Spionieren die Briten deutsche Blackberrys aus?

Die Blackberry-Technologie des kanadischen Herstellers Research in Motion weist laut einem Papier des ‘Bundesamtes für Sicherheit in der Informationstechnologie’ (BSI) schwere Sicherheitslücken auf. Das berichtet das Magazin Wirtschaftswoche unter Berufung auf ein internes Schreiben des Amtes.

“Auf Grund der unsicheren Architektur ist der Blackberry für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet”, zitiert das Blatt aus dem Schreiben. Die Begründung: Der Datenverkehr werde über einen zentralen Server in der Nähe von London geleitet und liegt damit natürlich “außerhalb des Einflussbereichs deutscher Unternehmen und Behörden”. Das BSI würde nationale Lösungen bevorzugen, heißt es in dem Schreiben, das nur zum behördeninternen Gebrauch erstellt wurde.

Ohne Zahlen oder Fälle zu nennen, bemängelt das BSI, dass dadurch etwa der britische Geheimdienst “unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohle der britischen Wirtschaft)” die Möglichkeit hätte, auf die verschlüsselten Mails zuzugreifen.

“Diese Theorie gründet jedoch auf falschen Annahmen”, wie Charmaine Eggberry, Vice President Enterprise Business Unit, Europe bei RIM in einem Schreiben mitteilte. So würden die Datenpakete lediglich über den Server geroutet und nicht gespeichert. Zudem seien alle Daten, die über den Blackberry Enterprise Server übertragen werden, entweder mit 3DES oder AES verschlüsselt.

“Die Blackberry Enterprise Lösung verwendet Verschlüsselungsverfahren, die auf privaten symmetrischen Schlüsseln basieren und für solche existiert kein Master-Key”, heißt es weiter. Dieser Schlüssel liege ausschließlich bei den Anwendern. “Es gibt keinen Mechanismus, um den privaten Key vom Blackberry Enterprise Server zu erlangen. RIM ist unter keinen Umständen in der Lage, Zugang zu dem privaten Key zu bekommen”, versichert das Unternehmen. Auch auf amtliche Anordnung hin sei RIM nicht in der Lage, die verschlüsselten Datenpakete einzusehen, behauptet er. “Daher kann aus dem theoretischen Risiko kein tatsächliches Risiko werden.”

“Dass das BSI zu solch einer Aussage kommt, überrascht mich überhaupt nicht”, kommentiert Manfred Fink, Sicherheitsberater und öffentlich bestellter und vereidigter Sachverständiger für Abhörsicherheit, gegenüber silicon.de. Harte Verschlüsselungstechnologien seien seiner Ansicht nach nicht das Problem, sondern die Implementierung. Viele Geheimdienste würden Krypto-Techniken mit verschiedenen Techniken, für die auch kein Master-Key nötig sei, unterwandern und heutzutage vor allem für Wirtschaftsspionage nutzen.

Diese Aussage sei zwar spekulativ und ließe sich nicht beweisen, jedoch “bis jemand einen schlüssigen Gegenbeweis erbracht hat, gilt für mich vorsorglich diese Mutmaßung”. Gerade Technologien, die auf die Kommunikation im Management abzielen, wie etwa Systeme für Video-Konferenzen oder Satelliten-Telefone, seien besonders gefährdet. “In diese Kategorie fällt meiner Ansicht nach auch Blackberry.” Fink rät den Nutzern, eine sichere Verschlüsselungstechnik zu verwenden. “Dabei steht aber an erster Stelle die Frage, vor welchem Geheimdienst man sich schützen will.” Fink schließt sich daher der Empfehlung des BSI an: “Blackberry gehört nicht in die Hände von Managern.”