VPN und SSO: Sicherheitsfunktionen des Amazon Fire Phone für Unternehmen

Security-Teams in Unternehmen müssen sich eventuell mit dem Amazon Fire Phone und dem auf Android basierenden Fire OS hinsichtlich MDM beschäftigen.

Dieser Artikel behandelt

MDM

ÄHNLICHE THEMEN

Gerade als sich Unternehmen auf Amazons Tablet Kindle Fire eingestellt hatten, wurde Amazons neues Fire Phone vorgestellt. Amazon bewirbt das inzwischen auch in Deutschland erhältliche Smartphone als durchaus auch geeignet für den Einsatz in Unternehmen. Weiterhin sei es einfacher zu benutzen als Android und nicht dem Wirrwarr von Googles Play Store ausgeliefert. 

Aus diversen Gründen ist es aber offensichtlich, dass die anfängliche Version des Amazon Fire Phone bei Security-Teams einige Bedenken auslösen könnte.

Remote-Wipe und Geräte-Sperre: Security-Funktionen des Amazon  Fire Phone

Zunächst einmal läuft Amazons eigenes Betriebssystem Fire OS 3.6 auf dem Fire Phone. Das Betriebssystem basiert auf Android 4.2, wodurch die Sicherheitsfunktionen denen von Android-Systemen ähneln. Für diese Plattform sind inzwischen diverse schwere Schwachstellen bekannt. 

Das Fire Phone unterstützt aber zum Beispiel die in Jelly Bean standardmäßig integrierte Geräte-Sperre oder auch die Option zum Remote Wipe, also dem Löschen gespeicherter Daten aus der Ferne. Hinzu kommt noch die eingebaute Daten-Verschlüsselung. Das Fire Phone bringt allerdings keine Möglichkeit mit, SD-Karten zu nutzen. Zumindest an dieser Stelle kann es also kein Datenleck geben.

Wie alle anderen Jelly-Bean-Geräte unterstützt das Fire Phone die Remote-Administration über eine Programmierschnittstelle, die von MDM(Mobile Device Management) -Drittanbietern verwendet werden kann. Im Moment stellen unter anderem die MDM-Anbieter AirWatch (im Besitz von VMware), Fiberlink Communications (im Besitz von IBM), Citrix Systems, Mobile Iron und SOTI Agents bereit, die auf dem Fire Phone laufen. 

Zu den Einstellungen, die sich mithilfe solcher MDM-Agents überwachen und konfigurieren lassen, gehören:

  • Geräte-Inventarisierung: Modell, Betriebssystem und Version, App-Versionen und -Größen, Geräte-Restriktionen und installierte Security-Richtlinien;
  • Geräte-Security: Konfiguration von Geräterichtlinien, inklusive Passcode-Anforderungen, Geräteverschlüsselung, E-Mail-, Netzwerk- und Proxy-Einstellungen. Lokalisierung und Sperren des Smartphones, Passcode zurücksetzen, Nachrichten an das Smartphone schicken und komplette Löschung (Remote Wipe);
  • Geräte-Einschränkungen: Konfiguration von Gerätefunktionen wie zum Beispiel Daten-Roaming, Kamera, Bluetooth, Tethering und Installation von Apps, die nicht aus dem Amazon AppStore stammen;
  • Anwendungs-Management: Private und öffentliche Apps, die aus Amazons AppStore kommen, installieren, aktivieren und deaktivieren. Weiterhin können Sie bereits installierte Apps und deren Daten löschen.

Anders als andere Geräte mit Jelly Bean unterstützt das Fire Phone Androids native VPN-Clients (Virtual Private Network) nicht. Im Moment müssen Unternehmen hier auf VPNs von Drittanbietern wie zum Beispiel OpenVPN setzen. Amazon verspricht aber in zukünftigen Versionen Netzwerk- und Link-Layer-VPNs wie IPsec, L2TP und PPTP zu unterstützen.

Das Amazon Fire Phone

Das Fire Phone unterstützt außerdem nur den Web-Browser Amazon Silk, was die Gefahr minimiert, bestimmter Malware zum Opfer zu fallen, die sich auf populärere Browser konzentriert. Amazon verspricht außerdem für die nahe Zukunft die Implementierung einer Web-App-Single-Sign-On-Funktion im Fire Phone, die Kerberos-Token einsetzen soll.

Zur Veröffentlichung im Juli gab es ungefähr 70 Security-Apps von Drittanbietern im Amazon AppStore, die sich auf dem Fire Phone installieren lassen. Dazu gehören Citrix Receiver, NitroDesk Touchdown und diverse Antimalware-Apps großer Anbietern.

Mängel bei der Sicherheit des Amazon Fire Phone

Wie bereits erwähnt, hinkt das Fire OS Googles Android OS etwas hinterher. Amazon arbeitet Berichten zufolge daran, das Fire Phone mit einem Fire OS zu aktualisieren, das auf Android 4.4 „KitKat“ basiert. Android dagegen ist inzwischen bei Version 5.0 „Lollipop“ angekommen. Im Moment kann das Fire Phone die Security-Funktionen nicht liefern, die man in KitKat findet. Dazu gehören zum Beispiel zwingende SELinux-Zugriffskontrollen und eingeschränkte Profile.

Immerhin hat Amazon seinem Betriebssystem Fire OS aber WPA2-Enterprise-Verschlüsselung und eine Kinderschutz-Funktion spendiert. Letzteres können Unternehmen nutzen, um Einkäufe einzuschränken und Browser oder Apps zu blockieren. Auch die Passwort-Abfrage beim Zugriff auf bestimmte Inhalte lässt sich so realisieren.

Immerhin hat Amazon seinem Betriebssystem Fire OS WPA2-Enterprise-Verschlüsselung und eine Kinderschutz-Funktion spendiert.

Als Android-Derivat wird das Fire OS Security-Patches und neue Betriebssystem-Funktionen langsamer erhalten als Android. Das gilt auch für Samsungs SAFE-basierte Security-Verbesserungen, die in Android 5.0 integriert wurden.

Neben den VPN-Einschränkungen ist eine der größten Sicherheitsbedenken im Zusammenhang mit dem Fire Phone die Abhängigkeit vom Amazon AppStore. Googles Play Store bietet derzeit 1,3 Millionen Apps, für das Amazon Fire Phone sind dagegen lediglich 240.000 verfügbar.

Das klingt vielleicht nach einer ausreichend großen Menge, aber Unternehmen und Anwender werden einige der favorisierten Apps vermissen. Zu den nicht vorhandenen Apps gehören zum Beispiel Google Maps, Google Drive und YouTube, die Google nicht für Amazons konkurrierendes Betriebssystem bereitstellt.

Das Fire Phone lässt sich so konfigurieren, dass das sogenannte Sideloading von Anwendungen möglich ist. Somit können Anwender versuchen, ihre Lieblings-Apps am offiziellen AppStore vorbei als App-Paket (APK) herunterzuladen und manuell zu installieren. 

Benutzer sind vielleicht auch versucht, das Fire Phone zu rooten, um nicht unterstützte Apps zu installieren. Allerdings geht man davon aus, dass Amazon Fire-Geräte schwieriger als Android-Geräte zu rooten sind. Somit könnte es noch eine Weile dauern, bis Rooting zu einem Sicherheitsrisiko für das Fire Phone wird.

Prinzipiell müssen von Fire OS unterstützte Applikationen im Amazon AppStore gekauft und von dort heruntergeladen werden und nicht von Google Play. Haben Unternehmen bereits in Security-Tools investiert, die die Nutzung von Google Play unterstützen, sind das schlechte Nachrichten. Firmen können diese Einschränkung aber umgehen, wenn sie mithilfe eines MDM-Tools von Google Play gekaufte Apps auf das Fire Phone laden oder diese APKs in den Unternehmenskatalog mit aufnehmen.

Fire Phone im Unternehmen: Wie man sich richtig vorbereitet

Auch wenn dem Fire Phone zumindest bisher kein großer Erfolg vergönnt war, müssen sich Unternehmen in der heutigen BYOD (Bring Your Own Device) -Welt sicherlich auch mit diesem Gerät beschäftigen. Nachfolgend finden Sie einige Tipps, um auf das Erscheinen dieser Smartphones am Arbeitsplatz vorbereitet zu sein:

  • Haben Unternehmen keine Applikations- oder Content-Management-Produkte im Einsatz, können Sie sich Amazons Whispercast ansehen. Das ist ein freies, Web-basiertes Management-Tool. Sie können es einsetzen, um Amazon-Apps, E-Books und Dokumente auf Fire-OS-Geräte zu verteilen.
  • Wollen Abteilungen das Fire Phone mittels Exchange ActiveSync verwalten, werden sie sich freuen, dass das Fire Phone ActiveSync-basierte Administration unterstützt. In diesem Punkt ist es sehr ähnlich zu nutzen wie Jelly Bean.
  • Setzen Unternehmen MDM-Tools von Dritten ein, können sie das Fire Phone relativ einfach managen. Nutzen Firmen eine andere Technologie, sollten sie aber auf jeden Fall den MDM-Anbieter kontaktieren, um herauszufinden, bis wann Unterstützung für das Fire Phone zu erwarten ist.
  • Herkömmliche Sicherheitseinstellungen sowie Geräte- und Applikationsprofile für Android müssen für das Fire Phone angepasst werden. Setzen Unternehmen auf SAFE (Samsung for Enterprise), müssen sie auf dem Fire Phone allerdings ohne diese Samsung-Erweiterungen auskommen.

Darüber hinaus bietet das Fire Phone einige interessante neue Funktionen, mit denen Amazon Nutzer anderer Android-Geräte für sich gewinnen möchte. Die Reaktionen auf diesen Funktionen waren bisher gemischt. Security-Abteilungen sollten diese allerdings kennen.

Zum Beispiel wurde von Testern berichtet, dass Amazons Bewegungssteuerung 3-D Dynamic Perspective noch nicht perfekt funktioniert. Angeblich gibt es noch jede Menge Eingaben, die so nicht beabsichtigt waren. 

Mit Blick auf die Sicherheit stellt sich hier die Frage, wie viele unentdeckte Schwachstellen in dieser Funktion noch lauern. Umsichtige Security-Teams sollten daher unbedingt die Bugs und Patches für Fire OS auf dem Radar haben.

Umsichtige Security-Teams sollten unbedingt die Bugs und Patches für Fire OS auf dem Radar haben.

Eine größere Sorge gibt es bei Fire Phones neuer Bilderkennungs-Funktion Firefly. Hier können Sie ein Foto von jedem Produkt oder Objekt machen, um es durch eine cloudbasierte Suche nach bestimmten Erkennungsmustern zu identifizieren. 

Leider kann man Firefly auch auf einem gesperrten Fire Phone initiieren. Somit lässt sich an dieser Stelle mit einem unbeaufsichtigtem oder verlorenen gegangenem Gerät Unfug treiben.

Darüber hinaus werden alle von Firefly gemachten Bilder und auch alle anderen Fotos auf einem Fire Phone automatisch mit der Amazon-Cloud synchronisiert. Genauso setzt auch Fire Phones Silk Browser auf die Amazon-Cloud, um Webinhalte zu verarbeiten. Diese enge Verknüpfung könnte Datenschutzbedenken auslösen. 

Viele Bilder von privaten Umgebungen und deren Standort landen so standardmäßig in einer Cloud, die unter der Kontrolle einer dritten Instanz liegt, während Unternehmen darauf keinen Einfluss haben. Organisationen sollten daher die Richtlinien überdenken, um Firefly, Silk Proxy und Fire Phone Backup zu adressieren. Weiterhin sollte man den Mitarbeitern proaktiv mitteilen, dass unter Umständen private Daten in Amazons Cloud gespeichert werden.

Fazit: Der Markt legt die Bedeutung des Fire Phone fest

Im Grunde genommen wird der Markt entscheiden, wie wichtig es für die Security-Teams der Unternehmen ist, Amazons Fire Phone zu verstehen und in Unternehmensumgebungen zu unterstützen. Sollte das Fire Phone doch noch auf großes Interesse stoßen, dann sollte man sich die Funktionen, Unterschiede und Einschränkungen des Geräts auf jeden Fall genauer ansehen. Bleibt das Interesse allerdings so niedrig wie bisher, dann wird das Fire Phone bei MDM-Anbietern wohl weiterhin keine große Rolle spielen.

Über den Autor:
Lisa A. Phifer ist Vice President von Core Competence. Sie beschäftigt sich seit mehr als 20 Jahren mit Design, Implementierung und Bewertung von Produkten für Datenkommunikation, Internet-Networking sowie für Sicherheit und Netzwerk-Verwaltung.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im November 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Mobile-Device-Management (MDM)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close