Blackberry

Die wesentliche Funktion des Blackberrys besteht darin, überall E-Mails als Push-Dienst empfangen und senden zu können. Darüber hinaus bietet er die üblichen PDA-Funktionen, wie Adressbuch, Kalender, To-Do-Listen etc. und zusätzlich Handy-Funktionen wie Telefonie, SMS und Web-Browsing. Im Unterschied zu einem konventionellen PDA muss sich der Benutzer nicht um die Synchronisierung der Daten kümmern. Beim BlackBerry werden E-Mails, Kalendereinträge, Notizen und Adressbucheinträge per Push-Dienst vom Server auf den Handheld übertragen. Das heißt, dass der Handheld immer auf dem aktuellen Stand gehalten wird, solange eine Verbindung besteht. Das vermindert die entstehenden Kosten, die durch ständiges Abfragen entstehen würden. Gleichzeitig ermöglicht es die sofortige Benachrichtigung und Zustellung bei neuen E-Mails und Terminen wie durch SMS bekannt. Eine weitere wichtige Funktion ergibt sich aus dem Mobilen Datenservice (MDS). Durch diesen ist es möglich auch andere Daten aus dem Firmennetzwerk - z.B. aus ERP-Systemen, Datenbanken etc. - auf dem BlackBerry zugänglich zu machen. So lassen sich Preis- oder Lagerinformationen abrufen, Bestellvorgänge auslösen oder Kundendaten verändern.
Das Herausstellungsmerkmal der BlackBerry-Technik ist, dass die zu übertragende Datenmenge bewusst klein gehalten wird: Der BlackBerry Enterprise Server bereitet alle Daten speziell auf, komprimiert diese und streamt diese dann häppchenweise an das Endgerät heraus. So werden niemals mehr als 2kb Daten an das Handheld geschickt. Erst wenn der Nutzer mehr Daten braucht, werden diese vom Gerät angefordert. Diese Anforderung erfolgt "seamless", dass heißt, ohne das der Anwender dieses merkt, oder warten muss. Beispielsweise können so MByte-große Dateien (wie z.B. PDF- oder Office-Dateien) trotz GPRS-Anbindung schnell geöffnet werden: der BlackBerry Enterprise Server öffnet auf Anforderung den Anhang, wandelt ihn in eine textorientierte Datei um und schickt diese häppchenweise zum Client. Via POP3-Protokoll würde der Server die gesamte Datei ungeändert zum Client schicken: d.h. der Nutzer kann erst dann die Datei öffnen, wenn sie vollständig runtergeladen ist und der Nutzer benötigt ein leistungsstarkes Endgerät um größere Dateien auch entsprechend verarbeiten zu können. Zudem ist jeder Datenverkehr vom Server, aus dem Unternehmensnetzwerk heraus zum Handheld, und zurück, verschlüsselt. Die Original-RIM-Geräte können sogar so eingestellt werden, dass sie den Geräteinhalt nicht nur via Passwort sichern, sondern diesen auch noch verschlüsseln.
Der BlackBerry-Dienst lässt sich nur mit einer speziellen Option nutzen, welche beim Mobilfunkbetreiber extra für die Mobilfunkkarte gebucht werden muss. Diese sogenannte "BlackBerry-Option" beinhaltet eine Grundgebühr, und eine Gebühr für das beauftragte Datenvolumen. Hierbei ist anzumerken, dass für den alleinigen BlackBerry-Push-Dienst, bei ca. 500 E-Mails im Monat und normaler Kalendernutzung (ca. 100 Einträge die Woche), kaum mehr als 1MB im Monat verbraucht wird.

Die Steuerung des Gerätes erfolgt im Wesentlichen mit einem Trackwheel und einer Escape-Taste an der rechten Geräteseite. Damit ermöglicht der Blackberry eine konsequente Einhandbedienung. Im Gegensatz zu anderen Smartphones können alle Funktionalitäten bequem mit einer Hand ausgeführt werden. Die Texteingabe erfolgt über eine, für die Bedienung mit dem Daumen optimierte, vollständige QWERTZ-Tastatur.

Auf den Blackberry-Endgeräten läuft ein proprietäres Betriebssystem der Firma RIM, es unterstützt WAP und Java (J2ME).

Die Endgeräte des Herstellers RIM unterstützen in der momentanen Version alleinig alle Funktionen des BlackBerryEnterpriseServers. Es gibt mehrere Geräte auf dem Markt, welche vom Hersteller definierte Kriterien erfüllen müssen, die ein Teil der Funktionalität unterstützen:

BlackBerry Connect: Es wird die gleiche 3DES Verschlüsselung wie auf den BlackBerry-Handhelds unterstützt. Unterstützt werden E-Mail, Kalender, Kontakte, Browser, Aufgaben und Notizen. Die einzigen Geräte, die zur Zeit BlackBerry Connect beinhalten sind das P910 von Sony Ericsson und die Modelle MDA II und MDA III, vertrieben von T-Online.

BlackBerry Build-In: Auch hier wird die 3DES Verschlüsselung wie auf den BlackBerry-Handhelds unterstützt. Es wird, durch einen zumeist extra aufzuspielenden Software-Client, E-Mail, Kalender und Online-Zugriff auf die Globale Adressliste unterstützt.

Der Push-Dienst wird im Backoffice durch den BlackBerry Enterprise Server (BES) bereitgestellt, der seinerseits über eine Anbindung an die Groupware-Systeme Microsoft Exchange, Novell Groupwise und Lotus Domino verfügt.

Der Server überwacht die Mailbox des Benutzers auf eingehende Mails und leitet diese an das Network Operation Center (NOC) von RIM weiter. Von dort werden die Mails an den Mobilfunkprovider geschickt und dann per Funk an den Blackberry übertragen. Auf dem gleichen Wege funktioniert die Übertragung von Kalendereinträgen, To-Dos, Adressen und Notizen (Push-Dienst). Werden die Einträge auf dem Blackberry erfasst oder E-Mails geschrieben, erfolgt die Datenübertragung in umgekehrte Richtung auf das Groupware-System.

Der BES erlaubt Firmen auch erhöhte Sicherheitseinstellungen. So kann kontrolliert werden, welche Anwendungen installiert sein dürfen (incl. Ferninstallation) und das Gerät bei Verlust auch von einem Administrator aus der Ferne vollständig gelöscht werden (solange noch Verbindung zum Server besteht).

Damit auch Privatanwender und kleine Unternehmen (Prosumer) Teile der Blackberry-Technik nutzen können, stellen die Mobilfunkprovider Server zur Verfügung, die den Basisdienst E-Mail bereitstellen. Hier werden externe POP3/IMAP/OWA/LWA Postfächer eingebunden und die dort abgeholten E-Mails dann an das Handheld weiter geleitet. Dabei besteht die Möglichkeit, Antworten vom Handheld mit einer eigenen E-Mail-Adresse zu maskieren, dass nicht die vom Mobilfunkanbieter generierte E-Mail-Adresse benutzt werden muss. Dieser Dienst wird im Moment in Deutschland von T-Mobile, Vodafone und o2 angeboten. Das Angebot ist zur Zeit noch ein rudimentärer "Postfach-Sammeldient", der empfangene E-Mails einfach weiter leitet, und Antworten mit einer zentralen Absenderadresse versieht. Funktionen wie Kalender-, Adressbuch- oder Aufgabensyncronisation finden nicht statt.

Der Abgleich zwischen Handheld und Server erfolgt bei älteren Modellen über ein spezielles Pager-Netzwerk, bei neueren im GSM Netz über GPRS in verschlüsselter und komprimierter Form. Zur Verschlüsselung wird 3DES und bei Servern ab Version 4 auch AES unterstützt.

BlackBerry-Nutzer laut RIM Angaben:

• August 2005 3,65 Millionen weltweit
• Mai 2005 drei Millionen
• November 2004 zwei Millionen
• Januar 2004 eine Million

RIM konnte sich durch diesen starken Zuwachs mit einem Marktanteil von 20,8% an die Spitze des PDA-Markts setzen (Mai 05)

Mittlerweile gibt es eine Software-Lösung namens BlackBerry Connect, die die BlackBerry-Funktionalität auf PDAs nachbildet, z. B. auf Windows CE Geräten wie dem MDA 3 von T-Mobile, oder dem Sony Ericsson P910i. Das zur Zeit einzige Gerät mit voller BlackBerry-Funktionalität außerhalb der RIM-Geräte, ist das SK65 von Siemens. Dieses besticht durch sein Design, enttäuscht aber beim Powermanagement, so dass es keine Alternative zu einem "echten" BlackBerry darstellt.

Das erste Modell der Reihe, der BlackBerry 850, erschien 1999.

Die hauptsächliche Funktionsweise in Bezug auf Sicherheit ist, dass der gesamte Datenverkehr vom BlackBerryEnterpriseServer zum Handheld AES verschlüsselt, bzw. bei älteren Versionen 3DES, verschlüsselt stattfindet. Dieser Schlüssel, der initial bei der Aktivierung des Gerätes ausgehandelt wird, ist maximal 30 Tage gültig, bis er erneuert wird. Selbst wenn dieser Schlüssel kompromitiert worden sein sollte, ist der Folgeschlüssel nicht abhängig vom Vorgänger und somit die Sicherheit wieder hergestellt. Der BlackBerry-Administrator kann jederzeit den Schlüssel erneuern, wie auch der Benutzer des Handhelds, der mit dem umgangsprachlichen "Paranoia-Button" die erneute Schlüsselerzeugung erzwingen kann. Zudem werden die ausgehenden Pakete vom BlackBerryEnterprise Server sowie vom Handheld jeweils nicht mit dem Masterkey verschlüsselt, sondern jeweils mit einem auf dem Masterkey beruhenden Session-Key.
Der Geräteinhalt kann zzgl. zum Erzwingen eines Geräte Passwortes verschlüsselt werden. Die IT-BlackBerry-Administration hat die Möglichkeit, mehr als 150 zentrale Einstellungen über sogenannte "Policys" zu setzen, Richtlinien, die Geräteeigenschaften abschalten oder mit Sicherheitsmerkmalen versehen. Herauszustellen wären hier:

• Die Möglichkeit sichere Paswörter (bis 24 Zeichen) zu erzwingen. Die komplexeste Einstellung wären Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen im Passwort.
  
• Passwort-Historie: die x-letzten Passwörter werden gemerkt und können nicht wieder verwendet werden.
  
• Sperren von bestimmten Passwörtern.
  
• Sperrung des Gerätes nach einer vordefinierten Zeit.
  
• Periodic Challenge: Kennworteingabe nach einer gewissen Zeit, auch wenn an dem Gerät gearbeitet wird.
  
• Verbot von SMS, MMS oder anderer eMail-Dienste.
  
• Sperren des Gerätes bis zum Löschen des Gerätes über einen Steuerbefehl.
  

Alle diese (150) Policys werden über das Funk(GPRS)-Netz übertragen, und werden ohne das der Nutzer dieses beeinflussen kann, aktiviert. Hierin liegt eine der stärken der Technik: Zentralisiertes Sicherheitsdesign, ohne das der Administrator das Gerät in die Hand nehmen muss, um Einstellungen zu machen. Er kann Geräte weltweit administrieren.

In einem Vortrag [1] auf dem 22. Chaos Communication Congress (22C3) lüfteten die Sicherheitsexperten einer Hackergruppe bisher von RIM gehütete Geheimnisse und zeigten Schwachpunkte in der Sicherheitsarchitektur des E-Mail-Push-Dienstes auf, der damit deutlich anfälliger für Missbrauch sein dürfte als es nach den Angaben von RIM bisher möglich erschien.
Laut den Testern hat RIM auch nicht alle der bereits bekannten Angriffsflächen geschlossen: Im Modul zur Umwandlung von Mail-Anhängen wie Bildern, GraphicsMagick 1.1.3, für das es bereits einige Sicherheitsupdates gibt, konnten die Tester einen Speicherüberlauf (Heap Overflow) bei der Bearbeitung von TIFF- und PNG-Dateien auslösen.
Ein Vertreter RIMs saß bei dem Vortrag im Publikum, wollte jedoch keine Stellungnahme zum Vortrag abgeben.

Der BlackBerryEnterpriseServer ist ein Produkt, welches hauptsächlich für den amerikanischen Markt konzipiert ist. Amerikanische Unternehmen fordern andere Leistungsmerkmale als die weltweite Kundschaft. In Amerika ist jede eMail, welche über das Unternehmensnetzwerk läuft, Eigentum der Firma. Privatsphäre ist nicht garantiert. Nach momentaner Rechtsprechung sind Firmen auch dafür verantwortlich, was Mitarbeiter in ihren eMails schreiben. Daher findet in vielen Firmen ein extremes Audit des Datenverkehrs statt. Der BlackBerryEnterpriseServer ist ebenfalls dazu in der Lage. Es können Einstellungen getroffen werden, dass jede eMail automatisch als Blindkopie an einen bestimmten Empfänger gesandt wird. In zukünftigen Versionen wird es vermutlich möglich sein, sämtliche PIN-to-PIN-Nachrichten (so etwas wie SMS zwischen BlackBerry-Geräten), SMS und BlackBerry-Messenger Nachrichten in Log-Dateien zu schreiben. Zudem können vermutlich alle Telefonate, mit dazugehörigem Namen aus dem Adressbuch, in eine Log-Datei geschrieben werden. Es ist dann ratsam, persönliche Bezeichnungen aus dem Adressbuch zu verallgemeinern. Betriebsräte sollten auf jeden Fall sicher stellen, dass die genannten Überwachungsfunktionen nur so angewandt werden, wie es das deutsche Datenschutzrecht und der Schutz der Privatssphäre es zulassen.

• Deutsche Homepage von RIM
• Weltweit größte BlackBerry Online-Community
• Neues Deutsches BlackBerry Portal
• Das Schweizer BlackBerry Portal
• computerwoche online 08.06.2005 um 14:58 Uhr: "Wirft Audi seine Blackberrys raus?"
• Stellungnahme von RIM zum Artikel der Computerwoche (PDF)
• Blackberry-Tipps (Wiki)
• Englische Homepage für Blackberry-Entwickler
• What is a BlackBerry - Englischer Artikel im O'Reiily Network
• Das Sicherheitskonzept des Blackberry - Studie der Fa. secorvo (PDF)