Seit Jahren wird Research In Motions Business-Lösung Blackberry von Datenschützern und Sicherheitsexperten argwöhnisch beäugt und lauthals kritisiert. Mit der jetzigen Bekanntmachung dürften die Kanadier alle Unkenrufe um Sicherheitsprobleme zum Verstummen bringen. Wie RIM auf der 8. International Common Criteria Konferenz heute in Rom bekanntgab, sind sowohl seine Enterprise Server als auch die Gerätesoftware nach dem international anerkannten Sicherheitsstandard Common Criteria EAL 2+ validiert. Das mag für manchen trivial klingen, ist aber ein großer Schritt für ein Unternehmen, dessen Kunden Tag für Tag auf die Sicherheit seiner Software angewiesen sind.
Die Common Criteria definieren allgemeine Qualitäts- und Sicherheitsstandards für Software. In einem langwierigen und reichlich kostspieligen Audit-Verfahren prüft eine unabhängige Drittorganisation die Konformität von Software gemäß eines Kriterienkatalogs und stellt nach Beseitigung eventueller Lücken ein entsprechendes Zertifikat aus. Die Stufe EAL 2+ dient im Besonderen der Absicherung gegenüber Eingriffen in die Infrastruktur und wird nach einem strukturellen Testverfahren gewährt, das ein mittleres Maß an Gewährleistung durch den Ausstellenden verspricht. Einen Freifahrschein für sicherheitskritische Anwendungsfälle stellt man RIM damit freilich nicht aus: zwar nutzt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Common Criteria für die Bestätigung einer gewissen Grundsicherheit von Software und Prozessen, die Stufe EAL2+ ist fürs BSI aber keineswegs ausreichend, um der Blackberry-Lösung unbedenkliche Verwendbarkeit z.B. in Regierungskreisen zu attestieren. Ganz im Gegenteil: die offizielle Darstellung des BSI gegenüber AreaMobile.de verbietet sogar den Einsatz von Blackberry-Technologie in Institutionen des Bundes.
Die elementare Kritik, die Blackberry seit 2005 verfolgt, lässt sich mit dem CC-Zertifikat ebenfalls nicht aus der Welt schaffen. Denn viele der Sicherheitsstudien, die ein Blackberry-Verbot empfehlen, bemängeln nicht die Sicherheit der Software, sondern den Standort des Servers. Tatsächlich laufen alle europäischen Blackberry Push-Mails über einen Knoten in Großbritannien und liegen damit in Kopie auf einem Datenspeicher, der nicht unter dem Einfluss des Endkunden steht. Das EAL2+-Zertifikat bestätigt nun RIMs Darstellung, dass sogar das Unternehmen selbst nicht in der Lage wäre, die verschlüsselten Nachrichten einzusehen, wenn man es dazu aufforderte. Um überhaupt als Kommunikationslösung für Bundesbedienstete in Betracht zu kommen, benötige ein System wie Blackberry mindestens die CC-Stufe EAL 4+. Immerhin ist RIM dieser heute aber ein gutes Stück nähergerückt.