Das Sicherheitskonzept von Blackberry-Endnutzergeräten in Hinblick auf sicheren E-Mail-Datenverkehr

Aus Winfwiki

Wechseln zu: Navigation, Suche

Hausarbeit

Hochschule: Hochschule für Oekonomie & Management
Standort: Düsseldorf
Studiengang: Bachelor Wirtschaftsinformatik
Veranstaltung: IT-Infrastruktur
Betreuer: Dipl-Inf. (FH) Christian Schäfer
Typ: Hausarbeit
Themengebiet: IT-Infrastruktur
Autor(en): Stephan Hotzy
Studienzeitmodell: Abendstudium
Semesterbezeichnung:
Studiensemester: 3
Bearbeitungsstatus: in Arbeit
Prüfungstermin: 31.01.2011
Abgabetermin: 30.01.2011


Inhaltsverzeichnis


1 Einleitung

Die 1984 von Mike Lazardis gegründete Firma Research in Motion (kurz RIM) hat ihren Hauptsitz in Waterloo, Kanada[1]. Sie ist einer der führenden Hersteller für weltweite, drahtlose Kommunikationsmittel und bietet eine Komplettlösung an Hardware, Software und Diensten an, die eine Vielzahl von Wireless Netzwerkstandards unterstützen. Darunter fallen unter anderem Handheld-PCs und die Blackberry Wireless Plattform, aber auch Radio-Modems, Software- Entwicklungstools sowie Lizenzvereinbarungen für für Hard- und Software[1].

Das Unternehmen ist in erster Linie als Hersteller und Anbieter von Wireless-Geräten, insbesondere dem Blackberry bekannt geworden. RIM wirbt selbst damit, dass diese Geräte jederzeit verfügbar sind (Motto "Always On, Always Connected"), d.h. der Nutzer hat jederzeit Zugriff auf gängige Kommunikationsstandards wie E-Mail, Telefonie, SMS-Messaging sowie Internet und Intranet-basierte Informationen[1].

Das Blackberry findet besonders bei jenen Firmen hohen Absatz, die ihre Mitarbeiter mit diesen Always-On-Geräten permanent erreichbar wissen wollen, z.B. bei Firmen, die mit einer Vielzahl von Außendienstlern zusammen arbeiten. Die Blackberry Enterprise Technologie liefert zuverlässig E-Mails des Firmenaccountes an das Blackberry-Endnutzergerät weiter und ermöglicht dem Mitarbeiter die Beantwortung und Bearbeitung von Firmenkorrespondenz, egal wo er sich gerade befindet und egal zu welcher Tag- und Nachtzeit[1].

2 Erfolgsfaktoren von RIM und dem Blackberry

2.1 Motto Always On, Always Connected

Mit dem Spruch "Always On, Always Connected" hat sich RIM nicht nur ein Slogan und Motto gesetzt, sondern auch einen Leitsatz geschaffen, an dem die sie selbst orientiert. Die Firma hat es sich selbst zum Ziel gesetzt, eine moderne Kommunikationslösung zu etablieren, mit der die Möglichkeit besteht jederzeit und unabhängig vom eigenen Standort erreichbar zu sein.

2.2 Verschlüsselung als Markenzeichen

Verschlüsselung ist ein Markenzeichen von RIM. So kann die Firma zahlreiche Zertifikate anführen, die den sicheren Datenverkehr innerhalb der Blackberry Enterprise Solution bestätigen. Das Sicherheitskonzept geht so weit, dass nach der korrekt durchgeführten Implementierung weder RIM selbst, noch etwaige Dritte, Zugriff auf die Daten haben.

3 Betrachtung der Blackberry-Architektur

Seit den ersten mobilen PDAs und Smartphones gibt es für Arbeitnehmer ab der mittleren Führungsschicht keine festen Arbeitszeiten mehr. Seitdem ist der Mitarbeiter durch sein mobiles PDA oder Smartphone immer erreichbar und kann zu jeder Zeit und von jedem Ort aus arbeiten. Da ein mobiler Datenverkehr natürlich auch Sicherheitsrisiken mit sich bringt(ungewollter Zugriff von außerhalb), müssen sich Firmen zwangsläufig mit Fragen der Datensicherheit auseinandersetzen. Genau hier setzt die RIM an und bietet Firmen eine sichere Komplettlösung, die in das bereits bestehende System voll integrierbar ist. Der folgende Abschnitt gibt einen Überblick über die Sicherheitsarchitektur und die relevanten Security-Features der wohl bekanntesten Kommunikationslösung für Unternehmen - die Blackberry Enterprise Solution von RIM.

Die Blackberry-Lösung bietet auf dem gesamten Übertragungsweg (vom Unternehmensserver bis zum Endnutzergerät) einen nahtlosen Schutz sensibler Unternehmensdaten. Jedes Unternehmen definiert für sich selbst individuelle Sicherheitsrichtlinien, die auf den Blackberry-Endnutzergeräten umgesetzt werden. Dazu wird die unternehmenseigene Security Policy auf dem Blackberry Enterprise Server (kurz BES) hinterlegt, wobei der Kunde aus einer Vielzahl von Application Policies wählen kann, jede für eine spezielle Kundengruppe angepasst[2].

Bei erstmaliger Aktivierung des Blackberrys wird die hinterlegte IT-Policy umgesetzt, ohne dass der Anwender darauf selbst Einfluss nehmen kann[2].

Sämtliche Daten, die zwischen dem E-Mail-Server des Unternehmens und dem mobilen Endnutzergerät übertragen werden, sind standardgemäß mit dem Advanced Encrytion Standard 256 (kurz AES) verschlüsselt. Während die meisten Lösungen über einen VPN-Tunnel arbeiten, setzt die Blackberry Systemarchitektur auf eine Chiffrierung jedes einzelnen Nutzdatenpaketes mit einem individuellen 256-Bit-Schlüssel, der für jedes Endnutzergerät existiert und zyklisch erneuert wird[2].

Dabei wären selbst ein Aussetzer im Datenverkehr oder ein Verbindungsabbruch für die Sicherheit der Daten irrelevant, da die Verschlüsselung unabhängig vom Transportprotokoll stattfindet[2].

Das Verschlüsselungsverfahren basiert auf einem privaten symmetrischen Schlüssel, der jedem Endnutzergerät zugewiesen wird, es existieren keine Master-Schlüssel, die Administratoren oder Dritten von außen Zugriff auf das Endnutzergerät geben würden. Der private Schlüssel bleibt ausschließlich in Besitz des direkten Nutzers, d.h. konkret auf dem jeweiligen Blackberry und dem BES innerhalb der IT-Infrastruktur des Kunden[2].

Lediglich die IT-Abteilung des Nutzers kann auf die Konfiguration der einzelnen Anwender zugreifen, zum Beispiel um diese zu löschen oder zu ändern, was bei einem Verlust des Endnutzergerätes der Fall sein kann. Diese Lösung gilt als absolut sicher, da die Schlüssel zufällig erzeugt werden und nicht kompromittierbar sind, sofern die kryptographischen Algorithmen korrekt implementiert worden sind[2].

3.1 Elemente der Blackberry-Architektur

3.1.1 RIM Network Operating Center

RIM unterhält zwei Network Operation Center (kurz NOC), in Kanada und in England. Über diesen beiden NOC läuft der gesamte Datenverkehr der Blackberrys ab[3].

3.1.1.1 Private IP-Adressen als Sicherheitsfaktor

Um das Prinzip der NOC zu verstehen, ist ein kurzer Ausflug in die Welt der IP-Netze sowie der Datenübertragung in GPRS-Mobilfunknetze erforderlich. Da es nicht unendlich viele IP-Adressen gibt, wurden von der Internet Assigned Numbers Authority (kurz IANA) drei private Adressbereiche festgelegt. Diese sind im öffentlichen Internet nicht sichtbar und können somit auch nicht geroutet werden. Dadurch können diese Adressen in privaten Netzen mehrmals Verwendung finden. Ein Nebeneffekt ist die nicht direkte Erreichbarkeit dieser privaten Netze aus dem Internet, was einen gewissen Schutz vor Fremdzugriffen darstellt[4].

Diese individuellen IP-Adressbereiche werden auch in den GPRS-Netzen privater Mobilfunkbetreiber verwendet, so dass diese erst einmal vom öffentlichen Internet abgeschottet sind. Damit die Nutzer dennoch surfen können, haben die Netzbetreiber so genannte Proxy/Gateway-Server eingerichtet. Hier werden die privaten auf öffentliche Internetadressen umgesetzt, womit das Endgerät, z.B. ein Smartphone oder PDA, im Internet sichtbar wird. Ein Seiteneffekt der Sichtbarmachung ist die gleichzeitige Angreifbarkeit des Smartphones oder PDAs.

Wenn das Endnutzergerät auf interne Firmendaten, z.B. den entsprechenden E-Mail-Account eines Mitarbeiters zugreift, so muss es von außen einen Port der Firewall öffnen, um die entsprechende Verbindung zur Datenabrufung herstellen zu können[4].

Daraus ergeben sich zwei Problempunkte[4]:

  1. Öffentliche Adressierbarkeit der Endnutzergeräte und deren Angreifbarkeit
  2. Das von außen veranlasste Öffnen eines Firewall-Ports

Eben jene Problempunkte versucht RIM unter Zuhilfenahme der NOC zu umgehen. Hierzu fungieren die NOC als Riesen-Router bzw. Gateways und sollen damit den sicheren E-Mail-Datenverkehr zwischen dem Blackberry und dem unternehmenseigenen Mail-Server gewährleisten. Kurz und knapp ist ein NOC die Schnittstelle zwischen Blackberry und Mobilfunknetz, des weiteren hält es Kontakt zum Mail-Server der jeweiligen Unternehmung[4].

3.1.1.2 Adresszuordnung

Damit die Blackberry-Endnutzergeräte nicht im normalen Internet sichtbar sind bedient sich RIM eines "Tricks". Als Folge dessen sind sie nur über ihre private IP-Adresse ansprechbar, denn das Verkehrsaufkommen der Endnutzergeräte wird nicht über die normalen Gateways der Mobilfunkanbieter transportiert, sondern über ein spezielles Gateway der Mobilfunk-Provider. Dabei lautet der verwendete Access Point Name (kurz APN) eines jeden Blackberrys immer und in allen Mobilfunknetzen blackberry.net. Das Endnutzergerät ist über eine dedizierte Leitung somit direkt mit dem jeweiligen NOC verbunden (in Europa ist das Center in England). Gegenüber dem NOC identifiziert sich das Blackberry anhand seiner PIN. Dies ist eine einmalig vergebene Gerätenummer, vergleichbar mit der MAC-Adresse eines PCs oder Laptops. Des Weiteren teilt das Blackberry dem NOC seine IP-Adresse mit, damit das NOC informiert ist und weiß, an welche IP-Adresse eingehende Mails weitergeleitet werden sollen[5].

Auf der anderen Seite, also in Richtung des Mail-Servers des Anwenders, ist das NOC über eine öffentlich verfügbare IP-Adresse an das Internet angebunden. Die Kommunikation zwischen dem NOC und dem BES, der beim Anwender hinter der Firewall installiert ist und als Bindeglied zum eigentlichen Mail-Server fungiert, läuft über einen Ping ab. Der BES sendet also einen Ping an das NOC und erhält dann auf den gleichen Port Antwort. Anhang seiner eindeutig zugewiesenen Server Routing Protocol Identifier (kurz SRPID), vergleichbar mit einer Lizenznummer, sowie dem Authenification Key, identifiziert sich der BES am NOC. Der NOC wiederrum speichert die SRPID mit der dazugehörigen IP-Adresse[5].

RIM nennt folgende Gründe, warum sie das NOC-Prinzip nutzen[5]:

  • Schutz vor Angriffen auf die Endgeräte
  • Datenflusskontrolle
  • Verringerung der übertragenen Datenmenge
  • Serviceverfügbarkeit
  • bessere Supportmöglichkeiten
  • Anbindung an über 300 Carrier weltweit
  • intelligentes weltweites Routing
  • Anbindung verschiedener Netztechnologien
  • Push von Wartungsinformationen (etwa Kill-Befehl)
  • Online-Upgrade des Betriebssystems auf den Endgeräten
3.1.1.3 Weg einer Blackberry Mail

Anhand eines Beispiels lässt sich der Weg einer Blackberry Mail am besten darstellen[6]:

  1. Empfang einer E-Mail auf dem Mail-Server des Blackberry Nutzers
  2. BES nimmt Teile dieser Mail (Betreffzeile, Absender, usw.) und bildet ein Datenpaket
  3. BES leitet das Datenpaket an das NOC weiter (im Header des Datenpaketes steht die PIN des Blackberry Nutzers als Empfänger und die SRPID des BES als Absender)
  4. NOC prüft die empfangenen Datenpakete und verwirft Datenpakete, die nicht plausibel sind.
  5. Nach Prüfung erfolgt Weiterleitung des Datenpaketes an Empfänger (NOC identifiziert Empfänger anhand der Zuordnungstabelle von PIN zu IP-Adresse)

Abruf weiterer Informationen, z.B. von einem Anhang[6]:

  1. Blackberry-Endnutzergerät sendet Anfrage über das NOC an den BES (im Header des Datenpaketes steht die SRPID als Empfänger und die PIN als Absender)
  2. NOC wandelt SRPID in eine öffentlich routbare IP-Adresse um
  3. Datenpaket gelangt via Ping über den offen gehaltenen Firewall-Port zur Kommunikation mit dem NOC in das Unternehmensnetz
  4. BES führt vor Weiterverarbeitung Plausibilitätsprüfung durch und leitet bei positivem Ergebnis die Informationen an das Endgerät weiter

Auch die Kommunikation beim Surfen im öffentlichen Netz läuft wie bei der oben aufgeführten Übermittlung einer E-Mail ab. Nicht das Blackberry stellt eine Verbindung zum öffentlichen Netz her, sondern die Suchanfrage wird via NOC an das BES weiter gegeben, welcher dann über die Internet-Zugänge der Unternehmung in das öffentliche Netz geht. Man kann auch sagen, dass das Blackberry-Endnutzergerät wie eine Fernbedienung zur Steuerung des BES fungiert[6].

3.1.1.4 Datenpuffer für mehr Zuverlässigkeit

Um sicher zu stellen, dass die gesamte Kommunikation auch über die GPRS-Mobilfunknetze und das öffentliche Internet funktionieren, weißt das NOC zwei weitere Besonderheiten auf[7]:

  1. In Richtung Blackberry werden maximal fünf Datenpakete pro User in einer Queue (Warteschlange) gehalten, wenn das Gerät offline bzw. nicht zu erreichen ist. Nach sieben Tagen wird ein Datenpaket verworfen und nicht mehr gesendet.
  2. In Richtung BES werden Pakete maximal sieben Minuten gehalten, sofern dieser offline bzw. nicht zu erreichen ist. Nimmt der Server das Paket nach sieben Minuten nicht ab, so wird es verworfen und das Blackberry-Endnutzergerät informiert.

An dieser Stelle besteht das Risiko, dass potenzielle Angreifer die zwischengespeicherten Pakete ausspähen. Daher schützt RIM das NOC gegenüber dem Internet durch Intrusion-Detection- und Prevention-Systeme, zusätzlich sind die E-Mails aber auch mit AES und Triples DES verschlüsselt[7].

Weitere Informationen über das NOC werden von RIM nicht preis gegeben. Diese strikte Informationspolitik wird auch gegenüber großen Kunden und Partnern eingehalten. Wenn diese detaillierte Informationen wünschen, müssen sie ein Non-Disclosure-Agreement unterzeichnen. RIM begründet diese restriktive Informationspolitik damit, dass man potenziellen Hackern keine Angriffsfläche liefern will. Diese Informationspolitik scheint zu wirken, denn der Chaos Computer Club hat sich bis heute am Londoner NOC die Zähne ausgebissen[7].

3.1.1.5 Verschlüsselung

Die von RIM eingesetzten Verschlüsselungsverfahren gelten nach dem heutigen Stand der Technik als nicht überwindbar. Die Erzeugung der Schlüssel erfolgt anhand des IEEE-Standard P1363 (Standard zur Erstellung von kryptographischen Schlüsseln) mit Hilfe von Zufallswerten. Diese werden wiederrum durch ein initiales Passwort abgesichert[8].

Bei der Übertragung setzt RIM auf eine Verschlüsselung anhand eines symmetrischen Verfahrens. Nur der BES und das Blackberry-Endnutzergerät kennen dabei den Schlüssel, der mittels Enterprise Activation erstellt wurde –also der AES 256 Bit Key eines jeden Users. Jedes Datenpaket (sprich Inhalt des Paketes) wird mit einem zufälligen AES 256 Bit Message Key verschlüsselt. Der User Key verschlüsselt dann wiederum den Message Key. Dann erfolgt der Datenversand an das Blackberry bzw. an den BES. Die Erzeugung der Keys erfolgt beim Blackberry-Endnutzergerät und dem BES unabhängig voneinander. Im nächsten Schritt werden dann die Hash-Werte verglichen[8].

Hier ergeben sich theoretisch zwei Angriffspunkte. Erstens kann der Angreifer in den Besitz der Anmeldedaten gelangen und sich gegenüber dem BES als authorisierter Nutzer ausweisen. Zweitens kann der Angreifer das Unternehmensnetz infiltrieren und die User-Schlüssel aus der SQL-Datenbank entwenden. Damit könnte ein nicht authorisierter Benutzer Zugriff auf sensible Unternehmensdaten erlangen[8].

3.1.2 Blackberry Enterprise Server

entnommen aus RIM HomepageAbb.1: Architektur des BES
entnommen aus RIM Homepage[9]
Abb.1: Architektur des BES


Die Installation der BES erfolgt auf einem internen Unternehmensserver mittels einer Installations-CD für das Windows Betriebssystem, die von einem RIM Alliance Partner zur Verfügung gestellt wird[10]. Nachdem die Software auf einem Unternehmensserver installiert ist, kann der so genannte Push-Dienst genutzt werden. Dieser checkt in regelmäßigen Abständen die Postfächer der Blackberry-Anwender nach neuen Nachrichten. Sofern vorhanden leitet er diese verschlüsselt an das NOC weiter (hierzu ist eine Internetverbindung notwendig).

Die Serverinstallation wird für die drei gängigsten E-Mail-Plattformen bereitgestellt[11]:

  1. Microsoft Exchange
  2. IBM Lotus Domino
  3. Novell Groupwise

Sämtliche Konfigurationen der firmeneigenen BES werden in einer SQL-Datenbank abgespeichert[12].

3.1.3 Blackberry-Endnutzergerät

Den Kunden von RIM steht eine Vielzahl von Endnutzergeräten zur Auswahl, welche sich in der Form und Ausstattung voneinander unterscheiden. Das Angebot umfasst ausschließlich Smartphones (keine anderen Modelle), die neben der Funktion als Telefon eine Vielzahl von weiteren nützlichen Diensten in sich vereinen. So zum Beispiel die E-Mail-Push-Funktion, um Personal Instant Messaging-Daten (kurz PIM-Daten) über die bestehende Blackberry-Infrastruktur auszutauschen[13].

Des weiteren sind standardgemäß in allen Geräten GPS, Bluetooth und ein Multimedia-Kartenschacht verbaut. Unterschiede können in der Art der Mobilfunkübertragung auftreten. So wird zwischen EDGE oder UMTS und der Verfügbarkeit eines WLAN-Moduls unterschieden. Die Auflösung der integrierten Fotokamera unterscheidet sich ebenfalls je nach Modell[13].

Formbedingt erfolgt auch die Auswahl des Tastatur-Typs[13]:

  1. vollständige QWERTZ-Tastatur
  2. Klapp-Mechanismus mit SureType-QWERTZ
  3. Touchscreen-Eingabe

Die Verbindung zum NOC hält das Blackberry-Endnutzergerät über eine Datenverbindung des Mobilfunk-Providers. Über den bereits genannten Push-Dienst des BES werden dem Blackberry die zugewiesenen Datenpakete zur Verfügung gestellt.

Das Betriebssystem Blackberry OS basiert auf Java. Das Programmgerüst (engl. Framework) ist für jegliche Dritt-Anbieter-Software frei anpassbar[14]. Implementiert sind unter anderem die Blackberry eigenen APIs, sowie J2ME[15] und CLDC[16]. Sofern notwendig, kann die Blackberry Push-Mail Funktion auch auf anderen Endgeräten genutzt werden, dazu ist lediglich das Programm "Blackberry Connect" notwendig [17]. Die Nutzung von Drittgeräten findet in der Praxis aber meist keine Anwendung, da die Blackberrys optimal für den Einsatz konfiguriert sind.

Für die weitere Betrachtung der Sicherheitsaspekte haben sowohl die Form als auch die Bedeutung eine untergeordnete Rolle inne. Aufgrund dessen erfolgt keine vertiefte Betrachtung der einzelnen Endnutzergeräte und deren Funktionen.

3.1.4 E-Mail-Server

Die Blackberry-Infrastruktur wird in die bereits bestehende Firmen-Infrastruktur (E-Mail-Plattform des Unternehmens) integriert. Die E-Mail-Plattform (siehe 3.1.2.) an sich ist für die Blackberry-eigenen Sicherheitsmechanismen uninteressant. Der Nachrichtenserver empfängt und speichert nach wie vor alle E-Mail-Nachrichten und stellt diese dem Benutzer-Account zu. Man kann den BES insofern als Leitung betrachten, der die Nachrichten von und zum Blackberry leitet[18].

3.2 Sicherheitsmechanismen und deren Funktionsweise

Weltweit gibt es inzwischen mehr als 50 Millionen Blackberry-Nutzer. Damit ist der Konzern hinter dem finnischen Handyhersteller Nokia die Nummer zwei am Smartphone Markt, dicht gefolgt vom Apple-Konzern[19].

Die immer größere Beliebtheit von Smartphones und der damit einhergehenden ständigen Verfügbarkeit der Nutzer wirft natürlich, vor allem im betrieblichen Bereich, Fragen nach der Sicherheit der Datenübertragung zwischen Smartphone und firmeninternem E-Mail-Server auf.

Auf den ersten Blick unterscheidet sich der von RIM angebotene Blackberry-Dienst nicht von den Push-Diensten anderer Smartphone-Anbieter. Auch hier werden elektronische Nachrichten (E-Mails) eines Unternehmens-Accounts auf ein geeignetes Smartphone weitergeleitet, so dass der Mitarbeiter jederzeit Zugriff auf seine E-Mails hat. Antworten werden direkt über das Smartphone verfasst und über den internen E-Mail-Server an den Empfänger weitergeleitet.

Der wesentliche Unterschied des Blackberry-Dienstes liegt in der Integration in das Smartphone. Heutzutage keine Besonderheit mehr, im privaten Bereich gar nicht mehr weg zu denken. Im beruflichen Sektor sind die Anforderungen an die Sicherheit aber noch um ein vielfaches höher als dies im privaten Sektor je der Fall sein würde. An dieser Stelle setzt RIM an und bietet mit dem Blackberry-Dienst eine um einiges attraktivere und sicherere Komplettlösung, als etwa die Bearbeitung der firmeninternen E-Mails über eine gesicherte Verbindung (Virtual Privat Network-Verbindung) an einem Laptop. Denn eine VPN-Verbindung von außen in ein Firmennetzwerk ist immer ein erhebliches Sicherheitsrisiko, da für eine VPN-Verbindung gewisse Ports in der Firmen-Firewall freigeschaltet sein müssen, über die Hacker dann ggf. Angriffe durchführen können[20] .

RIM bedient sich der öffentlich zugänglichen Mobilfunknetze und lagert den kompletten Datenverkehr auf eben jene Mobilfunknetze aus. So entfällt auch eine umständliche und ggf. fehleranfällige Installation auf dem Laptop des Mitarbeiters. Auch die Synchronisation des Laptops mit dem Firmen-Account, also das aktive Abrufen von E-Mails zur Bearbeitung, entfällt, da das Blackberry durch die Push-Eigenschaft immer den aktuellsten E-Mail Stand parat hat. Sobald eine E-Mail eingeht wird diese an das Blackberry weiter geleitet und verbleibt als Kopie auf dem internen Unternehmensserver. Antwortet der Blackberry-Nutzer so wird die gesendete Nachricht ebenfalls auf dem internen Unternehmensserver hinterlegt. Somit ist ein späterer Abgleich von Smartphone und Unternehmens-Account nicht mehr notwendig[20].

Zur Einrichtung des Blackberry-Dienstes wird der BES verwendet, der im internen Netz der Unternehmung installiert wird. Seine eigentliche Funktion besteht in der Weiterleitung der Nachrichten aus den unternehmensinternen Postfächern an die Mitarbeiter mit einem Blackberry. Ebenso sammelt er die mobil erstellten E-Mails zur Versendung und Archivierung von den angeschlossenen Blackberry-Endgeräten ein. Eine weitere Funktion des BES ist die Aufrechterhaltung einer Internetverbindung zum NOC. Das NOC koordiniert die Weiterleitung der eigentlichen E-Mails über die öffentlich zugänglichen Mobilfunknetze[21].

Die von RIM entwickelte Sicherheitsstruktur umfasst zahlreiche Mechanismen, die im Folgenden dargestellt werden. Es existieren drei wesentliche Bereiche[21]:

  1. Schutz der über die Blackberry-Infrastruktur übertragenden Daten (siehe 3.2.1)
  2. Schutz der im Blackberry gespeicherten Daten (siehe 3.2.2)
  3. Schutz der E-Mail-Infrastruktur im Unternehmen (siehe 3.2.3)

Hier Abbildung von Blackberry-Sicherheitsarchitektur einfügen / Whitepaper

3.2.1 Nachrichtenübermittlung

Der Schutz der Nachrichten, die zwischen dem BES und dem Smartphone ausgetauscht werden, erfolgt auf mehreren Ebenen und berücksichtigt folgende Aspekte[22]:

  1. Schutz vor unbefugter Kenntnisnahme (Vertraulichkeit)
  2. Schutz vor Veränderung (Integrität)
  3. Schutz vor Absenderfälschung (Authentizität)


Konzept Beschreibung Implementierung der Blackberry Enterprise Solution
Vertraulichkeit Sorgt dafür, dass nur der beabsichtigte Empfänger der Nachricht den Inhalt dieser Nachricht anzeigen kann. Verwenden Sie die Verschlüsselung, eine auf Schlüsseln basierende Verschlüsselung von Daten, damit nur der beabsichtigte Empfänger der Nachricht den Inhalt dieser Nachricht anzeigen kann.
Integrität Hiermit kann der Nachrichtenempfänger erkennen, ob die Nachricht während der Übertragung vom Absender zum Empfänger von Dritten bearbeitet wurde.
  • Schützen Sie alle vom Blackberry aus gesendeten Nachrichten mit mindestens einem Nachrichtenschlüssel, der aus Zufallsdaten besteht und dafür sorgt, dass Dritte die Nachricht nicht unbemerkt entschlüsseln oder bearbeiten können.
  • Aktivieren Sie nur den BES und das Blackberry, um den Wert des Hauptverschlüsselungsschlüssels sowie das Format der entschlüsselten und dekomprimierten Nachricht zu erfahren, und um automatisch alle Nachrichten abzulehnen, die mit dem falschen Hauptverschlüsselungsschlüssel verschlüsselt und deshalb bei der Entschlüsselung das falsche Format aufweisen.
Authentizität Ermöglicht dem Nachrichtenempfänger, die Identität des Absenders zu überprüfen und ihm zu vertrauen. Das Blackberry muss sich beim BES authentifizieren und beweisen, dass es den Hauptverschlüsselungsschlüssel kennt, bevor der BES Daten an das Gerät sendet.
In Anlehnung an Research in Motion(2008), S. 6f
Tabelle Nr. 1: Blackberry Enterprise Solution Sicherheit


Im ersten Schritt werden alle Daten auf dem BES bzw. dem Smartphone symmetrisch im CBC-Mode (gemäß FIBS PUB 81) verschlüsselt, wahlweise unter Verwendung von Triple DES (112 bit Schlüssellänge, Default-Einstellung ab Blackberry Version 3.6) oder AES (256 bit Schlüssellänge, Default-Einstellung ab Blackberry Version 4.0). Das Verfahren wird vorab vom unternehmenseigenen Administrator festgelegt. Sollten sowohl Smartphones mit Version 3.x als auch mit Version 4.x im Einsatz sein, können auch beide Verfahren genutzt werden, damit die Internetoperabilität aller bereits verwendeten Smartphones gewährleistet ist[22].

Die Besonderheit liegt darin, dass die Integrität (Veränderung) nicht mittels eines kryptografischen Verfahrens geprüft wird, sondern anhand einer Prüfung der Korrektheit der Struktur eines jeden empfangenen Datenpaketes. Kryptografisch gesehen keine gelungene Lösung, in der Praxis aber ein wirkungsvolles Verfahren um die etwaige Veränderung von Datenpaketen aufzudecken. Versucht ein Angreifer ein verschlüsseltes Datenpaket ohne Kenntnis des Schlüssels zu verändern, so zerstört er mit einer nahezu hundertprozentigen Sicherheit auch die Struktur (Redundanz) der ursprünglichen Daten. Somit wäre die Integrität des Datenpaketes dann nicht mehr gegeben[22].

Weiterhin wird jede Nachricht mit einem zufällig erzeugten Nachrichtenschlüssel (message key) kodiert, der verschlüsselt mitgesendet wird. Die Verschlüsselung des Nachrichtenschlüssels erfolgt anhand eines Masterschlüssels (master encryption key). Der Masterschlüssel wird gleichzeitig mit dem Smartphone des Nutzers eingerichtet. Durch die direkte Synchronisation ist der Schlüssel somit auch auf dem Smartphone verfügbar. Im unternehmenseigenen Mailserver wird der Schlüssel im persönlichen Nachrichtenverzeichnis des Nutzers zugriffsgeschützt abgelegt (ab Version 4.x kann die Erzeugung des Masterschlüssels auch durch einen zentralen Server erfolgen). RIM empfiehlt einen regelmäßigen Wechsel des Masterschlüssels. Voreingestellt ist eine monatliche Neugenerierung des Masterschlüssels durch die Desktop-Software. Die Erstellung erfolgt per Zufallszahlengenerator, den der Nutzer durch die Bewegungen mit der Maus initialisiert[22].

Nachdem die verschlüsselten Daten über das Internet an das NOC weitergegeben wurden, erfolgt die Übergabe an das öffentliche Mobilfunknetz. Der Schutz der Daten über die Funkstrecke des Mobilfunknetzbetreibers erfolgt mit einem der gängigen Mobilfunkprotokolle GSM oder UMTS. Diese Mobilfunkprotokolle enthalten entsprechende Sicherheitsrichtlinien, sofern diese nicht vom Mobilfunkbetreiber deaktiviert worden sind. Das ist in aber der Regel nicht der Fall. UMTS besitzt die stärkeren Sicherheitsmechanismen gegenüber GSM[22].

3.2.2 Blackberry-Endnutzergerät

Ein Smartphone enthält eine Vielzahl von sensiblen Daten, wie E-Mails, Termine und Aufgaben, sowie Memos und Dokumente, die vor Zugriffen von Dritten geschützt werden müssen[23]:

Der Schutz dieser Daten hängt vom verwendeten Smartphone ab und wird von Hersteller zu Hersteller unterschiedlich umgesetzt. Einen gängig implementierten Standard zum Schutz der Daten gibt es jedoch nicht.

RIM setzt auf mehrere Sicherheitsmechanismen um die Daten auf den Blackberry-Endnutzergeräten zu schützen[23]:

  • Passwortschutz mit Passwörtern zwischen vier bis vierzehn Zeichen Länge; Abweisung von schwachen Passwörtern
  • Fehleingabezähler – nach maximal zehn missglückten Passworteingaben werden die Daten des kompletten Smartphones gelöscht
  • Verschlüsselung lokal gespeicherter Daten mit AES (ab Version 4.x; vorher Triple DES)
  • Passwortgeschützter Bildschirmschoner, der nach einem einstellbaren Intervall den Zugang zum Gerät verhindert, indem Tastatur, Bluetooth, USB- und Infrarotschnittstelle gesperrt werden
  • Fernlöschung aller Daten nach Verlust- oder Diebstahlmeldung
  • mehrfaches Überschreiben des Flash-Speichers mit Einsen und Nullen nach erfolgter Datenlöschung
  • Die Sicherheitsfunktionen (Passworteigenschaften, Passwortnutzung, lokale Verschlüsselung) können zentral im BES konfiguriert werden. Von den gespeicherten Passwörtern wird auf dem Smartphone nur der SHA-1-Hashwert gespeichert.

Generell können auf Blackberry-Smartphones auch Java-Applets übertragen und ausgeführt werden. Eine erweiterte API erlaubt neben den Funktionen der J2ME-Spezifikation den Zugriff auf lokale Daten, wie zum Beispiel Telefonbucheinträge. Der Administrator kann in der zentralen Policy die Installation zusätzlicher Software aber auch vollständig unterbinden[23].

3.2.3 E-Mail-Server

Erhält ein Blackberry-Nutzer auf seiner E-Mail eine Nachricht, wird eine Kopie dieser Nachricht an den BES weitergeleitet. Der BES prüft ob die E-Mail den, durch den Empfänger eingestellten, Filtereinstellungen entspricht, wenn ja wird die E-Mail verschlüsselt übertragen, ansonsten wird die Weiterleitung verworfen[23].

In einem Adminaccount auf dem Mailserver werden alle erforderlichen Informationen, wie Benutzername, Verschlüsselungskonfiguration und Authentifikationsschlüssel des Mailservers hinterlegt. Nutzerspezifische Informationen, wie das Smartphone Passwort, der Masterschlüssel oder Filterregeln werden in einem "Hidden Folder" des Benutzers (Microsoft Exchange) gespeichert. Diese Informationen sind durch Zugriffslisten (ACL) geschützt und teilweise auch noch ein weiteres Mal verschlüsselt[23].

3.2.4 Standardprozess der Datenverschlüsselung zur Nachrichtenübermittlung

Wenn ein Blackberry-Nutzer auf eine eingegangene Nachricht antwortet, verwenden sein Blackberry und der BES eine Kryptografie mit symmetrischen Schlüsseln. Im Folgenden ist der Prozess der Verschlüsselung und Entschlüsselung wiedergegeben[24]:

  1. Das Blackberry komprimiert die vom Benutzer verfasste Nachricht.
  2. Das Blackberry verschlüsselt die Nachricht mit einem zufällig erstellten Nachrichtenschlüssel (message key).
  3. Das Blackberry verschlüsselt den Nachrichtenschlüssel (message key) mit dem Masterschlüssel (master encrytion key). Der Masterschlüssel ist für jedes Blackberry eindeutig.
  4. Das Blackberry sendet die verschlüsselte Nachricht inklusive des verschlüsselten Nachrichtenschlüssels im Header an den BES.
  5. BES empfängt die verschlüsselte Nachricht und den verschlüsselten Nachrichtenschlüssel im Header der eigentlichen Nachricht.
  6. BES entschlüsselt den Nachrichtenschlüssel mit dem Masterschlüssel, der auf dem BES hinterlegt ist und der dem Blackberry des Nutzers, der die Nachricht gesendet hat, zuzuordnen ist.
  7. BES entschlüsselt die eigentliche Nachricht mit dem mitgelieferten Nachrichtenschlüssel.
  8. BES dekomprimiert die Nachricht und leitet sie an den angegebenen Empfänger weiter.


Im nächsten Abschnitt wird erläutert, wie ein Blackberry-Nutzer eine Nachricht auf sein Smartphone zugestellt bekommt[24]:

  1. Mitarbeiter X schreibt Mitarbeiter Y eine Nachricht. Mitarbeiter Y befindet sich im Außendienst und erhält die Nachricht auf sein Blackberry weitergeleitet.
  2. BES empfängt die Nachricht vom Mailserver der Unternehmung.
  3. BES komprimiert die empfangene Nachricht.
  4. BES verschlüsselt die Nachricht mit einem zufällig erstellten Nachrichtenschlüssel.
  5. BES verschlüsselt den Nachrichtenschlüssel mit dem Masterschlüssel des Empfängergerätes (Blackberry des Mitarbeiter Y).
  6. BES sendet die verschlüsselte Nachricht inklusive des verschlüsselten Nachrichtenschlüssels im Header an das Blackberry von Mitarbeiter Y.
  7. Blackberry von Mitarbeiter Y empfängt die verschlüsselte Nachricht von Mitarbeiter X inklusive des verschlüsselten Nachrichtenschlüssels.
  8. Das Blackberry von Mitarbeiter Y entschlüsselt den Nachrichtenschlüssel mit seinem Masterschlüssel, der für dieses Smartphone eindeutig ist.
  9. Das Blackberry entschlüsselt die eigentliche Nachricht mit dem Nachrichtenschlüssel.
  10. Das Blackberry dekomprimiert die eigentliche Nachricht, so dass Mitarbeiter Y sie lesen kann.

3.3 Negative Aspekte

3.3.1 Sicherheitsrisiken einer abhörsicheren Verbindung

Gerade in der heutigen Zeit von weltweit vernetzten Unternehmen tritt die (abhör)sichere Kommunikation zwischen zwei Parteien immer stärker in den Vordergrund, beispielsweise bei der Kommunikation zwischen zwei Standorten. So befindet sich die Verwaltung in Deutschland, produziert wird aber in Fernost. Zur schnellen Kommunikation zwischen Verwaltung und Produktion ist deshalb eine abhörsichere Verbindung notwendig, um unternehmensrelevante Entscheidungen schnell weitergeben zu können.

Neben der firmeninternen Kommunikation kommen abhörsichere Verbindungen aber heutzutage auch bei anderen Instanzen zum Einsatz, wie z.B. Regierungen und Privatpersonen (sogar Skype nutzt mittlerweile abhörsichere Verbindungen).

Was dem einen Teil der Gesellschaft zur Verfügung steht, kann man dem anderen Teil nur schwer nicht zugänglich machen. So können sich auch Terrornetzwerke Zugang zu modernen abhörsicheren Technologien verschaffen und es besteht die berechtigte Frage nach dem Pro und Contra einer abhörsicheren Verbindung. Und wie abhörsicher darf eine Verbindung sein? Dürfen Regierungen auf abhörsichere Verbindungen im Verdachtsfall zugreifen?

Aktuell befindet sich das Sicherheitskonzept der Blackberry Enterprise Solution im Fokus der öffentlichen Debatte. Das Sicherheitskonzept der Firma RIM ist so weit ausgereift, dass der Zugriff durch Dritte ausgeschlossen werden kann.

Im folgenden Abschnitt wird die aktuelle Diskussion näher betrachtet.

3.3.2 Aktuelle Diskussion - Verbot von Blackberry-Endnutzergeräten

Im Oktober 2010 wurde vor allem in den Vereinigten Arabischen Emiraten (kurz VAE) diskutiert, ob das Blackberry dort zukünftig noch genutzt werden darf. Diverse Sicherheitsspezialisten der VAE hatten sich näher mit der Sicherheitsarchitektur von RIM beschäftigt und waren zu dem Schluss gekommen, dass ein Abhören durch staatliche Stellen nicht möglich ist, und haben daher ein Verbot der Blackberry-Endnutzergeräte empfohlen. Davon betroffen wären ebenfalls Roamer, d.h. ausländische Blackberry-Nutzer, die sich aktuell in den VAE aufhalten[25].

Ursprünglich hatten die VAE ein Verbot ab dem 11. Oktober 2010 in Betracht gezogen[25].

Inzwischen konnten sich RIM und die VAE jedoch einigen. Die Blackberry-Dienste seien jetzt "im Einklang mit den Rahmenbedingungen für Telekommunikation in den VAE", teilte die Telekom-Regulierungsbehörde der Emirate über die staatliche Nachrichtenagentur WAM mit[26].

Nicht näher ausgeführt wird aber, welche Zugeständnisse RIM an die VAE machen musste, damit der Blackberry-Dienst dort weiterhin genutzt werden darf[26].

Neben den VAE hat auch Indien inzwischen manuell Zugriff auf die Messenger-Daten der Blackberry-Nutzer erwirkt bzw. kann die Daten einsehen, sofern begründeter Verdacht auf Missbrauch besteht. Des weiteren wünscht sich die indische Regierung ab dem 01. Januar 2011 einen vollautomatischen Zugriff auf alle relevanten Messenger-Daten. Bisher gab es aber noch kein Zugeständnis von RIM[26].

Inzwischen hat RIM der indischen Regierung einen ersten Vorschlag unterbreitet - das indische Heimatministerium darf im dortigen Rechenzentrum von RIM eine Abhörlösung installieren. RIM hat noch bis zum 31. Januar 2011 Zeit sich mit der indischen Regierung zu einigen, da sonst ein Verbot des Blackberry-Dienstes in Indien droht. Eine schnelle Einigung ist nicht in Sicht, das indische Heimatministerium wünscht mittels des Abhörsystems NDAS (Network Data Analysis System) einen vollautomatischen Zugriff auf den gesamten Datenstrom. Der BES wurde von RIM aber so konzipiert, das weder RIM noch andere Dritte zu keiner Zeit Zugriff auf die sensiblen Daten der einzelnen Firmen erhalten können. Hintertüren oder Schlupflöcher gibt es laut RIM nicht. Die Blackberry Enterprise Solution kann nicht an die Bedürfnisse einzelner Märkte angepasst werden[27].

Auch in den USA wird an einem Gesetzesentwurf gearbeitet, der Regierungsbehörden die Möglichkeit einräumen soll, Zugriff auf verschlüsselte Services wie RIMs Blackberry-Systeme und den VoIP-Dienst Skype zu erhalten[26].

4 Bewertung

4.1 Zertifizierung

Als ein Marktführer im Bereich Informationssicherheit und -konformität legt RIM großen Wert darauf, von unabhängigen Dritten Zulassungen und Zertifizierungen für die Sicherheit von BlackBerry®-Produkten zu erhalten. Die BlackBerry® Enterprise Solution wurde von der NATO (North Atlantic Treaty Organization) sowie von Regierungsorganisationen in den USA, in Kanada, dem Vereinigten Königreich, Österreich, Australien und Neuseeland für die Speicherung und Übertragung sensibler Daten zugelassen[28].


Gegenwärtig ist RIM außerdem in folgenden Programmen aktiv[29]:

  • Cryptographic Module Validation Program (d. h. Validierungsprogramm FIPS 140-2) in Nordamerika
  • Communications Electronic Security Group Assisted Product Scheme (CAPS) im Vereinigten Königreich
  • Internationales Common Criteria-Bewertungsprogramm
  • Sicherheitsbewertung durch das Fraunhofer-Institut für Sichere Informationstechnologie in Deutschland
  • Coverity Certified-Programm


Des Weiteren wurde die Verwendung der Blackberry Enterprise Solution von folgenden Regierungsbehörden zugelassen[29]:

Nation Organisation Maximale Klassifizierungsstufe
Kanada Communications Security Establishment PROTECTED B
Vereinigtes Königreich Communications Electronic Security Group RESTRICTED
Österreich Center for Secure Information Technology keine Angabe
Australien Defense Signals Directorate RESTRICTED
Neuseeland Government Communications Security Bureau RESTRICTED
In Anlehnung an Research in Motion(2010)[29]
Tabelle Nr. 2: Zulassung für Regierungsbehörden


Neben den o.g. Zertifizierungen hat RIM auch noch diverse andere Zertifikate erhalten, die hier aber nicht näher erläutert werden.

4.2 Übertragung

Die Übertragung der Daten zwischen dem Blackberry und dem BES werden auf verschiedenen Ebenen durch diverse Verschlüsselungsverfahren vor unbefugtem Zugriff geschützt. Die eingesetzten Verschlüsselungsverfahren Triple DES und AES gelten nach heutigen kryptografischen Standards als sicher[30]. Die Verschlüsselung mittels AES liefert für die nächsten Jahrzehnte die Voraussetzung für eine zertifizierte Umgebung. Selbst unter Einsatz der höchstmöglichen Konzentration an Rechenleistung wird es in absehbarer Zeit nicht möglich sein einen 256bit langen Schlüssel zu kompromittieren. Ebenso sind beide Verfahren hinreichend gegen sogenannte Brute Force Attacken abgesichert. Durch die vorherige Kompression der Daten werden eventuelle mögliche Brute Force Attacken noch erschwert.

Eine erfolgreiche Entschlüsselung einer Nachricht würde auch immer nur eben jene eine Nachricht betreffen, da für jede versendete oder empfangene Nachricht ein neuer zufälliger Nachrichtenschlüssel generiert wird. Der erfolgreiche Angriff auf einen Nachrichtenschlüssel ist die Voraussetzung um einen Angriff auf den zur Verschlüsselung des Nachrichtenschlüssels verwendeten Hauptschlüssel durchzuführen[31].

Damit sich ein Angreifer überhaupt in die Datenübertragung einklinken kann, benötigt er entweder Zugang zur Internet-Verbindung der Komponenten oder zur Mobilfunkübertragung. Die Mobilfunkübertragung selbst ist durch die eigenen Sicherheitsprotokolle[32] von GSM und UMTS hinreichend gegen Zugriffe von außen geschützt bzw. erschweren den Zugriff erheblich. Außerdem verwenden die Mobilfunkprovider eigene APNs, d.h. den einzelnen Blackberrys werden keinen öffentlichen IP-Adressen zugewiesen, was es dem Angreifer erschwert das Ziel zu identifizieren.

4.3 Komponenten und deren Architektur

Die Zertifizierung der Blackberry Enterprise-Lösung durch das Frauenhofer Institut für Sichere Informations-Technologie im Jahr 2008 bescheinigt der Firma RIM folgendes[33]:

  1. Sichere Kommunikation zwischen den Hauptkomponenten ist gegeben.
  2. Die Interaktion zwischen den individuellen Komponenten ist sicher.
  3. Die relevanten physischen und logischen Schnittstellen der Endnutzergeräte sind sicher.

Folgende Sicherungsziele sind dabei in besonderem Maße von Bedeutung:

4.3.1 Authentizität

Authentifizierungsmechanismen sind notwendig um eine ungewollte Kommunikation von nicht vertrauensvollen Teilen zu verhindern. Des Weiteren soll eine vertrauensvolle Beziehung zwischen allen an der Kommunikation beteiligten Komponenten ermöglicht werden[33].

Bevor der Austausch sensibler Daten stattfindet, müssen sich alle beteiligten Komponenten ihre Identität gegenseitig erneut bestätigen und überprüfen, um zu verhindern, dass eine Komponente durch einen Angreifer ausgetauscht oder verändert wurde.

Da die BES-Lösung auf unterschiedlichen Systemen bzw. Hosts betrieben wird, ist es zwingend notwendig, dass die einzelnen Services bzw. Komponenten sich immer gegenseitig überprüfen, ob sie auch gerade mit derjenigen Komponente kommunizieren oder ob es sich unter Umständen um eine Fremdkomponente handelt, die von Dritten dem System zugeführt worden ist[24].

Jede Beeinträchtigung oder Übernahme durch betrügerische Komponenten wird nach Möglichkeit unterbunden. Zuerst wird geprüft, ob es sich bei den aktivierten Blackberry-Endnutzergeräten auch nur um jene Smartphones handelt, die gewollt aktiviert worden sind. Im Rahmen des User-Managements ist einer der frühsten Schritte die Zuweisung der entsprechenden Mailbox zum Smartphone des Mitarbeiters.

Das Ausführen von speziellen Aktionen oder APIs von Drittanbietern muss speziell gekennzeichnet werden. Die Kennzeichnung von zulässiger Drittanbieter-Software wiederrum kann nur durch autorisierte und vertrauensvolle Einheiten erfolgen.

4.3.2 Berechtigungskontrolle

Die Blackberry Enterprise-Lösung verfolgt mit der Berechtigungskontrolle drei Hauptziele:

  1. Schutz des Front-End
  2. Schutz des Back-End
  3. Schutz der Systemressourcen

Eine Grundmaxime ist die Einschränkung der Möglichkeiten zur Datensichtung, - änderung und – kopie, durch Nutzer, Administratoren und deren Vertreter. Damit werden parallel die Möglichkeiten eines Angreifers beschränkt, der auf etwaige Komponenten oder Rechte Zugriff erlangt hat.

Über den BES darf es Dritten nicht möglich gemacht werden in die sensible Firmenarchitektur einzudringen. Sämtliche Serverkomponenten müssen durch die Berechtigungskontrolle abgedeckt werden, damit der Zugang zu bestimmten Services oder Netzwerk-Ports der einzelnen Server-Komponenten sowohl ein- wie auch ausgehend streng limitiert ist.

Die von der IT-Policy vorgegebenen Funktionen dürfen durch die Nutzer nicht herabgesetzt werden, eine Stärkung der Policy hingegen ist nach oben hin uneingeschränkt offen. Die Erstellung von Backups darf nur autorisierten Personen erlaubt sein. Gleiches gilt für Veränderungen am Blackberry OS oder anderer installierter Software.

4.3.3 Vertraulichkeit

Außenstehenden muss die Möglichkeit verwehrt bleiben, Einblicke in die Blackberry-Sicherheitsarchitektur zu erhalten. Dies bezieht sich auf jegliche Art des Datenaustausches während der Laufzeit des Systems, sowie auf alle abgelegten Daten auf dem BES und dem Blackberry-Endnutzergerät.

Die eingesetzten kryptografischen Algorithmen zur Schlüssel-Generierung, Verschlüsselung und zum Datenaustausch müssen einwandfrei implementiert sein, um dem Standard zu genügen. Jeder einzelne Schlüssel muss einen zuverlässigen Lebenszyklus zugrunde liegen haben und darf nicht kompromittierbar sein. Dritte dürfen keinen Zugriff auf die hinterlegten Schlüssel erhalten, ohne dass sie dafür einen hohen Aufwand und Kosteneinsatz betreiben müssen.

Weder RIM noch Dritte dürfen durch versteckte Funktionen oder Backdoors Zugriff auf die nutzerbezogenen Daten erhalten. Zu keiner Zeit darf es RIM oder Dritten möglich sein, Zugriff auf die eingerichteten Schlüssel zu erlangen. Deshalb scheiden optionale Verschlüsselungsverfahren wie SecureMulti Purpose Mail Extension(kurz S/MIME) und Pretty Good Privacy (kurz PGP) aus.

4.3.4 Integrität

Eine vollständige Manipulation der Daten kann nicht ausgeschlossen werden, da ein Teil der Übertragung über öffentliche Netze stattfindet (GSM / UMTS, Internet). Aufgrund dessen muss es möglich sein, lückenlos nachvollziehen zu können, wer wann auf die Daten zugreift und diese ggf. verändert, dies gilt für alle Übertragungsebenen und alle Schnittstellen. Eine Überbrückung des eigentlichen Kommunikationsweges darf nicht möglich sein, ohne dass das System davon in Kenntnis gesetzt wird, inbegriffen sind auch Änderungen durch Dritte oder RIM selbst. Ein Zugriff und die damit einhergehende Veränderung von nutzerbezogenen Daten dürfen nicht durchführbar sein. Werden nutzerbezogene Daten verändert, so muss der eigentliche Nutzer, der davon betroffen ist, durch Nachricht davon in Kenntnis gesetzt werden.

Sofern die Integrität verletzt worden ist, werden weitere Maßnahmen, wie beispielsweise eine komplette Datenlöschung des Gerätes, durchgeführt.

4.3.5 Verfügbarkeit

Eine Attacke auf die Verfügbarkeit der Blackberry-Infrastruktur darf nicht mit weniger Mitteln durchführbar sein, als es bei anderen Internet-Komponenten der Fall wäre. Sollte ein Verbindungsverlust auftreten, so muss dieser automatisch wieder hergestellt werden. Das gleiche gilt für alle Verbindungen zwischen den einzelnen Komponenten der Blackberry-Infrastruktur. Es muss Angreifern verwehrt bleiben, die Server Administrations-Schnittstelle unerreichbar zu machen.

Gezielte Angriffe (Datenüberflutung o.ä.) dürfen nicht erfolgreich sein, die Systemkomponenten sind dazu durch Standardmechanismen abgesichert. Dies schließt auch einfachste DOS-Angriffe ein.

Das Blackberry muss auch dann noch verfügbar sein, wenn der Nutzer es extrem beansprucht, d.h. mehrere Anwendungen gleichzeitig parallel in Benutzung sind. Das grafische User-Interface muss für den Endgeräte-Nutzer zu jeder Zeit erreichbar sein und darf keinen Verzögerungen zum Opfer fallen. Die Firmware darf durch Überbeanspruchung nicht daran gehindert werden, ihre Kommunikations-Schnittstellen anzusprechen und zu nutzen.

5 Ausblick

5.1 Kritische Betrachtung

Die Firma RIM kann von sich behaupten eine sichere Lösung für den Versand und Empfang von E-Mails entwickelt zu haben. Zahlreiche Zertifizierungen zeugen von der Qualität der entwickelten Lösung. Die Datensicherheit geht sogar so weit, dass zu keiner Zeit ein Mitarbeiter von RIM oder sonstige Dritte Zugriff auf die verschlüsselten Daten haben.

Die ständige Erreichbarkeit ein Muss für jeden Außendienstmitarbeiter. RIM liefert dafür eine sichere Komplettlösung, die am Markt ein Alleinstellungsmerkmal ist.

In Hinblick auf die aktuelle Diskussion der Datensicherheit wird es interessant sein zu verfolgen, wie weit RIM bereit ist zu gehen um die Datensicherheit weiterhin lückenlos zu gewährleisten. Ersten Forderungen durch Staaten hat RIM bereits statt gegegeben und diesen teilweise Zugriff auf die ansonsten sicheren Daten gewährt. Somit bleibt es spannend in welche Richtung sich die Firmenpolitik von RIM entwickeln wird.

5.2 Zukunftsaussichten

In Zeiten der weltweit vernetzten Märkte wird es von Tag zu Tag wichtiger seine Mitarbeiter permanent erreichbar zu wissen. Der sichere Austausch von Daten (E-Mails etc.) gewinnt somit immer mehr an Bedeutung.

Daraus lässt sich schließen, dass der Bedarf an sicheren mobilen Kommunikationsmöglichkeiten auch in Zukunft weiter zunehmen wird und RIM seine Position am Markt weiter ausbaut und festigt.

6 Fazit

Die Vielzahl an Zertifikaten belegt RIM ein sicheres Konzept für den mobilen Datenverkehr.

In der Öffentlichkeit sind weitestgehend keine gravierenden Sicherheitslücken bekannt. Das spricht für die Sicherheit des Gesamtkonzepts der Blackberry Enterprise Solution. Auch Angriffsversuche auf das Londoner NOC durch den Chaos Computer Club sind bis heute erfolglos geblieben.

Verwundbare Stellen im System sind Schnittstellen zum öffentlichen Mobilfunknetz, die genutzt werden können, um Zugriff auf sensible Daten zu erlangen. Hier kann RIM keine eigenen Sicherheitsstandards implementieren, da die Mobilfunknetze durch die öffentlichen Betreiber verwaltet werden.

Nach wie vor bleibt das Restrisiko durch den Menschen, der durch unsachgemäße Handhabung seines Blackberrys die sichere Serverarchitektur gefährden kann, z.B. wenn er Passwörter notiert.

7 Abkürzungsverzeichnis

AbkürzungBedeutung
RIMResearch in Motion
PDAPersonal Digital Assistant
BESBlackberry Enterprise Server
AESAdvanced Encryption Standard
NOCNetwork Operation Center
IANAInternet Assigned Numbers Authority
APNAccess Point Name
SRPIDServer Routing Protocol Identifier
PINPersonal Identification Number
Triple DESTriple Data Encryption Standard
S/MIMESecureMulti Purpose Mail Extension
PGPPretty Good Privacy
VAEVereinigte Arabische Emirate

8 Abbildungsverzeichnis

Abbildung Nr.Bezeichnung
1Architektur des BES

9 Tabellenverzeichnis

Tabelle Nr.Bezeichnung
1Blackberry Enterprise Solution Sicherheit
2Zulassung für Regierungsbehörden

10 Fußnoten

  1. 1,0 1,1 1,2 1,3 vgl. Kundendienst Info Homepage http://kundendienst-info.de/blackberry-service/ (05.12.2010, 18:45 Uhr)
  2. 2,0 2,1 2,2 2,3 2,4 2,5 vgl. Search Security Homepage http://www.searchsecurity.de/themenbereiche/netzwerksicherheit/wireless-security/articles/153255/index2.html (23.11.2010, 19:20 Uhr)
  3. vgl. Computerwoche Homepage http://www.computerwoche.de/subnet/blackberry/2349503/index3.html (15.11.2010, 17:15 Uhr)
  4. 4,0 4,1 4,2 4,3 vgl. Computerwoche Homepage http://www.computerwoche.de/netzwerke/mobile-wireless/597638/index2.html (20.11.2010, 16:10 Uhr)
  5. 5,0 5,1 5,2 vgl. Computerwoche Homepage http://www.computerwoche.de/netzwerke/mobile-wireless/597638/index3.html (20.11.2010, 16:35 Uhr)
  6. 6,0 6,1 6,2 vgl. Computerwoche Homepage http://www.computerwoche.de/netzwerke/mobile-wireless/597638/index4.html (20.11.2010, 16:55 Uhr)
  7. 7,0 7,1 7,2 vgl. Computerwoche Homepage http://www.computerwoche.de/netzwerke/mobile-wireless/597638/index5.html (21.11.2010, 11:00 Uhr)
  8. 8,0 8,1 8,2 vgl. Computerwoche Homepage http://www.computerwoche.de/netzwerke/mobile-wireless/597638/index6.html (21.11.2010, 13:00 Uhr)
  9. vgl. RIM Homepage http://us.blackberry.com/ataglance/security/features.jsp (18.12.2010, 20.15 Uhr)
  10. vgl. RIM Homepage http://us.blackberry.com/partners/ (27.11.2010, 18:00 Uhr)
  11. vgl. RIM Homepage http://de.blackberry.com/services/business/server/full/ (27.11.2010, 18:30 Uhr)
  12. vgl. RIM Homepage http://docs.blackberry.com/en/admin/deliverables/18811/Configuring_the_BES_databases_connection_868247_11.jsp (27.11.2010, 18:40 Uhr)
  13. 13,0 13,1 13,2 vgl. RIM Homepage http://de.blackberry.com/devices/ (28.11.2010, 20:20 Uhr)
  14. vgl. RIM Homepage http://docs.blackberry.com/de-de/developers/deliverables/9976/Understanding_BB_and_programming_for_BB_devices_446956_11.jsp (28.11.2010, 20:40 Uhr)
  15. vgl. Oracle Homepage http://java.sun.com/products/midp (28.11.2010, 20:50 Uhr)
  16. vgl. Oracle Homepage http://java.sun.com/products/cldc (28.11.2010, 20:50 Uhr)
  17. vgl. RIM Homepage http://de.blackberry.com/ataglance/connect/ (28.11.2010, 21:15 Uhr)
  18. RIM Homepage http://de.blackberry.com/services/business/features.jsp (28.11.2010, 21:30 Uhr)
  19. vgl. Manager Magazin Homepage http://www.manager-magazin.de/unternehmen/artikel/0,2828,717972,00.html (28.11.2010, 18:45 Uhr)
  20. 20,0 20,1 vgl. Dirk Fox (2005), S. 4f
  21. 21,0 21,1 vgl. Dirk Fox (2005), S. 5
  22. 22,0 22,1 22,2 22,3 22,4 vgl. Dirk Fox (2005), S. 6
  23. 23,0 23,1 23,2 23,3 23,4 vgl. Dirk Fox (2005), S. 7
  24. 24,0 24,1 24,2 vgl. Research in Motion (2008)
  25. 25,0 25,1 vgl. ZDNet Homepage http://www.zdnet.de/sicherheit_red_alert_blog_golfemirate_blackberry_verbot_wegen_zu_hoher_sicherheit_story-39002400-41535661-1.htm (07.12.2010, 22:50 Uhr)
  26. 26,0 26,1 26,2 26,3 vgl. ZDNet Homepage http://www.zdnet.de/news/mobile_wirtschaft_vereinigte_arabische_emirate_verzichten_auf_blackberry_sperre_story-39002365-41538890-1.htm (07.12.2010, 22:55 Uhr)
  27. vgl. Golem Homepage http://www.golem.de/1012/80393.html (09.01.2011, 16:45 Uhr)
  28. vgl. RIM Homepage http://de.blackberry.com/ataglance/security/certifications.jsp (04.12.2010, 16:15 Uhr)
  29. 29,0 29,1 29,2 vgl. RIM Homepage http://de.blackberry.com/ataglance/security/certifications.jsp (04.12.2010, 16:20 Uhr)
  30. vgl. Claudia Eckert (2007), S.327
  31. vgl. Dirk Fox (2005), S. 8
  32. vgl. GSM World Homepage, http://www.gsmworld.com/technology/index.htm (07.12.2010 21:40 Uhr)
  33. 33,0 33,1 vgl. Frauenhofer SIT (2008)

11 Literatur- und Quellenverzeichnis

Claudia Eckert (2007): IT-Sicherheit: Konzepte - Verfahren - Protokolle (Oldenbourger Wissenschaftsverlag), http://books.google.de/books?id=akxvOu7pY40C&lpg=PA984&ots=-DlvNSp4Qd&dq=claudia%20eckert%20it-sicherheit&pg=PA984#v=onepage&q&f=false (05.12.2010, 23:15 Uhr)
Dirk Fox (2005): Blackberry Security Secorvo Whitepaper - Das Sicherheitskonzept des E-Mail-Push-Diensts Blackberry, http://www.secorvo.de/publikationen/secorvo-wp12.pdf (01.12.2010, 16:15 Uhr)
Research in Motion (2008): Blackberry Enterprise Solution - Technischer Überblick - Sicherheit, http://www.blackberry.com/knowledgecenterpublic/livelink.exe/fetch/2000/7979/1181974/1181896/1181898/1441053/1441187/BlackBerry_Enterprise_Solution_-_Sicherheit_Technischer_%DCberblick.pdf?nodeid=1441054&vernum=0 (07.12.2010, 22:10 Uhr)
Frauenhofer SIT (2008): Frauenhofer Institut Sichere Informations-Technologie (Hrsg.), http://testlab.sit.fraunhofer.de/downloads/certificates/Certification_Report-06-104302.pdf (03.12.2010, 18:50 Uhr)
Von „http://winfwiki.wi-fom.de/index.php/Das_Sicherheitskonzept_von_Blackberry-Endnutzerger%C3%A4ten_in_Hinblick_auf_sicheren_E-Mail-Datenverkehr
Persönliche Werkzeuge