Audi wirft die Blackberrys raus, das BSI zweifelt an der Sicherheit der Push-Mail-Plattform, Millionen amerikanische Anwender stehen ohne Mobile-Mail da, französische Regierungsmitglie-der sollen auf ihre Blackberrys verzichten immer wieder werden Zweifel an der Sicherheit der Push-Mail-Plattform des kanadischen Herstellers Research in Motion (RIM) laut. Im Zentrum der Kritik stehen dabei jedes Mal die NOCs des Herstellers. Sie würden, so die Vorwürfe der Kritiker, Man-in-the-middle-Attacken vereinfachen und könnten den Geheimdiensten des jeweiligen Landes, in dem das jeweilige Network Operation Center steht, als Hintertür zur Industriespionage dienen. An den Mythen, die sich um die angeblich mangelnde Sicherheit der NOCs ranken, ist der kanadische Hersteller nicht ganz unschuldig. Bislang schwiegen die Kanadier nämlich in der Öffentlichkeit beharrlich zu den Aufgaben und Vorgängen in den NOCs. Gegenüber der computerwoche erklärte jetzt Jens Kuehner, Director Technical Services bei RIM, die Funktion der NOCs.

Kuehner ist davon überzeugt, dass die Blackberry-Architektur mit den NOCs dem User das derzeitige Optimum an mobiler Sicherheit bietet, gepaart mit einem geringen und damit kostensenkenden Datenaufkommen. So werde dem Anwender nur das gesendet, was er lesen möchte. "Dabei werden E-Mails in 2-KB-Stückchen nach und nach übertragen, während der Anwender diese liest", erklärt Kuehner, "die Mails werden dabei auf ein Viertel bis ein Fünftel komprimiert." Aus einem 2-KB-Fragment einer Nachricht werden also rund 500 Byte. Deshalb benötige der Blackberry auch nicht unbedingt den schnelleren Datendienst UMTS. Zudem habe das geringe Datenaufkommen einen nützlichen Nebeneffekt: Es schone die Akkus der Endgeräte, denn noch immer zähle die Datenübertragung zu den stromfressenden Aktivitäten der mobilen Devices.

Dank der End-to-end-Verschlüs-selung zwischen Endgerät und Blackberry Enterprise Server (BES) im Unternehmen biete das NOC auch keine Angriffsfläche für eine Man-in-the-middle-Attacke. Zu seinen Vorteilen zähle, dass die Blackberries im Internet nicht sichtbar seien was einen Angriff auf sie erschwere. Ferner erlaube das NOC-Konzept im Gegensatz zu anderen Mobile-Push-Verfahren den Verzicht auf von außen zu öffnende Ports in der Unternehmens-Firewall. Darauf angesprochen, dass aber gerade aufgrund eines Fehlers im kanadi-schen NOC zahlreiche US-amerikanische Benutzer keine Mails erhielten, versicherte Kuehner, man arbeite an einer verbesserten Backup-Strategie. Dem Vorschlag, mehr nationale NOCs einzurichten und damit die Sicherheitsbedenken der User gegenüber einem solchen Center im Ausland zu besänftigen, erteilte Kuehner jedoch eine klare Absage. Mehr NOCs würden die Kostenstruktur sprengen, so der Manager.

Mobiler Datenfunk

Um die Rolle der NOCs im Detail zu verstehen, ist ein kurzer Ausflug in die Theorie der IP-Netze sowie die Datenübertragung in GPRS-Mobilfunknetzen erforderlich. Angesichts der drohenden Knappheit an IP-Adressen legte die IANA drei private Adressbereiche (10.0.0.0 10.255.255.255; 172.16.0.0 172.31.255.255; 192.168.0.0 192.168.255.255) fest, die im öffentlichen Internet nicht sichtbar sind und damit nicht geroutet werden können. Dadurch können diese Adres-sen im Gegensatz zu öffentlichen IP-Adressen mehrmals in pri-vaten Netzen verwendet wer-den. Als Nebeneffekt sind diese privaten Netze nicht ohne weiteres aus dem Internet erreichbar, was einen gewissen Schutz darstellt und ihre Kontrolle vereinfacht.

Diese privaten IP-Adressbereiche verwenden auch die Mobilfunkbetreiber in ihren GPRS-Netzen, so dass diese per se erst einmal vom öffentlichen Internet abgeschottet sind. Um dennoch surfen zu können, haben die Netzbetreiber so genannte Proxy/Gateway-Server eingerichtet. Hier erfolgt mittels NAT/PAT/Masquerading die Umsetzung von privaten auf öffentliche Internet-Adressen, womit das Endgerät, also etwa ein Handy oder PDA, im Internet sichtbar wird. Gleichzeitig wird es damit aber auch angreifbar. Soll dieses Endgerät nun auf Unternehmensdaten zugreifen oder E-Mails vom Corporate-Mail-Server abrufen können, dann muss es von außen einen Port der Firewall öffnen können, um die entsprechende Verbindung zu initiieren.

NOC als Riesen-Router

Genau diese beiden Problempunkte die öffentliche Adressierbarkeit und damit Angreifbarkeit des Endgeräts sowie das von außen veranlasste Öffnen eines Firewall-Ports versucht RIM nun mit den NOCs zu vermeiden. Quasi als Riesen-Router beziehungsweise Gateway sollen sie den sicheren Mail-Transport zwischen dem Blackberry und dem unternehmenseigenen Mail-Server gewährleisten. Hierzu kann man die Funktion des NOC gedanklich in zwei Bereiche auftrennen: Der eine Teil ist für die Verbindung zum Blackberry im Mobilfunknetz zuständig, während der andere Kontakt zum Corporate-Mail-Server hält.

Adresszuordnung

Auf der Funkseite bedient sich RIM eines Tricks, damit die Blackberry-Geräte nicht im normalen Internet sichtbar, sondern lediglich über ihre private IP-Adresse ansprechbar sind. Ihr Verkehrsaufkommen wird nicht über die normalen Gateways der Mobilfunker weitertransportiert, sondern über ein spezielles Gateway des Mobilfunk-Providers. Dabei lautet der verwendete APN (Access Point Name) in allen Mobilfunknetzen blackberry.net. Er ist über dedizierte Leitungen direkt mit dem jeweiligen NOC verbunden - für Europa ist das Center in Großbritannien zuständig. Gegenüber dem NOC identifiziert sich der Blackberry mit seiner PIN. Dies ist eine nur einmal vergebene Geräteidentifizierungsnummer, vergleichbar mit der MAC-Adresse anderer Netz-Interfaces. Gleichzeitig teilt das Endgerät dem NOC seine IP-Adresse mit, damit dieses weiß, wohin es Mails weiterleiten soll.

Auf der anderen Seite, also in Richtung Corporate-Mail-Server des Anwenders, ist das NOC über eine öffentliche IP-Adresse an das Internet angebunden. Um nun mit dem NOC zu kommunizieren, sendet der Blackberry Enterprise Server (BES), der beim Anwender hinter der Firewall installiert ist und als Bindeglied zum eigentlichen Mail-Server fungiert, regelmäßig einen Ping an das NOC und erhält daraufhin auf dem gleichen Port eine Antwort. Gegenüber dem NOC identifiziert sich der BES anhand seiner eindeutigen SRPID, die vergleichbar mit einer Lizenznummer ist, sowie dem Authentification Key. Das NOC speichert wiederum die SRPID mit der dazugehörigen IP-Adresse.

Weg einer Blackberry-Mail

Geht nun beispielsweise eine E-Mail auf dem Corporate-Mail-Server für den Blackberry-Benutzer ein, so nimmt der BES Teile dieser Mail (Betreffzeile, Absender etc.) und schnürt daraus ein Datenpaket, das er an das NOC schickt. Im Header des Pakets stehen die PIN des Blackberry-Empfängers sowie die SRPID des BES als Absender. Bevor das Datenpaket im NOC weitertransportiert wird, muss es eine Art Türsteher passieren. Der nimmt einen Plausibilitätstest vor und verwirft Datenpakete, die diesen nicht bestehen. Hat das Paket die Hürde gemeistert, so leitet das NOC es an den Empfänger weiter. Diesen findet das NOC anhand seiner Zuordnungstabelle von PIN zu IP-Adresse.

Will der User nun mehr Informationen lesen etwa den Anhang einer Mail , sendet der Blackberry umgekehrt eine Anfrage über das NOC an den BES. Im Header des Datenpakets steht nun die SRPID als Empfangsadresse und die PIN als Absender. Beim Weiterleiten der Mail an den empfangenden BES übernimmt wiederum das NOC die Umsetzung von SRPID in eine routbare öffentliche IP-Adresse. Vom NOC gelangt das Datenpaket über den via Ping zur Kommunikation mit dem NOC offen gehaltenen Firewall-Port in das Unternehmensnetz. Hier nimmt der BES vor der Weiterverarbeitung als Erstes ebenfalls eine Plausibilitätsprüfung. Fällt diese positiv aus, übermittelt der BES weitere Informationen an das Endgerät. Ähnlich wie bei der Übermittlung der elektronischen Post läuft die Kommunikation beim Surfen im Web ab. Nicht der Blackberry selbst geht in das Internet, sondern er leitet die Suchanfrage via NOC an den BES weiter, der dann über die Internet-Zugänge des Unternehmens in das globale Netz geht. Letztlich agiert der Blackberry damit wie eine Art Fernbedienung zur Steuerung des BES.

Um sicherzustellen, dass die ganze Kommunikation reibungslos in Echtzeit auch über GPRS-Mobilfunknetze, die nicht unbedingt für ihre QoS berühmt sind, und das öffentliche Internet funktioniert, weist das NOC noch zwei Besonderheiten auf: In Richtung Blackberry werden maximal fünf Datenpakete pro User in einer Queue gehalten, wenn das Gerät offline, also nicht zu erreichen ist. Nach sieben Tagen wird ein Datenpaket verworfen und nicht mehr gesendet. In Richtung BES werden Pakete maximal sieben Minuten gehalten, falls dieser offline ist. Nimmt der Server das Paket nach sieben Minuten nicht ab, so wird es verworfen und der Blackberry informiert.

Schutz des NOCs

Diese zwischengespeicherten Pakete könnten potenzielle Angreifer eventuell ausspähen. Ein Unterfangen, das für RIM-Techniker Kuehner aber wenig Aussicht auf Erfolg hat: "Zum einen ist das NOC gegenüber dem Internet mit Intrusion-Detection- und Prevention-Systemen geschützt, zum anderen sind die eigentlichen Mails mit AES oder Triple DES verschlüsselt." Genauere Angaben zu den verwendeten Sicherheitssystemen und der eingesetzten Hardware wollte Kuehner öffentlich aber nicht machen, denn diese Informatio-nen bekommen nur große Unternehmenskunden und Partner gegen Abgabe eines Non-Dis-closure-Agreements (NDA). RIM verteidigt diese restriktive Informationspolitik damit, dass man potenziellen Angreifern keine Anhaltspunkte liefern wolle. Eine Politik, die sich bislang bewährt habe: Selbst der Chaos Computer Club (CCC) habe sich am Londoner NOC die Zähne ausgebissen.

Verschlüsselung

Die eingesetzten Verschlüsselungsverfahren gelten nach dem heutigen Stand der Technik als nicht knackbar. Der Schlüssel wird dabei über den IEEE-Standard P1363 anhand von Zufallswerten erzeugt. Diese werden wiederum über ein initiales Passwort authentifiziert.

Bei der Übertragung selbst setzt RIM ein symmetrisches Verfahren zur Verschlüsselung ein. BES und Blackberry kennen dabei den Schlüssel, der mittels Enterprise Activation erzeugt wurde also der AES 256 Bit Key für jeden User. Zudem wird für jedes Datenpaket ein zufälliger AES 256 Bit Message Key verwendet. Dieser verschlüsselt den Inhalt. Der User Key verschlüsselt dann den Message Key. Diese Daten werden daraufhin an den Blackberry beziehungsweise in umgekehrter Richtung an den BES verschickt. Die Keys erzeugen Handheld und BES unabhängig voneinander und vergleichen deren Hash-Werte.

Dieses Vorgehen eröffnet zumindest in der Theorie zwei Angriffsmöglichkeiten: Zum einen könnte ein Angreifer in den Besitz der Anmeldedaten gelangen und sich so gegenüber dem BES als berechtigter User ausweisen, zum anderen könnte er in das Unternehmensnetz eindringen und den SQL Server hacken, um die dortigen User-Schlüssel zu stehlen. Sollte ein Fremder wirklich in den Besitz der Anmeldeinformationen gelangen, so hätte er daran laut RIM-Experte Kuehner aber nicht lange Freude. Da sie nur einmal verwendet werden können, sollte ein Administrator spätestens dann hellhörig werden, wenn ein User sich beklagt, dass seine Anmeldung nicht funktioniert, und diese Daten sperren. Auf letztere Methode angesprochen, entgegnet Kuehner entwaffnend: "Warum soll ein Angreifer in eine Unternehmens-IT eindringen, um die Schlüssel vom SQL Server zu stehlen, wenn er gleich die elektronische Post auf dem Mail-Server lesen kann? Das ist doch viel einfacher."

Ansonsten hofft man bei RIM, die Sicherheitsbedenken der Zweifler im November/Dezember endgültig aus der Welt zu räumen. Zu diesem Zeitpunkt soll das Fraunhofer SIT in Darmstadt seinen Bericht präsentieren. Das Institut analysiert derzeit die Blackberry-Architektur unter Sicherheitsaspekten.