Android-Sicherheitslücke: Kein Update für Android-Browser

Autor/Redakteur: Bernd Ullritz, Security Evangelist EMEA bei Check Point Software Technologies/gg

Ullritz_180

Google erklärt, dass es keine Schließung der Sicherheitslücke des Android-Browsers für Versionen bis 4.3 geben wird. Nutzer des Systems sollen auf einen anderen Browser oder ein anderes Betriebssystem umsteigen. Kritiker sprechen von einer Sicherheitslücke auf Lebenszeit. In einer neuen Mitteilung erklärt Google, dass der Aufwand für die Beseitigung sich nicht rechnet und verteidigt sein Vorgehen.

Der Aufschrei ist so laut, da ältere Android-Versionen noch weit verbreitet sind. Open Source Betriebssysteme sind frei verfügbar und neue Apps können leicht integriert werden. Jeder kann auf den Quellcode zugreifen und ihn nutzen, das ist ein wichtiger Teil des Erfolges von Android. Der Fall macht aber deutlich, dass Hacker gerade wegen der Offenheit ein leichtes Spiel haben, da Schwachstellen einfacher auffindbar sind. Support und Schutz werden nicht immer gewährleistet. Andere Hersteller von kostenpflichtigen Betriebssystemen erklären alle paar Jahre ebenfalls die Einstellung des Supports, so richtig überraschend ist der Schritt von Google also nicht.

WebFix-basierte Apps sind unsicher und veraltet, trotzdem weit verbreitet. Anwender und Unternehmen müssen selber aktiv werden und sich schützen. Die Empfehlung von Updates und die Nutzung von aktuellen Betriebssystemen sind ein erster Schritt, Sicherheit gewährleistet aber nur eine Verwaltung des kompletten Datenstroms eines Endgerätes und das richtige Sicherheitskonzept.

Mobile Geräte greifen häufig auf Geschäftsnetzwerke zu und ermöglichen flexibles und effizienteres Arbeiten. Deshalb müssen solche Geräte in die Sicherheitsstrategie einbezogen und es muss zwischen Geschäftsdaten und persönlichen Apps unterschieden werden. Jedes Gerät muss als Endpunkt eines Netzwerks gelten und sicheren Zugriff auf Firmendaten ermöglichen. Verdächtige Dateien, Zugang zu verseuchten Websites und schädliche Bots müssen blockiert werden. In der dynamischen Welt der digitalen Integration können Anwender sich nicht auf die Softwarehersteller alleine verlassen, besonders da Mitarbeiter oft verschiedene Betriebssysteme und Geräte nutzen.

Traditionelle Netzwerke verschwinden und Firmen müssen ihre Sicherheitsperimeter erweitern. Befallene Mobilgeräte tragen Gefahren in Netzwerke und Clouds hinein. Unternehmen brauchen eine Sicherheitslösung, die sicheren und schnellen Austausch und Zugriff auf Unternehmensdaten durch autorisierte Nutzer gewährt. Diese muss unabhängig von der Plattform und einfach zu implementieren sein. Neue Endgeräte und bestehende Sicherheitsmechanismen dürfen nicht ausgenommen werden, sondern sind wichtige Bauteile einer sicheren Infrastruktur. Regelmäßige Logs und die zentrale Verwaltung von Ereignissen erlauben es, Sicherheitsrichtlinien anzupassen und durchzusetzen. Malware kann über jedes Smartphone oder Tablet in ein Unternehmen eingeschlossen werden, daher benötigen wir ein holistisches Konzepte, um uns und unsere Daten zu schützen.