Sicherheit beim Blackberry-PDA

Die Gerüchte um gravierende Sicherheitslücken im E-Mail-PDA Blackberry sind wohl unter anderem auf Fehlinterpretationen einer nicht für die Veröffentlichung bestimmten, internen Studie des BSI zurückzuführen.

In Pocket speichern vorlesen Druckansicht 45 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die Gerüchte um gravierende Sicherheitslücken im E-Mail-PDA Blackberry, die Anfang Oktober auf Grund eines Artikels der Wirtschaftswoche auftauchten, sind wohl auf eine Indiskretion beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und Fehlinterpretationen zurückzuführen. In einer nicht für die Veröffentlichung bestimmten, internen Studie habe sich das BSI zwar mit Blackberry beschäftigt. "Grundsätzlich empfiehlt das BSI aber nur geprüfte Systeme und solche, in die sich eigene Kryptoalgorithmen einbinden lassen", erklärte Michael Dickopf, Sprecher des BSI, gegenüber heise Security.

So erlaubt beispielsweise die für den Einsatzbereich "Streng Geheim" zugelassene Hochsicherheitslösung SINA-VPN die Verwendung des nicht offengelegten Verschlüsselungsverfahrens Libelle. Unter anderen nutzen die deutschen Botschaften diesen Algorithmus zur sichereren Kommunikation. Blackberry hingegen bietet nur 3DES und AES an und ist daher nach Meinung des BSI für solche Einsätze ungeeignet.

Wer allerdings AES für sicher hält -- neben den meisten Anwendern ist das auch das Gros der international bekannten Sicherheitsexperten -- kann darauf beruhende Lösungen getrost weiterhin einsetzen. Das sieht der Hersteller der Blackberry-PDA-Lösungen (Research in Motion) in seiner Stellungnahme ähnlich. Alle Daten, die über den Blackberry Enterprise Server -- der in Unternehmen lokal installiert ist -- laufen, würden mit 3DES beziehungsweise AES verschlüsselt. Es existiere kein Generalschlüssel, und der zur Entschlüsselung notwendige private Schlüssel verbleibe ausschließlich in der Umgebung der Kunden -- also dem Handheld-Gerät des Anwenders und dem Enterprise-Server innerhalb der Unternehmens-IT. Es gäbe keinen Mechanismus, den privaten Schlüssel vom Blackberry Enterprise Server zu erlangen. Somit könne RIM die Daten der Kunden nicht mitlesen.

Selbst wenn britische Sicherheitsbehörden in den Besitz einer verschlüsselten Nachricht gelangten und RIM gemäß des RIP Act zur Offenlegung des Schlüssels aufforderten, könne das Unternehmen dem nicht nachkommen. Besorgte Kunden sollten sich an Research in Motion wenden: Der Blackberry-Produzent ist bereit, die Sicherheitsarchitektur detailliert mit ihnen zu besprechen.

Ähnlichen Vorwürfen zu Spionagelücken in Blackberry, die sich später als haltlos erwiesen, sah sich RIM bereits im Juni dieses Jahres ausgesetzt. Damals berichtete die Computerwoche über einen angeblichen Rausschmiß von Blackberry bei Audi.

Details der Blackberry-Sicherheitsarchitektur analysiert ein Hintergrundartikel auf heise Security: (dab)