Samsung Knox: Mehr Sicherheit für Galaxy-Smartphones

Samsung Knox (Bild: silicon.de)

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichert. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Mit der Zusatzumgebung „Knox“ liefert Samsung eine Sicherheitstechnologie für seine Galaxy-Smartphones- und Tablets, mit der sich sich Container erstellen lassen, um somit private von geschäftlichen Daten zu trennen. Samsung stellt dazu für seine Android-Geräte die kostenlose App „My Knox“ zur Verfügung. Außerdem haben Unternehmen jederzeit die Möglichkeit, die Umgebung kommerziell zu nutzen und zentral zu steuern. Die Einrichtung lässt sich aber auch dezentral von Anwendern durchführen.

Knox kann Samsung-Smartphones vor Angriffen und Datenverlust absichern

Knox hat die Aufgabe dafür zu sorgen, dass Anwender private Apps zur Kommunikation parallel mit beruflichen Apps nutzen können, ohne auf mehrere Smartphones setzen zu müssen.

Arbeiten Anwender mit dem gleichen Smartphone privat und geschäftlich, befinden sich auf ein- und demselben Gerät die gleichen Daten. Aber nicht nur im geschäftlichen Umfeld macht eine Trennung sind. Wenn Anwender auf einem Smartphone zum Beispiel auch Bankingdaten und -Apps einsetzen, kann es sinnvoll sein, diese Daten in einem sicheren Bereich abzulegen. Auch dabei kann die kostenlose Sicherheits-App helfen. Betreiben Anwender wichtige Apps mit geheimen Daten zusammen mit weniger wichtigen, aber gefährlichen Apps, besteht immer die Gefahr, dass Daten in unberechtigte Hände gelangen.

Sinnvoll ist daher das strikte Trennen von beruflichen Daten und Apps, die auch durch besondere Sicherheitsmaßnahmen und Richtlinien gesichert werden können. Die privaten Apps und Daten bleiben von den Einschränkungen verschont und lassen sich uneingeschränkt von den Anwendern nutzen. Im privaten Bereich von Smartphones besteht allerdings kein Zugriff auf die geschäftlichen Daten.

Durch „My Knox“ wird auf dem Smartphone ein besonders gesicherter Bereich eingerichtet, in dem Apps zwar miteinander kommunizieren und Daten speichern können, der aber nicht vom privaten Bereich aus zugreifbar ist.  Der gesicherte Knox-Container erlaubt den Betrieb von Apps, die auch von Google Play installiert werden können. Die Lösung ist mittlerweile so ausgereift, dass nahezu jede App abzusichern ist, ohne dass langwierige und teure Entwicklungsarbeit notwendig ist. Sobald eine neue App installiert wird, egal von welcher Quelle, lässt sich diese über den Assistenten in den sicheren Container überführen. Allerdings muss hier gut geplant werden, welche Apps gesichert und welche nicht gesichert werden sollen.

In MyKnox lassen sich beliebige Anwendungen über Knox absichern und voneinander abschotten (Screenshot: Kai Schmerer).
In MyKnox lassen sich beliebige Anwendungen über Knox absichern und voneinander abschotten (Screenshot: Kai Schmerer).

Zu Knox gehört auch die Samsung Knox-Konsole im Internet. Über dieses Internetportal können Anwender ihr Knox-gesichertes Smartphone finden, unabhängig durch den Android Gerätemanager. Das Portal muss daher nicht von Administratoren bedient werden, sondern jeder Anwender im Unternehmen kann sein eigenes Smartphone verwalten. Die Konsole steht natürlich auch für Privat-Anwender zur Verfügung, die auf „My Knox“ setzen.

In der My Knox-Internetkonsole lassen sich Geräte aber nicht nur orten, sondern auch fernlöschen, genauso wie bei Android-Gerätemanager (Android Device Manager). Außerdem sind hier verschiedene Daten einsehbar, wie der Ladezustand des Akkus und mehr.

Das Samsung MyKnox-Portal ergänzt den Android-Gerätemanager und bietet Anwendern die Verwaltung des eigenen Smartphones (Screenshot: Kai Schmerer).
Das Samsung MyKnox-Portal ergänzt den Android-Gerätemanager und bietet Anwendern die Verwaltung des eigenen Smartphones (Screenshot: Kai Schmerer).

Samsung Knox wird mit dem Gerät verbunden und auch in den Geräteinformationen des Samsung-Smartphones angezeigt. Aktuelle Samsung S6-Geräte, auch das Samsung S6 Edge, werden mit Knox 2.4 ausgeliefert. Ob die Funktion integriert ist, lässt sich recht schnell in den Geräteinformationen herausfinden.

Die aktuelle Knox-Version lässt sich in den Geräteinformationen anzeigen (Screenshot: Kai Schmerer).
Die aktuelle Knox-Version lässt sich in den Geräteinformationen anzeigen (Screenshot: Kai Schmerer).

My Knox schnell und einfach einrichten

Neben kommerziellen und erweiterten Versionen, steht Knox als „My Knox“ auch kostenlos auf Samsung S6-Geräten zur Verfügung. Über einen Assistenten erstellen Anwender einen sicheren Arbeitsbereich (Knox Workspace). Dazu müssen sich Anwender aus Google Play die kostenlose My Knox-App herunterladen. Für die Einrichtung ist kein spezielles Wissen notwendig.

Nach der Installation der kostenlosen App lässt sich My Knox über einen Assistenten einrichten. Die Einrichtung ist in wenigen Minuten abgeschlossen, das Smartphone funktioniert danach noch genauso wie vorher, verfügt aber über einen sicheren Bereich für wichtige Daten und Apps. Im ersten Schritt müssen Anwender nach dem Start des Assistenten zunächst einige Lizenzbedingungen und AGB bestätigen. Außerdem wird eine E-Mail-Adresse für die Einrichtung benötigt. Da auf Android-Smartphones ohnehin in den meisten Fällen mit einer Gmail-Adresse gearbeitet wird, lässt sich diese hier zusätzlich nutzen.

Mit einem Assistenten richten Anwender in der kostenlosen Version My Knox ein. Dazu wird lediglich eine E-Mail-Adresse benötigt (Screenshot: Kai Schmerer).
Mit einem Assistenten richten Anwender in der kostenlosen Version My Knox ein. Dazu wird lediglich eine E-Mail-Adresse benötigt (Screenshot: Kai Schmerer).

Natürlich lässt sich für Knox auch eine separate E-Mail-Adresse nutzen. Zu der Adresse wird eine PIN gesendet, die zur weiteren Einrichtung verwendet werden muss. Im Rahmen der Einrichtung können Anwender auch gleich die Apps auswählen, die im geschäftlichen Container verfügbar sein sollen. Apps lassen sich aber auch jederzeit nach der Einrichtung hinzufügen oder entfernen. Nachdem der Assistent durchgearbeitet wurde, wird der Arbeitsbereich für Samsung Knox erstellt. Das geschieht automatisch im Hintergrund und dauert nur wenige Sekunden.

Der Samsung Knox-Assistent erstellt den sicheren Knox Workspace (Screenshot: Kai Schmerer).
Der Samsung Knox-Assistent erstellt den sicheren Knox Workspace (Screenshot: Kai Schmerer).

Sobald der Assistent seine Arbeit abgeschlossen hat, erhalten Anwender eine Zusammenfassung und den Hinweis wie das Knox-Portal aufgerufen werden kann.

Der Samsung Knox-Assistent hat seine Aufgaben erledigt und weist Anwender auf das Internetportal hin (Screenshot: Kai Schmerer).
Der Samsung Knox-Assistent hat seine Aufgaben erledigt und weist Anwender auf das Internetportal hin (Screenshot: Kai Schmerer).

Einstellungen lassen sich von jedem Anwender selbst mit der Knox Konsole über das Internet verwalten und überwachen. Im Rahmen der Einrichtung muss auch festgelegt werden, wie der Zugriff auf Samsung Knox und das Smartphone durchgeführt werden soll. Hier können Anwender die Eingabe von Kennwörtern, PINs, Gesten, Fingerabdrücken und weitere Optionen festlegen. Hier muss allerdings beachtet werden, dass nicht alle Optionen auch von professionellen EMM-Lösungen unterstützt werden. Vor allem die Freischaltung mit Fingerabdrücken wird nicht immer unterstützt. Wer „My Knox“ aber auf dem eigenen Smartphone ohne EMM-Lösung verwendet, kann problemlos auf den Fingerabdruck zur Authentifizierung setzen.

Unternehmen, die zentral die Anwender mit Samsung Knox absichern wollen, benötigen eine kostenpflichtige Lizenz von Knox und zusätzlich eine Enterprise Mobile Management (EMM)-Lösung, die zentral alle Smartphones anbinden kann.  Samsung gibt dazu auch einen Überblick welche Lösungen generell Knox unterstützen.

Unabhängig davon, ob die kostenlose oder kostenpflichtige Version von Knox eingesetzt wird, lässt sich auswählen welche Apps in den verschiedenen Containern abgelegt werden sollen. Um Apps im Knox Workspace abzulegen, sind keine speziellen Werkzeuge notwendig, sondern die Apps lassen sich direkt am Smartphone oder der zentralen Verwaltungskonsole auswählen. Anwender können die Auswahl während der Einrichtung von My Knox vornehmen oder jederzeit danach. Die kostenlose Version ist also bereits durchaus geeignet sinnvoll die privaten von den geschäftlichen Daten auf Smartphones zu trennen. Das ist für Unternehmen mit Bring-Your-Own-Device-Ansatz natürlich ideal.

Die Apps für den Schutz durch Samsung Knox können Anwender selbst nach der Einrichtung auf dem Smartphone auswählen (Screenshot: Kai Schmerer).
Die Apps für den Schutz durch Samsung Knox können Anwender selbst nach der Einrichtung auf dem Smartphone auswählen (Screenshot: Kai Schmerer).

Samsung Knox im produktiven Einsatz

Nach der Einrichtung lassen sich viele Einstellungen von My Knox in den „My Knox-Einstellungen“ anpassen. Den gesicherten Container rufen Anwender über die App „My Knox“ auf. Beim ersten Start gibt ein Assistent noch einige Hinweise für den Nutzen von Knox. Alle Daten im gesicherten Bereich lassen sich über ein eigenes Icon im Knox Workspace aufrufen.

Apps, die sich im geschützten App-Container befinden, lassen sich mit miteinander verbinden und können untereinander Daten austauschen, wie ohne den Einsatz von Knox. Hier findet keinerlei Einschränkung statt. Anwender können also auswählen welche Apps sie im geschützten Container integrieren wollen, damit diese Apps Daten austauschen können. Um Apps in den Container aufzunehmen oder aus dem Container zu entfernen, müssen Anwender in „My Knox“ lediglich die „Optionen“ aufrufen. Hier stehen die notwendigen Befehle zur Verfügung.

In den Einstellungen des Knox-Containers lassen sich Apps hinzufügen oder entfernen (Screenshot: Thomas Joos).
In den Einstellungen des Knox-Containers lassen sich Apps hinzufügen oder entfernen (Screenshot: Thomas Joos).

Private von geschäftlichen E-Mails, Terminen und Kontakten trennen

Besonders wichtig ist das strikte trennen von privaten und geschäftlichen Kontakten, E-Mails und Terminen. Auch das kann die kostenlose Version schon hervorragend. Alle geschäftlichen Daten sind im privaten Bereich unsichtbar und daher auch nicht von Angreifern, Spielen und anderen Apps auslesbar. Vor allem Apps, die gerne in den Kontakten von Anwendern schnüffeln, lassen sich auf diesem Weg ausbremsen. Umgekehrt lassen sich aber private Daten auch im geschäftlichen Kalender darstellen. Zwar besteht generell die Möglichkeit auch die geschäftlichen Termine im privaten Kalender darstellen zu lassen, allerdings geht das dann zu Lasten des Datenschutzes.  In Samsung Knox können Anwender verschiedene E-Mail-Konten anbinden. Hier unterstützt Knox auch Exchange Active Sync sowie POP3, IMAP, Gmail, Outlook.com und weitere. E-Mail-Konten lassen sich jederzeit hinzufügen.

Auch Fotos, die im geschützten Bereich abgelegt werden, also über die Kamera-App im Knox-Container erstellt werden, sind im privaten Bereich nicht sichtbar. Dieser Schutz betrifft auch Cloud-Apps, die Fotos in die Cloud sichern wollen. Anwender können jederzeit Daten aus dem privaten in den sicheren Container kopieren und dadurch vor Zugriffen aus dem privaten Bereich schützen.

My Knox im Unternehmen: Auch Sicherheitsgefahren beachten

Nutzen Unternehmen „My Knox“ als kostenlose Sicherheitslösung, ohne zusätzliche EMM-Infrastruktur, bestehen dennoch einige Sicherheitsgefahren. Zwar lassen sich private Apps und berufliche Apps voneinander trennen, auch deren Daten, allerdings können Anwender diese Trennung selbst bestimmen. Nehmen Anwender WhatsApp oder andere Apps in den sicheren Bereich auf, können diese Apps problemlos auf die beruflichen Daten zugreifen, ohne dass Unternehmen etwas dagegen machen können.

Werden umgekehrt berufliche Daten im privaten Bereich gespeichert, sind diese ebenfalls ungesichert, auch wenn Knox eingerichtet ist. Daher kann „My Knox“ keinesfalls eine professionelle EMM-Lösung ersetzen. Denn zentrale Lösungen können alle angebundenen Smartphones steuern, überwachen und mit Richtlinien absichern. Über Whitelists und Blacklists können Administratoren steuern, welche Apps in den Knox Workspace wandern dürfen und welche nicht. Solche Einschränkungsmöglichkeiten gibt es in der kostenlosen Version leider nicht.

Der Einsatz von Knox hindert Anwender außerdem nicht daran das Smartphone zu rooten. Hier gibt es im Internet haufenweise Tools, die Anwender dabei unterstützen Smartphones zu rooten, ohne sich groß mit dem Thema auseinanderzusetzen. Sobald ein Android-Smartphone gerootet wurde, lässt es nahezu unbegrenzte Änderungen zu, ohne dass Knox das verhindern kann. Unternehmen und Anwender sollten daher nicht zuviel von Knox erwarten, da die Lösung keine umfassende Sicherheits-App für Android-Smartphones ist. Auch beim Einsatz der kommerziellen und zentralisierten Version von Knox, lassen sich Smartphones in den meisten Fällen problemlos rooten.

Vorsicht vor Tastatur-Apps wie Swiftkey

Ebenfalls gefährlich ist der Einsatz von externen Tastaturen, die vor allem auf Android-Smartphones häufig eingesetzt werden. Solche Tastaturen können Man-in-the-Middle-Angriffe ausführen, unabhängig davon ob die App im privaten oder geschäftlichen und gesicherten Knox-Container ausgeführt werden. Vor allem die beliebte Swiftkey-Tastatur ist besonders gefährlich, da sie oft Daten unverschlüsselt ins Internet überträgt. Sobald die Tastatur von Angreifern übernommen wurde, können diese nahezu unbegrenzt alle Funktionen des Smartphones nutzen und auch Daten auslesen. Zwar arbeiten die Entwickler dieser Apps ständig nach, dennoch installieren viele Anwender auch Apps außerhalb von Google Play über APK-Dateien. Auch Samsung warnt Anwender hier besonders vorsichtig zu sein. Um auch Knox-gesicherte Geräte zu schützen, sollten Anwender die Option für automatische Updates im Bereich   Einstellungen\Persönlich\Gerätesicherheit\Andere Sicherheitseinstellungen\Sicherheitsrichtlinien-Updates aktivieren. Hier kann auch gleich nach neuen Updates gesucht werden. Am besten ist natürlich, wenn Anwender gar nicht erst auf solche Tastaturen setzen.

Durch automatisierte Aktualisierung der Sicherheitsrichtlinien lässt sich Samsung Knox auch vor Man-in-The-Middle-Attacken relativ zuverlässig schützen (Screenshot: Thomas Joos).
Durch automatisierte Aktualisierung der Sicherheitsrichtlinien lässt sich Samsung Knox auch vor Man-in-The-Middle-Attacken relativ zuverlässig schützen (Screenshot: Thomas Joos).

Knox Aktivschutz gegen Viren nutzen

In Samsung Knox gibt es noch die Möglichkeit Smartphones einigermaßen zuverlässig vor Viren zu schützen. Dazu müssen Anwender den „Knox Aktivschutz“ über Einstellungen\Persönlich\Sperrbildschirm und Sicherheit\Gerätesicherheit\Gerätesicherheit aktivieren. Hier steht die Option für den Knox Aktivschutz zur Verfügung, sobald Sie My Knox installiert und eingerichtet haben. Außerdem können Anwender hier das Gerät auch gleich nach Viren durchsuchen. Der Schutz verhindert den Zugriff auf den Kernel und Android-Systemdateien. Dieser Schutz ist zwar dauerhaft angeschaltet wenn er einmal aktiviert ist, er schützt aber nicht vor allen Virenangriffen, sondern nur den Kernel und die Systemdateien.

Der Knox-Aktivschutz kann Smartphones vor Angriffen auf den Kernel und Android-Systemdateien schützen (Screenshot: Thomas Joos).
Der Knox-Aktivschutz kann Smartphones vor Angriffen auf den Kernel und Android-Systemdateien schützen (Screenshot: Thomas Joos).

Fazit

Anwender, die auf Samsung-Smartphones setzen, sollten sich die kostenlose App „My Knox“ ansehen.  Die App sichert Android zuverlässig ab, vor allem dann, wenn das Gerät auch beruflich oder für heikle Daten verwendet wird. Die Bedienung über den Assistenten ist sehr einfach und der Umgang mit dem Smartphone wird nicht wesentlich komplizierter. Mit der Sicherheitslösung lassen sich vor allem wichtige Daten vor dem Zugriff unsicherer Apps schützen. Auch wenn das Smartphone nur privat eingesetzt wird, kann es sinnvoll sein die einen oder anderen Daten, Fotos oder Apps vor externem Zugriff zu schützen. Wem die App nicht gefällt, kann sie jederzeit wieder deinstallieren, Daten gehen dabei keine verloren. Die Deinstallation lässt sich auch über das Einstellungsmenü von My Knox durchführen. Da die Bedienung von Android durch den Einsatz von My Knox nicht komplizierter, die Sicherheit aber erhöht wird sollte die App auf Samsung-Geräten in jedem Fall installiert werden. Dazu kommt, dass Samsung die App auch weiterhin kostenlos zur Verfügung stellen will.

Hinweis: Weitere umfangreiche Informationen finden sich auf der Galaxy-S6-Webseite für Business-Kunden.

Sie möchten mehr über Samsung KNOX und Samsung Business-Geräte erfahren? Unter SamsungMobileBusiness@samsung.de erfahren Sie, auf welchen Veranstaltungen Sie das Samsung Business Team zum direkten Austausch treffen können.