BB10 im Security-Check

Wie sicher ist BlackBerry 10 OS?

03.04.2015
Mit dem Betriebssystem BlackBerry 10 (BB10) versucht der gleichnamige kanadische Smartphone-Pionier seit Anfang 2013 wieder im Markt Fuß zu fassen. Der Fokus liegt dabei auf Enterprise-Funktionen wie Verwaltbarkeit und Security. Wir haben Blackberrys Sicherheitsarchitektur unter die Lupe genommen.

Nachdem das vorherige BlackBerry-OS auf dem proprietären RTOS mit JVM (Java Virtual Machine) basierte, ist BB10 eine Weiterentwicklung des Echtzeit-Betriebssystems QNX, dessen gleichnamiger Hersteller 2010 von BlackBerry übernommen wurde. Der proprietäre, POSIX-kompatible, Unix-Abkömmling ist primär auf den Markt eingebetteter Systeme ausgerichtet. BlackBerry wollte es gleichermaßen für Smartphones und Tablets einsetzen, sagte dann aber die Portierung auf das glücklose PlayBook-Tablet ab.

QNX verwendet eine hochmodulare Microkernel-Architektur, in der jede Softwarekomponente gekapselt ist. Nur ein kleiner Basis-Kern läuft im Kernel- oder Supervisor-Mode des Prozessors. Alle anderen Teile - hardwarenaher Code, Treiber, Dateisystem oder Applikation (Apps) - laufen im User-Modus in einem separaten, geschützten Speicherbereich. Der Prozessmanager steuert sie und übergibt sie zur Ausführung an den Systemkern. Eine Kommunikation zwischen den Komponenten unterbindet das System. Bereits kurz nachdem BB10 vorgestellt wurde, vertrat Tom Kellermann, Vice President für Cyber Security bei Trend Micro, die Auffassung, es handele sich dabei um das sicherste mobile Betriebssystem. Auch BlackBerry selbst brüstet sich, die sicherste mobile Plattform zu betreiben.

Viele Sicherheitsfunktionen sind gegenüber den früheren BB OS/Geräte Versionen unverändert und so werden Administratoren mehr als 500 IT-Richtlinien zur Verfügung gestellt, um das Sicherheitsniveau auf den Endgeräten Personen(-gruppen)-spezifisch anzupassen. So können sie beispielsweise von den Benutzern verlangen, ihre Endgeräte mit Kennwörtern zu schützen und Richtlinien zu deren Länge und Komplexität festlegen. Auf diesem Weg lassen sich zudem Passwörter ändern und gestohlene Smartphones sperren oder löschen. Das System verschlüsselt außerdem alle Daten im geschäftlichen Bereich, hierzu gehören PIM-Daten (Adressbuch, E-Mails, Kalender) aber auch sonstige Nachrichten, Notizen und Aufgaben. Dies kann auch für den privaten Bereich konfiguriert werden.

Kommunikationsverbindung

Wie bisher stellt der BlackBerry Enterprise Server - jetzt in BlackBerry Enterprise Service (BES) umbenannt - über BlackBerrys Network Operation Center (NOC) eine sichere Verbindung zu den Smartphones einerseits und zur firmeneigenen Groupware andererseits her. BES10 bietet die Verschlüsselungsverfahren AES beziehungsweise Triple DES zur Absicherung dieser Verbindung. Die Schlüssel dieses symmetrischen Verfahrens liegen nur auf den Endpunkten, also dem BES und den jeweiligen Endgeräten.

Bei QNX läuft jeder Prozess in einem eigenen geschützten Speicherbereich.
Bei QNX läuft jeder Prozess in einem eigenen geschützten Speicherbereich.
Foto: Blackberry

Jedes Gerät hat einen eigenen einzigartigen Schlüssel, der bei der ersten Aktivierung zwischen dem Administrationsdienst und dem Endgerät ausgetauscht und regelmäßig neu ausgehandelt wird. Auf dem BES befinden sich keine Nutzerdaten, sie liegen ausschließlich auf den Datenquellen (zum Beispiel den Exchange-Servern) und den Smartphones.

Seit BB10 können sich die Smartphones jedoch auch direkt mit einem Exchange-Server von Microsoft verbinden, ohne über ein NOC zu kommunizieren. BlackBerry nutzt dafür ActiveSync, um mehr Flexibilität und Skalierbarkeit zu erreichen sowie mehr Geräte und E-Mail-Plattformen zu unterstützen. Auch die bei der Kombination BES/NOC vorhandene 1:1-Zuordnung (lediglich ein Endgerät pro Mail-Account) entfällt.