Tschüss Black­Ber­ry — Der Hype um die Spei­che­rung von Pass­wor­ten dürf­te das Ende ein­läu­ten

Regel­mä­ßi­ge Leser vom Pre­tio­so-Blog wis­sen schon lan­ge, dass wir Black­Ber­ry spä­tes­tens seit Mike Lazari­dis’ ver­un­glück­tem Inter­view im Früh­jahr 2011 nicht mehr für sicher hal­ten, wir berich­te­ten hier­über unter ande­rem im Bei­trag Black­Berry — Ist das eine kana­di­sche Fir­ma oder eine US-​Fir­ma?

Mitt­ler­wei­le häu­fen sich die schlech­ten Nach­rich­ten für Black­Ber­ry und die Fir­ma steu­ert noch nicht ein­mal gegen, was aller­dings nichts Nega­ti­ves bedeu­ten muss, da BlackBerry’s Mar­ke­ting und PR-Arbeit noch nie durch Ein­falls­reich­tum und Ori­gi­na­li­tät auf­fiel. Wie immer im Leben ist es auch bei Black­Ber­ry — wenn es kommt, dann kommt es aber auch alles auf ein­mal geballt. Und wie immer in sol­chen Situa­tio­nen schie­ßen die Berich­te ab einem bestimm­ten Zeit­punkt über das Ziel hin­aus. Mitt­ler­wei­le strebt Hei­se im deut­schen Sprach­raum die Markt­füh­rer­schaft für schlech­ten, vor­schnel­len und manch­mal auch miss­ver­ständ­li­chen Jour­na­lis­mus an — Hype-Bericht­erstat­tung ist en vogue.

Der Rei­he nach. Ges­tern hat Frank Rie­ger den Bei­trag Black­ber­ry 10 macht E-Mail-Pass­wor­te für NSA und GCHQ zugreif­bar ver­öf­fent­licht. Frank Rie­ger ist pro­mi­nen­tes Mit­glied des CCC (Cha­os Com­pu­ter Clubs) und hat auch schon bes­se­re Bei­trä­ge geschrie­ben, denn eigent­lich hät­te der Titel lau­ten müs­sen: Black­Ber­ry 10 macht E-Mail-Pass­wor­te für NSA und GCHQ unter bestimm­ten Bedin­gun­gen zugreif­bar, wel­che aber von einem nicht geschul­ten Anwen­der mit hoher Wahr­schein­lich­keit genutzt wer­den, näm­lich, wenn man den Stan­dard-Modus mit Agen­ten für die Email-Ein­rich­tung nutzt.

Gegen Mit­tag hop­pel­te dann Hei­se Secu­ri­ty, wie in letz­ter Zeit fast immer schlecht recher­chiert, mit dem Bei­trag Black­Ber­ry späht Mail-Log­in aus hin­ter­her. Hier bezog man sich zunächst nur auf Ana­ly­sen von Marc Heu­se und ergänz­te im Lau­fe des Tages mit den Ergeb­nis­sen von Rie­ger. Der Bei­trag wur­de im Lau­fe des Tages zwei­mal upge­da­tet, was sei­nen Gehalt nicht wirk­lich ver­bes­ser­te, denn Hei­se kommt auf­grund die­ses natür­lich inak­zep­ta­blen Gerä­te­ver­hal­tens zu fol­gen­dem Schluss:

Ange­sichts der Daten­wei­ter­ga­be müs­sen Fir­men den Ein­satz der Gerä­te wohl neu bewer­ten.

Und mit die­ser Schluss­fol­ge­rung stel­len die Han­no­ve­ra­ner ein­drucks­voll unter Beweis, dass sie das Pro­blem lei­der nicht ver­stan­den haben. Denn Fir­men dürf­ten in den aller­meis­ten Fäl­len ihre Black­Ber­ry 10 Gerä­te mit dem Black­Ber­ry Device Ser­vice (BDS) ver­wal­ten und hier­bei wird die zu Recht kri­ti­sier­te Funk­ti­on über­haupt nicht ver­wen­det. Wenn Fir­men mit Pro­ble­men aus die­sem Ver­hal­ten kon­fron­tiert wer­den, dann aller­höchs­tens in BYOD-Sze­na­ri­en — und auch hier ist das Risi­ko extrem gering — wel­cher Con­su­mer kauft sich schon pri­vat ein BB10-Gerät? Man beach­te den Markt­an­teil.

Nichts­des­to­trotz ist die Über­tra­gung der Daten auf nord­ame­ri­ka­ni­sche Ser­ver extrem unklug von Black­Ber­ry, stellt sie doch das arg gebeu­tel­te Image des Her­stel­lers ein wei­te­res Mal in ein sehr schlech­tes Licht. Im Kern ist die­ses Ver­hal­ten der Gerä­te nach PRISM und Tem­po­ra genau­so inak­zep­ta­bel wie die Über­mitt­lung von WLAN-Pass­wor­ten durch Goog­le. Der klei­ne, aber fei­ne Unter­schied? Goog­le wird auch die­sen Skan­dal über­le­ben.

Nie­mand kann Black­Ber­ry aller­dings vor­wer­fen, dass die Fir­ma ihren Umgang mit den Anwen­der­da­ten den Usern ver­heim­licht. In der Daten­schutz­richt­li­nie, die aller­dings die­sen Namen kaum ver­dient und vor dem Hin­ter­grund der ange­wand­ten Pra­xis auch nicht deut­schem Daten­schutz­recht ent­spricht, wird unter Zif­fer 4 abso­lut ein­deu­tig aus­ge­führt, was Black­Ber­ry alles spei­chert:

Anga­ben über Kon­to und Mit­glied­schaft: Ver­ar­bei­te­te Daten kön­nen Ihren Namen, Ihre Wohn­an­schrift, E-Mail-Adres­se. Tele­fon­num­mer, Black­Ber­ry ID, Gerä­tei­den­ti­fi­ka­ti­ons­merk­ma­le, wie z.B. Ihre Black­Ber­ry PIN, Ihren Mobil­funk­an­bie­ter, Ihre Kom­mu­ni­ka­tio­nen mit RIM und auf­ge­zeich­ne­te Beschwer­den umfas­sen. RIM kann außer­dem Ihre Kon­to-Zugangs­be­rech­ti­gun­gen, Pass­wör­ter, Pro­fil­da­ten und ande­re Anga­ben ver­ar­bei­ten, die Sie lie­fern, um das RIM Ange­bot leich­ter nutz­bar zu gestal­ten.

Das ist schon jah­re­lang so skan­da­lös gere­gelt, inso­fern erstaunt mich der jetzt los­ge­tre­te­ne Hype. Genau die­se Daten­schutz­richt­li­nie ist einer der Grün­de, war­um ich Black­Ber­ry seit 2011 nicht mehr traue — denn die Daten­schutz­richt­li­nie gilt für alle Ange­bo­te von Black­Ber­ry, gera­de auch für die Ange­bo­te für Busi­ness­kun­den.

Doch dies ist nicht der ein­zi­ge Ein­schlag der letz­ten Tage, auch in Indi­en pro­du­zier­te Black­Ber­ry — wie­der ein­mal — nega­ti­ve Schlag­zei­len. Die Times of India berich­te­te vor 9 Tagen im Bei­trag Government, Black­Ber­ry dis­pu­te ends, dass Black­Ber­ry ein Über­wa­chungs­sys­tem zur Über­wa­chung der BIS-Anwen­der in Indi­en auf­ge­baut und den Nach­weis der Funk­ti­on im Voda­fone-Netz erbracht hat. Die Über­ga­be fin­det kurz­fris­tig statt. Black­Ber­ry betont das alte Man­tra:

We also wish to unders­core, once again, that this ena­b­le­ment of law­ful access does not extend to Black­Ber­ry Enter­pri­se Ser­ver.

Also gut, glau­ben wir ein­mal, dass die Inder kei­nen Zugang zum BES erhal­ten haben, der Skan­dal ist auch so schon groß genug und betrifft natür­lich auch Fir­men, die BIS-Gerä­te nut­zen.

Denn all das Mar­ke­ting um die angeb­lich so siche­re Black­Ber­ry-Infrastru­tur wird auch durch unse­ren Bei­trag Black­Berry — Ist das eine kana­di­sche Fir­ma oder eine US-​Fir­ma? beant­wor­tet. Black­Ber­ry mit sei­nem ame­ri­ka­ni­schen Head­quar­ter unter­liegt unein­ge­schränkt der ame­ri­ka­ni­schen Export­kon­trol­le, die eine Offen­le­gung sämt­li­cher Ver­schlüs­se­lun­gen > 56 Bit vor­schreibt, das zugrun­de­lie­gen­de Pro­blem haben wir zuletzt im Bei­trag MDM-​Es­sen­ti­als — Ist Mobi­le Device Manage­ment (MDM) aus den USA sicher? erläu­tert. Hier der auch Black­Ber­ry betref­fen­de Aus­zug:

Schon vor über einem Jahr haben wir auf die­ses Pro­blem im Bei­trag MDM Essen­ti­als — Siche­res Mobi­le Device Manage­ment vor dem Hin­ter­grund des Patri­ot Act hin­ge­wie­sen. Im Bei­trag Mobi­le Device Manage­ment (MDM) — Sicher­heit und Ver­schlüs­se­lung habe ich auf die Sicher­heits­pro­ble­ma­ti­ken in Bezug auf den Export ame­ri­ka­ni­scher Ver­schlüs­se­lungs­tech­no­lo­gi­en hin­ge­wie­sen, deren Rah­men­be­din­gun­gen im Elec­tro­nic Code of Federal Regu­la­ti­ons (eCFR) fest­ge­legt sind.

Alle Güter, die der Export­kon­trol­le unter­lie­gen sind in soge­nann­ten Com­mer­ce Con­trol Lists (CCL) zusam­men­ge­fasst, deren Basis im Rah­men der Export Admi­nis­tra­ti­on Regu­la­ti­ons (EAR) vom Bureau of Indus­try and Secu­ri­ty (BIS), einer Unter­ab­tei­lung des Han­dels­mi­nis­te­ri­ums, fest­ge­legt wird. In den EAR gibt es eine Kate­go­rie Cate­go­ry 5 Part 2 — Infor­ma­ti­on Secu­ri­ty die die Export­be­schrän­kun­gen für Ver­schlüs­se­lungs­tech­no­lo­gi­en regelt. Hier kön­nen Sie selbst nach­le­sen wie detail­liert die Ame­ri­ka­ner den Export von Pro­duk­ten und Tech­no­lo­gi­en mit Ver­schlüs­se­lung regeln — auf Sei­te 4 des zuletzt am 20.06.13 aktua­li­sier­ten Doku­men­tes fin­den Sie unter a.1.a die Regu­lie­rung des Exports von Ver­schlüs­se­lung > 56 Bit.

Vor dem Hin­ter­grund die­ser Tat­sa­chen steht es natür­lich jedem frei für sich zu ent­schei­den, ob Black­Ber­ry sicher ist oder nicht. Unse­re Mei­nung ist ein­deu­tig ableh­nend, genau­so wie zu Sam­sung /​Andro­id, doch dazu mor­gen mehr. Allen Prot­ago­nis­ten der Tech­no­lo­gie sei gesagt, dass spä­tes­tens PRISM ans Tages­licht brach­te, dass das US-Ver­tei­di­gungs­mi­nis­te­ri­um nur Tech­no­lo­gi­en ein­setzt, über die es die tota­le Kon­trol­le besitzt. Black­Ber­ry war lan­ge Jah­re der Hof­lie­fe­rant vom DoD und lässt sich die­sen Sta­tus gera­de von Sam­sung abja­gen, auch dazu mor­gen mehr.

Doch nicht nur das DoD wen­det sich von Black­Ber­ry ab, der Exo­dus der Insti­tu­tio­nen und Busi­ness-Anwen­der schwillt immer mehr an, was auch wir tag­täg­lich erle­ben. Die Los Ange­les Times hat dar­über heu­te in ihrem Bei­trag Black­Ber­ry keeps losing custo­mers as it tri­es to turn its­elf around berich­tet. Gro­ße öffent­li­che Auf­trag­ge­ber wie das Natio­nal Trans­por­ta­ti­on Safe­ty Board, die U.S. Immi­gra­ti­on and Customs Enforce­ment, das Bureau of Alco­hol, Tob­ac­co, Fire­arms and Explo­si­ves und die Natio­nal Ocea­nic Atmo­s­phe­ric Admi­nis­tra­ti­on haben Black­Ber­ry aus­ge­mus­tert.

Und die Fir­men ste­hen nicht nach. Die LA Times führt bei­spiel­haft Home Depot und Yahoo an, die Black­Ber­ry ver­las­sen haben, wobei dies nur die Spit­ze des Eis­bergs ist. Inso­fern nähern sich die Tage, wo Black­Ber­ry wie­der ein inter­es­san­tes Invest­ment für risi­ko­freu­di­ge Anle­ger wird, die auf eine Über­nah­me spe­ku­lie­ren. Heu­te hat die Aktie den Kurs von 9 USD unter­schrit­ten, was aus Sicht man­cher Ana­lys­ten den der­zei­ti­gen Wert der Cash-Bestän­de und Paten­te zu unter­schrei­ten beginnt.

Über­nah­me oder Insol­venz ist die offe­ne Fra­ge und für bei­des gibt es Argu­men­te. Sicher kann ein Inves­tor noch ein­mal ver­su­chen Black­Ber­ry zu bele­ben, die Fra­ge ist bloß, wie man das der­zeit im Sturz befind­li­che Unter­neh­men bes­ser und neu posi­tio­nie­ren kann. Ein bes­se­res Mar­ke­ting wäre hier­bei von gro­ßer Bedeu­tung. Ob dies hilft und nach dem mas­si­ven Ader­lass der letz­ten Mona­te, den Heins jetzt noch fort­set­zen will, noch mög­lich ist, steht in den Ster­nen.

Ent­sin­nen Sie sich — Palm war auch ein tol­les Unter­neh­men mit tol­len Gerä­ten. Ich per­sön­lich glau­be, dass Black­Ber­ry das Remake von Palm wird. Und des­halb glau­be ich auch, dass Black­Ber­ry in einer zeit­ge­mä­ßen Mobi­li­ty-Stra­te­gie nichts mehr zu suchen hat. Was mei­nen Sie?


Ande­re inter­es­san­te Bei­trä­ge:
datomo Mobi­le Device Manage­ment (MDM) 3.8.6 /​3.8.7 — Ver­bes­ser­te Gerä­te­über­wa­chung und Gerä­te­viel­falt
In der letz­ten Woche haben wir zwei neue Minor Releases von datomo Mobi­le Device Manage­ment ver­öf­fent­licht — am Mon­tag die Ver­si­on 3.8.6 und am Frei­tag die Ver­si­on 3.8.7. Die­se Ver­sio­nen dien­ten zum einen dem Bug­fi­xing und der Vor­be­rei­tung auf die bald erschei­nen­de Ver­si­on 3.9. Hier­zu zählt eine Ver…
Inter­view zu Pri­va­te Use Of Com­pa­ny Equip­ment (PUOCE) und Bring Your Own Device (BYOD)
In letz­ter Zeit errei­chen uns immer mehr Anfra­gen, ob Inhal­te aus dem Pre­tio­so Blog für Bache­lor- oder Mas­ter­ar­bei­ten ver­wandt wer­den dür­fen. Natür­lich und gern, wenn die Spiel­re­geln des Urhe­ber­rechts ein­ge­hal­ten wer­den. Und über ein Beleg­ex­em­plar freu­en wir uns auch immer. In die­sem Zusam­men­hang wu…
datomo Mobi­le Device Manage­ment 3.10.4 — Neue Fea­tures bei der iOS-Unter­stüt­zung
2013 ist noch kei­ne zwei Mona­te alt und wir ver­öf­fent­li­chen schon das vier­te Update für datomo Mobi­le Device Manage­ment! Im Schnitt lie­fern wir alle zwei Wochen ein neu­es Update, wel­ches den Vor­sprung von datomo MDM kon­ti­nu­ier­lich aus­baut und fort­lau­fend neue Fea­tures in die Lösung inte­griert, vie­le…
datomo Mobi­le Device Manage­ment – MDM-Allein­stel­lungs­merk­mal: Unein­ge­schränkt ska­lier­ba­re Pro­xy-Funk­tio­na­li­tät
datomo Mobi­le Device Manage­ment kenn­zeich­net sich durch zahl­rei­che Allein­stel­lungs­merk­ma­le und hebt sich mit ver­schie­de­nen Fea­tures deut­lich aus dem Markt her­vor. So ist auch die unbe­schränk­te Kon­fi­gu­ra­ti­ons­mög­lich­keit der Pro­xy Struk­tur in datomo Mobi­le Device Manage­ment ein­ma­lig. Was macht ein Pr…
Mobi­le Device Manage­ment (MDM) — Best Prac­tices für die Aus­wahl eines Sys­tems — Video
Heu­te ver­öf­fent­li­chen wir das nächs­te Video — dies­mal zum zwei­ten Vor­trag mit dem Schwer­punkt Best Prac­tices, den Klaus Düll auf der CeBIT 2016 — neben der Ein­füh­rung eines MDM-Sys­tems hier nun über die Aus­wahl eines geeig­ne­ten MDM-Sys­tems — gehal­ten hat. Mobi­le Device Manage­ment (MDM) ist für vie…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.