Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 1
Risiken der Tablet-Nutzung
&Vergleich der Sicherheitsfunktionen
von Android OS 4.3, Apple iOS 7
& Windows 8.1
BYOD
private
Apps
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 2
Inhalt
1 Hintergrund ............................................................................................................................ 4
2 Einleitung ............................................................................................................................... 6
3 Risiken der Tablet-Nutzung im betrieblichen Einsatz und bei gemischt betrieblich-privater
Nutzung ................................................................................................................................. 7
3.1 Ein betriebliches Tablet soll zu betrieblichen Zwecken eingesetzt werden ...................... 7
3.2 Ein betriebliches Tablet wird für die private Nutzung freigegeben .................................. 8
3.3 Ein privates Tablet wird für die betriebliche Nutzung zugelassen .................................... 9
4 Vergleich der Sicherheitsfunktionen aktueller Tablet-Betriebssysteme ................................. 12
4.1 Sicherheitsfunktionen, um dem Datenrisiko bei Geräteverlust zu begegnen ................. 12
4.2 Sicherheitsfunktionen, um dem Datenrisiko bei gemischter betrieblicher und privater
Tablet-Nutzung zu begegnen.................................................................................................... 17
5 Fazit und Empfehlung ........................................................................................................... 26
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 3
Copyright
Die vorliegende Analyse wurde von der Experton Group AG im Auftrag der Microsoft
Deutschland GmbH erstellt. Trotz der gewissenhaften und mit größter Sorgfalt erfolgten
Ermittlung der Informationen und Daten, kann für deren Vollständigkeit und Richtigkeit
keine Garantie übernommen werden. Niemand sollte aufgrund dieser Informationen
handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden
Situation.
Alle Rechte am Inhalt dieses Untersuchungsberichts liegen bei der Experton Group. Die
Daten und Informationen bleiben Eigentum der Experton Group. Vervielfältigungen, auch
auszugsweise, bedürfen der schriftlichen Genehmigung der Experton Group AG.
Autoren:
Oliver Schonschek (Lead) [email protected]
Axel Oppermann [email protected]
Version 1.0 (Oktober 2013)
Impressum
Experton Group AG
Carl-Zeiss-Ring 4
D - 85737 Ismaning
Vorstand: Jürgen Brettel (Vorsitzender), Andreas Zilch
Aufsichtsratsvorsitzender: Wolfgang Stübich
Amtsgericht München HRB 158568
© 2013, Experton Group AG, Ismaning.
Bildquelle: Fotolia_44080741_M © buchachon fotolia
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 4
1 Hintergrund
Auch wenn sich der PC-Markt im Business-Umfeld im letzten Quartal leicht erholen konnte,
besteht kein Zweifel daran, dass sich das Client-Universum weiterhin nachhaltig ändern wird.
So ist davon auszugehen, dass im kommenden Jahr weltweit (Gesamtmarkt) erstmals mehr
Tablets als „klassische“ PCs verkauft werden. Zwar ist der PC-Markt nicht gestorben, und der
PC in unseren Regionen in Unternehmen noch lange nicht tot. Doch ein Volumen von weltweit
über 300 Millionen ausgelieferten Geräten im Jahr wird sicherlich so schnell nicht mehr erreicht.
Eine Vielzahl der weltweit über 260 Millionen verkauften Tablets wird einen Platz in
Unternehmen finden – so auch in Deutschland. Begonnen hat alles vor einigen Jahren mit dem
„iPad“, welches mittlerweile auf einige hunderttausend Geräte in deutschen Unternehmen
kommt. Nachdem in Folge vereinzelt Android-Geräte angeschafft wurden, hält nun, mit einem
breiten Portfolio an ausgereiften Geräten unterschiedlicher Hardwarehersteller, Windows 8.1.
Einzug.
Die Tablet-Welle hat zu einem nachhaltigen Paradigmenwechsel bei der Betrachtung von
Client-Infrastrukturen in Unternehmen geführt. Der Startschuss war 2010. Waren die Client-
Infrastrukturen bis zu diesem Wendepunkt noch durch möglichst standardisierte Clients
(Desktop, Notebook etc.) im gesamten Unternehmen geprägt, so zeigen aktuelle Studien eine
deutlich wachsende Vielfalt der Clients, insbesondere im mobilen Umfeld, im gesamten
Unternehmen auf. Für die IT-Abteilung bedeutet diese Entwicklung Risiko und Chance zu
gleich. Chance für die IT-Abteilung ist, innovativ und zukunftsweisend zu agieren, bei dem
gleichzeitigen Risiko, von neuen Technologien und Betriebsformen überrollt zu werden.
Auslöser für diese Entwicklung gibt es zahlreiche. Einige sind faktisch belegbar – andere fallen
in das Reich der Mythen. Fakt ist, dass sich die Ansprüche einzelner Mitarbeitergruppen an die
IT geändert haben und auch die Unternehmen neue und erweiterte Anforderungen an die
Mitarbeiter formulieren. Hierzu sind rollenspezifische und somit bedarfsgerechte
Bereitstellungsmodelle unabdingbar. Pauschale Aussagen über „das richtige Gerät“ für den
einzelnen Mitarbeiter können nicht getroffen werden. Zu unterschiedlich sind die Anforderungen
des einzelnen Nutzers bzw. der verschiedenen Benutzergruppen.
Während Ingenieur-Arbeitsplätze, seien es CAD / CAE o.ä., nach wie vor häufig am besten mit
einem leistungsstarken Desktop ausgestattet und Tablets maximal als Zweitgerät genutzt
werden, haben Außendienst oder Service-Techniker vollkommen andere Anforderungen.
Während mobile Mitarbeiter unterwegs zunehmend auf Tablets setzen, wird am stationären
Büroarbeitsplatz gelegentlich noch auf Thin Client oder den klassischen Desktop
zurückgegriffen. Was jedoch bei allen Gerätetypen und Geräteklassen gleich wichtig ist, ist die
Einhaltung von Sicherheitsanforderungen.
Die Praxis zeigt, dass gerade hier für IT-Abteilungen eine große Herausforderung liegt,
insbesondere durch eine Vielzahl unterschiedlicher Gerätetypen mit unterschiedlichen
Betriebssystemen. Dabei können vor allem Tablets zu einer bösen Überraschung werden:
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 5
Unternehmen nutzen oftmals Geräte, die für den Consumer-Bereich entwickelt wurden und den
hohen Sicherheitsanforderungen eines Unternehmens nicht gerecht werden. Firmendaten
können so leicht in die Hände Unbefugter gelangen, manipuliert werden oder verloren gehen.
Die zentrale Frage, die sich Entscheider in Anwenderunternehmen stellen müssen lautet: Was
definiert einen modernen Arbeitsplatz? Neben Anforderungen, die die eigenen Mitarbeiter
stellen, den technischen Gegebenheiten im Ökosystem (der Wertschöpfungskette), in dem sich
das Unternehmen befindet, den eingesetzten Services und Software, ist aus Sicht der
Unternehmens-IT insbesondere das Management der Arbeitsplätze (Hardware, Software und
Services) von entscheidender Bedeutung, wenn es um den modernen Arbeitsplatz geht. Neben
Formen der Bereitstellung (z.B. Client-Virtualisierung) stehen insbesondere das Monitoring und
die Orchestrierung des laufenden Betriebs im Fokus. Mitarbeiter sollen auf den für sie richtigen
Geräten, auf Daten und Anwendungen zugreifen, und sich mit Kollegen austauschen können.
Für die reibungslose Umsetzung sind einerseits Werkzeuge für das Systemmanagement
notwendig. Auf der anderen Seite werden hohe Anforderungen an die eingesetzten Geräte,
Software und Services hinsichtlich der Erfüllung von Sicherheitsanforderungen gesetzt. Ziel ist
es, die Komplexität des Managements und die Sicherheitsrisiken zu minimieren. Je mehr
unterschiedliche Systeme (Client-OS) in unterschiedlichen Generationen oder Gerätetypen im
Unternehmen genutzt werden, desto höher ist die Zahl etwaiger Schwachstellen der Systeme.
Unternehmen wird empfohlen, einerseits die Gerätevielfalt für die unterschiedlichen
Arbeitssituationen im Unternehmen zu nutzen. Auf der anderen Seite aber die Anzahl der
eingesetzten Client-OS-Varianten zu reduzieren.
Die Experton Group beschäftigt sich in einem umfassenden Whitepaper mit den Risiken
der Nutzung von Tablets. Ein besonderer Fokus liegt auf den Risiken bei Geräteverlust
und gemischter, betrieblicher und privater Tablet-Nutzung (BYOD, COIT). Hierbei werden
Sicherheitsfunktionen der Betriebssysteme Android OS 4.3, Apple iOS 7 und Windows
8.1 miteinander verglichen, um deren Eignung zur Abwehr der beschriebenen Risiken zu
analysieren.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 6
2 Einleitung
Tablets erscheinen als ideale Arbeitsmittel für Vertrieb, Kundenberatung und Support. Kleine
Abmessungen und geringes Gewicht bei gleichzeitig guter Softwareausstattung, der
Möglichkeit des Internetzugangs und ein hochauflösender Touchscreen, all das verspricht das
richtige Umfeld für das mobile Arbeiten. Es überrascht deshalb nicht, dass Tablets zunehmend
Einzug in Unternehmen halten, nachdem sie bereits erfolgreich die Privathaushalte erobert
haben.
Tablets können allerdings zu einer bösen Überraschung werden: Unternehmen nutzen oftmals
Geräte, die für den Consumer-Bereich entwickelt wurden und den hohen
Sicherheitsanforderungen eines Unternehmens nicht gerecht werden. Firmendaten könnten
so in die Hände Unbefugter gelangen, manipuliert werden und verloren gehen.
Sicherheitsrichtlinien, wie mit Firmendaten im Fall von BYOD oder einer Privatnutzung von
betrieblichen Tablets umzugehen ist, fehlen in vielen Unternehmen. Sind entsprechende
Policies vorhanden, wird die Einhaltung vielfach nicht ausreichend überwacht. Es kommt
deshalb insbesondere darauf an, welche integrierte Sicherheit die Tablets selbst bieten.
Die Tablet-Betriebssysteme Android OS, Apple iOS und Microsoft Windows haben eine Reihe
von Sicherheitsfunktionen, die den Einsatz von Tablets in Unternehmen sicherer machen
können. Gerade in den aktuellen Versionen Android OS 4.3, Apple iOS 7 und Microsoft
Windows 8.1 finden sich Funktionalitäten, die die Sicherheit der betrieblichen Daten auf
Tablets erhöhen können.
Ein besonderer Bedarf an Datensicherheit besteht dann, wenn betriebliche Tablets auch privat
genutzt oder private Tablets zu betrieblichen Zwecken eingesetzt werden (BYOD,
Consumerization of IT). Die vorliegende Analyse betrachtet deshalb insbesondere, wie die
Betriebssysteme Android OS 4.3, Apple iOS 7 und Microsoft Windows 8.1 dazu beitragen
können, dass die gemischte betriebliche und private Nutzung von Tablets erfolgen kann, ohne
die Vertraulichkeit, Integrität und Verfügbarkeit von Firmendaten zu gefährden.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 7
3 Risiken der Tablet-Nutzung im betrieblichen Einsatz und bei
gemischt betrieblich-privater Nutzung
Vor dem Einsatz von Tablets sollten Unternehmen eine Risikoanalyse vornehmen, die die
folgenden Fälle unterscheidet:
Ein betriebliches Tablet soll zu betrieblichen Zwecken eingesetzt werden.
Ein betriebliches Tablet wird für die private Nutzung freigegeben.
Ein privates Tablet wird für die betriebliche Nutzung zugelassen.
Dabei können Risiken auftreten auf Nutzerebene, auf Gerätebene, auf Ebene der
Anwendungen (Apps) und auf Datenebene.
3.1 Ein betriebliches Tablet soll zu betrieblichen Zwecken eingesetzt
werden
Geräteverlust: Tablets sind zwar größer als Smartphones. Trotzdem besteht ein erhöhtes
Risiko, dass sie verloren gehen oder gestohlen werden, insbesondere bei Verwendung
außerhalb des Firmengebäudes, also zum Beispiel im Außendienst. Bei mangelhafter
Zutrittskontrolle oder durch unehrliche Mitarbeiter besteht das Diebstahlrisiko auch
innerhalb der Firma. Werden die Daten auf dem Tablet nicht gegen unerlaubten Zugriff und
gegen Verlust geschützt, drohen zusätzlich zum Geräteverlust ein Datenverlust und
Datenmissbrauch.
Pool-Nutzung: Werden Tablets nicht einzelnen Mitarbeitern fest zugeordnet, sondern
innerhalb einer Gruppe oder Abteilung genutzt, kann es zu einer Vermischung der
Berechtigungen kommen, wenn ein Benutzer die Berechtigungen eines anderen Nutzers
übernehmen kann und Daten einsieht, die nicht für ihn bestimmt sind. Das ist insbesondere
dann der Fall, wenn einzelne Benutzer auf dem Tablet nicht unterschieden werden.
Unerlaubte Privatnutzung: Wenn es Mitarbeitern möglich ist, das betriebliche Tablet
heimlich privat zu nutzen, könnten ohne entsprechende Kontrolle zum Beispiel private Apps
installiert werden, die Zugriff auf betriebliche Daten erlangen. So könnten Nutzer
Firmendaten in ihre persönliche Cloud übertragen oder in ein soziales Netzwerk einstellen.
Das ist insbesondere dann möglich, wenn die installierbaren Apps nicht beschränkt und
verbotene App-Stores nicht blockiert werden.
Mangelnde App-Sicherheit: Ohne Kontrolle der App-Installation besteht auch das Risiko,
dass schädliche, spionierende Apps auf das Tablet und unter Umständen darüber
Schadprogramme ins Firmennetzwerk gelangen. Wird die Aktualität der Apps nicht
überwacht bzw. die Aktualisierung nicht automatisch vorgenommen, können
Sicherheitslücken und Schwachstellen bei den Apps offen bleiben und Angriffsflächen bieten.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 8
Verwendung unsicherer Netze: Wird das betriebliche Tablet unterwegs genutzt, könnten die
Mitarbeiter zum Beispiel öffentliche HotSpots nutzen, um mobilen Zugriff auf das
Firmennetzwerk zu erlangen. Dabei besteht die Gefahr, dass die Datenverbindung ins
Unternehmensnetzwerk durch Dritte abgehört und manipuliert wird.
Fehlende Unterscheidung Nutzer / Administrator: Wenn ein Mitarbeiter lokale
Administrationsrechte für das betriebliche Tablet erhält, könnte er riskante Änderungen an
den Geräteeinstellungen und dem Betriebssystem vornehmen. Sicherheitsfunktionen
könnten so außer Kraft gesetzt werden.
3.2 Ein betriebliches Tablet wird für die private Nutzung freigegeben
Geräteverlust: Das Risiko für einen Verlust des mobilen Endgeräts kann deutlich steigen,
wenn eine Privatnutzung erlaubt wird. Der Nutzer kann das Tablet bei verschiedenen
privaten Aktivitäten mitführen, die an Orten stattfinden, wo das betriebliche Gerät
andernfalls nie zu finden wäre. So ist das Verlust- und Diebstahlrisiko zum Beispiel in einer
belebten Bar zweifellos höher als im Büro. Zudem besteht die Möglichkeit, dass der Nutzer
das Tablet an Dritte weitergibt, sei es z.B. an die eigenen Kinder oder aber an einen
Bekannten, der schon immer einmal ein Tablet testen wollte. Ohne entsprechende
Absicherung erhöht sich somit die Gefahr eines unerlaubten Zugriffs und des Datenverlusts.
Fehlende Unterscheidung zwischen Nutzern: Wird das Tablet innerhalb der Familie oder an
andere Dritte weitergegeben, könnten Berechtigungen, die dem Mitarbeiter gewährt
wurden, durch Unbefugte ausgenutzt werden. Auf dem Gerät befindliche Daten könnten
eingesehen, vorkonfigurierte Netzwerkverbindungen missbraucht werden, insbesondere
dann, wenn der Nutzer die häufige und gefährliche Unsitte teilt, Passwörter zu speichern.
Fehlende Trennung von Apps und Daten: Die auf dem Tablet installierten Apps könnten
durch den Nutzer durch private Apps erweitert werden, die ohne entsprechende
Sicherheitsvorkehrungen auf die betrieblichen Daten zugreifen könnten, die sich auf dem
Tablet befinden oder die über das Tablet erreichbar sind. Dadurch droht ein Datenabfluss an
Dritte, insbesondere wenn der Nutzer - ohne es zu wissen – Spyware auf dem Tablet
nachinstalliert.
Nutzung ggf. riskanter Dienste (z.B. private soziale Netzwerke, Personal Clouds): Der auf
dem Tablet befindliche Browser könnte ebenso wie nachinstallierte Apps dafür genutzt
werden, Dienste zu verwenden, die betrieblich nicht erlaubt sind. Das könnten zum Beispiel
private Cloud-Dienste oder private soziale Netzwerke sein.
Nutzung ggf. riskanter App-Stores: Der Nutzer könnte das betriebliche Tablet ohne Kontrolle
durch das Unternehmen mit App-Stores verbinden, die betrieblich nicht freigegeben wurden.
Dadurch steigt das Risiko, das unerwünschte oder gefährliche Apps auf dem betrieblichen
Gerät installiert werden.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 9
Einschleppen von Schadsoftware, Spyware-Apps: Wird das betriebliche Tablet nach der
Privatnutzung wieder mit dem Firmennetzwerk verbunden, könnten schädliche Apps und
andere Formen von Malware einen erleichterten Zugang ins Netzwerk finden.
Verwendung unsicherer, nicht aktueller Apps: Installiert der Nutzer zu privaten Zwecken
Apps, könnten diese unsicher und veraltet sein. Dadurch öffnen sich mögliche
Sicherheitslücken auf dem betrieblichen Endgerät, insbesondere dadurch, dass die
zusätzlichen Apps nicht ohne weiteres im betrieblichen Patch-Management und damit bei
den Aktualisierungsprozessen berücksichtigt werden.
Nutzung unsicherer Netzwerke: Bei der privaten Nutzung des betrieblichen Tablets ist es
sehr wahrscheinlich, dass der Mitarbeiter zum einen seinen privaten Internetzugang und
damit seinen privaten WLAN-HotSpot verwendet. Zudem könnte er unterwegs öffentliche
HotSpots nutzen. Beide WLAN-Zugänge können unsicher sein und Lauschangriffe sowie
andere Attacken ermöglichen, auch dann, wenn der Mitarbeiter zum Beispiel von seinem
Home-Office aus auf das Firmennetzwerk zugreifen möchte.
Manipulation an Gerät / Betriebssystem: Wenn der Mitarbeiter das betriebliche Gerät auch
zu privaten Zwecken mitführen darf, könnte es zu dem Versuch kommen, die
Sicherheitseinstellungen zu verändern, zum Beispiel um den Nutzer interessierende Apps
und Online-Dienste zu verwenden, die betrieblich nicht zugelassen sind. Die geänderten
Sicherheitseinstellungen führen dann dauerhaft zu einer reduzierten Datensicherheit auf
dem Tablet.
3.3 Ein privates Tablet wird für die betriebliche Nutzung zugelassen
Geräteverlust: Private Tablets können aufgrund ihrer Mobilität an vielfältigen Orten
eingesetzt werden und unterliegen einem hohen Verlustrisiko. Wird ein privates Tablet auch
zu betrieblichen Zwecken eingesetzt, könnten sich darauf zu schützende Firmendaten
befinden. Im Fall des Geräteverlustes kommt es dann auch zu einem Datenverlust, wenn die
Firmendaten nicht Teil eines Backups waren. Ohne Verschlüsselung der Firmendaten besteht
bei Geräteverlust auch das erhöhte Risiko, dass Unbefugte auf die Daten zugreifen können.
Ausscheiden des Mitarbeiters: Bei privaten Tablets, die betrieblich genutzt werden, kann es
auch dann zum „Geräteverlust“ und Datenverlust kommen, wenn der Mitarbeiter das
Unternehmen verlässt. Ohne entsprechende Sicherheitsvorkehrungen verlassen dann mit
Mitarbeiter und Gerät auch die Firmendaten das Unternehmen.
Fehlende Unterscheidung zwischen privater und betrieblicher Nutzung: Der Mitarbeiter
nutzt sein privates Tablet regelmäßig im Alltag und könnte versäumen, die private und
betriebliche Nutzung zu trennen. Möglich wäre dies durch getrennte Nutzerprofile, sofern
das jeweilige Betriebssystem dies unterstützt. Fehlt aber die Trennung zwischen den
verschiedenen Arten der Nutzung, könnte es dazu kommen, dass private Daten mit
betrieblichen Anwendungen und umgekehrt betriebliche Anwendungen mit privaten Daten
genutzt werden. Beide Situationen sind aus Compliance-Gründen sehr problematisch.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 10
Nutzung ggf. riskanter Dienste: Gerade bei privaten Tablets, die betrieblich genutzt werden,
besteht eine hohe Wahrscheinlichkeit, dass die Geräte auch für Dienste genutzt werden, die
aus betrieblicher Sicht nicht erwünscht oder zu riskant erscheinen. Beispiele sind private
Cloud-Speicherdienste oder soziale Netzwerke.
Nutzung ggf. riskanter App-Stores: Die Wahrscheinlichkeit, dass ein Nutzer für sein privates
Tablet auch App-Stores verwendet, die das Unternehmen aus Sicherheitsgründen ablehnen
würde, sollte bei einer Risikoanalyse ebenfalls als hoch angenommen werden, sofern
abhängig vom Betriebssystem Drittanbieter App-Stores bestehen.
Einschleppen von Schadsoftware, Spyware-Apps: Fehlt auf dem privaten Tablet eine
professionelle, mobile Anti-Viren-Software, besteht die Gefahr, dass das private Tablet mit
Malware verseucht ist, die bei der betrieblichen Nutzung ins Firmennetzwerk gelangen
könnte. Gerade bei privaten Tablets darf dieses Risiko nicht unterschätzt werden, da
Privatanwender vielfach aus eigenem Antrieb keine Sicherheitslösung installieren und
aktualisieren.
Verwendung unsicherer, nicht aktueller Betriebssysteme und Apps: Bei privaten Tablets hat
ein Unternehmen in der Regel keinen Einfluss auf die Wahl des Gerätes. Dadurch kann es je
nach Betriebssystem passieren, dass auf dem Tablet eine ältere, als unsicher eingestufte
Betriebssystemversion läuft, für die es keine Sicherheitsupdates (mehr) gibt. Auch die
Aktualisierung der Apps hängt je nach Betriebssystem von dem Nutzer selbst ab.
Nutzung unsicherer Netzwerke: Es steht außer Zweifel, dass der Mitarbeiter sein privates
Tablet auch mit seinem privaten Internetzugang, meist einem WLAN-HotSpot, verbindet und
dass er unterwegs öffentliche HotSpots nutzt. Ohne weitere Vorkehrungen würde die
Sicherheit der Datenverbindung ins Firmennetzwerk dann von den privaten
Sicherheitsmaßnahmen des Nutzers abhängen.
Manipulation an Gerät / Betriebssystem: Der Mitarbeiter ist der lokale Administrator seines
privaten Tablets, so dass er in der Lage ist, die Sicherheitseinstellungen zu verändern, auch
nachdem diese mit ihm gemeinsam für den betrieblichen Einsatz abgesprochen wurden.
Dem dann erhöhten Datenrisiko sollte durch zusätzliche Sicherheitsmaßnahmen begegnet
werden.
Im Folgenden sind die Risiken des Tablet-Einsatzes nochmals zusammengefasst, bevor die
von dem jeweiligen Tablet-Betriebssystem abhängigen Sicherheitsfunktionen betrachtet und
verglichen werden.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 11
Risiko bei Tablet-Nutzung Betriebliches Gerät,
betriebliche Nutzung
Betriebliches Gerät, private
Nutzung
Privates Gerät, betriebliche
Nutzung
Geräteverlust Besonders im
Außendienst
x x
Fehlende Unterscheidung zwischen Nutzern (Vermischung
Berechtigungen)
Pool-Nutzung x x
Fehlende Trennung betriebliche Apps und private Daten /
private Apps und betriebliche Daten
Nur bei unerlaubter
Privatnutzung
x x
Nutzung verbotener Dienste (z.B. private soziale
Netzwerke, Personal Clouds)
Nur bei unerlaubter
Privatnutzung
x x
Nutzung nicht freigegebener App-Stores Bei fehlender App-
Kontrolle
x x
Einschleppen von Schadsoftware, Spyware-Apps x x x
Verwendung unsicherer, nicht aktueller Betriebssysteme
und Apps
Bei fehlenden
Aktualisierungsprozes
sen
x x
Nutzung unsicherer Netzwerke (öffentliche, private
HotSpots) für Zugriff auf Firmennetzwerk
Im Außendienst x x
Manipulation an Gerät / Betriebssystem Bei fehlender
Unterscheidung
Administrator /
Standardnutzer
Bei fehlender Unterscheidung
Administrator / Standardnutzer
x
Tabelle 1: Risiken bei Tablet-Nutzung
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 12
4 Vergleich der Sicherheitsfunktionen aktueller Tablet-
Betriebssysteme
Um den dargestellten Risiken bei der Nutzung eines Tablets zu begegnen, stehen
verschiedene Sicherheitsfunktionen aktueller Betriebssysteme zur Verfügung. Zudem sind
zahlreiche Sicherheitslösungen auf dem Markt erhältlich, die bei Bedarf ggf. fehlende
Sicherheitsfunktionen der Betriebssysteme ergänzen können. Voraussetzung dafür ist aber,
dass diese zusätzlichen Sicherheitslösungen auch beschafft, installiert und dauerhaft aktiviert
werden.
Gerade bei der betrieblichen Verwendung privater Tablets (BYOD) hängt die zusätzliche
Absicherung von dem Nutzer selbst ab, sofern das Betriebssystem die Funktion nicht
bereitstellt. Zudem besteht grundsätzlich bei entsprechender Berechtigung des Nutzers die
Gefahr, dass er die Sicherheitslösungen nicht aktiviert, zeitweise deaktiviert oder nicht
regelmäßig aktualisiert. In diesen Fällen kann nicht davon ausgegangen werden, dass die
genannten Risiken tatsächlich abgewehrt werden.
Einer Grundsicherheit des Tablets über das jeweilige Betriebssystem kommt deshalb eine
besondere Bedeutung zu. Hier gibt es jedoch Unterschiede, die im Folgenden für bestimmte
Risiken näher untersucht werden.
4.1 Sicherheitsfunktionen, um dem Datenrisiko bei Geräteverlust zu
begegnen
Geht ein Tablet verloren oder wird es gestohlen, kommen mit dem Gerät auch die darauf
gespeicherten Daten abhanden. Maßnahmen gegen dieses Risiko sind zum einen
regelmäßige Backups, die je nach Einsatzszenario auch die betrieblichen Daten auf einem
privaten Tablet umfassen. Zudem müssen die verlorenen Daten gegen unbefugte Zugriffe und
Missbrauch geschützt werden. Hier spielen die Zugangskontrolle, die Verschlüsselung der
Daten und die Möglichkeit zur Datenfernlöschung (Remote Wipe) eine Rolle. Die Tablet-
Betriebssysteme Android 4.3, Apple iOS7 und Microsoft Windows 8.1 bieten hier zum Teil
verschiedene Ansätze und zeigen unterschiedliche Stärken und Schwächen.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 13
Zugangskontrolle:
Die Zugangskontrolle dient dazu, dass nur berechtigte Nutzer das Tablet verwenden können.
Aufgrund des erhöhten Verlustrisikos sind hier ein Schutz mittels eines starken, komplexen
Passwortes oder ein anderer starker Sicherheitsfaktor zur Authentifizierung des Nutzers
angezeigt.
Bewertung Zugangskontrolle iOS7: neutral bis gut
Apple iOS7 sieht für den Zugangsschutz zum einen Passcodes vor. Der Nutzer sollte
allerdings die maximale Länge des Passcodes erhöhen. Andernfalls lassen sich nur
schwache Passcodes definieren. Über Passwortrichtlinien kann unter anderem die
maximale Gültigkeitsdauer festgelegt werden, um einen Passwortwechsel zu erzwingen. Für
den Fall einer mehrfachen falschen Passworteingabe kann eine automatische Datenlöschung
vorgesehen werden. Neben einem Passwortschutz steht beim neuen iPad5 voraussichtlich
eine biometrische Zugangskontrolle mit Touch ID (Fingerabdruck-Scanner) zur Verfügung,
durch die Integration u.a. von RSA SecurID auch eine Mehr-Faktor-Authentifizierung, so dass
alleine die Kenntnis oder das Knacken des Passwortes nicht ausreicht, um Zugang zu
erlangen.
Bewertung Zugangskontrolle Android 4.3: schlecht bis neutral
Tablets auf Basis von Android 4.3 können mit einer Display-Sperre versehen werden, die
mittels PIN, Passwort, auf dem Touchscreen eingezeichnetem Muster oder über das von der
Tablet-Webcam erkannten Gesicht des Nutzers (Face Unlock) geschützt wird. Face Unlock
bietet jedoch nur eine geringe Sicherheit. Die Vorbereitung für eine Mehr-Faktor-
Authentifizierung fehlt und muss durch zusätzliche Lösungen ergänzt werden. Im
Standard hilft also nur die Verwendung eines starken Passwortes.
Bewertung Zugangskontrolle Windows 8.1: gut
Windows 8.1 bietet eine Zugangskontrolle über die Abfrage der Benutzerdaten für den
Microsoft Account Login. Zudem unterstützt Windows 8.1 bereits im Standard eine
biometrische Zugangskontrolle über Fingerabdruck-Scanner. Das ebenfalls vorgesehene
Picture Password setzt allerdings genau wie ein herkömmliches Passwort eine ausreichend
komplexe Definition voraus. Damit ist es möglich, sich durch spezielle Berührungen eines auf
dem Touchscreen angezeigten Bildes als Nutzer zu legitimieren. Gerade im Fall von BYOD
bietet Windows 8.1 einen erhöhten Zugangsschutz durch die Unterstützung einer Mehr-
Faktor-Authentifizierung.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 14
Datenverschlüsselung:
Eine zentrale Maßnahme gegen die unbefugte Kenntnisnahme der (verlorenen) Daten ist die
Verschlüsselung nach Stand der Technik.
Bewertung Verschlüsselung iOS7: gut
Apple iPads auf Basis von iOS7 bieten eine automatische Hardware-Verschlüsselung
sowie zusätzlich die Funktion Data Protection zur Verschlüsselung von Flash-Speichern.
Daten, die in Apps gespeichert sind, werden solange geschützt, bis der richtige Passcode
eingegeben wird.
Bewertung Verschlüsselung Android 4.3: schlecht, da optional
Bei Tablets, die mit Android 4.3 ausgestattet sind, ist eine Datenverschlüsselung optional
möglich. Der dafür verwendete Schlüssel entspricht dem Passwort, das für die
Bildschirmsperre definiert wird.
Bewertung Verschlüsselung Windows 8.1: gut
Tablets mit Windows 8.1 als Betriebssystem bieten eine automatische
Geräteverschlüsselung, wenn das Gerät InstantGo (eine spezielle Funktion zur
Geräteaktivierung im Stand-by-Modus) unterstützt. In diesem Fall werden die Daten auf dem
Tablet nach der ersten Anmeldung am Microsoft-Benutzerkonto automatisch verschlüsselt.
Die Betriebssystem-Editionen Windows 8.1 Pro und Enterprise verfügen zudem über die
Laufwerksverschlüsselung BitLocker und BitLocker to Go (Verschlüsselung von
Wechseldatenträgern). Unternehmen mit Microsoft Windows-Servern können die Tablet-
Verschlüsselung mit BitLocker auch zentral entsprechend interner Richtlinien regeln.
Datenfernlöschung:
Bei Geräteverlust bleibt dem unehrlichen Finder oder Gerätedieb viel Zeit, um zu versuchen,
den ggf. zu schwachen Passwortschutz zu brechen. Deshalb kommt einer Datenfernlöschung
(Remote Wipe) als Notfallmaßnahme eine große Bedeutung zu. Gelingt die Fernlöschung der
Daten, kann ein Datenmissbrauch verhindert werden.
Im Fall der gemischten privaten und betrieblichen Nutzung muss allerdings bedacht werden,
dass ein Unternehmen ohne weiteres kein Recht dazu hat, private Daten des Nutzers zu
löschen. Vielmehr muss bei der Datenfernlöschung sichergestellt sein, dass nur die
betrieblichen Daten davon betroffen sind.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 15
Bewertung Remote Wipe iOS7: sehr schlecht, da keine Unterscheidung privater und
betrieblicher Daten
iOS7 bietet eine Funktion zur Datenfernlöschung. Allerdings werden im Fall der
Datenfernlöschung alle Daten auf dem betroffenen Tablet gelöscht. Eine inhaltliche
Unterscheidung der Daten in betrieblich oder privat ist nicht vorgesehen.
Bewertung Remote Wipe Android 4.3: sehr schlecht, da keine Unterscheidung privater
und betrieblicher Daten
Auch Android 4.3 bietet eine Funktion zur Datenfernlöschung. Allerdings werden im Fall der
Datenfernlöschung auch hier alle Daten auf dem betroffenen Tablet gelöscht. Eine inhaltliche
Unterscheidung der Daten in betrieblich oder privat ist nicht vorgesehen.
Bewertung Remote Wipe Windows 8.1: sehr gut, Unterscheidung privater und
betrieblicher Daten findet statt
Im Gegensatz dazu bietet Windows 8.1 Unternehmen die Funktion Remote Data Removal,
mit der sich gezielt betriebliche Daten löschen lassen, ohne die privaten Daten des Nutzers
zu entfernen.
Gesamtbeurteilung der Datensicherheit bei Geräteverlust
Geht ein Tablet verloren, können die Daten nur dann zuverlässig geschützt werden, wenn ein
starker Zugangsschutz besteht, eine Verschlüsselung aktiv ist bzw. die betrieblichen Daten
aus der Ferne gelöscht werden können. Die Datenfernlöschung spielt auch dann eine Rolle,
wenn Mitarbeiter ausscheiden, die mit ihrem Tablet an einem BYOD-Programm teilgenommen
haben.
Datensicherheit bei Geräteverlust Android 4.3: schlecht, Zusatzlösungen erforderlich
In den Bereichen Zugangsschutz, Verschlüsselung und Datenfernlöschung besteht bei einem
Tablet auf Android 4.3 - Basis der Bedarf an zusätzlichen Sicherheitslösungen, wenn eine
Mehr-Faktor-Authentifizierung, eine automatische Verschlüsselung und eine selektive
Datenfernlöschung umgesetzt werden sollen.
Datensicherheit bei Geräteverlust iOS7: neutral bis schlecht, Compliance-Problem bei
Datenfernlöschung
Ein iPad auf Basis von iOS7 bietet bereits die Möglichkeit zur starken Authentifizierung und
eine automatische Verschlüsselung vor. Bei der Datenfernlöschung jedoch werden alle Daten
auf dem iPad gelöscht, auch die privaten Daten im Fall von BYOD.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 16
Datensicherheit bei Geräteverlust Windows 8.1: gut bis sehr gut
Windows 8.1 – Tablets bieten die Möglichkeit für einen starken Zugangsschutz und bei
InstantGo-fähigen Geräten eine automatische Verschlüsselung. Die Verschlüsselung über
BitLocker kann seitens des Nutzers oder zentral über einen Windows-Server aktiviert werden.
Vorteilhaft ist die klare Trennung zwischen privaten und betrieblichen Daten im Fall einer
Datenfernlöschung, die Compliance-Probleme durch die Rechte des Nutzers an seinen
privaten Daten ausschließt.
Gesamtbeurteilung der Compliance bei Geräteverlust
Android 4.3 und Apple iOS 7: Datenfernlöschung als Problem des Arbeitgebers
Sollen die betrieblichen Daten mit Hilfe einer Datenfernlöschung (Remote Wipe) entfernt und
so vor Missbrauch geschützt werden, fehlt bislang bei Android 4.3 und Apple iOS 7 eine
Möglichkeit, zwischen privaten und betrieblichen Daten zu unterscheiden. Wird für ein
betriebliches Tablet auf Basis von Android 4.3 und Apple iOS 7 die Privatnutzung erlaubt oder
geduldet, gerät die Datenfernlöschung zu einem rechtlichen Problem, da der Arbeitgeber
keine Rechte an den privaten Daten besitzt, diese also nicht einfach löschen darf. Benötigt
würde eine vorherige Einwilligung des betroffenen Nutzers, dass bei Geräteverlust auch die
privaten Daten gelöscht werden dürfen. Solche Einwilligungen werden aber kritisch gesehen,
da im Rahmen eines Beschäftigungsverhältnisses die Freiwilligkeit der Einwilligung nicht
immer gewährleistet sein wird.
Windows 8.1: Datenfernlöschung bei betrieblichen Tablets trotz Privatnutzung möglich
Windows 8.1 hingegen bietet eine Datenfernlöschung, die nur die betrieblichen Daten auf dem
betrieblichen Tablet erfasst. Dadurch bestehen die genannten Compliance-Probleme für den
Arbeitgeber nicht. Eine vorherige Zustimmung des Nutzers für die gezielte Löschung der
Daten auf einem verlorenen, betrieblichen Tablet ist bei Windows 8.1 nicht erforderlich, da die
Datenfernlöschung zwischen privaten und betrieblichen Daten unterscheiden kann.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 17
4.2 Sicherheitsfunktionen, um dem Datenrisiko bei gemischter
betrieblicher und privater Tablet-Nutzung zu begegnen
Werden Tablets zu privaten und betrieblichen Zwecken genutzt oder teilen sich verschiedene
Nutzer ein Gerät, besteht die Gefahr, dass betriebliche Daten durch private Apps oder durch
unbefugte Nutzer eingesehen, verändert und missbraucht werden. Dieses Risiko besteht
insbesondere dann, wenn sich Apps und Daten nicht in betrieblich und privat trennen bzw.
Nutzer sich nicht unterscheiden lassen.
Die Folge einer gemischten betrieblichen und privaten Tablet-Nutzung kann sein, dass
betrieblich verbotene Dienste (wie persönliche Clouds oder private soziale Netzwerke)
verwendet werden, die die betrieblichen Daten gefährden könnten. Die Tablet-Nutzer könnten
privat nicht freigegebene App-Stores wählen, Spyware-Apps und andere Schadsoftware auf
das Tablet und später in das Unternehmensnetzwerk einschleppen. Zudem können veraltete
Apps, die privat installiert und nicht aktualisiert werden, zu zusätzlichen Angriffspunkten
führen.
Werden private Tablets betrieblich genutzt, kann je nach Betriebssystem eine veraltete
Version zum Einsatz kommen, für die es keine Sicherheits-Updates mehr gibt. Die betrieblich
genutzten Geräte entsprechen dann dauerhaft nicht der Anforderung an eine sichere IT.
Zur Risikoabwehr bei gemischter betrieblich-privater Tablet-Nutzung sind sicherheitsrelevante
Funktionen entscheidend wie eine kontrollierte App-Bereitstellung, eine Unterscheidung der
Nutzer, eine Trennung der Apps und Daten nach Nutzer oder Einsatzzweck, eine
Aktualisierung von Apps und Betriebssystem sowie ein Malware-Schutz. Auch in diesen
Funktionen unterscheiden sich die betrachteten Betriebssysteme Apple iOS 7, Android 4.3
und Windows 8.1 zum Teil deutlich.
Sicherheitsfunktion Nutzertrennung:
Die mögliche Trennung der Nutzer durch jeweils eigene Benutzerzugänge, Apps und Daten
ist der Königsweg zur Vermeidung von Datenrisiken bei BYOD-Programmen oder bei der
Pool-Nutzung von Tablets.
Bewertung Nutzertrennung iOS7: sehr schlecht, nicht vorgesehen
Apple iOS 7 sieht keine getrennten Nutzer auf einem iPad vor.
Bewertung Nutzertrennung Android 4.3: sehr gut
Bei Android 4.3 lassen sich verschiedene Benutzer auf einem Tablet anlegen.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 18
Bewertung Nutzertrennung Windows 8.1: sehr gut
Windows 8.1 bietet die Anlage verschiedener Nutzer und unterstützt so eine Trennung
unterschiedlicher betrieblicher Nutzer oder der privaten und betrieblichen Nutzung.
Sicherheitsfunktion Kontrollierte App-Bereitstellung:
Werden Tablets sowohl betrieblich als auch privat genutzt, sollte es möglich sein, die Apps in
betriebliche und in private Anwendungen zu trennen. Verwenden mehrere Nutzer das gleiche
Tablet, ist ebenfalls eine getrennte Bereitstellung der Apps sinnvoll, wenn die Nutzer
unterschiedliche Aufgaben und Rollen im Unternehmen wahrnehmen und verschiedene
Berechtigungen haben. Es sollte einem privaten Nutzer nicht möglich sein, die Auswahl der
betrieblichen Apps zu verändern und eigene Apps mit Zugriff auf betriebliche Daten zu
ergänzen.
Bewertung Kontrollierte App-Bereitstellung iOS7: schlecht, da Nutzer nicht
unterschieden werden
Apple iOS 7 bietet zwar einen für Familien hilfreichen Modus, bei dem Eltern Einfluss auf die
Tablet-Nutzung ihrer Kinder nehmen können. Zudem kann mit dem Supervised Modus die
Art der Tablet-Nutzung eingeschränkt werden, indem es zum Beispiel dem Anwender verwehrt
wird, Spiele zu installieren. Doch die Einschränkungen gelten dann für alle Tablet-Aktivitäten
des Nutzers. Wünschenswert wäre aber, dass bestimmte Apps und Aktivitäten z.B. betrieblich
verboten und privat erlaubt sein können. Hierzu fehlt bei Apple iOS 7 aber ein einfacher
Mechanismus wie der Mehr-Benutzer-Modus.
Bewertung Kontrollierte App-Bereitstellung Android 4.3: gut
Android 4.3 erlaubt eine Unterscheidung der Nutzer und eine Trennung der installierten Apps,
zum Beispiel für die private und die betriebliche Nutzung oder bei der Tablet-Nutzung in der
Gruppe. Zudem sieht die Version 4.3 die Funktion Eingeschränkte Profile vor. Damit kann
der Hauptnutzer des Gerätes festlegen, welche Apps ein anderer Nutzer mit einschränkten
Profil verwenden darf. Allerdings kann dies der Gerätenutzer selbst später auch wieder
verändern. Eine zentrale Vorgabe des Unternehmens, welche Apps privat nicht genutzt
werden dürfen, kann so nicht umgesetzt werden. Vielmehr eignet sich diese Funktion für die
Kontrolle durch Eltern, die ihr Tablet den Kindern überlassen.
Bewertung Kontrollierte App-Bereitstellung Windows 8.1: sehr gut
Windows 8.1 erlaubt die Anlage verschiedener Nutzer, die jeweils getrennt Apps installieren
und verwenden können. Eine Kontrolle der Tablet-Nutzung im privaten Bereich ist mit Family
Safety möglich. Die Funktion Assigned Access kann verwendet werden, um die Tablet-
Nutzung auf eine bestimmte App zu begrenzen. Mit der Funktion AppLocker bei Windows
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 19
8.1 Pro oder Enterprise kann ein Unternehmen bestimmte Anwendungen zentral verbieten
und die Installation oder Nutzung verhindern. Alternativ kann eine Liste der erlaubten Apps
definiert werden. Mit AppLocker ist somit eine Kontrolle der App-Bereitstellung und -Nutzung
möglich. Der Anwender kann private Apps nicht installieren, wenn dies unter dem
betrieblichen Tablet-Zugang verboten ist. Bei Wahl des privaten Zugangs jedoch wird er in der
App-Auswahl nicht beschränkt.
Sicherheitsfunktion Trennung der Daten:
Neben den Anwendungen müssen auch die Daten der verschiedenen Nutzer oder die
betrieblichen und privaten Daten unterschieden werden, um zum Beispiel den Zugriff privater
Apps oder anderer Nutzer auf betriebliche Daten zu verhindern.
Bewertung Trennung der Daten iOS7: sehr schlecht
Apple iOS 7 hat keine Funktion, über die sich die Unterscheidung zwischen betrieblichen und
privaten Daten leicht abbilden ließe, wie zum Beispiel einen Mehr-Benutzer-Zugang. Eine
Folge davon ist, dass die zuvor erwähnte Datenfernlöschung auch private Daten betrifft.
Bewertung Trennung der Daten Android 4.3: schlecht
Android 4.3 unterscheidet mit den Nutzern und deren Apps auch die Daten der verschiedenen
Nutzer. Ob ein Nutzer jedoch private und betriebliche Daten bei Verwendung eines Zugangs
mischt, kann nicht kontrolliert werden. Als Folge werden bei der zuvor erwähnten
Datenfernlöschung auch private Daten des Nutzers entfernt.
Bewertung Trennung der Daten Windows 8.1: sehr gut
Windows 8.1 unterstützt durch die gentrennten Nutzerzugänge auch getrennte
Datenbereiche. Zusätzlich können durch die Funktion Work Folders betriebliche Daten
getrennt von privaten Daten abgelegt werden. Die Funktion Workplace Join unterstützt
zudem eine genaue Unterscheidung der Zugriffsrechte von Nutzern auf betriebliche Daten im
Netzwerk.
Sicherheitsfunktion Aktualisierung:
Veraltete Apps und Betriebssysteme stellen mögliche Angriffsflächen dar. Gerade bei der
Installation privater Apps und bei der Verwendung privater Tablets besteht das Risiko, dass
die Sicherheitslücken nicht durch Updates behoben werden. Eine möglichst automatische
Aktualisierung ist das geeignete Gegenmittel.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 20
Bewertung Aktualisierung iOS7: gut
Sowohl für Apps als auch für das Betriebssystem selbst liefert Apple iOS 7 Hinweise, wenn
Aktualisierungen und Fehlerbehebungen vorliegen. Der Nutzer muss allerdings aktiv werden
und die Updates installieren. Ob dies wirklich erfolgt, sollte zusätzlich überwacht werden
(Mobile Device Management / Mobile Application Management)
Bewertung Aktualisierung Android 4.3: sehr schlecht bis schlecht, da Updates für
verschiedene Betriebssystem-Versionen nicht verfügbar sind
Updates für Apps lassen sich zwar bei Android 4.3 automatisieren. Doch für das
Betriebssystem selbst stellt die Aktualisierung ein Problem dar, so dass die Bewertung
insgesamt schlecht ausfällt. Hintergrund sind die zahlreichen verschiedenen, vom
Gerätehersteller abhängigen Android-Versionen, die auf Tablets installiert sind und für die
oftmals keine Möglichkeit besteht, auf eine neuere oder gar die neueste Version von Android
zu aktualisieren. Fehlerbehebungen bleiben den Nutzern solcher Android-Tablets ebenso
verschlossen wie mögliche, neue Sicherheitsfunktionen.
Bewertung Aktualisierung Windows 8.1: sehr gut
Tablets auf Basis von Windows 8.1 erhalten automatische Updates für Apps aus dem
Windows Store. Das Betriebssystem wird über die Funktion Windows Update aktualisiert.
Neue Funktionen und Fehlerbehebungen stehen dadurch zur Verfügung, solange ein
entsprechender Support für das Betriebssystem angeboten wird.
Sicherheitsfunktion Malware-Schutz:
Schadsoftware stellt in jedem Einsatzbereich für Tablets ein Risiko dar. Bei privater Nutzung
steigt jedoch das Risiko, dass unkontrolliert Apps und andere Programme installiert werden,
die Schadfunktionen mit sich bringen können. Deshalb ist ein Malware-Schutz für Tablets
elementar. Der Schutz vor Schadprogrammen sollte dabei bereits im App-Store beginnen.
Bewertung Malware-Schutz iOS7: neutral
Apple iOS 7 profitiert von Sicherheitsmaßnahmen wie App Code Signing und dem App Store
Review Prozess im App Store von Apple, womit gefälschte und gefährliche Apps erkannt und
verhindert werden sollen. Es gibt allerdings erst wenige Anti-Malware-Lösungen für iPads,
obwohl die Zahl der Schadsoftware für iOS zunimmt.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 21
Bewertung Malware-Schutz Android 4.3: schlecht
Während Google Pay als Android-App-Store bestimmte App-Prüfungen durchführt, um unter
anderem Spyware-Apps erkennen und blockieren zu können, sind die Sicherheitsmaßnahmen
bei vielen anderen Android-App-Stores gering oder gar nicht ausgeprägt. Android 4.3 bietet
optional an, vor gefährlichen Apps aus Drittanbieter-App-Stores zu warnen. Anti-Malware-
Software für Android-Tablets ist auf dem Markt reichlich vorhanden, sie muss allerdings durch
den Nutzer oftmals erst noch installiert werden.
Bewertung Malware-Schutz Windows 8.1: sehr gut
Für Windows 8.1 gibt es einerseits Prüfprozesse, um gefälschte und gefährliche Apps zu
erkennen, die in den Windows Store eingestellt werden sollen. Zusätzlich bietet Windows 8.1
mit Windows SmartScreen und Windows Defender eigene Sicherheitslösungen zur
Erkennung und Abwehr von Schadprogrammen. Windows Defender wurde für Windows 8.1
erweitert und sucht nun auch nach verdächtigem Verhalten von Programmen und Dateien.
Gesamtbeurteilung der Datensicherheit bei gemischter privater und betrieblicher
Nutzung
Bei der Gesamtbewertung der Möglichkeiten, den Risiken bei gemischter privater und
betrieblicher Nutzung zu begegnen, spielt insbesondere der Mehr-Benutzer-Zugang, die
Aktualisierungsfunktion und der Malware-Schutz eine Rolle.
Datensicherheit bei gemischter privater und betrieblicher Nutzung Android 4.3:
schlecht
Android 4.3 unterstützt zwar die Unterscheidung von Nutzern. Bei der Aktualisierung des
Betriebssystems machen aber die verschiedenen, geräteabhängigen Versionen Probleme, so
dass vielen Nutzern die Fehlerbehebungen und neuen Sicherheitsfunktionen nicht
zuteilwerden. Durch die bei Android OS verfügbaren Drittanbieter-App-Stores besteht ein
deutlich erhöhtes Risiko, dass sich Nutzer (gerade bei privatem Einsatz des Tablets)
Schadprogramme auf ihr Gerät laden.
Datensicherheit bei gemischter privater und betrieblicher Nutzung iOS7: sehr schlecht
Ein wesentliches Problem bei BYOD für Nutzer von iOS7 ist die fehlende Trennung der Nutzer
und Daten in betrieblich und privat. Es empfiehlt sich dringend der Einsatz von
Zusatzlösungen, die eine virtuelle Trennung zwischen privater und betrieblicher Verwendung
ermöglichen.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 22
Datensicherheit bei gemischter privater und betrieblicher Nutzung Windows 8.1: sehr
gut
Tablets auf Basis von Windows 8.1 eignen sich ausgesprochen gut für die Umsetzung von
BYOD-Programmen durch die Funktionen Mehr-Nutzer-Zugang und die separate Ablage
betrieblicher Daten (Work Folders). Auch die Installation von privaten Apps während der
betrieblichen Nutzung kann einfach verhindert werden, wenn AppLocker zum
Funktionsumfang gehört (Edition Pro und Enterprise).
Die folgende Tabelle fasst die relevanten Sicherheitsfunktionen von Apple iOS7, Android 4.3
und Windows 8.1 und deren Bewertung hinsichtlich der Risiken Geräteverlust und BYOD
zusammen.
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 23
Sicherheitsfunktion Abhilfe gegen Risiko Android 4.3 Apple iOS 7 Windows 8.1
Zugangsschutz Geräteverlust, unbefugte
Nutzer
-/o
Display-Sperre (Muster, PIN,
Passwort, Gesichtserkennung)
o/+
Passcode, Passwortrichtlinien,
ggf. Touch ID (Fingerabdruck-
Scanner), Mehr-Faktor-
Authentifizierung
+
Unterstützung biometrischer
Zugangskontrolle, Microsoft
Account Login, Mehr-Faktor-
Authentifizierung, Picture
Password
Datenfernlöschung Geräteverlust, Ausscheiden
des Mitarbeiters bei BYOD
--
Über Android Geräte-Manager
(keine Unterscheidung
zwischen betrieblichen und
privaten Daten)
--
Local Wipe (keine
Unterscheidung zwischen
betrieblichen und privaten
Daten)
++
Remote Data Removal (mit
Unterscheidung privater und
betrieblicher Daten, so dass
nur betriebliche Daten
gelöscht werden)
Verschlüsselung
Geräteverlust, Pool-Nutzung,
fehlende Nutzertrennung
(BYOD)
-
optional möglich (Schlüssel
entspricht PIN / Passwort für
Bildschirmsperre)
+
Automatische Hardware-
Verschlüsselung, zusätzlich
File Data Protection für Flash-
Speicher
+
BitLocker (Edition Pro und
Enterprise), Device
Encryption (InstantGo-
Geräte)
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 24
Sicherheitsfunktion Abhilfe gegen Risiko Android 4.3 Apple iOS 7 Windows 8.1
Multi-Nutzer-Zugang Pool-Nutzung, gemischte
Nutzung (BYOD)
++
Mehrbenutzer-Funktion
--
Nicht vorgesehen
++
Mehrbenutzer-Funktion
Aktualisierung Unsichere, veraltete
Betriebssysteme und Apps
-- / -
Update-Benachrichtigung für
Apps, App-Updates
automatisierbar
Stark eingeschränkte
Verfügbarkeit Betriebssystem-
Updates durch zahlreiche
Android-Varianten
+
Update-Benachrichtigung für
Apps und Betriebssystem
++
Automatische App-Updates
durch Windows Store sowie
Windows-Update
App-Bereitstellung und -
Trennung (privat,
betrieblich)
Gemischte Nutzung (BYOD)
+
Verschiedene Benutzer mit
unterschiedlichen Apps
möglich
Eingeschränkte Profile
(beschränkter App-Zugriff)
-
Supervised Modus
Kiosk Modus
Parental Control
++
verschiedene Benutzer mit
unterschiedlichen Apps
möglich
AppLocker (Edition Pro und
Enterprise)
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 25
Sicherheitsfunktion Abhilfe gegen Risiko Android 4.3 Apple iOS 7 Windows 8.1
Family Safety
Assigned Access
Daten-Trennung (privat,
betrieblich) Gemischte Nutzung (BYOD)
-
Verschiedene Benutzer mit
getrennten Daten möglich
Unterscheidung privater und
betrieblicher Daten nur über
verschiedene Nutzerzugänge
--
Keine getrennten Nutzer und
Daten
++
Verschiedene Benutzer mit
getrennten Daten möglich
Für betriebliche Nutzung:
Work folders, Workplace
Join
Malware-Schutz Schädliche, spionierende
Apps
-
App Code Signing
App Store Review (Google
Bouncer), aber Drittanbieter
App-Stores vorhanden
Optional Funktion App-
Bestätigung für Drittanbieter-
App-Stores
Sandboxing
o
App Code Signing
App Store Review Prozess
Sandboxing
++
App Code Signing
Prüfprozess im Windows
Store
Windows Defender (mit
Netzwerkanalyse)
Windows SmartScreen
Sandboxing
Tabelle 2: Sicherheitsfunktionen verschiedener aktueller Betriebssysteme zur Abwehr von Tablet-Risiken, Skala der Bewertung (--, -, o, +, ++, entspricht
sehr schlecht, schlecht, neutral, gut, sehr gut)
Whitepaper: Risiken der Tablet-Nutzung
© Copyright Experton Group AG 26
5 Fazit und Empfehlung
Der verstärkte Einsatz von Tablets in Betrieben und der Tablet-Boom bei privaten Nutzern stellen
Unternehmen vor erhöhte Anforderungen im Bereich von Datensicherheit und Compliance.
Besonders die Risiken bei Geräteverlust und bei einer gemischten Nutzung von Tablets, sei es
innerhalb einer betrieblichen Nutzergruppe oder bei privater und betrieblicher Nutzung, gilt es zu
berücksichtigen.
In diesem White Paper wurden deshalb die entsprechenden Risiken detailliert untersucht und die
Sicherheitsfunktionen von Tablet-Betriebssystemen verglichen, in wie weit diese bei der
Risikoabwehr helfen können.
Es zeigt sich, dass die aktuellen Tablet-Betriebssysteme Apple iOS 7, Android 4.3 und Windows 8.1
deutliche Unterschiede aufweisen, wenn es um eine saubere Trennung von Nutzern, Apps und
Daten geht, aber auch wenn verhindert werden soll, dass Nutzer verbotene oder gefährliche Apps
auf Tablets verwenden, die die betrieblichen Daten gefährden könnten.
Für Tablets auf Basis von Android 4.3 (oder ältere Versionen) und für iPads mit iOS 7 (oder ältere
Versionen) lautet die Empfehlung, zusätzliche Sicherheitslösungen einzusetzen, die die
betrieblichen und privaten Daten trennen und eine gezielte Datenfernlöschung von betrieblichen
Daten unterstützen. Zudem sollten mobile Anti-Malware-Lösung nachinstalliert werden.
Ohne zusätzliche Sicherheitsmaßnahmen sind Android-Tablets und iPads bislang schlecht
geeignet, um den Herausforderungen durch die betriebliche Nutzung privater Tablets oder
die private Nutzung betrieblicher Tablets zu begegnen.
Windows 8.1 stellt Tablet-Nutzern bereits die relevanten Sicherheitsfunktionen zur Verfügung, um
Nutzer, Apps und Daten zu trennen und um ohne Compliance-Probleme die betrieblichen Daten zu
löschen, im Fall von Geräteverlust oder Ausscheiden des Tablet-Besitzers aus dem Unternehmen.
Hervorzuheben ist auch der bereits im Standardumfang vorhandene Schutz vor Schadsoftware.
Tablets auf Basis von Windows 8.1 sind somit für BYOD-Programme zu empfehlen und helfen
auch bei der Risikoabwehr, wenn es Beschäftigten erlaubt wird, die betrieblichen Tablets
privat zu nutzen.
Top Related