Vehement wehrt sich Blackberry-Anbieter Research In Motion (RIM) gegen den Vorwurf des Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI), Kunden-Mails könnten von Dritten gelesen werden, da die "Architektur des Blackberrys unsicher" sei. Der Vorwurf war in einem Artikel des Magazin "Wirtschaftswoche" geäußert worden, wobei sich die Wirtschaftswoche auf eine "internen" BSI-Studie beruft. In dieser Studie werden "die ausländischen Blackberry-Rechenzentren", die "außerhalb des Einflussbereichs deutscher Unternehmen und Behörden liegen" moniert und nicht näher spezifizierte "nationale Lösungen" für Mail-Datencenter gefordert.
In seiner Stellungsnahme erklärt RIM: "Die wesentlichen Punkte der Spekulation des Artikels beziehen sich auf ein theoretisches Sicherheitsrisiko durch die Anwendung des RIP Act und den Standort unseres Network Operating Centre in Egham. Diese Behauptungen enthalten fehlerhafte und ungenaue Informationen."
Zwar sei richtig, dass "dass örtliche britische Sicherheitsbehörden unter bestimmten Bedingungen Gesetze anwenden können (dies bezieht sich auf den RIP Act, um auf alle Informationen zugreifen zu können, die über RIMs englische Infrastruktur geleitet werden", doch sei die Speicher- und Routing-Architektur von RIM technisch gegen Spionage beziehungsweise die Möglichkeit, Daten zu lesen, geschützt.
Denn erstens speichere RIM "die Anwender-Daten, die über das Network Operating Centre (NOC) übertragen wurden, nicht. Die BlackBerry-Infrastruktur routet Datenpakete, ohne sie zu speichern."
Zweitens seinen "alle über den hinter der Firewall installierten BlackBerry Enterprise Server übertragenen Daten entweder 3DES oder AES verschlüsselt", so dass nur Kunden, die in Besitz der privaten Schlüssel sind, die Daten lesen könnten. Ein von Dritten verwendbarer "Master-Key" existiere nicht. "Es gibt keine Mechanismen, um den privaten Key vom BlackBerry Enterprise Server zu erlangen."
Drittens könne RIM, selbst wenn ein Geheimdienst offiziell ("im Rahmen des RIP Act" mittels eines Offenlegungsbescheid) nach den Kundendaten frage, diese Nachfrage nicht befriedigen. "RIM wäre schlicht und einfach nicht in der Lage, diesen weder für entschlüsselte Daten noch für den Schlüssel selber erfüllen." ´
So kommt das Unternehmen zum Schluss, es sei "nicht in der Lage, verschlüsselte Daten zu lesen, auch wenn wir aufgefordert würden, dies zu tun. Daher kann aus dem theoretischen Risiko kein tatsächliches Risiko werden."
Die Stellungsnahme ist von Charmaine Eggberry, Vice President Enterprise Business Unit, Europe, unterzeichnet. Sie lädt ein, "die Sicherheitsarchitektur der BlackBerry Lösung mit Kunden zu besprechen, um jegliche durch die kürzlich erschienenen Online-Artikel hervorgerufene Bedenken zu zerstreuen".
Allerdings steht der BSI mit seinem Vorwurf nicht alleine. Auch der Autobauer VW hat wegen Sicherheitsbedenken die umfassende Einführung der Blackberrys für die interne Kommunikation vertagt. Die IT-Abteilung des Konzerns hatte erklärt, die Blackberry-Daten seien nicht sicher, da RIM alle E-Mails über drei Rechenzentren in London, Kanada und Asien leitet, diese aber von Geheimdiensten oder Wirtschaftsspionen ausgehorcht werden könnten. (wl)