Bislang war ich ja der Meinung, dass mit BlackberryOS 10 dem gefallenen Engel ein wahres Glanzstück gelungen ist. Gestern wurden aber Dinge bekannt, die alles andere als angenehm sind. Vor allem vor dem Hintergrund der PRISM-Affäre ist es mehr als fragwürdig, dass der Blackberry-Konfigurationsassistent ungefragt Daten an die Blackberry-Server sendet.
Das hat gestern gewaltig Staub aufgewirbelt. Ist man bisher von einem ordentlichen Erholungskurs der Brombeere ausgegangen, werden jetzt einige überlegen, ob man auf Blackberry zurückgreifen muss.
Die Meldung bei Heise lautet:
BlackBerry späht Mail-Login aus
Gemeint ist folgendes: Richtet man einen Mail-Account auf seinem Blackberry ein, nutzt man gewöhnlich den Konfigurationsassistenten. Schnell mal die Anmeldedaten eintippen, kurz warten, fertig. Während der Wartezeit aber unterhält sich das Smartphone mit der Server-Adresse discoveryservice.blackberry.com. Ja, die Kommunikation läuft verschlüsselt ab. Aber während dieser Unterhaltung werden eben diese Daten, die man eben noch in den Konfigurationsassistenten eingetippt hat, an den Server übertragen.
Auf Anfrage an Blackberry hat Heise leider nichts genaues zu dem Vorgang erhalten. Umgehen kann man diesen, so haben die Redakteure herausgefunden, indem man nicht den Konfigurationsassistenten verwendet. Dahin gelangt man wohl, indem man in dem Assistenten auf ein freies Feld tippt, sodass die Tastatur verschwindet. Und dann kann man auf „Erweitert“ tippen. Hat man das geschafft, kann man die Daten ohne Assistenten-Unterstützung eingeben.
Für Firmen ist das Ganze natürlich ein sicherheitstechnischer Super-GAU. Mit einem Blackberry kann ich ja auch über eine VPN-Verbindung ins Firmennetzwerk gelangen. Diese Daten werden auch an die „Discovery“-Server übertragen. Also sind sämtliche Login-Daten für Blackberry lesbar. Und was gelesen werden kann, kann auch ausgewertet werden.
Ja, im Firmenumfeld wird auch der so genannte Blackberry Enterprise Server verwendet und nicht der Assistent. Soweit ich weiß, lohnt der sich aber erst ab einer gewissen Größe. Was machen also kleinere Unternehmen? Die nehmen den Assistenten. Und der ist sehr geschwätzig. Und das darf nicht sein.
Vor dem Hintergrund der PRISM-Affäre ist das Ganze noch viel kritischer zu betrachten. Wer stellt denn sicher, dass Blackberry nicht auch – wie so viele andere Unternehmen – mit der NSA zusammenarbeitet oder zusammenarbeiten muss? Richtig, niemand. Und wenn die Login-Daten frei Haus geliefert werden, ist dem Mitlesen sämtlicher Kommunikation der Weg völlig frei gemacht.
In der Diskussion unter dem entsprechenden Artikel im SPIEGEL sehen das die Nutzer recht entspannt. Einerseits ist ihnen klar, dass Blackberry mit der Regierung zusammenarbeitet. Andererseits scheint das „Nach-Hause-Telefonieren“ auch bei anderen Herstellern usus zu sein. In der Diskussion ist z.B. Apple genannt.
Ich kann mich an eine Sendung von Markus Lanz erinnern, in welcher der Sicherheitsexperte Daniel Domscheit-Berg von den Piraten zu Gast war. Man muss sich vor Augen halten, dass ein Smartphone selbst im ausgeschalteten Zustand Daten übertragen kann und dass man es von der Ferne einschalten kann. Wirklich „aus“ ist das Gerät dann nur, wenn man den Akku entfernt.
Das ist kein spezielles Problem von Blackberry. Aber zusammen mit dem Austausch von Login-Daten mit internen Servern des Herstellers ergibt das Ganze ein wunderbares Bild. Insofern muss ich meine positive Meinung über BlackberryOS 10 mit den Geräten Z10 und Q10 revidieren. Vor allem auch, weil Blackberry immer wieder bzgl. des Datenschutzes in die Schlagzeilen gerät, wie auch die Wikipedia weiß.
Es wird jetzt wenig verwunderlich sein, dass nun Unternehmen überdenken, künftig Blackberry als Smartphone einzusetzen. Welche Alternativen bleiben, bei denen der Datenschutz gewahrt wird, ist nicht wirklich klar. Vielleicht am ehesten noch bei Windows Phone. Aber das kanadische Unternehmen im Zeichen der Brombeere tut sich mit der Übertragung solcher Daten keinen Gefallen. Oder was meinen Sie?