Wir haben ein kugelsicheres System geschaffen", beteuert Mike Lazaridis, President und Co-CEO von RIM im Gespräch mit der COMPUTERWOCHE. Seit nunmehr zehn Jahren arbeite der Blackberry-Hersteller an seiner Infrastruktur. Man sei sich bewusst, dass man im Umfeld mobiler Daten Sicherheitsaspekte nicht vernachlässigen dürfe, warnt der 43-jährige Manager.

In den vergangenen Monaten hatte die von RIM als sicher angepriesene Architektur einige Risse bekommen. So kündigte Automobilhersteller Audi im Juni dieses Jahres an, nach möglichen Alternativen zum Blackberry-Einsatz suchen zu wollen. Vor allem die Zugriffsrechte über den Blackberry Enterprise Server (BES) auf die eigene Exchange-Infrastruktur mit dem gesamten Firmen-Mail-Aufkommen missfielen den Ingolstädtern.

Die Sicherheitsexperten des Bundesamts für Sicherheit in der Informationstechnik (BSI) stießen in das gleiche Horn. Aufgrund der unsicheren Architektur sei der Blackberry für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung sowie in spionagegefährdeten Unternehmen nicht geeignet. Kritik übte die Bonner Behörde an RIMs Infrastruktur, die das gesamte Nachrichtenaufkommen über eines der drei eigenen Network Operating Center (NOC) in England, Kanada beziehungsweise Asien leitet. Theoretisch könnten dort unbefugte Parteien auf die durchgeleiteten Informationen zugreifen. Zudem arbeiteten die Kanadier mit einer proprietären Implementierung von Standardalgorithmen. Die Infrastruktur verbiete den Anwendern, eigene Krypto-Verfahren einzusetzen.

Die Vorwürfe beruhten auf einem kompletten Mangel an Kenntnis von RIMs Sicherheits-Architektur und -Infrastruktur, wies Charmaine Eggberry, Vice President für den Bereich Enterprise Business von RIM in Europa, die Kritik scharf zurück. Das BSI habe lediglich ein theoretisches Risiko entdeckt, dass aufgrund mangelnder vertraulicher Informationen nicht widerlegt werden könne. Aus einer Vielzahl von Gründen, darunter auch Wettbewerbsaspekte, habe RIM nicht das Maß an technischen und vertraulichen Informationen liefern können, um die Vorwürfe des BSI zu widerlegen.

In sicherheitskritischen Bereichen könnten nur solche Übertragungsmedien empfohlen werden, deren kryptografische Mechanismen nach Vorgabe des BSI verwendet und implementiert seien, blieb die Behörde bei ihrer Kritik. Zudem müsse das Gesamtsystem evaluiert werden, um ein Sicherheitszertifikat erteilen zu können. Jeder IT-Hersteller habe die Möglichkeit, seine Produkte vom BSI zertifizieren zu lassen. Ein solcher Antrag seitens RIM liege bis dato nicht vor.

Ob sich daran etwas ändert, ist zweifelhaft. Trotz aller Bemühungen habe RIM bisher keinen Kontakt zu entsprechenden Abteilungen innerhalb des BSI aufbauen können, hieß es in einer offiziellen Mitteilung der Kanadier vom Oktober. Bislang habe man nur über Dritte miteinander kommuniziert. Wenn die Voraussetzungen bestanden hätten, direkt mit dem BSI zusammenzuarbeiten, hätten die Behörde über alle notwendigen Informationen verfügen können, ließ Eggberry trotzig verlauten.

Vorstandssprecher Lazaridis verteidigt die geschlossene Infrastruktur des Blackberry-Systems. Nur so lasse sich ein Höchstmaß an Sicherheit garantieren. Die Vorwürfe der vergangenen Monate weist er vehement zurück. Weder besitze RIM Administratorenrechte, mit denen sich das Unternehmen Zugang zu den Mails seiner Kunden verschaffen könne, noch sei es möglich, die Informationen in den drei Routing-Zentren abzugreifen. Einen dazu notwendigen Master-Key gebe es nicht. Zudem seien die verwendeten Verschlüsselungsmechanismen 3DES (Triple Data Encryption Standard) und AES (Advanced Encryption Standard) nicht zu knacken.

Um mögliche Bedenken der Anwender zu zerstreuen, will RIM seine Architektur weiter zertifizieren lassen. Entsprechende Zertifikate wie der US-amerikanische Fips 140-2 (Federal Information Processing Standard) sowie Prüfungen des Correctional Service Canada (CSC) gebe es bereits. In Australien und einigen skandinavischen Ländern seien entsprechende Zertifizierungsprogramme angelaufen. Großbritannien, Frankreich und Deutschland sollen folgen.

Hierzulande übernimmt das Fraunhofer-Institut den Sicherheitscheck der Blackberry-Architektur. "Wir werden sehr offen und eng mit Fraunhofer kooperieren", verspricht Lazaridis. Das Institut werde Zugang zu den Blackberry-Systemen erhalten. Die Prüfung werde genauso ablaufen wie mit anderen Sicherheitsbehörden auch. Nähere Details sind indes nicht bekannt. Die Zusammenarbeit habe gerade erst begonnen, hieß es von Seiten des Forschungsinstituts. Üblicherweise würde das Testszenario in den eigenen Labors nachgebaut. Eine Vorort-Prüfung in den Routing-Zentren RIMs scheint daher eher unwahrscheinlich. Mit ersten Ergebnissen sei frühestens im nächsten Jahr zu rechnen.

RIM bemühe sich als Einziger in diesem Umfeld um Sicherheitszertifizierungen, hebt Lazaridis die eigenen Anstrengungen hervor. Andere Hersteller würden den Sicherheitsaspekt dagegen gar nicht berücksichtigen, folgt ein Seitenhieb auf die Konkurrenz. Viele scheuten den Aufwand an Zeit, Geld und anderen Ressourcen.

Für RIM steht viel auf dem Spiel. Weltweit sind 60 000 Blackberry-Server bei rund 40 000 Unternehmen und öffentlichen Organisationen installiert. Etwa 3,65 Millionen Nutzer verwenden die Endgeräte. Die Wachstumskurve zeigt Lazaridis zufolge steil nach oben. Mit fünf Millionen Anwendern rechnet der CEO bis Ende des Jahres. Sollten jedoch die Diskussionen anhalten und es RIM nicht gelingen, die Sicherheit seiner Infrastruktur zu beweisen, könnte die Kurve schnell abknicken.

Die Konkurrenten warten nur auf einen Fehltritt des Branchenprimus. Wettbewerber wie Nokia mit dem "Mobile Business Center" und Microsoft mit "Windows Mobile 5.0" und Erweiterungen des Exchange Server arbeiten mit Hochdruck an eigenen E-Mail-Push-Diensten. Davor ist Lazaridis nach eigenem Bekunden nicht bange. Jedes mobile Endgerät, das im Markt erfolgreich sein solle, müsse kompatibel zu dem Blackberry-System sein, gibt er sich selbstbewusst. Er verweist zudem auf das Lizenzprogramm für die eigenen Protokolle und das Sicherheitsmodell. Hersteller wie Nokia und Palm bieten Geräte für die RIM-Infrastruktur an. Bedenken, andere Anbieter am Blackberry-Geschäft teilhaben zu lassen, hat Lazaridis nicht: "Der Markt ist groß genug."

Die jüngsten Zahlen der Marktforscher bestätigen dies. Laut Gartner wuchs der PDA-Absatz (Personal Digital Assistant) im dritten Quartal 2005 im Jahresvergleich um fast 21 Prozent auf knapp 3,5 Millionen Geräte. Vor allem Handhelds mit E-Mail-Funktionen waren gefragt. Während die klassischen Handheld-Hersteller wie Hewlett-Packard und Palm Anteile verloren, steigerte RIM seine Stückzahlen um 52,6 Prozent auf 862 000 verkaufte Geräte und erreichte damit Platz eins mit einem Marktanteil von 25 Prozent.

Doch auch die Konkurrenz beeindruckte. T-Mobile vervierfachte mit rund 207 000 PDAs seinen Absatz, und Nokia verkaufte aus dem Stand 200 000 Geräte. Um die Konkurrenz auf Abstand zu halten, feilt RIM weiter an der Technik. Ende November soll mit dem Blackberry 8700c die neue Gerätegeneration zunächst in den USA starten. Ein Intel-Xscale-Prozessor vom Typ PXA901 verspricht Lazaridis zufolge eine deutlich verbesserte Leistung.

Außerdem soll der Mobile Data Server (MDS) innerhalb des BES in der nächsten Version 4.1 Web-Services-fähig werden. RIM arbeite beispielsweise eng mit SAP zusammen, berichtet der RIM-CEO. Mit SAPs Definition von aktuell über 500 Web-Services könnten Entwickler künftig einfacher und schneller Applikationen für die Blackberry-Plattform entwickeln. Sollen die Nutzer in Zukunft jedoch über die Blackberry-Architektur auf unternehmenskritische Business-Applikationen und die darin enthaltenen Daten zugreifen, muss der Anbieter bis dahin alle Sicherheitsvorbehalte restlos ausräumen.