Android, ein Linux, erobert Unternehmensdesktops. Google jubelt natürlich und freut sich über den Siegeszug. Anwender wollen ihre Smartphones und Tablets nicht mehr missen und sie sogar im Unternehmen verwenden. Chris di Bona, Googles Open-Source-Chef, schwärmt im Interview: “Android ist der wahr gewordene Traum vom Linux-Desktop!” Ein Traum? Immer mehr Malware, Trojaner und ungepatchte Exploits tauchen auf. Ein Alptraum, Herr di Bona!
Wie konnte das passieren? Die Sache verhält sich ganz einfach: Google hat mit Android ein kommerziell überaus erfolgreiches System platziert. Software- und Hardwarehersteller springen zuhauf auf den Zug mit dem kleinen grünen Männchen auf, chinesische, taiwanische und koreanische Produzenten werfen beinahe im Monatsrhythmus neue und immer smartere Geräte auf den Markt. Die werden gleichzeitig immer leistungsfähiger, benutzerfreundlicher und nicht zuletzt – der zahlende Verbraucher freut sich – billiger und billiger. Hersteller, die dabei nicht mitmachen, verlieren, siehe Nokia und RIM. Quick ist das Maß der Dinge auf dem Markt für mobile Geräte – und dirty auch.
Denn das OS hat Schwächen, die Linux-Kenner eigentlich nicht für möglich gehalten hätten. Der Stack aus Android-Kernel, Dalvik-Engine und den Apps oben drauf verzichtet auf Sicherheitskonzepte, die sich im Unix-Umfeld seit Jahrzehnten bewährt haben. “Alle mobilen Plattformen machen sicherheitstechnisch unglaublich große Probleme, auch Android. Wir stehen heute wieder da, wo wir bei Windows vor 20 Jahren waren.” Das erklärt ein enttäuschter Admin eines deutschen Dax-Konzerns im vertraulichen Gespräch – seine Firma hat auch Produkte im Angebot, die Smartphones sicher anzubinden versprechen. Resignierend fügt er hinzu: “Unternehmen, die “Bring Your Own Device” erlauben, können auch gleich die Firewall abschalten!”
Die Liste der Versäumnisse von Google lässt sich beliebig verlängern: Updates gibt es bei vielen Herstellern gar nicht oder nur sehr verzögert. Exploits lassen monatelang Scheunentore offen. Angesichts der Strategie vieler Produzenten bezeichnen besorgte Anwender und Admins Android nicht selten als Wegwerf- oder One-time-Linux. Neulich an der Hotline: “Ihr Gerät ist defekt? Kein Problem, es gibt schon den Nachfolger mit Android 4. Der ist sogar 50 Euro billiger – und die Sicherheitslöcher sind da auch gefixt.”
Eine sichere Kapselung des Userspace enthält Android ebenso wenig wie die Möglichkeit, sichere Einstellungen zu erzwingen. Was bei Experten Kopfschütteln hervorruft, lässt bei Softwareherstellern und Consultants die Kasse klingeln. Sie versprechen mit Sandboxing und Virtualisierung auf dem Endgerät für Sicherheit zu sorgen. Doch so lange der Anwender sein eigenes Gerät mitbringt, auf dem er beliebige Apps installieren will und darf, ist das Tablet oder Smartphone eine potenziell unsichere Plattform.
Aber die “Consumerization der Business-IT”, die Open-Xchange-Chef Rafael Laguna einst als Trend ausrief, ist de facto nicht mehr zu stoppen. Anwender wollen ihre kleinen Statussymbole auch im Büroalltag verwenden, die wenigsten Unternehmen werden das verbieten können – und Admins wie Sicherheitstechniker müssen bis auf Weiteres zähneknirschend die unsicheren Android-Geräte in ihren Netzwerken zulassen. Letzten Endes gilt es, das Unvermeidbare zu akzeptieren und die Risiken möglichst klein zu halten – mit Software, Infrastruktur, aber auch durch Information der Anwender. Willkommen in der smarten Android-Business-IT.
