Apples iOS 4 hat mit Blick auf die Plattformsicherheit gegenüber Android gegenwärtig noch die Nase vorn. Zu diesem Schluss kommt Carey Nachenberg in einem Symantec-Whitepaper.
Beide Plattformen wehren relativ gut webbasierte Angriffe ab. Die Verschlüsselungsbordmittel beim iOS sind mittlerweise recht ausgereift, halten einem versierten physischen Zugriff auf das Gerät aber nicht unbedingt stand, so Symantec. Die “Qualitätskontrolle” von Apps trägt positiv zum Schutz des Anwenders bei. Gegen Social-Engineering-Attacken wie Phishing oder Spam sind weder iOS noch Android gewappnet. Dies sind freilich Bedrohungen, die idealerweise sowieso nicht erst am Endpunkt adressiert werden sollten.
Android ist von der Philosophie her deutlich offener konzipiert als iOS und hat – bzw. hatte ursprünglich – primär den mündigen Individualanwender als Zielgruppe adressiert. Dies lässt dem Anwender und Entwicklern von Apps deutlich mehr Freiheiten. Die Qualitätskontrolle von Apps von Drittanbietern ist daher nicht so stringent wie bei iOS. Der Nutzer wird außerdem generell stärker in eine Rolle gedrängt, die ein hohes Maß an Know-how erfordert, um die Administration und Konfiguration sicher zu gestalten. Ohnehin ist die Freiheit beim Gerätemanagement jedem CIO ein Dorn im Auge. Außerdem beginnt Google erst mit der aktuellen Version 3.0, Verschlüsselungsfunktionalitäten in die Plattform zu implementieren.
Für beide Plattformen – iOS ebenso wie Android – gilt aus meiner Sicht: Unternehmen mit mittleren und hohen Sicherheitsanforderungen sollten die Geräte nicht “nackt” an die Anwender verteilen, sondern zusätzliche Sicherheits- und Managementfunktionalitäten von Drittanbietern beziehen. Besonders bei größeren Stückzahlen ist eine zentrale Verwaltung mobiler Geräte (mobile device management – MDM) unerlässlich. Übrigens ein Thema, dass RIM (BlackBerry) in der Vergangenheit sehr gut gelöst hat.
Es empfiehlt sich zudem, sich bezüglich der Plattformversionen auf dem Laufenden zu halten. Speziell Android ist noch jung und wird von den Geräteherstellern recht unterschiedlich implementiert.
Mehr Details technischer Natur sind in Symantecs Whitepaper “A Window Into Mobile Device Security” nachzulesen.
