Infrastruktur Mobile Computing (Microsoft Exchange, Windows Mobile, Blackberry)

• About this group
• Forums

• Home
• Groups
• Infrastruktur Mobile Computing (Mi ...
• Forums
• Security
• Sicherheitsaspekte für Mobile Computing

• 
  Jens Kleinhans    Group moderator

  The company name is only visible to registered members.

  Sicherheitsaspekte für Mobile Computing

  Hallo zusammen,
  
  Immer wieder kommt die Diskussion über die Security der mobile Lösung auf. Ich habe versucht einige interessante Aspekte ein wenig genauer zu beleuchten:
  
  Blackberry Endgeräte von RIM können vom Blackberry Enterprise Server (BES) aus mit so genannten
  Policies zentral konfiguriert werden. Diese Konfigurationsmöglichkeiten sind sehr weit
  reichend und bieten speziell in den Bereichen Zugangsschutz und Verschlüsselung viele
  sinnvolle Einstellungen um die Daten auf dem Endgerät, insbesondere bei Verlust der
  Hardware, gegen unbefugten Zugriff zu schützen. Mit Hilfe der Policy lässt sich auch der
  Passwortschutz zentral konfigurieren – dies beinhaltet neben der Passwortkomplexität auch die
  Passwortlebensdauer und das automatische Sperren des Geräts nach einer definierbaren Zeit.
  Im gesperrten Zustand sind alle Schnittstellen deaktiviert und abhängig von der Konfiguration
  wird auch der Inhalt des nicht-flüchtigen Speichers bei der Sperrung verschlüsselt.
  Unter Windows Mobile sind dagegen nur rudimentäre Sicherheitsmechanismen hinterlegt.
  
  Auf Blackberry Endgeräten können nur Java Applikationen installiert werden. Um Gegensatz zu Microsoft Endgeräten läßt es sich komplett unterbinden, dass ein Anwender Software installieren kann/darf. Es gibt aktuell keine Möglichkeit einem Windows Mobile Benutzer zu verbieten keine Zusatz Software zu installieren.
  
  Blackberry speichert seine Daten entweder auf einem SQL Server oder auf dem kleinen Bruder der MSDE ab.
  Diese Datenbank beinhaltet unter Anderem folgende Informationen:
  
  • Die SRP Authentifizierungsschlüssel und SRP User-IDs, welche für die Authentifizierung der Endgeräte am BES benutzt werden. Dies ist das wichtigste geteilte Geheimnis zwischen BES und Endgerät – und steht im
  Klartext in dieser Datenbank.
  • Die PIN jedes Endgerätes.
  • Kopie der Master Encryption Keys für jedes Endgerät
  • User Listen
  
  Da diese Datenbank eine MS-SQL-Server Datenbank ist und in dieser Datenbank die
  sicherheitsrelevantesten Informationen stehen, sollte dieser Server intensiv gehärtet werden.
  Insbesondere muss der „sa“-Account mit einem starken Passwort geschützt werden und die
  eingehenden SQL-Verbindungen sollten auf BES beschränkt werden.
  
  Fazit:
  Aus sicherheitstechnischer Sicht schneidet die Blackberry Lösung besser als die Windows Mobile Lösung ab. Blackberry bietet zuzeit definitv die besseren Einstellungsmöglichkeiten die feiner zu konfigurieren sind als die Windows Mobile Lösung.
  Es muss zusätzlich bedacht werden, dass die Blackberry Lösung schon einige Jahre am Markt etabliert und entwickelt worden ist und Windows Mobile erst seit ca. April 2006 zur Verfügung steht. Blackberry hat hier nach wie vor einen technologischen Vorsprung gegenüber der Windows Mobile Lösung.
  
  Grüße Jens Kleinhans
  
  • 05 Sep 2006, 09:39 am
  Jens Kleinhans wrote: > Hallo zusammen, > > Immer wieder kommt die Diskussion über die Security der mobile Lösung > auf. Ich habe versucht einige interessante Aspekte ein wenig genauer > zu beleuchten: > > Blackberry Endgeräte von RIM können vom Blackberry Enterprise Server > (BES) aus mit so genannten > Policies zentral konfiguriert werden. Diese > Konfigurationsmöglichkeiten sind sehr weit > reichend und bieten speziell in den Bereichen Zugangsschutz und > Verschlüsselung viele > sinnvolle Einstellungen um die Daten auf dem Endgerät, insbesondere > bei Verlust der > Hardware, gegen unbefugten Zugriff zu schützen. Mit Hilfe der Policy > lässt sich auch der > Passwortschutz zentral konfigurieren – dies beinhaltet neben der > Passwortkomplexität auch die > Passwortlebensdauer und das automatische Sperren des Geräts nach > einer definierbaren Zeit. > Im gesperrten Zustand sind alle Schnittstellen deaktiviert und > abhängig von der Konfiguration > wird auch der Inhalt des nicht-flüchtigen Speichers bei der Sperrung > verschlüsselt. > Unter Windows Mobile sind dagegen nur rudimentäre > Sicherheitsmechanismen hinterlegt. > > Auf Blackberry Endgeräten können nur Java Applikationen installiert > werden. Um Gegensatz zu Microsoft Endgeräten läßt es sich komplett > unterbinden, dass ein Anwender Software installieren kann/darf. Es > gibt aktuell keine Möglichkeit einem Windows Mobile Benutzer zu > verbieten keine Zusatz Software zu installieren. > > Blackberry speichert seine Daten entweder auf einem SQL Server oder > auf dem kleinen Bruder der MSDE ab. > Diese Datenbank beinhaltet unter Anderem folgende Informationen: > > • Die SRP Authentifizierungsschlüssel und SRP User-IDs, welche für > die Authentifizierung der Endgeräte am BES benutzt werden. Dies ist > das wichtigste geteilte Geheimnis zwischen BES und Endgerät – und > steht im > Klartext in dieser Datenbank. > • Die PIN jedes Endgerätes. > • Kopie der Master Encryption Keys für jedes Endgerät > • User Listen > > Da diese Datenbank eine MS-SQL-Server Datenbank ist und in dieser > Datenbank die > sicherheitsrelevantesten Informationen stehen, sollte dieser Server > intensiv gehärtet werden. > Insbesondere muss der „sa“-Account mit einem starken Passwort > geschützt werden und die > eingehenden SQL-Verbindungen sollten auf BES beschränkt werden. > > Fazit: > Aus sicherheitstechnischer Sicht schneidet die Blackberry Lösung > besser als die Windows Mobile Lösung ab. Blackberry bietet zuzeit > definitv die besseren Einstellungsmöglichkeiten die feiner zu > konfigurieren sind als die Windows Mobile Lösung. > Es muss zusätzlich bedacht werden, dass die Blackberry Lösung schon > einige Jahre am Markt etabliert und entwickelt worden ist und Windows > Mobile erst seit ca. April 2006 zur Verfügung steht. Blackberry hat > hier nach wie vor einen technologischen Vorsprung gegenüber der > Windows Mobile Lösung. > > Grüße Jens Kleinhans
• 
  Hubert Krautter    Premium Member

  The company name is only visible to registered members.

  Re: Sicherheitsaspekte für Mobile Computing

  Hallo Jens,
  
  und wie schaut es mit anderen Middlewarelösungen aus? Ich möchte hier einmal die iAnywhere und das Produkt Onebridge sowie Afaria erwähnen. Beide Produkte gekoppelt sind unschlagbar. Wir selbst setzen für unserer Unternehmenskommunikation ein und bietern darüber hinaus ein ASP Modell an, was den kleinen bis großen Firmen es ermöglicht ,diese Techniken einzusetzen oder dabei eine eventuell intern vorhande IT Policy zu verletzen, da diese meist auf dem mobilen Endgerät abgebildet werden. Hierdurch entfallen große Investitionen in Bereich Hardware und Schulung.
  
  Für weitere Fragen stehe ich gerne zur Verfügung.
  Hubert Krautter
  
  • 16 May 2007, 2:02 pm
  Hubert Krautter wrote: > Hallo Jens, > > und wie schaut es mit anderen Middlewarelösungen aus? Ich möchte hier > einmal die iAnywhere und das Produkt Onebridge sowie Afaria erwähnen. > Beide Produkte gekoppelt sind unschlagbar. Wir selbst setzen für > unserer Unternehmenskommunikation ein und bietern darüber hinaus ein > ASP Modell an, was den kleinen bis großen Firmen es ermöglicht ,diese > Techniken einzusetzen oder dabei eine eventuell intern vorhande IT > Policy zu verletzen, da diese meist auf dem mobilen Endgerät > abgebildet werden. Hierdurch entfallen große Investitionen in Bereich > Hardware und Schulung. > > Für weitere Fragen stehe ich gerne zur Verfügung. > Hubert Krautter
• 
  Michael Pogner    Premium Member

  The company name is only visible to registered members.

  Re: Sicherheitsaspekte für Mobile Computing

  Hallo Herr Kleinhans,
  
  wir und unsere Kunden haben auch aus diesen Gründen uns für BlackBerry entschieden.
  
  Wir betreiben die Server und haben in der Konstellastion auch einen Provider mit dem wir
  eng und gut zusammenarbeite.
  
  Wir denken dass die Auswahl der Geräte durch Anwendungen und den Security-Policies des
  Kunden beeinflußt wird. ASP-Lösungen haben weitere Vorteile für den Kunden.
  
  • 20 Sep 2007, 10:32 am
  Michael Pogner wrote: > Hallo Herr Kleinhans, > > wir und unsere Kunden haben auch aus diesen Gründen uns für > BlackBerry entschieden. > > Wir betreiben die Server und haben in der Konstellastion auch einen > Provider mit dem wir > eng und gut zusammenarbeite. > > Wir denken dass die Auswahl der Geräte durch Anwendungen und den > Security-Policies des > Kunden beeinflußt wird. ASP-Lösungen haben weitere Vorteile für den > Kunden.