BYOD: Context stellt Sicherheit von Tablet-PC“s in Frage

Analysiert wurden iPad, Samsung Galaxy Tab und BlackBerry PlayBook

Bei der Untersuchung der drei beliebtesten Tablet-PC“s haben die Analysten von Context Information Security eindeutige Sicherheitsversäumnisse identifiziert. Die Ergebnisse sollten vor allem bei den Unternehmen Bedenken aufwerfen, die es Mitarbeitern ermöglichen wollen, ihre eigenen Geräte im Rahmen ihrer beruflichen Tätigkeit einzusetzen (Bring Your Own Device, BYOD). Der jetzt von Context veröffentlichte Bericht weist vor allem auf ernstzunehmende Sicherheitslücken beim Samsung Galaxy Tab hin, die gegen eine Empfehlung für den geschäftlichen Einsatz sprechen. Auch wenn iPad und BlackBerry PlayBook bei den Tests besser abgeschnitten haben, zeigten sich auch bei diesen Herstellern Sicherheitsprobleme. Beispielsweise verschlüsselt die Desktop Software die Backups nicht standardmäßig. Ausschließlich beim BlackBerry fand Context ein sinnvolles Konzept für eine BYOD-Strategie vor, da es eine gute Trennung von persönlichen und arbeitsrelevanten Daten ermöglicht. Der vollständige Report von Context mit dem Titel „Tablets – A hard Pill to Swallow?“ steht auf der Website des Unternehmens zum Download bereit.

http://www.contextis.de/research/whitepaper/tablets/tabletsintheenterprise.pdf

Nach den Ergebnissen von Context unterstützen alle getesteten Geräte Exchange ActiveSync. Wesentliche Sicherheitseinstellungen können also von einem zentralen Exchange Server verwaltet werden. Dennoch gibt es bedeutende Unterschiede hinsichtlich der Sicherheitsebenen zwischen dem Galaxy Tablet, dem iPad und dem PlayBook. Um festzustellen ob sich die Gadgets für den betrieblichen Einsatz eignen, untersuchte Context eine Reihe von Sicherheitseinstellungen. Hierbei wurden die Punkte Datenschutz, Software-Integration und Updates, Zugriffskontrolle, Profile zur Sicherheitskonfiguration sowie Anschlussmöglichkeiten, Backup und Synchronisation geprüft.

Obwohl es sich um ein klassisches Endkundengerät handelt, kommt das iPad laut der Untersuchungen von Context mit einem verlässlichen Datenschutz sowie Funktionen zur Schadensbegrenzung daher. Dennoch bestehen Schwachstellen: Liegt keine strenge Passwortpolitik vor, sind immer wieder Jailbreak-Attacken möglich und die Verschlüsselung ist ineffektiv. Zudem sind die Maßnahmen zur Festplattenverschlüsselung zwar gut konzipiert, beim iTunes Backup werden Dokumente jedoch standardmäßig als reine Textdateien abgelegt. Denselben Ansatz verfolgt das Gerät von BlackBerry. Der Tablet-PC von Samsung wird vom Werk aus ohne gesperrten Bootloader ausgeliefert und die Festplattenverschlüsselung ist softwarebasiert und bietet keinen ausreichenden Support. Außerdem ist dieser sehr umständlich zu bedienen. Auch wenn die Verschlüsselung beim Galaxy Tab aktiviert ist, erlaubt schlecht geschriebenen Apps die Speicherung von sensiblen Informationen auf der unverschlüsselten SD-Karte.

Das Fehlen von Management-Werkzeugen vom Hersteller selbst, die über ActiveSync hinausgehen, führt dazu, dass maximal eine kleine Anzahl von Galaxy Tabs in einer Unternehmensumgebung verwaltet werden kann. Dies gilt auch für das iPad, das auf die vorhandenen Apple-Werkzeuge zurückgreift. Den Ergebnissen der Context Recherche nach ist das BlackBerry hier sehr viel ausgereifter und damit eher für den Einsatz im Rahmen eines BYOD-Konzepts geeignet. Seine „Balance“-Architektur in Verbindung mit der „Bridge“-Anwendung gewährt eine sehr gute und logische Trennung von arbeitsrelevanten und persönlichen Daten. „Es ist fast unmöglich, die steigende Präsenz von Tablet-PCs im privaten sowie im geschäftlichen Umfeld zu übersehen. Sie bieten eine Mischung aus Produktivität, Konnektivität und physischer Unabhängigkeit, die es bisher nicht gab“, erklärt Jonathan Roach, Principal Consultant bei Context und Autor des jetzt erschienenen Reports. Das Geräteformat sei ideal für das Netzwerken im Social Web geeignet sowie für die Entwicklung und den Austausch von Dokumenten, Präsentationen oder anderen Inhalten „on-the-fly“. Genau diese Eigenschaften würden Unternehmen jedoch auch vor schwierige sicherheitsspezifische Herausforderungen stellen, so der Berater. „Unsere Analysen zeigen, dass die meisten Hersteller von Tablet-PCs noch einen weiten Weg gehen müssen, bis ihre Produkte die hohen Sicherheitsanforderungen, die für den Einsatz in Unternehmen notwendig sind, erfüllen können.“

Über Context Information Security

Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut – zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.

Kontakt:
Context Information Security Ltd. Zweigniederlassung Düsseldorf
Sven Schlüter
Adersstr. 28
40215 Düsseldorf
Tel.: +49 (0)211 7327 9523
technik@contextis.de
http://www.contextis.de

Pressekontakt:
Press’n’Relations GmbH Ulm
Anne Zozo
Magirusstr. 33
89077 Ulm
073196287-20
az@press-n-relations.de
http://www.press-n-relations.de