Blackberries Sicherheits-Architektur
Kaum ein Gadget erzielte in der Managerszene einen vergleichbaren Erfolg wie der Blackberry PDA. Es mehren sich jedoch die Zweifel, ob die damit übertragenen, sensiblen Daten wirklich sicher vor unerwünschten Mitlesern sind.
- Michael Schmidt
Zunächst einmal handelt es sich beim Blackberry nicht um ein einzelnes Modell, sondern um eine Serie von PDAs mit variierenden Ausstattungsmerkmalen. Gemeinsam ist ihnen das Betriebssystem und die PDA-typische Anwendungssoftware sowie die Möglichkeit, per Mobilfunk auf das Internet zuzugreifen. Der Blackberry - der Singular steht von nun an für alle Geräte dieser Familie - besitzt PDA-typische Sicherheitsmerkmale wie einen Bildschirmschoner mit Passwortschutz und die Möglichkeit, lokal gespeicherte Daten zu verschlüsseln. Eine relativ ausführliche Übersicht über die Blackberry-Sicherheitsmerkmale findet sich in RIMs Whitepaper 'Blackberry Security' [1]. Analysiert wurden sie in einer Studie des österreichischen 'Zentrum für sichere Informationstechnologie' im Auftrag des österreichischen Bundeskanzleramts [2]. Diese attestiert dem Gerät ein respektables Sicherheitsniveau, sofern einige administrative Einschränkungen beachtet werden.
Briefschieber
Interessanter wird es, wenn man sich das ursprüngliche Alleinstellungsmerkmal des Blackberry genauer betrachtet, nämlich dessen E-Mail-Push-Dienst. Er ermöglicht das proaktive Schieben von E-Mails vom Firmen-E-Mail-Server auf das Blackberry-Endgerät per Mobilfunk. Das häufig teure Polling des E-Mail-Accounts via POP entfällt also. Zudem können nicht nur E-Mails, sondern auch noch weitere Daten - etwa aus Datenbanken - auf den Handheld gepusht werden. Dazu ist es erforderlich, neben dem Firmen-E-Mail-Server einen weiteren Server, nämlich den 'Blackberry Enterprise Server' (BES) aufzustellen, der das Pushen der Nachrichten ins Mobilfunknetz übernimmt. Die folgende Grafik zeigt die Architektur des Blackberry-Push-Dienstes:
Mobilfunk auf den Blackberry. Der Datenverkehr
zwischen BES und Handheld ist hierbei auf jeden Fall
verschlüsselt.
Wie aus der Grafik ersichtlich, werden alle Nachrichten zwischen BES und Handheld mit Triple-DES (112 Bit) oder AES (bei der aktuellen Version 256 Bit) verschlüsselt. Zumindest AES mit 256 Bit entspricht dem aktuellen Stand der Technik und lässt sich nach allgemeiner Einschätzung von Krypto-Eperten derzeit nicht knacken.
Zusätzlich zur Verschlüsselung findet eine Integritätsüberprüfung und Authentifizierung der Nachricht statt. Das Schlüsselmanagement beruht auf einem Master-Schlüssel, der im BES erzeugt und zum Handheld übertragen wird, sofern eine drahtgebundene Verbindung zwische BES und Handheld besteht, der Handheld also in seinem Cradle steckt. Existiert keine solche Verbindung, kann man den gleichen Master-Schlüsssel über ein Passwort auch mehrfach auf verschiedenen Geräten erstellen. Das Passwort ist dazu sowohl in BES als auch in den Handheld einzugeben.
Jede Nachricht wird mit einem individuellen Nachrichtenschlüssel kodiert, der sich - mit dem Master-Schlüssel verschlüsselt - am Ende der Nachricht findet. Somit übertragen BES und Handheld keine unverschlüsselten Nachrichten. Handelt es sich bei den übertragenen Nachrichten nicht um E-Mails, so kann zusätzlich noch die Strecke zwischen BES und Applikationsserver mit HTTPS (SSL/TLS) verschlüsselt oder eine zusätzliche Ende-zu-Ende-Verschlüsselung über die Gesamtstrecke zwischen Applikationsserver und Handheld gelegt werden. Letztere Option ist nur verfügbar, wenn der Web-Browser im Handheld Java unterstützt, was erst in neueren Versionen der Fall ist.
