Tschüss Black­Ber­ry — Der Hype um die Spei­che­rung von Pass­wor­ten dürf­te das Ende ein­läu­ten

Regel­mä­ßi­ge Leser vom Pre­tio­so-Blog wis­sen schon lan­ge, dass wir Black­Ber­ry spä­tes­tens seit Mike Lazari­dis’ ver­un­glück­tem Inter­view im Früh­jahr 2011 nicht mehr für sicher hal­ten, wir berich­te­ten hier­über unter ande­rem im Bei­trag Black­Berry — Ist das eine kana­di­sche Fir­ma oder eine US-​Fir­ma?

Mitt­ler­wei­le häu­fen sich die schlech­ten Nach­rich­ten für Black­Ber­ry und die Fir­ma steu­ert noch nicht ein­mal gegen, was aller­dings nichts Nega­ti­ves bedeu­ten muss, da BlackBerry’s Mar­ke­ting und PR-Arbeit noch nie durch Ein­falls­reich­tum und Ori­gi­na­li­tät auf­fiel. Wie immer im Leben ist es auch bei Black­Ber­ry — wenn es kommt, dann kommt es aber auch alles auf ein­mal geballt. Und wie immer in sol­chen Situa­tio­nen schie­ßen die Berich­te ab einem bestimm­ten Zeit­punkt über das Ziel hin­aus. Mitt­ler­wei­le strebt Hei­se im deut­schen Sprach­raum die Markt­füh­rer­schaft für schlech­ten, vor­schnel­len und manch­mal auch miss­ver­ständ­li­chen Jour­na­lis­mus an — Hype-Bericht­erstat­tung ist en vogue.

Der Rei­he nach. Ges­tern hat Frank Rie­ger den Bei­trag Black­ber­ry 10 macht E-Mail-Pass­wor­te für NSA und GCHQ zugreif­bar ver­öf­fent­licht. Frank Rie­ger ist pro­mi­nen­tes Mit­glied des CCC (Cha­os Com­pu­ter Clubs) und hat auch schon bes­se­re Bei­trä­ge geschrie­ben, denn eigent­lich hät­te der Titel lau­ten müs­sen: Black­Ber­ry 10 macht E-Mail-Pass­wor­te für NSA und GCHQ unter bestimm­ten Bedin­gun­gen zugreif­bar, wel­che aber von einem nicht geschul­ten Anwen­der mit hoher Wahr­schein­lich­keit genutzt wer­den, näm­lich, wenn man den Stan­dard-Modus mit Agen­ten für die Email-Ein­rich­tung nutzt.

Gegen Mit­tag hop­pel­te dann Hei­se Secu­ri­ty, wie in letz­ter Zeit fast immer schlecht recher­chiert, mit dem Bei­trag Black­Ber­ry späht Mail-Log­in aus hin­ter­her. Hier bezog man sich zunächst nur auf Ana­ly­sen von Marc Heu­se und ergänz­te im Lau­fe des Tages mit den Ergeb­nis­sen von Rie­ger. Der Bei­trag wur­de im Lau­fe des Tages zwei­mal upge­da­tet, was sei­nen Gehalt nicht wirk­lich ver­bes­ser­te, denn Hei­se kommt auf­grund die­ses natür­lich inak­zep­ta­blen Gerä­te­ver­hal­tens zu fol­gen­dem Schluss:

Ange­sichts der Daten­wei­ter­ga­be müs­sen Fir­men den Ein­satz der Gerä­te wohl neu bewer­ten.

Und mit die­ser Schluss­fol­ge­rung stel­len die Han­no­ve­ra­ner ein­drucks­voll unter Beweis, dass sie das Pro­blem lei­der nicht ver­stan­den haben. Denn Fir­men dürf­ten in den aller­meis­ten Fäl­len ihre Black­Ber­ry 10 Gerä­te mit dem Black­Ber­ry Device Ser­vice (BDS) ver­wal­ten und hier­bei wird die zu Recht kri­ti­sier­te Funk­ti­on über­haupt nicht ver­wen­det. Wenn Fir­men mit Pro­ble­men aus die­sem Ver­hal­ten kon­fron­tiert wer­den, dann aller­höchs­tens in BYOD-Sze­na­ri­en — und auch hier ist das Risi­ko extrem gering — wel­cher Con­su­mer kauft sich schon pri­vat ein BB10-Gerät? Man beach­te den Markt­an­teil.

Nichts­des­to­trotz ist die Über­tra­gung der Daten auf nord­ame­ri­ka­ni­sche Ser­ver extrem unklug von Black­Ber­ry, stellt sie doch das arg gebeu­tel­te Image des Her­stel­lers ein wei­te­res Mal in ein sehr schlech­tes Licht. Im Kern ist die­ses Ver­hal­ten der Gerä­te nach PRISM und Tem­po­ra genau­so inak­zep­ta­bel wie die Über­mitt­lung von WLAN-Pass­wor­ten durch Goog­le. Der klei­ne, aber fei­ne Unter­schied? Goog­le wird auch die­sen Skan­dal über­le­ben.

Nie­mand kann Black­Ber­ry aller­dings vor­wer­fen, dass die Fir­ma ihren Umgang mit den Anwen­der­da­ten den Usern ver­heim­licht. In der Daten­schutz­richt­li­nie, die aller­dings die­sen Namen kaum ver­dient und vor dem Hin­ter­grund der ange­wand­ten Pra­xis auch nicht deut­schem Daten­schutz­recht ent­spricht, wird unter Zif­fer 4 abso­lut ein­deu­tig aus­ge­führt, was Black­Ber­ry alles spei­chert:

Anga­ben über Kon­to und Mit­glied­schaft: Ver­ar­bei­te­te Daten kön­nen Ihren Namen, Ihre Wohn­an­schrift, E-Mail-Adres­se. Tele­fon­num­mer, Black­Ber­ry ID, Gerä­tei­den­ti­fi­ka­ti­ons­merk­ma­le, wie z.B. Ihre Black­Ber­ry PIN, Ihren Mobil­funk­an­bie­ter, Ihre Kom­mu­ni­ka­tio­nen mit RIM und auf­ge­zeich­ne­te Beschwer­den umfas­sen. RIM kann außer­dem Ihre Kon­to-Zugangs­be­rech­ti­gun­gen, Pass­wör­ter, Pro­fil­da­ten und ande­re Anga­ben ver­ar­bei­ten, die Sie lie­fern, um das RIM Ange­bot leich­ter nutz­bar zu gestal­ten.

Das ist schon jah­re­lang so skan­da­lös gere­gelt, inso­fern erstaunt mich der jetzt los­ge­tre­te­ne Hype. Genau die­se Daten­schutz­richt­li­nie ist einer der Grün­de, war­um ich Black­Ber­ry seit 2011 nicht mehr traue — denn die Daten­schutz­richt­li­nie gilt für alle Ange­bo­te von Black­Ber­ry, gera­de auch für die Ange­bo­te für Busi­ness­kun­den.

Doch dies ist nicht der ein­zi­ge Ein­schlag der letz­ten Tage, auch in Indi­en pro­du­zier­te Black­Ber­ry — wie­der ein­mal — nega­ti­ve Schlag­zei­len. Die Times of India berich­te­te vor 9 Tagen im Bei­trag Government, Black­Ber­ry dis­pu­te ends, dass Black­Ber­ry ein Über­wa­chungs­sys­tem zur Über­wa­chung der BIS-Anwen­der in Indi­en auf­ge­baut und den Nach­weis der Funk­ti­on im Voda­fone-Netz erbracht hat. Die Über­ga­be fin­det kurz­fris­tig statt. Black­Ber­ry betont das alte Man­tra:

We also wish to unders­core, once again, that this ena­b­le­ment of law­ful access does not extend to Black­Ber­ry Enter­pri­se Ser­ver.

Also gut, glau­ben wir ein­mal, dass die Inder kei­nen Zugang zum BES erhal­ten haben, der Skan­dal ist auch so schon groß genug und betrifft natür­lich auch Fir­men, die BIS-Gerä­te nut­zen.

Denn all das Mar­ke­ting um die angeb­lich so siche­re Black­Ber­ry-Infrastru­tur wird auch durch unse­ren Bei­trag Black­Berry — Ist das eine kana­di­sche Fir­ma oder eine US-​Fir­ma? beant­wor­tet. Black­Ber­ry mit sei­nem ame­ri­ka­ni­schen Head­quar­ter unter­liegt unein­ge­schränkt der ame­ri­ka­ni­schen Export­kon­trol­le, die eine Offen­le­gung sämt­li­cher Ver­schlüs­se­lun­gen > 56 Bit vor­schreibt, das zugrun­de­lie­gen­de Pro­blem haben wir zuletzt im Bei­trag MDM-​Es­sen­ti­als — Ist Mobi­le Device Manage­ment (MDM) aus den USA sicher? erläu­tert. Hier der auch Black­Ber­ry betref­fen­de Aus­zug:

Schon vor über einem Jahr haben wir auf die­ses Pro­blem im Bei­trag MDM Essen­ti­als — Siche­res Mobi­le Device Manage­ment vor dem Hin­ter­grund des Patri­ot Act hin­ge­wie­sen. Im Bei­trag Mobi­le Device Manage­ment (MDM) — Sicher­heit und Ver­schlüs­se­lung habe ich auf die Sicher­heits­pro­ble­ma­ti­ken in Bezug auf den Export ame­ri­ka­ni­scher Ver­schlüs­se­lungs­tech­no­lo­gi­en hin­ge­wie­sen, deren Rah­men­be­din­gun­gen im Elec­tro­nic Code of Federal Regu­la­ti­ons (eCFR) fest­ge­legt sind.

Alle Güter, die der Export­kon­trol­le unter­lie­gen sind in soge­nann­ten Com­mer­ce Con­trol Lists (CCL) zusam­men­ge­fasst, deren Basis im Rah­men der Export Admi­nis­tra­ti­on Regu­la­ti­ons (EAR) vom Bureau of Indus­try and Secu­ri­ty (BIS), einer Unter­ab­tei­lung des Han­dels­mi­nis­te­ri­ums, fest­ge­legt wird. In den EAR gibt es eine Kate­go­rie Cate­go­ry 5 Part 2 — Infor­ma­ti­on Secu­ri­ty die die Export­be­schrän­kun­gen für Ver­schlüs­se­lungs­tech­no­lo­gi­en regelt. Hier kön­nen Sie selbst nach­le­sen wie detail­liert die Ame­ri­ka­ner den Export von Pro­duk­ten und Tech­no­lo­gi­en mit Ver­schlüs­se­lung regeln — auf Sei­te 4 des zuletzt am 20.06.13 aktua­li­sier­ten Doku­men­tes fin­den Sie unter a.1.a die Regu­lie­rung des Exports von Ver­schlüs­se­lung > 56 Bit.

Vor dem Hin­ter­grund die­ser Tat­sa­chen steht es natür­lich jedem frei für sich zu ent­schei­den, ob Black­Ber­ry sicher ist oder nicht. Unse­re Mei­nung ist ein­deu­tig ableh­nend, genau­so wie zu Sam­sung /​Andro­id, doch dazu mor­gen mehr. Allen Prot­ago­nis­ten der Tech­no­lo­gie sei gesagt, dass spä­tes­tens PRISM ans Tages­licht brach­te, dass das US-Ver­tei­di­gungs­mi­nis­te­ri­um nur Tech­no­lo­gi­en ein­setzt, über die es die tota­le Kon­trol­le besitzt. Black­Ber­ry war lan­ge Jah­re der Hof­lie­fe­rant vom DoD und lässt sich die­sen Sta­tus gera­de von Sam­sung abja­gen, auch dazu mor­gen mehr.

Doch nicht nur das DoD wen­det sich von Black­Ber­ry ab, der Exo­dus der Insti­tu­tio­nen und Busi­ness-Anwen­der schwillt immer mehr an, was auch wir tag­täg­lich erle­ben. Die Los Ange­les Times hat dar­über heu­te in ihrem Bei­trag Black­Ber­ry keeps losing custo­mers as it tri­es to turn its­elf around berich­tet. Gro­ße öffent­li­che Auf­trag­ge­ber wie das Natio­nal Trans­por­ta­ti­on Safe­ty Board, die U.S. Immi­gra­ti­on and Customs Enforce­ment, das Bureau of Alco­hol, Tob­ac­co, Fire­arms and Explo­si­ves und die Natio­nal Ocea­nic Atmo­s­phe­ric Admi­nis­tra­ti­on haben Black­Ber­ry aus­ge­mus­tert.

Und die Fir­men ste­hen nicht nach. Die LA Times führt bei­spiel­haft Home Depot und Yahoo an, die Black­Ber­ry ver­las­sen haben, wobei dies nur die Spit­ze des Eis­bergs ist. Inso­fern nähern sich die Tage, wo Black­Ber­ry wie­der ein inter­es­san­tes Invest­ment für risi­ko­freu­di­ge Anle­ger wird, die auf eine Über­nah­me spe­ku­lie­ren. Heu­te hat die Aktie den Kurs von 9 USD unter­schrit­ten, was aus Sicht man­cher Ana­lys­ten den der­zei­ti­gen Wert der Cash-Bestän­de und Paten­te zu unter­schrei­ten beginnt.

Über­nah­me oder Insol­venz ist die offe­ne Fra­ge und für bei­des gibt es Argu­men­te. Sicher kann ein Inves­tor noch ein­mal ver­su­chen Black­Ber­ry zu bele­ben, die Fra­ge ist bloß, wie man das der­zeit im Sturz befind­li­che Unter­neh­men bes­ser und neu posi­tio­nie­ren kann. Ein bes­se­res Mar­ke­ting wäre hier­bei von gro­ßer Bedeu­tung. Ob dies hilft und nach dem mas­si­ven Ader­lass der letz­ten Mona­te, den Heins jetzt noch fort­set­zen will, noch mög­lich ist, steht in den Ster­nen.

Ent­sin­nen Sie sich — Palm war auch ein tol­les Unter­neh­men mit tol­len Gerä­ten. Ich per­sön­lich glau­be, dass Black­Ber­ry das Remake von Palm wird. Und des­halb glau­be ich auch, dass Black­Ber­ry in einer zeit­ge­mä­ßen Mobi­li­ty-Stra­te­gie nichts mehr zu suchen hat. Was mei­nen Sie?


Ande­re inter­es­san­te Bei­trä­ge:
MDM Essen­ti­als — Mög­li­che Pro­xy-Kon­fi­gu­ra­tio­nen beim Mobi­len Device Manage­ment
Eine der beson­ders häu­fig gestell­ten Fra­gen vor der Ent­schei­dung für ein Mobi­le Device Manage­ment-Sys­tem gilt den mög­li­chen Pro­xy-Sze­na­ri­en, da sich hier­aus einer­seits das Sicher­heits-Kon­zept der Lösung ver­ste­hen läßt, zum ande­ren aber auch schnell beur­tei­len läßt, ob die Lösung zur vor­han­de­nen Infr…
MDM Essen­ti­als — Apple Enter­pri­se App Store (VPP) — How­To Anmel­dung und ers­ter Ein­kauf als Dia­show
Vor weni­gen Tagen haben wir im Bei­trag Apple’s Enter­prise App Store (Volu­me Purcha­se Pro­gram — VPP) in Deutsch­land ver­füg­bar auf das deut­sche VPP-Pro­gramm hin­ge­wie­sen. Seit­dem sind wir täg­lich gefragt wor­den, wie der kon­kre­te Ablauf sich gestal­tet, was man wie machen muss. Wir haben des­halb ein­ma…
MDM Essen­ti­als — Mobi­le Device Manage­ment und Daten­schutz: Wor­auf muss man ach­ten?
Mobi­le Device Manage­ment unter­liegt stär­ker als vie­le ande­re Soft­ware­lö­sun­gen dem Daten­schutz, denn nahe­zu alle Daten, die von einem MDM-Sys­tem ver­ar­bei­tet wer­den, sind per­so­nen­be­zo­ge­ne Daten. Inso­fern ist jeder Anwen­der eines MDM-Sys­tems ver­pflich­tet, dem Aspekt Daten­schutz bei der Aus­wahl des MDM-…
MDM-Essen­ti­als — Kann man Mobi­le Device Manage­ment mit Mobi­le App­li­ca­ti­on Manage­ment (MAM) erset­zen?
Nein! Zumin­dest dann nicht, wenn der siche­re Betrieb der mobi­len Infra­struk­tur wich­tig ist. Und wo ist er dies nicht? Doch der Rei­he nach. Vor zwei Tagen haben wir im Bei­trag MDM-​Es­sen­ti­als — Was hat Mobi­le Device Manage­ment mit App Wrap­ping zu tun? auf die Gren­zen und Risi­ken von App Wrap­ping h…
Das sind die bes­ten MDM-Lösun­gen — Umfra­ge von IP-Insi­der
IP-Insi­der, ein inter­es­san­tes Por­tal rund um The­men der Busi­ness-IT von Vogel Busi­ness Media, hat eine Umfra­ge gestar­tet zum The­ma „Das sind die bes­ten MDM-Lösun­gen”. datomo Mobi­le Device Manage­ment wur­de in die­ser Umfra­ge nomi­niert. Aus der Sicht der Anwen­der von datomo Mobi­le Device Manage­ment ist…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.