First Look: Samsung KNOX für Privatkunden

Anders als Google ist Samsung ernsthaft daran interessiert, Android nach dem großen Erfolg bei Endkunden auch im Business stärker zu etablieren. Dazu stellen die Koreaner bereits seit längerem im Rahmen des SAFE-Programms für ihre Flaggschiffe der Galaxy-Reihe zusätzliche Verwaltungsschnittstellen bereit. Diese erlauben es Administratoren, Business- Smartphones und -Tablets über ein Mobile-Device-Management-System stärker zu kontrollieren, als das etwa mit "Plain Android" möglich ist.

Im vergangenen Frühjahr hat der Hersteller außerdem auf dem Mobile World Congress (MWC) in Barcelona "Samsung KNOX" vorgestellt. Die Dual-Persona- oder Container-Lösung errichtet auf neueren Galaxy-Geräten eine sichere Arbeitsumgebung mit eigenem Startbildschirm, Apps sowie Widgets. KNOX ist damit besonders für Anwender gedacht, die ihr Smartphone oder Tablet sowohl privat wie auch beruflich nutzen - etwa in ByoD-Szenarien.

Technisch basiert das System auf dem von der NSA (für die interne Android-Nutzung) entwickelten, gehärteten "Security Enhanced Android" (SE Android) sowie auf spezielle Integritäts-Management-Services von Partnern, die sowohl in der Hardware wie auch dem Android-Framework integriert sind.

Inzwischen ist das Programm auch für Endanwender verfügbar - möglicherweise um Werbung für die Business-Version zu machen, die seit Ende 2013 auch in Europa genutzt werden kann. So weist auf dem Galaxy Note 3 bereits ein vorinstalliertes KNOX-Symbol auf die App hin, während es erst kürzlich mit dem letzten Firmware-Upgrade (Android 4.3) auf das Smartphone-Flaggschiff Galaxy S4, dessen Vorgänger Galaxy S3 und das Galaxy Note 2 gelangte. Die nun deutlich gestiegene Verbreitung ist auf jeden Fall Grund genug, Samsung KNOX einem näheren Blick zu unterziehen.

Samsung Knox
Knox soll Smartphones und Tablets der Galaxy-Serie für den Business-Einsatz fit machen.

Samsung Knox
Die Technologie trennt private Apps und Daten von den Unternehmens-Anwendungen.

Samsung Knox
Die Knox-Technologie setzt sich aus verschiedenen Verfahren zusammen. Hierzu zählt beispielsweise Secure Boot.

Samsung Knox
Die Authentizität des Android-Kernels wird durch Secure Boot überprüft. Das heißt, bereits beim Starten des Gerätes lässt sich sicherstellen, dass keine Schadsoftware geladen wird, obwohl Knox noch gar nicht gestartet ist.

Samsung Knox
Enterprise-Anwendungen laufen in einem abgeschotteten und verschlüsselten Knox-Container.

Samsung Knox
Knox arbeitet mit vielen MDM-Lösungen zusammen.

Samsung Knox
Knox schützt das Betriebssystem durch "SE für Android", die auf SELinux basiert. SE für Android schützt das OS durch Aufteilung in Sicherheits-Domänen.

Samsung Knox
Samsung verwendet bei Knox auch die Integrity Measurement Architecture TIMA. Das TIMA-Modul überwacht den Kernel des Betriebssystems auch ohne Knox-Aktivierung. Das Modul soll sicherstellen, dass keine Sicherheitsprobleme vorliegen.

Samsung Knox
Bei Samsungs Knox-Container handelt es sich um eine Android-Umgebung innerhalb des Geräts, komplett mit eigener Startseite, Startbildschirm, Apps und Widgets.

Samsung Knox
Knox arbeitet mit einer 256-Bit-AES-Verschlüsselung.

Samsung Knox
Die Umgebung erlaubt es Administratoren, die Einrichtung von VPNs für einzelne Apps in Knox zu konfigurieren.

Samsung Knox
Samsung unterstützt mit Knox viele Verwaltungslösungen (MDM).

Langwierige Installation

Wer Samsung KNOX auf seinem Galaxy-Smartphone oder -Tablet installieren will, muss sich seiner Sache sicher sein. Nicht genug damit, dass die App auf dem Gerät stolze 133 MByte Speicher belegt, der Nutzer darf sich außerdem nicht von den Geschäftsbedingungen und der dazugehörigen Datenschutzrichtlinie, denen er zustimmen muss, abschrecken lassen.

Und selbst wenn dies geschehen und der Download abgeschlossen ist, geht es nicht gleich zur Sache, jetzt gilt es Passwort (mindestens sechs Zeichen, darunter eine Ziffer) und Passwort-Timeout festzulegen. Zur Auswahl stehen 5, 10, 15, 20 oder 30 Minuten. Alternativ kann der Nutzer auch festlegen, dass er sich automatisch ausgeloggt, sobald der Bildschirm ausgeschaltet wird. Als weiteren Schritt muss der Anwender außerdem eine Sicherungs-PIN festlegen - diese liefert nach 16 Falscheingaben (von 20 möglichen) einen Hinweis (erstes und letztes Zeichen) auf das Passwort.

Die Funktionen

Wer nach diesen - je nach Download-Geschwindigkeit - drei bis 13 Minuten noch nicht die App geschlossen hat, ist nun endlich am Ziel angelangt: dem eigenen KNOX-Modus beziehungsweise -Container.

Dieser gibt sich wenig spektakulär mit eigenem (anpassbaren) Startbildschirm, auf dem bereits die Icons einiger vorinstallierter Apps platziert sind. Als Hinweis auf die Verschlüsselung (AES-256 FIBS) tragen die Apps an der rechten unteren Ecke das KNOX-Symbol in Form eines Schlüssellochs. Außerdem weist ein Symbol den Weg zurück zum normalen Homescreen.

Serienmäßig im KNOX-Container vorhanden sind etwa E-Mail, Kamera, Internet, Eigene Dateien, Galerie, Downloads sowie die Samsung-Apps S Memo und S Planner. Weitere teils kostenpflichtige, teils gratis erhältliche Apps gibt es im dazugehörigen KNOX-Appstore. Das Angebot ist mit unter 50 Einträgen aktuell aber nicht gerade umfangreich, selbst wenn Apps wie Polaris Office, ES File Explorer, Evernote oder Wunderlist wichtige Nutzungsbereiche abdecken.

Man darf bei dieser leichten Kritik allerdings nicht vergessen, wozu der Container eigentlich gedacht ist und diese Aufgabe erfüllt KNOX ziemlich gut: So sind etwa Screenshots nicht möglich, auch das Kopieren und spätere Einfügen von Text (etwa aus S-Memo) funktioniert nur innerhalb des KNOX-Containers. Hundertprozentig klappt die Trennung zwischen Beruflichem und Privatem allerdings nicht: Während man bei der Installation von KNOX mit leeren Ordnern und einem frischen Browser startet, werden die Kontakte und Telefonie (einschließlich Verlauf) mit dem offenen, privaten Bereich geteilt. Eine klare Trennung ist ohne die Möglichkeit von zwei verschiedenen Rufnummern aber sowieso nicht machbar.

Unterschied Business- und Consumer-Version

Noch ein paar Worte zum Unterschied zwischen KNOX für Verbraucher und für Unternehmen: Zunächst einmal ist die Version für Privatanwender kostenlos, während für die Nutzung im Business Samsung-KNOX-Lizenzen zum Preis von monatlich knapp vier Dollar (UVP) erworben werden müssen.

Weitere Voraussetzung für den Enterprise-Einsatz ist ein MDM-System. Aktuell wird Samsung KNOX von Playern wie Airwatch, Citrix, MobileIron, SAP/Sybase oder Soti unterstützt. Dabei gibt es jedoch Unterschiede, Airwatch unterstützt beispielsweise laut Samsung aktuell nur 43 der 73 KNOX-Richtlinien, Soti dagegen 58 Policies. Auch in diesem Bereich geht allerdings Qualität vor Quantität, weshalb sich ein zweiter Blick auf die Liste der unterstützten Features empfiehlt.

Bei der Verbraucher-Version können außerdem die Daten zu Sicherungszwecken aus dem KNOX-Ordner herausgeholt werden, während dies im Unternehmenseinsatz eher unerwünscht ist. Hier können Admins wiederum die kompletten Inhalte im KNOX-Container remote löschen, was Privatnutzern nicht möglich ist.

Fazit: Gut, aber nicht für jeden Zweck perfekt

Summa summarum handelt es sich bei der Consumer-Version von Samsung KNOX um eine - von der Installation abgesehen - ziemlich praktikable Lösung, um sensible Geschäftsdaten auf dem privaten Smartphone vor dem Zugriff Dritter zu sichern.

Geht es nur darum, eine Art Kindersicherung für Dokumente, Bilder etc. auf dem Gerät zu haben, gibt es sicher geeignetere Lösungen, etwa Andlock. Auch der Wechsel zwischen privatem und beruflichen Modus könnte besser gelöst sein, ideal ist hier klar die Wischbewegung in (dem nicht ohne BES10 nutzbaren) Blackberry Balance. (cvi)