BlackBerry-CSO Kleidermacher: "Unternehmen verlieren den Kampf um die Sicherheit"
Auf dem BlackBerry Security Summit in New York forderte David Kleidermacher ein Umdenken vom Patch-Management hin zu sicherer Software. Die Industrie müsse aus dem reaktiven Modus in einen proaktiven wechseln.
(Bild: Volker Weber/heise online)
Auf dem zweiten BlackBerry Security Summit positionierte sich BlackBerry erneut als Anbieter sicherer Software, Infrastruktur und Geräte. CEO John Chen stellt das Unternehmen neu auf. Im ersten Schritt habe das neue Management erst einmal die Blutung gestoppt und BlackBerry wieder auf finanziell gesunde Füße gestellt. Nun gelte es, aus dieser Position heraus neue Produkte zu entwickeln und neue Märkte zu erschließen. BlackBerry konzentriert sich dabei auf das B2B-Segment (Business-to-business) und dabei insbesondere auf die sogenannten regulierten Bereiche wie das Gesundheitswesen, den Finanz- und Versicherungsbereich, sowie die öffentliche Hand.
Nichts Neues zu den Smartphones
Die BlackBerry-Smartphones sind dabei sowohl Belastung als auch ein Pfund, mit dem das Unternehmen wuchern kann. Einerseits sinkt die Marktbedeutung der Geräte stetig, andererseits sind sie Ausweis der Erfahrung, die BlackBerry bei der Entwicklung und dem Betrieb sicherer Geräte und Infrastruktur erworben hat. Zur Zukunft dieser Smartphones gab es keine Neuigkeiten, weder wollte sich BlackBerry zu möglichen Android-Geräten äußern, noch die schwachen Absatzzahlen kommentieren.
(Bild: Volker Weber/heise online)
Das Unternehmen müsse Geld verdienen, und das gelte auch für die Smartphones, so wiederholten Unternehmensvertreter die Ausrichtung, die CEO John Chen bereits mehrfach dargestellt hat. Man wird sich seine eigenen Gedanken machen müssen, was das heißt. Das Sicherheitsportfolio hat BlackBerry durch mehrere Zukäufe ausgebaut. Vor genau einem Jahr wurde die Übernahme des deutschen Anbieters Secusmart angekündigt. Zwischenzeitlich hatten die Kanadier ein britisches Unternehmen aufgekauft, das eine virtuelle SIM anbietet, mit der Mobilfunkanbieter auf einer physischen SIM-Karte mehrere Telefonnummern und getrennte Abrechnungen für Daten und Sprache anbieten können. Unternehmen können damit nicht nur die Privatnutzung von Smartphones besser abgrenzen sondern auch die Datenverbindungen unterschiedlich konfigurieren und damit besser trennen. Mit WatchDox übernahm BlackBerry einen Anbieter einer Plattform für das sichere Teilen von Dokumenten.
Gefahren für Daten
Tim Choi, Vice President of Product Management, stellte erneut dar, wie viele Daten mittlerweile unstrukturiert in Dateien abgelegt werden, und dass diesen Dateien eine eigene Entropie haben. Dateien wollen raus, meinte Choi. Wenn man Mitarbeiter aussperre und ihnen das kontrollierte Teilen von Dokumenten verwehre, dann werden sie eine eigenen Lösung in Form von privaten Cloudspeichern nutze. Gerade im Gesundheitsbereich sei es jedoch oft notwendig, sehr schützenswerte Daten wie Diagnosen oder Röntgenbilder zwischen behandelnden Ärzten zu teilen, ohne dass die Kontrolle über diese Daten verloren gehe.
Einen Tag vor dem Security Summit hatte BlackBerry die geplante Übernahme von AtHoc gemeldet, die noch von der Zustimmung der Aufsichtsbehörden abhängt. AtHoc bietet eine sichere Krisenkommunikation, die vor allem im US-Markt weitverbreitet ist. International ist AtHoc bisher kaum aufgetreten. BlackBerry plant AtHoc mit BBM zu verheiraten, und diese Plattform in Zukunft als Infrastruktur zu verwenden. Das größte Potential als Anbieter sicherer Lösungen sieht der neue Sicherheitschef (CSO) von BlackBerry David Kleidermacher beim sogenannten Internet of Things, also der zunehmenden Vernetzung alltäglicher Gegenstände.
Sicherheit neu denken
Kleidermacher ist ausgewiesener Experte für die Sicherheit von Embedded Systems. Er hat eines der Standardwerke zu diesem Thema verfasst. Kleidermacher ist von Green Hills Software zu BlackBerry gewechselt. Dort war er für die Entwicklung des RTOS Integrity verantwortlich und erreichte damit die NSA-Zertifizierung "EAL6+ High Robustness Common Criteria SKPP", das höchste je von einem Betriebssystem erreichte Zertifizierunglevel. Kleidermacher setzt sich für die Einführung überprüfbarer Sicherheitsstandards ein.
Bisher kann jeder Hersteller ungeprüfte Aussagen über die Wirksamkeit der Softwaresicherheit machen und der Käufer müsse dem Hersteller vertrauen. Er vergleicht die Situation mit dem Aufkommen von Snake Oil als Allheilmittel für alle Krankheiten. Das sei heute nicht mehr möglich, weil das Gesundheitswesen reguliert sei und man in der klassischen Medizin nicht einfach behaupten dürfe, dass ein bestimmtes Medikament auch tatsächlich heilt, ohne dies nachzuweisen.
Kleidermacher spricht sich dafür aus, die Komplexität sicherheitsrelevanter Komponenten zu reduzieren und die Sicherheit dieser Bausteine auch nachzuweisen. "Die Unternehmen verlieren den Kampf um die Sicherheit ihrer Daten und sie brauchen einfach bessere Lösungen. Wir müssen aus dem reaktiven Modus, Software nachträglich zu patchen heraus." (mho)
