Fraunhofer SIT präsentiert erste Ergebnisse der BlackBerry-Studie

Das Darmstädter Fraunhofer-Institut für Sichere Informationstechnologie (SIT) analysiert im Auftrag von Research in Motion (RIM) die Sicherheit der mobilen Kommunikationslösung BlackBerry mit dem Ziel einer Testierung der Sicherheitseigenschaften. Anlässlich der IDC Security Konferenz in Frankfurt präsentierte Markus Schumacher vom SIT die Untersuchungsmethode sowie die Ergebnisse der ersten Phase des dreigliedrigen Projektes:

1. Im ersten Teilprojekt wird die Kommunikation zwischen BlackBerry-Endgerät und und BlackBerry Enterprise Server untersucht. Dabei werden die verwendeten kryptografischen Verfahren, die Sicherheit des Schlüsselaustauschs, Zugriffsschutz und Authentifikation sowie der Schutz gegen Manipulation geprüft.
2. Das zweite Teilprojekt untersucht den BlackBerry Enterprise Server mit Anbindung an Microsoft Exchange. Hier sollen die Schlüsselerzeugung sowie die Sicherheit von Schnittstellen, Protokollebene und Umgebung getestet werden.
3. Das dritte Teilprojekt prüft das Endgerät selbst. Dabei geht es um den Schutz der gespeicherten Inhalte, die Anwendungssicherheit, die Schlüsselerzeugung auf Endgeräteseite sowie den Schutz gegen Angriffe auf Netzwerkebene.

Erst nach der dritten Phase wird das SIT der BlackBerry-Kommunikationslösung ein Testat erteilen, wenn das geforderte Sicherheitsniveau in allen Bereichen erreicht wird, und zusätzlich zwei Whitepaper über die Sicherheit des BlackBerry-Endgerätes und den Einsatz des Blackberry Enterprise Server veröffentlichen.

Mit dem Abschluss des ersten Teilprojektes hat das SIT bisher noch kein Whitepaper veröffentlicht, sodass man erste Ergebnisse nur aus der IDC-Präsentation sowie einem Corporate Statement (PDF-Datei) von RIM entnehmen kann. Das SIT stellt fest: "So far we have found no buffer overflow vulnerabilities, no possibility to read encrypted mail communication and could not gain knowledge about long- and short-term secrets transmitted during key-exchange procedures." Mit anderen Worten hat das SIT trotz sorgfältiger Suche keine Schwachstellen in diesen Bereichen finden können.

Dennoch sprechen die Tester eine Reihe von Empfehlungen aus. Von RIM fordern sie einen besseren Schutz gegen Denial-of-Service-Attacken am Gerät, einen Schlüsselschutz bei drahtgebundener Aktivierung sowie eine Optimierung der SRP-Authentisierung. Dem Kunden empfiehlt das SIT die Verwendung der AES-Verschlüsselung, die Verwendung erweiterter IT-Policies und die Installation zukünftiger Updates. Darüber hinaus sollten Kunden die Blackberry Enterprise Server nach Funktionen aufteilen (etwa MDS, Attachment Server); die Wissenschaftler empfehlen auch die Unterteilung des Intranets in unterschiedliche Sicherheitszonen.

Nach aktueller Einschätzung des SIT bietet die BlackBerry-Kommunikationslösung eine gute Sicherheit für allgemeinen Einsatz in Unternehmen und Organisationen, die jedoch auch durch andere Faktoren bestimmt wird. Als Beispiele nennt das Institut ein sicheres Netzwerk-Setup, eine Serverhärtung sowie Admin- und Benutzerverhalten. Bei einem erhöhten Sicherheitsbedarf empfiehlt das SIT eine zusätzliche Ende-zu-Ende-Sicherheit, etwa eine E-Mail-Verschlüsselung mit S/MIME oder PGP, eine lokale Verschlüsselung auf dem Endgerät sowie die Durchsetzung der Security-Policies und strikte Vorgaben für die Endgerätefunktionen. (vowe)