Mobile Geräte sind aus Sicherheitsgründen in vielen Unternehmen nicht gerne gesehen. Dies scheint sich nun zu ändern. Seit die kanadische Research in Motion (RIM) mit ihrer Technologie auch den europäischen Markt bedient, schaffen sich immer mehr Unternehmen – darunter auch Banken – die sogenannten Blackberrys an. Die auf das Schreiben von Texten mittels einer Zwei-Daumen-Tastatur optimierten Handhelds versprechen eine sichere Kommunikation zwischen mobilem Gerät und dem Unternehmensnetzwerk.
Eine Sicherheitsstudie des österreichischen Zentrums für sichere Informationstechnologie in Wien bescheinigt dem Blackberry und der dazugehörigen Software bei der Datenübertragung eine mit einem VPN (Virtual Private Network) vergleichbare Sicherheitsstufe. Im Vergleich mit anderen mobilen Lösungen überzeugen aber auch die Applikationssicherheit und die einfache zentrale Verwaltung der Geräte die Sicherheitsverantwortlichen von Unternehmen. So setzt inzwischen auch das US-Verteidigungsministerium auf Blackberry.
Die Erfolgsgeschichte von RIM begann 1984 im kanadischen Waterloo. Bereits vor dem Jahrtausendwechsel, als Europa gerade vom SMS-Fieber erfasst wurde, machten sich die interaktiven Pager der Kanadier in den Westentaschen nordamerikanischer Geschäftsleute breit. Im Jahr 2000 erweiterte RIM seinen Zweiweg-Pager dann um PIM-Funktionen (Personal Information Management) wie Kalender, Kontaktverzeichnis und Aufgabenlisten. In einem zweiten Schritt wurden die funkenden PDAs 2002 zusätzlich mit Mobilfunk-Funktionen zu eigentlichen Smartphones ausgebaut. Und jetzt erobern die Gerätchen mit der speziellen Tastatur und dem betont funktionalen Design auch die europäischen Teppichetagen. RIM ist heute monopolartiger Marktbeherrscher in Sachen mobiles E-Mail für Unternehmensanwender.
Blackberry in der Unternehmens-IT
Im Unterschied zu herkömmlichen Lösungen für mobile Geräte, die per POP3 oder IMAP an den Mailserver angebunden sind, verwendet Blackberry eine proprietäre Push-Technologie. Das heisst, eine Mail oder auch andere Daten werden vom Blackberry Enterprise Server aktiv an den mobilen Empfänger geschickt, ohne dass dieser eine Anfrage starten muss. So kann überflüssiger Datenverkehr vermieden werden, und dringende Nachrichten kommen unmittelbar zum Adressaten, auch wenn dieser nicht daran denkt, nachzufragen.
Attraktiv macht Blackberry aber nicht nur die Push-Technologie, sondern auch die einfache Installation und Verwaltung. Die Lösung kann standardisiert ins Unternehmensnetzwerk integriert werden. Die Endgeräte lassen sich zentral verwalten, und die Konfigurationsmöglichkeiten der Enduser praktisch vollständig unterbinden.
In der aktuellen Version 4.0 besteht das Blackberry-Paket aus dem Blackberry Enterprise Server, einer Java-Entwicklungsumgebung zur Erstellung von eigenen Applikationen, einem Content Developers Kit und den Endgeräten. Die Server-Software wird im Unternehmensnetzwerk zwischen Firewall und Mail- respektive Applikationsserver positioniert. Sie rechnet die Daten in ein proprietäres, komprimiertes Format um, das Bandbreite spart, und verschlüsselt automatisch alle herausgehenden Daten nach dem Triple Data Encription Standard (DES, 56 Bit) oder dem Advanced Encription Standard (AES, bis 256 Bit). Der Enterprise Server steht heute in Versionen für Microsoft Exchange, IBM Lotus Domino und Novell GroupWise zur Verfügung. Im weiteren bietet er Schnittstellen zu verschiedenen ERP-, CRM- und SCM-Anwendungen wie SAP oder Siebel. Grundsätzlich lassen sich alle gängigen Anwendungen und Datenquellen mit entsprechendem Aufwand in eine Blackberry-Umgebung einbinden. Zudem werden die Endgeräte über den Server verwaltet.
Für die Endgeräte können mit der Entwicklungsumgebung eigene J2ME-Applikationen (Java 2 Mobile Edition) geschrieben werden. Generell können auf den Handhelds nur Java-Applikationen installiert werden, wobei die Applikationssicherheit durch Beschränkungen des Speicherzugriffs über die J2ME-Spezifikation hinausgeht. Der Administrator hat zudem die Möglichkeit, das Aufspielen von Software durch den Nutzer ganz zu unterbinden.
Bis vor kurzem war die Blackberry-Technik auf die Endgeräte des Herstellers beschränkt. Mit dem Siemens SK 65 steht jetzt ein erstes Smartphone eines Drittherstellers zur Verfügung, das Blackberrys Push-Software integriert hat. Da neben Siemens unter anderem auch Motorola, Nokia, PalmOne, Samsung und Sony-Ericsson die Technik der Kanadier lizenziert haben, ist damit zu rechnen, dass schon bald mehr Geräte von Drittherstellern Blackberry-fähig sein werden.
Diese Built-in-Geräte haben gegenüber den Originalen jedoch einen gewichtigen sicherheitstechnischen Nachteil. Sie sind abgesehen von der Push-Technik ganz normale Smartphones und damit durch den Enduser mehr oder weniger beliebig konfigurier- und erweiterbar. Die Möglichkeit, das Aufspielen von zusätzlicher Software durch den Benutzer einfach zu unterbinden, fällt also weg, und auch die zentrale Kontrolle und Verwaltung über den Enterprise Server von Blackberry ist nicht mehr gleich strikt möglich.
Hauptkaufargument ist für viele Unternehmen die Sicherheit. Die Technik wird inzwischen auch vom US-Verteidigungsministerium akzeptiert, bei dem noch bis vor kurzem ein Moratorium für die Installation von drahtlosen Netzwerken galt. Neben einer starken Verschlüsselung, deren Implementation FIPS-140 (Federal Information Processing Standard) zertifiziert ist, sind auch die Endgeräte und die Applikationen, die auf ihnen laufen, überdurchschnittlich abgesichert.
Die Schlüsselerzeugung findet am Desktop des Benutzers oder durch einen Serverdienst statt. Der Schlüssel wird dann entweder über die Dockingstation oder im Fall der Servererzeugung unter Verwendung von SPEKE (Simple Password Exponential Key Exchange) per Kabel auf den Handheld übertragen. Eine Schlüsselkopie wird dann auf dem Endgerät und eine in einem «Hidden Folder» des Servers gespeichert. Der Server schickt und akzeptiert im weitern nur Daten an oder von einem Endgerät, dessen Schlüssel er kennt. Da für jeden Datentransfer ein neuer Übertragungsschlüssel erzeugt wird, ist ein Abhören des Datenverkehrs praktisch unmöglich.
Die Geräte sind mit einem Bildschirmschoner gesichert, der nach einer definierbaren Zeit den Zugang nur noch per Passwort zulässt. Gegen einen mechanischen Einbruch und das Auslesen der Hardwarekomponenten ist das Gerät grundsätzlich nicht geschützt Die Daten auf dem Gerät können allerdings mit einem AES-Algorithmus verschlüsselt werden.
Gegen schädliche Anwendungen sind die Endgeräte zum einen durch eine strikte Beschränkung auf J2ME-Applikationen geschützt. Diese können grundsätzlich nur auf den für die Java Virtual Machine reservierten Speicherbereich zugreifen. Anwendungen, die auch auf andere Ressourcen Zugriff haben, müssen von RIM digital signiert sein. Es besteht zudem die Möglichkeit, die Installation von Fremdsoftware ganz zu unterbinden. Der Gerätenutzer kann diese und andere Regeln weder ausschalten noch umgehen.
Blackberry ist in seinen Funktionsmöglichkeiten im Gegensatz zu anderen Smartphones oder PDAs vollständig auf die Bedürfnisse von Unternehmensanwendern zugeschnitten. Dies betrifft aber nicht nur die Features, sondern auch die Preise. So kommt eine Installation für 5 Endgeräte auf mehr als 11’000 Franken zu stehen. Als Vertriebskanal stützt sich RIM ausschliesslich auf Mobilfunkanbieter. In der Schweiz haben heute Orange und Swisscom Blackberry im Programm.
Für kleine Unternehmen und Private bietet Blackberry zusätzlich zur teuren Version mit Server im eigenen Unternehmensnetzwerk einen Webservice. Dieser wird derzeit jedoch in der Schweiz noch von keinem Mobilfunkprovider unterstützt. Es stellt sich aber so oder so die Frage, ob die Technik für Kleinunternehmen und Einzelanwender überhaupt Sinn macht. Diese dürften mit herkömmlichen PDAs und Smartphones und den damit möglichen Datendiensten ausreichend und vor allem wesentlich günstiger bedient sein.
Der Erfolg von Blackberry hat in den letzten Monaten Konkurrenz entstehen lassen. So hat HP für dieses Jahr einen iPaq Mobile Messenger angekündigt, der mit der Technik des RIM-Konkurrenten Good Technology ausgestattet sein wird, und Space2go hat in Kooperation mit dem Symbian-Konsortium, das die Betriebssysteme für Handyhersteller wie Nokia, Sony-Ericsson oder Siemens liefert, im vergangenen Herbst eine E-Mail-Push-Software für die Symbian-Plattform entwickelt. Diese Konkurrenzprodukte verfügen allerdings aus dem ganzen Blackberry-Paket im wesentlichen nur über die Push- und allenfalls die Verschlüsselungsfunktionen. Die einfache Implementation und Administration einer ausschliesslich auf Unternehmensbedürfnisse zugeschnittenen Paketlösung sowie die für Sicherheitsverantwortliche wichtigen Restriktionen der User-Rechte können diese Kleincomputer nicht im gleichen Mass pfannenfertig bieten.
