BlackBerry Enterprise Whitepaper

Warum mobile Sicherheit wichtig ist – mehr als je zuvor

Download Whitepaper PDF (englisch)

Download Whitepaper PDF (deutsch)

Die meisten IT-Experten sind sich einig: BYOD (Bring Your Own Device) ist der größte Mobilitätstrend, der jetzt auf Unternehmen einwirkt. Aber mit der Verbraucherorientierung kommt die Vermischung von privaten und beruflichen Anwendungsfällen – und reine Privatgeräte bieten keinen integrierten Schutz vor Weitergabe von sensiblen Unternehmensdaten durch persönliche Kanäle.

Wenn Unternehmen ihre Geschäftsprozesse mobilisieren, werden immer mehr sensible Daten durch mobile Geräte bearbeitet und auf ihnen gespeichert.

Inzwischen wächst der risikobehaftete persönliche Gebrauch weiter und beinhaltet:

  • Soziale Netzwerke
  • Persönliche E-Mail
  • Nicht vertrauenswürdige persönliche Programme
  • Internetbrowsen
  • Sofortnachrichten, SMS/MMS, andere P2P-Nachrichten
  • MicroSD-Karten
  • USB-Anschluss

Die BlackBerry-10-Plattform wurde von Grund auf darauf entwickelt, eine erstklassige Benutzererfahrung zu gewährleisten, während die komplexen und sich ständig verändernden Anforderungen der Unternehmenssicherheit eingehalten werden.

Mittlerweile sind sich die Unternehmen bewusst, dass sie eine robuste Sicherheitsstrategie und Mobilitätsplattform zum Schutz ihrer Daten, Geschäfte und Nutzer haben müssen.

Um diese Probleme umfassend zu lösen, ist der BlackBerry-10-Plattform von Grund auf dafür konzipiert, eine erstklassige Benutzererfahrung zu liefern, während die komplexen und sich ständig verändernden Anforderungen der Unternehmenssicherheit erfüllt werden. In diesem Dokument werden wir einen genauen Blick auf die folgenden Funktionen werfen:

  • BlackBerry Balance (Trennung der Arbeits- und Privatkonten)
  • BlackBerry World for Work (Bezugsquelle für Unternehmensanwendungen)
  • BlackBerry Secure Connectivity
  • BlackBerry 10 Authentifizierung
  • Das BlackBerry 10 Betriebssystem
  • Enterprise Mobilitätsmanagement; IT-Regeln und -Richtlinien Sets

Alle diese Merkmale und Funktionen werden durch die BlackBerry Enterprise Service 10 (BES10) Plattform gesteuert und aktiviert. Diese Plattform ermöglicht es Administratoren nicht nur BlackBerry-10-Geräte zu verwalten, sondern auch iOS- und Android-Geräte (Unterstützung für Windows Phone in Kürze mit BES12). Dies bietet ein echtes Multi-Plattform-Mobilitätsmanagement auf einer einzigen einheitlichen Konsole.

Wie BlackBerry Balance arbeitet

Wenn man in der Vergangenheit eine bessere mobile Sicherheit wollten, musste man Benutzerfreundlichkeit opfern; oder umgekehrt. Dieses Paradigma kommt nun mit BlackBerry Balance zu einem Ende.

BlackBerry Balance maximiert die Produktivität der Mitarbeiter und die Zufriedenheit der Nutzer mit einer nahtlosen, eleganten und intuitiven Benutzeroberfläche. Und es bewältigt Sicherheitsrisiken durch:

  • Kompletter Schutz aller Daten durch alle Kanäle und Mechanismen
  • Eine manipulationssichere Architektur, die gegen Missbrauch und Angriff schützt

Balance

BlackBerry Balance trennt Unternehmensdaten von personenbezogenen Daten durch zwei völlig getrennte Dateisysteme. Um die Architektur hinter Blackberry Balance besser zu verstehen, zeigen wir folgende Abbildung.

Balance 2

Arbeitsbereich (Linke Seite)

Arbeitsanwendungen befinden sich innerhalb des Arbeits-Dateisystems.

  • Arbeitsanwendungen und Arbeitsdaten sind immer von mit AES-256-Verschlüsselung geschützt.
  • Nur Anwendungen, die sich im Arbeitsdateisystem befinden, sind in der Lage, sich durch die Kommunikationskanäle des Unternehmens zu verbinden, einschließlich BlackBerry Enterprise Service 10, Unternehmens-Wi-Fi, -VPN und Intranet-Browsing. Persönlicher Datenverkehr über die Unternehmensinfrastruktur kann freigegeben werden.
  • Die entsprechenden Kommunikationskanäle werden automatisch bereitgestellt, um Ihre sensiblen Unternehmensdaten zu schützen.

Benutzeroberfläche (Mitte)

Der Schlüssel zu BlackBerry Balance ist dessen Benutzeroberfläche.

  • Daten aus einer Unternehmens-Umgebung werden automatisch als Arbeitsdaten und alle anderen Daten als persönliche Daten identifiziert.
  • Arbeitsdaten können nicht in einen persönlichen Datenkanal kopiert oder verschoben und Dateien können nicht von einem Dateisystem in das andere verschoben werden.
  • Die Benutzeroberfläche ermöglicht es durch den BlackBerry Hub einen gewissen Anteil an Arbeitsdaten und persönliche Inhalte gemeinsam für eine optimale Benutzerfreundlichkeit darzustellen; eine “Abstraktionsschicht” verhindert jedoch jeden Datenaustausch zwischen dem Arbeitsbereich und dem persönlichen Bereich.
  • Der Arbeitsbereich und der persönliche Bereich haben jeweils ein separates Hintergrundbild, so dass die Nutzer immer auf einen Blick erkennen können, in welchem Konto sie gerade Daten bearbeiten.

Persönlicher Bereich (Rechte Seite)

Persönliche Anwendungen befinden sich innerhalb des persönlichen Dateisystems.

  • Persönliche Anwendungen sind privat genutzte BlackBerry-Programme wie BBM und Drittanbieter-Programme für persönliche Dinge wie E-Mail, Spiele und soziale Netzwerke.
  • Anwendungen, die sich auf dem persönlichen Dateisystem befinden, haben nur Zugang zu persönlichen Kommunikationskanäle (auf der rechten Seite des Diagramms aufgeführt), die oft als Datenleck bezeichnet werden. Auch hier haben Sie die Möglichkeit es den persönlichen Anwendungen zu ermöglichen, die Verbindungen des Arbeitsbereiches zu verwenden, wenn Sie es wollen oder müssen.
Containerisierung für iOS und Android: Secure Work Space

BlackBerry Balance ist eine führende Lösung in der Industrie für die Trennung von beruflichen und persönlichen Daten auf BlackBerry 10-Geräten. Aber in einer Umgebung mit mehreren Plattformen müssen dieselben Bedingungen für  eine Reihe von Geräten gewährleistet werden. Secure Work Space ist Containisierung, Anwendungs​​-Einbindung und Option auf sichere Konnektivität, das ein höheres Maß an Kontrolle und Sicherheit auf iOS und Android-Geräten liefert, alles durch eine einzelne BlackBerry Enterprise Service 10 Konsole. So verwaltete Anwendungen sind von der persönlichen Anwendungen und Daten gesichert und getrennt – und die Benutzer können auf eine integrierte App für E-Mail, Kalender und Kontakte, einen auf Enterprise-Level  gesicherten Browser sowie sichere Betrachtung und Bearbeitung von Anhängen mit Documents To Go zugreifen. Für einen Zugriff auf Apps wird eine Benutzer-Authentifizierung benötigt. Daten aus dem Arbeitsbereich können so nicht außerhalb des gesicherten Arbeitsbereiches geteilt werden.

BlackBerry World for Work

BlackBerry World for Work bietet ein einfaches, überschaubares und skalierbares Tool für die sichere Bereitstellung von Unternehmens-Anwendungen. Es installiert Anwendungen im Arbeitsbereich der BlackBerry 10 Geräte der Benutzer und diese Anwendungen sind standardmäßig sicher. BlackBerry Balance schützt gegen Datenlecks oder böswillige Versuche auf Unternehmensdaten zuzugreifen.

BlackBerry World for Work gibt zwei Möglichkeiten bei der Bereitstellung von Unternehmensanwendungen vor: Pflichtinstallationen oder optionale Downloads.

Pflichtinstallationen:

  • Dies kann über die BlackBerry 10 Admin Konsole gesetzt werden
  • Diese Anwendungen werden automatisch installiert und aktualisiert – die Nutzer müssen nichts machen

Optionale Downloads:

  • Anreicherung des Enterprise Katalogs mit hilfreichen und vertrauenswürdigen Anwendungen, welche von den Mitarbeitern optional installiert werden können

BlackBerry Enterprise Service 10: Architektur

Balance 3

Der Gold Standard der sicheren Konnektivität

BlackBerry wird seit vielen Jahren als Goldstandard in Sachen sichere Konnektivität gehalten. Das ändert sich auch nicht mit BlackBerry 10.

Nahtloser sicherer Zugang zu Systemen hinter der Firewall sowie der Schutz der Daten im Arbeitsbereich bei der Übertragung werden durch das bewährte BlackBerry-Sicherheitsmodell nun auch als Multi-Plattform gewährleistet. Darunter zertifizierte End-to-End-Verschlüsselung, einfache und kostengünstige Installation und VPN-lose Adminverbindung über den Port 3101. Somit gibt es keine Notwendigkeit für Konnektivitäts- oder Sicherheitslösungen von Drittherstellern.

  • Eine Verbindung zu BlackBerry Enterprise Service 10 außerhalb des Unternehmes über die Blackberry-Infrastruktur via Wi-Fi oder Mobilfunk verwendet eine AES-256-Verschlüsselung, die auch Verbindungen zu Microsoft Exchange und anderen Enterprise-Content-Server unterstützt.
  • Die BlackBerry-Infrastruktur-zu-Gerät-Verbindung verwendet zusätzlich Transport Layer Security (TLS), um die BlackBerry-Infrastruktur zu authentifizieren.
  • Außerhalb des Unternehmens kann die BlackBerry-Infrastruktur durch die direkte Verbindung an BlackBerry Enterprise Service 10 per VPN umgangen werden, über Wi-Fi oder Mobilfunk.
  • VPN unterstützt IPsec und SSL
  • Innerhalb des Unternehmens verbinden sich die Geräte direkt mit dem BlackBerry Enterprise Service 10

Der persönliche Bereich und die persönlichen Apps des Nutzers können direkt per Wi-Fi und Mobilfunk angebunden werden, auch SSL-Unterstützung ist auf Wunsch gegeben.

  • Nutzer können sich auch mit ihrem privaten VPN verbinden
  • Wie oben erwähnt gibt es auch die Option, dass Datenverkehr des persönlichen Bereichs über die Arbeitsanbindung abgewickelt wird (dies kann leicht durch die IT-Richtlinien deaktiviert werden).
Authentifizierung: Flexible Optionen für Passwörter und Zertifikate

BlackBerry 10 unterstützt zwei Optionen für die Authentifizierung: Passwörter und Zertifikate. Passwörter werden in der Regel für die Geräteauthentifizierung verwendet.

Flexible und granulare Passwort Richtlinien können durchgesetzt werden auf:

  • Arbeitsbereich: Der Administrator kann ein Benutzerpasswort für den Zugang zum Arbeitsbereich als Vorgabe definieren.
  • Gesamtes Gerät: Der Administrator kann auch ein Passwort für den Zugriff auf das gesamte BlackBerry-10-Gerät verlangen (ein Muss für viele Hochsicherheits- und regulierte Umgebungen).

BlackBerry 10 unterstützt auch die Zertifikatsregistrierung und automatische Verlängerung per Simple Certificate Enrollment Protocol (SCEP).

  • SCEP bietet einfache skalierbare Zertifikatsregistrierung und Erneuerung.
  • Authentifizierung ist generell für WiFi, VPN oder Intranet.
  • Alle Zertifikate werden verschlüsselt und im BlackBerry-10-Schlüsselspeicher geschützt.
Warum das BlackBerry 10 Betriebssystem am sichersten ist

Das Betriebssystem ist wohl die wichtigste Komponente der Sicherheit mobiler Geräte, aber es wird oft übersehen. Anders als Sicherheits-Tools, Bedienelemente und Funktionen oder Unternehmens-Sandboxes, ist die Sicherheit des Betriebssystems in der Regel für den Beobachter undurchsichtig. Betriebssystem-Quellcode wird typischerweise nicht veröffentlicht. Wenn er veröffentlicht wird, ist es schwierig die Sicherheit von Millionen von Codezeilen zu bewerten.

In erster Linie basiert BlackBerry 10 auf dem QNX Microkernel. Was bedeutet dies für die Benutzer? Es bedeutet mehrere Sicherheitsvorteile. Auch zu lesen im BB10QNX Artikel:
Microkernel: Für Embedded Systeme die bessere Wahl

Die Sicherheitsvorteile des QNX Microkernel
Er enthält weniger Code (etwa 150.000 Zeilen):

  • Dies bietet nur wenig Platz für Sicherheitslücken und Sicherheitsüberprüfung und die Tests werden einfacher und robuster.

Es ist für die Elastizität entwickelt:

  • Der Microkernel isoliert Prozesse im Anwenderbereich
  • Prozesse, die nicht mehr reagieren, werden neu gestartet ohne Auswirkungen auf andere Prozesse, somit kann das Betriebssystem nicht durch Anwendungen zum Absturz gebracht werden

Es minimiert alle Root Prozesse:

  • Nur die wichtigsten BlackBerry Prozesse werden mit Root-Rechten ausgeführt.
  • Root Prozesse sind nicht für Nicht-BlackBerry-Teile verfügbar. Somit ist das Betriebssystem weniger anfällig für Sicherheitsrisiken.

Microkernel

Inhalt und Beschränkungen:
Anwendung und Malware Steuerung
Der beste Weg, um Ihr Unternehmen vor mobiler Malware zu schützen, ist ein Betriebssystem, das zum Wiederstand gegen diese Malware entworfen wurde. BlackBerry 10 eine ‘contain and constrain’ Design-Strategie, um Malware-Risiken zu mindern.

Der Benutzerbereich läuft in einer Sandbox, dadurch kann BlackBerry 10 bösartiges Verhalten blockieren:

  • Prozesse werden im Benutzerbereich eingeschränkt und der Microkernel überwacht sorgfältig interne Prozesskommunikation.
  • Speicherzugriff des Benutzerbereiches wird durch den Microkernel authentifiziert.
  • Jeder Prozess, der unbefugt Speicher adressieren möchte wird automatisch neu gestartet oder heruntergefahren.

Persönliche Anwendungskontrollen

  • Zugang zu Ressourcen des Benutzerbereiches wird begrenzt und arbeitet auf einer “App-by-App” und “Need-to-have”-Basis.
  • Der Benutzer erhalten die richtigen Informationen zur richtigen Zeit, um eine fundierte Entscheidung über Erteilung von Berechtigungen zu fällen.

Das folgende Diagramm zeigt den Informationsweg und die BlackBerry “Kette des Vertrauens”. Das sichere Verfahren basiert auf Authentifizierung, um Schutz gegen anhaltende Angriffe auf das Betriebssystem und Rootkits aufzubauen.

OS10Aufbau

 

Nachfolgend ein paar Beispiele für die Sicherheitsmechanismen, die in das Betriebssystem BlackBerry 10 integriert sind, um gegen Angriffe und die Ausführung beliebigen Codes zu schützen.

  • Nicht ausführbare Stack und Heap:
    Stack- und Heap-Speicherbereiche können keinen Maschinencode ausführen, somit Schutz vor Pufferüberläufen
  • Stack Cookies:
    Pufferüberlaufschutz, um Ausführung willkürlicher Codes zu verhindern
  • Address Space Layout Randomisation (ASLR):
    Zufällige Zuweisung eines Prozessadressraumes macht die Ausführung beliebiger Codes schwieriger
  • Compiler-level source fortification:
    Compiler-Option ersetzt wenn möglich unsichere Code-Konstrukte
  • Guard pages:
    Eine Art von Schutz vor Pufferüberlauf und Ausführung beliebiger Codes
S/MIME Support

Ein kleiner aber wichtiger Punkt. S/MIME ist der am weitesten verbreitete Standard für Sender/Empfänger E-Mail Verschlüsselung.

Es ist eine großartige Lösung, um hohe Sicherheit für E-Mail-Kommunikation außerhalb des Unternehmens zu gewährleisten. Wenn ein Unternehmen es erfordert, werden die Unternehmen glücklich sein zu erfahren, dass BlackBerry 10 S/MIME unterstützt und E-Mails „out of the box“ verschlüsselt und signiert.

IT-Regeln und -Richtlinien Sets

Wie bei BlackBerry OS7 und frühere Systeme, kann man BlackBerry 10 per IT-Nutzungsrichtlinien Geräte in der Unternehmensumgebung steuern und verwalten. Und während BlackBerry 10 die von verschiedenen regulierten und Hochsicherheits-Organisationen erforderliche Sicherheit ermöglicht, gibt es keine Notwendigkeit Hunderte von granular IT-Kontrollen einzusetzen, um Sicherheitslücken zu stopfen – das Unternehmen hat automatisch Schutz mit BlackBerry Balance.

Enterprise Mobility Management

BlackBerry 10 mit BlackBerry Enterprise Service 10 unterstützt das gesamte Spektrum und die mannigfaltigen Anforderungen des Unternehmensmobilitätsmanagement, von der Grundlagen BYOD bis zur Hochsicherheit.

Die Unterstützung seitens BlackBerry 10 im Bezug auf das ActiveSync-Protokoll wird die Anforderungen der Unternehmen, die eine entspannte Herangehensweise an das Gerätemanagement und Sicherheit haben, zufriedenstellen – so dass sie mit ihrer E-Mail-Plattform synchronisieren und eine Grundgeräteverwaltung durchführen können.

Eine Ebene darüber haben wir Silber-EMM, ein Teil des BlackBerry Enterprise Service 10. Dies ist für Unternehmen, die eine höhere Notwendigkeit im Schutz ihrer Unternehmensdaten sehen, und bietet mehr Sicherheit und Gerätemanagement-Funktionen.

Stark reguliert Regierungsorganisationen und Unternehmen, die diese Sicherheit sehr ernst nehmen, erfordern strengere Kontrolle über Geräte und müssen strenge Sicherheitsrichtlinien durchzusetzen. Für diese Organisationen bieten wir Gold-EMM und es wird auch über BlackBerry Enterprise Service 10 verwaltet. Diese Option ermöglicht eine ganze Reihe von Maßnahmen, um praktisch alles auf dem Gerät zu steuern.

Und wenn Unternehmen die Flexibilität eines privaten und beruflichen Bereiches brauchen oder wünschen, so kann der Administrator beides mit Gold-EMM realisieren und verwalten.

EMM Level

Forumdiskussion

Dieser Beitrag hat 4 Kommentare

Schreibe einen Kommentar