Interview mit Jan Peuker

Android versus iOS – was ist sicherer?

Hartmut Schlosser
Jan Peuker

Android versus iOS – in Sachen Security gilt iOS als das sicherere System. Doch was davon ist Wahrheit, was Marketing? Auf der MobileTech Conference nächste Woche wird sich Jan Peuker die Sicherheitsfeatures von Android aus architektonischer Sicht vornehmen (Is Android secure yet?). Auf JAXenter gibt er vorab eine Einschätzung zur Sicherheitslage der Mobile-Welt und verrät, welche Aktionen man derzeit lieber nicht auf seinem Device ausführen sollte!

Wo liegen die Security-Schwachstellen in Android? Oder anders gefragt: Was macht iOS hier besser?

Jan Peuker: iOS macht nicht wirklich viel besser. Es unterstützt mehr Enterprise-Protokolle, MDM und Security-Features, welche für die meisten Privatanwender aber nebensächlich sind. Dafür ist Android theoretisch ausgefeilter, wenn es um Kryptographie geht – aber ich bin sicher kein Kryptographie-Experte. iOS „gilt“ dennoch als besser, weil es das bessere Marketing hat und weniger Risiken durch Fehlimplementierungen und Malware Dritter entstehen – da kann nicht mal der #gotofail dran rütteln.

Nun hat Google mit Android 4.3 das System mit SE Linux aufgebohrt. Was hat sich dadurch geändert?

Jan Peuker: Apps laufen unter Android immer unter einer eigenen Gruppe, und alle Daten liegen im Home-Verzeichnis eines App-spezifischen Users. Das ist eine gute Basis für Vertraulichkeit. Aber es gab einige Sonderfälle, in denen dieses System durchbrochen wurde, z.B. bei gemeinsam genutzten Ressourcen. Die Sandbox von iOS funktioniert analog – hatte aber schon länger die Möglichkeit, gemeinsam genutzte Ressourcen und Hardware besser zu kontrollieren. SE Linux adressiert diese Lücke und baut ebenfalls eine weitere Sicherheitsebene ein, mit der man Zugriff auf gemeinsame Ressourcen deutlich feingranularer in sogenannten „Kontexten“ regeln kann. Sogar Root hat nicht Zugriff auf alle diese Kontexte, dadurch können auch Apps, die Sicherheitslücken ausnutzen, nicht ohne Weiteres auf die Daten anderer Apps zugreifen.

Wie kann die Sicherheit von Standard-Android durch weitere Maßnahmen verbessert werden?

Jan Peuker: Ich denke, das größte Sicherheitsrisiko bei Android sind langsame Update-Zyklen, vor allem durch die Hersteller, und die mäßige Überprüfung der Apps im Play-Store. An beidem arbeitet Google sehr stark, wie Sundar Pichai auf dem MWC hervorgehoben hat – auch wenn sie damit die Plattform weniger offen machen. Der Nachteil daran ist eine immer stärkere Abhängigkeit von Google und deren Cloud-Diensten, denen einige Unternehmen durchaus kritisch gegenüberstehen.

Da sind ja noch Windows Phone und BlackBerry. Wie würdest du hier die Security einschätzen?

Jan Peuker: Mein Schwerpunkt liegt auf Android und ein wenig iOS, das kann ich wirklich schlecht sagen. Windows ist traditionell gut in der Exchange-Anbindung und Systems-Center-Integration. BlackBerry war traditionell immer sehr sicher, vor allem in Sachen MDM und Zertifizierungen. Sie haben, wie iOS und Windows auch, eine FIPS 140-2 Zertifizierung – bei Android ist diese herstellerspezifisch, dafür gibt es aber auch spezielle Hardware-Security-Lösungen, die andere nicht haben.

Sicherheit ist nun ja immer relativ – eine absolute Sicherheit kann es nicht geben. Was würdest du einem Konsumenten raten, welche Aktionen er derzeit keinesfalls mit einem Android Device ausführen sollte?

Jan Peuker: Ich würde als „Konsument“ mit keinem mobilen Gerät, egal ob Android oder nicht, irgendetwas potentiell Personengefährdendes machen, z.B. die PIN für ein Zugangssystem in einer normalen App speichern. Sonst: Das Device nicht rooten/jailbreaken, aktuelle Updates installieren, verschiedene Passwörter nutzen, keine unbekannten Apps installieren und für den Diebstahlfall die Seriennummern notieren (wer will, kann sich auch für die entsprechenden Google- oder Apple-Dienste freischalten).

Jan Peuker leitet bei Accenture die Spezialistengruppe für Integration mobiler Anwendungen. Seitdem man Telefone einhändig tragen kann, beschäftigt er sich mit mobilen Anwendungen, Cross-Plattform-Entwicklung und deren Backend-Integration. Er ist kein Security-Experte. In seiner Freizeit schreibt er das Buch „Was Software mit Architektur zu tun hat“.

Sessions auf der Mobile Tech Conference 2014 (17. bis 20. März):

Is Android secure yet?

Geschrieben von
Hartmut Schlosser
Hartmut Schlosser
Content-Stratege, IT-Redakteur, Storyteller – als Online-Teamlead bei S&S Media ist Hartmut Schlosser immer auf der Suche nach der Geschichte hinter der News. SEO und KPIs isst er zum Frühstück. Satt machen ihn kreative Aktionen, die den Leser bewegen. @hschlosser
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: