Dual-Persona-Lösung
First Look: Samsung KNOX für Privatkunden
Anders als Google ist Samsung ernsthaft daran interessiert, Android nach dem großen Erfolg bei Endkunden auch im Business stärker zu etablieren. Dazu stellen die Koreaner bereits seit längerem im Rahmen des SAFE-Programms für ihre Flaggschiffe der Galaxy-Reihe zusätzliche Verwaltungsschnittstellen bereit. Diese erlauben es Administratoren, Business- Smartphones und -Tablets über ein Mobile-Device-Management-System stärker zu kontrollieren, als das etwa mit "Plain Android" möglich ist.
Im vergangenen Frühjahr hat der Hersteller außerdem auf dem Mobile World Congress (MWC) in Barcelona "Samsung KNOX" vorgestellt. Die Dual-Persona- oder Container-Lösung errichtet auf neueren Galaxy-Geräten eine sichere Arbeitsumgebung mit eigenem Startbildschirm, Apps sowie Widgets. KNOX ist damit besonders für Anwender gedacht, die ihr Smartphone oder Tablet sowohl privat wie auch beruflich nutzen - etwa in ByoD-Szenarien.
Technisch basiert das System auf dem von der NSA (für die interne Android-Nutzung) entwickelten, gehärteten "Security Enhanced Android" (SE Android) sowie auf spezielle Integritäts-Management-Services von Partnern, die sowohl in der Hardware wie auch dem Android-Framework integriert sind.
Inzwischen ist das Programm auch für Endanwender verfügbar - möglicherweise um Werbung für die Business-Version zu machen, die seit Ende 2013 auch in Europa genutzt werden kann. So weist auf dem Galaxy Note 3 bereits ein vorinstalliertes KNOX-Symbol auf die App hin, während es erst kürzlich mit dem letzten Firmware-Upgrade (Android 4.3) auf das Smartphone-Flaggschiff Galaxy S4, dessen Vorgänger Galaxy S3 und das Galaxy Note 2 gelangte. Die nun deutlich gestiegene Verbreitung ist auf jeden Fall Grund genug, Samsung KNOX einem näheren Blick zu unterziehen.
- Samsung Knox
Knox soll Smartphones und Tablets der Galaxy-Serie für den Business-Einsatz fit machen. - Samsung Knox
Die Technologie trennt private Apps und Daten von den Unternehmens-Anwendungen. - Samsung Knox
Die Knox-Technologie setzt sich aus verschiedenen Verfahren zusammen. Hierzu zählt beispielsweise Secure Boot. - Samsung Knox
Die Authentizität des Android-Kernels wird durch Secure Boot überprüft. Das heißt, bereits beim Starten des Gerätes lässt sich sicherstellen, dass keine Schadsoftware geladen wird, obwohl Knox noch gar nicht gestartet ist. - Samsung Knox
Enterprise-Anwendungen laufen in einem abgeschotteten und verschlüsselten Knox-Container. - Samsung Knox
Knox arbeitet mit vielen MDM-Lösungen zusammen. - Samsung Knox
Knox schützt das Betriebssystem durch "SE für Android", die auf SELinux basiert. SE für Android schützt das OS durch Aufteilung in Sicherheits-Domänen. - Samsung Knox
Samsung verwendet bei Knox auch die Integrity Measurement Architecture TIMA. Das TIMA-Modul überwacht den Kernel des Betriebssystems auch ohne Knox-Aktivierung. Das Modul soll sicherstellen, dass keine Sicherheitsprobleme vorliegen. - Samsung Knox
Bei Samsungs Knox-Container handelt es sich um eine Android-Umgebung innerhalb des Geräts, komplett mit eigener Startseite, Startbildschirm, Apps und Widgets. - Samsung Knox
Knox arbeitet mit einer 256-Bit-AES-Verschlüsselung. - Samsung Knox
Die Umgebung erlaubt es Administratoren, die Einrichtung von VPNs für einzelne Apps in Knox zu konfigurieren. - Samsung Knox
Samsung unterstützt mit Knox viele Verwaltungslösungen (MDM).
Langwierige Installation
Wer Samsung KNOX auf seinem Galaxy-Smartphone oder -Tablet installieren will, muss sich seiner Sache sicher sein. Nicht genug damit, dass die App auf dem Gerät stolze 133 MByte Speicher belegt, der Nutzer darf sich außerdem nicht von den Geschäftsbedingungen und der dazugehörigen Datenschutzrichtlinie, denen er zustimmen muss, abschrecken lassen.
Und selbst wenn dies geschehen und der Download abgeschlossen ist, geht es nicht gleich zur Sache, jetzt gilt es Passwort (mindestens sechs Zeichen, darunter eine Ziffer) und Passwort-Timeout festzulegen. Zur Auswahl stehen 5, 10, 15, 20 oder 30 Minuten. Alternativ kann der Nutzer auch festlegen, dass er sich automatisch ausgeloggt, sobald der Bildschirm ausgeschaltet wird. Als weiteren Schritt muss der Anwender außerdem eine Sicherungs-PIN festlegen - diese liefert nach 16 Falscheingaben (von 20 möglichen) einen Hinweis (erstes und letztes Zeichen) auf das Passwort.