Blackberry + Abhörsicherheit + NSA

ja sehr gerne sogar...jetzt kommt viel text:

>>>>>>>

Corporate Statement:

Am 5. Oktober 2005 veröffentlichte Wirtschaftswoche online einen Artikel, der sich mit der Sicherheit der BlackBerry Architektur und der Eignung von BlackBerry für die Nutzung in sicherheitsempfindlichen Bereichen öffentlicher Verwaltungen sowie in spionagegefährdeten Unternehmen befasst.
Research In Motion (RIM) möchte seinen Kunden mitteilen, dass die Schlussfolgerungen, die in diesem Artikel gezogen werden, auf einem kompletten Mangel an Kenntnis vom RIMs Sicherheits-Architektur und -Infrastruktur beruhen.
Die wesentlichen Punkte der Spekulation des Artikels beziehen sich auf ein theoretisches Sicherheitsrisiko durch die Anwendung des RIP Act und den Standort unseres Network Operating Centre in Egham. Diese Behauptungen enthalten fehlerhafte und ungenaue Informationen.
Der Artikel stellt fest, dass örtliche britische Sicherheitsbehörden unter bestimmten Bedingungen Gesetze anwenden können (dies bezieht sich auf den RIP Act), um auf alle Informationen zugreifen zu können, die über RIMs englische Infrastruktur geleitet werden.
Dem Artikel zufolge würde dies englische Geheimdienstorganisationen in die Lage versetzen, Industriespionage zu begehen. Diese Theorie gründet jedoch auf falschen Annahmen, wie es in der Folge erklärt wird:
1. RIM speichert die Anwender-Daten, die über das Network Operating Centre (NOC) übertragen wurden, nicht. Die BlackBerry-Infrastruktur routet Datenpakete, ohne sie zu speichern.
2. Ungeachtet dem ersten Punkt, sind alle über den hinter der Firewall installierten BlackBerry Enterprise Server übertragenen Daten entweder 3DES oder AES verschlüsselt. Die BlackBerry Enterprise Lösung verwendet Verschlüsselungsverfahren, die auf privaten symmetrischen Schlüsseln basieren und für solche existiert kein Master-Key. Der private Schlüssel bleibt ausschließlich in der Umgebung des Kunden (auf dem Handheld des Anwenders und dem BlackBerry Enterprise Server innerhalb der IT-Infrastruktur des Kunden). Es gibt keine Mechanismen, um den privaten Key vom BlackBerry Enterprise Server zu erlangen. Nur die IT-Abteilung des Kunden kann Zugang zu den privaten Keys seiner Anwender bekommen. RIM ist unter keinen Umständen in der Lage, Zugang zu dem privaten Key zu bekommen oder die Nachrichten des Kunden zu lesen.
3. Teil III des RIP Act betrifft verschlüsselte Daten. Damit dieser Teil des Gesetzes zur Anwendung kommt, müssen die ermittelnden Behörden bereits im Besitz der fraglichen elektronischen Daten in verschlüsselter Form sein. Zudem müssen sie einen Bescheid erwirken, in dem RIM zur Offenlegung der entschlüsselten Informationen oder des Schlüssels aufgefordert wird.
4. Sollte RIM im Rahmen des RIP Act einen Offenlegungsbescheid in bezug auf verschlüsselte Daten erhalten, wäre RIM schlicht und einfach nicht in der Lage, diesen weder für entschlüsselte Daten noch für den Schlüssel selber erfüllen. Die Gründe sind:
(i) In bezug auf entschlüsselte Daten, dass RIM wie in Punkt 1 beschrieben die Daten der Endkunden nicht speichert und, wie in Punkt 2 ausgeführt wird, keinen Zugriff auf den privaten Schlüssel hat.
(ii) In bezug auf den Schlüssel durch die in Punkt 2 oben dargelegte Art der Verschlüsselung.
Schlussendlich berücksichtigen die Spekulationen in diesem Artikel nicht die Tatsache, dass Daten nicht in RIMs Infrastruktur gespeichert werden und dass RIM nicht in der Lage ist, verschlüsselte Daten zu lesen, auch wenn wir aufgefordert würden, dies zu tun. Daher kann aus dem theoretischen Risiko kein tatsächliches Risiko werden.
BlackBerry hat mehr als 3,65 Millionen Teilnehmer, mehr als 95 Mobilfunkpartner und das Vertrauen von weltweit mehr als 40.000 Institutionen. Die Sicherheitsvorteile von BlackBerry werden in großem Umfang geschätzt und von einigen der weltweit größten Unternehmen und staatlichen Institutionen der Welt honoriert. RIM steht gerne zur Verfügung, die Sicherheitsarchitektur der BlackBerry Lösung mit Kunden zu besprechen, um jegliche durch die kürzlich erschienenen Online-Artikel hervorgerufene Bedenken zu zerstreuen.


Charmaine Eggberry
Vice President Enterprise Business Unit, Europe
Research In Motion

>>>>>>>>>>>>>>>>>>>>

manchmal hilft googlen ;-)