Samsung Galaxy S6 und S6 Edge im Business-Einsatz

Neben den herausragenden Leistungsdaten, die die Galaxy-S6-Geräte nicht nur beim ZDNet-Test unter Beweis gestellt haben, bieten die neuesten Samsung-Smartphones auch Funktionen, die sie für den Einsatz in Unternehmen prädestinieren. Diesbezüglich verfügt Samsung mit Knox über eine Technologie, die man bei Android-Smartphones hinsichtlich Sicherheit und Verwaltbarkeit sonst nirgends findet.

Die Sicherheit eines Geräts beginnt bereits beim Bootprozess. Das ist auch beim Smartphone so. Versierte Anwender rooten ihr Gerät, um Superuser-Rechte zu erhalten und das Smartphone möglichst vollständig kontrollieren zu können. Durch diesen Prozess wird allerdings auch die Möglichkeit eröffnet, Schadcode tief im System zu verankern, sodass das Gerät ein potentielles Sicherheitsrisiko darstellt. IT-Manager in Unternehmen sind daher an einer derartigen Modifikation nicht interessiert. In den aktuellen Galaxy-S6-Modellen befindet sich daher ein Indikator, der überprüft, ob das Gerät über einen gerooteten Kernel oder modifizierten Bootloader gestartet wird. Ist dies der Fall, funktioniert Samsung Knox nicht mehr. Auf zuvor in Knox-Containern gesicherte Daten können Angreifer nicht zugreifen.

Secure Boot

Das als Secure Boot bezeichnete Verfahren überprüft respektive bestätigt die Korrektheit des Kernels auf Basis eines eindeutigen öffentlichen/privaten Schlüsselpaar des Geräts. Werkseitig erhält jedes Gerät ein eindeutiges öffentliches/privates Schlüsselpaar zusammen mit einem Zertifikat für den öffentlichen Schlüssel mit Signatur von einem Samsung Root Private Key.

Allerdings geht die Absicherung des Startvorgangs noch weiter. Mit Trusted Boot erweitert Knox Secure Boot für eine größere Kernel-Integrität. Trusted Boot verwendet die ARM TrustZone, einen vor Manipulationen geschützten Sektor eines ARM-Prozessors. Während des Startvorgangs speichert die ARM TrustZone kryptografische Fingerabdrücke aus allen Bootloadern und OS-Kernels. Während der Systemlaufzeit vergleichen ARM TrustZone-Apps auf Knox Workspace ständig alle Messwerte.

Knox Workspace

Mit Knox Workspace erweitert Samsung die Sicherheitsarchitektur des Linux-Kernels SELinux. Die Zugriffsrechte unter Android/Linux wird über Discretionary Access Control (DAC) geregelt. Wenn ein Angreifer DAC kontrolliert, besteht die Möglichkeit, dass er unerlaubten Zugriff auf Daten, Apps und Ressourcen erhält. Auf gerooteten Geräten kann ein böswilliger Benutzer Apps installieren, die Passwörter lesen, Spam versenden, vertrauliche Dokumente in das Internet hochladen oder heimlich Ressourcen einschalten, wie die Kamera oder das Mikrofon. Mit SE for Android basierend auf der SELinux-Technologie schützt Knox Workspace das Betriebssystem vor unberechtigtem Zugriff. SE for Android regelt welche Benutzer oder Apps Zugriff auf bestimmte Dateien und Ressourcen auf Linux-Ebene haben. Es erzwingt Mandatory Access Control (MAC) mit Policy-Dateien. Ein Administrator des Unternehmens bestimmt die Regeln zentral auf Unternehmensbasis. Benutzer können diese Regeln nicht umgehen.

Mit Knox 2.0 hat Samsung eine neue Funktion namens SE for Android Management Service (SEAMS) integriert. Dadurch wird ein kontrollierter Zugriff auf die SELinux-Richtlinien-Engine realisiert. SEAMS wird intern von Knox 2.0 Workspace genutzt und steht auch Drittanbietern zur Sicherung der eigenen Container-Lösungen zur Verfügung.

Knox Container

Beim Samsung Knox Container handelt es sich um eine Android-Umgebung innerhalb des Geräts, komplett mit eigener Startseite, Startbildschirm, Apps und Widgets. Apps und Daten im Container können nicht mit Apps und Daten außerhalb des Containers interagieren. Diese Partitionierungsmöglichkeit erlaubt es der Enterprise IT, Apps und Daten des Unternehmens in einer sicheren Umgebung isoliert abzulegen. Bestimmte Tätigkeiten, die die Sicherheit gefährden können wie Bildschirmaufnahmen, sind innerhalb des Containers eingeschränkt.

Seit Knox 2.0 sind sogar mehrere Container möglich. Außerdem können IT-Administratoren den Datenfluss zwischen einem Container und dem übrigen Gerätebereich kontrollieren. Zu diesen Daten gehören Kontakte, Kalender, Ereignisse, Daten in der Zwischenablage, Anrufprotokolle und Browser-Lesezeichen. Diese Funktion ermöglicht Unternehmen, das richtige Gleichgewicht zwischen Sicherheit und Benutzerproduktivität zu finden. Knox 2.0 unterstützt außerdem Mehrbenutzerkonten, die seit Android 4.2 verfügbar sind. Damit kann das relativ unflexible App-Wrapping umgangen werden, um benutzerdefinierte Apps in einem Container bereitzustellen.

TIMA

Samsung Knox integriert außerdem die ARM TrustZone-basierte Integrity Measurement Architecture (TIMA). TIMA verwendet zwei Techniken, um sicherzustellen, dass der Linux-Kernel nicht kompromittiert wurde. Zum einen wird in regelmäßigen Abständen durch Messungen, die vom Kernel abgerufen und mit dem ursprünglichen Werks-Kernel verglichen werden, überprüft, ob der Kernel geändert wurde. Zum anderen werden Kernel-Module authentifiziert, während diese dynamisch geladen werden.

Seit Knox 2.0 überwacht die TIMA Real-time Kernel Protection (RKP) in Echtzeit das Betriebssystem von der TrustZone aus, um zu verhindern, dass der Kernel manipuliert wird. RKP erfasst kritische Ereignisse im Kernel, die in der ARM TrustZone analysiert werden. Wird ermittelt, dass ein Ereignis Auswirkungen auf die Integrität des Kernels des Betriebssystems hat, stoppt RKP entweder das Ereignis oder protokolliert ein Bestätigungsurteil darüber, dass vermutlich eine Manipulation vorliegt, welches an das MDM gesendet wird. Dadurch ist Schutz vor bösartigen Veränderungen und Einfügungen in den Kernel-Code geboten, einschließlich solcher, die dazu führen, dass der Kernel die eigenen Daten korrumpiert.

Samsung Knox und Mobile Device Management

Für die Verwaltung von Knox-Geräten wie Galaxy S6 und S6 Edge bietet Samsung eine eigene Mobile Device Management Lösung an. Das Unternehmen kooperiert allerdings auch mit führenden Anbietern in diesem Bereich wie AirWatch, Blackberry, Citrix, Good, IBM, MobileIron, Soti und SAP.

Fazit

Mit Knox bietet Samsung eine einzigartige Sicherheitserweiterung der Android-Plattform, die besonders für Unternehmen interessant ist. Davon zeugen auch die zahlreichen Zertifikate von internationalen Organisationen, die Samsung für Knox erhalten hat. Aber auch Privatanwender können mit My Knox ihr Galaxy-Gerät besser absichern als mit Standard-Android. Zwar sind in Android 5.0 Lollipop Teile von Samsung Knox in Android for Work eingeflossen, doch den vollen Funktionsumfang gibt es nur in Verbindung mit Galaxy-Geräten. Das englischsprachige Whitepaper In-Depth Look at Capabilities: Samsung Knox and Android for Work (PDF) listet die Unterschiede genau auf.

Hinweis: Weitere umfangreiche Informationen finden sich auf der Galaxy-S6-Webseite für Business-Kunden.

Sie möchten mehr über Samsung KNOX und Samsung Business-Geräte erfahren? Unter SamsungMobileBusiness@samsung.de erfahren Sie, auf welchen Veranstaltungen Sie das Samsung Business Team zum direkten Austausch treffen können.