Als Barack Obama am 20. Januar 2009 sein Amt als Präsident der Vereinigten Staaten von Amerika antrat, wollte er auf seinen Blackberry nicht verzichten - und er setzte seinen Willen gegen die National Security Agency (NSA) durch. Statt des offiziell für präsidiale Kommunikation vorgesehenen Sectera Edge erhält der 44. US-Präsident nun einen speziell modifizierten Blackberry 8830. Ankommende und ausgehende Kommunikation wird mithilfe einer speziellen Software namens SecureVoice - entwickelt von Genesis Key - codiert. Wenn ein Blackberry sicher genug ist für den US-Präsidenten, ist er dann auch nicht sicher genug für jegliche Unternehmenskommunikation?
Die Diskussion um die Blackberry-Sicherheit ist fast so alt wie das Unternehmen RIM. Nicht zuletzt wird seit Jahren die von der "Wirtschaftswoche" veröffentliche Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus 2005 immer wieder zur Untermauerung von Sicherheitsbedenken herangezogen.
Ein wichtiges Argument war der interne, eigentlich nicht für die Öffentlichkeit bestimmte Bericht, wonach die Network Operation Center (NOC) des kanadischen Herstellers RIM, über die sämtliche Kommunikation läuft, im Ausland liegen; für Europa steht dieses in Großbritannien. Es gebe die theoretische Möglichkeit, dass Dritte auf die E-Mails zugreifen könnten, die vom Blackberry versandt werden, erklärte seinerzeit BSI-Sprecher Michael Dickopf. Dabei weist das Bundesamt darauf hin, dass die ausländischen Blackberry-Rechenzentren außerhalb des Einflussbereichs deutscher Unternehmen und Behörden liegen und somit britisches Recht angewendet werden könnte. Das BSI bevorzuge deshalb "nationale Lösungen".
Angst vor Mithörern
Wie das Wirtschaftsmagazin "Capital" berichtete (5/2009), werden die Geräte in der Autoindustrie schon längst nur eingeschränkt genutzt. Auch der Industriekonzern Evonik soll laut Capital über ein Verbot nachdenken. Diesen Trend bestätigt der Geschäftsführer der Arbeitsgemeinschaft für Sicherheit in der Wirtschaft (ASW) Berthold Stoppelkamp: "Der Einsatz von Blackberrys in sensiblen Bereichen ist rückläufig." Ein wichtiger Grund hierfür ist eben das Gefühl bei den Unternehmen, dass der britische Geheimdienst zumindest gesetzlich die Möglichkeit besitzt, die Blackberry-Kommunikation abzuhören.
In diesem Zusammenhang betont RIM nochmals die Sicherheit der Übertragungswege: Zum einen werden E-Mails während des Transportes nicht gespeichert, sondern direkt zugestellt. Zum anderen werden alle Mails mit einem 256-Bit-AES-Schlüssel (Advanced Encryption Standard) chiffriert.
Das Verschlüsselungsverfahren basiert zudem auf einem privaten symmetrischen Schlüssel, der jedem Blackberry individuell zugewiesen wird - es existiert kein Master-Schlüssel. Dieser Schlüssel bleibt ausschließlich auf dem jeweiligen Smartphone und dem Blackberry Enterprise Server (BES) innerhalb der IT-Infrastruktur des Unternehmens. Dritte haben keine Möglichkeit, auf diesen Schlüssel zuzugreifen, auch nicht RIM. Lediglich die IT-Administration kann auf die Konfiguration des Anwenders zugreifen, beispielsweise um diese bei Verlust des Gerätes zu löschen. Dennoch: Der Zweifel ist gesät - und bleibt im Gedächtnis.
Fraunhofer-Studie bestätigt Sicherheit des Blackberry
Dagegen bestätigte das Fraunhofer-Institut für Sichere Informationstechnik (SIT) die Sicherheit des Kommunikationsweges; in der zwei Jahre dauernden Studie wurden keine verborgenen Funktionen oder Hintertüren gefunden, und weder RIM noch Dritte haben somit einen Zugang zu den Daten innerhalb der Architektur. Ob das auch für den britischen Geheimdienst gilt, war sicherlich nicht Gegenstand der Studie.
Für die Beauftragung des Fraunhofer SIT entschied sich RIM unter anderem, weil amerikanische Forschungszertifikate in Deutschland nicht in dem Maße anerkannt sind wie in den USA. Fraunhofer genießt hingegen großes Vertrauen.
"RIM hat bereits in der Vergangenheit weltweit höchste Zertifizierungen erhalten, beispielsweise als erste Wireless-E-Mail-Lösung im März 2001 die FIPS 140 validation, im September 2007 die Zertifizierung nach Common Criteria und jetzt eben das Zertifikat durch Fraunhofer SIT", sagt Jens Kühner, Director Sales und Technical Services bei RIM. Auch seien Blackberrys die einzige bei der NATO zugelassene mobile Datenlösung, mit der sogar Daten der Klassifizierung "NATO Confidential" transportiert werden dürfen.
E-Mail beim Blackberry direkt am Client verschlüsseln
Wem das nicht sicher genug ist, der kann zusätzlich zur Verschlüsselung der Übertragung weitere Sicherheitseinstellungen vornehmen. Dazu zählen Passwörter, lokale Datenverschlüsselung des Gerätespeichers und von Speicherkarten, zentrales Löschen von Daten und Zurücksetzen von Kennwörtern sowie aktiver Schutz vor Viren und Schadprogrammen. Oder Firmen setzen Verschlüsselungslösungen von Drittanbietern ein. In vielen großen Firmen ist es zudem üblich, ab einer bestimmten Führungsebene E-Mails direkt beim Client zu verschlüsseln.