Nachdem das vorherige BlackBerry-OS auf dem proprietären RTOS mit JVM (Java Virtual Machine) basierte, ist BB10 eine Weiterentwicklung des Echtzeit-Betriebssystems QNX, dessen gleichnamiger Hersteller 2010 von BlackBerry übernommen wurde. Der proprietäre, POSIX-kompatible, Unix-Abkömmling ist primär auf den Markt eingebetteter Systeme ausgerichtet. BlackBerry wollte es gleichermaßen für Smartphones und Tablets einsetzen, sagte dann aber die Portierung auf das glücklose PlayBook-Tablet ab.
QNX verwendet eine hochmodulare Microkernel-Architektur, in der jede Softwarekomponente gekapselt ist. Nur ein kleiner Basis-Kern läuft im Kernel- oder Supervisor-Mode des Prozessors. Alle anderen Teile - hardwarenaher Code, Treiber, Dateisystem oder Applikation (Apps) - laufen im User-Modus in einem separaten, geschützten Speicherbereich. Der Prozessmanager steuert sie und übergibt sie zur Ausführung an den Systemkern. Eine Kommunikation zwischen den Komponenten unterbindet das System. Bereits kurz nachdem BB10 vorgestellt wurde, vertrat Tom Kellermann, Vice President für Cyber Security bei Trend Micro, die Auffassung, es handele sich dabei um das sicherste mobile Betriebssystem. Auch BlackBerry selbst brüstet sich, die sicherste mobile Plattform zu betreiben.
Viele Sicherheitsfunktionen sind gegenüber den früheren BB OS/Geräte Versionen unverändert und so werden Administratoren mehr als 500 IT-Richtlinien zur Verfügung gestellt, um das Sicherheitsniveau auf den Endgeräten Personen(-gruppen)-spezifisch anzupassen. So können sie beispielsweise von den Benutzern verlangen, ihre Endgeräte mit Kennwörtern zu schützen und Richtlinien zu deren Länge und Komplexität festlegen. Auf diesem Weg lassen sich zudem Passwörter ändern und gestohlene Smartphones sperren oder löschen. Das System verschlüsselt außerdem alle Daten im geschäftlichen Bereich, hierzu gehören PIM-Daten (Adressbuch, E-Mails, Kalender) aber auch sonstige Nachrichten, Notizen und Aufgaben. Dies kann auch für den privaten Bereich konfiguriert werden.
Kommunikationsverbindung
Wie bisher stellt der BlackBerry Enterprise Server - jetzt in BlackBerry Enterprise Service (BES) umbenannt - über BlackBerrys Network Operation Center (NOC) eine sichere Verbindung zu den Smartphones einerseits und zur firmeneigenen Groupware andererseits her. BES10 bietet die Verschlüsselungsverfahren AES beziehungsweise Triple DES zur Absicherung dieser Verbindung. Die Schlüssel dieses symmetrischen Verfahrens liegen nur auf den Endpunkten, also dem BES und den jeweiligen Endgeräten.
Jedes Gerät hat einen eigenen einzigartigen Schlüssel, der bei der ersten Aktivierung zwischen dem Administrationsdienst und dem Endgerät ausgetauscht und regelmäßig neu ausgehandelt wird. Auf dem BES befinden sich keine Nutzerdaten, sie liegen ausschließlich auf den Datenquellen (zum Beispiel den Exchange-Servern) und den Smartphones.
Seit BB10 können sich die Smartphones jedoch auch direkt mit einem Exchange-Server von Microsoft verbinden, ohne über ein NOC zu kommunizieren. BlackBerry nutzt dafür ActiveSync, um mehr Flexibilität und Skalierbarkeit zu erreichen sowie mehr Geräte und E-Mail-Plattformen zu unterstützen. Auch die bei der Kombination BES/NOC vorhandene 1:1-Zuordnung (lediglich ein Endgerät pro Mail-Account) entfällt.
BlackBerry Balance
Als neue Domäne adressiert BlackBerry mit der Funktion Balance das Thema ByoD (Bring your own Device) beziehungsweise COPE (Corporate Owned, Personally Enabled) und die damit verbundene Gefahr, dass private mit dienstlichen Daten und Anwendungen vermischt werden.
Mit Balance sind Firmen in der Lage, den dienstlichen Bereich (work perimeter) des Geräts uneingeschränkt mit Restriktionen zu beschränken und durch Konfigurationen an die Vorgaben der Firma anzupassen. Diese ist hier in der Lage sowohl Apps zu installieren, entfernen oder Regeln für die Nutzung dienstlicher Apps zu erzwingen. Auf den privaten Bereich hat die Firme hingegen keine Restriktions- und Konfigurationsrechte. Anwender haben in diesem Bereich alle Freiheiten eines privaten Endgerätes.
Seit BES 10.1 und BlackBerry OS 10.1 lässt sich Balance deaktivieren. So konfigurierte Geräte (Regulated Level, also Workspace only) haben ausschließlich dienstlichen Charakter und unterliegen vollständig den Richtlinien des Konzerns. Externe SD-Karten stehen dabei für die dienstliche Nutzung zur Verfügung. Ist Balance aktiviert, lassen sie sich nur im privaten Bereich verwenden.
BlackBerry trennt auch die Apps strikt: Im beruflichen Bereich sind lediglich die vom Administrator erlaubten Downloads aus dem Unternehmens-App-Store "BlackBerry World for Work" und firmeneigene Apps, die per BES installiert wurden, vorhanden. Im privaten Bereich sind die vorinstallierte Anwendungen wie Telefon, SMS, Kamera, Kompass, Twitter, Facebook und alle aus der "BlackBerry World" installierten Apps vorhanden.
Für Apps, die auf dienstliche und private Daten zugreifen sollen, bietet BlackBerry verschiedene Möglichkeiten innerhalb der Architektur. Auf der einen Seite existieren hier Apps mit einer gemeinsamen Sicht auf private und dienstliche Daten. Diese Apps haben auf beide Bereiche des Dateisystems Zugriffsrechte. Hierbei handelt es sich beispielsweise um die Nachrichtenzentrale BlackBerry Hub, PIM Daten (Kalender, Kontakte), die Erinnerungs- sowie die Suchfunktionen des Betriebssystems. Diese Apps können nur von BlackBerry selbst bereitgestellt werden.
Für alle anderen, nicht von BlackBerry stammenden Apps gilt, dass diese entweder auf den dienstlichen oder den privaten Bereich Zugriff haben und niemals auf beide zeitgleich. Es existiert jedoch eine Ausnahme. Es besteht die Möglichkeit, einer App den Zugriff auf die dienstlichen sowie privaten Daten zu geben. Dieser Zugriff kann jedoch immer nur innerhalb des aktiven Kontextes erfolgen und niemals gleichzeitig auf beide. Apps, die hierzu gehören, sind beispielsweise der Browser, der Dateimanager oder auch Medien-Apps für Musik, Bilder oder Videos.
Analog zu den beiden Bereichen sind die Kommunikationskanäle getrennt. Anwendungen im Work Perimeter müssen ihre Daten via NOC oder VPN an den Firmenserver schicken. Letzteres ist eine Neuerung von BB10. Apps im privaten Bereich können lediglich die freien Internetzugänge per Mobilfunk oder WLAN nutzen.
Sicherheit
Im Dateisystem stellt BB10 drei Bereiche zur Verfügung: "Base" für das Betriebssystem selbst, sowie jeweils einen Sektor für private und berufliche Daten. Daten im Base-Teil dürfen Apps nur lesen. Das soll die Integrität gewährleisten und Schäden am Dateisystem verhindern. Zum Schutz des dienstlichen Bereichs dient nach wie vor ein zufällig generierter Domain Key zur Verschlüsselung. Er liegt im Datenbereich, verschlüsselt mit dem im NVRAM gespeicherten Master Key. Anders als beim früheren Betriebssystem ist er nicht mehr mit dem Passwort des Benutzers verschlüsselt, sondern mit einem in der CPU abgelegten, gerätespezifischen und unveränderbaren Schlüssel.
Auf der privaten Seite ist die Verschlüsselung nur optional möglich. Der Administrator kann sie jedoch durch die Policy "Personal Space Data Encryption" erzwingen. Verzichtet das Unternehmen darauf, bleibt dem Anwender die Möglichkeit, sie in den Einstellungen zu aktivieren. In jedem Fall verwendet BB10 analog zur obligatorischen Verschlüsselung ein hierarchisches System von Keys. Alle Encryption-Keys generiert ein kryptografischer Kern, der nach der US-Norm FIPS 140-2 zertifiziert ist. Was das angesichts der Enthüllungen über die Möglichkeiten der US-Sicherheitbehörden bedeutet, ist jedoch unklar. Der Zugriff auf das Dateisystem, das als vom Kern getrennter Prozess implementiert ist, erfolgt grundsätzlich über Standard-API-Aufrufe wie "open(), read(), write()" und "close()".]
Trotz aller Sicherheitsvorkehrung gibt es erste Erfolge, das BB10-Dateisystem zu hacken. So hatten Mitarbeiter von SEC Consult durch eine manipulierte Webseite Zugriff auf das Dateisystem eines "nackten" Endgerätes bekommen (PDF). Bei ihm war die Balance-Option noch nicht aktiviert, sodass die Forscher nur auf dem ab Werk unverschlüsselten privaten Bereich tätig waren. Ein Eindringen in den verschlüsselten Bereichs ist bislang noch nicht bekannt geworden.
Ähnlich wie andere Plattformen stellt das "Sandboxing" in BB10 Mechanismen bereit, mit denen sich Berechtigungen und Ressourcen einzelner Apps verwalten und einschränken lassen. Jeder Applikations-Prozess läuft in einer eigenen Sandbox, die aus Arbeitsspeicher und einem zum Zeitpunkt des Zugriffs zugeordneten Speicherbereich des Dateisystems besteht. Das System gibt somit die Speicherbereiche für die App frei, d.h. eine andere App kann nicht hineinschreiben.
Android-Apps in Sandbox
Auch der Android-Player, der für Googles Betriebssystem geschriebene Apps ausführt, nutzt eine Sandbox. Android-Anwendungen lassen sich nur im privaten Bereich einsetzen. Die überall beschworene Kompatibilität mit Android Apps spielt somit in einem dienstlichen Kontext aktuell noch keine Rolle.
Damit ein Entwickler eine App in der BlackBerry World anbieten kann, muss er sie digital signieren. Dazu benötigt er einen Schlüssel von BlackBerry und muss dem Hersteller das Programm zur Prüfung und Genehmigung vorlegen. Nur mit der gültigen Signatur, die seine Integrität garantiert, lässt es sich auf dem Endgerät ausführen. Ferner scannt das Unternehmen mit dem Dienst eines Drittanbieters alle Anwendungen in seinem elektronischen Laden auf Schadsoftware. Der Download daraus erfolgt jedoch unverschlüsselt per HTTP-Protokoll.
Unsignierten Code könnten Entwickler mit Hilfe der Debug-Werkzeuge auf einem Endgerät ausführen (Sideloading). Bei Produktivgeräten sollte man das durch geeignete Regeln unterbinden, denn sonst ließen sich auch Apps aus inoffiziellen Quellen installieren.
Außerdem gibt es eine wenig bekannte Möglichkeit, Programme ohne Debug Token und ohne Signierung auszuführen: Das sind native QNX-Programme, die man mit der QNX Software Development Platform erstellt hat.
Für jede installierte Anwendung legt BB10 einen Ordner im Verzeichnis "/apps" an. Andere Verzeichnisse im "/apps"-Ordner oder die Daten anderer Apps in "/accounts/*/appdata" kann das Programm nicht lesen. Die von ihm benötigten Anforderungen an Sicherheits- und Datenschutzrechten enthält eine mitgelieferte Manifestdatei. Die Verwendung von Systemfunktionen, etwa der Kamera, muss der Anwender bestätigen. Er kann diese Zustimmung jederzeit widerrufen. Unabhängig davon hat der Administrator die Möglichkeit, diese Features generell abzuschalten.
BB10 enthält erstmals einige weniger offensichtliche Sicherheitsfunktionen wie ASLR (address space layout randomization), DEP (data execution prevention) und Stack Cookies, die das Eindringen über App-Schwachstellen erschweren sollen.
Jedes Gerät nutzt einen Mechanismus, der verifiziert, dass der Code im Boot-ROM auf dem Gerät ausgeführt werden darf. Der Hersteller schreibt diesen Code in den Prozessor und signiert ihn mit einem privaten RSA-Schlüssel. Das Gerät speichert dabei die Informationen ab, um die digitale Signatur des boot ROM Codes zu verifizieren.
Nur wenn Signaturprüfung des Boot-ROM-Code erfolgreich verläuft, startet das Betriebssystem. So will BlackBerry JailBreaks sicher erkennen und verhindern.
Zurzeit bietet noch kein Hersteller Schutzsoftware gegen Schadsoftware für BB10-Geräte an. Dadurch besteht zwar das abstrakte Risiko einer Infektion -- allerdings scheint bislang noch keine BB10-Schädlinge zu geben. Einen weiteren Schwachpunkt, den sich BlackBerry 10 mit iOS teilt, ist das Fehlen einer Firewall. Nach Einschätzung von BlackBerry ist ein solches Sicherheits-Gateway unnötig, weil das Sandboxing der Apps Attacken über Netz verhindere. Denkbar ist trotzdem, dass Angreifer versuchen, Pakete einzuschleusen, die eine bisher unentdeckte Schwachstelle ausnutzen.
Apps laufen auf BlackBerry-Geräten zwar in einer geschützten Umgebung, die den direkten Zugriff auf das Betriebssystem nicht erlaubt. Dieser Schutz wirkt jedoch nicht oder nur eingeschränkt, wenn ein kompromittiertes Betriebssystem anderen Apps den Zugriff erlaubt oder selbst unerlaubt auf Daten zugreift. Hier muss die Praxis zeigen wie zuverlässig Balance die Trennung gewährleisten kann.
Fazit
Das Hauptproblem bei auch beruflich genutzten Smartphones, nämlich die Trennung dienstlicher und privater Daten, geht BB10 mit Balance ziemlich elegant an. Allerdings benötigt man dafür einen BES, was die Datentrennung gerade für Selbständige und Freiberufler aufwendig gestaltet. Dafür erscheinen die Maßnahmen, um ein Eindringen in das System zu verhindern ziemlich wirkungsvoll. Zum ersten Mal liefert BlackBerry ein System, das alle Binärdateien selbst ausführt und wie alle anderen Smartphones per Internet kommuniziert. (mb/hal)