Mit Sicherheit

by Volker Weber

Die WirtschaftsWoche treibt eine alte Sau durch's Dorf, diesmal aufgeweckt durch eine interne Studie des BSI: Sicherheitslücken beim Blackberry. Heise security steigt ein, Spiegel Online auch.

Ich mag nicht so recht beurteilen, inwieweit man sich durch ein Rechenzentrum, das nicht auf teutschem Poden steht, mehr den Geheimdiensten ausliefert als InDULa. Was mich aber sehr wundert ist: Die allermeisten E-Mails (five nines) in meiner Inbox sind unverschlüsselt. Die halbe Exchange-Kundschaft, die wegen Sicherheitsbedenken keinen externen Zugriff auf ihre 5.5er-Landschaft erlauben kann, leitet die Eingangspost nach GMX und Konsorten. In jeder Flughafenwartehalle sitzen Manager, die ihre Post völlig unverschlüsselt mit Klartext-Passwort von ihrer POP-Box über offenes WLAN abholen.

Der Blackberry hat womöglich Sicherheitslücken. Das impliziert, dass es neben den Lücken noch was gibt, von dem Otto Normalmailer allenfalls mal gehört hat: Sicherheit.

Update: Mittlerweile liegt eine Stellungnahme von RIM vor:

05. Oktober 2005
Corporate Statement

Am 5. Oktober 2005 veröffentlichte Wirtschaftswoche online einen Artikel, der sich mit der Sicherheit der BlackBerry Architektur und der Eignung von BlackBerry für die Nutzung in sicherheitsempfindlichen Bereichen öffentlicher Verwaltungen sowie in spionagegefährdeten Unternehmen befasst.

Research In Motion (RIM) möchte seinen Kunden mitteilen, dass die Schlussfolgerungen, die in diesem Artikel gezogen werden, auf einem kompletten Mangel an Kenntnis vom RIMs Sicherheits-Architektur und -Infrastruktur beruhen.

Die wesentlichen Punkte der Spekulation des Artikels beziehen sich auf ein theoretisches Sicherheitsrisiko durch die Anwendung des RIP Act und den Standort unseres Network Operating Centre in Egham. Diese Behauptungen enthalten fehlerhafte und ungenaue Informationen.

Der Artikel stellt fest, dass örtliche britische Sicherheitsbehörden unter bestimmten Bedingungen Gesetze anwenden können (dies bezieht sich auf den RIP Act), um auf alle Informationen zugreifen zu können, die über RIMs englische Infrastruktur geleitet werden.

Dem Artikel zufolge würde dies englische Geheimdienstorganisationen in die Lage versetzen, Industriespionage zu begehen. Diese Theorie gründet jedoch auf falschen Annahmen, wie es in der Folge erklärt wird:

  1. RIM speichert die Anwender-Daten, die über das Network Operating Centre (NOC) übertragen wurden, nicht. Die BlackBerry-Infrastruktur routet Datenpakete, ohne sie zu speichern.
  2. Ungeachtet dem ersten Punkt, sind alle über den hinter der Firewall installierten BlackBerry Enterprise Server übertragenen Daten entweder 3DES oder AES verschlüsselt. Die BlackBerry Enterprise Lösung verwendet Verschlüsselungsverfahren, die auf privaten symmetrischen Schlüsseln basieren und für solche existiert kein Master-Key. Der private Schlüssel bleibt ausschließlich in der Umgebung des Kunden (auf dem Handheld des Anwenders und dem BlackBerry Enterprise Server innerhalb der IT-Infrastruktur des Kunden). Es gibt keine Mechanismen, um den privaten Key vom BlackBerry Enterprise Server zu erlangen. Nur die IT-Abteilung des Kunden kann Zugang zu den privaten Keys seiner Anwender bekommen. RIM ist unter keinen Umständen in der Lage, Zugang zu dem privaten Key zu bekommen oder die Nachrichten des Kunden zu lesen.
  3. Teil III des RIP Act betrifft verschlüsselte Daten. Damit dieser Teil des Gesetzes zur Anwendung kommt, müssen die ermittelnden Behörden bereits im Besitz der fraglichen elektronischen Daten in verschlüsselter Form sein. Zudem müssen sie einen Bescheid erwirken, in dem RIM zur Offenlegung der entschlüsselten Informationen oder des Schlüssels aufgefordert wird.
  4. Sollte RIM im Rahmen des RIP Act einen Offenlegungsbescheid in bezug auf verschlüsselte Daten erhalten, wäre RIM schlicht und einfach nicht in der Lage, diesen weder für entschlüsselte Daten noch für den Schlüssel selber erfüllen. Die Gründe sind:
    • In bezug auf entschlüsselte Daten, dass RIM wie in Punkt 1 beschrieben die Daten der Endkunden nicht speichert und, wie in Punkt 2 ausgeführt wird, keinen Zugriff auf den privaten Schlüssel hat.
    • In bezug auf den Schlüssel durch die in Punkt 2 oben dargelegte Art der Verschlüsselung.

Schlussendlich berücksichtigen die Spekulationen in diesem Artikel nicht die Tatsache, dass Daten nicht in RIMs Infrastruktur gespeichert werden und dass RIM nicht in der Lage ist, verschlüsselte Daten zu lesen, auch wenn wir aufgefordert würden, dies zu tun. Daher kann aus dem theoretischen Risiko kein tatsächliches Risiko werden.

BlackBerry hat mehr als 3,65 Millionen Teilnehmer, mehr als 95 Mobilfunkpartner und das Vertrauen von weltweit mehr als 40.000 Institutionen. Die Sicherheitsvorteile von BlackBerry werden in großem Umfang geschätzt und von einigen der weltweit größten Unternehmen und staatlichen Institutionen der Welt honoriert. RIM steht gerne zur Verfügung, die Sicherheitsarchitektur der BlackBerry Lösung mit Kunden zu besprechen, um jegliche durch die kürzlich erschienenen Online-Artikel hervorgerufene Bedenken zu zerstreuen.

Charmaine Eggberry
Vice President Enterprise Business Unit, Europe
Research In Motion

Comments

Jo, so wird ein Schuh draus ;)

Stefan Rubner, 2005-10-05

Einerseits das, ja. Wir haben bei uns vor nicht allzulanger Zeit eine Studie zur Kommunikation von Sicherheit im Online Banking gemacht. Eine der grössten Herausforderungen, denen sich die teilnehmenden Banken gegenüber sahen, war/ist die, bei ihren Kunden ein gewisses Bewusstsein über Sicherheit und ihre damit zusammenhängende Verantwortung, ohne sie total zu verunsichern und zu verschrecken. Eine technische Erläuterung mit SSL Verbindungen und Verschlüsselung, etc. hilft da definitiv nicht.

Zur BSI Studie: Ich bin vom BSI enttäuscht, da hat's so gute Stdien gegeben bisher. Einerseits missachtet diese offenbar komplett das Marktumfeld, Argumentation siehe oben. Ausserdem missachtet sie total, dass es die BES Option gibt, die m.W. auch durchaus einige Unternehmen genau aus dem Grund einsetzen, dass sie ihre Mails nicht auf fremden Server liegen haben wollen.

Ragnar Schierholz, 2005-10-06

"Missachtet das Marktumfeld" ist gut: Warum wird wohl diese Kamelle ausgegraben, bevor Nokia am 11. sein Konkurrenz-Zeug vorstellt? --Detlef

Detlef Borchers, 2005-10-06

Das Argument des BSI ist einfach lächerlich. Der Blackberry ist die zur Zeit sicherste Art, Mails ausserhalb der eigenen Firmenwände zu lesen. Das Risiko, daß alle Mails über RIM laufen, muss man in Kauf nehmen. Dafür kann aber z.B. einen Blackberry bei Verlust (durch z.B. Diebstahl) binnen Sekunden sperren inkl. aller darauf gespeicherten Mails. Übrigens laufen alle Mails bei Firmen auch über den zentralen Internetprovider und den unverschlüsselten IP Datenstrom mitzulesen sollte deutlich leichter sein.

@Ragnar: auch der BES schickt alle Mails erstmal zu RIM, wenn auch verschlüsselt.

Übrigens Volker: Eine Weiterleitung von Exchange Postfächern zu einer externen (GMX, T-Online usw.) Adresse ist bei Exchange in der Standardkonfig nicht möglich (=deaktiviert). Und wer das einschaltet gehört meiner Meinung abgemahnt. Neben Sicherheitsrisiken bleibt noch das Problem daß man eine Mailschleife erzeugen kann und die ist bei Exchange tötlich da die Datenbank ab 16GB abkackt und defragmentieren nur umständlich und Offline möglich ist

Roland Dressler, 2005-10-06

Roland schrieb:
> Und wer das einschaltet gehört meiner Meinung abgemahnt.

Du meintest mit "das" Exchange? Ja. ;-)

/k

Karsten W. Rohrbach, 2005-10-06

mmh Karsten, da muss ich natürlich antworten.

Im Prinzip gebe ich dir Recht. Exchange ist definitiv ein totes Produkt. Allein schon daß MS selbst ALLE Groupwarefeatures in Exchange in zukünftigen Versionen "ausklammert" ist mehr oder weniger eine Bankrott Erklärung. Aber: Exchange ist nicht trotz sondern vor allen auch wegen der eigentlich eklig proprietären Datenbank ein immer wieder erstaunlich schnelles und stabiles Mailsystem. Nicht umsonst laufen noch Abertausende eigentlich völlig veraltete 5.5er Server.

Übrigens, um auf das Thema zurückzukommen: Der BES arbeitet einwandfrei mit Exchange. Das macht der leider sonst nur noch mit Domino.
Und es ist schon faszinierend wenn man sich selbst ein Mail auf den Blackberry schickt und das innerhalb von Sekundenbruchteilen ankommt. Ich habe sogar das Gefühl das selbst SMSe länger dauern....

Roland Dressler, 2005-10-06

Old vowe.net archive pages

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Paypal vowe