Sicherheitsfunktionen und Risiken beim neuen BB-Smartphone Wie sicher ist das BlackBerry Z10?

Autor / Redakteur: Dr. Markus a Campo / Stephan Augsten

Mit dem Smartphone Z10 stellt BlackBerry das erste Modell einer vollständig erneuerten Produktreihe vor. Auch bei der Sicherheit gab es Änderungen. In diesem Beitrag sehen wir uns an, was die Vor- und Nachteile des neuen Konzepts sind.

Firmen zum Thema

Mit verschiedenen Datenbereichen hilft das BlackBerry Z10 bei BYOD-Konzepten.
Mit verschiedenen Datenbereichen hilft das BlackBerry Z10 bei BYOD-Konzepten.
(Bild: BlackBerry)

Der von vielen Beobachtern schon totgeglaubte Smartphone-Hersteller BlackBerry (ehemals Research In Motion, RIM) ist wieder mit im Spiel. Die Entwicklung des neuen Systems war allerdings ein Kraftakt ohnegleichen. Zu lange hatte man sich auf seinen Lorbeeren ausgeruht und andere Hersteller wie Apple an sich vorbeiziehen lassen.

Haupthindernis bei der Modernisierung war das alte BlackBerry OS, das wie sein ebenfalls wenig innovativer Konkurrent Symbian OS eine proprietäre Eigenentwicklung war: schwerfällig, wenig modular und für die Anforderungen von modernen Smartphones nicht sonderlich geeignet.

Bildergalerie
Bildergalerie mit 6 Bildern

Das alte Betriebssystem ist komplett in der Versenkung verschwunden. Stattdessen setzt BlackBerry auf Unix. BlackBerry hat dazu den Hersteller des Unix-Systems QNX gekauft. QNX ist ein sogenanntes Echtzeit-Betriebssystem.

Verarbeitung in Echtzeit

Im Gegensatz zu anderen Unix-Dialekten, bei denen ein Prozess erst beendet wird, wenn er mit seiner Arbeit fertig ist, führen Realtime-Systeme genau Buch über die von ihren Prozessen verbrauchten Ressourcen. Wird ein Prozess nicht schnell genug fertig, greift das Betriebssystem ein, vergibt Ressourcen neu oder beendet den Prozess.

Echtzeitsysteme finden immer dann Anwendung, wenn auf zeitkritische Hardware reagiert werden muss, etwa bei der Elektronik von Autos. Es war eine kluge Entscheidung, auch bei einem Smartphone solch ein System einzusetzen.

Android, Windows Phone und iOS sind keine Echtzeitsysteme, die Kontrolle von Hard- und Software durch das Betriebssystem ist hier wesentlich lascher. Schlecht programmierte Apps können das System in Unordnung bringen, wohingegen bei einem Echtzeitsystem bessere Kontrollen und Restriktionen möglich sind.

Rückschritt bei Flash-Verschlüsselung

Viele Sicherheitsfunktionen des Z10 sind gegenüber den Vorgängersystemen von Prinzip her unverändert geblieben. Dazu gehören etwa die Verschlüsselung von E-Mails und anderen Nachrichten oder die Verwaltung von Zertifikaten. Eine schmerzhafte Ausnahme ist dabei die Verschlüsselung des Flash-Speichers.

Hier setzt BlackBerry auf eine Variante mit geringerer Sicherheit. Die Verschlüsselung der geschützten Bereiche der Flash-„Festplatte“ geschieht durch einen Zufallsschlüssel. Dieser Schlüssel wird erneut verschlüsselt, früher geschah dies mit einem aus der PIN abgeleiteten Schlüssel. Ohne die PIN des Benutzers kam man also gar nicht an die Daten heran.

Im neuen System hat sich Entscheidendes verändert, was aber nur im Kleingedruckten der Spezifikationen nachzulesen ist. Bereiche der Festplatte werden nach wie vor mit einem zufällig generierten Schlüssel (Domain Key) verschlüsselt.

Dieser Schlüssel wird auf der Festplatte abgelegt, wieder in einer verschlüsselten Form. Der Schlüssel zur Entschlüsselung eines Domain Keys wird als Master Key bezeichnet. Dieser wird im NVRAM des Geräts angelegt, auch wieder in verschlüsselter Form.

Jetzt kommt der große Unterschied zum alten System: Der Master Key wird nicht etwa mit der PIN des Benutzers verschlüsselt, sondern mit einem im Prozessor abgelegten, unveränderbaren Schlüssel. Man benötigt nicht viel Phantasie, um sich auszumalen, wie Polizei und Geheimdienste sich diesen Hardware-Key besorgen können.

Unterstützung für BYOD-Strategien

Das größte Sicherheitsproblem bei Smartphones ist die Trennung dienstlicher und privater Daten. Bei den meisten Geräten werden diese vermischt, und es ist nicht mehr auszumachen, wer Eigentümer dieser Daten ist und wie diese Daten behandelt werden sollen.

Diese Vermischung ist eines der größten Hindernisse von BYOD-Konzepten. Wenn ein Arbeitnehmer ein eigenes Smartphone mitbringt ist er auch dessen Eigentümer. Dieses Eigentumsrecht kann sich natürlich nicht auf Firmendaten erstecken, doch wie können Firmen und Behörden bei privaten Geräten ihre Rechte wahrnehmen?

Datentrennung mit BlackBerry Balance

Der Hersteller hat sich dieser Problematik angenommen und mit BlackBerry Balance eine sehr innovative Lösung erarbeitet. Das Dateisystem des Z10 besteht aus drei Teilen, einen Basisbereich für das Betriebssystem sowie zwei Bereichen für dienstliche und private Daten und Apps.

Zusammen mit dem bei Apple abgekupferten Sandbox-System, bei dem Apps im Wesentlichen nur auf ihre eigenen Daten zugreifen können, ergibt sich eine sehr strikte Trennung privater und dienstlicher Vorgänge. Die beiden Dateibereiche können sogar unterschiedlich verschlüsselt werden, wozu dann zwei Domain Keys und zwei Master Keys erzeugt werden.

Auf den dienstlichen Teil des Geräts hat die Firma uneingeschränkten Zugriff. Sie kann über einen zentralen Server Apps und Daten installieren oder entfernen oder Restriktionen für die Benutzung dienstlicher Apps aktivieren. Der Benutzer kann sich dagegen nicht wehren. Auf der anderen Seite hat die Firma im privaten Bereich des Smartphones nicht zu suchen. Hier kann der Benutzer nach Lust und Laune schalten und walten. Die Umschaltung zwischen dienstlichem und privatem Bereich erfolgt per Fingerdruck auf dem Bildschirm.

Verschiedene App-Welten

Natürlich können nicht alle Apps privat und dienstlich zur Verfügung stehen. BlackBerry hat deshalb eine Trennung vorgenommen. Im rein dienstlichen Bereich finden sich lediglich Downloads aus der BlackBerry World for Work, sofern diese zugelassen wurden, sowie firmeneigene Apps. Im rein privaten Bereich befinden sich die meisten Apps wie etwa Telefon, SMS, Facebook, Kamera, Kompass und alle aus BlackBerry World geladenen neuen Apps.

Etwas schwieriger wird es mit Apps, die auf dienstliche und private Date zugreifen sollen. Hier setzt BlackBerry zwei unterschiedliche Konzepte ein. Zum einen gibt es Apps, die eine gemeinsame Sicht auf private und dienstliche Daten erlauben, also Zugriffe auf beide Bereiche des Dateisystems durchführen. Das sind die Nachrichtenzentrale BlackBerry Hub, Kalender, Kontakte, die Erinnerungs- sowie die Suchfunktionen des Geräts.

Dann gibt es noch Apps, die zwar auf private und dienstliche Daten zugreifen müssen, aber niemals gleichzeitig. Dies Apps existieren in zwei Instanzen und können entweder nur auf dienstliche oder nur auf private Daten zugreifen. Zu diesen Apps gehören Browser, Dateimanager, Adobe Reader, sowie Medien-Apps für Musik, Bilder und Videos.

Fazit

Das Hautproblem bei Smartphones, die Trennung von dienstlichen und privaten Daten, wurde beim neuen BlackBerry sehr elegant und wirkungsvoll angegangen. Allerdings benötigt man zur Nutzung von BlackBerry Balance einen zentralen BlackBerry-Server, was die Datentrennung bei Privatleuten und Freiberuflern ausschließt.

Trotz des Rückschritts bei der Verschlüsselung des Flash-Speichers ist das Z10 eines der sichersten Smartphones überhaupt. Es hat das Potenzial, den Hersteller aus dem tiefen Tal der Tränen herauszuholen und zu neuen Erfolgen zu führen.

(ID:42219403)