Android unsicherer als iOS?

Es gibt viele Unternehmen und Konzerne, die aus Gründen der Mobile Security eine strikte Hardware-Policy verfolgen und nur Mobilgeräte von Apple einsetzen. 2017 gab etwa VW den Umstieg von Blackberry aufs iPhone bekannt und versorgte seine Führungskräfte durchgängig mit den (damals noch recht aktuellen) Modellen iPhone SE.

Bei dieser Entscheidung spielten sicherlich auch Sicherheitsbedenken eine tragende Rolle. Lies hierzu mehr in unserem Whitepaper „Mobile Device Management“.

Aber sind denn iOS-Geräte wirklich sicherer als Android-Devices?

Mit einem Wort: Ja.

Sicherheitslücken auch bei iOS

Warum ist das so? Schließlich hat auch Apple seine Schwierigkeiten damit, sein mobiles Betriebssystem wasserdicht zu bekommen. Im Laufe der Jahre gab es immer wieder iOS-Sicherheitslücken – auch schwerwiegende – und mögliche Einfallstore.

Zuletzt geriet Apple mit einem doppelten „Lauschangriff“ in die Kritik.

Erstens konnten durch eine Fehlprogrammierung im Video-Messenger Facetime die Mobilgeräte praktisch in eine Wanze umprogrammiert werden. Grundlage hierfür waren recht simple Manipulationen bei der Erstellung eines Gruppenanrufs über Facetime.

Software-Sicherheitsleck: Apples #Facetime macht #iPhone zur Wanze! #facetimebug #facetimeglitch #FaceTimeGate #FaceTimeHack #Applehttps://t.co/2S1nQDVyjh pic.twitter.com/QXWfubnPmB

— it security (@it__security) 29. Januar 2019

Zweitens konnte die für Hörgeschädigte gedachte iPhone-Funktion „Live Mithören“ mit Bluetooth-Kopfhörern ebenfalls quasi vom Hörgerät zum Abhörgerät umfunktioniert werden.

Spionagefunktion in iOS 12: Mit «Live Mithören» wird das iPhone zur Wanze. Die Einschätzung von @jcfrick und @danieljositsch zur @TeleZueri-Recherche: https://t.co/CtyspSHt46 pic.twitter.com/WsZEkWEd59

— Jonas Bischoff (@JonasBischoff) 22. November 2018

App-Sicherheit: Android vs. iOS

Aber: Aufgrund der „geschlossenen“ Apple-Welt und der rigiden Kontrolle neuer Apps im App Store bietet iOS grundlegend einen höheren Sicherheitsgrad. Apple handhabt den Zugang zum App Store sehr restriktiv: Anwendungen werden nur nach gründlichen Sicherheitsüberprüfungen zugelassen. Das heißt, dass ohne Ausschalten der nativen Sicherheitssperren („Jailbreak“) iPhones und iPads von Grund auf bereits ziemlich sicher sind.

Open Source macht Android angreifbarer

Im Gegensatz hierzu ist der Android-Quellcode als Open-Source-Lösung zumindest in Teilen der Öffentlichkeit zugänglich. Das macht es Hackern und anderen Cyberkriminellen prinzipiell einfacher, Sicherheitslücken zu identifizieren und Schadcode zu verteilen.

So kann sich der Play Store von Google zwar eines viel größeren Angebots an Apps rühmen. Im Android-Kosmos gelingt es aber immer wieder auch Fake-Apps, die Sicherheitsmaßnahmen des Play Stores zu überwinden und den Android-User*innen zum Download zur Verfügung zu stehen. Zuletzt machte eine Reihe gefälschter Banking-Apps im Play Store von sich reden.

Echt oder gefälscht? Im Play Store warten auch schädliche Fake-Apps auf arglose Nutzer*innen.

Komplizierte Update-Auslieferung bei Android

Eine Schwachstelle der Android-Betriebssysteme ist ihre Auslieferungskette. Während Apple neue iOS-Patches zentral an alle iOS-Nutzer*innen mit dem aktuellen mobilen Betriebssystem ausliefern kann, ist dies bei Android deutlich komplizierter: Google liefert das Update an den Chiphersteller, von dem geht es zum Hersteller des Smartphones. Dort wiederum werden die Fixes an den Mobilfunkanbieter weitergeleitet – und dann erst an die Kund*innen. Reißt ein Glied in der Kette, bleiben notwendige Sicherheitsupdates erstmal aus.

Sicherheitslücken bei Android-Firmenhandys

Der Albtraum für alle Sicherheitsverantwortlichen: Durch ein kompromittiertes Endgerät verschaffen sich Hacker Zugang zum Firmennetzwerk und schaden dem Unternehmen durch erpresserische Ransomware, Trojaner, Viren oder andere Handy-Malware.

Auf durchschnittlich 750.000 Euro Schaden bezifferte eine vom Endpoint-Security-Softwarehersteller SentinelOne beauftragte Studie den entstandenen Schaden in Unternehmen bei Erpressungstrojanern.

Diese Gefahr steigt natürlich mit der Anzahl unsicher (oder gar nicht) konfigurierter Geräte im Unternehmensnetzwerk. Erlauben Firmen ihren Angestellten zum Beispiel die berufliche Nutzung privater Geräte („Bring Your Own Device“), herrscht in der IT-Abteilung meist keine Klarheit darüber, welche und wie viele Clients überhaupt Zugang zum Firmennetzwerk haben (Stichwort: „Dark-BYOD“).

Problematisch: Privatgeräte im Job

Hier genügt es nicht, die Belegschaft für Aspekte der IT-Sicherheit einigermaßen zu sensibilisieren. Technische Lösungen wie ein Sicherheits-Container oder eine Mobile-Device-Management-Lösung sind hier dringend angeraten, um das Unternehmen vor Datenverlust und Datendiebstahl zu schützen.

Unsere Tipps für sicherere Android-Firmenhandys

• Sensibilisiere deine Beschäftigten für den Gebrauch von Smartphones im Unternehmen in Bezug auf …
  • Passwörter
  • Social Engineering
  • Malware
  • lokal gespeicherte Inhalte
  • unsichere Zugänge (z. B. öffentliche WLAN-Netze)
• Sensibilisiere deine Beschäftigten in Bezug auf Datenschutzfragen (z. B. Verwendung von WhatsApp auf dem Firmenhandy)
• Sorge für eine klare Mobile Policy
• Überdenke deine Mobile Strategy
• Implementiere eine technische Sicherheitsbarriere: entweder eine Container-App oder ein MDM, das eine solche enthält
• Ruf‘ uns an: 030 516958275

Android-Sicherheitslücken: Weblinks

• Mobile Device Management – Whitepaper (Everphone.de)
• 2018 lebten Android-Nutzer so gefährlich wie nie (t-online.de)
• Apple oder Android – es gibt einen klaren Gewinner in Sachen Sicherheit (Futurezone.de)
• Mobile Threat Prevention – Drahtseilakt zwischen Sicherheit und Flexibilität (security-insider.de)
• Smartphone-Sicherheit: Android ist besser als sein Ruf (SPIEGEL online)
  
• Ransomware-Angriffe kosten Unternehmen durchschnittlich 750.000 Euro (Netzpalaver.de)
  
• iOS vs. Android im Vergleich (Sofortschutz.net)
• Android vs. iOS – Betriebssysteme im Vergleich (Netzwelt.de)
• Mit Apple AirPods andere belauschen (Futurezone.de)