron, Soti und SAP zusammen. Auch Microsoft hat für Windows Phone 10 eine vergleichbare Container-Lösung angekündigt. Sie soll sich mit Hilfe der Microsoft-eigenen Management-Lösung Intune verwalten lassen. Ob ein Enterprise Mobility Management à la Microsoft allerdings etablierten Lösungen das Wasser reichen kann, muss sich erst noch zeigen.
Immerhin belegen diese Ansätze, dass die Anbieter von Systemplattformen erkannt haben, dass eine Verwaltung von mobilen Systemen sowie der darauf befindlichen Apps und Daten künftig eine zentrale Rolle spielen dürfte. Eine der größten Herausforderungen wird darin bestehen, in entsprechende Management-Lösungen auch konkurrierende Systemplattformen einzubeziehen.
Fazit
Mobile-Security-Lösungen sind wichtig, auch der Schutz von Daten und Anwendungen mittels Containern. Jedoch sollten sich Nutzer von der Vorstellung lösen, dass mobile Container eine Patentlösung sind. Vielmehr ist diese Technologie nur ein Element eines Enterprise-Mobility-Management-Ansatzes (EMM). Dieser umfasst nicht nur den Schutz von Endgeräten (Mobile Device Management), sondern auch von Anwendungen (Mobile Application Management) und Daten (Mobile Content/Information Management).
Hinzu kommt der Faktor Mensch: „Neben mobiler Malware und Phishing kristallisiert sich das Verhalten der Anwender als eines der größten Sicherheitsrisiken heraus“, so IDC-Consultant und -Analyst Mark Alexander Schulte. Gegen das Fehlverhalten von Usern ist auch die beste Container-Lösung machtlos. Deshalb der Rat von Schulte: „Zur Verbesserung der Sicherheit müssen Unternehmen neben technologischen auch organisatorische Maßnahmen ergreifen.“
Personalie
CEO Frank Roebers verlässt Synaxon
Er war 32 Jahre bei der Verbundgruppe und hat sie maßgeblich geprägt. Nun tritt der CEO von Synaxon Ende des Jahres zurück – und gründet ein eigenes Unternehmen.
>>
Letzte Hürde genommen
USB-C kommt als einheitlicher Ladestandard
Nach dem Bundestag hat auch der Bundesrat einer EU-Richtlinie zugestimmt, die USB-C als einheitlichen Anschluss zum Laden von Elektrogeräten festlegt.
>>
Autohersteller
Erstes Smartphone von Polestar
Autohersteller Polestar hat in China sein erstes Smartphone vorgestellt, das vor allem gut mit den Fahrzeugen des Herstellers zusammenarbeiten soll.
>>
Ohne Nokia
HMD zeigt erste Smartphones mit der eigenen Marke
Mit den drei neuen Pulse-Modellen bringt HMD seine ersten Smartphones auf den Markt, die nicht mehr unter der Lizenz von Nokia vermarktet werden.
>>