Warnung: Black Berry E-Mail-Push-Dienst unsicher!

    [Blockierte Grafik: http://www.xp-tipps-tricks.de/images/topics/news.gifBlack Berry E-Mail-Push-Dienst nicht sicher!!!

    Pressemitteilung des BSI

    Stellungnahme des BSI in Zusammenhang mit Presseberichten zum e-mail Push-Dienst "Black Berry"

    Bonn, den 31. Oktober 2005 – Grundsätzlich kann das BSI für sicherheitskritische Anwendungen der öffentlichen Verwaltung sowie im staatlichen Geheimschutz nur Übertragungsmedien empfehlen, die die Realisierung folgender Grundanforderungen berücksichtigen:

    - Verwendung von kryptographischen Mechanismen nach Vorgabe des BSI und Überprüfbarkeit deren Implementierung durch das BSI sowie

    - die Möglichkeit der Evaluierbarkeit des Gesamtsystems durch das BSI.

    Für sensible Anwendungen im Bereich der Wirtschaft sollte an die Sicherheit der verwendeten Produkte ein vergleichbarer Maßstab wie in der Bundesverwaltung angelegt werden.

    Aufgrund interner Analysen des BSI verwendet die Firma RIM zur Verschlüsselung der Nachrichteninhalte eine proprietäre Implementierung von Standardalgorithmen und bestätigte gegenüber dem BSI, dass die Anforderungen des BSI hinsichtlich des Einsatzes eigener, vom Anwender selbst bestimmter Kryptoverfahren bei BlackBerry nicht realisiert sind.

    Für jeden IT-Hersteller besteht die Möglichkeit, einen Antrag auf Zertifizierung seiner Produkte zu stellen. Dem BSI liegt kein Antrag auf Zertifizierung durch die Firma RIM hinsichtlich ihres Produktes "BlackBerry" vor. Die Erteilung eines Sicherheitszertifikates durch das BSI setzt den erfolgreichen Abschluss eines Evaluierungsverfahrens voraus.

    Kontakt:
    Bundesamt für Sicherheit in der Informationstechnik
    Postfach 20 03 63
    53133 Bonn

    Pressesprecher: RD Michael Dickopf
    E-Mail: Michael.Dickopf@bsi.bund.de
    Internet: http://www.bsi.bund.de
    http://www.bsi-fuer-buerger.de

    Quelle http://www.bsi.bund.de

    Blackberry wieder mit erheblichen Sicherheitslücken
    Gefahren betreffen alle Ebenen des Dienstes

    Schon wieder ist Blackberry völlig zurecht in der Kritik (für Näheres bitte nach oben scrollen).

    Der E-Mail-Push-Dienst Blackberry ist laut der Hackergruppe Phenoelit http://www.phenoelit.de erheblicheren Sicherheitslücken ausgesetzt, als es bisher bekannt war. Auf dem 22. Chaos Communication Congress (CCC / wir berichteten) in Berlin kamen einige der bisher nicht bekannten Gefahren endlich an die Öffentlichkeit. Vertreter des kanadischen Anbieters Research in Motion (RIM) wollten sich zu den Problemen aber nicht äußern. Selbst das Bundesamt für Sicherheit in der Informationstechnik http://www.bsi.bund.de/ warnte schon vor dem Diensteanbieter.

    Die Probleme betreffen gemäß des Vortrags alle Ebenen des Dienstes von der Nachrichtenübertragung über die Geräte bis hin zum Server. So wurde zum Beispiel kritisiert, dass Pin-Botschaften unverschlüsselt auf das Endgerät geschickt werden. Weiter konnten die Tester Integerüberläufe erzeugen und so die Router- und Serverseite in eine endlose Decodierungsschleife versetzen.

    Aber auch die nicht gerade günstigen Endgeräte wurden von Phenoelit kritisiert. Bei der Java Virtual Machine fanden die Hacker einige Kritikpunkte. Die Handheld-Steuerung erfolgt über eigene Java-Klassen, die von RIM signiert werden und von den Partnern dafür auch eine Gebühr verlangen. Die Binärapplikationen, ähnlich der DLL-Dateien für Windows, könnten dabei auch von externen Angreifern an die Geräte geschickt werden und so bösartige Software-Installationen ermöglichen.

    Somit ist Vorsicht angesagt bei Produkten von oder mit Blackberry-Technik...

    Selbstverständlich raten wir vom Kauf der Produkte nicht ab, ein jeder kann sich selbst ein Bild machen über Sicherheit und Co.

    Quelle: http://www.pressetext.de