Neue Sam­sung-Gerä­te mit Android 4.2 — Vor­be­rei­tet für Sam­sung KNOX und mit SEAn­droid von der NSA

In den letz­ten Wochen haben wir mehr­fach dar­auf hin­ge­wie­sen, dass die der­zeit ein­zi­ge Mög­lich­keit siche­re Infra­struk­tu­ren in der Mobi­li­ty auf­zu­set­zen Android ist. Dies gilt auch wei­ter­hin. Aller­dings muss man hier­bei von Woche zu Woche mehr wis­sen, was man tut. Gerä­te von Sam­sung sind im Werks­aus­lie­fe­rungs­zu­stand alles ande­re als sicher, wir wie­sen hier­auf unter ande­rem im Bei­trag Daten­schutz­skan­dal: Sam­sung Gala­xy S3 über­trägt Daten heim­lich zu ame­ri­ka­ni­schen Geheim­diens­ten hin.

Seit eini­gen Wochen wer­den nun die neu­es­ten Gerä­te mit Android 4.2 aus­ge­lie­fert, initi­al sind und waren dies das Gala­xy S4, das Gala­xy S4 Mini und das Gala­xy S4 Acti­ve. Alle die­se Gerä­te sind für Sam­sung KNOX vor­be­rei­tet, eine der unse­ligs­ten Spio­na­ge-Aus­stat­tun­gen im Cyber-War der NSA. Wir berich­te­ten über die Frag­wür­dig­keit von Sam­sung KNOX schon vom Mobi­le World Con­gress 2013 im Bei­trag Sam­sung Knox — Der nächs­te Spio­na­ge-​Mei­len­stein mit Tech­nik von NSA und Cen­tri­fy? bevor die Lösung von ande­ren kri­tisch hin­ter­fragt wur­de.

Spe­zi­ell die Imple­men­tie­rung von SEAn­droid, der Android-Ver­si­on der NSA, muss sicher­heits­be­wuss­te Anwen­der stö­ren. Die NSA infor­miert auf der ver­link­ten Web­sei­te ganz offen dar­über, dass die­se Mal­wa­re Firm­ware unter der Feder­füh­rung der NSA ent­wi­ckelt wird. Und auf der Pro­jekt­sei­te kann man lesen, dass die NSA bei allen Fra­gen zu Sup­port und Ent­wick­lung wei­ter­hilft:

Ques­ti­ons about SE for Android may be direc­ted to the public sean­droid-list AT tycho​.nsa​.gov mai­ling list. You can sub­scri­be to the list by sen­ding an email con­tai­ning „sub­scri­be sean­droid-list” as the body (not the sub­ject) to major­do­mo AT tycho​.nsa​.gov. You must sub­scri­be befo­re pos­ting to sean­droid-list AT tycho​.nsa​.gov. List archi­ves are avail­ab­le via major­do­mo (using the index and get com­man­ds). The archi­ves can also be read or sear­ched via GMANE or mail​-archi​ve​.com.

You may also send pri­va­te email to our team ali­as, sean­droid AT tycho​.nsa​.gov. Howe­ver, whenever pos­si­ble, plea­se use the public mai­ling list.

Vor die­sem Hin­ter­grund ist es natür­lich kein Wun­der, dass Sam­sung KNOX — noch vor dem offi­zi­el­len Release! — vom ame­ri­ka­ni­schen Ver­tei­di­gungs­mi­nis­te­ri­um (DoD) zuge­las­sen wur­de, denn die feder­füh­ren­de Abtei­lung des DoD, die NSA, lie­fert ja schließ­lich das Betriebs­sys­tem.

Das Gute an Android ist jedoch, dass man sich schüt­zen kann. Dies ist genau der Grund, war­um T‑Systems sich beim neu­en Sim­ko 3 (dem wah­ren Mer­kel-Han­dy) für Android und nicht für Black­Ber­ry oder iOS ent­schie­den hat. Wie kann man sich schüt­zen?

  • Das Ers­te, was sicher­heits­be­wuss­te Anwen­der mit jedem Android-Gerät tun soll­ten, ist das Roo­ting des Gerä­tes. An die­ser Stel­le muss mit einem weit ver­brei­te­ten Vor­ur­teil auf­ge­räumt wer­den. Roo­ting ist genau­so wenig wie Jail­b­reak auf iOS-Gerä­ten etwas Schlech­tes, das Gegen­teil ist der Fall. Nur ger­oo­te­te und gejail­b­re­ak­te Gerä­te sind sicher, wenn man weiss, was man tut.
  • Das Zwei­te, was sicher­heits­be­wuss­te Anwen­der mit jedem Android-Gerät tun soll­ten, ist die Ent­fer­nung der Goog­le-Mal­wa­re. Die­se läßt sich pro­blem­los ent­sor­gen, wenn das Gerät ger­oo­tet ist.
  • Das Drit­te, was sicher­heits­be­wuss­te Anwen­der mit jedem Android-Gerät von Sam­sung tun soll­ten, ist die Ent­fer­nung sämt­li­cher Sam­sung-Mal­wa­re, S‑Voice ist nicht die ein­zi­ge frag­wür­di­ge App. Des­halb macht man nie einen Feh­ler, wenn man alles pau­schal ent­sorgt.

Mit die­sen drei Schrit­ten hat man schon ein­mal ein wesent­lich siche­re­res Gerät als das, was man aus­ge­packt hat. Wer nun fragt, wie man an Apps kommt, muss die­se Fra­ge vor dem Hin­ter­grund geschäft­li­cher oder pri­va­ter Nut­zung stel­len. Bei geschäft­li­cher Nut­zung ist die Ant­wort sehr ein­fach — die Apps lädt man sich aus dem Enter­pri­se AppS­to­re des Unter­neh­mens sicher auf das Gerät, der Enter­pri­se AppS­to­re ist Bestand­teil eines siche­ren MDM-Sys­tems wie datomo Mobi­le Device Manage­ment.

Für pri­va­te Nut­zung ist die Instal­la­ti­on oder das Belas­sen des Goog­le Plays­to­re auf dem Gerät not­wen­dig, wenn man die­sen für Apps ver­wen­den will. Sicher­heits­ori­en­tier­te Anwen­der regis­trie­ren ihren Account im Goog­le Plays­to­re natür­lich nie­mals mit ihrem rea­len Namen — was geht Goog­le an, wer man ist und was man macht? Rich­tig — gar nichts!

Emp­find­sa­me Gemü­ter ver­wei­sen jetzt auf Terms and Con­di­ti­ons von Goog­le, also deren Geschäfts­be­din­gun­gen. Die­se sind in so vie­len Punk­ten gegen­über deut­schen Ver­brau­chern nich­tig, wie es der übli­chen Arro­ganz ame­ri­ka­ni­scher Unter­neh­men ent­spricht, so dass sie nach deut­schem Recht unwirk­sam sind. Also sind sie egal. Aber nicht nur gegen­über Ver­brau­chern — auch gegen­über Unter­neh­men, da die Bedin­gun­gen an kei­ner Stel­le deut­schem Daten­schutz ent­spre­chen. Inso­fern wäre es erst ein­mal die Auf­ga­be von Goog­le rechts­wirk­sa­me AGB anzu­bie­ten, was sicher nie pas­sie­ren wird.

So bleibt nur noch eine Hür­de — Apps, die bezahlt wer­den müs­sen. Aber auch dies ist ab mor­gen kein Pro­blem mehr, Goog­le ver­kauft deutsch­land­weit Gut­ha­ben­kar­ten. Denn vor dem Hin­ter­grund der ame­ri­ka­ni­schen Daten­schnüf­fe­lei­en braucht Goog­le wirk­lich kei­ne Kre­dit­kar­ten­num­mern. Und für Fir­men gilt — wen­den Sie sich direkt an den Her­stel­ler. Die meis­ten Anbie­ter lie­fern Ihnen die Lizen­zen gern an Google’s Plays­to­re vor­bei, da es der­zeit kein VPP wie bei Apple gibt.

Mit all dem sind Sie schon viel siche­rer unter­wegs als mit Gerä­ten im Aus­lie­fe­rungs­zu­stand. Wirk­li­che Sicher­heit kommt aller­dings erst mit Cus­tom ROMs auf die Gerä­te. Cus­tom ROMs sind Firm­wares, die vie­le zusätz­li­che Funk­tio­nen bie­ten und aus denen gezielt uner­wünsch­te Funk­tio­nen ent­fernt wor­den sind. Die Firm­ware von T‑Systems für das Sim­ko 3 ist ein Bei­spiel für ein Cus­tom ROM. Mit Cya­no­gen kann jeder Anwen­der sich sein Gerät indi­vi­du­ell bestü­cken. Glau­ben Sie mir — ein Android mit Cus­tom ROM bie­tet mehr — mehr Sicher­heit, mehr Funk­tio­nen und mehr Spass.

Aber gehen Sie die­sen Weg wirk­lich nur, wenn Sie wis­sen, was Sie tun. Alle Mass­nah­men bei der Mani­pu­la­ti­on der Gerä­te ber­gen stets das Risi­ko, dass die Gerä­te in einen unbe­nutz­ba­ren Zustand ver­setzt wer­den und Sie wer­den den Autor der jewei­li­gen Anlei­tung nie­mals in Regress neh­men kön­nen. Siche­rer ist es, wenn Sie unsi­cher sind, dass Sie jeman­den fra­gen, der wirk­lich weiss was er tut. Da wir häu­fig hier­zu ange­fragt wer­den, an die­ser Stel­le der kur­ze Hin­weis, dass wir Pri­vat­an­wen­der nicht unter­stüt­zen kön­nen.

Für Unter­neh­men ent­wi­ckeln wir gern die jeweils pas­sen­de Android-Stra­te­gie — vom Roo­ting bis zum Cus­tom ROM ein­schließ­lich des Manage­ments von Cus­tom ROM-Gerä­ten mit datomo Mobi­le Device Manage­ment. Womit ich wie­der ein­mal auf eine der zahl­rei­chen Allein­stel­lun­gen von datomo MDM hin­wei­sen konn­te. 😉


Ande­re inter­es­san­te Bei­trä­ge:
Bring Your Own Device (BYOD) — 50% der Mit­ar­bei­ter müs­sen 2017 ihre Hard­ware selbst mit­brin­gen — sagt Gart­ner!
Die Komö­di­an­ten bei Gart­ner haben wie­der ein­mal eine Per­le Ihrer Inkom­pe­tenz ver­öf­fent­licht. In der ‘Unter­su­chung’ Gart­ner Pre­dicts by 2017, Half of Employ­ers will Requi­re Employees to Sup­ply Their Own Device for Work Pur­po­ses haben die Mar­ke­ting-Spaß­vö­gel aus den USA nun­mehr jeden Rea­li­täts­be­zug üb…
datomo Mobi­le Device Manage­ment (MDM) im kom­plet­ten Funk­ti­ons­um­fang in ver­schie­de­nen Sze­na­ri­en tes­ten
Ste­hen Unter­neh­men vor der Ein­füh­rung eines Mobi­le Device Manage­ment Sys­tems, wird sich idea­ler­wei­se vor­ab inten­siv mit dem Markt und den ange­bo­te­nen Lösun­gen beschäf­tigt. Nach Bewer­tung der ver­füg­ba­ren Infor­ma­tio­nen sowie ers­ter Gesprä­che mit den jewei­li­gen Anbie­tern ver­dich­tet sich dann die­ser Aus…
Bring Your Own Device (BYOD) — Neue Gele­gen­hei­ten, neue Her­aus­for­de­run­gen — Meint Gart­ner!
Heu­te habe ich ein­mal nach­ge­se­hen, was sich bei Gart­ner zum The­ma Bring Your Own Device tut. Sonn­tags will man ja auch ein­mal lachen und da sind die Come­di­ans aus Stam­ford immer einen Besuch wert. Des­halb habe ich ein­fach ein­mal gesucht, ob ich von David A. Wil­lis, über des­sen absur­de Aus­sa­gen und P…
CeBIT 2016 Vor­trags­prä­sen­ta­ti­on (1) als Down­load: Daten­schutz und BYOD — Geht das mit MDM?
Die Pre­tio­so GmbH, die mit datomo Mobi­le Device Manage­ment als einer der füh­ren­den MDM Her­stel­ler aus Deutsch­land gilt, war im März 2016 auf der CeBIT mit einem Stand und mit zahl­rei­chen Vor­trä­gen rund um das The­ma Mobi­le Device Manage­ment ver­tre­ten. Unser Geschäfts­füh­rer Klaus Düll, Exper­te für M…
Black­ber­ry Balan­ce, Bring Your Own Device (BYOD), PUOCE und Roa­ming — das kann teu­er wer­den!
Bring Your Own Device (BYOD) ist eine Schi­mä­re, die mit der Rea­li­tät in Unter­neh­men — Gott sei Dank — nur wenig Schnitt­stel­len hat. Die­se Erkennt­nis setzt sich immer stär­ker durch und das ist auch gut so. Neben den vie­len evi­den­ten Nach­tei­len, die offen­kun­dig sind und die wir hier im Blog in vie­len …

Ein Kommentar

Schreibe einen Kommentar»
  1. […] hat­ten das The­ma schon im Bei­trag Neue Sam­sung-​Ge­rä­te mit Android 4.2 — Vor­be­rei­tet für Sam­sung KNOX und mit SEAn­droid … bespro­chen, wobei uns aller­dings noch nicht das wah­re Aus­mass der Ver­brei­tung und […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.