EMM in unsicheren Zeiten
Bring Your Own Backdoor
Diesen Sommer jagte eine Nachricht über Android-Sicherheitslücken die nächste, und selbst zu Apples eigentlich als sicher geltendem IOS wurden Schwachstellen bekannt. Vor diesem Hintergrund versucht Microsoft mit Windows 10 Mobile, verlorenes Terrain im Mobility-Markt zurückzuerobern. Die zunehmende Vielfalt von Client-Geräten und -Betriebssystemen stellt IT-Organisationen dabei vor weiterhin wach-sende Herausforderungen. Enterprise-Mobility-Management ist damit unumgänglich.In den letzten Monaten und insbesondere im zeitlichen Umfeld der Hacker-Konferenzen Black Hat und Def Con häuften sich Warnungen vor Sicherheitslücken in Googles populärem Mobilgeräte-Betriebssystem Android - und dies in einem Maße, wie man es sonst nur früher von Windows vor XP oder heute von Oracle Java und Adobe Flash her kennt. Insbesondere die Multimedia-Komponenten von Android gerieten unter Beschuss und erwiesen sich als anfällig für Angriffe. So ermöglicht es zum Beispiel ein vom Sicherheitsanbieter Zimperium entdecktes und unter dem Namen "Stagefright" bekannt gewordenes Bündel an Sicherheitslücken, durch Zusendung einer manipulierten MMS (Multimedia Message System) auf einem Android-Gerät Schadcode auszuführen - unbemerkt vom Benutzer. [1] Jeder Tag ist Zero-Day Obwohl Android längst Abwehrmechanismen wie ASLR (Address Space Layout Randomization) an Bord hat, sind von den Stagefright-Lücken laut Zimperiums Schätzungen 950 Millionen Endgeräte betroffen, nämlich alle mit Android Froyo (2.0) bis Lollipop (5.1.1). Anfang August stellte Google zwar nach einem ersten fehlgeschlagenen Patch-Anlauf funktionierende Patches für die hauseigenen Nexus-Geräte in Aussicht, doch die Salve von Schwachstellenmeldungen offenbarte einmal mehr die grundlegende Angreifbarkeit des Google-Ökosystems: Von Android sind unüberschaubar viele Versionen in Gebrauch, zumal zahlreiche Gerätehersteller und Mobilfunk-Netzbetreiber ihre Kunden mit eigenen Android-Varianten beglücken - und diese erhalten Googles Patches bestenfalls mit erheblicher Verspätung, im schlechtesten Fall überhaupt nicht, werden doch Consumer-Endgeräte oft als billige Einwegware mit geringer Halbwertszeit vermarktet. Damit bleiben selbst längst behobene Fehler für eine Unmenge Endgeräte de facto Zero-Day-Lücken - ein Risiko, das zentrale Patch-Prozesse künftig verringern sollen. Über das Fachwissen, um eine vorinstallierte Android-Version durch die auf Sicherheit getrimmte Cyanogenmod-Variante zu ersetzen, verfügt wiederum nur eine Minderheit der Endanwender. Deshalb kann man nur hoffen, dass Google diese Häufung von Lücken als Weckruf versteht, so wie einst die Fülle von Negativmeldungen über den Internet Explorer Microsoft den Anstoß zu deutlich verstärkten Sicherheitsbemühungen gab. Risiko Consumerization Selbst IT-Leiter, die in ihren Unternehmen einen strikten Blackberry- oder Iphone-Kurs fahren, können sich angesichts solcher Nachrichten leider nicht beruhigt zurücklehnen: Android ist das beliebteste Mobile-Betriebssystem im Consumer-Segment, und unter Mitarbeitern im Unternehmen hat es sich vielerorts eingebürgert, private Smart Devices in unterschiedlichem Maße auch beruflich zu nutzen ("Consumerization" genannt) - sei es durch Weiterleiten einer E-Mail vom Firmen- an ein Privatkonto oder durch individuelles Ad-hoc-Datei-Management mittels privat genutzter Fileshares à la Dropbox. Eines solchen Verhaltens Herr werden können IT-Organisationen - wenn überhaupt - nur durch strenge Richtlinien und scharfe Kontrollen - was potenziell zu einer Verschlechterung des Betriebsklimas und des Arbeitseifers führt, insbesondere in Abteilungen diesseits sensibler Fachbereiche wie Forschung und Entwicklung oder Finanzbuchhaltung. Diese Problematik wurde in der LANline unter der Überschrift "BYOD" (Bring Your Own Device) bereits mehrmals diskutiert - und eine Entspannung ist nicht in Sicht. Als Angriffsziele sind Mobilgeräte dabei aber längst so beliebt, dass "Bring Your Own Device" immer öfter bedeutet: "Bring Your Own Malware". Apple IOS im Visier Apples Mobile-Betriebssystem IOS hingegen gilt unter Sicherheitsfachleuten als vergleichsweise sicher. Dennoch meldeten Forscher der Indiana University im Juni, dass sie Zero-Day-Schwachstellen in Apple IOS wie auch OS X aufgespürt hatten. Diese, so die Forscher, ermöglichten es, die Keychain für die Apple-Passwortspeicherung zu knacken, aus Sandboxes auszubrechen und die Sicherheitsprüfungen des App Stores zu umgehen: So habe man Malware in den App Store geladen, ohne dass dort die Alarmglocken geschrillt hätten. Rund 200 IOS-Apps haben sich laut den Forschern dabei als anfällig für XARA-Angriffe (Cross-App Resource Access) erwiesen (siehe [2, 3, 4]). Im Juli wurde der italienische Spionagesoftware-Hersteller Hacking Team selbst gehackt und ein 400-GByte-Datenbestand mit Code, Dokumenten und E-Mail-Verkehr im Netz veröffentlicht. In diesem Kontext zeigten sich manche Security-Forscher etwa bei Kaspersky Lab zunächst erleichtert über die geringe Ausbeute an IOS-Angriffswerkzeugen, die der Fundus der Italiener aufwies: Zwar hatte "Hacked Team" einen IOS-Exploit im Sortiment, dieser funktionierte aber laut Kaspersky Lab nur bei "jailbroken" IOS-Devices (also bei Geräten, deren Benutzer zugunsten größerer Flexibilität die IOS-Hardwarebeschränkungen ausgehebelt hat). [5] Zur Black Hat präsentierte der US-Security-Anbieter Fireeye jedoch Erkenntnisse, dass es im Hacking-Team-Arsenal durchaus Waffen gab, um selbst nicht durch Jailbreaks geschwächte IOS-Geräte zu kompromittieren: Im Rahmen sogenannter Masque Attacks - vor denen Fireeye schon 2014 gewarnt hatte - habe der italienische Spyware-Lieferant elf IOS-Apps durch gleichnamige (also "maskierte") bösartige Doppelgänger ersetzt, um zum Beispiel mittels Reverse Engineering und Manipulation einer Facebook- oder Twitter-App dauerhaften Fernzugriff auf ein Iphone zu erhalten. "Mit den Angriffswerkzeugen aus dem Leak von Hacking Team", so Fireeye, "haben wir nun gesehen, dass erstmals fortschrittliche zielgerichtete Angriffe auf IOS-Geräte aufgetreten sind. Wir raten allen IOS-Anwendern, ihre Geräte stets auf die neueste Version von IOS zu bringen und genau aufzupassen, über welche Wege sie ihre Apps herunterladen." [6] Windows 10 mobil und immobil Vor diesem Hintergrund nimmt Microsoft nach Jahren als Randfigur im Mobile-OS-Spiel und einer wirtschaftlich spektakulär fehlgeschlagenen Nokia-Übernahme erneut Anlauf, im Mobility-Markt verlorenen Boden wiedergutzumachen. Diesmal verlässt sich Redmond aber nicht auf bunte Nokia-Lumia-Hardware, sondern vielmehr auf die Stärken hauseigener Software in Form von Windows 10 und dem Windows-Phone-Nachfolger Windows 10 Mobile. Die Pointe an der neuesten Windows-Inkarnation aus Administratorensicht: Windows 10 ermöglicht es erstmals, auch herkömmliche Desktops und Notebooks per MDM-Layer (Mobile-Device-Management) und dadurch wie Mobilgeräte mittels EMM-Lösungen (Enterprise-Mobility-Management) zu verwalten. Die MDM-Funktionen Remote Wipe und Co. sind damit also für Windows-10-Geräte ebenso möglich wie für Smartphones und Tablets mit Windows 10 Mobile - was mit Blick auf den Desktop-Rechner im Büro nur bedingt ein Fortschritt ist, für eine zentral gesteuerte Dekommissionierung von BYOD-Geräten in entfernten Niederlassungen aber durchaus Vorteile bringt. Microsoft führt nicht nur ein einheitliches Management für sämtliche in Unternehmen gebräuchlichen Windows-Gerätegattungen ein, sondern zudem sogenannte Universal Apps. Diese sollen sich auf einer einheitlichen Code-Basis zum Betrieb auf unterschiedlichsten Endgeräten eignen - inklusive automatischer Anpassung an den Formfaktor und die Bedienmethode (Tastatur und Maus versus Touchscreen mit Gestensteuerung). Für die Verbreitung der Apps sind mit Windows Store und Business Store Microsoft-Pendants zu Apples App Store und Google Play Store sowie unternehmenseigenen Enterprise App Stores vorgesehen, zudem administratorenfreundliche Funktionalität wie Self-Service Enrollment, eine granulare Kontrolle über Richtlinien, ein zentrales Zertifikats-Management und last but not least EDP-Funktionalität (Enterprise Data Protection). Diese entkoppelt private von unternehmenseigenen Daten auf dem Endgerät, wie man dies von Apples Open-in-Funktionalität, den diversen Container-Lösungen sowie von Dual-Personality-Smartphones her kennt. [7] Geht es um die Verwaltung von Windows-Endgeräten per EMM, sähe man es in Redmond natürlich am liebsten, wenn dafür die hauseigene Lösung Intune zum Einsatz kommt. Doch treu seiner Tradition, das Client-Management über APIs für Drittanbieter zu öffnen, stellt Microsoft den Zugriff auf Windows-10-Clients auch für andere EMM-Anbieter bereit - wofür der Konzern vom langjährigen Widersacher VMware auf der VMworld neulich in höchsten Tönen gelobt wurde (siehe Beitrag Seite 6): Schließlich verfügt VMware mit Airwatch laut Gartners Magic Quadrant (MQ) vom Juni 2015 über eine der fünf führenden EMM-Lösungen. Ebenfalls als "Leader" bezeichnet haben die US-Analysten, wie schon in den Jahren zuvor, Citrix, Good Technology, IBM und Mobileiron. Während Microsoft selbst in Gartners EMM-MQ als "Visionär" eingestuft wurde, stand die Mobility-Management-Größe Blackberry in der Marktevaluierung lediglich als "Nischen-Player" da - was diverse Marktkenner verwunderte und Blackberry zu einer erbosten Gegendarstellung auf dem hauseigenen Blog veranlasste. [8] "Während Blackberry sich beeilt, die sich schnell weiterentwickelnden Kundenbedürfnisse zu erfüllen, scheint der MQ ein wenig in der Vergangenheit festzustecken", kommentierte Blackberry-Manager Marty Beard nicht ohne Sarkasmus. Denn schließlich habe Blackberry - dessen Geräte nach wie vor bei professionellen Anwendern beliebt und geschätzt sind - mit dem Blackberry Enterprise Server (BES) 12 eine umfassende EMM-Lösung mit erweiterter Android-Funktionalität vorgestellt und mit Watchdocs einen von Gartner als "Visionär" eingestuften Enterprise-Filesharing-Anbieter übernommen. Die von Gartner abgefragten Kriterien, so Beard, seien längst Alltag; gefordert seien vielmehr innovative Funktionen wie zum Beispiel "Split Billing" (getrennte Abrechnung privater und beruflicher Mobilfunkkosten), was BES 12 unterstütze. Schwarze Beere kauft gute Technik Einen sehr interessanten Schachzug hat Blackberry Anfang September gemacht, indem der kanadische Konzern den Mitbewerber Good Technology - den Vorreiter im Container-basierten Mobile-Application-Management (MAM) - für 425 Millionen Dollar übernahm. Diese Akquisition vereint nun Blackberrys MDM-Kompetenz (die Granularität von Blackberrys MDM-Funktionen sucht nach wie vor ihresgleichen) mit einem ebenfalls sehr umfassenden MAM-Feature-Set. Blackberry hat sich damit in Gartners Leader-Quadranten katapultiert - ob die Gartner-Analysten dies nach Beards verbalen Ohrfeigen nun gut finden oder nicht. Obwohl Blackberry und Good deutlich überlappende Funktionsbereiche aufweisen, hat CEO John Chen angekündigt, man werde beide Lösungen zu einer einheitlichen Plattform zusammenführen - dies dürfte allerdings erheblichen Aufwand verursachen. Derweil schläft Blackberrys Konkurrenz nicht. So bietet Citrix mit Xenmobile 10.1 nun - neben einer Cloud-Version für das kombinierte MDM und MAM mit rollenbasierter Zugangskontrolle - auch zahlreiche heute geforderte Funktionen wie Support für Googles Enterprise-Umgebung Android for Work, Delegationsfunktionen für Apple VPP (Volume Purchase Program), Pre-Enrollment (also die Vorabregistrierung von Apps) mittels Apple DEP (Device Enrollment Progam) sowie eine Messung der App-Nutzung und Anwenderzufriedenheit. IBM will mit seinen Mobilefirst-Lösungen den gesamten Bereich der Enterprise Mobility abdecken, somit die vier Bereiche Mobility-Strategie, Mobile-App-Entwicklung, mobiles Arbeiten (mit Fokus auf Collaboration) und Mobile Security. Auf der Basis einer Kooperation mit Apple entwickelt IBM zudem branchenspezifische IOS-Apps zum Beispiel für Banken. VMware hat auf der VMworld sein Konzept A2 vorgestellt, mit dem man die Einführung von Windows-10-Apps beschleunigen will (siehe VMworld-Bericht auf Seite 6). Mobileiron wiederum hat neben zusätzlichen Datensicherheitsmechanismen auch eine Einbindung des hauseigene Appconnect-Frameworks in Android for Work angekündigt, während Konkurrent Soti neben dem obligatorischen Windows-10-Support ebenfalls schon früh Unterstützung von Android for Work, Samsung Knox sowie Apples DEP und VPP bot. Chance für regionale EMM-Anbieter Während Blackberry vorerst mit der Integration der "guten Technologie" beschäftigt ist, haben auch weitere von Gartner vernachlässigte Anbieter eine Chance, sich vom dynamischen EMM-Markt eine Scheibe abzuschneiden: nämlich jene regionalen MDM- und EMM-Größen, die das US-Analystenhaus stets außen vor lässt, weil sie in den USA keine oder nur eine geringe Bedeutung haben. Dazu zählen hierzulande unter anderem Baramundi, Cortado, Matrix42, M-Way oder Pretioso (siehe Marktübersicht auf Seite 60). Mit Baramundi und Matrix42 befinden sich in dieser Anbietergruppe Client-Management-Größen, die in der Windows-Welt ebenso zu Hause sind wie im EMM (Baramundi durch Ergänzung seiner Baramundi Management Suite in Eigenentwicklung, Matrix42 per Akquisition des EMM-Spezialisten Silverback). Damit haben die beiden deutschen Client-Management-Anbieter eine solide Startposition in der heutigen Situation, in der Microsoft die Desktop- mit der Mobile-Welt nach langem Anlauf endlich vereinen will. Reine EMM-Hersteller hingegen sind Cortado (mit dem Cortado Enterprise Server), M-Way (Relution Suite) und Pretioso (Datomo MDM). Cortado ist sich mit Matrix42 einig darin, nicht auf Container-Umgebungen zu setzen, sondern die native MDM/MAM-Funktionalität durch intelligente Zusatzfunktionen zu erweitern; dies sind bei Cortado zum Beispiel ein App-unabhängiges Drucken für IOS, bei Matrix42 zum Beispiel eine Registrierung mittels Self-Service-Enrollment. M-Way wiederum sieht seine Stärke darin, mit Relution (aktuell in Version 2.7) den App-Lifecycle vom Bezug einer App über das Testen und die Freigabe bis zur automatischen App-Verteilung und die Versionierung abbilden zu können. Pretioso betont bei Datomo 3.20 besonders die erweiterten Sicherheits- und Datenschutzmöglichkeiten - eine Schwerpunktsetzung, die sich das Systemhaus mit Security-Anbietern wie Sophos oder Lookout teilt. Ebenfalls erwähnenswert in diesem Umfeld ist Cosynus mit seinem Mobile Device Server 10, der nun E-Mails zeitgesteuert per Activesync mit Mobilgeräten synchronisieren kann, also zum Beispiel ausschließlich während der Geschäftszeiten zustellt. Fazit Dank ihres gewaltigen Siegeszugs im Privat- und Berufsleben sind Mobilgeräte längst in den Fokus der Online-Kriminellen gerückt. So ist ein unternehmensweites Mobility-Management heute unumgänglich. Trotz EMM dürfte die mobile Unterstützung von Geschäftsprozessen jedoch weiterhin nur schwer durchgängig abzusichern sein.
Der Autor auf LANline.de: wgreiner
Lesen Sie mehr zum Thema
