Sicherheit auf vielen Ebenen
Bedrohungen wie Cyberangriffe oder Viren lauern überall und können täglich ihre Form ändern. Deshalb nutzt die Knox Plattform ein gut ineinandergreifendes System aus Sicherheitslösungen, um deine Business-IT zu schützen. Dank der smarten Verknüpfung von hardwaregestützter Sicherheit mit App Isolation und Datensicherheit können Angriffe verhindert und menschliche Fehler reduziert werden.
Hardwaregestützte
Trusted Environment?
Sicher!
Die Knox Plattform verteidigt Unternehmensdaten auf verschiedenen Sicherheitsebenen. Das fängt bereits mit einer starken Basis an: Denn diese baut auf der hardwaregestützten Trusted Environment auf. Was das für deine IT-Sicherheit bedeutet?
Trusted Environment
Die Trusted Environment ist ein Bereich, der vom Rest des laufenden Systems isoliert ist. Das ist vor allem dann wichtig, falls dein Hauptbetriebssystem Schwachstellen hat, angegriffen wird oder sogar kompromittiert ist. In diesem Fall sind deine Daten innerhalb der Trusted Environment trotzdem geschützt. Integritätsprüfungen der Software, die innerhalb der Trusted Environment ausgeführt wird, können böswillige Versuche, in die Trusted Environment einzudringen oder die auf dem Gerät ausgeführte Software zu verändern, erkennen. Sie können zusätzlich mit kryptografischen Signaturen verbunden werden, die in der Gerätehardware gespeichert sind. So kann verhindert werden, dass Angreifer Schutzmaßnahmen umgehen und nicht genehmigte Software in die Trusted Environment gelangt.
Knox-Funktionen wie Real-time Kernel Protection (RKP), Trusted Boot, Device Health Attestation, Certificate Management, Sensitive Data Protection (SDP) und Network Platform Analytics (NPA) werden ebenfalls von der Trusted Environment verwendet. Die spezifischen Komponenten hängen jeweils von der Gerätehardware ab.
Hardwaregestützt
Das Besondere an einer hardwaregestützten Trusted Environment ist, dass der sicherheitskritische Code schon in der Hardware und ab Fertigung des Gerätes räumlich vom Rest des Betriebssystems getrennt ist. Dadurch können nur vertrauenswürdige Prozesse vertrauliche Vorgänge wie Benutzerauthentifizierung und Schlüsselverschlüsselung und -entschlüsselung ausführen. Außerdem sind die mobilen Geräte bereits ab der Fertigung und vor dem Kauf mit einer Sicherheitsplattform geschützt.
App Isolation?
Sicher!
Egal, ob absichtlich durch einen Cyberangriff oder aus Versehen, weil jemand aus deinem Team eine gefährliche App heruntergeladen hat – betrügerische Apps sollten niemals auf nicht autorisierte Daten zugreifen. Deshalb verwendet die Knox Plattform mehrere Formen der App Isolation, um einen geschützten App-Bereich auf deinen Samsung Geräten zu erstellen. Folgende Optionen sind möglich:
Android Enterprise
Security Enhancements für Android/Android Enterprise
Mit Android Enterprise können Apps über Arbeitsprofile isoliert werden. Dadurch ist eine grundlegende Trennung von Unternehmens-Apps und deinen persönlichen Apps möglich.
Außerdem bietet Knox bei der Verwendung von Android Enterprise auf Samsung Geräten Funktionen wie Echtzeit-Kernelschutz (RKP) und das hardwaregestützte Speichern von Zertifikaten und Schlüsseln an.
Getrennte Apps
Getrennte Apps mit Sandbox‑Ordnern
Durch das Separieren von Apps können nicht nur unternehmenseigene Apps, sondern auch autorisierte Geschäfts-Apps von Drittanbietern sicher aktiviert werden. Dafür werden die Drittanbieter-Apps in einem Sandbox-Ordner isoliert. Maßnahmen innerhalb des Ordners haben keine Auswirkung auf die Umgebung außerhalb des isolierten Bereiches.
Getrennte Apps sind deshalb besonders für Unternehmen geeignet, die auf Drittanbieter-Apps angewiesen sind und trotzdem die Kontrolle über die unternehmenseigenen Geräte benötigen.
SEAMS Container
SE für Android Management Service (SEAMS)
Mit SEAMS können einzelne Apps oder kleine Gruppen vertrauenswürdiger Apps isoliert und in Container gesperrt werden. Sie sind vor Apps geschützt, die nicht denselben SEAMS-Container teilen, und werden durch einen Schild-Badge gekennzeichnet.
Dabei haben die Apps keine spezielle grafische Benutzeroberfläche, sondern werden mit den übrigen Apps auf dem Gerät angezeigt.
Es können jederzeit neue und so viele SEAMS-Container erstellt werden wie gewünscht.
Datensicherheit?
Sicher!
Samsung Geräte unterstützen nicht nur die Passwort-, PIN- oder Musterauthentifizierung, sondern bieten eine Vielzahl von sicheren Möglichkeiten zur Authentifizierung sowie zur Datenverschlüsselung auf dem Gerät oder im Netz. Dabei können selbst abhandengekommene Geräte noch geschützt werden.
Geräteverfolgung, Sperrung und Löschung von Daten
Samsung Geräte können bei Bedarf gemäß den Sicherheitsrichtlinien per Geofencing ausfindig gemacht und automatisch gesperrt werden. Auch falls ein Gerät einen von dir definierten geografischen Umkreis verlässt, kann das betreffende Gerät gesperrt und können alle Daten sofort gelöscht werden. In diesem Fall wird das Gerät auf die Werkseinstellungen zurückgesetzt und die Daten gelangen nicht in die falschen Hände.
Knox Vault.
Wie ein Safe in einem Safe
Die Daten deines Unternehmens gehören deinem Unternehmen, sonst niemandem – und verdienen einen besonderen Schutz: Knox Vault. Die Lösung bildet einen manipulationsgeschützten Bereich innerhalb von Android Enterprise, wir nennen ihn „Sicherheitscontainer“. Darin werden beispielsweise PINs, Passwörter, biometrische Daten und sicherheitskritische Schlüssel fernab von den restlichen Daten nahezu verlässlich isoliert. Dieser gesicherte Speicher ist selbst für mit Lasern und Power-Glitch-Taktiken agierende Hacker*innen schwer zu knacken. Knox Vault unterstützt den StrongBox Keymaster, um sicherzustellen, dass deine kryptografischen Schlüssel optimal geschützt sind. Der Samsung Attestation Key sorgt gleichzeitig für die Integrität und Authentizität des Geräts. Und Credential storage ermöglicht dir sicheres Speichern von Zugangsdaten, um deinen Benutzeranmeldung zu sichern. So kannst du sowohl physischen Angriffen, als auch erzwungenen Informationslecks vorzubeugen.
Glossar mit Fachbegriffen:
-
Real-time Kernel Protection/Echtzeit-Kernelschutz (RKP)Real-time Kernel Protection/Echtzeit-Kernelschutz (RKP) verhindert Änderungen, die die Integrität des Kernels beeinträchtigen könnten. So bleiben der Kernelcode und seine Datenstrukturen authentisch und das Gerät sicher.
-
Trusted BootTrusted Boot trennt autorisierte von nicht autorisierten Boot-Loadern und sorgt dafür, dass nur validierte und aktuelle Boot-Komponenten geladen werden.
-
Device Health AttestationDevice Health Attestation bietet eine ausfallsichere Möglichkeit zu erkennen, ob ein Gerät oder seine Firmware kompromittiert ist, bevor Gerätenutzenden die Verwendung gestattet wird.
-
Certificate ManagementCertificate Management unterstützt die korrekte Verwendung von kryptografischen Schlüsseln und digitalen Zertifikaten zur Authentifizierung.
-
Sensitive Data Protection (SDP)Sensitive Data Protection (SDP) schützt Benutzerdaten auf dem Gerät durch Data-at-Rest-Verschlüsselung. Die Daten bleiben auf der Festplatte verschlüsselt und können nur entschlüsselt werden, wenn das Gerät eingeschaltet ist.
-
Network Platform Analytics (NPA)Network Platform Analytics (NPA) erleichtert die Geräteverwaltung, indem es Einblicke in mobile Software und Netzwerknutzung, Fehlkonfigurationen und netzwerkbasierte Bedrohungen ermöglicht. Die Vertraulichkeit der Daten, die über Unternehmensgeräte und Netzwerke übertragen werden, bleibt dabei erhalten.
-
SE for Android (Security Enhancements for Android)SE for Android (Security Enhancements for Android) ist ein auf SE Linux basierendes System, das grundsätzlich dazu gedacht ist, die auf einem Gerät vorhandenen Informationen und Daten voneinander zu trennen. Es verhindert beispielsweise, dass Apps oder Prozesse auf Daten und Ressourcen zugreifen, die sie nicht nutzen dürfen.
-
RoT (Root of Trust)RoT (Root of Trust) bezeichnet mehrere Funktionen im Trusted-Computing-Modell, denen das Betriebssystem des Computers immer vertraut, vergleichbar mit einer eigenständigen Engine, die den kryptografischen Prozessor kontrolliert, der den Kern des Trusted Platform Module (TPM) darstellt.
-
VPN (virtuelles privates Netzwerk)VPN (virtuelles privates Netzwerk) bedeutet, dass der Websitebetreibende ausschließlich die IP-Adresse des VPN-Servers sieht, während die Identität von VPN-Nutzenden für Dritte verborgen bleibt.