BSI warnt vor Blackberry

[koehlerbv]

Gravierende Sicherheitslücken hat das Bundesamt für Sicherheit in der Informationstechnik laut eines Zeitungsberichts in Taschen-PCs der Marke Blackberry entdeckt. Die Beamten warnen vor Spionagegefahr.

Weiter hier im SPON vom 05.10.2005

Was mich an Meldungen wie solcher immer wieder bestürzt: Der Technik wie hier von RIM ist doch bekannt und relativ offen gelegt. Jeder weiss also bereits vor der Entscheidung für oder gegen Blackberry, auf was er sich da einlässt (oder nicht). Was soll also das Geschrei ?
Witzigerweise kann man auf der Seite des BSI "Blackberry" als Suchbegriff eingeben und bekommt als Ergebnis, dass kein Ergebnis vorliegt 

Bernhard

[Driri]

Naja, ob das jeder weiß ?

Voodoofone z.B. vermarktet Blackberry, auch für Privatpersonen. Und da weiß garantiert nur ein geringer Prozentsatz, worauf er sich einläßt.
Okay, den Hinweis des BSI lesen die vermutlich auch nicht 

[Gandhi]

Also ich hätte damit auch kein Problem...meine Mails kann ruhig jeder lesen - und sich damit langweilen...
Bei Firmen ist das insofern natürlich kritischer, als da Forschungsergebniss und Dinge, die zu Kursveränderungen führen können exponiert sein können. Wobei sich bei mir immer die Frage stellt, ob es nicht viel einfachere Wege gibt diese zu bekommen (bei Forschung z.B. Mitarbeiter abwerben) und ob es sich dann lohnt diese Lücke zu schliessen.

[tschroeder]

...
Bei Firmen ist das insofern natürlich kritischer, als da Forschungsergebniss und Dinge, die zu Kursveränderungen führen können exponiert sein können....

Warum regen sich die Leutchen eigendlich auf. 

Der größte Teil des Mailverkehrs dürfte doch immernoch unverschlüsselt durch die Welt. Und wenn sie dann doch verschlüsselt sind, hat der BB ein Problem (zumindest wenn sich auch verschlüsselt in der DB abgelegt werden).

Schönen Gruß und Feierabend (ich mach selbigen jetzt!!)

Thorsten

[flaite]

Kapiere ich auch nicht so ganz.
Man kann 2 Sachen verschlüsseln:
a) den Übertragungsweg (bei Blackberry nicht sicher)  und
b) die Nachricht selbst. (das ist sicher und geht bestimmt auch mit Blackberry).

Axel 

[koehlerbv]

b) die Nachricht selbst. (das ist sicher und geht bestimmt auch mit Blackberry).

Eben nicht, Axel. Schick' einem Brombeer-Besitzer eine verschlüsselte Nachricht, und er wird Dich lieben ...

Bernhard

[MartinG]

Die Info ist schon relativ heiss. Wir haben in der Firmengruppe bei uns auch im Moment eine rege BB-Diskussion und es ist IMHO einfach so, das der komplette Verkehr über RIM-Server läuft, was m.E. einfach ein ungutes Gefühl hinterlässt...

Die Info hier fand ich recht interessant, und ist ausnahmsweise mal ein sinnvoller Beitrag im heise-Forum:

http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=8974966&forum_id=85818

[flaite]

Worauf ich hinauswill... und das ist bei existierenden BB Installationen vielleicht kein Service der so einfach da ist oder ziemlich in jeder Hinsicht kompliziert einzurichten ist.
Weil das geht eigentlich imho nicht mit einfacher Public-Private Key Verschlüsselung.
Wenn User A und User B einen gemeinsamen symetrischen Key haben den BB nicht hat und mit diesem key subject und body verschlüsselt werden, dann hat BB und eigentlich keiner Zugriff.
Dieser symetrische Key kann auch in einer session erzeugt werden. Mit dem Public Key des Empfängers verschlüsselt. Ziemlich kompliziert. Geb ich zu.
Aber so die Art laufen die Diskussionen um Verschlüsselung von Webservices.
Ich halte das für technisch machbar.
Ungefähr so:
User A möchte User B eine Mail schicken.
Er schickt User B seinen public key.
User B erzeugt einen symetrischen Schlüssel mit dem public key von User B und speichert diesen und schickt ihn zu user a.
User a entschlüsselt den symetrischen Schlüssel, den er von User B erhalten hat mit seinem private key.
Dann kann er mit dem symmetrischen Schlüssel das Subjekt und das Body Feld encrypten.
Und die Mail an User A schicken.
User A kann die Mail wieder mit dem symetrischen Key entschlüsseln.

Nicht besonders userfreundlich, aber sicher.

Aber mit dem vielen Interesse, das BB in den letzten 6 Monaten erzeugt hat.
Wieso ist eigentlich keiner früher auf diese Fragen gekommen?

Axel

[koehlerbv]

Aber mit dem vielen Interesse, das BB in den letzten 6 Monaten erzeugt hat.
Wieso ist eigentlich keiner früher auf diese Fragen gekommen?

Wie kommst Du darauf, Axel ? Den BB gibt es ausserdem schon erheblich länger als sechs Monate. Und ich kenne etliche Organisationen, bei denen der BB genau wegen dieser (frühen) Erkenntnis abgelehnt wurde. Und mit Bordmitteln (vor allem so, wie Du es skizziert hast) kannst Du nicht separat veschlüsseln, wenn Du nicht den Push-Dienst via Domino-Server via BES verlieren willst.
Daher ja auch mein Unverständnis, warum jetzt so ein Geschrei erhoben wird, da diese Ffakten seit Jahren bekannt sind.

Bernhard

[heulesuse]

Nanu, es ist doch klar, dass es hier nicht um Sichereit geht sondern um Marketing.

Wir wissen doch alle das Billy Boy in den Mark einsteigen will Oder ?? Also nach denken.....

mfg.

[koehlerbv]

Nanu, es ist doch klar, dass es hier nicht um Sichereit geht sondern um Marketing.

Hä ?? Die Problematik, die wir HIER diskutieren, hat absolut und gar nichts mit Marketing zu tun, sondern mit den reelen Chancen eines Anzapfens sensibler Daten und dass dieser Fakt den Fachleuten von Anfang an bekannt war. Marketing und Polemik interessiert uns in diesem Zusammenhang einen Sch..ssdreck. Und auf die Marketing-Komponente habe ich schon im Ausgangsthread hingewiesen ...

Abgesehen davon: Die "Heulsuse" nennt natürlich einen wichtigen Aspekt. Nur waren wir darüber schon weit hinaus ...

Bernhard

[flaite]

Für mich sind das Verschwörungstheorien.
Bitte unbedingt lesen: http://de.wikipedia.org/wiki/Verschw%C3%B6rungstheorien

[koehlerbv]

Ist das gleich eine Verschwörungstheorie, wenn eine Organisation es nicht leiden mag, wenn ihre Mails ungesichert über die Drähte (und hier noch: Über Server von Dritten) wandern ?
Aber man muss dies ja halt eben auch nicht tun. Nur: Wie kann man das beim Blackberry ändern ? Mir fehlen da (mangels Wissen) die Alternativen.

Bernhard

[MartinG]

Klar kann man sagen, das die Technik etc alles schon bekannt war.

Ich gehe halt davon aus, das es sehr vielen hier und in der IT-Welt nicht bekannt war, das der komplette Blackberry-Verkehr über deren Server geroutet wird. Ob verschlüsselt oder nicht, lasse ich jetzt mal dahingestellt.

Ich bin selber bin bis zu dem Artikel auch davon ausgegangen, das wenn man einen eigenen BB-Enterpriseserver hat, dieser die Mails direkt ins Mobilfunknetz rausschickt. Das aber der komplette BB-Verkehr über deren Server geroutet wird, hinterlässt bei mir auch ein komisches Gefühl...

[eknori]

Und ich darf dieses Spielzeug ab Montag für unseren Vertrieb installieren 

[DaWutz]

Wir haben das auch erst im Einsatz, seit unsere kanadische Mutter damit angefangen hat. Was Sicherheit angeht sind die eigentlich regelrecht paranoid, aber das brauche sie trotzdem unbedingt. 

Naja, da es sich aber "nur" um Mails handelt, finde ich es pers. nicht so bedenklich. Zugriff auf DB´s wäre sicher viel viel böser. Aber so...

Wobei, Du kannst den BB ja nutzen, um damit per BBB (BlackBerrryBrowser) aufs Webmail zuzugreifen... 

[Driri]

Nur Mails ist gut.

Ich möchte nicht wissen, wieviele Mails mit brisantem Inhalt in den Maildatenbanken einiger Geschäftsführer, Abteilungsleiter aber auch Mitarbeiter liegen.

Anyway, ich denke es gibt eh nur zwei Möglichkeiten : Entweder man vertraut Blackberry, daß die ihr System entsprechend abgesichert haben oder eben nicht.

Glücklicherweise gibt es ja Alternativen.

[Gandhi]

Zum Glück sind die nicht in den USA beheimatet...ich sage nur Heimatschutz...

[koehlerbv]

Es gibt sicherlich auch zahlreichere weitere Zitate (SPON, Heise usw.), aber das habe ich gerade als Link in der Zwischenablage:
BSI rudert bei BlackBerry-Kritik zurück

Wie ich schon ganz am Anfang schrieb: Es ist halt alles relativ 

Der Vollständigkeit halber sollte diese aktuelle Situation aber erwähnt werden.

Bernhard

[MartinM]

Hey Leute

Ich gehe mal davon aus, dass das BSI und auch viele, nicht ganz verstanden haben wie der BB funktioniert.

Gehen wir mal davon aus, dass wir weder bei einer Bank noch bei einem Staatlichen unternehmen arbeiten, dann ist der BB durchaus sicher gegenüber dritten, welche mails mitlesen möchten.

Ich hatte sogar schon mal das vergnügen, mit ner Firma zu sprechen, welche gesagt haben, BB, kommt mir net ins Haus. Zu unsicher. Im gleichen Atemzug dürfen aber deren Mitarbeiter von jeglichem Internet Kaffee aus auf dem Domino Web Server einloggen. Und dies nicht einmal mit Session Authentication, sondern Basic. Nein meiner Herren, keine SecID nix. Plain text. Aber den der mit AES verschlüsselte BB kritisieren.

Ich, für meinen Teil kann einer RIM genau so gut vertrauen, wie ich das einer IBM oder einer Swisscom Mobile kann. Und wem das nicht reicht, in Q1 sollte das PGP für Blackberry erscheinen. Das ist dann die Verschlüsselung für die Verschlüsselung. Doppel genäht hält besser 

Ich habe Blackberry erfolgreich auf 200 Benutzer weltweit ausgerollt. BES ist gegenüber dem OneBridge um Meilen voraus, in Bezug auf Management der Clients, Policies und Einrichten.

Nun bin ich bei ner neuen Firma und auch da machen wir uns gerade eben Gedanken den Blackberry für unsere VIP's einzuführen. ROI => 5 Monate

Und was den brisanten Inhalt in den Mailboxen angeht, sorry, gewisse Dinge gehören nun mal nicht dort hinein

Gruss
Martin