1. No category

Sicherheit - BlackBerry

Sicherheitsleitfaden
BES12
Version 12.2
Veröffentlicht: 2015-08-28
SWD-20150828134827806
Inhalt
Info zu diesem Handbuch................................................................................................. 9
Neuerungen für BlackBerry 10-Geräte ............................................................................................................................. 9
Neuerungen für iOS-, Android- und Windows Phone-Geräte ..............................................................................................9
Sicherheitsmerkmale für BlackBerry .............................................................................. 12
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte .............................. 13
Was ist BES12 Client?..................................................................................................................................................... 13
Für alle iOS-, Android- und Windows Phone-Geräte geltende Sicherheitsfunktionen......................................................... 14
Unterstützte Funktionen, die iOS und Android systemeigen sind...............................................................................15
Sicherheitsfunktionen für Geräte mit MDM-Steuerelementen.......................................................................................... 16
Sicherheitsfunktionen für Android for Work-Geräte.......................................................................................................... 17
Sicherheitsmerkmale für Samsung-Geräte, die KNOX MDM verwenden........................................................................... 18
Sicherheitsfunktionen für Samsung-Geräte mit KNOX Workspace ................................................................................... 18
Trusted Boot-Bestätigung........................................................................................................................................ 20
Unterstützung für TIMA........................................................................................................................................... 20
Sicherheitsfunktionen für Geräte mit Secure Work Space ................................................................................................21
Schutz von Geräten vor Entsperren und Hacken.......................................................................................................23
Typen von Apps für Secure Work Space ................................................................................................................... 24
Sicherheit von Hardware und OS bei BlackBerry 10........................................................ 25
Hardware-Vertrauensstamm für BlackBerry-Geräte......................................................................................................... 25
Das BlackBerry 10 OS .................................................................................................................................................... 25
Das Dateisystem......................................................................................................................................................26
Sandboxing............................................................................................................................................................. 26
Geräteressourcen.................................................................................................................................................... 27
App-Berechtigungen............................................................................................................................................... 27
Überprüfen der Software......................................................................................................................................... 27
Verhindern von Speicherschäden.............................................................................................................................28
Aktivieren von Geräten....................................................................................................30
Verwenden von Aktivierungsarten für die Konfiguration der Kontrolle über Geräte ........................................................... 30
Benutzerregistrierung mit der BlackBerry Infrastructure ................................................................................................. 32
Aktivierungskennwörter.................................................................................................................................................. 33
Verwenden von IT-Richtlinien für die Sicherheitsverwaltung.............................................................................................33
Daten während der Übertragung bei BlackBerry 10-Geräten........................................... 35
Verbinden von Geräten mit Ihren Ressourcen.................................................................................................................. 35
Schützen der Kommunikation zwischen Apps und Ihrem Unternehmensnetzwerk.................................................... 36
Schützen von Daten, die mittels Push an Apps auf Geräten übertragen wurden........................................................ 37
Verschlüsselungstypen für die Kommunikation zwischen Geräten und Ihren Ressourcen.......................................... 37
Schützen von Verbindungen mit Geschäftsnetzwerken.................................................................................................... 40
Verbinden mit einem VPN........................................................................................................................................ 40
Schutz von Wi-Fi-Verbindungen................................................................................................................................40
Schutz von Daten während der Übertragung über die BlackBerry Infrastructure ..............................................................44
Authentifizierung von BES12 bei der BlackBerry Infrastructure ................................................................................44
Wie Geräte eine Verbindung zur BlackBerry Infrastructure herstellen........................................................................46
Wie BES12 und die BlackBerry Infrastructure Ihre Daten schützen........................................................................... 47
Schützen von Geräteverwaltungsdaten, die zwischen BES12 und Geräten gesendet werden.....................................51
Bereitstellen von Geräten mit Zugriff per einmaligem Anmelden im Netzwerk Ihres Unternehmens.................................. 53
Verwenden von Kerberos für die einmalige Anmeldung auf Geräten..........................................................................53
Schutz der Kommunikation mit Geräten mithilfe von Zertifikaten..................................................................................... 54
Bereitstellung von BlackBerry 10-Client-Zertifikaten an Geräte.................................................................................54
Verwenden von SCEP zur Anmeldung von Clientzertifikaten auf Geräten...................................................................55
Senden von Zertifizierungsstellenzertifikaten an Geräte............................................................................................57
Schutz von E-Mail-Nachrichten....................................................................................................................................... 57
Steuern, welche Geräte Exchange ActiveSync verwenden können............................................................................ 58
Erweitern der E-Mail-Sicherheit................................................................................................................................58
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten ......... 66
Verschlüsselungstypen für die Kommunikation zwischen Geräten und Ihren Ressourcen................................................. 66
Schutz von Wi-Fi-Verbindungen................................................................................................................................66
Wi-Fi-Geschäftsverbindung......................................................................................................................................67
Verbinden mit einem VPN........................................................................................................................................ 67
Schützen von Daten während der Übertragung zwischen BES12 und iOS-, Android und Windows Phone-Geräten............ 68
Schutz der Kommunikation mit Geräten mithilfe von Zertifikaten..................................................................................... 69
Senden von Clientzertifikaten an Geräte...................................................................................................................69
Verwenden von SCEP zur Anmeldung von Clientzertifikaten auf Geräten...................................................................70
Senden von Zertifizierungsstellenzertifikaten an Geräte............................................................................................71
Einrichten von Zugriff auf das Unternehmensnetzwerk nach einmaliger Anmeldung für iOS-Geräte..................................72
Schutz von E-Mail-Nachrichten....................................................................................................................................... 72
Steuern, welche Geräte Exchange ActiveSync verwenden können............................................................................ 73
Erhöhen der Sicherheit von E-Mail-Nachrichten mittels S/MIME............................................................................... 73
Überlegungen zu Netzwerken mit DMZ........................................................................... 76
Schützen von Verbindungen zur BES12 mithilfe des BlackBerry Router .......................................................................... 76
Verwenden eines BlackBerry Router oder eines Proxy-Servers mit BES12 ....................................................................... 76
Installieren von BES12 in einer DMZ................................................................................................................................77
Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit
geschäftlichen Ressourcen.............................................................................................79
Datenfluss bei der Erstellung eines sicheren IP-Tunnels durch BlackBerry Secure Connect Plus ...................................... 79
Daten im Ruhezustand auf BlackBerry 10-Geräten......................................................... 81
Aktivierungsoptionen...................................................................................................................................................... 81
Sichern von BlackBerry Balance-Geräten.................................................................................................................81
Sichern von regulierten BlackBerry Balance-Geräten............................................................................................... 82
Wie geschäftliche und persönliche Bereiche voneinander getrennt sind................................................................... 83
Sichern von Geräten, die nur über einen geschäftlichen Bereich verfügen................................................................ 84
Verschlüsselung..............................................................................................................................................................85
Schutz persönlicher Daten durch die Geräte............................................................................................................ 86
Schutz geschäftlicher Daten durch die Geräte..........................................................................................................87
Erweiterter Schutz von Daten im Ruhezustand......................................................................................................... 87
Klassifizierung der Apps und Daten auf den Geräten........................................................................................................89
Kennwörter.....................................................................................................................................................................91
Ändern von Kennwörtern......................................................................................................................................... 92
Datenlöschung............................................................................................................................................................... 97
Überprüfen, wann die Geräte alle Daten im geschäftlichen Bereich löschen............................................................. 97
Alle Daten vom Gerät löschen.................................................................................................................................. 98
Löschen der geschäftlichen Daten......................................................................................................................... 101
Steuern von Messaging................................................................................................................................................. 103
Regeln des Zugriffs auf Inhalte...................................................................................................................................... 104
Steuern des Zugriffs auf Geräte..............................................................................................................................105
Steuern von Gerätefunktionen.......................................................................................................................................106
Steuern des Sicherheits-Timeout........................................................................................................................... 107
Verwalten des Teilens geschäftlicher und persönlicher Dateien mithilfe der Option "Teilen".................................... 109
Sicherstellen der Geräteintegrität...........................................................................................................................109
Steuern der Software............................................................................................................................................. 109
Steuern der Sprachsteuerung................................................................................................................................ 110
Steuern der Protokollierung................................................................................................................................... 110
Einrichten einer Startseitennachricht..................................................................................................................... 110
Steuern von Netzwerkverbindungen von Geräten.......................................................................................................... 111
Übertragen von geschäftlichen Dateien von Geräten mit Bluetooth ........................................................................ 111
Verwalten von Datentransfer auf ein Gerät/von einem Gerät mithilfe von NFS..........................................................114
Kontrollieren von Roaming..................................................................................................................................... 115
BlackBerry Link-Schutz................................................................................................................................................ 115
Authentifizierung zwischen Geräten und BlackBerry Link ...................................................................................... 115
Datenschutz zwischen BlackBerry Link und Geräten.............................................................................................. 116
Sichern und Wiederherstellen................................................................................................................................ 116
Remote-Medien- und Dateizugriffsarchitektur........................................................................................................117
Smartcards...................................................................................................................................................................117
Aufheben der Bindung einer Smartcard an ein Gerät..............................................................................................118
Authentifizieren eines Benutzers mithilfe einer Smartcard......................................................................................118
Verwalten, wie Geräte Smartcards verwenden........................................................................................................ 118
Daten im Ruhezustand für iOS-, Android- oder Windows Phone-Geräte .........................121
Kennwörter...................................................................................................................................................................121
Datenlöschung............................................................................................................................................................. 121
Alle Daten vom Gerät löschen................................................................................................................................ 121
Löschen der geschäftlichen Daten......................................................................................................................... 122
Durchsetzen von Standards über Kompatibilitätsprofile.................................................................................................123
Verhindern der Installation spezifischer Apps durch die Benutzer........................................................................... 124
Sicherheits-Timeout......................................................................................................................................................124
Sicherheit der Secure Work Space ............................................................................... 126
Erstellen eines geschäftlichen Bereichs auf einem Gerät............................................................................................... 127
Schutz von Daten im geschäftlichen Bereich mit Verschlüsselung..................................................................................127
Verschlüsselung des geschäftlichen Bereichs........................................................................................................ 128
Schutz des Kennworts für den geschäftlichen Bereich...................................................................................................129
Timeout nach Inaktivität im geschäftlichen Bereich.......................................................................................................129
Speichern von Daten des geschäftlichen Bereichs auf Medienkarten............................................................................. 130
Anzeige von geschäftlichen Kontakten in der Anrufer-ID................................................................................................ 130
Speichern von Arbeitsbrowserdaten.............................................................................................................................. 130
Löschen des geschäftlichen Bereichs............................................................................................................................131
Steuern, wann Geräte den geschäftlichen Bereich löschen.....................................................................................131
Enterprise-Konnektivität............................................................................................................................................... 132
Verbindung eines Geräts mit Enterprise-Konnektivität mit BES12 .......................................................................... 133
Authentifizierung von BES12 bei der BlackBerry Infrastructure ..............................................................................134
Verbindung eines Geräts mit Secure Work Space zur BlackBerry Infrastructure und zu BES12 ............................... 135
Speichern und Schützen von Zertifikaten............................................................................................................... 136
Authentifizierung des Benutzers am BES12 Client ................................................................................................. 136
Gesicherte Apps auf iOS- oder Android-Geräten ........................................................................................................... 136
Verwalten der Verfügbarkeit gesicherter Apps auf Geräten......................................................................................136
Wie ein geschäftlicher Bereich gesicherte Apps wrappt.......................................................................................... 137
App-Wrapping in der BlackBerry Infrastructure ..................................................................................................... 138
Informationsaustausch zwischen gesicherten Apps................................................................................................138
Wie ein geschäftlicher Bereich Fingerabdrücke von gesicherten Apps nimmt......................................................... 139
Anlagen für gesicherte Apps von Dritten.................................................................................................................139
Verwalten von Apps auf BlackBerry 10-Geräten............................................................ 140
Verwalten geschäftlicher Apps auf Geräten................................................................................................................... 140
BlackBerry World for Work............................................................................................................................................ 140
Installieren von persönlichen Apps auf Geräten............................................................................................................. 141
Nutzer mithilfe von Entwicklungstools von der Installation von Apps abhalten................................................................ 141
Schützen eines Geräts vor schädlichen Apps.................................................................................................................142
Verweigerung des Zugriffs auf geschäftliche Apps und Daten für die BlackBerry Runtime für Android-Apps................... 142
Verwalten der von Apps geöffneten Links in geschäftlichen und persönlichen Bereichen eines Geräts............................ 142
Verhindern, dass Benutzer in geschäftlichen Apps Sprachaufzeichnungen verwenden.................................................. 143
Verhindern, dass Benutzer bei gemeinsamer Bildschirmnutzung während BBM Video-Chats geschäftliche Dateien
teilen............................................................................................................................................................................ 143
Apps auf Geräten unverfügbar machen......................................................................................................................... 143
Steuern, wie sich Apps mit Netzwerken verbinden.........................................................................................................144
Steuern, wie geschäftliche Apps eine Verbindung zu Geschäftsnetzwerken herstellen.............................................144
Verhindern, dass sich persönliche Apps mit Netzwerken verbinden........................................................................ 146
Geschäftlichen Apps erlauben, eine Verbindung zu persönlichen Netzwerken herzustellen.....................................147
Kryptografie auf BlackBerry 10-Geräten....................................................................... 148
Symmetrische Verschlüsselungsalgorithmen.................................................................................................................148
Asymmetrische Verschlüsselungsalgorithmen............................................................................................................... 148
Hash-Algorithmen........................................................................................................................................................ 149
Nachrichtenauthentifizierungscode.............................................................................................................................. 149
Signaturalgorithmen..................................................................................................................................................... 150
Schlüsselvereinbarungsalgorithmen..............................................................................................................................150
Kryptografische Protokolle............................................................................................................................................ 150
Internetsicherheitsprotokolle................................................................................................................................. 150
VPN-Sicherheitsprotokolle..................................................................................................................................... 151
Wi-Fi-Sicherheitsprotokolle.................................................................................................................................... 151
Cipher-Suites für SSL/TLS-Verbindungen.......................................................................................................................151
Kryptografische Bibliotheken........................................................................................................................................ 153
Kryptografische VPN-Unterstützung..............................................................................................................................153
Kryptografische Wi-Fi-Unterstützung.............................................................................................................................153
BlackBerry OS-Gerätesicherheit................................................................................... 155
Glossar.........................................................................................................................157
Rechtliche Hinweise..................................................................................................... 163
ENTWURF - BlackBerry Interner Gebrauch
Info zu diesem Handbuch
Info zu diesem Handbuch
1
Mit BES12 können Sie BlackBerry 10-, BlackBerry OS- (Version 5.0 bis 7.1), iOS-, Android- (einschl. Android for Work- und
Samsung KNOX-) und Windows Phone-Geräte für Ihr Unternehmen verwalten.
Im vorliegenden Handbuch wird die von BES12 für die Verwaltung und Verwendung der Geräte bereitgestellte Sicherheit
beschrieben. Außerdem werden die Sicherheitsfunktionen der BlackBerry 10-Hardware und von BlackBerry 10 OS
beschrieben, sowie die Bereitstellung einer zusätzlichen Steuerungs- und Sicherheitsebene durch Secure Work Space für iOSGeräte sowie Android-Geräte, auf denen Android for Work bzw. Samsung KNOX nicht verwendet wird.
Dieses Handbuch richtet sich an leitende IT-Experten, die für die Evaluierung des Produkts und die Planung der
Produktbereitstellung verantwortlich sind, sowie an alle, die sich weiterführende Kenntnisse zu BES12 und zur Gerätesicherheit
aneignen möchten. Behandelt wird die Art und Weise, wie BES12 dazu beitragen kann, übertragene und im Ruhezustand
befindliche Daten sowie Apps Ihres Unternehmens zu schützen.
Neuerungen für BlackBerry 10-Geräte
In der folgenden Tabelle sind die Neuerungen für BES12 Version 12.2 aufgeführt.
Funktion
Beschreibung
BlackBerry Secure Connect Plus
Die BES12-Komponente BlackBerry Secure Connect Plus bietet einen sicheren IPTunnel zwischen Apps im geschäftlichen Bereich von BlackBerry 10-Geräten und
dem Netzwerk des Unternehmens.
Weitere Informationen finden Sie unter Verwenden von BlackBerry Secure
Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen.
Neuerungen für iOS-, Android- und Windows
Phone-Geräte
In der folgenden Tabelle werden die aktualisierten Sicherheitsfunktionen für BES12 Version 12.2 aufgeführt, die in diesem
Dokument beschrieben werden.
Funktion
Beschreibung
Unterstützung für Android for Work
BES12 kann Geräte mit Android for Work verwalten.
9
ENTWURF - BlackBerry Interner Gebrauch
Info zu diesem Handbuch
Funktion
Beschreibung
Weitere Informationen finden Sie unter Sicherheitsfunktionen für Android for WorkGeräte.
Unterstützung für Samsung KNOX
Workspace
Unterstützung für BlackBerry Secure
Connect Plus
BES12 kann Samsung-Geräte mit KNOX Workspace aktivieren.
Weitere Informationen finden Sie unter Sicherheitsfunktionen für Samsung-Geräte
mit KNOX Workspace .
Geräte mit KNOX Workspace oder Android for Work können eine sichere
Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von
BlackBerry Secure Connect Plus herstellen.
Die BES12-Komponente BlackBerry Secure Connect Plus bietet einen sicheren IPTunnel zwischen geschäftlichen Apps auf Geräten und dem Netzwerk des
Unternehmens. Über diesen Tunnel haben Benutzer Zugriff auf Ressourcen hinter
der Firewall des Unternehmens, wobei die Sicherheit der Daten mithilfe von
Standardprotokollen und durchgehender Verschlüsselung sichergestellt wird.
Weitere Informationen finden Sie unter Verwenden von BlackBerry Secure Connect
Plus für sichere Verbindungen mit geschäftlichen Ressourcen.
Neue Secure Work Space-Funktionen
Folgende neue Funktionen stehen in Secure Work Space zur Verfügung:
•
IT-Richtlinienregel zur Steuerung des Exports von geschäftlichen
Kontakten in die App für persönliche Kontakte auf Android-Geräten
•
Verwendung von SCEP bei der Registrierung von Zertifikaten
•
Zertifikatbasierte Authentifizierung für Exchange ActiveSyncVerbindungen
•
Bei Verwendung von S/MIME: Unterstützung für die Überprüfung von
Zertifikatsperrlisten, Zertifikatsuche über LDAP und Erzwingen von S/
MIME über eine E-Mail-Profileinstellung
•
Bereitstellung von Zertifikaten für Exchange ActiveSync-, S/MIME- und
SSL-Verbindungen
Unterstützung für den Versand von
Verschlüsselungs- und
Signaturzertifikaten per Entrust-PKI
Für iOS-Geräte kann nun ein Profil für Benutzeranmeldeinformationen erstellt
werden, das ein Entrust-Profil mit eigenem Verschlüsselungs- und Signaturzertifikat
umfasst.
Löschen aller Daten von per Tethering
verbundenen Geräten
Benutzer können nun alle Daten von Geräten löschen, die mit dem Computer über
USB verbunden sind.
10
ENTWURF - BlackBerry Interner Gebrauch
Info zu diesem Handbuch
Funktion
Beschreibung
Benachrichtigung über Aktualisierungen Wenn BlackBerry Aktualisierungen an der IT-Richtlinie sendet, werden
an der IT-Richtlinie
Administratoren mit der Rolle „IT-Richtlinie anzeigen“ bzw. „IT-Richtlinie erstellen“
darüber benachrichtigt, wenn sie sich anmelden.
11
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für BlackBerry
Sicherheitsmerkmale für BlackBerry
2
Funktion
Beschreibung
BlackBerry Produktionssicherheitsmodell
Das End-to-End-Produktionsmodell von BlackBerry gewährleistet
BlackBerry 10-Gerätehardwareintegrität und dass nur echte BlackBerryGeräte eine Verbindung zu der BlackBerry Infrastructure herstellen.
BlackBerry 10 OS-Schutz
Das BlackBerry 10 OS ist manipulationssicher, robust und sicher und
umfasst viele Sicherheitsmerkmale, die Daten, Apps und Ressourcen auf
Geräten schützen.
Administrative Kontrolle
BES12 ermöglicht Ihnen durch Funktionen wie Geräteaktivierung, ITAdministrationsbefehle, IT-Richtlinien und Profile Kontrolle über das
Geräteverhalten.
Kontrolle über den Gerätezugriff auf das
Netzwerk Ihres Unternehmens
BES12 ermöglicht Ihnen, geschäftliche Wi-Fi-Profile und geschäftliche
VPN-Profile an BlackBerry 10-Geräte zu senden, damit Sie kontrollieren
können, welche Geräte eine Verbindung zu dem Netzwerk Ihres
Unternehmens herstellen können.
Schutz von Daten während der Übertragung
Daten während der Übertragung innerhalb der BES12-Lösung werden
mithilfe von Sicherheitsfunktionen wie Verschlüsselung, Zertifikaten und
gegenseitig authentifizierten Verbindungen geschützt.
Schutz von Daten im Ruhezustand
Daten im Ruhezustand auf BlackBerry 10-Geräten werden mithilfe von
Sicherheitsfunktionen wie Verschlüsselung, Kennwörtern und
Datenbereinigung geschützt.
Kryptografie
BlackBerry 10-Geräte unterstützen verschiedene Arten von
kryptografischen Algorithmen, Codes, Protokollen und APIs.
FIPS-Zertifizierung für den BES12-Server
Jede BES12-Instanz verschlüsselt alle Daten, die sie direkt speichert, und
beschreibt Daten indirekt mithilfe eines FIPS-zertifizierten kryptografischen
Moduls.
12
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Sicherheitsmerkmale für iOS-,
Android- und Windows Phone-Geräte
3
Abhängig vom Gerätetyp bietet BES12 diverse Verwaltungsoptionen. Die von Ihnen ausgewählte Verwaltungsoption bestimmt,
welche Sicherheitsfunktionen verfügbar sind. Die folgende Tabelle enthält eine Liste der Verwaltungsoptionen, die in diesem
Abschnitt näher erläutert werden.
Verwaltungsoption
Unterstützte Geräte
Beschreibung
MDM-Steuerelemente
iOS, Android und Windows Phone
Diese Option umfasst einfache Funktionen
zur Verwaltung von Geräten, Sicherheit und
Apps.
KNOX MDM
Samsung
Diese Option bietet einfache Funktionen zur
Verwaltung von Geräten, Sicherheit und
Apps über Samsung KNOX MDM-APIs.
Android for Work
Android-Geräte mit Android OS 5.0 oder
höher
Diese Option erstellt eine separates
geschäftliches Profil auf Android-Geräten.
KNOX Workspace
Samsung
Diese Option erstellt einen verschlüsselten
KNOX Workspace auf Samsung-Geräten.
Secure Work Space
iOS und Android
Diese Option erstellt einen verschlüsselten
geschäftlichen Bereich auf Android- und
iOS-Geräten.
Weitere Informationen zu den Verwaltungsoptionen für Android-Geräte finden Sie in der Dokumentation für Administratoren.
Was ist BES12 Client?
BES12 Client ist eine App, mit der BES12 mit iOS-, Android- und Windows Phone-Geräten kommunizieren kann. Wenn Sie diese
Geräte mit BES12 verwalten möchten, müssen die Benutzer zunächst BES12 Client auf den Geräten installieren. Benutzer
können die neueste Version von BES12 Client aus dem App Store bei iOS-Geräten, aus Google Play bei Android-Geräten oder
aus dem Windows Marketplace bei Windows Phone herunterladen.
Nachdem Benutzer ihre Geräte aktiviert haben, können sie mit BES12 Client Folgendes tun:
•
Überprüfen, ob ihre Geräte mit den Standards des Unternehmens kompatibel sind
13
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
•
Die Profile anzeigen, die ihren Benutzerkonten zugewiesen wurden
•
Die IT-Richtlinienregeln anzeigen, die ihren Benutzerkonten zugewiesen wurden
•
Ihre Geräte deaktivieren
Für alle iOS-, Android- und Windows PhoneGeräte geltende Sicherheitsfunktionen
Die folgenden Sicherheitsfunktionen gelten für alle Geräte und Verwaltungsoptionen.
Funktion
Beschreibung
Verwaltungsbefehle
Sämtliche Verwaltungsoptionen ermöglichen Ihnen bzw. Benutzern, ein Gerät zu sperren,
Gerätekennwörter zu ändern und Informationen von Geräten zu löschen. Einige
Verwaltungsoptionen bieten zusätzliche Verwaltungsbefehle.
Steuerelement für Kennwort und
Gerät
Alle Verwaltungsoptionen ermöglichen das Festlegen von Kennwortanforderungen und
das Deaktivieren von Gerätefunktionen (z. B. der Kamera) mit IT-Richtlinien. Einige
Verwaltungsoptionen bieten verbesserte IT-Richtliniensätze für eine detailliertere
Steuerung.
Steuerung der
Netzwerkverbindung
Alle Verwaltungsoptionen unterstützen Wi-Fi-Profile, mit denen Sie festlegen können, wie
Geräte eine Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von WiFi herstellen können.
Einige Verwaltungsoptionen und Gerätetypen unterstützen überdies VPN-Verbindungen
und Enterprise-Konnektivität.
Kompatibilität
Alle Verwaltungsoptionen ermöglichen die Durchsetzung der Anforderungen des
Unternehmens an Geräte, z. B. die Installation obligatorischer Apps. Auf iOS- und
Android-Geräten können Sie entsperrte oder gehackte Geräte verweigern.
Zur Durchsetzung der Richtlinientreue können Sie Benutzern eine Benachrichtigung
senden und sie auffordern, die Anforderungen des Unternehmens zu erfüllen. Sie können
auch den Zugriff von Benutzern auf die Ressourcen und Anwendungen des
Unternehmens beschränken und Geschäftsdaten oder alle Daten auf dem Gerät löschen.
App-Verwaltung
Alle Verwaltungsoptionen ermöglichen die Installation geschäftlicher Apps auf Geräten.
Sie können angeben, ob Apps auf Geräten erforderlich sind, und Sie können sehen, ob
eine geschäftliche App auf einem Gerät installiert ist.
Einige Verwaltungsoptionen ermöglichen die Trennung geschäftlicher und persönlicher
Apps mithilfe von Containern oder geschäftlicher Profile.
14
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Funktion
Beschreibung
Zertifikatsbasierte
Authentifizierung
Alle Verwaltungsoptionen unterstützen die zertifikatbasierte Authentifizierung zwischen
Geräten und Netzwerken oder Servern in der Unternehmensumgebung.
Alle Verwaltungsoptionen unterstützen das Senden von Zertifizierungsstellenzertifikaten
an Geräte. Alle Verwaltungsoptionen für iOS- und Android-Geräte unterstützen das
Senden von Clientzertifikaten an Geräte. Einige Verwaltungsoptionen ermöglichen die
Registrierung von Clientzertifikaten auf Geräten mittels SCEP.
BES12 kann Profile und Zertifikate automatisch entfernen, wenn bei einem Gerät gegen
eine der Bedingungen für Richtlinientreue (z. B. im Hinblick auf Jailbreak oder Rooting)
verstoßen wird. Damit wird verhindert, dass das Gerät eine Verbindung mit den
Ressourcen des Unternehmens herstellt, wenn die zertifikatbasierte Authentifizierung
verwendet wird.
Für die zertifikatsbasierte Authentifizierung ist kein Proxyserver zwischen dem Gerät und
dem E-Mail-Server Ihres Unternehmens erforderlich.
Steuern, welche Geräte Zugriff auf Wenn Ihr Unternehmen Exchange ActiveSync verwendet, unterstützen alle
Exchange ActiveSync haben
Verwaltungsoptionen Microsoft Exchange Gatekeeping. Sie können Microsoft Exchange
dürfen
konfigurieren, um die Nutzung von Exchange ActiveSync durch Geräte zu unterbinden,
die nicht explizit auf einer zulässigen Liste in Microsoft Exchange aufgeführt sind. Mithilfe
von Gatekeeping in BES12 können Sie steuern, welche Geräte der zulässigen Liste
hinzugefügt werden. Wenn ein Gerät zur zulässigen Liste hinzugefügt wird, kann ein
Benutzer auf das geschäftliche E-Mail-Konto und andere Informationen auf dem Gerät
zugreifen.
FIPS-Zertifizierung für die BES12
Client
BES12 Client ist eine App, mit der BES12 mit iOS-, Android- und Windows Phone-Geräten
kommunizieren kann. BES12 Client verwendet ein FIPS-zertifiziertes kryptografisches
Modul, um alle Daten zu verschlüsseln, die er direkt speichert und indirekt in Dateien
schreibt.
Unterstützte Funktionen, die iOS und Android systemeigen
sind.
Die folgenden Funktionen sind iOS und Android systemeigen und werden auch von BES12 unterstützt. Weitere Informationen
zu diesen Funktionen finden Sie in der iOS- und Android-Dokumentation von Apple und Google.
Funktion
Beschreibung
Komplette
Festplattenverschlüsselung
Komplette Festplattenverschlüsselung gewährleistet, dass alle Daten des Geräts in
verschlüsselter Form gespeichert werden und nur Benutzern zugänglich sind, die eine
Verschlüsselungs-PIN oder ein Kennwort eingeben. BES12 unterstützt die systemeigene,
vollständige Festplattenverschlüsselung, die auf iOS und Android angeboten wird.
15
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Funktion
Beschreibung
Adressraum-LayoutRandomisierung
Adressraum-Layout-Randomisierung macht es Angreifern schwieriger, ein Gerät
auszunutzen und ihren eigenen Code auszuführen. Diese Technik randomisiert die Lage
von Systemkomponenten im Speicher, sodass es für Angreifer schwierig ist zu wissen, wo
ein Sicherheitsrisiko vorliegt. BES12 unterstützt die systemeigene Adressraum-LayoutRandomisierung, die auf iOS und Android angeboten wird.
Sicherheitsfunktionen für Geräte mit MDMSteuerelementen
Die Verwaltungsoption „MDM-Steuerelemente“ ermöglicht die Verwendung der standardmäßig auf iOS-, Android- und Windows
Phone-Geräten verfügbaren Sicherheitsfunktionen. Es wird kein separater, verschlüsselter Container erstellt, die geschäftlichen
Apps und Daten werden nicht von den persönlichen getrennt. MDM-Steuerelemente lassen einige Bedenken in puncto
Benutzer-Datenschutz unbeantwortet und bieten keine erhöhte Sicherheit. MDM-Steuerelemente sind normalerweise nicht
empfehlenswert, wenn ein Unternehmen strenge Sicherheitsanforderungen zur Verhinderung von Datenverlust/-diebstahl hat.
Je nach Gerätetyp stehen zusätzlich zu den Sicherheitsfunktionen für alle Gerätetypen die folgenden Sicherheitsfunktionen zur
Verfügung:
Gerät
Sicherheitsfunktion
iOS
•
VPN-Verbindung über VPN-Profile
•
SCEP-Registrierung von Zertifikaten
•
Durchsetzung von Richtlinientreue auf Geräten mit Jailbreak
•
IT-Richtlinienregeln zur Steuerung verschiedener systemeigener Apps,
Gerätefunktionen und überwachter Geräte sowie zum Konfigurieren von
Einstufungen für zulässigen Inhalt
•
Durchsetzung von Richtlinientreue auf gerooteten Geräten
•
IT-Richtlinienregel für die Geräteverschlüsselung
•
IT-Richtlinienregeln zur Steuerung von Geräteverbindungen per Bluetooth oder
NFC, systemeigener Apps und firmeneigener Geräte (z. B. ob ein Benutzer ein Gerät
zurücksetzen kann)
Android
Windows Phone
16
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Sicherheitsfunktionen für Android for WorkGeräte
Android for Work ist eine von Google entwickelte Funktion, die zusätzliche Sicherheit für Unternehmen bietet, in denen AndroidGeräte verwaltet werden sollen. Mit ihr wird ein geschäftliches Profil erstellt, das die geschäftlichen Apps und Daten enthält.
Wenn Sie Android for Work verwenden, können Sie die Sicherheitsfunktionen für alle Geräte und die in der folgenden Tabelle
aufgeführten Sicherheitsfunktionen nutzen:
Sicherheitsfunktion
Beschreibung
Geräteverschlüsselung
Standardmäßig wird ein mit Android for Work aktiviertes Gerät mithilfe von AES-256
verschlüsselt.
Geschäftliches Profil
Wenn Sie ein Gerät mit Android for Work aktivieren, wird ein geschäftliches Profil erstellt,
das geschäftliche Apps von persönlichen Apps trennt. Das geschäftliche Profil verfügt
über ein eigenes Dateisystem, eigene App-Sandboxen und einen eigenen ZertifikatSchlüsselspeicher.
Verwaltungsbefehle für das
geschäftliche Profil
BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) das
geschäftliche Profil sperren oder entfernen können.
Zertifikatverwaltung
Sie können Clientzertifikate und CA-Zertifikate unter Verwendung verschiedener Arten
von Profilen an Geräte senden, je nachdem, woher ein Zertifikat stammt.
App-Verwaltung
Sie können eingeschränkte und erforderliche Apps festlegen und sicherstellen, dass die
Geräte entsprechend richtlinientreu sind. Alle Apps, die Sie bereitstellen, sind
geschäftliche Apps, die in App-Sandboxen im geschäftlichen Profil installiert werden.
Sie können App-Konfigurationen einrichten, um die Merkmale von Apps festzulegen.
Sichere Verbindung über
BlackBerry Secure Connect Plus
Sie können BES12- und Android for Work-Geräte zum Herstellen einer sicheren
Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry
Secure Connect Plus konfigurieren.
Hierfür müssen die Geräte mit der Aktivierungsart „Geschäftlich und persönlich –
Benutzer-Datenschutz (Android for Work – Premium)“ aktiviert werden.
17
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Sicherheitsmerkmale für Samsung-Geräte, die
KNOX MDM verwenden
BES12 kann Samsung-Geräte mithilfe von KNOX MDM verwalten. KNOX MDM umfasst die Sicherheitsfunktionen, die Samsung
für die Geräte bereitstellt. Wenn ein Gerät aktiviert wird, erkennt BES12 automatisch, ob das Gerät KNOX MDM unterstützt.
In der folgenden Tabelle werden die neben den standardmäßigen Android-Sicherheitsmerkmalen für Geräte, die KNOX MDM
unterstützen, verfügbaren Sicherheitsfunktionen beschrieben:
Sicherheitsfunktion
Beschreibung
VPN-Verbindung
BES12 umfasst VPN-Profile, die Sie an Geräte mit KNOX MDM senden können, damit
diese eine Verbindung mit einem IPSec- oder SSL-VPN herstellen können. Sie können
eine kennwort- oder zertifikatbasierte Authentifizierung verwenden.
Verbesserter IT-Richtliniensatz
Sie können Samsung KNOX MDM-Geräte über einen verbesserten IT-Richtliniensatz
steuern. Beispielsweise können Sie mithilfe verschiedener Regeln das Gerätekennwort,
systemeigene Apps, Gerätefunktionalität, Konnektivität (einschließlich Bluetooth und
NFC) und Browsereinstellungen steuern.
Verbesserte App-Verwaltung
Sie können Apps im Hintergrund installieren und deinstallieren, eingeschränkte Apps
deaktivieren, die vor Durchsetzen der Richtlinie durch BES12 installiert wurden, und die
Installation eingeschränkter Apps unterbinden.
Sie können KNOX MDM mit oder ohne Container (z. B. KNOX Workspace oder Secure Work Space) verwenden. Wenn Sie auch
ein Container verwenden möchten, müssen Sie eine Gold-Lizenz erwerben.
Weitere Informationen über die KNOX MDM-Richtlinien finden Sie in der Richtlinien-Referenztabelle unter
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Sicherheitsfunktionen für Samsung-Geräte mit
KNOX Workspace
Samsung KNOX Workspace ist ein verschlüsselter kennwortgeschützter Container auf einem Samsung-Gerät für geschäftliche
Apps und Daten. Er trennt die persönlichen Apps und Daten eines Benutzers von denen des Unternehmens und schützt
letztere mithilfe erweiterter, von Samsung entwickelter Sicherheits- und Verwaltungsfunktionen.
Wenn Sie KNOX Workspace verwenden, können Sie die Sicherheitsfunktionen für KNOX MDM-Geräte und die in der folgenden
Tabelle aufgeführten Sicherheitsfunktionen nutzen:
18
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Sicherheitsfunktion
Beschreibung
Sicherheit der Hardware
Standardmäßig werden für Samsung-Geräte, die KNOX Workspace unterstützen, die
folgenden Sicherheitsfunktionen für Hardware und Betriebssystem verwendet:
•
Secure Boot und Trusted Boot, die die Echtheit von Kernel und Betriebssystem
prüfen
•
TIMA, das den Kernel überprüft und auf Änderungen überwacht
SE für Android
Standardmäßig verwenden Samsung-Geräte SE für Android. SE für Android teilt das
Betriebssystem in Sicherheitsdomänen auf, damit Apps und Prozesse keinen unbefugten
Zugriff auf Daten und Ressourcen erhalten. Apps außerhalb des KNOX Workspace
erhalten beispielsweise keinen Zugriff auf App-Daten im geschäftlichen Bereich.
Containerverschlüsselung
Standardmäßig ist auf Samsung-Geräten der KNOX Workspace mit AES-256
verschlüsselt.
Verbesserter IT-Richtliniensatz
Sie können den KNOX Workspace über einen verbesserten IT-Richtliniensatz steuern.
Beispielsweise können Sie über verschiedene Regeln folgende Funktionen steuern:
Verwaltungsbefehle für den
geschäftlichen Bereich
•
Kennwort für geschäftlichen Bereich
•
Ob geschäftliche Apps Zertifikate anhand von Zertifikatsperrlisten prüfen sollen
•
Trusted Boot-Bestätigung
•
Trennung von geschäftlichen und persönlichen Daten (beispielsweise, ob
geschäftliche Dateien im persönlichen Bereich zulässig sind)
•
Ob geschäftliche und persönliche Daten wie Kontakte, Kalender und
Benachrichtigungen synchronisiert werden können
•
Smartcard-Authentifizierung für Browser und E-Mail
•
Konnektivität, einschließlich Bluetooth und NFC
•
Browsereinstellungen
BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) den
geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich
zurücksetzen, und den geschäftlichen Bereich entfernen können.
Zertifikatbasierte Authentifizierung Sie können Zertifikate mithilfe von SCEP an Geräte senden. Die Geräte können diese
mittels SCEP
Zertifikate für VPN-, Exchange ActiveSync- und Wi-Fi-Verbindungen verwenden.
Sichere Verbindung über
BlackBerry Secure Connect Plus
Sie können BES12 und Geräte mit KNOX Workspace zum Herstellen einer sicheren
Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry
Secure Connect Plus konfigurieren.
Zertifizierung
KNOX Workspace hat folgende Zertifizierungen:
19
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Sicherheitsfunktion
Beschreibung
•
FIPS 140-2 Level 1 für Daten im Ruhezustand und während der Übertragung
•
DISA MOS SRG Compliance
Weitere Informationen finden Sie unter https://www.samsungknox.com/en/products/knoxworkspace/technical.
Trusted Boot-Bestätigung
Trusted Boot ist eine Samsung KNOX-Funktion, die Kernel und Betriebssystem prüft, wenn ein Gerät gestartet wird. Trusted
Boot überprüft die Integrität von Geräten mit einem KNOX Workspace, damit Sie wissen, dass keine unzulässige Firmware
ausgeführt wird. Wenn ein Benutzer nicht genehmigte Firmware installiert, löst Trusted Boot das KNOX-Garantie-Bit aus, auf
den KNOX Workspace kann nicht mehr zugegriffen werden, und Sie können das Gerät nicht mehr mit Samsung KNOX
verwalten. Ist das Gerät verschlüsselt, kann es darüber hinaus nicht mehr verwendet werden.
Standardmäßig ist die Trusted Boot-Überprüfung deaktiviert. Sie können sie über die Regel „Trusted Boot-Bestätigung
aktivieren“ aktivieren. Weitere Informationen über diese Regel finden Sie in der Richtlinien-Referenztabelle unter
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Weitere Informationen zu Trusted Boot finden Sie unter https://www.samsungknox.com/en/products/knox-workspace.
Unterstützung für TIMA
TIMA prüft, ob der Geräte-Kernel während der Laufzeit beschädigt wurde. Wenn Sie ein Gerät mit KNOX Workspace aktivieren,
unterstützt BES12 die folgenden Elemente von TIMA:
•
TIMA CCM, das Zertifikate speichert, die von Apps zum Ver- und Entschlüsseln, Signieren und für die Inhaltsprüfung
verwendet werden können. TIMA CCM ähnelt einer Smartcard. BES12 speichert automatisch Wi-Fi-Zertifikate, für die
Konnektivität mit der BlackBerry Infrastructure erforderliche Zertifikate, freigegebene Zertifikate, Benutzerzertifikate
und Benutzeranmeldeinformationen im TIMA CCM. Nur zugelassene Apps im KNOX Workspace, denen der
Zertifikatalias bekannt ist, können auf Zertifikate im TIMA CCM zugreifen. Diese Funktion steht für Geräte zur
Verfügung, die KNOX 2.1 oder höher unterstützen.
•
TIMA-Schlüsselspeicher, in dem die Schlüssel zur Verschlüsselung des KNOX Workspace gespeichert werden und der
für Apps Dienste zum Generieren und Pflegen von Kryptografieschlüsseln bietet.
CA-Zertifikate werden nicht im TIMA CCM, sondern im Zertifikatspeicher des KNOX Workspace gespeichert.
20
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Sicherheitsfunktionen für Geräte mit Secure
Work Space
Secure Work Space ist ein Container, der ein höheres Maß an Kontrolle und Sicherheit für iOS- und Android-Geräte bietet.
Secure Work Space umfasst gesicherte Apps, die geschützt und von persönlichen Apps und Daten getrennt werden. Die
gesicherten Apps umfassen eine integrierte E-Mail-, Kontakte- und Kalender-App, einen sicheren Browser auf
Unternehmensebene und eine App zum sicheren Anzeigen und Bearbeiten von Dokumenten. Mithilfe des geschäftlichen
Browsers können Benutzer das geschäftliche Intranet und das Internet sicher durchsuchen.
In der folgenden Tabelle sind die Secure Work Space-spezifischen Sicherheitsfunktionen aufgeführt.
Funktion
Beschreibung
Schutz der Daten beim Transport
zwischen BES12 und einem Gerät
BES12 schützt die Daten, die zwischen BES12 und einem Gerät mit Secure Work
Space transportiert werden. BES12 und ein Gerät können mithilfe des TLSProtokolls mit dem AES-256-Algorithmus kommunizieren.
Funktion zur Herstellung einer
Verbindung zu Arbeitsressourcen, ohne
VPN oder eingehende Ports in der
Firewall zu verwenden
Ein Gerät mit Secure Work Space sendet Daten an BlackBerry Infrastructure, was
anschließend mit BES12 über den von ausgehendem Datenverkehr initiierten und
bidirektionalen Port 3101 kommuniziert. Die Daten werden vom BES12 über den
gleichen Pfad zurück zum Gerät transportiert.
Schutz von Daten des geschäftlichen
Bereichs auf einem Gerät
•
Zum geschäftlichen Bereich gehören gesicherte Apps. Gesicherte Apps
sind geschäftliche Apps, die der geschäftliche Bereich mit zusätzlichen
Schutzmaßnahmen sichert.
•
Standardmäßig schützen gesicherte Apps ihre Daten mit der AES-256Verschlüsselung. Wenn Sie zulassen, dass alle Apps auf die Daten im
geschäftlichen Bereich zugreifen können, verschlüsseln die gesicherten
Apps ihre Daten nicht.
•
Gesicherte Apps hashcodieren Kennwörter, bevor sie sie speichern.
•
Der geschäftliche Bereich trennt Daten des geschäftlichen Bereichs von
anderen Daten. Eine gesicherte App kann nur mit einer anderen
gesicherten App kommunizieren und mit ihr Daten teilen, es sei denn, Sie
lassen zu, dass alle Apps auf die Daten im geschäftlichen Bereich
zugreifen können.
•
Der geschäftliche Bereich ermöglicht es einem Benutzer, aus einer
gesicherten App in eine andere gesicherte App zu kopieren, jedoch nicht
in eine geschäftliche oder persönliche App.
21
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Funktion
Beschreibung
FIPS-Zertifizierung für die
Verschlüsselung von Daten des
geschäftlichen Bereichs
Der geschäftliche Bereich verschlüsselt alle Daten, die er direkt speichert und
mithilfe eines FIPS-zertifizierten kryptografischen Moduls indirekt in Dateien
schreibt.
Verbesserter IT-Richtliniensatz
Mit dem Secure Work Space-IT-Richtliniensatz können Sie ein Kennwort für den
geschäftlichen Bereich konfigurieren, vorgeben, was auf Geräten nach einem
bestimmten Zeitraum der Inaktivität passieren soll, und geschäftliche Kontakte
steuern.
Verwaltungsbefehle für den
geschäftlichen Bereich
BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) den
geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich
zurücksetzen und den geschäftlichen Bereich entfernen können.
Schutz des Betriebssystems
Schutz von App-Daten mit Sandboxing
•
Der geschäftliche Bereich kann einen Prozess für eine gesicherte App,
die nicht mehr reagiert, neu starten, ohne dadurch andere Prozesse
negativ zu beeinflussen.
•
Der geschäftliche Bereich überprüft Anfragen, die Apps für Ressourcen
auf dem Gerät stellen.
Der geschäftliche Bereich verwendet Sandboxing, um die Funktionen und
Berechtigungen gesicherter Apps, die auf dem Gerät ausgeführt werden, zu
trennen und zu beschränken. Jeder Anwendungsprozess im geschäftlichen Bereich
wird in seiner eigenen Sandbox ausgeführt.
Der geschäftliche Bereich bewertet die Anfragen, die die Prozesse einer
gesicherten App für Speicher außerhalb ihrer Sandbox stellen.
Verwaltung von Berechtigungen für den
Zugriff auf Funktionen
Der geschäftliche Bereich bewertet jede Anfrage, die eine gesicherte App stellt, um
auf eine Funktion auf dem Gerät zuzugreifen.
Funktion zum Hinzufügen Ihrer eigenen
gesicherten Apps
Ihr Unternehmen kann interne Apps in gesicherte Apps konvertieren, die im
geschäftlichen Bereich installiert und ausgeführt werden können. Um eine App in
eine gesicherte App zu konvertieren, müssen Sie die Binärdatei der App mithilfe der
BES12-Verwaltungskonsole sichern. Anschließend muss der App-Entwickler die
App erneut signieren (und gegebenenfalls eine Berechtigungsdatei für eine iOSApp erstellen). Dann können Sie die App im geschäftlichen Bereich auf den
Geräten installieren.
Funktion zum Hinzufügen gesicherter
Apps von anderen Anbietern
Drittentwickler von Apps können ihre Apps sichern und erneut signieren und sie auf
App Store oder Google Play zur Verfügung stellen, damit Sie sie an Benutzer senden
können.
Apps von App Store oder Google Play, die nicht als gesicherte Apps gekennzeichnet
sind, können nicht im geschäftlichen Bereich installiert oder ausgeführt werden.
22
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Funktion
Beschreibung
Nur der App-Anbieter kann eine App sichern und erneut signieren, sodass sie im
geschäftlichen Bereich installiert werden kann.
Schutz des Konto-Managers auf einem
Gerät
Manche Geräte verwenden einen Konto-Manager, um die Anmeldeinformationen
für verschiedene Benutzerkonten zu speichern. Der geschäftliche Bereich schützt
die von gesicherten Apps gespeicherten Anmeldeinformationen, sodass die
Anmeldeinformationen ausschließlich von gesicherten Apps geteilt werden können.
Schutz der gesicherten Apps vor
Trojanern und Schadsoftware
Der geschäftliche Bereich nimmt von Apps Fingerabdrücke, um sicherzustellen,
dass nur bekannte und vertrauenswürdige Apps als gesicherte Apps ausgeführt
werden können. Gesicherte Apps werden überprüft, bevor sie an den
geschäftlichen Bereich eines Geräts gesendet werden und jedes Mal, wenn sie auf
dem Gerät ausgeführt werden.
Erkennung eines entsperrten oder
gehackten Status
Wenn ein Gerät entsperrt oder gehackt wurde, hat der Benutzer Stammzugriff auf
das Betriebssystem des Geräts. BES12 wurde entwickelt, um zu erkennen, ob ein
Gerät entsperrt oder gehackt wurde. Sie können den Benutzer benachrichtigen
oder auffordern, sogenannte Jailbreak-Software oder Rooting-Software vom Gerät
zu entfernen. Wenn ein Gerät entsperrt oder gehackt wurde, kann der Benutzer den
geschäftlichen Bereich nicht installieren bzw. nicht auf diesen zugreifen, wenn er
bereits installiert wurde.
Erlaubte und eingeschränkte E-MailDomänen
Um Datenverlust zu verhindern, unterstützen Geräte mit Secure Work Space
erlaubte und eingeschränkte Domänen für E-Mail-, Kalender- und
Terminplanerdaten. Die erlaubten und eingeschränkten Domänenlisten
bestimmen, welche Links der Benutzer von seinen geschäftlichen E-Mail- und
Terminplanerdaten aufrufen kann, und an wen der Benutzer E-Mail-Nachrichten,
Kalendereinladungen und Terminplanerdaten senden kann.
Schutz von Geräten vor Entsperren und Hacken
iOS
Bei iOS-Geräten schützt Secure Work Space gegen Jailbreaking. Secure Work Space führt Standardprüfungen an Pfadnamen
und gemeinsamen Dateien durch sowie zusätzliche Überprüfungen, z. B. Tests, ob Privilegien eskaliert werden können, indem
Prozesse verzweigt und Systemaufrufe ausgeführt werden.
Gesicherte Apps führen In-Process-Speicherprüfungen durch, die Jailbreak-Signaturen in Echtzeit erkennen und eine starke
Verteidigung gegen alle Formen von Jailbreak bietet. In-Process-Speicherprüfungen werden durch mehrere Mechanismen
geschützt, um zu verhindern, dass die Algorithmen überwunden werden. Die Prüfungen werden beispielsweise über den Code
verteilt und beinhalten falsche Spuren und andere Verteidigungstaktiken.
23
ENTWURF - BlackBerry Interner Gebrauch
Sicherheitsmerkmale für iOS-, Android- und Windows Phone-Geräte
Jailbreak-Prüfungen werden ausgeführt, wenn gesicherte Apps ausgeführt werden. Wenn ein Benutzer ein Gerät verliert, und
ein Angreifer das Gerät entsperrt, schützt die Verschlüsselung des geschäftlichen Bereichs die Daten darin vor Angriffen wie
beispielsweise Bit-Kopien des persistenten Speichers.
Um Secure Work Space auf einem iOS-Gerät, das entsperrt wurde, auszuführen, müssen Sie das Gerät in einen nicht
entsperrten Zustand zurücksetzen.
Android Betriebssystem
Bei Android-Geräten verwendet Secure Work Space die MDM APIs des Herstellers, um zu erkennen, ob das Gerät gehackt
wurde sowie zusätzliche, für Secure Work Space spezifische Nachweisverfahren. Die Prüfungen werden nach
Wahrscheinlichkeit ausgeführt und stoppen, wenn sie erkennen, dass das Gerät gehackt wurde. Die Nachweisverfahren des
Geräteherstellers sind über ein Partnerprogramm lizenziert und nicht öffentlich zugänglich.
Um Secure Work Space auf einem Android-Gerät, das gehackt wurde, auszuführen, müssen Sie das Gerät in einen nicht
gehackten Zustand zurücksetzen.
Typen von Apps für Secure Work Space
Auf Geräten mit Secure Work Space können drei verschiedenen Typen von Apps ausgeführt werden:
App-Typ
Beschreibung
Persönliche App
Eine App, die der Benutzer auf dem Gerät installiert, oder eine App, die der
Hersteller oder der Mobilfunkanbieter auf dem Gerät installiert. BES12 behandelt
diese Apps und die Daten, die diese speichern, als persönliche Daten.
Geschäftliche App
Eine App, die Sie auf dem Gerät eines Benutzers installieren und verwalten. BES12
behandelt diese Apps und die Daten, die diese speichern, als geschäftliche Daten.
Gesicherte App
Eine geschäftliche App, die der geschäftliche Bereich mit zusätzlichen
Schutzmaßnahmen sichert. BES12 behandelt diese Apps und die Daten, die diese
speichern, als Daten des geschäftlichen Bereichs.
Es gibt verschiedene Typen gesicherter Apps:
App-Typ
Beschreibung
Standardmäßig gesicherte App
Eine gesicherte App, die auf jedem Gerät mit Secure Work Space erscheint.
Intern gesicherte App
Eine App, die Ihr Unternehmen entwickelt und speziell vorbereitet, um im
geschäftlichen Bereich ausgeführt zu werden.
Extern gesicherte App
Eine App, die ein Drittanbieter entwickelt, und die der App-Anbieter speziell
vorbereitet, um im geschäftlichen Bereich ausgeführt zu werden.
24
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit von Hardware und OS bei BlackBerry 10
Sicherheit von Hardware und OS bei
BlackBerry 10
4
Hardware-Vertrauensstamm für BlackBerryGeräte
BlackBerry gewährleistet die Integrität der BlackBerry-Gerätehardware und stellt sicher, dass sich gefälschte Geräte nicht mit
der BlackBerry Infrastructure verbinden und keine BlackBerry-Dienste verwenden können.
Bei BlackBerry wird zu jedem Zeitpunkt des Produktlebenszyklus bei der Produktgestaltung aller wichtigen Komponente die
Sicherheit der Geräte berücksichtigt. BlackBerry hat sein End-to-End-Produktionsmodell verbessert, um die sichere
Verbindung der Versorgungskette, der BlackBerry-Produktionspartner, der BlackBerry Infrastructure und der BlackBerryGeräte zu gewährleisten, sodass BlackBerry zuverlässige Geräte auf der ganzen Welt herstellen kann.
Das BlackBerry-Produktionssicherheitsmodell sorgt dafür, dass gefälschte Geräte echte Geräte nicht imitieren können, und
stellt sicher, dass ausschließlich authentische BlackBerry -Geräte eine Verbindung zur BlackBerry Infrastructure herstellen
können. Die BlackBerry Infrastructure stellt die Identität eines Gerätes, das sich anmelden will, mithilfe der
Geräteauthentifizierung kryptografisch fest. Die BlackBerry-Produktionssysteme verwenden das hardwarebasierte ECC 521Bit-Schlüsselpaar, um jedes Gerät während des Fertigungsprozesses zu verfolgen, zu überprüfen und vorzubereiten. Nur
Geräte, die die Überprüfungs- und Vorbereitungsprozesse abschließen, können sich in der BlackBerry Infrastructure
registrieren.
Das BlackBerry 10 OS
Das BlackBerry 10 OS ist das Microkernel-Betriebssystem des BlackBerry 10-Geräts. Bei Microkernel-Betriebssystemen wird
die minimale Softwaremenge im Kernel implementiert, und andere Prozesse laufen im Benutzerbereich, der sich außerhalb des
Kerns befindet.
Im Kernel eines Microkernel-Betriebssystems ist weniger Code enthalten als in anderen Betriebssystemen. Aufgrund der
geringeren Codemenge kann der Kern Anfälligkeiten umgehen, die mit komplexen Codes verbunden sind, und der Kern kann
die Verifizierung erleichtern. Die Verifizierung ist ein Prozess, der die Programmierfehler in einem System bewertet. Viele der
Prozesse, die in einem herkömmlichen Betriebssystem im Kernel laufen, laufen im Benutzerbereich des OS.
Das OS ist manipulationssicher. Wenn das OS startet, durchläuft der Kernel eine Integritätsprüfung, und wenn bei der
Integritätsprüfung Schäden am Kernel festgestellt werden, startet das Gerät nicht.
25
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit von Hardware und OS bei BlackBerry 10
Das OS ist robust. Der Kernel isoliert einen Prozess in seinem Benutzerbereich, wenn dieser nicht mehr reagiert, und startet
den Prozess erneut, ohne dabei andere Prozesse zu beeinträchtigen. Zusätzlich verwendet der Kernel adaptive Partitionierung,
um zu verhindern, dass Apps den Speicher, der von einer anderen App verwendet wird, beeinträchtigen oder lesen.
Das OS ist sicher. Der Kernel überprüft Ressourcenanfragen, und ein Autorisierungsmanager regelt, wie Anwendungen auf die
Funktionen des Geräts zugreifen, z. B. auf die Kamera, auf Kontakte und auf Informationen zur Geräteidentifizierung.
Das Dateisystem
Das BlackBerry 10-Gerätedateisystem läuft außerhalb des Kernels und sorgt dafür, dass die geschäftlichen Daten sicher und
von den persönlichen Daten getrennt sind. Das Dateisystem ist in die folgenden Bereiche unterteilt:
•
Basisdateisystem
•
Geschäftliches Dateisystem
•
Persönliches Dateisystem (bei Geräten mit persönlichem Bereich)
Das Basisdateisystem ist schreibgeschützt und enthält Systemdateien. Da das Basisdateisystem schreibgeschützt ist, kann das
BlackBerry 10 OS die Integrität des Basisdateisystems überprüfen und Schäden verringern, die durch einen Angreifer, der das
Dateisystem verändert hat, verursacht wurden.
Das geschäftliche Dateisystem enthält geschäftliche Apps und Daten. Das Gerät verschlüsselt die Dateien, die im
geschäftlichen Bereich gespeichert sind.
Bei Geräten mit einem persönlichen Bereich enthält das persönliche Dateisystem persönliche Apps und Daten. Apps, die ein
Benutzer aus der BlackBerry World-Verkaufsplattform auf das Gerät installiert hat, befinden sich im persönlichen Dateisystem.
Das Gerät kann die Dateien, die im persönlichen Bereich gespeichert sind, verschlüsseln.
Sandboxing
Das BlackBerry 10 OS verwendet den Sicherheitsmechanismus Sandboxing, um die Funktionen und Berechtigungen von Apps,
die auf dem Gerät ausgeführt werden, zu trennen und zu beschränken. Jeder Anwendungsprozess läuft in seiner eigenen
Sandbox. Hierbei handelt es sich um einen virtuellen Kasten, der aus dem Speicher und dem Teil des Dateisystems besteht, auf
den der Anwendungsprozess zu einer bestimmten Zeit zugreifen kann.
Jede Sandbox ist sowohl mit der App als auch mit dem Bereich, in der sie genutzt wird, verknüpft. Zum Beispiel kann eine App
eine Sandbox im persönlichen Bereich und eine weitere Sandbox im geschäftlichen Bereich haben, wobei diese jeweils
voneinander isoliert sind.
Das OS bewertet die Anfragen, die der Prozess einer App für Speicher außerhalb ihrer Sandbox stellt. Wenn ein Prozess
versucht, ohne Genehmigung des OSs auf Speicher außerhalb der eigenen Sandbox zuzugreifen, beendet das OS den Prozess,
fordert den gesamten Speicher, der vom Prozess genutzt wird, zurück, und startet den Prozess neu, ohne dabei andere
Prozesse zu beeinträchtigen.
Wenn das OS installiert ist, weist es jeder App eine eindeutige Gruppen-ID zu. Eine Gruppen-ID kann nicht von zwei Apps geteilt
werden, und das OS verwendet keine Gruppen-ID wieder, nachdem eine App entfernt wurde. Die Gruppen-ID einer App bleibt
bei einem Upgrade dieselbe.
26
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit von Hardware und OS bei BlackBerry 10
Standardmäßig speichert jede App ihre Daten in der eigenen Sandbox. Das OS verhindert den Zugriff von Apps auf
Dateisystem-Speicherorte, die der Gruppen-ID der App nicht zugeordnet sind.
Eine App kann Daten auch in einem freigegebenen Verzeichnis speichern und auf Daten in diesem Verzeichnis zugreifen.
Dieses Verzeichnis ist eine Sandbox, die von jeder App, die Zugriff darauf hat, genutzt werden kann. Wenn eine App zum ersten
Mal Dateien im freigegebenen Verzeichnis speichern will oder auf Dateien im freigegebenen Verzeichnis zugreifen will, wird der
Benutzer aufgefordert, der App den Zugriff zu gestatten.
Geräteressourcen
Das BlackBerry 10 OS verwaltet die Ressourcen eines Geräts, sodass eine App nicht die Ressourcen einer anderen App nutzen
kann. Das OS verwendet adaptive Partionierung, um ungenutzte Ressourcen bei üblichen Betriebsbedingungen an Apps
umzuverteilen und um die Ressourcenverfügbarkeit für bestimmte Apps bei optimalen Betriebsbedingungen zu verbessern.
App-Berechtigungen
Der Autorisierungsmanager ist ein Teil des BlackBerry 10 OS, der Anfragen von Apps für den Zugriff auf Gerätefunktionen
bewertet. Funktionen sind beispielsweise die Aufnahme von Fotos und Audio-Aufzeichnungen. Das OS ruft den
Autorisierungsmanager auf, wenn eine App beginnt, Berechtigungen für die von der App genutzten Funktionen festzulegen.
Wenn eine App startet, wird der Benutzer möglicherweise aufgefordert, den Zugriff auf eine Funktion zuzulassen. Der
Autorisierungsmanager kann eine vom Benutzer gegebene Berechtigung speichern und die Berechtigung verwenden, wenn die
App das nächste Mal startet.
Überprüfen der Software
Überprüfen des Bootloader-Codes
Das BlackBerry 10-Gerät nutzt eine Authentifizierungsmethode, die überprüft, ob der Bootloader-Code zur Ausführung auf dem
Gerät freigegeben ist. Während des Herstellungsverfahrens wird der Bootloader im Flash-Speicher des Gerätes installiert, und
ein öffentlicher Signaturschlüssel wird im Prozessor des Geräts installiert. Das BlackBerry-Signaturstellensystem verwendet
einen privaten Schlüssel zum Signieren des Bootloader-Codes. Das Gerät speichert Informationen, die zur Überprüfung der
digitalen Signatur des Bootloader-Codes verwendet werden können.
Wenn ein Benutzer ein Gerät einschaltet, führt der Prozessor den internen ROM-Code aus, der den Bootloader-Code aus dem
Flash-Speicher liest und die digitale Signatur des Bootloader-Codes anhand des gespeicherten öffentlichen Schlüssels
überprüft. Bei abgeschlossener Überprüfung wird die Ausführung des Bootloader auf dem Gerät freigegeben. Wenn die Prüfung
nicht abgeschlossen werden kann, läuft das Gerät nicht mehr.
27
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit von Hardware und OS bei BlackBerry 10
Überprüfen des Betriebs- und Dateisystems
Wenn der Bootloader-Code zur Ausführung auf einem BlackBerry 10-Gerät berechtigt ist, wird das BlackBerry 10 OS vom
Bootloader-Code überprüft. Das OS ist unter Verwendung von EC 521 mit einer Reihe von privaten Schlüsseln digital signiert.
Der Bootloader-Code verwendet die entsprechenden öffentlichen Schlüssel, um sicherzustellen, dass die digitale Signatur
korrekt ist. Wenn die Signatur korrekt ist, lädt der Bootloader das BlackBerry 10 OS.
Bevor das OS das schreibgeschützte Basisdateisystem lädt, führt es ein Validierungsprogramm aus, das einen SHA-256Hashwert der Inhalte des Basisdateisystems erstellt, einschließlich aller Metadaten. Das Programm vergleicht den SHA-256Hashwert mit einem SHA-256-Hashwert, der außerhalb des Basisdateisystems gespeichert ist. Dieser gespeicherte Hashwert
ist unter Verwendung von EC 521 mit einer Reihe von privaten Schlüsseln digital signiert. Wenn die Hashwerte übereinstimmen,
verwendet das Validierungsprogramm die entsprechenden öffentlichen Schlüssel, um die Signatur und die Integrität des
gespeicherten Hashwerts zu überprüfen.
Überprüfen von Apps und Softwareupgrades
Sobald das Basisdateisystem überprüft wurde, überprüft das BlackBerry 10 OS die bestehenden Apps, indem es die XML-Datei
der App liest und die Bestandsdaten der App mit den kryptografisch signierten Hashwerten im XML-Manifest abgleicht.
Jedes Softwareupgrade und jede App für das BlackBerry 10-Gerät ist im BlackBerry Archive (BAR)-Format verpackt. Dieses
Format enthält SHA-2-Hashwerte von jeder archivierten Datei und eine ECC-Signatur, die die Hashliste umfasst. Wenn ein
Benutzer ein Softwareupgrade oder eine App installiert, überprüft das Installationsprogramm, ob die Hashwerte und die digitale
Signatur korrekt sind.
Die digitalen Signaturen für eine BAR-Datei geben zusätzlich den Urheber des Softwareupgrades oder der App an. Der
Benutzer kann auf dieser Grundlage dann entscheiden, ob die Software installiert werden soll.
Da das Gerät die Integrität einer BAR-Datei prüfen kann, kann das Gerät BAR-Dateien über eine HTTP-Verbindung
herunterladen, wodurch der Herunterladevorgang schneller als über eine sicherere Verbindung ist.
Verhindern von Speicherschäden
BlackBerry 10-Geräte verhindern das Ausnutzen von Speicherschäden auf verschiedene Weise, einschließlich der
Sicherheitsmechanismen in der folgenden Tabelle:
Sicherheitsmechanismus
Beschreibung
Stack und Heap nicht ausführbar
Die Speicherbereiche Stack und Heap werden als nicht ausführbar bewertet. Auf
diese Weise kann ein Prozess in diesen Bereichen des Speichers keinen
Maschinencode ausführen, wodurch es einem Angreifer erschwert wird,
potentielle Pufferüberläufe auszunutzen.
Stack Cookies
Stack Cookies sind eine Art Pufferüberlaufschutz, der bei der Abwehr von
Angreifern hilft, die einen beliebigen Code ausführen wollen.
28
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit von Hardware und OS bei BlackBerry 10
Sicherheitsmechanismus
Beschreibung
Robuste Heap-Implementierungen
Die Heap-Implementierung umfasst einen Abwehrmechanismus gegen die
beabsichtigte Beschädigung des Heap-Bereichs des Speichers. Der
Mechanismus dient dazu, ein Überschreiben der Band-internen HeapDatenstrukturen zu erkennen und abzuschwächen, sodass ein Programm auf
sichere Weise fehlschlagen kann. Der Mechanismus hilft bei der Abwehr von
Angreifern, die mittels einer Heap-Beschädigung einen beliebigen Code
ausführen wollen.
Adressraum-Layout-Randomisierung
(ASLR)
Standardmäßig werden die Speicherpositionen aller Bereiche eines Programms
im Adressraum eines Prozesses per Zufallsprinzip angeordnet. Dieser
Mechanismus erschwert einem Angreifer die Durchführung eines Angriffs, der
das Vorausbestimmen von Zieladressen für die Ausführung eines beliebigen
Codes beinhaltet.
Quellenverstärkung auf Compiler-Ebene
Der Compiler GCC verwendet die Option FORTIFY_SOURCE, um unsichere
Codekonstrukte zu ersetzen (wenn möglich). Zum Beispiel könnte eine
unbegrenzte Speicherkopie durch ihre begrenzte Entsprechung ersetzt werden.
Schutzseiten
Wenn ein Prozess versucht, auf eine Speicherseite zuzugreifen, verursacht die
Schutzseite eine einmalige Ausnahme, und der Prozess schlägt fehl. Diese
Schutzseiten werden strategisch zwischen Speicherbereichen für verschiedene
Zwecke platziert, wie dem Standardprogramm-Heap und dem Objekt-Heap.
Dieser Mechanismus verhindert, dass ein Angreifer einen Heap-Pufferüberlauf
verursacht und das Verhalten eines Prozesses verändert oder mit den
Genehmigungen der beeinträchtigten Prozesse einen beliebigen Code ausführt.
29
ENTWURF - BlackBerry Interner Gebrauch
Aktivieren von Geräten
Aktivieren von Geräten
5
Bei der Geräteaktivierung wird ein Gerät mit einem Benutzerkonto in BES12 verknüpft und ein sicherer Kommunikationskanal
zwischen dem Gerät und BES12 über die BlackBerry Infrastructure hergestellt.
Weitere Informationen zur Aktivierung einschließlich zugehöriger Datenflüsse finden Sie in der Übersicht und der
Dokumentation für Administratoren.
Verwenden von Aktivierungsarten für die
Konfiguration der Kontrolle über Geräte
Sie können Aktivierungsarten verwenden, um zu konfigurieren, wie viel Kontrolle Sie über aktivierte Geräte haben. Diese
Flexibilität bei Kontrollniveaus ist hilfreich, wenn Sie volle Kontrolle über ein Gerät haben möchten, das Sie einem Benutzer
ausgeben, oder wenn Sie sicherstellen möchten, dass Sie keine Kontrolle über die privaten Daten eines Geräts haben, das
einem Benutzer gehört und das er zur Arbeit bringt.
Welche Aktivierungsarten in Ihrem Unternehmen verfügbar sind, hängt von den Gerätetypen und den Lizenzen ab, die Sie
erworben haben. Weitere Informationen zu verfügbaren Aktivierungsarten finden Sie in der Dokumentation für Administratoren.
In der folgenden Tabelle werden die drei Aktivierungsarten für BlackBerry 10-Geräte beschrieben.
Aktivierungsart
Beschreibung
Geschäftlich und persönlich –
Unternehmen
Diese Aktivierungsart ermöglicht die Steuerung von geschäftlichen Daten auf
Geräten und stellt gleichzeitig sicher, dass private Daten geschützt werden. Wenn
ein Gerät aktiviert wird, wird auf dem Gerät ein separater geschäftlicher Bereich
erstellt, und der Benutzer muss ein Kennwort erstellen, um auf den geschäftlichen
Bereich zuzugreifen. Geschäftsdaten werden über Verschlüsselung und
Kennwortauthentifizierung geschützt.
Mithilfe von IT-Administrationsbefehlen und IT-Richtlinien können Sie den
geschäftlichen Bereich des Geräts steuern, jedoch keinen Aspekt des privaten
Bereichs des Geräts.
Nur geschäftlicher Bereich
Diese Aktivierungsart ermöglicht eine vollständige Kontrolle über das Gerät und
bietet keinen separaten Bereich für persönliche Daten. Wenn ein Gerät aktiviert
wird, wird der persönliche Bereich entfernt, es wird ein geschäftlicher Bereich
erstellt, und der Benutzer muss ein Kennwort erstellen, um auf das Gerät
zuzugreifen. Geschäftsdaten werden über Verschlüsselung und
Kennwortauthentifizierung geschützt.
30
ENTWURF - BlackBerry Interner Gebrauch
Aktivieren von Geräten
Aktivierungsart
Beschreibung
Sie können das Gerät mithilfe von IT-Administrationsbefehlen und IT-Richtlinien
steuern.
Geschäftlich und persönlich – Reguliert
Diese Aktivierungsart ermöglicht die Kontrolle über die geschäftlichen und die
persönlichen Daten. Wenn ein Gerät aktiviert wird, wird auf dem Gerät ein
separater geschäftlicher Bereich erstellt, und der Benutzer muss ein Kennwort
erstellen, um auf den geschäftlichen Bereich zuzugreifen. Geschäftsdaten werden
über Verschlüsselung und Kennwortauthentifizierung geschützt.
Sie können sowohl den geschäftlichen als auch den persönlichen Bereich auf dem
Gerät mit IT-Administrationsbefehlen und IT-Richtlinien steuern.
In der folgenden Tabelle werden die Aktivierungsarten für Android-, iOS- und Windows Phone-Geräte beschrieben.
Aktivierungsart
Unterstützte Geräte
Beschreibung
MDM-Steuerelemente
•
Alle
Diese Aktivierungsart stellt eine grundlegende Geräteverwaltung
mithilfe der Gerätesteuerelemente bereit. Auf dem Gerät ist kein
separater Container installiert und keine zusätzliche Sicherheit
für geschäftliche Daten vorhanden.
Geschäftlich und
persönlich – BenutzerDatenschutz
•
iOS- und Android-Geräte
mit Secure Work Space
•
Android-Geräte mit
Android for Work
•
Samsung-Geräte mit
Samsung KNOX
Workspace
Diese Aktivierungsart ermöglicht die Steuerung von
geschäftlichen Daten auf Geräten und stellt gleichzeitig sicher,
dass private Daten geschützt werden. Wenn ein Gerät aktiviert
wird, wird ein separater Container bzw. ein geschäftliches Profil
auf dem Gerät erstellt. Wenn ein Container erstellt wird, muss der
Benutzer ein Kennwort einrichten, um darauf Zugriff zu erhalten.
Geschäftsdaten werden über Verschlüsselung und
Kennwortauthentifizierung geschützt.
Während des Aktivierungsprozesses wird mithilfe eines SSLZertifikats ein sicherer Kommunikationskanal zwischen dem
Gerät und BES12 eingerichtet.
Sie können den Container bzw. das geschäftliche Profil auf dem
Gerät steuern, jedoch keinerlei Element des persönlichen
Bereichs.
Geschäftlich und
•
persönlich – vollständige
Kontrolle
•
iOS- und Android-Geräte
mit Secure Work Space
Samsung-Geräte mit
KNOX Workspace
Diese Aktivierungsart ermöglicht die volle Kontrolle über Geräte.
Wenn ein Gerät aktiviert wird, wird ein separater Container bzw.
ein geschäftliches Profil auf dem Gerät erstellt. Wenn ein
Container erstellt wird, muss der Benutzer ein Kennwort
einrichten, um darauf Zugriff zu erhalten. Geschäftsdaten werden
über Verschlüsselung und Kennwortauthentifizierung geschützt.
31
ENTWURF - BlackBerry Interner Gebrauch
Aktivieren von Geräten
Aktivierungsart
Unterstützte Geräte
Beschreibung
Während des Aktivierungsprozesses wird mithilfe eines SSLZertifikats ein sicherer Kommunikationskanal zwischen dem
Gerät und BES12 eingerichtet.
Sie können den Container und das geschäftliche Profil sowie
einige weitere Aspekte des Geräts, die sowohl den persönlichen
als auch den geschäftlichen Bereich betreffen, steuern. Während
der Aktivierung müssen Benutzer mit einem iOS-Gerät ein
Mobilgeräteverwaltungsprofil installieren, und Benutzer mit
einem Android-Gerät müssen Administratorberechtigungen für
den BES12 Client zulassen.
Nur geschäftlicher
Bereich
•
Samsung-Geräte mit
KNOX Workspace
Diese Aktivierungsart ermöglicht die Verwaltung des gesamten
Geräts. Die Aktivierungsart deaktiviert den persönlichen Bereich
und installiert einen geschäftlichen Bereich. Der Benutzer muss
ein Kennwort erstellen, um auf das Gerät zuzugreifen. Alle Daten
auf dem Gerät werden durch Verschlüsselung und eine Methode
zur Authentifizierung, beispielsweise Kennwort, PIN, Muster oder
Fingerabdruck, geschützt.
Während der Aktivierung müssen Benutzer
Administratorberechtigungen für den BES12 Client zulassen.
Benutzerregistrierung mit der BlackBerry
Infrastructure
Die Benutzerregistrierung mit der BlackBerry Infrastructure ist eine Einstellung in den Standard-Aktivierungseinstellungen, die
es Benutzern ermöglicht, mit dem BlackBerry Infrastructure registriert zu werden, wenn Sie einen Benutzer zu BES12
hinzufügen. An BlackBerry Infrastructure gesendete Informationen werden sicher gesendet und gespeichert.
Der Vorteil der Registrierung ist, dass Benutzer die Serveradresse nicht eingeben müssen, wenn sie die Aktivierung eines Geräts
durchführen; sie müssen nur ihre E-Mail-Adresse und ihr Kennwort eingeben. Der Enterprise Management Agent auf
BlackBerry 10-Geräten, bzw. der BES12 Client auf anderen Geräten, kommuniziert dann mit der BlackBerry Infrastructure, um
die Serveradresse abzurufen. Eine sichere Verbindung mit BES12 wird mit minimalem Eingriff vonseiten des Benutzers
hergestellt.
Sie können die Benutzerregistrierung mit BlackBerry Infrastructure abschalten, wenn Sie keine Benutzerinformationen an
BlackBerry senden möchten.
32
ENTWURF - BlackBerry Interner Gebrauch
Aktivieren von Geräten
Aktivierungskennwörter
Sie können festlegen, wie lange ein Aktivierungskennwort gültig bleibt, bevor es abläuft. Sie können auch die StandardKennwortlänge für das automatisch generierte Kennwort bestimmen, das in der Aktivierungs-E-Mail-Nachricht an die Benutzer
gesendet wird.
Der Wert, den Sie für Ablauf des Aktivierungszeitraums eingeben, wird im Feld "Ablauf des Aktivierungszeitraums" als
Standardeinstellung angezeigt, wenn Sie ein Benutzerkonto zu BES12 hinzufügen.
Der Ablauf des Aktivierungszeitraums kann 1 Minute bis 30 Tage betragen, und die Länge des automatisch generierten
Kennworts kann 4 bis 16 Zeichen betragen.
Verwenden von IT-Richtlinien für die
Sicherheitsverwaltung
Eine IT-Richtlinie ist ein Regelsatz, mit dem Funktionen und die Funktionalität von Geräten beschränkt oder zugelassen werden.
Verwenden Sie IT-Richtlinienregeln zur Verwaltung der Sicherheit und des Verhaltens von Geräten. Das Gerätebetriebssystem
und die Geräteaktivierungsart bestimmen, welche Regeln in einer IT-Richtlinie auf ein bestimmtes Gerät angewendet werden.
Je nach Geräteaktivierungsart, Betriebssystem und Version können Sie beispielsweise IT-Richtlinienregeln verwenden, um
folgende Aufgaben zu erledigen:
•
Kennwortanforderungen auf Geräten oder im geschäftlichen Bereich des Geräts durchsetzen
•
Verhindern, dass Benutzer die Kamera verwenden
•
Bei BlackBerry 10-Geräten: Verbindungen über die drahtlose Bluetooth-Technologie steuern
•
Datenverschlüsselung erzwingen
Jedem Benutzerkonto kann nur eine IT-Richtlinie zugewiesen werden. Die zugewiesene IT-Richtlinie wird an alle Geräte des
Benutzers gesendet. Wenn Sie einem Benutzerkonto oder einer Gruppe, zu der ein Benutzer oder Gerät gehört, keine ITRichtlinie zuweisen, sendet BES12 die standardmäßige IT-Richtlinie an die Geräte des Benutzers.
Sie können IT-Richtlinien einen Rang zuweisen, um zu bestimmen, welche Richtlinie an Geräte gesendet wird, wenn ein
Benutzer oder ein Gerät Mitglied in zwei oder mehreren Gruppen ist, die über verschiedene IT-Richtlinien verfügen und keine
IT-Richtlinie dem Benutzerkonto direkt zugeordnet ist. BES12 sendet die IT-Richtlinie mit dem höchsten Rang an die Geräte
des Benutzers.
BES12 sendet automatisch IT-Richtlinien an Geräte, wenn ein Benutzer ein Gerät aktiviert, wenn eine zugewiesene IT-Richtlinie
aktualisiert wird und wenn einem Benutzer oder einer Gruppe eine andere IT-Richtlinie zugewiesen wird. Wenn ein Gerät eine
neue oder aktualisierte IT-Richtlinie empfängt, wendet das Gerät die Konfigurationsänderungen beinahe in Echtzeit an.
Alle BlackBerry 10-IT-Richtlinienregeln, die in BES12 verfügbar sind, gelten für regulierte BlackBerry Balance-Geräte. Nur
Geräte des geschäftlichen Bereichs und BlackBerry Balance-Geräte ignorieren die Regeln in der IT-Richtlinie, die nicht für
diese Geräte gelten.
33
ENTWURF - BlackBerry Interner Gebrauch
Aktivieren von Geräten
Weitere Informationen über die Zuweisung und Priorisierung von IT-Richtlinien finden Sie in der Dokumentation für
Administratoren.
Weitere Informationen über spezifische IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
34
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Daten während der Übertragung bei
BlackBerry 10-Geräten
6
Daten, die zwischen BlackBerry 10-Geräten und Ihren Ressourcen hin und her gesendet werden, werden je nach Datenpfad
mit verschiedenen Methoden geschützt.
Die meisten Daten, die zwischen dem Mail-, Web- und Inhaltsserver Ihres Unternehmens und BlackBerry 10-Geräten
ausgetauscht werden, können direkt über ein geschäftliches VPN oder ein Wi-Fi-Geschäftsnetzwerk oder aber über den BES12
und die BlackBerry Infrastructure übermittelt werden.
Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile oder IT-Administrationsbefehle und erforderliche Apps aus
Ihrem Unternehmensnetzwerk an BlackBerry 10-Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure
gesendet, selbst wenn das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist.
Unabhängig vom Typ und Pfad der Daten werden die Daten verschlüsselt und über gegenseitig authentifizierte Verbindungen
geleitet. Die Daten können nicht von der BlackBerry Infrastructure oder an einem anderen Punkt auf dem Übertragungsweg
entschlüsselt werden.
Verbinden von Geräten mit Ihren Ressourcen
BlackBerry 10-Geräte können sich mithilfe einiger Kommunikationsmethoden mit den Ressourcen Ihres Unternehmens
verbinden (z. B. Mailserver, Webserver und Inhaltserver). Standardmäßig versuchen die Geräte, mithilfe der folgenden
Kommunikationsmethoden eine Verbindung zu den Ressourcen Ihres Unternehmens herzustellen. Der Reihe nach:
1.
Geschäftliche VPN-Profile, die Sie konfigurieren
2.
Geschäftliche Wi-Fi-Profile, die Sie konfigurieren
3.
BlackBerry Infrastructure und BES12
4.
Persönliche VPN-Profile und persönliche Wi-Fi-Profile, die ein Benutzer auf dem Gerät konfiguriert
35
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Standardmäßig können geschäftliche Apps auf dem Gerät ebenfalls jede dieser Kommunikationsmethoden verwenden, um auf
die Ressourcen in Ihrer Unternehmensumgebung zuzugreifen.
Schützen der Kommunikation zwischen Apps und Ihrem
Unternehmensnetzwerk
BlackBerry 10-Geräte lassen geschäftliche Apps und persönliche Apps (auf Geräten mit einem persönlichen Bereich) zu, um
unter Verwendung eines verfügbaren Wi-Fi-Profils oder VPN-Profils eine Verbindung zu Ihrem Unternehmensnetzwerk
herzustellen. Wenn Sie Wi-Fi-Profile oder VPN-Profile mit dem BES12 konfigurieren, erlauben Sie persönlichen Apps, auf das
Netzwerk Ihres Unternehmens zuzugreifen.
Wenn die Sicherheitsanforderungen Ihres Unternehmens nicht zulassen, dass persönliche Apps auf das
Unternehmensnetzwerk zugreifen, können Sie die Verbindungsoptionen einschränken. Mithilfe der IT-Richtlinienregel
„Zulassen, dass persönliche Apps geschäftliche Netzwerke verwenden“ können Sie verhindern, dass persönliche Apps das
Netzwerk Ihres Unternehmens verwenden, indem sie über Ihre geschäftliche Wi-Fi- oder VPN-Netzwerkverbindung auf das
Internet zugreifen.
Außerdem können Sie die Kommunikationsmethoden einschränken, über die Geräte über BES12 eine Verbindung mit Ihrem
Unternehmensnetzwerk herstellen können. Beschränken Sie dazu die Verbindungsoptionen auf den BlackBerry MDS
Connection Service und die BlackBerry Infrastructure. Persönliche Apps können über den BlackBerry MDS Connection Service
und die BlackBerry Infrastructure keine Verbindung zum Netzwerk Ihres Unternehmens herstellen.
36
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Schützen von Daten, die mittels Push an Apps auf Geräten
übertragen wurden
Der BlackBerry MDS Connection Service verbindet Push-Anwendungen, die auf den Anwendungsservern oder Webservern
Ihres Unternehmens gehostet werden, mit Apps auf BlackBerry 10-Geräten. Der BlackBerry MDS Connection Service sendet
von Push-Anwendungen empfangene Push-Anforderungen über die BlackBerry Infrastructure an Apps auf BlackBerry 10Geräten.
Bei Bedarf können Sie nur bestimmten Push-Anwendungen erlauben, Daten mittels Push an BlackBerry 10-Geräte zu
übertragen, und Sie können die Authentifizierung aktivieren, um zu verhindern, dass der BlackBerry MDS Connection Service
Daten von nicht autorisierten Push-Anwendungen sendet.
Zum Schutz der Verbindung zwischen Push-Anwendungen und dem BlackBerry MDS Connection Service können Sie TLS
verwenden. Push-Anwendungen können das selbstsignierte Zertifikat verwenden, das generiert wird, wenn Sie den BlackBerry
MDS Connection Service-Schlüsselspeicher konfigurieren, oder Sie können dem Schlüsselspeicher ein signiertes Zertifikat von
einer vertrauenswürdigen öffentlichen Zertifizierungsstelle hinzufügen.
Weitere Informationen zum BlackBerry MDS Connection Service finden Sie in der Dokumentation zur Konfiguration.
Verschlüsselungstypen für die Kommunikation zwischen
Geräten und Ihren Ressourcen
Für die Kommunikation zwischen einem Gerät und den Ressourcen Ihres Unternehmens können verschiedene
Verschlüsselungstypen verwendet werden. Welcher Verschlüsselungstyp verwendet wird, hängt von der Verbindungsmethode
ab.
37
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Verschlüsselungstyp
Beschreibung
Wi-Fi-Verschlüsselung (IEEE
802.11)
Wi-Fi-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und
einem drahtloser Zugriffspunkt verwendet, wenn der drahtlose Zugriffspunkt eingerichtet
wurde, um Wi-Fi-Verschlüsselung zu verwenden.
VPN-Verschlüsselung
VPN-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und
einem VPN-Server verwendet.
SSL/TLS-Verschlüsselung
SSL/TLS-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und
einem Inhaltsserver, einem Webserver oder einem E-Mail-Server in Ihrem Unternehmen
verwendet. Die Verschlüsselung für diese Verbindung muss separat auf jedem Server
eingerichtet werden. Hierbei wird für jeden Server ein separates Zertifikat verwendet. Auf
dem Server kann je nach Einrichtung SSL oder TLS verwendet werden.
Verschlüsselung einer geschäftlichen Wi-Fi-Verbindung
Bei einer geschäftlichen Wi-Fi-Verbindung stellt ein BlackBerry 10-Gerät unter Verwendung der Einstellungen, die Sie in einem
Wi-Fi-Profil konfiguriert haben, eine Verbindung zu den Ressourcen Ihres Unternehmens her. Wi-Fi-Verschlüsselung wird
verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet wurde.
Verschlüsselung einer VPN-Verbindung
38
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Bei einer VPN-Verbindung stellt ein BlackBerry 10-Gerät über einen beliebigen drahtlosen Zugriffspunkt, ein mobiles Netzwerk,
die Firewall und einen VPN-Server Ihres Unternehmens eine Verbindung zu den Ressourcen Ihres Unternehmens her. Wi-FiVerschlüsselung wird verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet wurde.
Verschlüsselung der BlackBerry Infrastructure-Verbindung
Bei einer BlackBerry Infrastructure-Verbindung stellt ein Gerät über einen beliebigen drahtlosen Zugriffspunkt, die BlackBerry
Infrastructure, die Firewall Ihres Unternehmens und den BES12 eine Verbindung zu den Ressourcen Ihres Unternehmens her.
Wi-Fi-Verschlüsselung wird nur verwendet, wenn der drahtlose Zugriffspunkt für die Verwendung der Verschlüsselung
eingerichtet wurde.
39
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Schützen von Verbindungen mit
Geschäftsnetzwerken
Verbinden mit einem VPN
VPN-Profile werden nur auf BlackBerry 10-, iOS-, Samsung KNOX MDM- und KNOX Workspace-Geräten unterstützt.
Wenn Ihre Unternehmensumgebung VPNs umfasst, z. B. IPSec- oder SSL-VPNs, können Sie Geräte zur Authentifizierung bei
einem VPN für den Zugriff auf das Netzwerk des Unternehmens konfigurieren. Ein VPN stellt einen verschlüsselten Tunnel
zwischen einem Gerät und dem Netzwerk bereit.
Eine VPN-Lösung besteht aus einem VPN-Client auf einem Gerät und einem VPN-Konzentrator. Das Gerät kann den VPN-Client
zur Authentifizierung mit dem VPN-Konzentrator verwenden, der als Gateway zu Ihrem Unternehmensnetzwerk fungiert. Jedes
Gerät enthält einen integrierten VPN-Client, der mehrere VPN-Konzentratoren unterstützt. Je nach VPN-Lösung muss
möglicherweise eine Client-App auf dem Gerät installiert werden. Der VPN-Client auf dem Gerät unterstützt die Verwendung
einer starken Verschlüsselung, um sich selbst mit dem VPN-Konzentrator zu authentifizieren. Er erstellt einen verschlüsselten
Tunnel zwischen dem Gerät und dem VPN-Konzentrator, über den das Gerät und Ihr Unternehmensnetzwerk kommunizieren
können.
Schutz von Wi-Fi-Verbindungen
Ein Gerät kann eine Verbindung zu geschäftlichen Wi-Fi-Netzwerken herstellen, die den Standard IEEE 802.11 verwenden. Der
Standard IEEE 802.11i verwendet den Standard IEEE 802.1X zur Authentifizierung und Schlüsselverwaltung, um geschäftliche
Wi-Fi-Netzwerke zu schützen. Der Standard IEEE 802.11i gibt an, dass Unternehmen das PSK-Protokoll oder den Standard
IEEE 802.1X als Zugriffssteuerungsmethode für Wi-Fi-Netzwerke verwenden müssen.
Sie können Wi-Fi-Profile verwenden, um Wi-Fi-Konfigurationsinformationen, einschließlich Sicherheitseinstellungen und
jegliche erforderliche Zertifikate, an Geräte zu senden.
Von einem Gerät unterstützte Layer 2-Sicherheitsmethoden
Sie können ein Gerät so konfigurieren, dass es Sicherheitsmethoden für Layer 2 (auch bekannt als IEEE 802.11Verbindungsschicht) verwendet, sodass der drahtlose Zugriffspunkt das Gerät authentifizieren kann, damit das Gerät und der
drahtlose Zugriffspunkt die Daten, die sie miteinander austauschen, verschlüsseln können. Das Gerät unterstützt die folgenden
Layer 2-Sicherheitsmethoden:
•
WEP-Verschlüsselung (64-Bit und 128-Bit)
•
Standard IEEE 802.1X und EAP-Authentifizierung unter Verwendung von PEAP, EAP-TLS, EAP-TTLS und EAP-FAST
•
TKIP- und AES-CCMP-Verschlüsselung für WPA-Personal, WPA2-Personal, WPA - geschäftlich und WPA2 geschäftlich
40
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Zur Unterstützung der Layer 2-Sicherheitsmethoden verfügt das Gerät über einen integrierten IEEE 802.1X-Supplikanten.
Wenn ein geschäftliches Wi-Fi-Netzwerk EAP-Authentifizierung verwendet, können Sie den Zugriff von Geräten auf das
geschäftlicheWi-Fi-Netzwerk zulassen oder verweigern, indem Sie den zentralen Authentifizierungsserver Ihres Unternehmens
aktualisieren. Es ist nicht erforderlich, die Konfiguration eines jeden Zugriffspunkts zu aktualisieren.
Weitere Informationen zu IEEE 802.11 und IEEE 802.1X finden Sie unter www.ieee.org/portal/site. Weitere Informationen zur
EAP-Authentifizierung finden Sie unter RFC 3748.
IEEE 802.1X-Standard
Der IEEE 802.1X-Standard definiert ein generisches Framework zur Authentifizierung, mit dem ein Gerät und ein geschäftliches
Wi-Fi-Netzwerk sich gegenseitig authentifizieren können. Das EAP-Framework ist in RFC 3748 festgelegt.
Das Gerät unterstützt EAP-Authentifizierungsmethoden, die den Anforderungen von RFC 4017 entsprechen, zur
Authentifizierung des Geräts für das geschäftliche Wi-Fi-Netzwerk. Einige EAP-Authentifizierungsmethoden (z. B. EAP-TLS,
EAP-TTLS, EAP-FAST oder PEAP) verwenden Anmeldeinformationen, um gegenseitige Authentifizierung zwischen dem Gerät
und dem Wi-Fi-Geschäftsnetzwerk zu bieten.
Das Gerät ist kompatibel mit den WPA - geschäftlich- und den WPA2 - geschäftlich-Spezifikationen.
Datenfluss: Authentifizieren eines Geräts mit einem geschäftlichen Wi-Fi-Netzwerk mithilfe des
IEEE 802.1X-Standards
Wenn Sie einen drahtlosen Zugriffspunkt so konfiguriert haben, dass er den IEEE 802.1X-Standard verwendet, lässt der
Zugriffspunkt nur die Kommunikation per EAP-Authentifizierung zu. Bei diesem Datenfluss wird angenommen, dass Sie ein
Gerät so konfiguriert haben, dass es die EAP-Authentifizierungsmethode zur Kommunikation mit dem Zugriffspunkt verwendet.
1.
Das Gerät verknüpft sich selbst mit dem Zugriffspunkt, den Sie so konfiguriert haben, dass er den IEEE 802.1X-Standard
verwendet. Das Gerät sendet seine Anmeldeinformationen (in der Regel ein Benutzername und Kennwort) an den
Zugriffspunkt.
2.
Der Zugriffspunkt sendet die Anmeldeinformationen an den Authentifizierungsserver.
3.
Der Authentifizierungsserver führt folgende Aktionen aus:
4.
a
Authentifizieren des Geräts für den Zugriffspunkt
b
Anweisen des Zugriffspunkts, den Zugriff auf das geschäftliche Wi-Fi-Netzwerk zuzulassen
c
Senden von Wi-Fi-Anmeldeinformationen an das Gerät, sodass das Gerät mit dem Zugriffspunkt authentifizieren
kann
Der Zugriffspunkt und das Gerät verwenden EAPoL-Key-Nachrichten, um Verschlüsselungsschlüssel zu erstellen (z. B.
WEP, TKIP oder AES-CCMP, je nach der vom Gerät verwendeten EAP-Authentifizierungsmethode).
Wenn das Gerät EAPoL-Nachrichten sendet, verwendet das Gerät die von der EAP-Authentifizierungsmethode
vorgegebenen Verschlüsselungs- und Integritätsanforderungen. Wenn das Gerät EAPoL-Key-Nachrichten sendet,
verwendet das Gerät den ARC4-Algorithmus oder den AES-Algorithmus für Integrität und Verschlüsselung.
41
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Nachdem der Zugriffspunkt und das Gerät den Verschlüsselungsschlüssel erstellt haben, kann das Gerät auf das geschäftliche
Wi-Fi-Netzwerk zugreifen.
Von Geräten unterstützte EAP-Authentifizierungsmethoden
PEAP-Authentifizierung
Mit der PEAP-Authentifizierung können Geräte mit einem Authentifizierungsserver authentifiziert werden und auf ein
geschäftliches Wi-Fi-Netzwerk zugreifen. Die PEAP-Authentifizierung verwendet TLS zum Erstellen eines verschlüsselten
Tunnels zwischen einem Gerät und dem Authentifizierungsserver. Das Gerät verwendet den TLS-Tunnel, um dem
Authentifizierungsserver Anmeldeinformationen für die Authentifizierung des Geräts zu senden.
Geräte unterstützen PEAPv0 und PEAPv1 für die PEAP-Authentifizierung. Geräte unterstützen außerdem EAP-MS-CHAPv2 und
EAP-GTC als Protokoll der zweiten Stufe während der PEAP-Authentifizierung, sodass die Geräte Anmeldeinformationen mit
dem geschäftlichen Wi-Fi-Netzwerk austauschen können.
Um die PEAP-Authentifizierung zu konfigurieren, müssen Sie ein Zertifizierungsstellenzertifikat, das dem Zertifikat des
Authentifizierungsservers entspricht, an die Geräte senden und, falls erforderlich, Clientzertifikate anmelden. Sie können SCEPProfile verwenden, um Clientzertifikate auf Geräten anzumelden.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
EAP-TLS-Authentifizierung
Bei der EAP-TLS-Authentifizierung wird eine PKI verwendet, damit sich ein Gerät bei einem Authentifizierungsserver
authentifizieren und auf ein geschäftliches Wi-Fi-Netzwerk zugreifen kann. Die EAP-TLS-Authentifizierung verwendet TLS zum
Erstellen eines verschlüsselten Tunnels zwischen dem Gerät und dem Authentifizierungsserver. Die EAP-TLS-Authentifizierung
verwendet den mit TLS verschlüsselten Tunnel und ein Clientzertifikat, um die Anmeldeinformationen des Geräts an den
Authentifizierungsserver zu senden.
Geräte unterstützen EAP-TLS-Authentifizierung, wenn der Authentifizierungsserver und der Client Zertifikate verwenden, die
bestimmte Anforderungen erfüllen. Um die EAP-TLS-Authentifizierung zu konfigurieren, müssen Sie ein
Zertifizierungsstellenzertifikat, das dem Zertifikat des Authentifizierungsservers entspricht, an die Geräte senden und
Clientzertifikate anmelden. Sie können SCEP-Profile verwenden, um Zertifikate auf Geräten anzumelden. Weitere Informationen
finden Sie in der Dokumentation für Administratoren.
Weitere Informationen zur EAP-TLS-Authentifizierung finden Sie unter RFC 2716.
EAP-TTLS-Authentifizierung
EAP-TTLS-Authentifizierung erweitert die EAP-TLS-Authentifizierung, damit sich ein Gerät und ein Authentifizierungsserver
gegenseitig authentifizieren können. Wenn der Authentifizierungsserver sein Zertifikat zur Authentifizierung mit dem Gerät
verwendet und eine geschützte Verbindung zum Gerät herstellt, erfolgt die Authentifizierung des Geräts durch den
Authentifizierungsserver über ein Authentifizierungsprotokoll über die geschützte Verbindung.
42
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Geräte unterstützen EAP-MS-CHAPv2, MS-CHAPv2 und PAP als Protokoll der zweiten Stufe während der EAP-TTLSAuthentifizierung, damit die Geräte Anmeldeinformationen mit dem geschäftlichen Wi-Fi-Netzwerk austauschen können.
Um die EAP-TTLS-Authentifizierung zu konfigurieren, müssen Sie ein Zertifizierungsstellenzertifikat, das dem Zertifikat des
Authentifizierungsservers entspricht, an die Geräte senden. Weitere Informationen finden Sie in der Dokumentation für
Administratoren.
Schutz vertraulicher BES12-Informationen durch das Gerät und Wi-Fi
Damit ein Gerät auf ein Wi-Fi-Netzwerk zugreifen kann, müssen Sie vertrauliche Wi-Fi-Informationen, wie
Verschlüsselungsschlüssel und Kennwörter, mithilfe von Wi-Fi-Profilen und VPN-Profilen an das Gerät senden. Nachdem das
Gerät die vertraulichen Wi-Fi-Informationen empfangen hat, verschlüsselt das Gerät die Verschlüsselungsschlüssel und die
Kennwörter und speichert sie im Flash-Speicher.
BES12 verschlüsselt die vertraulichen Wi-Fi-Informationen, die es an das Gerät sendet, und speichert die vertraulichen Wi-FiInformationen in der BES12-Datenbank. Sie können die vertraulichen Wi-Fi-Informationen in der BES12-Datenbank mithilfe von
Zugriffskontroll- und Konfigurationseinstellungen schützen.
EAP-FAST-Authentifizierung
EAP-FAST-Authentifizierung verwendet PAC, um eine TLS-Verbindung zu einem Gerät herzustellen und die Anmeldedaten des
Supplikanten des Geräts über die TLS-Verbindung zu überprüfen.
Geräte unterstützen EAP-MS-CHAPv2 und EAP-GTC als Protokoll der zweiten Stufe während der EAP-FAST-Authentifizierung,
damit die Geräte Authentifizierungsdaten mit dem geschäftlichen Wi-Fi-Netzwerk austauschen können. Geräte unterstützen
die Verwendung automatischer PAC-Bereitstellung nur mit EAP-FAST-Authentifizierung.
Weitere Informationen zur EAP-FAST-Authentifizierung finden Sie unter RFC 4851.
Unterstützte EAP-Authentifizierungsmethoden bei der Verwendung von CCKM
BlackBerry 10-Geräte unterstützen die Verwendung von CCKM bei allen unterstützten EAP-Authentifizierungsmethoden, um
das Roaming zwischen drahtlosen Zugriffspunkten zu verbessern. Geräte unterstützen die Verwendung von CCKM nicht mit
dem CKIP-Verschlüsselungsalgorithmus oder beim AES-CCMP-Verschlüsselungsalgorithmus.
Verwenden von Zertifikaten mit PEAP-Authentifizierung, EAP-TLS-Authentifizierung oder EAPTTLS-Authentifizierung
Wenn Ihr Unternehmen zum Schutz der drahtlosen Zugriffspunkte für das geschäftliche Wi-Fi-Netzwerk PEAPAuthentifizierung, EAP-TLS-Authentifizierung oder EAP-TTLS-Authentifizierung verwendet, muss die gegenseitige
Authentifizierung zwischen einem Gerät und einem Zugriffspunkt über einen Authentifizierungsserver erfolgen. Zum
Generieren der Zertifikate, die das Gerät und der Authentifizierungsserver für die gegenseitige Authentifizierung verwenden, ist
eine Zertifizierungsstelle erforderlich.
Für eine erfolgreiche PEAP-Authentifizierung, EAP-TLS-Authentifizierung oder EAP-TTLS-Authentifizierung muss das Gerät dem
Zertifikat des Authentifizierungsservers vertrauen. Das Gerät vertraut dem Zertifikat des Authentifizierungsservers nicht
43
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
automatisch. Jedes Gerät speichert eine Liste der Zertifizierungsstellenzertifikate, denen es ausdrücklich vertraut. Das Gerät
muss das Zertifizierungsstellenzertifikat für das Zertifikat des Authentifizierungsservers speichern, um dem Zertifikat des
Authentifizierungsservers zu vertrauen.
Sie können Zertifizierungsstellenzertifikate an jedes Gerät senden, und Sie können SCEP-Profile verwenden, um
Clientzertifikate auf Geräten anzumelden. Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Schutz von Daten während der Übertragung
über die BlackBerry Infrastructure
Daten, die zwischen BlackBerry 10-Geräten und Ihren Ressourcen übertragen werden, durchlaufen die BlackBerry
Infrastructure unter den folgenden Umständen:
•
BES12 sendet erforderliche Apps und alle Geräteverwaltungsdaten, wie IT-Richtlinien, Profile oder ITAdministrationsbefehle, durch die BlackBerry Infrastructure an die Geräte, selbst wenn diese mit einem
geschäftlichen VPN oder einem Wi-Fi-Geschäftsnetzwerk verbunden sind.
•
Die zwischen einem Gerät und dem Mail-, Web- oder Inhaltsserver Ihres Unternehmens übertragenen Daten
durchlaufen BES12 und die BlackBerry Infrastructure nur dann, wenn das Gerät nicht mit einem geschäftlichen VPN
oder einem Wi-Fi-Geschäftsnetzwerk verbunden ist.
Authentifizierung von BES12 bei der BlackBerry Infrastructure
Zum Schutz der Daten während der Übertragung zwischen BES12 und der BlackBerry Infrastructure ist eine gegenseitige
Authentifizierung von BES12 und BlackBerry Infrastructure vor der Übertragung der Daten erforderlich. BES12 und die
BlackBerry Infrastructure verwenden je nach Typ der gesendeten Daten unterschiedliche Authentifizierungsmethoden:
•
Wenn BES12 Geräteverwaltungsdaten an BlackBerry 10-Geräte über die BlackBerry Infrastructure sendet, stellen
BES12 und die BlackBerry Infrastructure eine gegenseitig authentifizierte TLS-Verbindung her, die die Daten bei der
Übertragung mithilfe von AES-256 schützt.
•
Wenn BES12 Geschäftsdaten vom Mail-, Web- oder Inhaltsserver Ihres Unternehmens an BlackBerry 10-Geräte über
die BlackBerry Infrastructure sendet, verwendet BES12 SRP zur Authentifizierung bei und Verbindung mit der
BlackBerry Infrastructure.
SRP ist ein proprietäres Punkt-zu-Punkt-Protokoll, das über TCP/IP ausgeführt wird. BES12 verwendet SRP zum Kontaktieren
der BlackBerry Infrastructure und zum Herstellen einer Verbindung. Wenn BES12 und die BlackBerry Infrastructure eine
Verbindung herstellen, führen sie die folgenden Aktionen aus:
•
Gegenseitige Authentifizierung
•
Austausch von Konfigurationsinformationen
•
Senden und Empfangen von Daten
44
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von
Geschäftsdaten
1.
BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung.
2.
Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12.
3.
BES12 führt die folgenden Aktionen aus:
•
Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde
•
Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung
•
Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an
die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern
4.
Die BlackBerry Infrastructure sendet eine zufällige Challenge-Zeichenfolge an BES12.
5.
BES12 sendet eine Challenge-Zeichenfolge an die BlackBerry Infrastructure.
6.
Die BlackBerry Infrastructure hashcodiert die von BES12 empfangene Challenge-Zeichenfolge mit dem SRPAuthentifizierungsschlüssel mittels HMAC und dem SHA-1-Algorithmus. Die BlackBerry Infrastructure sendet den
resultierenden 20-Byte-Wert als Challenge-Antwort an BES12.
7.
BES12 hashcodiert die von der BlackBerry Infrastructure empfangene Challenge-Zeichenfolge mit dem SRPAuthentifizierungsschlüssel und sendet das Ergebnis als Challenge-Antwort an die BlackBerry Infrastructure.
8.
Die BlackBerry Infrastructure führt eine der folgenden Aktionen durch:
•
Akzeptiert die Challenge-Antwort und sendet eine Bestätigung an den BES12, um den
Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren
•
Lehnt die Challenge-Antwort ab
Wenn die BlackBerry Infrastructure die Challenge-Antwort ablehnt, ist der Authentifizierungsprozess nicht erfolgreich. Die
BlackBerry Infrastructure und der BES12 schließen die SRP-Verbindung.
Wenn BES12 fünfmal innerhalb einer Minute den gleichen SRP-Authentifizierungsschlüssel und die gleiche SRP-ID zum
Herstellen (und anschließenden Trennen) einer Verbindung mit der BlackBerry Infrastructure verwendet, deaktiviert die
BlackBerry Infrastructure die SRP ID, um zu verhindern, dass sie von einem Angreifer zur Schaffung von Bedingungen für
einen Denial-of-Service (DoS)-Angriff missbraucht werden kann.
45
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von
Geräteverwaltungsdaten
1.
BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung.
2.
Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12.
3.
BES12 führt die folgenden Aktionen aus:
4.
•
Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde
•
Verifiziert den Namen des Servers in der BlackBerry Infrastructure, um die TLS-Verbindung aufzubauen
•
Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an
die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern
Die BlackBerry Infrastructure überprüft den von BES12 gesendeten SRP-Bezeichner und -Authentifizierungsschlüssel
und führt eine der folgenden Aktionen aus:
•
Wenn die Anmeldeinformationen gültig sind, wird eine Bestätigung an BES12 gesendet, um den
Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren
•
Wenn die Anmeldedaten nicht gültig sind, wird der Authentifizierungsvorgang gestoppt und die SRP-Verbindung
geschlossen.
Wie Geräte eine Verbindung zur BlackBerry Infrastructure
herstellen
Geräte und die BlackBerry Infrastructure senden sich gegenseitig alle Daten über eine TLS-Verbindung zu. Die TLS-Verbindung
verschlüsselt die Daten, die von den Geräten und der BlackBerry Infrastructure hin und her gesendet werden.
Wenn ein Angreifer versucht, sich als die BlackBerry Infrastructure auszugeben, verhindern die Geräte den Aufbau der
Verbindung. Die Geräte verifizieren, ob der öffentliche Schlüssel des TLS-Zertifikats für die BlackBerry Infrastructure mit dem
privaten Schlüssel des Stammzertifikats übereinstimmt, das während der Herstellung auf den Geräten vorinstalliert wird. Wenn
ein Benutzer ein ungültiges Zertifikat akzeptiert, kann die Verbindung nur dann hergestellt werden, wenn das Gerät auch mit
einer gültigen BES12-Instanz authentifiziert werden kann.
Datenfluss: Herstellen einer TLS-Verbindung zwischen der BlackBerry Infrastructure und
einem Gerät
1.
Ein Gerät sendet eine Anforderung zum Herstellen einer TLS-Verbindung an die BlackBerry Infrastructure.
2.
Die BlackBerry Infrastructure sendet ihr TLS-Zertifikat an das Gerät.
3.
Das Gerät verwendet ein Stammzertifikat, das auf dem Gerät vorinstalliert ist, um das TLS-Zertifikat zu überprüfen. Wenn
der Benutzer das Stammzertifikat gelöscht hat, fordert das Gerät den Benutzer auf, das TLS-Zertifikat als
vertrauenswürdig anzuerkennen.
4.
Das Gerät stellt die TLS-Verbindung her.
46
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Wie BES12 und die BlackBerry Infrastructure Ihre Daten
schützen
Nachdem BES12 und die BlackBerry Infrastructure eine SRP-Verbindung hergestellt haben, baut BES12 eine permanente
TCP/IP-Verbindung über TCP-Port 3101 auf, über die Daten an die BlackBerry Infrastructure gesendet werden können.
Bevor BES12 oder ein BlackBerry 10-Gerät Daten über die BlackBerry Infrastructure zwischen dem Gerät und dem Mail-, Weboder Inhaltsserver Ihres Unternehmens sendet, komprimiert er bzw. es die Daten, verschlüsselt sie mithilfe von
Nachrichtenschlüsseln und verschlüsselt die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts. Wenn BES12
oder ein Gerät die Daten empfängt, entschlüsselt er bzw. es die Nachrichtenschlüssel mithilfe des Transportschlüssels des
Geräts und entschlüsselt und dekomprimiert die Daten. Dieser Prozess wird als BlackBerry-Transportschichtverschlüsselung
bezeichnet.
Daten, die zwischen Geräten und den Servern Ihres Unternehmens übertragen und über die TCP/IP-Verbindung zwischen
BES12 und BlackBerry Infrastructure gesendet werden, sind sicher, da die Daten an keinem Zwischenpunkt zwischen BES12
und dem Gerät erneut entschlüsselt und verschlüsselt werden.
Kein Datenverkehr, der von Geräten über die BlackBerry Infrastructure gesendet wird, kann Ihre Unternehmensressourcen
erreichen, solange BES12 die Daten nicht mit einem gültigen Transportschlüssel für das Gerät entschlüsseln kann.
BES12 und die Geräte verwenden AES-256 im CBC-Modus als symmetrischen Algorithmus für die BlackBerryTransportschichtverschlüsselung.
Schlüssel zum Gerätetransport
Der Transportschlüssel des Geräts verschlüsselt die Nachrichtenschlüssel, durch die die Daten bei der Übertragung zwischen
den Unternehmensressourcen und den BlackBerry 10-Geräten, die über BES12 und die BlackBerry Infrastructure gesendet
werden, geschützt werden. BES12 und ein Gerät generieren den Transportschlüssel des Geräts, wenn ein Benutzer das Gerät
aktiviert.
Der Wert des Transportschlüssels des Geräts ist nur BES12 und dem Gerät bekannt. Datenpakete, deren Format nicht erkannt
wird, oder deren Gerätetransportschlüssel, durch den das Datenpaket geschützt wird, nicht erkannt wird, werden abgelehnt.
Geräte speichern ihre Transportschlüssel in einer Schlüsselspeicherdatenbank im Flash-Speicher. Die
Schlüsselspeicherdatenbank verhindert, dass Angreifer die Gerätetransportschlüssel auf einen Computer kopieren können,
indem sie versuchen, eine Sicherung davon abzulegen. Angreifer können keine Schlüsseldaten aus dem Flash-Speicher
extrahieren.
Generieren des Gerätetransportschlüssels für ein Gerät
Wenn ein Benutzer ein BlackBerry 10-Gerät aktiviert, sendet das Gerät eine CSR an BES12. BES12 erstellt anhand der CSR ein
Client-Zertifikat, signiert das Client-Zertifikat mit seinem Verwaltungsstammzertifikat des Unternehmens und sendet das ClientZertifikat und das Verwaltungsstammzertifikat des Unternehmens an das Gerät. Um die Verbindung zwischen dem Gerät und
BES12 während des Zertifikataustauschs zu schützen, erstellen das Gerät und BES12 mithilfe des Aktivierungskennworts und
der EC-SPEKE einen kurzlebigen symmetrischen Schlüssel.
47
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Sobald der Zertifikataustausch abgeschlossen ist, stellen das Gerät und BES12 unter Verwendung des Client-Zertifikats und des
Server-Zertifikats eine gegenseitig authentifizierte TLS-Verbindung her. Das Gerät verifiziert das Server-Zertifikat mithilfe des
Verwaltungsstammzertifikats des Unternehmens.
Um den Transportschlüssel des Geräts zu generieren, verwenden das Gerät und BES12 die authentifizierten, langfristig
geltenden öffentlichen Schlüssel, die mit dem Clientzertifikat und dem Serverzertifikat für BES12 verknüpft sind, sowie ECMQV.
Das ECMQV-Protokoll wird über die gegenseitig authentifizierte TLS-Verbindung verwendet. Die in ECMQV verwendete
elliptische Kurve entspricht der von NIST empfohlenen 521-Bit-Kurve.
BES12 und das Gerät senden den Transportschlüssel des Geräts nicht über das drahtlose Netzwerk, wenn der
Transportschlüssel des Geräts generiert wird oder Daten ausgetauscht werden.
Nachrichtenschlüssel
Durch Nachrichtenschlüssel wird die Integrität der Daten geschützt, die zwischen den Ressourcen Ihres Unternehmens und
den BlackBerry 10-Geräten über den BES12 und die BlackBerry Infrastructure übertragen werden.
BES12 und ein BlackBerry 10-Gerät generieren einen oder mehrere Nachrichtenschlüssel für alle Daten, die durch BES12 und
die BlackBerry Infrastructure geleitet werden. Wenn die Daten 2 KB überschreiten und aus mehreren Datenpaketen bestehen,
erstellen BES12 und das Gerät einen spezifischen Nachrichtenschlüssel für jedes Datenpaket.
Jeder Nachrichtenschlüssel besteht aus Zufallsdaten, so dass Dritte den Schlüssel nicht entschlüsseln, neu erstellen oder
duplizieren können.
BES12 und das Gerät speichern die Nachrichtenschlüssel nicht im permanenten Speicher. Sie setzen den mit den
Nachrichtenschlüsseln verknüpften Speicher frei, nachdem BES12 oder das Gerät die Daten mithilfe des
Nachrichtenschlüssels entschlüsselt hat.
Das Gerät verwendet Bit, die aus einer zufällig angeordneten Quelle auf dem Gerät abgerufen werden, um einen pseudozufälligen, hoch entropischen Nachrichtenschlüssel zu generieren.
Datenfluss: Erstellen eines Nachrichtenschlüssels auf einem Gerät
Ein BlackBerry 10-Gerät verwendet zum Generieren eines Nachrichtenschlüssels die DRBG-Funktion.
Zur Erstellung eines Nachrichtenschlüssels führt das Gerät die folgenden Aktionen aus:
1.
Ruft Zufallsdaten von mehreren Quellen zur Erstellung des Ausgangswerts ab. Das entsprechende Verfahren leitet das
Gerät aus der Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab.
2.
Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays
3.
Fügt das 256-Byte-Zustandsarray in den ARC4-Verschlüsselungsalgorithmus ein, um das 256-Byte-Zustandsarray weiter
zu randomisieren
4.
Zieht 521 Byte aus dem ARC4-Byte-Zustandsarray
Das Gerät zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte (512 + 9 = 521), um
sicherzustellen, dass die Zeiger vor und nach dem Aufruf nicht an derselben Stelle sind und für den Fall, dass die ersten
paar Byte des ARC4-Zustandsarrays nicht zufällig sind.
48
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
5.
Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren
6.
Verwendet den 64-Byte-Wert als Ausgangswert für die DRBG-Funktion
Das Gerät speichert eine Kopie des Ausgangswerts in einer Datei. Wenn das Gerät neu gestartet wird, liest das Programm
den Ausgangswert in der Datei und vergleicht den gespeicherten Ausgangswert mithilfe der XOR-Funktion mit dem neuen
Ausgangswert.
7.
Verwendet die DRBG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der AESVerschlüsselung
8.
Verwendet die Pseudo-Zufallsbits, um den Nachrichtenschlüssel zu erstellen
Weitere Informationen zur DRBG-Funktion finden Sie in NIST Special Publication 800-90.
Datenfluss: Generieren eines Nachrichtenschlüssels in BES12
Der BES12 verwendet die DSA PRNG-Funktion zum Generieren eines Nachrichtenschlüssels.
Zum Generieren eines Nachrichtenschlüssels führt der BES12 die folgenden Aktionen aus:
1.
Ruft Zufallsdaten von mehreren Quellen für den Ausgangswert ab. Das entsprechende Verfahren leitet der BES12 aus der
Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab.
2.
Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays
BES12 fordert 512 Bit Zufallsdaten aus der Microsoft Cryptographic API an, um die Zufälligkeit der Daten zu erhöhen.
3.
Fügt das 256-Byte-Zustandsarray in den ARC4-Algorithmus ein, um das 256-Byte-Zustandsarray weiter zu randomisieren
4.
Zieht 521 Byte aus dem 256-Byte-Zustandsarray
BES12 zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte (512 + 9 = 521), um
sicherzustellen, dass die Zeiger vor und nach dem Generierungsvorgang nicht an derselben Stelle sind und für den Fall,
dass die ersten paar Byte des 256-Byte-Zustandsarrays nicht zufällig sind.
5.
Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren
6.
Verwendet den 64-Byte-Wert als Ausgangswert für die DSA PRNG-Funktion
7.
Verwendet die DSA PRNG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der
AES-Verschlüsselung
8.
Verwendet die Pseudo-Zufallsbits mit AES-Verschlüsselung zum Generieren des Nachrichtenschlüssels
Weitere Informationen zur DSA PRNG-Funktion erhalten Sie unter Federal Information Processing Standard – FIPS PUB 186-2.
Datenfluss: Senden von Daten von Geräten über die BlackBerry Infrastructure an Ihre
Server
49
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
1.
Das BlackBerry 10-Gerät führt die folgenden Aktionen aus:
a
Komprimiert die Daten
b
Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
d
Sendet die Daten über eine TCP-Verbindung an die BlackBerry Infrastructure
2.
Die BlackBerry Infrastructure sendet die Daten über eine permanente TCP/IP-Verbindung an BES12.
3.
BES12 führt die folgenden Aktionen aus:
a
Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
b
Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Dekomprimiert die Daten
d
Sendet die Daten an den Zielserver innerhalb der Firewall
Datenfluss: Senden von Daten von Ihren Servern über die BlackBerry Infrastructure an
Geräte
1.
Ein Mail-, Web- oder Inhaltsserver innerhalb der Firewall sendet die Daten an BES12.
50
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
2.
BES12 führt die folgenden Aktionen aus:
a
Komprimiert die Daten
b
Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
d
Sendet die Daten über eine permanente TCP/IP-Verbindung an die BlackBerry Infrastructure
3.
Die BlackBerry Infrastructure sendet die Daten über eine TCP-Verbindung an das BlackBerry 10-Gerät.
4.
Das BlackBerry 10-Gerät führt die folgenden Aktionen aus:
a
Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
b
Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Dekomprimiert die Daten
Schützen von Geräteverwaltungsdaten, die zwischen BES12
und Geräten gesendet werden
Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile oder IT-Administrationsbefehle und erforderliche Apps aus
Ihrem Unternehmensnetzwerk an BlackBerry 10-Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure
gesendet, selbst wenn das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist.
Senden von Geräteverwaltungsdaten zwischen Geräten und BES12
Wenn BES12 Geräteverwaltungsdaten an BlackBerry 10-Geräte sendet und Geräte Daten an BES12 zurücksenden, werden die
Daten stets über die BlackBerry Infrastructure übermittelt.
51
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Verwendete Verschlüsselungsarten zum Senden von Geräteverwaltungsdaten an Geräte
Für das Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 werden verschiedene Verschlüsselungsarten
verwendet.
52
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Bereitstellen von Geräten mit Zugriff per
einmaligem Anmelden im Netzwerk Ihres
Unternehmens
Sie können zulassen, dass sich BlackBerry 10-Gerätebenutzer bei Domänen und Webdiensten Ihres Unternehmensnetzwerks
automatisch authentifizieren.
Sie können Profile für die einmalige Anmeldung verwenden, um die Geräteauthentifizierung einzurichten. Wenn Sie einem
Benutzer ein Profil für die einmalige Anmeldung zuweisen, werden die Anmeldeinformationen des Benutzers auf dem Gerät
gespeichert, wenn er zum ersten Mal eine im Profil angegebene Domäne aufruft. Die gespeicherten Anmeldeinformationen des
Benutzers werden automatisch verwendet, wenn er versucht, auf die im Profil angegebenen Domänen zuzugreifen. Der
Benutzer wird erst erneut zur Eingabe eines Benutzernamens und Kennworts aufgefordert, wenn das Kennwort des Benutzers
geändert wird.
BES12 unterstützt die folgenden Authentifizierungstypen für die einmalige Anmeldung:
Authentifizierungstyp
Gilt für
Kerberos
Browser im geschäftlichen Bereich
NTLM
Browser und Apps im geschäftlichen Bereich
Weitere Informationen zum Erstellen von Profilen für die einmalige Anmeldung finden Sie in der Dokumentation für
Administratoren.
Verwenden von Kerberos für die einmalige Anmeldung auf
Geräten
Wenn Ihr Unternehmen Kerberos für den Zugriff per einmaligem Anmelden verwendet, können Benutzer den Zugriff per
einmaligem Anmelden auf die Ressourcen Ihres Unternehmens mithilfe des Browsers und der Apps im geschäftlichen Bereich
auf ihren BlackBerry 10-Geräten nutzen.
Bei der Verwendung von Kerberos mit BlackBerry 10-Geräten, wenn eine gültige TGT auf den Geräten verfügbar ist, werden
Benutzer nicht zur Eingabe der Anmeldeinformationen aufgefordert, wenn sie mithilfe des Browsers und der Apps im
geschäftlichen Bereich auf die internen Ressourcen Ihres Unternehmens zugreifen. Wenn die Benutzer über eine VPNVerbindung mit Ihrem Unternehmen verbunden sind, muss das VPN-Gateway die Übertragung an das KDC zulassen, sodass
Benutzer ohne Angabe von Anmeldeinformationen Zugriff haben.
Für die Verwendung von Kerberos mit BlackBerry 10-Geräten geben Sie die Kerberos-Konfigurationsdatei Ihres Unternehmens
in einem Profil für die einmalige Anmeldung an.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
53
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Schutz der Kommunikation mit Geräten mithilfe
von Zertifikaten
Ein Zertifikat ist ein digitales Dokument, das die Identität und den öffentlichen Schlüssel eines Zertifikatempfängers
miteinander verknüpft. Für jedes Zertifikat ist ein entsprechender privater Schlüssel vorhanden, der getrennt gespeichert wird.
Eine Zertifizierungsstelle signiert das Zertifikat und bescheinigt so dessen Glaubwürdigkeit.
Je nach Gerätefunktionen und Aktivierungsart können Zertifikate auf Geräten für Folgendes verwendet werden:
•
Authentifizieren mittels SSL/TSL, wenn die Geräte eine Verbindung zu Webseiten herstellen, die HTTPS verwenden
•
Authentifizieren mit einem geschäftlichen Mailserver
•
Authentifizieren bei einem geschäftlichen Wi-Fi-Netzwerk und, sofern die Geräte dies unterstützen, bei einem VPN
•
Verschlüsseln und Signieren von E-Mail-Nachrichten mittels S/MIME-Schutz (nur unterstützte Geräte)
Bereitstellung von BlackBerry 10-Client-Zertifikaten an Geräte
Viele Zertifikate, die für verschiedene Zwecke verwendet werden, können auf einem BlackBerry 10-Gerät gespeichert werden.
Clientzertifikate können Geräten auf mehrere Arten bereitgestellt werden:
So wird das Zertifikat
hinzugefügt
Beschreibung
Während der
Geräteaktivierung
BES12 sendet während des Aktivierungsprozesses Zertifikate an Geräte. Die Geräte
verwenden diese Zertifikate, um sichere Verbindungen zwischen dem Gerät und BES12
herzustellen.
SCEP-Profile
Sie können SCEP-Profile erstellen, die Geräte verwenden, um Clientzertifikate von einer
SCEP-kompatiblen Microsoft- oder Entrust-Zertifizierungsstelle anzufordern und zu erhalten.
Die Geräte können diese Zertifikate für die zertifikatsbasierte Authentifizierung im Browser
und für die Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN
oder einem geschäftlichen Mailserver verwenden.
Profile für Benutzeranmeldeinformationen
Wenn Ihr Unternehmen Entrust IdentityGuard-Produkte verwendet, um Zertifikate
auszustellen und zu verwalten, können Sie Profile für Benutzeranmeldeinformationen
erstellen, die von Geräten verwendet werden, um Zertifikate von der Zertifizierungsstelle Ihres
Unternehmens zu erhalten. Die Geräte verwenden diese Zertifikate für die zertifikatsbasierte
Authentifizierung im Browser und für die Verbindung zu einem geschäftlichen Wi-FiNetzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver.
Benutzerimport
Benutzer können Clientzertifikate in den Zertifikatsspeicher des Geräts im Abschnitt
"Sicherheit und Datenschutz" der "Systemeinstellungen" importieren. Zertifikate für die
54
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
So wird das Zertifikat
hinzugefügt
Beschreibung
Verwendung durch den geschäftlichen Browser oder zum Senden von S/MIME-geschützten
Nachrichten vom geschäftlichen E-Mail-Konto können aus dem Dateisystem auf dem Gerät
oder aus einem Netzwerkpfad, der vom geschäftlichen Bereich zugänglich ist, importiert
werden.
Smartcards
Benutzer können S/MIME- und SSL-Zertifikate von einer Smartcard auf ihre Geräte
importieren.
Verwenden von SCEP zur Anmeldung von Clientzertifikaten auf
Geräten
SCEP wird von BlackBerry 10-Geräten, iOS-Geräten und Android-Geräten mit Samsung KNOX Workspace, Android for Work
oder Secure Work Space unterstützt.
SCEP ist ein IETF-Protokoll, das das Anmelden von Zertifikaten auf vielen Geräten vereinfacht, indem zur Ausstellung der
einzelnen Zertifikate weder ein Eingriff vonseiten des Administrators noch eine Genehmigung erforderlich ist. Geräte können
SCEP verwenden, um Clientzertifikate von einer SCEP-kompatiblen Microsoft- oder Entrust-Zertifizierungsstelle, die Ihr
Unternehmen verwendet, anzufordern und zu erhalten. Sie können SCEP verwenden, um Clientzertifikate auf Geräten
anzumelden, damit die Geräte zertifikatsbasierte Authentifizierung im Browser verwenden können, und um eine Verbindung zu
einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver herzustellen.
Die Zertifikatsanmeldung beginnt, nachdem ein Gerät ein SCEP-Profil erhält, das dem Benutzer zugewiesen oder mit einem
zugeordneten Wi-Fi-, VPN- oder E-Mail-Profil verknüpft ist. Geräte können während des Aktivierungsprozesses ein SCEP-Profil
von BES12 erhalten, wenn Sie ein SCEP-Profil ändern oder wenn Sie ein anderes Profil ändern, das über ein zugeordnetes
SCEP-Profil verfügt. Nachdem die Zertifikatsanmeldung abgeschlossen ist, werden das Clientzertifikat und dessen
Zertifikatskette und privater Schlüssel im geschäftlichen Schlüsselspeicher auf dem Gerät gespeichert.
Wenn Sie eine Microsoft-Zertifizierungsstelle verwenden, muss die Zertifizierungsstelle Abfragekennwörter unterstützen. Die
Zertifizierungsstelle verifiziert mithilfe von Abfragekennwörtern, dass das Gerät zum Senden einer Zertifikatanforderung
autorisiert ist. Wenn die Zertifizierungsstelle NDES umgesetzt hat, verwenden Sie dynamische Abfragekennwörter. Das
statische Abfragekennwort oder die Einstellungen zum Erhalt eines dynamisch generierten Abfragekennworts vom SCEP-Dienst
werden im SCEP-Profil bestimmt. Um das Kennwort zu schützen, wird es auf BlackBerry 10-Geräten nicht an die Geräte
gesendet. Auf anderen Geräten wird das Kennwort an die Geräte gesendet, um den Geräten die Ausführung der
Zertifikatanforderung zu ermöglichen. Wenn Sie ein statisches Abfragekennwort verwenden, wird für alle SCEP-Anforderungen
von Geräten das gleiche Abfragekennwort verwendet.
Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die
Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12
entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt.
Besuchen Sie www.ietf.org, um den SCEP-Internetentwurf zu lesen.
55
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Verwalten von Zertifikaten, die mithilfe von SCEP an einem Gerät angemeldet werden
Nachdem ein Gerät ein Zertifikat mithilfe von SCEP angemeldet hat, überwacht die SCEP-Komponente das Ablaufdatum des
Zertifikats. Wenn sich das Ablaufdatum eines Zertifikats nähert, startet die SCEP-Komponente den Anmeldungsprozess für ein
neues Zertifikat. Mithilfe der SCEP-Profileinstellung "Automatische Erneuerung" können Sie einstellen, wie viele Tage vor Ablauf
eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll.
Das Verfahren der Zertifikatregistrierung kann zudem neu beginnen, wenn Sie Änderungen an SCEP-Profileinstellungen für
Zertifizierungsstelle, Verbindung oder Verschlüsselungsschlüssel vornehmen, z. B. URL, SCEP-Challenge-Typ,
Schlüsselalgorithmus oder Schlüsselgröße.
Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die
Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12
entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt.
Datenfluss: Anmelden eines Zertifikats bei einem BlackBerry 10-Gerät mithilfe von SCEP
1.
BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder E-MailProfil verknüpft ist.
2.
Das Gerät führt die folgenden Aktionen aus:
3.
a
Erstellen eines Schlüsselpaares mithilfe des Schlüsselalgorithmus und der Schlüsselstärke, die im SCEP-Profil
angegeben ist
b
Erstellen eines PKCS#10 CSR mit allen erforderlichen Attributen für die Anfrage, abgesehen vom Abfragekennwort
c
Senden des SCEP-Profilnamens, des PKCS#10 CSR und des Hashtyps an BES12 Core
Die BES12 Core führt die folgenden Aktionen aus:
a
Überprüfen der Übereinstimmung des definierten Antragstellernamens, des alternativen Antragstellernamens und
der E-Mail-Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank
b
Hinzufügen des Abfragekennworts zum PKCS#10 CSR
c
Verwenden der Hashfunktion für PKCS#10 CSR
d
Senden des PKCS#10 CSR-Hash an das Gerät
4.
Das Gerät berechnet die Signatur auf dem PKCS#10 CSR-Hash und sendet den SCEP-Profilnamen, das ursprüngliche
PKCS#10 CSR, die Signaturanfrage, die berechnete Signaturantwort, das Zertifizierungsstellenzertifikat (zum
Verschlüsseln der SCEP-Anfrage), den Hash-Typ und die Art der Verschlüsselung an das BES12 Core.
5.
Die BES12 Core führt die folgenden Aktionen aus:
56
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
a
Überprüfen des empfangenen Zertifizierungsstellenzertifikats
b
Überprüfen der Übereinstimmung des definierten Antragstellernamens, des alternativen Antragstellernamens und
der E-Mail-Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank
c
Hinzufügen des Abfragekennworts zum PKCS#10 CSR
d
Hinzufügen der berechneten Signaturantwort zum PKCS#10 CSR
e
Verschlüsseln des PKCS#10 CSR mithilfe des verpackten PKCS#7- Dateiformats und des öffentlichen
Zertifizierungsstellenschlüssels
f
Senden der verpackten PKCS#7-Daten an das Gerät
6.
Das Gerät schließt die SCEP-Anfrage durch Signieren der verpackten PKCS#7-Daten mithilfe des signierten PKCS#7Dateiformats und sendet die SCEP-Anfrage durch BES12 an die Zertifizierungsstelle.
7.
Die Zertifizierungsstelle stellt das Zertifikat aus und sendet es über BES12 das Gerät.
8.
Der Enterprise Management Agent auf dem Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum
Schlüsselspeicher auf dem Gerät hinzu und macht das Zertifikat für die angegebene Verbindung verfügbar, wenn das
SCEP-Profil einem zugewiesenen Wi-Fi-, VPN- oder E-Mail-Profil zugeordnet ist.
Senden von Zertifizierungsstellenzertifikaten an Geräte
Alle Geräte unterstützen diese Funktion.
Sie müssen möglicherweise Zertifizierungsstellenzertifikate an Geräte verteilen, wenn Ihr Unternehmen S/MIME verwendet,
oder wenn die Geräte eine zertifikatsbasierte Authentifizierung für die Verbindung mit einem Netzwerk oder einem Server in
Ihrer Unternehmensumgebung verwenden.
Wenn die Zertifikate für die Zertifizierungsstellen, die die Netzwerk- und Serverzertifikate Ihres Unternehmens ausgestellt
haben, auf Geräten gespeichert werden, können die Geräte Ihren Netzwerken und Servern beim Aufbau sicherer Verbindungen
vertrauen. Wenn die Zertifizierungsstellenzertifikate für die Zertifizierungsstellen, die die S/MIME-Zertifikate Ihres
Unternehmens ausgestellt haben, auf Geräten gespeichert werden, können die Geräte dem Zertifikat des Senders vertrauen,
wenn eine S/MIME-geschützte E-Mail-Nachricht empfangen wird.
Mithilfe von Profilen mit Zertifizierungsstellenzertifikat können Sie Zertifizierungsstellenzertifikate an Geräte senden. Weitere
Informationen finden Sie in der Dokumentation für Administratoren.
Schutz von E-Mail-Nachrichten
Geräte können Exchange ActiveSync oder IBM Notes Traveler zum Synchronisieren von E-Mail-Nachrichten,
Kalendereinträgen, Kontakten und anderen Terminplanerdaten mit dem E-Mail-Server Ihres Unternehmens verwenden. BES12
kann es ermöglichen, dass Geräte, die nicht mit dem internen Netzwerk des Unternehmens verbunden sind oder die keine
VPN-Verbindung haben, mit dem E-Mail-Server synchronisiert werden, ohne dass Sie Verbindungen mit dem E-Mail-Server von
außerhalb der Firewall verfügbar machen müssen.
57
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
BES12 ermöglicht Geräten eine sichere Synchronisierung mit dem E-Mail-Server über die BlackBerry Infrastructure mithilfe der
gleichen Verschlüsselungsmethoden, die für alle anderen Geschäftsdaten verwendet werden. Wenn BES12 die Verbindung
zwischen Ihrem E-Mail-Server und den Geräten bereitstellt, haben die BES12-IT-Richtlinien Vorrang vor allen Richtlinien, die für
die Geräte auf dem E-Mail-Server festgelegt wurden.
Wenn Ihr Unternehmen zum Anmelden von Zertifikaten bei Geräten SCEP verwendet, können Sie ein SCEP-Profil mit einem EMail-Profil verknüpfen, um eine zertifikatsbasierte Authentifizierung zu erzwingen und somit zum Schutz der Verbindungen
zwischen den Geräten und dem E-Mail-Server beizutragen.
Steuern, welche Geräte Exchange ActiveSync verwenden
können
Alle Geräte unterstützen Exchange ActiveSync Gatekeeping.
Microsoft Exchange kann so konfiguriert werden, dass Geräte für die Nutzung von Exchange ActiveSync blockiert sind, es sei
denn, die Geräte wurden ausdrücklich einer Positivliste hinzugefügt. Geräte, die nicht auf dieser Liste stehen, können nicht auf
geschäftliche E-Mail und Terminplanerdaten zugreifen. Im BES12 können Sie Microsoft Exchange-Gatekeeping einrichten, um
zu steuern, welche Geräte automatisch zur Liste der zulässigen Geräte auf Ihrem Microsoft Exchange Server hinzugefügt
werden.
Wenn Sie Microsoft Exchange Gatekeeping verwenden und ein Benutzer, dem ein E-Mail-Profil zugewiesen ist, ein BlackBerry
10-, Secure Work Space- Android for Work- oderKNOX Workspace-Gerät aktiviert, wird das Gerät automatisch in die Liste der
zulässigen Geräte in Microsoft Exchange aufgenommen. Ein Gerät wird dann automatisch von der Liste der zulässigen Geräte
entfernt, wenn Sie das E-Mail-Profil aus dem Benutzerkonto entfernen, wenn das Gerät die Einstellungen im zugewiesenen
Einhaltungsprofi verletzt oder wenn das Gerät deaktiviert wird. Sie müssen Android MDM-Geräte der Positivliste manuell
hinzufügen bzw. sie manuell aus dieser entfernen.
Weitere Informationen zum Aktivieren von Microsoft Exchange Gatekeeping und zum Hinzufügen und Entfernen von Geräten
zur bzw. aus der Liste der zulässigen Geräte finden Sie in der Dokumentation für Administratoren.
Erweitern der E-Mail-Sicherheit
BES12 und Geräte unterstützen die folgenden Technologien für sicheres Messaging:
•
S/MIME-Schutz: Sie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass BlackBerry 10-Geräte
Nachrichten signieren und verschlüsseln oder Nachrichten mithilfe des S/MIME-Schutzes signieren und
verschlüsseln.
•
PGP-Schutz: Sie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass Geräte in der BlackBerry
10 OS Version 10.3.1 oder älter Nachrichten signieren und verschlüsseln oder Nachrichten mithilfe des PGPSchutzes signieren und verschlüsseln.
•
IBM Notes-E-Mail-Verschlüsselung: Wenn Ihre Unternehmensumgebung über IBM Notes oder IBM Domino verfügt,
können -Geräte, auf denen IBM Notes Traveler installiert ist, mithilfe derIBM Notes-E-Mail-Verschlüsselung E-MailNachrichten senden und empfangen.
58
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
S/MIME-Schutz für Geräte
Sie können die Nachrichtensicherheit für BES12 erweitern und BlackBerry 10-Geräte zulassen, um S/MIME-geschützte E-MailNachrichten zu senden und empfangen. Durch digitales Signieren oder Verschlüsseln von Nachrichten wird die Sicherheit von
E-Mail-Nachrichten, die Benutzer von ihren Geräten senden oder empfangen, zusätzlich erhöht. Sie können verlangen, dass
BlackBerry 10-Geräte Nachrichten mithilfe von S/MIME-Schutz signieren, verschlüsseln oder signieren und verschlüsseln,
wenn die Benutzer E-Mail-Nachrichten mit einem geschäftlichen E-Mail-Konto senden, das auf den Geräten S/MIMEgeschützte Nachrichten unterstützt.
Die Geräte unterstützen Schlüssel und Zertifikate in den folgenden Dateiformaten und mit den folgenden Dateierweiterungen:
•
PEM (.pem, .cer)
•
DER (.der, .cer)
•
PFX (.pfx, .p12)
Benutzer können S/MIME-Einstellungen auf den Geräten in den BlackBerry Hub-Einstellungen konfigurieren sowie die
Zertifikate und Codierungsmethoden auswählen. Benutzer können Zertifikate auf ihren Geräten im Abschnitt "Sicherheit und
Datenschutz" der "Systemeinstellungen" verwalten.
Geräte unterstützen Anlagen in S/MIME-geschützten E-Mail-Nachrichten. Benutzer können Anlagen in S/MIME-geschützten EMail-Nachrichten anzeigen, senden und weiterleiten.
Benutzer können die S/MIME-Einstellungen auf dem Gerät konfigurieren, um entweder Nachrichten mit Signatur ("clearsigned") zu senden, die jede E-Mail-Anwendung öffnen kann, oder Nachrichten mit einer undurchsichtigen Signatur ("opaquesigned") zu senden, die nur E-Mail-Anwendungen, die Verschlüsselung unterstützen, öffnen können.
Benutzer können ihre privaten Schlüssel auf ihren Geräten oder einer Smartcard speichern. Wenn Benutzer ihre privaten
Schlüssel nicht auf ihren Geräten gespeichert haben, können die Geräte keine S/MIME-geschützten E-Mail-Nachrichten lesen.
Es wird die Meldung "Nachricht kann nicht decodiert werden, da Sie nicht über den entsprechenden privaten Schlüssel
verfügen" angezeigt.
S/MIME-Zertifikate und private Schlüssel
BlackBerry 10-Geräte verwenden Kryptografie mit S/MIME-Zertifikaten und privaten S/MIME-Schlüsseln, um E-MailNachrichten zu verschlüsseln bzw. zu entschlüsseln.
Objekt
Beschreibung
Öffentlicher S/MIMESchlüssel
Wenn ein Benutzer eine E-Mail-Nachricht von einem Gerät sendet, verwendet das Gerät den
öffentlichen S/MIME-Schlüssel des Empfängers, um die Nachricht zu verschlüsseln.
Wenn ein Benutzer eine signierte E-Mail-Nachricht auf einem Gerät empfängt, verwendet das
Gerät den öffentlichen S/MIME-Schlüssel des Absenders, um die Nachrichtensignatur zu
überprüfen.
Privater S/MIME-Schlüssel
Wenn ein Benutzer eine signierte E-Mail-Nachricht von einem Gerät sendet, hashcodiert das
Gerät die Nachricht mit SHA-1, SHA-2 oder MD5. Das Gerät verwendet den privaten S/MIMESchlüssel des Benutzers, um den Nachrichtenhash digital zu signieren.
59
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Objekt
Beschreibung
Wenn ein Benutzer eine verschlüsselte Nachricht auf einem Gerät empfängt, verwendet das
Gerät den privaten Schlüssel des Benutzers, um die Nachricht zu entschlüsseln. Der private
Schlüssel kann auf dem Gerät oder einer Smartcard gespeichert werden.
Abrufen von S/MIME-Zertifikaten
Sie können "Zertifikatsabruf"-Profile verwenden, um LDAP-Servereinstellungen zu konfigurieren und sie an Geräte zu senden.
Mithilfe von LDAP-Servereinstellungen können Geräte nach S/MIME-Zertifikaten von Empfängern suchen und diese von LDAPServern über das drahtlose Netzwerk abrufen. Wenn sich ein erforderliches S/MIME-Zertifikat nicht bereits im
Zertifikatsspeicher des Geräts befindet, wird es von dem Gerät automatisch abgerufen und in den Zertifikatsspeicher importiert.
Ein Gerät durchsucht jeden LDAP-Server und ruft das S/MIME-Zertifikat ab. Wenn mehr als ein S/MIME-Zertifikat vorliegt und
das Gerät nicht ermitteln kann, welches zu bevorzugen ist, zeigt das Gerät alle S/MIME-Zertifikate an, sodass der Benutzer
auswählen kann, welches davon verwendet werden soll.
Wenn Sie keine Einstellungen zum Abrufen von Zertifikaten konfigurieren, müssen Benutzer S/MIME-Zertifikate manuell aus
einem Anhang einer geschäftlichen E-Mail oder von einem Computer importieren.
Sie können verlangen, dass die Geräte entweder die einfache Authentifizierung oder Kerberos-Authentifizierung verwenden,
um sich bei LDAP-Servern zu authentifizieren. Wenn Sie verlangen, dass die Geräte eine einfache Authentifizierung verwenden,
können Sie die erforderlichen Authentifizierungs-Anmeldeinformationen in die "Zertifikatsabruf"-Profile einbinden, sodass sich
die Geräte automatisch bei den LDAP-Servern authentifizieren können. Wenn Sie verlangen, dass die Geräte eine Kerberos
Authentifizierung verwenden, können Sie die erforderlichen Authentifizierungs-Anmeldeinformationen in die "Zertifikatsabruf"Profile einbinden, sodass sich die Geräte, auf denen BlackBerry 10 OS Version 10.3.1 oder höher ausgeführt wird, automatisch
bei den LDAP-Servern authentifizieren können. Andernfalls fordert das Gerät bei der ersten Authentifizierung bei einem LDAPServer den Benutzer zur Eingabe der erforderlichen Anmeldedaten für die Authentifizierung auf. Bei Geräten, auf denen die
BlackBerry 10 OS Version 10.2.1 bis 10.3 ausgeführt wird, fordert das Gerät bei der ersten Authentifizierung bei einem LDAPServer den Benutzer zur Eingabe der erforderlichen Anmeldedaten für die Authentifizierung auf.
Weitere Informationen zum Konfigurieren von LDAP-Servern finden Sie in der Dokumentation für Administratoren.
Bestimmen des Status von S/MIME-Zertifikaten
Um den Status von S/MIME-Zertifikaten zu bestimmen, können Sie OCSP-Profile verwenden, um OCSPRespondereinstellungen zu konfigurieren und sie an BlackBerry 10-Geräte zu senden. Ein Gerät durchsucht jeden OCSPResponder und ruft den S/MIME-Zertifikatstatus ab.
Bei Geräten, auf denen BlackBerry 10 OS-Version 10.3.1 oder höher ausgeführt wird, können Sie CRL-Profile verwenden, um
BES12 zu konfigurieren, um den Status von S/MIME-Zertifikaten mit HTTP, HTTPS oder LDAP zu suchen.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Weitere Informationen zu Zertifikatstatusanzeigen finden Sie im Benutzerhandbuch im Abschnitt zu den Symbolen für sichere
E-Mail.
60
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
S/MIME-Verschlüsselungsalgorithmen
Wenn Sie oder ein Benutzer die S/MIME-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, legt die Einstellung
"Verschlüsselungsalgorithmen" fest, dass ein Gerät jede der folgenden Verschlüsselungsalgorithmen verwenden kann, um
Nachrichten zu verschlüsseln:
•
AES-256
•
AES-192
•
AES-128
•
RC2
•
Triple DES
Sie können den Wert der Einstellung "Verschlüsselungsalgorithmen" ändern, um nur eine Teilmenge der
Verschlüsselungsalgorithmen zu verwenden, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.
Wenn ein Benutzer eine S/MIME-geschützte Nachricht empfängt, speichert das Gerät die Verschlüsselungsalgorithmen, die die
E-Mail-Anwendung des Senders unterstützt. Wenn der Benutzer eine verschlüsselte Nachricht an einen Empfänger sendet, für
den das Gerät Verschlüsselungsalgorithmus-Informationen gespeichert hat, verwendet das Gerät einen Algorithmus, der von
dem Empfänger unterstützt wird. Wenn das Gerät die Verschlüsselungsalgorithmen der E-Mail-Anwendung des Empfängers
nicht bestimmen kann, verschlüsselt das Gerät die E-Mail-Nachricht mit Triple DES.
Datenfluss: Senden einer E-Mail-Nachricht von einem Gerät mit S/MIME-Verschlüsselung
1.
Ein Benutzer sendet eine E-Mail-Nachricht von einem BlackBerry 10-Gerät mit S/MIME-Verschlüsselung. Das Gerät führt
die folgenden Aktionen aus:
a
Prüft den Schlüsselspeicher des BlackBerry-Geräts auf das S/MIME-Zertifikat des Empfängers
b
Wenn der Schlüsselspeicher des Geräts das S/MIME-Zertifikat des Empfängers nicht enthält, verwendet das Gerät
zum Abrufen das S/MIME-Zertifikat des Empfängers vom LDAP-Server und überprüft den Zertifikatsstatus
c
Verschlüsselt die E-Mail-Nachricht mit dem S/MIME-Zertifikat des Empfängers
d
Wenn das Gerät mit BlackBerry Infrastructure verbunden ist, verwendet BlackBerryeine
Transportschichtverschlüsselung zur Verschlüsselung der S/MIME-verschlüsselten Nachricht
e
Sendet die verschlüsselte Nachricht an BES12
2.
Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerryTransportschichtverschlüsselung.
3.
BES12 sendet die S/MIME-verschlüsselte Nachricht an den E-Mail-Server.
4.
Der E-Mail-Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger.
5.
Der Empfänger entschlüsselt die S/MIME-verschlüsselte Nachricht mit seinem privaten S/MIME-Schlüssel.
61
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Verwenden des S/MIME-Schutzes mit einer Smartcard
BlackBerry 10-Geräte unterstützen den S/MIME-Schutz mit einer Smartcard und beinhalten Tools zum Import von Zertifikaten
auf Geräte. Um den S/MIME-Schutz mit einer Smartcard zu verwenden, muss der Benutzer das Gerät mit der Smartcard
verknüpfen.
Nachdem der Benutzer das Gerät mit der Smartcard verknüpft hat, kann er die Liste der auf der Smartcard gespeicherten S/
MIME-Zertifikate einsehen und auswählen, welche in den Zertifikatsspeicher des Geräts zu importieren sind. Die privaten
Schlüssel bleiben auf der Smartcard. Um Nachrichten zu signieren oder zu entschlüsseln, muss das Gerät an die Smartcard
angebunden sein.
PGP-Schutz für Geräte
Sie können die Nachrichtensicherheit für die BES12 erweitern und Geräte zulassen, die unter der BlackBerry 10 OS-Version
10.3.1 oder höher laufen, um PGP-geschützte E-Mail-Nachrichten zu senden und empfangen. Durch digitales Signieren oder
Verschlüsseln von Nachrichten wird die Sicherheit von E-Mail-Nachrichten, die Benutzer von ihren Geräten senden oder
empfangen, zusätzlich erhöht. Sie können verlangen, dass BlackBerry 10-Geräte Nachrichten mit dem PGP-Schutz signieren,
verschlüsseln oder signieren und verschlüsseln, wenn die Benutzer E-Mail-Nachrichten mithilfe eines geschäftlichen E-MailKontos Nachrichten senden, das auf den Geräten PGP-geschützte Nachrichten unterstützt.
BES12 unterstützt das OpenPGP-Format auf den Geräten. Weitere Informationen zum OpenPGP-Format finden Sie unter RFC
4880.
Die Geräte unterstützen Schlüssel und Zertifikate in den folgenden Dateiformaten und mit den folgenden Dateierweiterungen:
•
PEM (.pem, .cer)
•
ASC (.asc, .cer)
Benutzer können PGP-Einstellungen auf den Geräten in den BlackBerry Hub-Einstellungen konfigurieren sowie die PGPSchlüssel und Codierungsmethoden auswählen. Benutzer können PGP-Schlüssel auf ihren Geräten im Abschnitt "Sicherheit
und Datenschutz" der "Systemeinstellungen" verwalten. Benutzer können ihre privaten PGP-Schlüssel auf ihren Geräten
speichern.
Geräte unterstützen Anlagen in PGP-geschützten E-Mail-Nachrichten. Benutzer können Anlagen in PGP-geschützten E-MailNachrichten anzeigen, senden und weiterleiten.
Wenn Benutzer ihre privaten PGP-Schlüssel nicht auf ihren Geräten gespeichert haben, können die Geräte keine PGPgeschützten E-Mail-Nachrichten lesen. Es wird die Meldung "Nachricht kann nicht decodiert werden, da Sie nicht über den
entsprechenden privaten Schlüssel verfügen" angezeigt.
Öffentliche PGP-Schlüssel und private PGP-Schlüssel
BlackBerry 10-Geräte verwenden Kryptografie mit öffentlichen Schlüsseln zusammen mit öffentlichen PGP-Schlüsseln und
privaten PGP-Schlüsseln, um PGP-geschützte E-Mail-Nachrichten zu senden und zu empfangen.
62
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Schlüssel
Beschreibung
Öffentlicher PGP-Schlüssel
Wenn ein Benutzer eine E-Mail-Nachricht von einem Gerät sendet, verwendet
das Gerät den öffentlichen PGP- Schlüssel des Empfängers, um die Nachricht
zu verschlüsseln.
Wenn ein Benutzer eine signierte E-Mail-Nachricht auf einem Gerät empfängt,
verwendet das Gerät den öffentlichen PGP- Schlüssel des Absenders, um die
Nachrichtensignatur zu überprüfen.
Der PGP- Schlüssel ist so konzipiert, dass Empfänger und Absender den
Schlüssel verteilen und auf ihn zugreifen können, ohne seine Sicherheit zu
gefährden. Der PGP- Schlüssel wird normalerweise auf dem Symantec
Encryption Management Server Ihres Unternehmens gespeichert.
Privater PGP-Schlüssel
Wenn ein Benutzer eine signierte E-Mail-Nachricht von einem Gerät sendet,
verwendet das Gerät den privaten PGP-Schlüssel des Benutzers, um die EMail-Nachricht digital zu signieren.
Wenn ein Benutzer eine verschlüsselte E-Mail-Nachricht auf einem Gerät
empfängt, verwendet das Gerät den privaten PGP-Schlüssel des Benutzers,
um die Nachricht zu entschlüsseln.
Der private Schlüssel wird auf dem Gerät gespeichert.
PGP-Verschlüsselungsalgorithmen
Wenn Sie oder ein Benutzer die PGP-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, können die Geräte jeden der
folgenden Algorithmen verwenden, um E-Mail-Nachrichten zu verschlüsseln:
•
AES-256
•
AES-192
•
AES-128
•
Triple DES-168
•
CAST-128
Der öffentliche PGP-Schlüssel des Empfängers zeigt an, welche Verschlüsselungsalgorithmen von der E-Mail-Anwendung des
Empfängers unterstützt werden. Das Gerät ist dazu konzipiert, den stärksten verfügbaren Verschlüsselungsalgorithmus zu
verwenden. Wenn der öffentliche PGP-Schlüssel des Empfängers keine Liste von Verschlüsselungsalgorithmen enthält,
verschlüsselt das Gerät die E-Mail-Nachricht standardmäßig mithilfe eines der Algorithmen in der folgenden Prioritätenfolge:
AES-256, AES-192, AES-128, Triple DES-168 und CAST-128.
Datenfluss: Senden einer E-Mail-Nachricht von einem Gerät mithilfe von PGP-Verschlüsselung
1.
Ein Benutzer sendet eine E-Mail-Nachricht von einem BlackBerry 10-Gerät mithilfe von PGP-Verschlüsselung aus. Das
Gerät führt die folgenden Aktionen aus:
63
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
a
Das Gerät überprüft den Schlüsselspeicher des Geräts für den öffentlichen PGP-Schlüssel des Empfängers.
b
Wenn der Schlüsselspeicher des Geräts den öffentlichen PGP-Schlüssel des Empfängers nicht enthält, ruft das Gerät
den öffentlichen PGP-Schlüssel des Empfängers vom Symantec Encryption Management Server ab.
c
Das Gerät verschlüsselt die E-Mail-Nachricht mithilfe des öffentlichen PGP-Schlüssels des Empfängers.
d
Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, verwendet das Gerät BlackBerryTransportschichtverschlüsselung zur Verschlüsselung der PGP-verschlüsselten Nachricht
e
Das Gerät sendet die verschlüsselte Nachricht an BES12.
2.
Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerryTransportschichtverschlüsselung.
3.
BES12 sendet die PGP-verschlüsselte Nachricht an den E-Mail-Server.
4.
Der E-Mail-Server sendet die PGP-verschlüsselte Nachricht an den Empfänger.
5.
Das Gerät des Empfängers entschlüsselt die PGP-verschlüsselte Nachricht mithilfe des privaten PGP-Schlüssels des
Empfängers.
Abrufen von PGP-Schlüsseln von einem Symantec Encryption Management Server
Wenn Ihre Unternehmensumgebung einen Symantec Encryption Management Server umfasst, können Sie mithilfe der
Einstellung "Symantec Encryption Management Server-Adresse" im E-Mail-Profil voraussetzen, dass Benutzer von BlackBerry
10-Geräten ihre Geräte mit diesem Server anmelden. Sie können außerdem festlegen, ob Benutzer ihre geschäftliche E-MailAdresse oder ihre Microsoft Active Directory-Anmeldeinformationen verwenden müssen, um Geräte mit diesem Server
anzumelden. Die Benutzer müssen ihre Anmeldedaten übermitteln, und anschließend müssen sich die Geräte mit dem
angegebenen Server anmelden, authentifizieren und in Verbindung setzen, bevor Benutzer PGP-Schutz auf ihren Geräten
nutzen können.
Nachdem Benutzer ihre Geräte mit dem Server angemeldet haben, können Geräte sowohl auf PGP-Schlüssel und den PGPSchlüsselstatus zugreifen als auch die E-Mail-Richtlinie des Symantec Encryption Management Server für alle vom Benutzer
gesendeten E-Mail-Nachrichten abrufen und durchsetzen.
Weitere Informationen über Symantec Encryption Management Server-Profileinstellungen finden Sie in der Dokumentation für
Administratoren.
IBM Notes-E-Mail Verschlüsselung für Geräte
Wenn Ihre Unternehmensumgebung über IBM Notes oder IBM Domino verfügt, können BlackBerry 10-Geräte, auf denen IBM
Notes Traveler installiert ist, mithilfe der IBM Notes-E-Mail-Verschlüsselung E-Mail-Nachrichten senden und empfangen.
Wenn Benutzer Nachrichten erstellen, weiterleiten oder beantworten, können sie angeben, ob der Notes Traveler-Server die
Nachricht vor dem Senden an Empfänger verschlüsseln muss. Geräte und der Notes Traveler-Server senden einander alle
Daten über eine TLS-Verbindung.
Benutzer können die IBM Notes-E-Mail-Verschlüsselung auf dem Gerät mithilfe der Geräteeinstellungen aktivieren.
Weitere Informationen zu unterstützten Notes Traveler-Versionen finden Sie in der Kompatibilitätsmatrix in der Dokumentation
zu Installation und Upgrade.
64
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei BlackBerry 10-Geräten
Nachrichtenklassifizierung
Die Nachrichtenklassifizierung ermöglicht es Ihrem Unternehmen, auf BlackBerry 10-Geräten sichere E-Mail-Richtlinien
festzulegen und durchzusetzen sowie visuelle Markierungen zu E-Mail-Nachrichten hinzuzufügen. Sie können BES12
verwenden, um Benutzern von BlackBerry 10-Geräten die gleichen Optionen zur Nachrichtenklassifizierung zu bieten, die
ihnen auch bei den E-Mail-Anwendungen auf ihrem Computer zur Verfügung stehen. Sie können die folgenden Regeln für
ausgehende Nachrichten definieren, basierend auf den Nachrichtenklassifizierungen:
•
Ein Etikett hinzufügen, um die Nachrichtenklassifizierung zu markieren (z. B. vertraulich)
•
Eine optische Markierung am Ende der Betreffzeile hinzufügen (z. B. [C])
•
Text am Anfang oder am Ende des E-Mail-Textkörpers hinzufügen (z. B. "Diese Nachricht wurde als vertraulich
eingestuft")
•
S/MIME oder PGP-Optionen einstellen (z. B. signieren und verschlüsseln)
•
Eine Standardklassifizierung einstellen
Auf Geräten, auf denen BlackBerry 10 OS-Version 10.3.1 und höher ausgeführt wird, können Sie mithilfe der
Nachrichtenklassifizierung festlegen, dass Benutzer E-Mail-Nachrichten signieren, verschlüsseln oder signieren und
verschlüsseln müssen oder visuelle Markierungen zu E-Mail-Nachrichten, die sie von ihren Geräten senden, hinzufügen. Sie
können BES12 verwenden, um eine Nachrichtenklassifizierungs-Konfigurationsdatei zu bestimmen, die an das Gerät eines
Benutzers gesendet wird. Das Gerät interpretiert und implementiert dann den Inhalt der NachrichtenklassifizierungsKonfigurationsdatei. Wenn der Benutzer entweder auf eine E-Mail-Nachricht antwortet, für die die Nachrichtenklassifizierung
festgelegt ist, oder eine gesicherte E-Mail-Nachricht erstellt, bestimmt die Nachrichtenklassifizierungskonfiguration die
Klassifikationsregeln, die das Gerät für die ausgehende Nachricht durchsetzen muss.
Benutzer können die Stufe der Nachrichtenklassifizierung auf ihren Geräten anheben, aber nicht absenken. Die Stufen der
Nachrichtenklassifizierung werden von Regeln für sichere E-Mails in jeder Klassifizierung festgelegt.
Weitere Informationen zum Konfigurieren der Nachrichtenklassifizierung finden Sie in der Dokumentation für Administratoren
und im Artikel KB36736 unter blackberry.com/go/kbhelp.
65
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten
Daten während der Übertragung bei
iOS-, Android- oder Windows PhoneGeräten
7
Wenn Sie mit BES12 iOS-, Android- oder Windows Phone-Geräte verwalten, können Sie Daten mithilfe von
Sicherheitseinstellungen, VPNs und Zertifikaten während der Übertragung schützen.
Verschlüsselungstypen für die Kommunikation
zwischen Geräten und Ihren Ressourcen
Für die Kommunikation zwischen einem Gerät und den Ressourcen Ihres Unternehmens können verschiedene
Verschlüsselungstypen verwendet werden. Welcher Verschlüsselungstyp verwendet wird, hängt von der Verbindungsmethode
ab.
Verschlüsselungstyp
Beschreibung
Wi-Fi-Verschlüsselung (IEEE
802.11)
Wi-Fi-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und
einem drahtloser Zugriffspunkt verwendet, wenn der drahtlose Zugriffspunkt eingerichtet
wurde, um Wi-Fi-Verschlüsselung zu verwenden.
VPN-Verschlüsselung
VPN-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und
einem VPN-Server verwendet.
SSL/TLS-Verschlüsselung
SSL/TLS-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und
einem Inhaltsserver, einem Webserver oder einem E-Mail-Server in Ihrem Unternehmen
verwendet. Die Verschlüsselung für diese Verbindung muss separat auf jedem Server
eingerichtet werden. Hierbei wird für jeden Server ein separates Zertifikat verwendet. Auf
dem Server kann je nach Einrichtung SSL oder TLS verwendet werden.
Schutz von Wi-Fi-Verbindungen
Ein Gerät kann eine Verbindung zu geschäftlichen Wi-Fi-Netzwerken herstellen, die den Standard IEEE 802.11 verwenden. Der
Standard IEEE 802.11i verwendet den Standard IEEE 802.1X zur Authentifizierung und Schlüsselverwaltung, um geschäftliche
Wi-Fi-Netzwerke zu schützen. Der Standard IEEE 802.11i gibt an, dass Unternehmen das PSK-Protokoll oder den Standard
IEEE 802.1X als Zugriffssteuerungsmethode für Wi-Fi-Netzwerke verwenden müssen.
66
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten
Sie können Wi-Fi-Profile verwenden, um Wi-Fi-Konfigurationsinformationen, einschließlich Sicherheitseinstellungen und
jegliche erforderliche Zertifikate, an Geräte zu senden.
Wi-Fi-Geschäftsverbindung
Bei einer Wi-Fi-Geschäftsverbindung stellt ein Gerät unter Verwendung der Einstellungen, die Sie in einem Wi-Fi-Profil
konfiguriert haben, eine Verbindung zu den Ressourcen Ihres Unternehmens her. Wi-Fi-Verschlüsselung wird verwendet, wenn
der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet wurde.
Verbinden mit einem VPN
VPN-Profile werden nur auf BlackBerry 10-, iOS-, Samsung KNOX MDM- und KNOX Workspace-Geräten unterstützt.
Wenn Ihre Unternehmensumgebung VPNs umfasst, z. B. IPSec- oder SSL-VPNs, können Sie Geräte zur Authentifizierung bei
einem VPN für den Zugriff auf das Netzwerk des Unternehmens konfigurieren. Ein VPN stellt einen verschlüsselten Tunnel
zwischen einem Gerät und dem Netzwerk bereit.
Eine VPN-Lösung besteht aus einem VPN-Client auf einem Gerät und einem VPN-Konzentrator. Das Gerät kann den VPN-Client
zur Authentifizierung mit dem VPN-Konzentrator verwenden, der als Gateway zu Ihrem Unternehmensnetzwerk fungiert. Jedes
Gerät enthält einen integrierten VPN-Client, der mehrere VPN-Konzentratoren unterstützt. Je nach VPN-Lösung muss
möglicherweise eine Client-App auf dem Gerät installiert werden. Der VPN-Client auf dem Gerät unterstützt die Verwendung
einer starken Verschlüsselung, um sich selbst mit dem VPN-Konzentrator zu authentifizieren. Er erstellt einen verschlüsselten
Tunnel zwischen dem Gerät und dem VPN-Konzentrator, über den das Gerät und Ihr Unternehmensnetzwerk kommunizieren
können.
VPN-Verbindung
Bei einer VPN-Verbindung stellen Geräte über einen drahtlosen Zugriffspunkt oder ein Mobilfunknetz, die Firewall und den
VPN-Server des Unternehmens eine Verbindung mit den Ressourcen des Unternehmens her. Wi-Fi-Verschlüsselung wird
verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet wurde.
67
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten
Das Gerät kann für die Verbindung die Authentifizierung auf Kennwort- oder Zertifikatbasis verwenden.
Aktivieren von „VPN bei Bedarf“ für Geräte mit iOS
Mit „VPN bei Bedarf“ können Sie festlegen, ob ein iOS-Gerät beim Versuch, eine Verbindung zu einer bestimmten Domäne
aufzubauen, automatisch eine Verbindung zu einem VPN aufbaut. Zertifikate, z. B. SCEP- oder freigegebene Zertifikate, bieten
beim Zugriff auf eine bestimmte Domäne Authentifizierungsmöglichkeiten für Benutzergeräte. Sie können die Domäne Ihres
Unternehmens beispielsweise so konfigurieren, dass Benutzer mithilfe von „VPN bei Bedarf“ auf Ihre Intranetinhalte zugreifen
können.
Aktivieren von Per App VPN für iOS-Apps
Sie können Per App VPN verwenden, um zu bestimmen, welche geschäftlichen Apps und gesicherten Apps auf Geräten ein
VPN für die Datenübertragung verwenden müssen. Per App VPN trägt zur Senkung der Belastung Ihres Unternehmens-VPN
bei, indem nur bestimmter geschäftlicher Datenverkehr für die Verwendung des VPN freigegeben wird (bspw. Zugriff auf
Anwendungsserver oder Webseiten hinter der Firewall). Diese Funktion unterstützt auch die Privatsphäre des Benutzers und
erhöht die Verbindungsgeschwindigkeit für persönliche Apps, indem der persönliche Datenverkehr nicht über das VPN
gesendet wird.
Sie verknüpfen dann Apps mit Per App VPN, indem Apps oder App-Gruppen das VPN-Profil zugewiesen wird.
Schützen von Daten während der Übertragung
zwischen BES12 und iOS-, Android und Windows
Phone-Geräten
BES12 schützt die Daten beim Transport zwischen sich selbst und iOS-, Android- und Windows Phone-Geräten.
68
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten
Während des Aktivierungsvorgangs für diese Geräte wird eine TLS-Verbindung mit gegenseitiger Authentifizierung zwischen
BES12 und BES12 Client auf dem Gerät hergestellt. Wenn BES12 Konfigurationsinformationen an ein Gerät senden muss und
BES12 und das Gerät eine TLS-Verbindung zum Schützen der Daten verwenden.
Schutz der Kommunikation mit Geräten mithilfe
von Zertifikaten
Ein Zertifikat ist ein digitales Dokument, das die Identität und den öffentlichen Schlüssel eines Zertifikatempfängers
miteinander verknüpft. Für jedes Zertifikat ist ein entsprechender privater Schlüssel vorhanden, der getrennt gespeichert wird.
Eine Zertifizierungsstelle signiert das Zertifikat und bescheinigt so dessen Glaubwürdigkeit.
Je nach Gerätefunktionen und Aktivierungsart können Zertifikate auf Geräten für Folgendes verwendet werden:
•
Authentifizieren mittels SSL/TSL, wenn die Geräte eine Verbindung zu Webseiten herstellen, die HTTPS verwenden
•
Authentifizieren mit einem geschäftlichen Mailserver
•
Authentifizieren bei einem geschäftlichen Wi-Fi-Netzwerk und, sofern die Geräte dies unterstützen, bei einem VPN
•
Verschlüsseln und Signieren von E-Mail-Nachrichten mittels S/MIME-Schutz (nur unterstützte Geräte)
Senden von Clientzertifikaten an Geräte
Sie müssen möglicherweise Clientzertifikate an Geräte verteilen, wenn die Geräte eine zertifikatsbasierte Authentifizierung für
die Verbindung mit einem Netzwerk oder einem Server in Ihrer Unternehmensumgebung verwenden oder wenn Ihr
Unternehmen S/MIME verwendet.
Abhängig von den Funktionen des Geräts und der Aktivierungsart können Clientzertifikate für viele Zwecke verwendet werden,
u. a. für die zertifikatsbasierte Authentifizierung vom Browser aus, die Verbindung mit dem geschäftlichen Wi-Fi-Netzwerk oder
VPN, dem geschäftlichen E-Mail-Server und für digitale Signaturen für S/MIME-geschützte E-Mail-Nachrichten.
Sie können Clientzertifikate auf mehrere Arten an Geräte senden:
Profil
Beschreibung
SCEP-Profile
Sie können SCEP-Profile erstellen, die Geräte verwenden, um Clientzertifikate von einer
SCEP-kompatiblen Microsoft- oder Entrust-Zertifizierungsstelle anzufordern und zu
erhalten. SCEP-Profile werden auf iOS-Geräten und Android-Geräten mit Secure Work
Space, Samsung KNOX Workspace und Android for Work unterstützt.
Wenn Sie SCEP für die Anmeldung von Clientzertifikaten verwenden, hat der
Administrator niemals Zugriff auf den privaten Schlüssel des Benutzers.
Profile für Benutzeranmeldeinformationen
Wenn Ihr Unternehmen Entrust IdentityGuard verwendet, um Zertifikate für iOS- und
Android-Geräte auszustellen und zu verwalten, können Sie Profile für
69
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten
Profil
Beschreibung
Benutzeranmeldeinformationen erstellen, die von den Geräten verwendet werden, um
Zertifikate von der Zertifizierungsstelle Ihres Unternehmens zu erhalten.
Wenn Sie Entrust IdentityGuard verwenden, hat der Administrator keinen Zugriff auf den
privaten Schlüssel des Benutzers.
Profile für freigegebenes Zertifikat
Ein Profil für ein freigegebenes Zertifikat legt ein Clientzertifikat fest, das BES12 an iOSund Android-Geräte sendet. BES12 sendet das gleiche Clientzertifikat an jeden Benutzer,
dem das Profil zugewiesen ist.
Der Administrator muss Zugriff auf das Zertifikat und den privaten Schlüssel haben, um
ein Profil für ein freigegebenes Zertifikat zu erstellen.
Senden von Clientzertifikaten an
einzelne Benutzerkonten
Um ein Clientzertifikat an die Geräte für einen einzelnen Benutzer zu senden, können Sie
ein Clientzertifikat zu einem Benutzerkonto hinzufügen. BES12 sendet das Zertifikat an
die iOS- und Android-Geräte des Benutzers.
Der Administrator muss Zugriff auf das Zertifikat und den privaten Schlüssel haben, um
ein Clientzertifikat an den Benutzer zu senden.
Weitere Informationen zum Senden von Clientzertifikaten an Geräte finden Sie in der Dokumentation für Administratoren.
Verwenden von SCEP zur Anmeldung von Clientzertifikaten auf
Geräten
SCEP wird von BlackBerry 10-Geräten, iOS-Geräten und Android-Geräten mit Samsung KNOX Workspace, Android for Work
oder Secure Work Space unterstützt.
SCEP ist ein IETF-Protokoll, das das Anmelden von Zertifikaten auf vielen Geräten vereinfacht, indem zur Ausstellung der
einzelnen Zertifikate weder ein Eingriff vonseiten des Administrators noch eine Genehmigung erforderlich ist. Geräte können
SCEP verwenden, um Clientzertifikate von einer SCEP-kompatiblen Microsoft- oder Entrust-Zertifizierungsstelle, die Ihr
Unternehmen verwendet, anzufordern und zu erhalten. Sie können SCEP verwenden, um Clientzertifikate auf Geräten
anzumelden, damit die Geräte zertifikatsbasierte Authentifizierung im Browser verwenden können, und um eine Verbindung zu
einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver herzustellen.
Die Zertifikatsanmeldung beginnt, nachdem ein Gerät ein SCEP-Profil erhält, das dem Benutzer zugewiesen oder mit einem
zugeordneten Wi-Fi-, VPN- oder E-Mail-Profil verknüpft ist. Geräte können während des Aktivierungsprozesses ein SCEP-Profil
von BES12 erhalten, wenn Sie ein SCEP-Profil ändern oder wenn Sie ein anderes Profil ändern, das über ein zugeordnetes
SCEP-Profil verfügt. Nachdem die Zertifikatsanmeldung abgeschlossen ist, werden das Clientzertifikat und dessen
Zertifikatskette und privater Schlüssel im geschäftlichen Schlüsselspeicher auf dem Gerät gespeichert.
Wenn Sie eine Microsoft-Zertifizierungsstelle verwenden, muss die Zertifizierungsstelle Abfragekennwörter unterstützen. Die
Zertifizierungsstelle verifiziert mithilfe von Abfragekennwörtern, dass das Gerät zum Senden einer Zertifikatanforderung
autorisiert ist. Wenn die Zertifizierungsstelle NDES umgesetzt hat, verwenden Sie dynamische Abfragekennwörter. Das
70
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten
statische Abfragekennwort oder die Einstellungen zum Erhalt eines dynamisch generierten Abfragekennworts vom SCEP-Dienst
werden im SCEP-Profil bestimmt. Um das Kennwort zu schützen, wird es auf BlackBerry 10-Geräten nicht an die Geräte
gesendet. Auf anderen Geräten wird das Kennwort an die Geräte gesendet, um den Geräten die Ausführung der
Zertifikatanforderung zu ermöglichen. Wenn Sie ein statisches Abfragekennwort verwenden, wird für alle SCEP-Anforderungen
von Geräten das gleiche Abfragekennwort verwendet.
Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die
Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12
entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt.
Besuchen Sie www.ietf.org, um den SCEP-Internetentwurf zu lesen.
Datenfluss: Anmelden eines Client-Zertifikats auf einem Gerät, das BES12 als Proxy für die
SCEP-Anforderung verwendet
Sie können BES12 als Proxy für SCEP-Anforderungen verwenden, die von Geräten an die Zertifizierungsstelle gesendet werden.
Wenn die Zertifizierungsstelle sich hinter Ihrer Firewall befindet, können Sie mithilfe von BES12 als Proxy Client Zertifikate auf
Geräten anmelden, ohne die Zertifizierungsstelle außerhalb der Firewall sichtbar zu machen.
1.
BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder E-MailProfil verknüpft ist.
2.
Das Gerät erstellt eine SCEP-Anforderung und sendet sie an die BlackBerry Infrastructure.
3.
Die BlackBerry Infrastructure sendet die SCEP-Anforderung an BES12.
4.
BES12 aktualisiert die URL für die SCEP-Anforderung und sendet die SCEP-Anforderung an die Zertifizierungsstelle.
5.
Die Zertifizierungsstelle gibt das Zertifikat aus und sendet es an BES12.
6.
BES12 sendet die SCEP-Anforderung an die BlackBerry Infrastructure.
7.
Die BlackBerry Infrastructure sendet die SCEP-Anforderung an das Gerät.
8.
Das Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum Schlüsselspeicher hinzu.
Senden von Zertifizierungsstellenzertifikaten an Geräte
Alle Geräte unterstützen diese Funktion.
71
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten
Sie müssen möglicherweise Zertifizierungsstellenzertifikate an Geräte verteilen, wenn Ihr Unternehmen S/MIME verwendet,
oder wenn die Geräte eine zertifikatsbasierte Authentifizierung für die Verbindung mit einem Netzwerk oder einem Server in
Ihrer Unternehmensumgebung verwenden.
Wenn die Zertifikate für die Zertifizierungsstellen, die die Netzwerk- und Serverzertifikate Ihres Unternehmens ausgestellt
haben, auf Geräten gespeichert werden, können die Geräte Ihren Netzwerken und Servern beim Aufbau sicherer Verbindungen
vertrauen. Wenn die Zertifizierungsstellenzertifikate für die Zertifizierungsstellen, die die S/MIME-Zertifikate Ihres
Unternehmens ausgestellt haben, auf Geräten gespeichert werden, können die Geräte dem Zertifikat des Senders vertrauen,
wenn eine S/MIME-geschützte E-Mail-Nachricht empfangen wird.
Mithilfe von Profilen mit Zertifizierungsstellenzertifikat können Sie Zertifizierungsstellenzertifikate an Geräte senden. Weitere
Informationen finden Sie in der Dokumentation für Administratoren.
Einrichten von Zugriff auf das
Unternehmensnetzwerk nach einmaliger
Anmeldung für iOS-Geräte
Diese Funktion gilt nur für Geräte mit iOS 7 oder höher.
Sie können zulassen, dass sich Benutzer automatisch bei Domänen und Webdiensten Ihres Unternehmensnetzwerks
authentifizieren.
Sie können Profile für die einmalige Anmeldung verwenden, um die Geräteauthentifizierung mithilfe von Anmeldeinformationen
oder -zertifikaten eines Benutzers einzurichten. Die Zertifikatauthentifizierung wird für die Geräte iOS 8.0 und höher
unterstützt. Wenn Sie einem Benutzer ein Profil für die einmalige Anmeldung zuweisen, werden die Anmeldeinformationen oder
-zertifikate des Benutzers auf dem Gerät gespeichert, wenn er zum ersten Mal eine im Profil festgelegte Domäne aufruft. Die
gespeicherten Anmeldeinformationen oder -zertifikate des Benutzers werden automatisch verwendet, wenn er versucht, auf
die im Profil festgelegten Domänen zuzugreifen. Der Benutzer wird erst wieder nach den Anmeldeinformationen oder zertifikaten gefragt, wenn sich das Kennwort des Benutzers ändert oder das Zertifikat abläuft.
BES12 unterstützt Kerberos für den Zugriff per einmaligem Anmelden für den Browser und Apps auf Geräten mit iOS 7 und
höher. Sie können festlegen, welche Apps über Zugriff per einmaligem Anmelden verfügen.
Weitere Informationen zum Erstellen von Profilen für die einmalige Anmeldung finden Sie in der Dokumentation für
Administratoren.
Schutz von E-Mail-Nachrichten
Mithilfe von IBM Notes Traveler, Exchange ActiveSync, IMAP oder POP3 können Geräte E-Mail-Nachrichten, Kalendereinträge,
Kontakte und andere Kalenderdaten mit dem E-Mail-Server Ihres Unternehmens synchronisieren. IBM Notes Traveler wird auf
Windows Phone- und Secure Work Space-Geräten unterstützt.
72
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten
Zum Schutz der Verbindung mit dem E-Mail-Server des Unternehmens sind die folgenden Optionen verfügbar (je nachdem, ob
die Geräte sie unterstützen):
•
Verbindung der Geräte nur zulassen, wenn diese sich im geschäftlichen Wi-Fi-Netzwerk befinden.
•
VPN konfigurieren
•
Enterprise-Konnektivität konfigurieren
•
BlackBerry Secure Connect Plus konfigurieren
VPN, Enterprise-Konnektivität und BlackBerry Secure Connect Plus gestatten eine sichere Verbindung mit Geräten, die sich
außerhalb des Netzwerks des Unternehmens befinden. Bei Verwendung von Enterprise-Konnektivität oder BlackBerry Secure
Connect Plus ist eine sichere Synchronisierung zwischen Geräten und E-Mail-Server über eine sichere BES12-Verbindung über
die BlackBerry Infrastructure möglich. Wenn BES12 die Verbindung zwischen Ihrem E-Mail-Server und den Geräten bereitstellt,
haben auf den meisten Geräten die BES12-IT-Richtlinien Vorrang vor allen anderen Richtlinien, die für die Geräte auf dem EMail-Server eingerichtet wurden. Auf Windows Phone-Geräten werden hingegen IT-Richtlinien aus mehreren Quellen
verarbeitet, und diejenige mit den meisten Einschränkungen erhält den Vorrang.
Bei Geräten, die SCEP unterstützen, können Sie ein SCEP-Profil mit einem E-Mail-Profil verknüpfen, um eine zertifikatbasierte
Authentifizierung zu erzwingen und somit zum Schutz der Verbindungen zwischen den Geräten und dem E-Mail-Server
beizutragen.
Steuern, welche Geräte Exchange ActiveSync verwenden
können
Alle Geräte unterstützen Exchange ActiveSync Gatekeeping.
Microsoft Exchange kann so konfiguriert werden, dass Geräte für die Nutzung von Exchange ActiveSync blockiert sind, es sei
denn, die Geräte wurden ausdrücklich einer Positivliste hinzugefügt. Geräte, die nicht auf dieser Liste stehen, können nicht auf
geschäftliche E-Mail und Terminplanerdaten zugreifen. Im BES12 können Sie Microsoft Exchange-Gatekeeping einrichten, um
zu steuern, welche Geräte automatisch zur Liste der zulässigen Geräte auf Ihrem Microsoft Exchange Server hinzugefügt
werden.
Wenn Sie Microsoft Exchange Gatekeeping verwenden und ein Benutzer, dem ein E-Mail-Profil zugewiesen ist, ein BlackBerry
10-, Secure Work Space- Android for Work- oderKNOX Workspace-Gerät aktiviert, wird das Gerät automatisch in die Liste der
zulässigen Geräte in Microsoft Exchange aufgenommen. Ein Gerät wird dann automatisch von der Liste der zulässigen Geräte
entfernt, wenn Sie das E-Mail-Profil aus dem Benutzerkonto entfernen, wenn das Gerät die Einstellungen im zugewiesenen
Einhaltungsprofi verletzt oder wenn das Gerät deaktiviert wird. Sie müssen Android MDM-Geräte der Positivliste manuell
hinzufügen bzw. sie manuell aus dieser entfernen.
Weitere Informationen zum Aktivieren von Microsoft Exchange Gatekeeping und zum Hinzufügen und Entfernen von Geräten
zur bzw. aus der Liste der zulässigen Geräte finden Sie in der Dokumentation für Administratoren.
Erhöhen der Sicherheit von E-Mail-Nachrichten mittels S/MIME
Diese Funktion gilt für iOS- und Secure Work Space-Geräte.
73
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten
Sie können die Sicherheit von E-Mail-Nachrichten erhöhen, indem Sie zulassen, dass Benutzer S/MIME-geschützte E-MailNachrichten senden und empfangen können. Durch das digitale Signieren oder Verschlüsseln von Nachrichten wird den EMail-Nachrichten, die die Benutzer senden oder empfangen, eine zusätzliche Sicherheitsstufe hinzugefügt.
Anhand von digitalen Signaturen können Empfänger die Authentizität und Integrität von Nachrichten überprüfen, die die
Benutzer senden. Wenn ein Benutzer eine Nachricht mit seinem privaten Schlüssel signiert, verwenden die Empfänger den
öffentlichen Schlüssel des Absenders, um sicherzustellen, dass die Nachricht von dem Absender stammt und nicht geändert
wurde.
Die Verschlüsselung trägt zur Geheimhaltung der Nachrichten bei. Wenn ein Benutzer eine Nachricht verschlüsselt, verwendet
das Gerät den öffentlichen Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Der Empfänger verwendet den
privaten Schlüssel, um die Nachricht zu verschlüsseln.
Die Geräte unterstützen Schlüssel und Zertifikate im PFX-Dateiformat mit der Dateierweiterung .pfx oder .p12.
Benutzer müssen für jeden Empfänger, dem sie eine verschlüsselte E-Mail-Nachricht senden möchten, ihre privaten Schlüssel
und ein Zertifikat auf ihren Geräten speichern. Die Benutzer können Schlüssel und Zertifikat durch Importieren der
entsprechenden Dateien aus einer geschäftlichen E-Mail-Nachricht speichern. Alternativ können Sie den automatischen
Versand von Zertifikaten per SCEP konfigurieren.
S/MIME-Zertifikate und private S/MIME-Schlüssel auf Geräten
Geräte können Kryptografie mit öffentlichen Schlüsseln mit S/MIME-Zertifikaten und private S/MIME-Schlüssel verwenden, um
E-Mail-Nachrichten zu verschlüsseln und zu entschlüsseln.
Objekt
Beschreibung
Öffentlicher S/MIME-Schlüssel
Wenn ein Benutzer eine E-Mail-Nachricht von einem Gerät sendet, verwendet das Gerät
den öffentlichen S/MIME-Schlüssel des Empfängers, um die Nachricht zu verschlüsseln.
Wenn ein Benutzer eine signierte E-Mail-Nachricht auf einem Gerät empfängt, verwendet
das Gerät den öffentlichen S/MIME-Schlüssel des Absenders, um die
Nachrichtensignatur zu überprüfen.
Privater S/MIME-Schlüssel
Wenn ein Benutzer eine signierte E-Mail-Nachricht von einem Gerät sendet, hashcodiert
das Gerät die Nachricht mit SHA-1, SHA-2 oder MD5. Das Gerät verwendet den privaten
S/MIME-Schlüssel des Benutzers, um den Nachrichtenhash digital zu signieren.
Wenn ein Benutzer eine verschlüsselte Nachricht auf einem Gerät empfängt, verwendet
das Gerät den privaten Schlüssel des Benutzers, um die Nachricht zu entschlüsseln. Der
private Schlüssel wird auf dem Gerät gespeichert.
Datenfluss: Senden einer E-Mail-Nachricht von einem Gerät mit S/MIME-Verschlüsselung
1.
Ein Benutzer sendet eine E-Mail-Nachricht von einem Gerät aus. Das Gerät führt die folgenden Aktionen aus:
a
Prüft den Schlüsselspeicher des Geräts auf das S/MIME-Zertifikat des Empfängers.
74
ENTWURF - BlackBerry Interner Gebrauch
Daten während der Übertragung bei iOS-, Android- oder Windows Phone-Geräten
b
Verschlüsselt die E-Mail-Nachricht mit dem S/MIME-Zertifikat des Empfängers.
c
Sendet die verschlüsselte Nachricht an den E-Mail-Server.
2.
Der E-Mail-Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger.
3.
Der Empfänger entschlüsselt die S/MIME-verschlüsselte Nachricht mithilfe des privaten S/MIME-Schlüssels des
Empfängers.
75
ENTWURF - BlackBerry Interner Gebrauch
Überlegungen zu Netzwerken mit DMZ
Überlegungen zu Netzwerken mit
DMZ
8
Schützen von Verbindungen zur BES12 mithilfe
des BlackBerry Router
Der BlackBerry Router ist eine optionale Komponente, die eine Verbindung zu Ihrem Netzwerk herstellt, und für die BlackBerry
Infrastructure Daten an BES12 sendet und von dieser empfängt. Der BlackBerry Router agiert als Proxy-Server für
Verbindungen über die BlackBerry Infrastructure zwischen BES12 und allen Geräten.
Sie können eine Instanz des BlackBerry Router für alle BES5-, BES10 und BES12-Domänen in Ihrer Unternehmensumgebung
verwenden.
Wenn BES12 einen BlackBerry Router erkennt, ermittelt sie die IP-Adresse des Computers, der den BlackBerry Router hostet
und schreibt die IP-Adresse in die BES12-Datenbank.
Verwenden eines BlackBerry Router oder eines
Proxy-Servers mit BES12
Wenn Sie einen Proxy-Server mit BES12 verwenden möchten, können Sie den BlackBerry Router in der BES12-Domäne als
Proxy-Server installieren oder einen bereits in der Umgebung installierten TCP-Proxy-Server verwenden. Die Installation des
BlackBerry Router oder des Proxy-Servers muss außerhalb der Unternehmens-Firewall in der DMZ erfolgen.
Durch die Installation des BlackBerry Router oder eines TCP-Proxy-Server in der DMZ wird die Sicherheit für BES12 zusätzlich
erhöht. Nur der BlackBerry Router oder der Proxy-Server stellt von außerhalb der Firewall eine Verbindung zu BES12 her.
Alle Verbindungen über die BlackBerry Infrastructure zwischen BES12 und den Geräten werden über den BlackBerry Router
oder den Proxy-Server geleitet.
76
ENTWURF - BlackBerry Interner Gebrauch
Überlegungen zu Netzwerken mit DMZ
Wenn Sie einen TCP-Proxy-Server verwenden möchten, muss es sich um einen transparenten TCP-Proxy-Server handeln, oder
die Verwendung von SOCKS v5 (keine Authentifizierung) ist erforderlich.
Weitere Informationen zur Wahl des Installationsorts für BlackBerry Router finden Sie in der Dokumentation zu Installation und
Upgrade.
Weitere Informationen zum Konfigurieren des BlackBerry Router oder eines Proxyservers finden Sie in der Dokumentation zu
Installation und Upgrade.
Installieren von BES12 in einer DMZ
Wenn die Sicherheitsrichtlinien Ihres Unternehmens eine detailliertere Kontrolle über die für BES12 zugänglichen Ressourcen
erfordern, können Sie BES12 in einer eigenen DMZ installieren.
Beispielsweise können Sie den BlackBerry Router oder einen TCP-Proxy-Server in der DMZ Ihres Unternehmens installieren
und BES12 in einer separaten DMZ.
77
ENTWURF - BlackBerry Interner Gebrauch
Überlegungen zu Netzwerken mit DMZ
Weitere Informationen zum Konfigurieren von BES12 bei Installation in einer DMZ finden Sie in der Dokumentation zur
Konfiguration.
78
ENTWURF - BlackBerry Interner Gebrauch
Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen
Verwenden von BlackBerry Secure
Connect Plus für sichere
Verbindungen mit geschäftlichen
Ressourcen
9
Die BES12-Komponente BlackBerry Secure Connect Plus bietet einen sicheren IP-Tunnel zwischen Apps für den
geschäftlichen Bereich auf BlackBerry 10-, Samsung KNOX Workspace- und Android for Work-Geräten und dem Netzwerk des
Unternehmens. Über diesen Tunnel haben Benutzer Zugriff auf Ressourcen hinter der Firewall des Unternehmens, wobei die
Sicherheit der Daten mithilfe von Standardprotokollen und durchgehender Verschlüsselung sichergestellt wird.
BlackBerry Secure Connect Plus und unterstützte Geräte erstellen einen sicheren IP-Tunnel, wenn dies die beste Wahl für eine
Verbindung mit dem Netzwerk des Unternehmens ist. Ist einem Gerät ein Wi-Fi oder VPN-Profil zugewiesen, und das Gerät hat
Zugriff auf das geschäftliche Wi-Fi- bzw. VPN-Netzwerk, wird diese Methode zum Herstellen einer Verbindung verwendet.
Stehen diese Möglichkeiten nicht zur Verfügung (z. B. wenn der Benutzer sich außerhalb des geschäftlichen Wi-FiFunkbereichs befindet), stellen BlackBerry Secure Connect Plus und das Gerät einen sicheren IP-Tunnel her.
Unterstützte Geräte kommunizieren zur Herstellung des sicheren Tunnels über die BlackBerry Infrastructure mit BES12. Für
jedes Gerät wird ein Tunnel erstellt. Der Tunnel unterstützt Standard-IPv4-Protokolle (TCP und UDP). Solange der Tunnel
geöffnet ist, hat jede App im geschäftlichen Bereich Zugriff auf Netzwerkressourcen. Sobald der Tunnel nicht mehr benötigt
wird (zum Beispiel, wenn der Benutzer in den Empfangsbereich des geschäftlichen Wi-Fi-Netzwerks zurückkehrt), wird er
geschlossen.
BlackBerry Secure Connect Plus bietet die folgenden Vorteile:
•
IP-Datenverkehr zwischen Geräten und BES12 wird komplett verschlüsselt, wodurch die Sicherheit geschäftlicher
Daten gewährleistet wird.
•
BlackBerry Secure Connect Plus bietet eine sichere, zuverlässige Verbindung mit geschäftlichen Ressourcen, wenn
ein Benutzer nicht auf das geschäftliche Wi-Fi-Netzwerk oder VPN zugreifen kann.
•
BlackBerry Secure Connect Plus wird hinter der Firewall des Unternehmens installiert, sodass Daten in einem
vertrauenswürdigen Bereich übertragen werden, der die Sicherheitsstandards des Unternehmens erfüllt.
Datenfluss bei der Erstellung eines sicheren IPTunnels durch BlackBerry Secure Connect Plus
79
ENTWURF - BlackBerry Interner Gebrauch
Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen
1.
BES12 und Gerät erkennen, dass ein sicherer IP-Tunnel die beste verfügbare Methode zur Verbindung zwischen Apps im
geschäftlichen Bereich und dem Netzwerk des Unternehmens ist.
2.
Das Gerät sendet ein Signal über einen TLS-Tunnel und Port 443 an die BlackBerry Infrastructure, um einen sicheren
Tunnel zum Netzwerk des Unternehmens anzufordern. Das Signal wird standardmäßig unter Verwendung FIPS-140zertifizierter Certicom-Bibliotheken mit Cipher Suites für RSA und ECC-Schlüsseln verschlüsselt. Der Tunnel für das Signal
ist komplett verschlüsselt.
3.
BlackBerry Secure Connect Plus empfängt das Signal über Port 3101 von der BlackBerry Infrastructure.
4.
Das Gerät und BlackBerry Secure Connect Plus handeln die Tunnelparameter aus und erstellen einen sicheren Tunnel
über TURN durch die BlackBerry Infrastructure. Der Tunnel ist authentifiziert und durchgehend mit DTLS verschlüsselt.
•
5.
6.
Für jedes Gerät wird ein Tunnel erstellt. Alle Apps im geschäftlichen Bereich können über den Tunnel eine
Verbindung mit den geschäftlichen Ressourcen erstellen.
BlackBerry Secure Connect Plus überträgt IP-Datenverkehr (Datenpakete) an die und von den Netzwerkressourcen.
•
Der Tunnel unterstützt Standard-IPv4-Protokolle (TCP und UDP).
•
BlackBerry Secure Connect Plus verschlüsselt und entschlüsselt Datenverkehr mit FIPS-140-zertifizierten
Certicom-Bibliotheken mit Cipher Suites für RSA und ECC-Schlüsselnaktiviert werden.
BlackBerry Secure Connect Plus schließt den Tunnel, sobald dieser nicht mehr die beste Methode der Verbindung von
Apps im geschäftlichen Bereich mit Netzwerkressourcen ist.
BlackBerry Secure Connect Plus kann mehrere Tunnel über eine einzelne TURN-Zuordnung in der BlackBerry Infrastructure
erstellen. Jeder Tunnel wird für ein anderes Gerät verwendet und besitzt eine eindeutige ID sowie einen eindeutigen DTLSKontext.
80
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Daten im Ruhezustand auf BlackBerry
10-Geräten
10
Aktivierungsoptionen
Um BlackBerry 10-Geräte zu verwalten, verbinden Sie sie mit dem Netzwerk Ihres Unternehmens, damit diese auf Ihre Inhalte
zugreifen und Sie sie steuern können. Es gibt eine Reihe verschiedener Optionen für das Verwalten von Geräten, die von Ihren
Bedürfnissen für mobile Sicherheit abhängen. Sie bestimmen, über welche Verwaltungsoptionen ein Gerät verfügen sollte,
wenn Sie die Aktivierungsart auswählen.
In der folgenden Tabelle werden die Aktivierungsarten beschrieben:
Aktivierungsart
Beschreibung
Geschäftlich und persönlich – Unternehmen
Erzeugt ein BlackBerry Balance-Gerät. Das Gerät verfügt über einen
persönlichen und einen geschäftlichen Bereich. Sie haben nur die Kontrolle
über den geschäftlichen Bereich.
Geschäftlich und persönlich – Reguliert
Erzeugt ein reguliertes BlackBerry Balance- Gerät. Das Gerät verfügt über
einen persönlichen und einen geschäftlichen Bereich. Sie haben die
Kontrolle über den persönlichen und den geschäftlichen Bereich.
Nur geschäftlicher Bereich
Erzeugt ein Gerät, das nur über einen geschäftlichen Bereich verfügt. Das
Gerät verfügt nur über einen geschäftlichen Bereich. Sie haben die volle
Kontrolle über das Gerät.
Hinweis: Sie benötigen unterschiedliche Lizenzen für die verschiedenen Aktivierungsarten. Weitere Informationen finden Sie in
der Dokumentation zur Lizenzierung.
Sichern von BlackBerry Balance-Geräten
Sie aktivieren BlackBerry 10-Geräte mithilfe der Option "Geschäftlich und persönlich – Unternehmen", um Benutzern
BlackBerry Balance-Geräte zur Verfügung zu stellen. Die Geräte verfügen über einen persönlichen und einen geschäftlichen
Bereich, und Sie können lediglich den geschäftlichen Bereich steuern. Ihr Unternehmen kann die BlackBerry BalanceTechnologie verwenden, sodass Benutzer ihre Geräte sowohl geschäftlich als auch privat nutzen können. Sie könnten
Benutzern beispielsweise gestatten, private Geräte auf BES12 zu aktivieren oder Geräte zu verwenden, die Ihr Unternehmen für
den persönlichen Gebrauch zur Verfügung stellt.
81
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
BES12-Sicherheitsfunktionen und BlackBerry Balance können überprüfen, wie Geräte die Inhalte und Ressourcen (Daten,
Apps und Netzwerkverbindungen) Ihres Unternehmens schützen, und ermöglichen, dass Geräte die geschäftlichen Daten und
Apps anders als persönliche Daten und Apps behandeln. Diese Funktionen und Optionen haben folgende Vorteile:
•
Ihr Unternehmen kann den Zugriff auf geschäftliche Apps und Daten auf den Geräten überwachen.
•
Die Daten Ihres Unternehmens sind geschützt.
•
Benutzer können über einige Kernanwendungen geschlossen auf persönliche und geschäftliche Daten zugreifen.
•
Sie können Apps, die Ihr Unternehmen als geschäftliche Apps verfügbar machen will, verwalten und überwachen.
•
Sie können die Apps und Daten Ihres Unternehmens von persönlichen Geräten löschen, wenn Benutzer Ihr
Unternehmen verlassen.
•
Sie können Netzwerkverbindungen für geschäftliche und persönliche Apps überwachen.
Sichern von regulierten BlackBerry Balance-Geräten
Sie können BlackBerry 10-Geräte mithilfe der Option "Geschäftlich und persönlich – Reguliert" aktivieren, um Benutzern
regulierte BlackBerry Balance-Geräte zur Verfügung zu stellen. Die Geräte verfügen über einen persönlichen und einen
geschäftlichen Bereich, und Sie können beide Bereiche kontrollieren. Ihr Unternehmen kann die BlackBerry BalanceTechnologie verwenden, damit Benutzer Geräte sowohl für den geschäftlichen als auch den persönlichen Bereich nutzen
können und Ihrem Unternehmen trotzdem Kontrolle über Gerätefunktionen geben.
BES12-Sicherheitsfunktionen und das regulierte BlackBerry Balance können steuern, wie Geräte die Inhalte und Ressourcen
(Daten, Apps und Netzwerkverbindungen) Ihres Unternehmens schützen und Geräten erlauben, die Daten und Apps Ihres
Unternehmens anders als persönliche Daten und Apps zu behandeln.
Regulierte BlackBerry Balance-Geräte behandeln geschäftliche und persönliche Daten genauso wie BlackBerry BalanceGeräte. Alles, was Sie zur Verwaltung von BlackBerry Balance-Geräten tun können, einschließlich der Verwendung von ITRichtlinienregeln, ist auch mit regulierten BlackBerry Balance-Geräten möglich. Regulierte BlackBerry Balance-Geräte bieten
Ihnen jedoch zusätzliche Verwaltungsoptionen, einschließlich:
•
Gerätefunktionen deaktivieren, auch wenn sich Benutzer im persönlichen Bereich aufhalten
•
Verhindern, dass Benutzer persönliche Konten auf dem Gerät haben
•
Kommunikationswege für Telefonanrufe, SMS und BBM blockieren
•
Kommunikationswege wie z. B. Wi-Fi ,Bluetooth und NFC blockieren
•
Erweiterten Schutz für Daten im Ruhezustand für Daten des geschäftlichen Bereichs verwenden
Benutzer mit regulierten BlackBerry Balance-Geräten sollten sich bewusst sein, dass Ihr Unternehmen persönliche Daten auf
ihren Geräten überprüfen kann. Wenn ein Gerät mithilfe der Option "Geschäftlich und persönlich – Reguliert" aktiviert wird,
wird dem Benutzer ein allgemeiner Haftungsausschluss angezeigt, der angibt, dass das Gerät von Ihrem Unternehmen
verwaltet wird und der Benutzer den Haftungsausschluss akzeptieren muss, um mit der Aktivierung fortzufahren. Sie können
einen zusätzlichen Hinweis konfigurieren, der die Geschäftsbedingungen darlegt, denen Benutzer folgen müssen, um die
Sicherheitsanforderungen Ihres Unternehmens zu erfüllen. Für regulierte BlackBerry Balance-Geräte, auf denen die BlackBerry
10 OS Version 10.3.1 und höher aufgeführt wird, können Sie die IT-Richtlinienregel "Organisationshinweis nach Geräteneustart
82
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
anzeigen" verwenden, um festzulegen, ob ein Gerät den Organisationshinweis jedes Mal, wenn ein Benutzer das Geräte neu
startet, anzeigen soll.
Wie geschäftliche und persönliche Bereiche voneinander
getrennt sind
BlackBerry Balance trennt und sichert geschäftliche und persönliche Informationen auf BlackBerry 10-Geräten, die auf BES12
aktiviert werden. BlackBerry Balance verwendet gesonderte Bereiche des Geräts, die als Bereiche zur Trennung geschäftlicher
und persönlicher Aktivitäten bezeichnet werden. Ein solcher Bereich ist ein getrennter Bereich des Geräts, der die Abtrennung
und die Verwaltung verschiedener Arten von Daten, Apps und Netzwerkverbindungen ermöglicht. Die verschiedenen Bereiche
können unterschiedlichen Regeln für Datenspeicherung, App-Berechtigungen und Netzwerkrouting unterliegen. Die separaten
Bereiche helfen Benutzern bei der Vermeidung von Aktivitäten, wie z. B. dem unbeabsichtigten Kopieren von geschäftlichen
Daten in eine persönliche App oder dem Anzeigen vertraulicher Geschäftsdaten während eines BBM Video-Chats.
Geräte verschlüsseln den geschäftlichen Bereich während des Aktivierungsprozesses. Sie können eine IT-Richtlinienregel
verwenden, um vorzuschreiben, dass Geräte den persönlichen Bereich separat verschlüsseln.
Wenn Sie ein BlackBerry Balance-Gerät mithilfe der "Geschäftlich und persönlich – Unternehmen"-Option oder ein reguliertes
BlackBerry Balance-Gerät mithilfe der "Geschäftlich und persönlich – Reguliert"-Option aktivieren, wird ein geschäftlicher
Bereich auf dem Gerät erstellt. Der persönliche Bereich auf dem Gerät bleibt während des Aktivierungsprozesses intakt, und
alle Benutzerdaten, Apps oder Netzwerkverbindungen, die der Benutzer verwendet hat, bevor das Gerät aktiviert wurde, sind
für den Benutzer im persönlichen Bereich auf dem Gerät verfügbar.
Das Beibehalten des ursprünglichen persönlichen Bereichs auf dem Gerät bietet Benutzern die Möglichkeit, Geräte für
Aktivitäten zu verwenden, die die Sicherheitsrichtlinien Ihres Unternehmen ansonsten möglicherweise nicht gestatten, wie
beispielsweise das Herunterladen von Videos, das Spielen von Online-Multiplayer-Spielen und das Hochladen persönlicher
Fotos und Facebook-Einträge, ohne dabei die im geschäftlichen Bereich gespeicherten Inhalte Ihres Unternehmens
preiszugeben.
Der geschäftliche Bereich ist ein abgetrennter Bereich des Geräts für geschäftliche Ressourcen, der eine modifizierte Version
der BlackBerry World-Verkaufsplattform umfasst, die BlackBerry World for Work genannt wird. BlackBerry World for Work
enthält die Apps, die Ihr Unternehmen den Benutzern bei der Arbeit herunterzuladen und zu verwenden erlaubt. Der
geschäftliche Bereich bietet auch einen abgetrennten Bereich des Geräts, in welchem Benutzer geschäftliche Dokumente und
Foliensätze erstellen, bearbeiten und speichern können.
83
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Sichern von Geräten, die nur über einen geschäftlichen Bereich
verfügen
Sie können BlackBerry 10-Geräte mithilfe der Option "Nur geschäftlicher Bereich" aktivieren, um Benutzern Geräte, die nur
über einen geschäftlichen Bereich verfügen, zur Verfügung zu stellen. Diese Geräte verfügen nur über einen Bereich, der als
geschäftlicher Bereich gilt und sicher ist. Alle Daten und Apps auf diesen Geräten werden als geschäftliche Ressourcen
klassifiziert. Sie können Geräte, die nur über einen geschäftlichen Bereich verfügen, aktivieren, wenn Benutzer Geräte fast
ausschließlich für geschäftliche Zwecke verwenden werden, oder wenn in Ihrem Unternehmen besonders vertrauliche
Positionen besetzt sind, die die vollständige Verwaltung von Geräten erfordern.
Durch diese Aktivierungsoption haben Sie die vollständige Kontrolle über Geräte und können:
•
Alle Apps und Dienste auf Geräten zulassen
•
Gerätefunktionen wie z. B. die Kamera oder GPS deaktivieren
•
Kommunikationswege wie z. B. Wi-Fi oder Bluetooth blockieren
•
Kontrollieren, welche Apps Benutzer herunterladen können
•
Den Zugriff auf persönliche E-Mail-Nachrichtendienste verhindern
•
Erweiterten Schutz für Daten im Ruhezustand für Daten des geschäftlichen Bereichs verwenden
Der Kennwortschutz auf Geräten, die nur über einen persönlichen Bereich verfügen, ist nicht optional. Um Geschäftsdaten auf
diesen Geräten zu sichern, müssen Benutzer bei der Aktivierung ein Gerätekennwort festlegen.
Benutzer mit Geräten, die nur über einen geschäftlichen Bereich verfügen, sollten sich bewusst sein, dass Ihr Unternehmen alle
Daten auf ihren Geräten überprüfen kann, auch wenn sie ihre Geräte für persönliche Zwecke nutzen. Wenn ein Gerät mithilfe
der Option "Nur geschäftlicher Bereich" aktiviert wird, wird dem Benutzer ein allgemeiner Haftungsausschluss angezeigt, der
angibt, dass das Gerät vollständig von Ihrem Unternehmen verwaltet wird, und der Benutzer muss den Haftungsausschluss
akzeptieren, um mit der Aktivierung fortzufahren. Sie können einen zusätzlichen Hinweis konfigurieren, der die
84
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Geschäftsbedingungen darlegt, denen Benutzer folgen müssen, um die Sicherheitsanforderungen Ihres Unternehmens zu
erfüllen. Für Geräte, die nur über einen geschäftlichen Bereich verfügen, auf denen die BlackBerry 10 OS Version 10.3.1 und
höher aufgeführt wird, können Sie die IT-Richtlinienregel "Organisationshinweis nach Geräteneustart anzeigen" verwenden, um
festzulegen, ob ein Gerät den Unternehmenshinweis jedes Mal, wenn ein Benutzer das Gerät neu startet, anzeigen soll.
Wenn ein Gerät über einen persönlichen oder geschäftlichen Bereich verfügt, bevor Sie es aktivieren, wird dieser während des
Aktivierungsprozesses gelöscht und alle Daten, Apps oder Netzwerkverbindungen, die das Gerät vor der Aktivierung genutzt
hat, werden entfernt. Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Verschlüsselung
BlackBerry 10-Geräte schützen durch Verschlüsselung die folgenden Datentypen. Nur die Inhalte von Dateien werden
verschlüsselt; die Dateien selbst und die Verzeichnisnamen werden nicht verschlüsselt.
Datentyp
Beschreibung
Daten im geschäftlichen
Bereich
Geräte schützen Geschäftsdaten durch die Verschlüsselung der im geschäftlichen Bereich
gespeicherten Dateien. Die Verschlüsselung des geschäftlichen Bereichs ist nicht optional.
Daten im persönlichen Bereich
Geräte mit einem persönlichen Bereich können persönliche Daten durch die
Verschlüsselung der im persönlichen Bereich gespeicherten Dateien schützen.
Die Verschlüsselung des persönlichen Bereichs ist optional. Sie können die ITRichtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen"
verwenden, um die Verschlüsselung für den persönlichen Bereich auf einem Gerät zu
aktivieren.
Benutzer können die Verschlüsselung persönlicher Daten auch mittels der Option
"Geräteverschlüsselung" in den "Sicherheit und Datenschutz"-Einstellungen auf einem
Gerät aktivieren.
Medienkartendaten
Geräte können Medienkartendaten durch die Verschlüsselung der auf Medienkarten
gespeicherten Dateien schützen:
•
Standardmäßig erlauben es Geräte mit einem persönlichen Bereich Benutzern
nur persönliche Daten auf Medienkarten zu speichern, und diese Daten werden in
einem unverschlüsselten Format gespeichert.
•
Standardmäßig erlauben es Geräte, die nur über einen geschäftlichen Bereich
verfügen, Benutzern, Daten auf Medienkarten zu speichern, und diese Daten
werden in einem unverschlüsselten Format gespeichert.
Die Medienkartenverschlüsselung ist optional. Sie können die IT-Richtlinienregel
"Medienkartenverschlüsselung erzwingen" verwenden, um die
Medienkartenverschlüsselung zu aktivieren. Es wird dringend empfohlen, auf Geräten, die
nur über einen geschäftlichen Bereich verfügen, die Medienkartenverschlüsselung mithilfe
85
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Datentyp
Beschreibung
der IT-Richtlinienregel "Medienkartenverschlüsselung erzwingen" zu aktivieren, da
Benutzer Geschäftsdaten standardmäßig in unverschlüsseltem Format speichern können.
Benutzer können die Medienkartenverschlüsselung auch mittels der Option
"Medienkartenverschlüsselung" in den "Sicherheit und Datenschutz"-Einstellungen auf
einem Gerät aktivieren.
Die Medienkarte wird deaktiviert, wenn ein anderes Gerät die Daten auf ihr verschlüsselt
hat. Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen
geschäftlichen Bereich verfügen, ist die Medienkartenverschlüsselung nur erlaubt, wenn
die IT-Richtlinienregel "Medienkarte zulassen" ausgewählt ist.
Schutz persönlicher Daten durch die Geräte
Bei der Verschlüsselung des persönlichen Bereichs für BlackBerry 10-Geräte werden Dateien, die im persönlichen Dateisystem
gespeichert sind, unter Verwendung von XTS-AES-256 verschlüsselt. Ein Gerät erzeugt per Zufallsprinzip einen
Verschlüsselungsschlüssel, um die Inhalte einer Datei zu verschlüsseln. Die Dateiverschlüsselungsschlüssel werden von einem
hierarchischen Verschlüsselungsschlüssel-System wie folgt geschützt:
•
Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem persönlichen Domänenschlüssel und speichert
den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.
•
Der persönliche Domänenschlüssel ist ein zufällig erstellter Schlüssel, der in den Metadaten des Dateisystems
gespeichert und unter Verwendung des persönlichen Hauptschlüssels verschlüsselt wird.
•
Der persönliche Hauptschlüssel wird ebenfalls zufällig erstellt. Der persönliche Hauptschlüssel wird im NVRAM auf
dem Gerät gespeichert und mit dem Systemhauptschlüssel verschlüsselt.
•
Der Systemhauptschlüssel wird im Replay-geschützten Speicherblock (RPMB, Replay Protected Memory Block) auf
dem Gerät gespeichert.
•
Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors
in den Prozessor integriert wird.
Wenn die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" ausgewählt wird, wählen Sie
auch die IT-Richtlinienregel "Kennwort für das gesamte Gerät anfordern", sodass das Kennwort für den geschäftlichen Bereich
für das gesamte Gerät gilt. Wenn die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" nicht
ausgewählt wird und der Benutzer die Verschlüsselung für den persönlichen Bereich aktivieren möchte, wird der Benutzer
aufgefordert, ein neues Kennwort einzugeben, insofern das Gerät nicht bereits ein Kennwort hat.
Die Geräte können ebenfalls alle Dateien verschlüsseln, die auf in den Geräten steckenden Medienkarten gespeichert sind.
Benutzer können ausschließlich persönliche Daten auf den Medienkarten speichern.
Die Dateiverschlüsselungsschlüssel, der persönliche Domänenschlüssel, der persönliche Hauptschlüssel und der
Systemhauptschlüssel werden mithilfe von BlackBerry OS Cryptographic Kernel erstellt, der für das BlackBerry 10 OS die FIPS
140-2-Zertifizierung erhalten hat.
86
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Schutz geschäftlicher Daten durch die Geräte
Bei der Verschlüsselung des geschäftlichen Bereichs für BlackBerry 10-Geräte werden Daten, die im geschäftlichen
Dateisystem gespeichert sind, unter Verwendung von XTS-AES-256 verschlüsselt. Bei Geräten, die nur über einen
geschäftlichen Bereich verfügen, werden alle Daten unter Verwendung von XTS-AES-256 verschlüsselt.
Ein Gerät erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte einer Datei zu verschlüsseln. Die
Dateiverschlüsselungsschlüssel werden von einem hierarchischen Verschlüsselungsschlüssel-System wie folgt geschützt:
•
Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem geschäftlichen Domänenschlüssel und
speichert den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.
•
Der geschäftliche Domänenschlüssel ist ein zufällig erstellter Schlüssel, der in den Metadaten des Dateisystems
gespeichert und unter Verwendung des geschäftlichen Hauptschlüssels verschlüsselt wird.
•
Der geschäftliche Hauptschlüssel wird ebenfalls zufällig erstellt. Der geschäftliche Hauptschlüssel wird im NVRAM
auf dem Gerät gespeichert und mit dem Systemhauptschlüssel verschlüsselt.
•
Der Systemhauptschlüssel wird im Replay-geschützten Speicherblock (RPMB, Replay Protected Memory Block) auf
dem Gerät gespeichert.
•
Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors
in den Prozessor integriert wird.
Die Dateiverschlüsselungsschlüssel, der geschäftliche Domänenschlüssel, der geschäftliche Hauptschlüssel und der
Systemhauptschlüssel werden mithilfe von BlackBerry OS Cryptographic Kernel erstellt, der für das BlackBerry 10 OS die FIPS
140-2-Zertifizierung erhalten hat.
Erweiterter Schutz von Daten im Ruhezustand
Erweiterter Schutz von Daten im Ruhezustand ist ein Verschlüsselungsmodell für Daten im Ruhezustand, das Sie verwenden
können, um Daten im geschäftlichen Bereich auf gesperrten regulierten BlackBerry Balance-Geräten und Geräten, die nur über
einen geschäftlichen Bereich verfügen, auf denen BlackBerry 10 OS-Version 10.3.1 und höher ausgeführt wird, zu schützen. Es
hilft bei der Sicherung vertraulicher Daten durch die Beschränkung des Zugriffs auf bestimmte Dateien im geschäftlichen
Bereich des Geräts, wenn der geschäftliche Bereich gesperrt ist. Wenn der geschäftliche Bereich gesperrt ist, können nur Apps,
die speziell dafür entwickelt wurden, erweiterten Schutz von Daten im Ruhezustand zu unterstützen, weiter im geschäftlichen
Bereich ausgeführt werden, und sie sind darauf beschränkt, nur auf bestimmte Teile des Dateisystems des geschäftlichen
Bereichs zuzugreifen.
Zusätzlich zur Einschränkung des Zugriffs auf vertrauliche Daten bei gesperrtem geschäftlichen Bereich verschlüsselt der
erweiterte Schutz von Daten im Ruhezustand auch Daten, die das Gerät empfängt, wenn der geschäftliche Bereich gesperrt ist.
Sowohl die Daten, die im geschäftlichen Bereich auf Geräten gespeichert sind, als auch Geschäftsdaten, die gesperrte Geräte
empfangen, werden verschlüsselt. Die Domänenschlüssel für die Verschlüsselung von Dateien des geschäftlichen Bereichs
werden ebenfalls verschlüsselt. Die Dateien werden mithilfe von Schlüsseln verschlüsselt, die an Informationen gebunden sind,
die nicht auf dem Gerät gespeichert sind, wie z. B. das Kennwort für den geschäftlichen Bereich oder die Smartcard eines
Benutzers.
87
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Erweiterter Schutz von Daten im Ruhezustand stellt verschiedene Domänen für die Speicherung der folgenden
Datenklassifizierungen bereit:
Domänenname
Beschreibung
Gesperrt
Diese Domäne speichert vertrauliche Daten. Die Daten in dieser Domäne sind verschlüsselt
und können nur aufgerufen werden, während der geschäftliche Bereich nicht gesperrt ist.
Der Domänenschlüssel kann nur entschlüsselt werden, nachdem der Benutzer den
geschäftlichen Bereich entsperrt hat.
Betriebsbereit
Diese Domäne speichert vertrauliche Daten, die verfügbar sein müssen, wenn der
geschäftliche Bereich gesperrt oder nicht gesperrt ist. Wenn das Gerät zum ersten Mal
gestartet wurde oder neu gestartet wurde, sind die Daten nicht verfügbar, bis der Benutzer
den geschäftlichen Bereich entsperrt. Die Daten sind dann verfügbar, bis das Gerät
ausgeschaltet oder neu gestartet wird. Der Domänenschlüssel kann nur entschlüsselt
werden, nachdem der Benutzer den geschäftlichen Bereich zum ersten Mal nach dem Start
des Geräts entsperrt hat.
Start
Diese Domäne speichert Daten, die verschlüsselt werden müssen, aber während des Starts
verfügbar sein müssen, ohne dass der Benutzer den geschäftlichen Bereich zuerst
entsperren muss. Alle Daten, die für den Gerätestart erforderlich sind oder verfügbar sein
müssen, bevor der Benutzer den geschäftlichen Bereich entsperrt, müssen in dieser Domäne
gespeichert werden. Der Domänenschlüssel kann abgerufen und entschlüsselt werden, ohne
dass der Benutzer den geschäftlichen Bereich zuerst entsperren muss.
Wenn die IT-Richtlinienregel "Zeitüberschreitung des erweiterten Schutzes von Daten im Ruhezustand" auf einen Wert größer
als 0 gesetzt wird, kann auf die Daten in der Sperrdomäne normal zugegriffen werden, bis der erweiterte Schutz von Daten im
Ruhezustand ausgeschaltet wird.
Sie können den erweiterten Schutz von Daten im Ruhestand auf regulierten BlackBerry Balance ("Geschäftlich und persönlich
– Reguliert"-Aktivierungsart) und auf Geräten, die nur über einen geschäftlichen Bereich verfügen ("Nur geschäftlicher
Bereich"-Aktivierungsart), verwenden. Auf regulierten BlackBerry Balance-Geräten beeinträchtigt der erweiterte Schutz von
Daten im Ruhezustand persönliche Apps nicht. Sie werden weiterhin ausgeführt und können normal auf das persönliche
Dateisystem des Geräts zugreifen.
Erweiterten Schutz von Daten im Ruhezustand verwalten
Sie können die IT-Richtlinienregel "erweiterten Schutz von Daten im Ruhezustand erzwingen" verwenden, um den erweiterten
Schutz von Daten im Ruhezustand auf Geräten zu aktivieren. Benutzer können den erweiterten Schutz von Daten im
Ruhezustand auf ihren Geräten nicht aktivieren bzw. deaktivieren.
Möglicherweise möchten Sie nicht, dass der erweiterte Schutz von Daten im Ruhezustand aktiviert wird, sobald der
geschäftliche Bereich gesperrt wird, und Sie würden bevorzugen, dass es zwischen der Sperrung des geschäftlichen Bereichs
und der Aktivierung des erweiterten Schutzes von Daten im Ruhezustand eine Verzögerung gibt. Wenn dies der Fall ist, können
Sie die IT-Richtlinienregel "Zeitüberschreitung des erweiterten Schutzes von Daten im Ruhezustand" verwenden, um eine
88
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Verzögerung von bis zu 24 Stunden einzurichten. Wenn der erweiterte Schutz von Daten im Ruhezustand nicht aktiviert ist,
kann auf die Daten in der Sperrdomäne normal zugegriffen werden.
Sie können verlangen, dass die Zwei-Faktor-Authentifizierung verwendet wird, um die Verschlüsselungsschlüssel für den
erweiterten Schutz von Daten im Ruhezustand zu schützen, indem Sie die IT-Richtlinienregel "Zwei-Faktor-Authentifizierung für
den erweiterten Schutz von Daten im Ruhezustand" verwenden. Die Zwei-Faktor-Authentifizierung schützt die
Verschlüsselungsschlüssel für den erweiterten Schutz von Daten im Ruhezustand sowohl mit einem privaten Schlüssel, der auf
einer Smart Card gespeichert ist, als auch mit dem Kennwort des geschäftlichen Bereichs.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Sie können auswählen, wo Wi-Fi- und VPN-Profile im geschäftlichen Bereich auf Geräten, die den erweiterten Schutz von Daten
im Ruhezustand verwenden, gespeichert werden. Unter Verwendung der Profileinstellung "Datensicherheitsebene" in Wi-Fiund VPN-Profilen können Sie festlegen, ob Wi-Fi- und VPN-Profile "immer verfügbar", "nach Authentifizierung verfügbar" oder
"nur verfügbar, wenn der geschäftliche Bereich entsperrt wird" sein sollen. Wenn Sie festlegen, dass die Profile immer
verfügbar sind, wird das Profil in der Startdomäne gespeichert und steht zur Verfügung, wenn der geschäftliche Bereich
gesperrt ist. Wenn Sie festlegen, dass das Profil "nach Authentifizierung verfügbar" ist, wird das Profil in der Betriebsdomäne
gespeichert und ist nach dem Entsperren des geschäftlichen Bereichs so lange verfügbar, bis das Gerät erneut gestartet wird.
Wenn Sie festlegen, dass das Profil „Nur verfügbar, wenn der geschäftliche Bereich entsperrt ist“, wird das Profil in der
Sperrdomäne gespeichert und kann nur dann für Wi-Fi- oder VPN-Verbindungen verwendet werden, wenn der geschäftliche
Bereich entsperrt ist.
Weitere Informationen über diese Profileinstellungen finden Sie unter docs.blackberry.com/BES12 im Abschnitt zur
Administration.
Klassifizierung der Apps und Daten auf den
Geräten
BlackBerry Balance-Geräte und regulierte BlackBerry Balance-Geräte können zwischen Daten für den geschäftlichen
Gebrauch und Daten für den Privatgebrauch unterscheiden. Die Geräte klassifizieren Daten abhängig von der Datenquelle in
geschäftliche und persönliche Daten, und diese Klassifizierungen bestimmen, wie die Daten auf den Geräten gespeichert,
geschützt und verarbeitet werden. Geschäftliche Daten sind alle Daten, die von Apps im geschäftlichen Bereich verwaltet
werden, und persönliche Daten sind alle Daten, die von Apps im persönlichen Bereich verwaltet werden. Zum Beispiel werden
Daten aus einem geschäftlichen Konto im geschäftlichen Bereich auf dem Gerät gespeichert, und Daten aus einem
persönlichen Konto werden im persönlichen Bereich auf dem Gerät gespeichert. Nachdem Daten von einem Gerät als
geschäftliche Daten oder persönliche Daten klassifiziert wurden, können persönliche Daten nicht zu geschäftlichen Daten
umklassifiziert werden und geschäftliche Daten nicht zu persönlichen Daten umklassifiziert werden.
Alle Daten und Apps auf Geräten, die nur über einen geschäftlichen Bereich verfügen, werden als geschäftliche Ressourcen
klassifiziert, auch wenn Benutzer die Geräte für persönliche Angelegenheiten nutzen, wie dem Besuch persönlicher Webseiten
oder dem Empfang persönlicher E-Mails.
Die folgende Tabelle beschreibt die einzelnen App-Klassifizierungen für Geräte mit einem persönlichen Bereich und führt
Beispiele für Apps an, die zu der jeweiligen App-Klassifizierung gehören:
89
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Beschreibung
Apps
Apps, die nur im geschäftlichen Bereich verfügbar sind und
nur geschäftliche Daten anzeigen
•
BlackBerry World for Work
•
Beliebige Apps, die Benutzer aus BlackBerry World for
Work herunterladen
Apps, die nur im persönlichen Bereich verfügbar sind und nur •
persönliche Daten anzeigen
BBM, BBM Video, SMS-Textnachrichten und visuelle
Sprachnachrichten (mit Zugriff auf geschäftliche
Kontakte, falls nicht durch die IT-Richtlinienregel
"Persönliche Apps können auf geschäftliche Kontakte
zugreifen" verhindert)
•
BlackBerry World
•
Benutzer-Apps für Instant Messaging
•
Beliebige Apps, die Benutzer aus BlackBerry World
herunterladen (einschließlich BlackBerry Runtime für
Android-Apps)
•
BlackBerry Remember
•
BlackBerry Hub
•
Kalender
•
Kontakte
Apps, die eine Instanz im geschäftlichen Bereich und eine
separate Instanz im persönlichen Bereich haben
•
Adobe Reader
•
Browser
Diese App-Instanzen laufen sowohl in den geschäftlichen als
auch den persönlichen Bereichen eines Geräts unabhängig
voneinander. Zum Beispiel kann die Documents To Go-App,
die sich im geschäftlichen Bereich befindet, nur Dateien
verwalten, die sich im geschäftlichen Bereich befinden, und
•
Documents To Go
•
Dateiverwaltung
•
Hilfe
Apps, die sowohl in geschäftlichen als auch in persönlichen
Bereichen verfügbar sind, und die geschäftliche und
persönliche Daten in einer einheitlichen Ansicht anzeigen
Diese Apps klassifizieren die Daten, die sie nutzen, abhängig
von der Datenquelle entweder als geschäftliche oder
persönliche Daten und verwalten jeden Datentyp innerhalb
des Bereichs, zu dem er gehört.
Diese Apps verwalten geschäftliche Daten innerhalb der
Beschränkungen des geschäftlichen Dateisystems, der
geschäftlichen Richtlinien, Berechtigungen und Regelungen,
um sicherzustellen, dass die Daten innerhalb des
geschäftlichen Bereichs sicher sind und die Daten nicht für
Benutzer verfügbar sind, wenn der geschäftliche Bereich
gesperrt ist. Diese Apps werden streng kontrolliert und sind
auf Kernanwendungen begrenzt, die ausschließlich von
BlackBerry entwickelt werden.
90
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Beschreibung
Apps
das BlackBerry 10 OS sorgt dafür, dass diese App nicht mit
Dateien, die sich im persönlichen Bereich befinden,
interagiert.
•
Bilder
Jede Instanz dieser Apps wird von den anderen getrennt
gehalten, und jede App arbeitet gemäß den Regeln und
Beschränkungen, die für den Bereich gelten, in dem sie
installiert ist. Zum Beispiel zeigt die Dateiverwaltung-App nur
geschäftliche Apps an, wenn ein Benutzer die App im
geschäftlichen Bereich öffnet, und nur persönliche Dateien,
wenn der Benutzer die App im persönlichen Bereich öffnet.
Kennwörter
Kennwörter schützen die Daten Ihres Unternehmens und die Benutzerinformationen, die auf den BlackBerry 10-Geräten
gespeichert sind. Sie können BES12 verwenden, um den Kennwortschutz auf Geräten zu erzwingen.
Bei BlackBerry Balance- und regulierten BlackBerry Balance-Geräten ist es standardmäßig erforderlich, dass die Benutzer ein
Kennwort für den geschäftlichen Bereich mithilfe der IT-Richtlinienregel "Kennwort für geschäftlichen Bereich erforderlich"
festlegen. Wenn diese Regel ausgewählt wurde, wird das geschäftliche Kennwort (in den "BlackBerry Balance"-Einstellungen
des Geräts) als das Kennwort für den geschäftlichen Bereich verwendet. Sobald diese Regel ausgewählt wurde, können Sie die
folgenden IT-Richtlinienregeln verwenden, um zusätzliche Kennwortanforderungen auf Geräten zu erzwingen:
•
Maximales Kennwortalter
•
Maximale Anzahl der Versuche zur Kennworteingabe
•
Maximaler Kennwortverlauf
•
Mindestkomplexität des Kennworts
•
Mindestlänge für Kennwort
Wenn die IT-Richtlinienregel "Kennwort für geschäftlichen Bereich erforderlich" ausgewählt wurde, können Sie außerdem
mithilfe der Regel "Kennwort für das gesamte Gerät anfordern" verlangen, dass Benutzer ein Kennwort für das gesamte Gerät
festlegen. Wenn Sie dies tun, können Sie für Geräte mit BlackBerry 10 OS Version 10.3.1 oder höher die IT-Richtlinienregel
"Verhalten der Kennwörter des geschäftlichen Bereichs und Gerätekennwort definieren" anwenden, um festzulegen, ob das
Kennwort des geschäftlichen Bereiches und das Gerätekennwort gleich oder verschieden sein müssen, oder Sie können den
Benutzer wählen lassen. Wenn Sie den Benutzer wählen lassen, kann dieser sein Kennwort des geschäftlichen Bereichs als sein
Gerätekennwort verwenden, indem er die Option "Als mein Gerätekennwort verwenden" in den "BlackBerry Balance"Einstellungen auswählt. Wenn das Kennwort des geschäftlichen Bereichs und das Gerätekennwort gleich sind, wird das
geschäftliche Kennwort als das Kennwort für das gesamte Gerät verwendet, und die IT-Richtlinienregeln in der Regelgruppe
"Kennwort" gelten für das Kennwort des gesamten Geräts. Wenn ein Benutzer das Gerät entsperrt, wird gleichzeitig der
91
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
geschäftliche Bereich entsperrt. Benutzer können den geschäftlichen Bereich manuell sperren, wenn sie den persönlichen
Bereich der Geräte nutzen.
Wenn Sie nicht möchten, dass Benutzer ein Kennwort eingeben müssen, wenn sie auf geschäftliche Inhalte und Ressourcen
zugreifen, stellen Sie sicher, dass die IT-Richtlinienregel "Kennwort für geschäftlichen Bereich erforderlich" nicht aktiviert ist.
Wenn Sie dies tun, können Sie weder das Kennwort für das gesamte Gerät anfordern, noch das Verhalten des Kennworts des
geschäftlichen Bereichs und des Gerätekennworts definieren oder zusätzliche Kennwortanforderungen an Geräte durchsetzen.
Geräte, die nur über einen geschäftlichen Bereich verfügen, machen es zwingend erforderlich, dass die Benutzer ein Kennwort
für den geschäftlichen Bereich festlegen. Da nur ein geschäftlicher Bereich auf diesen Geräten verfügbar ist, gelten die
Kennwortanforderungen und -optionen für das gesamte Gerät.
Ein Benutzer kann Gerätekennworteinstellungen mit der Option "Gerätekennwort" in den "Sicherheit und Datenschutz"Einstellungen auf den Geräten konfigurieren. Wenn ein Benutzer die persönliche Datenverschlüsselung mithilfe der Option
"Verschlüsselung" auf den Geräten aktiviert, muss er ein Gerätekennwort festlegen. Geräte ermöglichen den Benutzern die
Definition stärker eingeschränkter, aber niemals weniger eingeschränkter Kennworteinstellungen als die von Ihnen
angegebenen Kennwortregeln. Wenn die IT-Richtlinienregel "Mindestkomplexität des Kennworts" auf "Keine Einschränkung"
festgelegt ist, können Benutzer eine einfache Kennwortoption einstellen, um ein numerisches Kennwort des geschäftlichen
Bereichs oder ein numerisches Gerätekennwort anstatt eines alphanumerischen Kennworts festzulegen.
Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Ändern von Kennwörtern
Sie können BES12 verwenden, um BlackBerry 10-Geräte per Fernzugriff zu sperren und die Kennwörter zu ändern. Sie können
dies beispielsweise tun, wenn ein Gerät verloren gegangen ist oder ein Benutzer das Kennwort vergessen hat.
Sie können auch per Fernzugriff das Gerät sperren und das Kennwort für den geschäftlichen Bereich ändern. Sie können dies
beispielsweise tun, wenn ein Benutzer das Kennwort des geschäftlichen Bereichs vergessen hat.
Die IT-Richtlinienregel "Maximales Kennwortalter" kann dazu verwendet werden, um festzulegen, wie oft ein Benutzer sein
Kennwort ändern muss. Dazu wird die Zeit festgelegt, die vergehen darf, bis ein Gerätekennwort abläuft.
Benutzer von BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können das Kennwort des geschäftlichen
Bereichs in den "BlackBerry Balance"-Einstellungen auf dem Gerät ändern. Wenn die IT-Richtlinienregel "Kennwort für das
gesamte Gerät erforderlich" nicht aktiviert ist, kann ein Benutzer dasselbe Kennwort für das gesamte Gerät verwenden.
Ändern von Gerätekennwörtern
Sie können BES12 verwenden, um den IT-Administrationsbefehl "Gerätekennwort festlegen, sperren und Nachricht einrichten"
an ein Gerät zu senden, um das Gerätekennwort zu ändern.
Dieser Befehl führt auf Geräten je nach deren Kennwörtern und Einstellungen zu verschiedenen Ergebnissen. In der folgenden
Tabelle werden die Gerätebedingungen und die Ergebnisse, die dieser Befehl für diese hat, aufgeführt:
92
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Bedingungen
•
•
•
•
Ergebnis
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
•
Das Gerät verfügt über kein Kennwort
•
für das gesamte Gerät
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
•
Das Gerät verfügt über ein Kennwort für •
das gesamte Gerät
Dieser Befehl erzeugt ein Kennwort für das gesamte Gerät
Das Kennwort für den geschäftlichen Bereich ist nicht betroffen
Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das
Gerätekennwort
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
Das Kennwort für den geschäftlichen Bereich ist nicht betroffen
Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das
Gerätekennwort
•
Die Kennwörter sind nicht durch die ITRichtlinienregel "Kennwort für das
gesamte Gerät anfordern" oder die
Geräteoption "Als mein Gerätekennwort
verwenden" verknüpft
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Das Kennwort für den geschäftlichen
•
Bereich wird als das Kennwort für das
•
gesamte Gerät mithilfe der ITRichtlinienregel "Kennwort für das
gesamte Gerät anfordern" durchgesetzt
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
•
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
•
Der Benutzer bestimmt das Kennwort
•
für den geschäftlichen Bereich als das
Kennwort für das gesamte Gerät mithilfe
•
der Option "Als mein Gerätekennwort
verwenden"
Das gesamte Gerät wird gesperrt, beide Kennwörter werden
synchronisiert und das neue Kennwort ist das Kennwort für das gesamte
Gerät
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
Das Kennwort für den geschäftlichen Bereich ist nicht betroffen
Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das
Gerätekennwort
Die Kennwörter sind nicht verknüpft
Der IT-Administrationsbefehl "Gerätekennwort festlegen, sperren und Nachricht einrichten" kann auch verwendet werden, um
eine Nachricht einzurichten, die auf der Startseite des Geräts erscheint. Zum Beispiel können Kontaktinformationen angezeigt
werden, die verwendet werden können, um das Gerät zum Besitzer zurückzubringen.
Wenn BES12 keine Verbindung mit einem Gerät herstellen kann, weil das Gerät ausgeschaltet oder nicht mit einem Netzwerk
verbunden ist, wird der Befehl gesendet, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Das neue Kennwort
kann dem Benutzer verbal mitgeteilt werden, wenn das Gerät lokalisiert wird. Wenn der Benutzer das Gerät entsperrt, wird er
vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.
93
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Weitere Informationen zum Senden des IT-Administrationsbefehls „Gerätekennwort angeben, Gerät sperren und Nachricht
einrichten“ an ein Gerät finden Sie in der Dokumentation für Administratoren.
Ändern von Kennwörtern für den geschäftlichen Bereich
Sie können BES12 verwenden, um den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an
ein Gerät zu senden, um das Kennwort für den geschäftlichen Bereich zu ändern.
Geräte, die nur über einen geschäftlichen Bereich verfügen, verfügen nur über ein Gerätekennwort. Obwohl Sie diesen Befehl
an Geräte, die nur über einen geschäftlichen Bereich verfügen, senden können, führt dies zu demselben Ergebnis wie das
Senden des IT-Administrationsbefehls "Gerätekennwort festlegen, sperren und Nachricht einrichten".
Wenn Sie den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an BlackBerry Balance- oder
regulierte BlackBerry Balance-Geräte senden, führt dieser Befehl auf Geräten je nach deren Kennwörtern und Einstellungen zu
verschiedenen Ergebnissen. In der folgenden Tabelle werden die Gerätebedingungen und die Ergebnisse, die dieser Befehl für
diese hat, aufgeführt:
Bedingungen
Ergebnis
•
Das Gerät verfügt über kein Kennwort
für den geschäftlichen Bereich
•
Der Befehl erzeugt ein Kennwort für den geschäftlichen Bereich
•
•
Das Gerät verfügt über kein Kennwort
für das gesamte Gerät
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
•
Das Gerät verfügt weiterhin nicht über ein Kennwort für das gesamte
Gerät
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Das Gerät verfügt über kein Kennwort
für das gesamte Gerät
•
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
•
Das Gerät verfügt weiterhin nicht über ein Kennwort für das gesamte
Gerät
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Das Gerät verfügt über ein Kennwort für •
das gesamte Gerät
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
•
Die Kennwörter sind nicht von Ihnen
•
oder dem Benutzer verknüpft (durch die
IT-Richtlinienregel "Kennwort für das
gesamte Gerät anfordern" oder die
Option "Als mein Gerätekennwort
verwenden" auf dem Gerät)
Das Kennwort für das gesamte Gerät ist nicht betroffen
94
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Bedingungen
Ergebnis
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Sie können das Kennwort für den
•
geschäftlichen Bereich als das
•
Kennwort für das gesamte Gerät mithilfe
der IT-Richtlinienregel "Kennwort für
das gesamte Gerät anfordern"
durchsetzen.
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
Das gesamte Gerät wird gesperrt, beide Kennwörter werden
synchronisiert und das neue Kennwort ist das Kennwort für das gesamte
Gerät
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Der Benutzer bestimmt das Kennwort
•
für den geschäftlichen Bereich als das
Kennwort für das gesamte Gerät mithilfe •
der Option "Als mein Gerätekennwort
•
verwenden"
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
Das Kennwort für das gesamte Gerät ist nicht betroffen
Die Kennwörter sind nicht verknüpft
Wenn BES12 keine Verbindung mit einem Gerät herstellen kann, weil das Gerät ausgeschaltet oder nicht mit einem Netzwerk
verbunden ist, wird der Befehl gesendet, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Das neue Kennwort
kann dem Benutzer verbal mitgeteilt werden, wenn das Gerät lokalisiert wird. Wenn der Benutzer das Gerät entsperrt, wird er
vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.
Weitere Informationen zum Senden des IT-Administrationsbefehls „Neues Kennwort für den geschäftlichen Bereich angeben
und geschäftlichen Bereich sperren“ an ein Gerät finden Sie in der Dokumentation für Administratoren.
Datenfluss: Wenn Sie das Kennwort für den geschäftlichen Bereich auf einem BlackBerry
Balance- oder einem regulierten BlackBerry Balance-Gerät ändern
1.
Sie senden den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an das Gerät.
2.
Das Gerät sendet den verschlüsselten Zwischenschlüssel an den BES12 Core.
3.
Der BES12 Core verwendet den privaten Schlüssel, der mit dem Gerät verknüpft ist, um den Zwischenschlüssel zu
entschlüsseln, und sendet den Zwischenschlüssel zurück an das Gerät.
95
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Der BES12 Core speichert einen eindeutigen privaten Schlüssel für jedes Gerät, das auf dem BES12 Coreaktiviert ist.
4.
Das Gerät führt die folgenden Aktionen aus:
•
Verwendet den Zwischenschlüssel, um den geschäftlichen Hauptschlüssel erneut abzuleiten, und entschlüsselt
den geschäftlichen Domänenschlüssel
•
Berechnet einen SHA-512-Hashwert des neuen Kennworts und einen zufälligen 64-Bit-Saltwert und speichert
ihn auf dem Gerät
•
Generiert einen neuen Zwischenschlüssel
•
Verwendet den neuen Zwischenschlüssel, um einen neuen geschäftlichen Hauptschlüssel zu generieren, und
verwendet diesen, um den geschäftlichen Domänenschlüssel zu verschlüsseln
•
Verschlüsselt den neuen Zwischenschlüssel mithilfe des öffentlichen Schlüssels, den der BES12 Core mit dem
Gerät verknüpft, und speichert den verschlüsselten Schlüssel auf dem Gerät
Weil nur der BES12 Core über den entsprechenden privaten Schlüssel verfügt, kann nur der BES12 Core den
verschlüsselten Zwischenschlüssel entschlüsseln. Der Zwischenschlüssel wird nie dauerhaft in unverschlüsselter Form
auf dem Gerät gespeichert.
Das Kennwort für den geschäftlichen Bereich wurde zurückgesetzt.
Datenfluss: Wenn ein Benutzer das Kennwort für den geschäftlichen Bereich auf einem
BlackBerry Balance- oder einem regulierten BlackBerry Balance-Gerät ändert
1.
In den BlackBerry Balance-Einstellungen auf dem Gerät gibt der Benutzer das aktuelle Kennwort und das neue Kennwort
ein.
2.
Das Gerät authentifiziert den Benutzer durch Berechnung eines SHA-512-Hashwerts des aktuellen Kennworts und eines
gespeicherten 64-Bit-Saltwerts und vergleicht das Ergebnis mit dem gespeicherten Hashwert des aktuellen Kennworts.
Wenn die zwei Hashwerte übereinstimmen, wird der geschäftliche Bereich entsperrt und das Zurücksetzen des
Kennworts fortgesetzt.
3.
Das Gerät führt die folgenden Aktionen aus:
•
Berechnet einen SHA-512-Hashwert des neuen Kennworts und einen zufälligen 64-Bit-Saltwert und speichert
ihn auf dem Gerät
•
Leitet den aktuellen Zwischenschlüssel ab
•
Verwendet den aktuellen Zwischenschlüssel, um den aktuellen geschäftlichen Hauptschlüssel abzuleiten, und
entschlüsselt den geschäftlichen Domänenschlüssel
•
Leitet einen neuen Zwischenschlüssel ab
•
Verwendet den neuen Zwischenschlüssel, um einen neuen geschäftlichen Hauptschlüssel abzuleiten, den es
verwendet, um den geschäftlichen Domänenschlüssel zu verschlüsseln
•
Verschlüsselt den neuen Zwischenschlüssel mithilfe des öffentlichen Schlüssels, den der BES12 Core mit dem
Gerät verknüpft, und speichert den verschlüsselten Schlüssel auf dem Gerät
96
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Da nur der BES12 Core über den entsprechenden eindeutigen privaten Schlüssel für jedes Gerät verfügt, der auf dem
BES12 Coreaktiviert wird, kann nur der BES12 Core den verschlüsselten Zwischenschlüssel entschlüsseln. Der
Zwischenschlüssel wird nicht dauerhaft in unverschlüsselter Form auf dem Gerät gespeichert.
Das Kennwort für den geschäftlichen Bereich wurde zurückgesetzt.
Datenlöschung
Um die Daten und Benutzerinformationen Ihres Unternehmens auf BlackBerry 10-Geräten zu schützen, können Sie oder ein
Benutzer Daten wie folgt von Geräten löschen:
Gerätetyp
Was Sie löschen können
BlackBerry Balance
•
Vollständiges Gerät
•
Geschäftlicher Bereich
•
Vollständiges Gerät
•
Geschäftlicher Bereich
Reguliertes BlackBerry Balance
Nur geschäftlicher Bereich
Vollständiges Gerät
Überprüfen, wann die Geräte alle Daten im geschäftlichen
Bereich löschen
Zum Schutz der Daten Ihres Unternehmens auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Sie
alle geschäftlichen Daten von dem Gerät löschen, indem Sie den geschäftlichen Bereich und dessen gesamten Inhalt löschen.
Alle persönlichen Daten bleiben auf dem Gerät erhalten. Sie können dies beispielsweise tun, wenn ein Benutzer nicht mehr in
Ihrem Unternehmen arbeitet.
In der folgenden Tabelle werden Beispiele von Daten aufgelistet, die entfernt werden, wenn alle Daten aus dem geschäftlichen
Bereich eines Geräts gelöscht werden:
Objekt
Beschreibung
Geschäftliche E-Mail-Nachrichten
•
E-Mail-Nachrichten, die an das geschäftliche E-Mail-Konto des Benutzers gesendet
werden, und E-Mail-Nachrichten, die der Benutzer von seinem geschäftlichen EMail-Konto sendet
•
Entwürfe von E-Mail-Nachrichten, die der Benutzer mit seinem geschäftlichen EMail-Konto erstellt
97
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Objekt
Beschreibung
Anlagen
•
Anlagen, die an das geschäftliche E-Mail-Konto des Benutzers gesendet werden,
und Anlagen, die der Benutzer von seinem geschäftlichen E-Mail-Konto sendet
•
Anlagen, die der Benutzer im geschäftlichen Bereich speichert
Kalendereinträge
Kalendereinträge, die der Benutzer mithilfe seines Geschäftskalenders erstellt
Kontakte
Kontakte, die BES12 mit dem geschäftlichen E-Mail-Konto des Benutzers synchronisiert
BlackBerry Remember
Alle Aufgaben und Notizen, die BES12 mit dem geschäftlichen E-Mail-Konto des
Benutzers synchronisiert
Browser
Alle geschäftlichen Browserdaten
Dateien
Dateien, auf die der Benutzer aus dem Netzwerk Ihres Unternehmens aus zugegriffen
und die er heruntergeladen hat
IT-Richtlinie
IT-Richtlinie, die Ihrem Unternehmen zugewiesen ist
Schlüssel zum Gerätetransport
Verweise auf den Schlüssel zum Gerätetransport, der das Gerät von der Kommunikation
mit BES12 abhält
Geschäftliche Apps
Geschäftliche Apps, die ein Benutzer heruntergeladen und auf einem Gerät installiert hat
Daten geschäftlicher Apps
Geschäftliche Daten sind mit den geschäftlichen Apps auf dem Gerät verknüpft
Geschäftliche Wi-Fi-Profile
Geschäftliche Wi-Fi-Profile auf dem Gerät
Geschäftliche VPN-Profile
Geschäftliche VPN-Profile auf dem Gerät
Alle Daten vom Gerät löschen
BlackBerry 10-Geräte löschen alle Daten im Gerätespeicher, wenn eines der folgenden Ereignisse eintritt:
Ereignis
Gerätetyp
Beschreibung
Sie senden den ITAdministrationsbefehl "Alle
Gerätedaten löschen" an ein Gerät.
•
BlackBerry
Balance
•
Reguliertes
BlackBerry
Balance
•
Nur
geschäftlicher
Bereich
Sie können BES12 verwenden, um alle Daten von den
Geräten mithilfe des IT-Administrationsbefehls "Alle
Gerätedaten löschen" zu löschen. Sie können diesen Befehl
beispielsweise an ein Gerät senden, um ein zuvor
verwendetes Gerät erneut einem Benutzer in Ihrem
Unternehmen zuzuteilen oder an ein verloren gegangenes
Gerät, das wahrscheinlich nicht wiedergefunden wird.
Mit diesem Befehl werden alle Benutzerinformationen und
App-Daten gelöscht, die auf dem Gerät gespeichert sind,
einschließlich Informationen im geschäftlichen Bereich und
Informationen auf der Medienkarte. Er setzt das Gerät auf die
Werkseinstellungen zurück und löscht das Gerät aus BES12.
98
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Ereignis
Gerätetyp
Beschreibung
Nachdem Sie diesen Befehl gesendet haben, wird eine
Option zum Entfernen des Geräts aus BES12 angezeigt.
Wenn das Gerät keine Verbindung mehr zu BES12 herstellen
kann, können Sie das Gerät aus BES12 entfernen. Wenn das
Gerät eine Verbindung zu BES12 herstellt, nachdem es
entfernt wurde, werden nur die geschäftlichen Daten vom
Gerät entfernt. Falls zutreffend, wird auch der geschäftliche
Bereich entfernt.
Weitere Informationen zum Senden dieses ITVerwaltungsbefehls finden Sie in der Dokumentation für
Administratoren.
Sie senden den ITAdministrationsbefehl "Nur
Geschäftsdaten löschen" an ein
Gerät.
Nur geschäftlicher
Bereich
Sie können den IT-Administrationsbefehl "Nur
Geschäftsdaten löschen" an ein Gerät, das nur über einen
geschäftlichen Bereich verfügt, senden, um alle Daten auf
diesem zu löschen. Da diese Geräte nur über einen
geschäftlichen Bereich verfügen, können Sie entweder den
IT-Administrationsbefehle "Alle Gerätedaten löschen" oder
"Nur Geschäftsdaten löschen" verwenden, um Daten von
diesen Geräten zu löschen.
Wenn BES12 keine Verbindung mit dem Gerät herstellen
kann, weil es ausgeschaltet oder nicht mit einem Netzwerk
verbunden ist, sendet BES12 den Befehl, sobald das Gerät
eine Verbindung zu einem Netzwerk herstellt.
Weitere Informationen zum Senden dieses ITVerwaltungsbefehls finden Sie in der Dokumentation für
Administratoren.
Es verstreicht mehr Zeit, ohne dass
das Gerät eine Verbindung zum
Netzwerk Ihres Unternehmens
herstellt, als die IT-Richtlinienregel
"Daten ohne Netzwerkverbindung
vom Gerät löschen" erlaubt.
•
Reguliertes
BlackBerry
Balance
•
Nur
geschäftlicher
Bereich
Ein Gerät sendet einen
Integritätsalarm an BES12, und als
Erzwingungsaktion wird "Alle
Gerätedaten löschen" eingestellt.
•
Das Gerät löscht alle Benutzerinformationen und App-Daten,
die auf dem Gerät gespeichert sind, einschließlich der
Informationen im geschäftlichen Bereich, und setzt das
Gerät auf die Werkseinstellungen zurück.
Sie können diese Regel verwenden, um das Gerät zu
veranlassen, alle Daten zu löschen, wenn es keine Updates
oder Befehle erhält.
Wenn das BlackBerry 10 OS ein Problem mit der Integrität
eines Gerätes erkennt, warnt es BES12. Wenn ein
Integritätsalarm auftritt und "Alle Gerätedaten löschen" als
Erzwingungsaktion eingestellt wird, werden alle Daten vom
Gerät gelöscht.
Reguliertes
BlackBerry
Balance
99
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Ereignis
Gerätetyp
•
Ein Gerät sendet einen
Integritätsalarm an BES12, und als
Erzwingungsaktion wird "Nur
Geschäftsdaten löschen" eingestellt.
Beschreibung
Nur
geschäftlicher
Bereich
Nur geschäftlicher
Bereich
Wenn das BlackBerry 10 OS ein Problem mit der Integrität
eines Gerätes erkennt, warnt es BES12.
Weil diese Geräte nur über einen geschäftlichen Bereich
verfügen, werden alle Daten vom Gerät gelöscht, wenn ein
Integritätsalarm auftritt und "Nur Geschäftsdaten löschen"
als Erzwingungsaktion eingestellt wird.
Ein Benutzer gibt das Gerätekennwort •
öfter falsch ein, als in der ITRichtlinienregel "Maximale
•
Kennwortversuche" zugelassen ist.
•
Das Gerät löscht alle Benutzerinformationen und App-Daten,
die auf dem Gerät gespeichert sind, einschließlich der
Informationen im geschäftlichen Bereich, und setzt das
Gerät auf die Werkseinstellungen zurück.
BlackBerry
Balance
Reguliertes
BlackBerry
Balance
Auf BlackBerry Balance- und regulierten BlackBerry
Balance-Geräten werden alle Daten vom Gerät gelöscht,
wenn ein Gerät über ein Kennwort für das gesamte Gerät
verfügt und ein Benutzer das Gerätekennwort öfter falsch
eingibt, als in der IT-Richtlinienregel "Maximale
Kennwortversuche" zugelassen ist.
Nur
geschäftlicher
Bereich
Auf Geräten, die nur über einen geschäftlichen Bereich
verfügen, werden alle Daten vom Gerät gelöscht, wenn ein
Benutzer das Gerätekennwort öfter falsch eingibt, als in der
IT-Richtlinienregel "Maximale Kennwortversuche"
zugelassen ist.
Ein Benutzer verwendet die Option
•
"Sicherheitslöschung" auf dem Gerät.
BlackBerry
Balance
•
Reguliertes
BlackBerry
Balance
•
Nur
geschäftlicher
Bereich
•
BlackBerry
Balance
Ein Benutzer verwendet BlackBerry
Protect, um alle Gerätedaten zu
löschen.
Ein Benutzer kann alle Daten auf Geräten mithilfe der Option
"Sicherheitslöschung" in den Einstellungen "Sicherheit und
Datenschutz" auf dem Gerät löschen.
Ein Benutzer kann auch BlackBerry Protect verwenden, um
Daten von einem Gerät zu löschen.
100
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Ereignis
Gerätetyp
Beschreibung
•
Reguliertes
BlackBerry
Balance
Benutzer können BlackBerry Protect nur dann verwenden,
wenn die IT-Richtlinienregel „BlackBerry Protect zulassen“
ausgewählt ist.
•
Nur
geschäftlicher
Bereich
Weitere Informationen zu BlackBerry Protect finden Sie im
BlackBerry Protect-Benutzerhandbuch.
BlackBerry 10-Geräte löschen alle Daten aus den geschäftlichen und persönlichen Bereichen, wenn ein Löschen aller Daten
eines Geräts stattfindet.
Datenfluss: Löschen aller Daten
Wenn alle Daten von einem BlackBerry 10-Gerät gelöscht werden, führt das Gerät die folgenden Aktionen aus:
1.
Das BlackBerry 10 OS überschreibt den Gerätespeicher mit Nullen.
2.
Das BlackBerry 10 OS führt einen sicheren TRIM-Vorgang für einen Abschnitt des Gerätespeichers aus. Aufgrund des
sicheren TRIM-Vorgangs löscht der Flash-Speicherchip den gesamten Speicher.
Löschen der geschäftlichen Daten
Um die Daten Ihres Unternehmens auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten zu schützen, löschen
diese Geräte nur Geschäftsdaten, wenn eines der folgenden Ereignisse eintritt:
Ereignis
Beschreibung
Sie senden den IT-Administrationsbefehl
"Nur Geschäftsdaten löschen" an ein
Gerät
Sie können BES12 verwenden, um alle geschäftlichen Daten von den Geräten
mithilfe des IT-Administrationsbefehls "Nur Geschäftsdaten löschen" zu löschen.
Sie können diesen Befehl beispielsweise an ein persönliches Gerät senden, wenn
ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet, oder wenn das Gerät
verloren geht oder gestohlen wird.
Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät
vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät
aus BES12 entfernt.
Die Informationen im geschäftlichen Bereich werden gelöscht und der
geschäftliche Bereich wird vom Gerät entfernt.
Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des
Geräts aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12
herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine
Verbindung zu BES12 herstellt, nachdem es entfernt wurde, werden nur die
101
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Ereignis
Beschreibung
geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der
geschäftliche Bereich entfernt.
Ein Benutzer kann das Gerät immer noch benutzen, obwohl Daten im
geschäftlichen Bereich gelöscht wurden.
Weitere Informationen zum Senden dieses IT-Verwaltungsbefehls finden Sie in der
Dokumentation für Administratoren.
Ein Benutzer gibt das Kennwort für den
geschäftlichen Bereich öfter falsch ein,
als in der IT-Richtlinienregel "Maximale
Kennwortversuche" zugelassen ist.
Die Informationen im geschäftlichen Bereich werden gelöscht und der
geschäftliche Bereich wird vom Gerät entfernt.
Ein Gerät stellt über einen längeren
Zeitraum keine Verbindung zum Netzwerk
Ihres Unternehmens her, als in der ITRichtlinienregel "Geschäftlichen Bereich
ohne Netzwerkverbindung löschen"
zugelassen ist.
Sie können die IT-Richtlinienregel "Geschäftlichen Bereich ohne
Netzwerkverbindung löschen" verwenden, um die Anzahl der Stunden
festzulegen, die vergehen müssen, ohne dass ein Gerät keine Verbindung zum
Netzwerk Ihres Unternehmens herstellt, bevor das Gerät alle Daten im
geschäftlichen Bereich löscht.
Wenn das Kennwort für den geschäftlichen Bereich und das Gerätekennwort eines
Gerätes unterschiedlich sind, werden alle Daten, einschließlich des geschäftlichen
Bereichs, vom Gerät gelöscht, wenn ein Benutzer das Gerätekennwort öfter falsch
eingibt, als in der IT-Richtlinienregel "Maximale Kennwortversuche" zugelassen
ist.
Sie können diese Regel verwenden, um das Gerät zu veranlassen, die Daten im
geschäftlichen Bereich zu löschen, wenn das Gerät keine Updates oder Befehle
von BES12 enthält.
Ein Gerät sendet einen Integritätsalarm
an BES12, und als Erzwingungsaktion
wird "Nur Geschäftsdaten löschen"
eingestellt.
Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt,
warnt es BES12. Wenn ein Integritätsalarm auftritt und "Nur Geschäftsdaten
löschen" als Erzwingungsaktion eingestellt wird, wird der geschäftliche Bereich
gelöscht.
Ein BlackBerry Balance-Gerät senden
einen Integritätsalarm an BES12, und als
Erzwingungsaktion wird "Alle Gerätedaten
löschen" eingestellt.
Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt,
warnt es BES12. Wenn ein Integritätsalarm auf einem BlackBerry Balance-Gerät
auftritt und "Alle Gerätedaten löschen" als Erzwingungsaktion eingestellt wird,
wird nur der geschäftliche Bereich gelöscht.
Ein Benutzer verwendet die Option
"Geschäftlichen Bereich löschen" in den
Einstellungen "BlackBerry Balance" auf
dem Gerät.
Benutzer können den geschäftlichen Bereich auch mithilfe der Option
"Geschäftlichen Bereich löschen" in den "BlackBerry Balance"-Einstellungen von
ihren Geräten löschen.
102
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Wenn Sie oder ein Benutzer alle Daten aus dem geschäftlichen Bereich auf einem Gerät löschen, weist das BlackBerry 10 OS
das Dateisystem an, alle Verzeichnisse und Dateien im geschäftlichen Dateisystem zu löschen. Alle Dateien, die im Dateisystem
verbleiben, bleiben verschlüsselt. Die Entschlüsselungsschlüssel sind für das Dateisystem nicht zugänglich.
Steuern von Messaging
Standardmäßig können Benutzer verschiedene Messaging-Methoden auf BlackBerry 10-Geräten einrichten, wie z. B.
Facebook, BBM und Textnachrichten. Sie können die folgenden IT-Richtlinienregeln verwenden, um zu kontrollieren, welche
Art von Messaging Benutzer auf ihren Geräten ausführen können:
IT-Richtlinienregel
Gerätetyp
BBM zulassen
BBM Video/BBM Voice zulassen
Hinweis für externe E-Mail-Adressen anzeigen
Warnmeldungen für externe E-Mail-Adressen anzeigen
Liste der zulässigen externen E-Mail-Domänen
Liste der verbotenen externen E-Mail-Domänen
Weiterleiten oder Hinzufügen von Empfängern bei privaten
Nachrichten zulassen
103
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
BlackBerry Balance
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
BlackBerry Balance
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
BlackBerry Balance
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
BlackBerry Balance
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
BlackBerry Balance
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
IT-Richtlinienregel
Gerätetyp
E-Mail-Nachrichten mit IRM-Schutz zulassen
joyn zulassen
Nicht-E-Mail-Konten zulassen
Andere E-Mail-Messagingdienste zulassen
PIN-Nachrichten zulassen
SMS/MMS zulassen
SMS-Nachrichten zulassen
MMS-Nachrichten zulassen
SMS-/MMS-Signatur
•
BlackBerry Balance
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Regeln des Zugriffs auf Inhalte
BlackBerry Balance- und regulierte BlackBerry Balance-Geräte regeln wie folgt, was Benutzer mit geschäftlichen und
persönlichen Inhalten tun können:
104
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
•
Die Geräte lassen nicht zu, dass Benutzer Dateien aus dem persönlichen Bereich in den geschäftlichen Bereich
verschieben oder aus dem geschäftlichen Bereich in den persönlichen Bereich verschieben.
•
Die Geräte lassen nicht zu, dass Benutzer Text aus dem geschäftlichen Bereich ausschneiden, kopieren oder in Apps
des persönlichen Bereichs einfügen. Die Geräte lassen zu, dass Benutzer Text aus Apps des persönlichen Bereichs in
Apps des geschäftlichen Bereichs einfügen. Die Geräte speichern Daten, die Benutzer aus Apps des geschäftlichen
Bereichs kopieren, nur im geschäftlichen Bereich, und Daten, die Benutzer aus Apps des persönlichen Bereichs
kopieren, nur im persönlichen Bereich.
•
Apps, die sowohl in geschäftlichen als auch in persönlichen Bereichen einheitlich angezeigt werden, können
persönliche Dateien an die geschäftliche Anlage der App anhängen. Zum Beispiel können Benutzer persönliche
Dateien an geschäftliche E-Mail-Nachrichten anhängen. Die Geräte verwenden schreibgeschützte Versionen dieser
Dateien und übertragen oder kopieren diese Dateien nicht aus dem persönlichen Dateisystem in das geschäftliche
Dateisystem.
Standardmäßig können geschäftliche Apps auf freigegebene Dateien im persönlichen Bereich zugreifen, insofern der Benutzer
dies erlaubt. Wenn ein Benutzer eine geschäftliche App installiert, zeigt das Gerät eine Meldung mit den Optionen an, die
Anfrage der App für den Zugriff auf freigegebene Dateien oder Inhalte entweder zuzulassen oder abzulehnen. Wenn Sie
verhindern möchten, dass geschäftliche Apps auf freigegebene persönliche Dateien zugreifen, stellen Sie sicher, dass die ITRichtlinienregel "Zulassen, dass geschäftliche Apps auf freigegebene Dateien oder Inhalte in den persönlichen Bereichen
zugreifen" nicht ausgewählt ist. Dadurch wird verhindert, dass geschäftliche Apps auf freigegebene Dateien oder Inhalte im
persönlichen Bereich zugreifen, unabhängig von den Benutzereinstellungen des Geräts. Dadurch wird ebenfalls verhindert,
dass Benutzer persönliche Dateien an Nachrichten anhängen, die sie von einem geschäftlichen Konto senden, und dass
persönliche Dateien oder Inhalte mit geschäftlichen Apps unter Verwendung der Option "Teilen" geteilt werden.
Standardmäßig können alle Apps im persönlichen Bereich auf die erforderlichen Daten für geschäftliche Kontakte zugreifen.
Benutzer können außerdem die Optionen "Kopieren nach" und "Speichern in" für geschäftliche Kontakte in der Kontakte-App
verwenden.
Sie können die Einstellungen der IT-Richtlinienregeln ändern, um Folgendes zu bewirken:
•
Verhindern, dass alle persönlichen Anwendungen jederzeit auf Daten für geschäftliche Kontakte zugreifen können,
indem Sie die IT-Richtlinienregel "Persönliche Apps können auf geschäftliche Kontakte zugreifen" auf "Keine"
einstellen
•
Um nur den folgenden von BlackBerry entwickelten persönlichen Apps zu erlauben, auf Daten für Geschäftskontakte
zuzugreifen. Setzen Sie dazu die IT-Richtlinienregel „Persönlichen Apps Zugriff auf Geschäftskontakte gewähren“ auf
„Nur BlackBerry-Apps“: Telefon, BBM (einschließlich BBM Video und BBM Voice), Textnachrichten, Smart Tags und
visuelle Mailbox.
Steuern des Zugriffs auf Geräte
Standardmäßig können Benutzer andere Geräte und Apps mit Zugriff auf bestimmte Bereiche und Informationen auf ihren
BlackBerry 10-Geräten versorgen.
Mithilfe der folgenden IT-Richtlinienregel können Sie steuern, wozu Benutzer anderen Geräten und Apps Zugriff gewähren
können:
105
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
IT-Richtlinienregeln
Gerätetyp
Zugriff eines Computers auf ein Gerät zulassen
Suche nach weiteren Kontaktdetails zulassen
Dienste für die Standortbestimmung zulassen
Freigabe von Medien zulassen
USB-OTG-Massenspeicher zulassen
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
BlackBerry Balance
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten ist der Zugriff auf sowohl den persönlichen als auch den
geschäftlichen Bereich nicht gestattet, wenn Sie den Zugriff auf andere Geräte und Apps nicht zulassen.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Steuern von Gerätefunktionen
Sie können die folgenden IT-Richtlinienregeln verwenden, um zu steuern, was Benutzer auf ihren BlackBerry 10-Geräten tun
können:
IT-Richtlinienregel
Gerätetyp
BlackBerry Protect zulassen
Kamera zulassen
106
•
BlackBerry Balance
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
IT-Richtlinienregel
Gerätetyp
FM Radio zulassen
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
BlackBerry Balance
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
Reguliertes BlackBerry Balance
•
Nur geschäftlicher Bereich
•
BlackBerry Balance
•
Reguliertes BlackBerry Balance
HDMI zulassen
Vorschau des geschäftlichen Inhalts mit Bildschirmsperre
zulassen
Roaming zulassen
Sprachaufzeichnung zulassen
Sprachsteuerung zulassen
Eigentümerinformationen bei gesperrtem Bildschirm anzeigen
Einheitliche Ansicht für geschäftliche und persönliche Konten
und Nachrichten zulassen
Wenn Sie eine dieser Funktionen auf BlackBerry Balance- oder regulierten BlackBerry Balance-Geräten nicht zulassen, wird
diese sowohl für den persönlichen als auch den geschäftlichen Bereich nicht zugelassen.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Steuern des Sicherheits-Timeout
Sie können BES12 verwenden, um zu verlangen, dass ein BlackBerry 10-Gerät den geschäftlichen Bereich oder das gesamte
Gerät nach einem bestimmten Zeitraum der Inaktivität sperrt.
107
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Gerätetyp
Beschreibung
•
BlackBerry Balance
•
•
Reguliertes BlackBerry Balance
Auf Geräten, die über verschiedene Kennwörter für den geschäftlichen
Bereich und Gerätekennwörter verfügen, wird der Sicherheits-Timeout des
geschäftlichen Bereichs von der IT-Richtlinienregel "Sicherheits-Timeout"
und der Option "Geschäftlichen Bereich sperren" (in den "BlackBerry
Balance"-Einstellungen auf dem Gerät) gesteuert. Das Sicherheits-Timeout
des gesamten Geräts wird von der Option "Gerät sperren" (in den
"Gerätekennwort"-Einstellungen auf dem Gerät) gesteuert.
•
Auf Geräten, die über ein Kennwort für den geschäftlichen Bereich verfügen,
das für das gesamte Gerät zutrifft, wird der Sicherheits-Timeout des
gesamten Geräts von der IT-Richtlinienregel "Sicherheits-Timeout" und der
Option "Geschäftlichen Bereich sperren" (in den "BlackBerry Balance"Einstellungen auf dem Gerät) gesteuert. Die Option "Gerät sperren" (in den
"Gerätekennwort"-Einstellungen auf dem Gerät) ist nicht verfügbar.
Nur geschäftlicher Bereich
Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, gelten aus
demselben Grund die IT-Richtlinienregel "Sicherheits-Timeout" sowie die Option
"Gerät sperren" (in den "Gerätekennwort"-Einstellungen auf dem Gerät) für das
gesamte Gerät. Wenn keine Benutzeraktivität auf das Gerät innerhalb der
festgelegten Zeit festgestellt wird, wird das gesamte Gerät gesperrt.
Geschäftliche Apps (einschließlich Apps, die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen)
folgen dem Sicherheits-Timeout für den geschäftlichen Bereich. Wenn es in der festgelegten Zeit keine Benutzeraktivität im
geschäftlichen Bereich gibt, sperrt sich der geschäftliche Bereich automatisch, auch wenn der Benutzer zu der Zeit persönliche
Apps verwendet (keine Apps, die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen).
Bestimmte Apps wie beispielsweise Apps, die Navigationsinformationen, Diashows und Videos anzeigen, können das
Sicherheits-Timeout verlängern. Standardmäßig können diese Apps den Sicherheits-Timer zurücksetzen, um zu verhindern,
dass sich das Gerät nach dem Zeitraum ohne Benutzeraktivität, den Sie in der IT-Richtlinienregel "Sicherheits-Timeout" oder in
den Einstellungen "Kennwortsperre" auf dem Gerät festgelegt haben, sperrt. Wenn Sie diese Funktion von Apps verhindern
möchten, stellen Sie sicher, dass die IT-Richtlinienregel "Zurücksetzen des Sicherheits-Timer durch Apps zulassen" nicht
ausgewählt ist. Wenn die IT-Richtlinienregel "Zurücksetzen des Sicherheits-Timer durch Apps zulassen" ausgewählt ist, können
Benutzer die Apps in den Einstellungen "Gerätekennwort" auf dem Gerät dennoch daran hindern, die Zeit bis zur
Kennwortsperre zu verlängern.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
108
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Verwalten des Teilens geschäftlicher und persönlicher Dateien
mithilfe der Option "Teilen"
BlackBerry Balance- und regulierte BlackBerry Balance-Geräte ermöglichen den Benutzern, persönliche Dateien mithilfe der
Option "Teilen" mit geschäftlichen Apps zu teilen. Wenn Benutzer persönliche Dateien mit geschäftlichen Apps teilen möchten,
muss der geschäftliche Bereich entsperrt werden.
Benutzer können geschäftliche Dateien nur mithilfe der Option "Teilen" mit geschäftlichen Apps teilen.
Sie können die IT-Richtlinienregeln "Übertragen von geschäftlichen Daten über NFC zulassen" und "Übertragen von
geschäftlichen Dateien überBluetooth OPP oder einer Wi-Fi Direct Verbindung zulassen" anwenden, um festzulegen, ob
Benutzer geschäftliche Inhalte unter der Verwendung vonBluetooth, NFC oderWi-Fi Direct teilen können. Sie können auch
verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit Bluetooth oder NFC aufbauen.
Sicherstellen der Geräteintegrität
Das BlackBerry 10 OS überprüft die Integrität des Kernels und des Dateisystems. Sie können die Integritätsalarm-Einstellungen
in BES12 festlegen, um die Aktionen zu steuern, die BES12 ausführen würde, wenn eine der Integritätsprüfungen fehlschlägt.
Wenn das BlackBerry 10 OS ein Problem mit der Integrität des Geräts erkennt, warnt es BES12. Sie können festlegen, welche
Aktion erfolgen soll, wenn ein Integritätsalarm auftritt, z. B. das Gerät in Quarantäne zu stellen, sodass es nicht auf
geschäftliche Ressourcen zugreifen kann, den Benutzer per E-Mail oder Gerätebenachrichtigung zu benachrichtigen,
Geschäftsdaten und alle Daten des Geräts zu löschen.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Steuern der Software
Benutzer können ihre Gerätesoftware standardmäßig durch das Herunterladen von BlackBerry 10 OS-Updates über das
drahtlose Netzwerk aktualisieren. Benutzer können alle Softwareupdates herunterladen, die durch BlackBerry oder einen
Dienstanbieter bereitgestellt werden.
Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen geschäftlichen Bereich verfügen, können Sie
Benutzer darauf beschränken, nur sicherheitsbezogene Softwareupdates über das drahtlose Netzwerk herunterzuladen, die
BlackBerry oder der Mobilfunkanbieter durch das Umstellen der IT-Richtlinienregel "Drahtlose Softwareupdates zulassen" auf
"Nur Sicherheitsupdates zulassen" bereitstellt. Wenn Sie verhindern wollen, dass Benutzer Softwareupdates über das drahtlose
Netzwerk herunterladen, setzen Sie die Regel "Drahtlose Softwareupdates zulassen" auf "Nicht zulassen".
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
109
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Steuern der Sprachsteuerung
Standardmäßig können Benutzer die Sprachsteuerungsbefehle mit dem BlackBerry Assistant auf Geräten mit BlackBerry 10
OS Version 10.3 und höher oder die App Voice Control auf Geräten mit einer älteren Version von BlackBerry 10 OS als 10.3
anwenden. Um zu verhindern, dass Benutzer für E-Mail-Nachrichten und Kalenderinformationen auf Geräten
Sprachsteuerungsbefehle verwenden, setzen Sie die IT-Richtlinienregel „Sprachsteuerung zulassen“ auf „Für E-Mail und
Kalender nicht zulassen“. Um festzulegen, dass Benutzer Sprachsteuerungsbefehle nur für das sprachgesteuerte Wählen und
zum Überprüfen des Gerätestatus verwenden können, setzen Sie diese Regel auf „Nur Telefon und Gerätestatus zulassen“.
Weitere Informationen finden Sie im Artikel KB33430 unter www.blackberry.com/go/kbhelp.
Steuern der Protokollierung
Standardmäßig synchronisieren regulierte BlackBerry Balance-Geräte und Geräte nur mit geschäftlichem Bereich
Protokolldateien für BBM, Telefon, SMS, MMS, PIN und BBM Video-Chatfunktionen nicht mit dem BES12.
Wenn Sie einen oder mehrere dieser Kommunikationspfade protokollieren müssen, können Sie dies mithilfe der folgenden ITRichtlinienregeln tun:
•
BBM-Protokolle synchronisieren
•
Telefonprotokolle synchronisieren
•
PIN-zu-PIN-Protokolle synchronisieren
•
SMS/MMS-Protokolle synchronisieren
•
Videochat-Protokolle synchronisieren
Wenn Sie diese Kommunikationspfade für regulierte BlackBerry Balance-Geräte protokollieren, enthalten die Protokolldateien
sowohl Geschäfts- als auch private Daten.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Einrichten einer Startseitennachricht
Wenn ein BlackBerry 10-Gerät verloren geht, können Sie mithilfe des IT-Administrationsbefehls "Gerätekennwort festlegen,
Gerät sperren und Nachricht einrichten" eine Nachricht festlegen, die auf der Startseite des Geräts erscheint. Zum Beispiel
können Sie eine Startseitennachricht verwenden, um Kontaktinformationen anzeigen zu lassen, die verwendet werden können,
um das Gerät zurückzugeben.
Weitere Informationen zum Einrichten einer Startseitennachricht auf einem Gerät finden Sie in der Dokumentation für
Administratoren.
110
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Steuern von Netzwerkverbindungen von Geräten
Regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können standardmäßig
verschiedene Netzwerkverbindungen herstellen. Sie können die folgenden IT-Richtlinienregeln verwenden, um Verbindungen
zu steuern:
•
Bluetooth zulassen
•
Hotspot-Browser zulassen
•
Miracast zulassen
•
NFC zulassen
•
Vom Benutzer erstelle VPN-Profile zulassen
•
Wi-Fi zulassen
Wenn Sie eine dieser Verbindungen auf reguliertenBlackBerry Balance-Geräten nicht zulassen, wird diese sowohl für den
persönlichen als auch für den geschäftlichen Bereich nicht zugelassen.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Übertragen von geschäftlichen Dateien von Geräten mit
Bluetooth
Mithilfe der drahtlosen Bluetooth-Technologie können Benutzer drahtlose Verbindungen zwischen einem BlackBerry Balanceoder einem regulierten BlackBerry Balance-Gerät und anderenBluetooth-fähigen Geräten herstellen. Benutzer müssen eine
Kopplung mit einem anderen Bluetooth-Gerät anfordern und einen Kennschlüssel verwenden, um die Kopplung einzurichten.
Das Gerät zeigt den Benutzern jedes Mal eine Aufforderung an, wenn ein Bluetooth-fähiges Gerät versucht, eine Verbindung mit
den Geräten herzustellen.
Standardmäßig können Benutzer Dateien, Kontakte und Nachrichten aus dem geschäftlichen Bereich auf Geräten an
Bluetooth-fähige Geräte, die sie erfolgreich gekoppelt haben, übertragen.
Sie können die folgenden IT-Richtlinienregeln anwenden, um zu verhindern, dass Benutzer geschäftliche Dateien an andere
Bluetooth-fähige Geräte übertragen:
IT-Richtlinienregel
Beschreibung
Das Übertragen geschäftlicher Dateien mithilfe von
Bluetooth-OPP oder einerWi-Fi Direct-Verbindung
zulassen
Geräte verwenden das Bluetooth-OPP, um andere Objekte an andere
Bluetooth-fähige Geräte zu senden. Sie können die IT-Richtlinienregel
"Übertragen von geschäftlichen Dateien über Bluetooth-OPP oder
einer Wi-Fi Direct-Verbindung zulassen" anwenden, um zu
verhindern, dass Benutzer das Bluetooth-OPP anwenden, um
111
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
IT-Richtlinienregel
Beschreibung
geschäftliche Dateien und Objekte wie Kontakte an andere Bluetoothfähige Geräte zu senden. Geräte verwenden außerdem das BluetoothOPP, um geschäftliche Dateien in einem Dateiformat (zum Beispiel
Bilder oder Dokumente) mithilfe von NFC zu teilen. Wenn die ITRichtlinienregel "Übertragen von geschäftlichen Dateien mithilfe
einer Bluetooth-OPP oder einer Wi-Fi Direct-Verbindung zulassen"
nicht aktiviert ist, können Benutzer keine geschäftlichen Dateien in
einem Dateiformat teilen. Sie können die IT-Richtlinienregel
"Übertragen von geschäftlichen Dateien über NFC zulassen" auch
anwenden, um zu verhindern, dass Benutzer geschäftliche Dateien
an andere NFC-fähige Geräte über NFC senden.
Übertragen von Geschäftskontakten mit BluetoothPBAP oder -HFP zulassen
Geräte verwenden das Bluetooth-PBAP und das Bluetooth-HFP, um
Kontakte an ein anderes Bluetooth-fähige Gerät zu senden. Sie
können die IT-Richtlinienregel "Übertragen von geschäftlichen
Kontakten über Bluetooth PBAP HFP zulassen" anwenden, um zu
verhindern, dass Benutzer Bluetooth-PBAP und Bluetooth-HFP
anwenden, um geschäftliche Kontakte an ein anderes Bluetoothfähiges Gerät zu senden. Wenn Sie diese Regel nicht auswählen,
können Geräte das Bluetooth-MAP auch nicht verwenden, um
geschäftliche Nachrichten an ein anderes Bluetooth-fähiges Gerät zu
senden.
Übertragen von geschäftlichen Nachrichten mit
Bluetooth-MAP zulassen
Geräte verwenden Bluetooth-MAP, um Nachrichten an andere
Bluetooth-fähige Geräte zu senden. Sie können die IT-Richtlinienregel
"Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP
zulassen" anwenden, um zu verhindern, dass Benutzer BluetoothMAP verwenden, um Nachrichten vom geschäftlichen Bereich (zum
Beispiel E-Mail-Nachrichten und Sofortnachrichten) an ein anderes
Bluetooth-fähiges Gerät senden. Wenn Sie nicht die ITRichtlinienregel "Übertragen von geschäftlichen Kontakten mit
Bluetooth-PBAP oder HFP zulassen" anwenden, können Benutzer
keine geschäftlichen Nachrichten an ein anderes Bluetooth-fähiges
Gerät mithilfe von Bluetooth-MAP senden, unabhängig davon, ob die
IT-Richtlinienregel "Übertragen von geschäftlichen Nachrichten mit
Bluetooth-MAP zulassen" ausgewählt ist oder nicht.
Standardmäßig kann der Benutzer bei Auswahl der IT-Richtlinienregel
"Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP
zulassen" geschäftliche Nachrichten an ein Bluetooth-fähiges Gerät
mithilfe von Bluetooth-MAP übertragen, nachdem er einmal das
Kennwort für den Eintritt in den geschäftlichen Bereich eingegeben
112
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
IT-Richtlinienregel
Beschreibung
hat. Wenn ein Benutzer den geschäftlichen Bereich jedes Mal wieder
neu entsperren soll, wenn das Gerät eine Verbindung zum Bluetoothfähigen Gerät aufbaut und bevor es geschäftliche Nachrichten
mithilfe von Bluetooth-MAP übertragen kann, so wählen Sie die ITRichtlinienregel "Übertragen von geschäftlichen Nachrichten mit
Bluetooth-MAP zulassen" nicht aus.
Sie können auch verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit Bluetooth
aufbauen.
Steuern von Bluetooth auf Geräten
Regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können standardmäßig
Bluetooth-Verbindungen herstellen. Sie verfügen über eine Reihe von Optionen zum Steuern von Bluetooth-Verbindungen und
zum Steuern einiger der Kriterien, die ein Gerät verwenden muss, wenn es sich mit einem anderen Gerät verbindet.
Option
IT-Richtlinienregel
Beschreibung
Verhindern, dass ein Gerät BluetoothVerbindungen herstellt
Bluetooth zulassen
Wenn Sie Bluetooth-Verbindungen auf
einem Gerät zulassen, kann der
Benutzer Bluetooth dennoch mithilfe der
Geräteeinstellungen ausschalten.
Verhindern, dass ein Gerät den
erkennbaren Bluetooth-Modus
verwendet
Erkennbaren Bluetooth-Modus zulassen Ein erkennbares Gerät kann von anderen
Bluetooth-fähigen Geräten im Bereich
des Geräts aufgefunden werden. Wenn
Sie den erkennbaren Modus auf einem
Gerät zulassen, kann der Benutzer
diesen dennoch mithilfe der
Geräteeinstellungen ausschalten.
Verhindern, dass ein Gerät mit Bluetooth Bluetooth-Kopplung zulassen
und aktiviertem erkennbaren Modus
neue Verbindungen mit anderen Geräten
herstellt
Wenn ein Gerät eine Verbindung zu
anderen Geräten hergestellt hat, können
Sie diese Regel verwenden, um zu
verhindern, dass es eine Verbindung zu
weiteren Geräten herstellt.
Verhindern, dass ein Gerät kurze
Kennschlüssel annimmt
Standardmäßig kann ein Gerät eine
Verbindung zu einem anderen Gerät
herstellen, wenn der Kennschlüssel, den
das andere Gerät anfordert oder
bereitstellt, weniger als 8 Ziffern beträgt.
Eine Mindestlänge für den BluetoothKennschlüssel durchsetzen
113
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Option
IT-Richtlinienregel
Beschreibung
Die Mindestlänge des
Mindestlänge des BluetoothVerschlüsselungsschlüssels steuern, den Verschlüsselungsschlüssels
Geräte zur Verschlüsselung von
Bluetooth-Verbindungen verwenden
Standardmäßig muss ein Gerät eine
Mindestlänge des
Verschlüsselungsschlüssels von 1 Byte
verwenden.
Voraussetzen, dass Geräte den Modus
für den numerischen Vergleich nutzen,
um eine Verbindung zu einem anderen
Gerät herzustellen
Wenn Geräte Bluetooth-SSP verwenden,
um eine Verbindung zu einem anderen
Gerät herzustellen, auf dem BluetoothVersion 2.1 und höher ausgeführt wird,
können Sie voraussetzen, dass Geräte
den numerischen Vergleich für die
Verbindung verwenden.
Numerischen Bluetooth-SSP-Vergleich
erzwingen
Standardmäßig müssen Geräte den
Modus für den numerischen Vergleich
nicht verwenden.
Steuern, welche Bluetooth-Profile
verfügbar sind
•
•
•
•
Geräte nutzen Bluetooth-Profile, um mit
anderen Bluetooth-fähigen Geräten zu
Bluetooth-AVRCP zulassen
kommunizieren, und führen Aufgaben
Bluetooth-Kontaktübertragung aus, wie z. B. Audio-Dateien auf andere
über PBAP zulassen
Geräte streamen oder anderen Geräten
Bluetooth-Dateiübertragung
erlauben, auf bestimmte Datentypen
über OBEX zulassen
zuzugreifen.
Bluetooth-A2DP zulassen
•
Bluetooth-HFP zulassen
•
Bluetooth-MAP zulassen
•
Bluetooth-PAN-Profil zulassen
•
Bluetooth-SPP zulassen
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Verwalten von Datentransfer auf ein Gerät/von einem Gerät
mithilfe von NFS
Dateien, die BlackBerry Balance- und regulierte BlackBerry Balance-Geräte von anderen Geräten mithilfe von NFS empfangen,
werden im Allgemeinen als persönliche Daten klassifiziert. Wenn jedoch eine geschäftliche App ein für die geschäftliche APP
spezifisches NFC-Tagformat unterstützt, werden die von einem Gerät empfangenen Dateien mit diesem NFC-Tag als
geschäftliche Daten klassifiziert.
114
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Standardmäßig können Geräte NFC verwenden, um geschäftliche Dateien zu anderen NFC-fähigen Geräten zu übertragen. Sie
können zulassen oder verhindern, dass Benutzer geschäftliche Dateien in einem Dateiformat (zum Beispiel Bilder oder
Dokumente) mithilfe von NFC teilen, indem Sie die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien mit Bluetooth
OPP zulassen" anwenden. Unabhängig davon, wie diese IT-Richtlinienregel festgelegt wurde, können Geräte NFC verwenden,
um bestimmte MIME- oder URI-Dateitypen zu senden, wie zum Beispiel Webadressen und Telefonnummern an andere NFCfähige Geräte. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien über NFC zulassen" auch anwenden,
um zu verhindern, dass Benutzer geschäftliche Dateien an andere NFC-fähige Geräte über NFC senden.
Sie können auch verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit NFC aufbauen.
Kontrollieren von Roaming
Standardmäßig können Benutzer über das drahtlose Netzwerk beim Roaming von Geräten Datendienste nutzen.
Sie können die IT-Richtlinienregel "Roaming zulassen" verwenden, um Benutzer beim Roaming von Geräten an der Nutzung
von Datendiensten über das drahtlose Netzwerk zu hindern oder dieses zuzulassen. Wenn diese Regel nicht ausgewählt ist und
das Gerät an ein Wi-Fi-Netzwerk angeschlossen ist, kann das Gerät beim Roaming weiterhin Daten über das Wi-Fi-Netzwerk
senden und empfangen.
BlackBerry Link-Schutz
Benutzer von BlackBerry 10-Geräten können BlackBerry Link auf einem Computer für Folgendes verwenden:
•
Synchronisieren von Musik, Bildern, Videos, Kontakten, Kalenderterminen und Dokumenten zwischen Geräten und
Computern über USB oder Wi-Fi-Verbindungen
•
Importieren von Kontakten und Kalenderterminen von Microsoft Outlook auf ein Gerät
•
Sichern und Wiederherstellen von persönlichen Apps und Daten
•
Aktualisieren oder Neuinstallieren von Gerätesoftware
•
Übertragen unterstützter Einstellungen und Daten auf ein neues Gerät
•
Verwalten mehrerer Geräte, die die gleiche oder eine unterschiedliche BlackBerry ID verwenden
•
Remote-Dateizugriff erlauben, damit ihre Geräte auf Dateien zugreifen können, die in vom Benutzer ausgewählten
Ordnern auf ihren Computern gespeichert sind
BlackBerry Link und Geräte bieten Daten- und Verbindungsschutz während Sicherungs-, Wiederherstellungs-, Remote-Medienund Remote-Dateizugriffsvorgängen.
Authentifizierung zwischen Geräten und BlackBerry Link
Wenn Benutzer von BlackBerry 10-Geräten BlackBerry Link zum ersten Mal öffnen, können sie sich mithilfe ihrer BlackBerry
ID-Anmeldeinformationen anmelden, um die Verbindung zwischen ihren Geräten und BlackBerry Link zu authentifizieren.
115
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
BlackBerry Link nutzt die BlackBerry Infrastructure, um mithilfe eines TLS-Tunnels eine zuverlässige Kopplung mit einem Gerät
herzustellen. BlackBerry Link und das Gerät teilen Schlüssel, die auf der BlackBerry ID des Benutzers basieren. Die Zertifikate
werden mittels secp521r1 verschlüsselt. Wenn der Zertifikatsaustausch abgeschlossen ist, stellen BlackBerry Link und das
Gerät eine TLS-Verbindung mit gegenseitiger Authentifizierung her.
Bei der Erstauthentifizierung muss sich BlackBerry Link mittels login.cgi am Gerät anmelden, wenn das Gerät über ein
Kennwort verfügt. Anschließend wird ein Token erteilt, der Token-basierte Authentifizierung bei nachfolgenden Anmeldungen
ermöglicht.
Datenschutz zwischen BlackBerry Link und Geräten
Der Kommunikationskanal zwischen BlackBerry Link und einem BlackBerry 10-Gerät verwendet DTLS 1.0 und TLS 1.1 und
wird mittels AES-256 verschlüsselt. ECDH und ECDSA werden verwendet, um den gesicherten Kanal einzurichten.
Der Kommunikationskanal verwendet DTLS 1.0 für UDP-Verbindungen und TLS 1.1 für TCP-Verbindungen. BlackBerry Link und
Geräte unterstützen die TLS_ECDH_ECDSA_AES_256_SHA Cipher-Suite beim Aufbau einer TLS-Verbindung.
Sichern und Wiederherstellen
Benutzer von BlackBerry 10-Geräten können Apps und Daten auf Geräten mithilfe von BlackBerry Link sichern und
wiederherstellen. Benutzer können nur persönliche Apps und Daten auf Geräten sichern und wiederherstellen. Wenn Benutzer
versuchen, geschäftliche Apps und Daten zu sichern und zu bearbeiten, zeigt BlackBerry Link eine Fehlermeldung an.
Sicherungsschutz
Wenn der Benutzer eines BlackBerry 10-Geräts persönliche Apps und Daten sichert, verschlüsselt das Gerät die Apps und
Daten und authentifiziert anschließend die Sicherungsdatei und die Kopfzeileninformationen, bevor es die Datei an BlackBerry
Link sendet.Die Datei wird dann von BlackBerry Link auf dem Computer des Benutzers gespeichert.
Das Gerät verwendet AES im CTR-Modus mit einem 256-Bit-Schlüssel, um Sicherungsdateien zu verschlüsseln und zu
entschlüsseln, und HMAC-SHA-256, um die Integrität und die Authentizität der Sicherungsdateien zu überprüfen.
Um Sicherungsdateien für den persönlichen Bereich zu verschlüsseln, verwendet das Gerät einen geheimen Schlüssel, der mit
dem BlackBerry ID-Konto des Benutzers verknüpft ist, um den Verschlüsselungsschlüssel und den HMAC-Schlüssel zu
generieren. Der geheime Schlüssel ist für den Benutzer nicht zugänglich und wird nie als Teil der Geräte-Sicherungsdatei
gespeichert. Der Verschlüsselungsschlüssel wird auf dem Gerät in verschlüsseltem Format gespeichert.
Das Gerät verwendet den geheimen Schlüssel und einen zufälligen Saltwert, um einen symmetrischen 256-BitVerschlüsselungsschlüssel und einen 256-Bit-Authentifizierungsschlüssel zu erstellen. Das Gerät verwendet den
Verschlüsselungsschlüssel zur Verschlüsselung und Entschlüsselung der Sicherungsdatei und den Authentifizierungsschlüssel
zur Überprüfung der Integrität und Authentizität der Sicherungsdatei.
116
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Wiederherstellungsschutz
Wenn der Benutzer eines BlackBerry 10-Geräts gesicherte Apps und Daten auf einem Gerät wiederherstellt, überprüft das
Gerät die Authentizität und die Integrität der Sicherungsdatei, bevor es die Datei entschlüsselt und wiederherstellt.
Um eine verschlüsselte Sicherungsdatei auf den persönlichen Bereich auf einem neuen Gerät wiederherzustellen, muss das
neue Gerät dieselbe BlackBerry ID wie das alte Gerät verwenden.
Remote-Medien- und Dateizugriffsarchitektur
Remote-Medien- und Dateizugriff über Wi-Fi-Verbindungen auf BlackBerry 10-Geräten wird durch eine WebDAV-Schnittstelle
ausgestellt, die mithilfe der folgenden Erweiterungsmodule auf dem Nginx-HTTP- und Proxy-Server implementiert wird:
•
Media Sync-Modul
•
Nginx-Modul
•
WebDAV-Modul
Remote-Zugriff auf Dateien und Medien ist auf den persönlichen Bereich bei BlackBerry Balance- und regulierten BlackBerry
Balance-Geräten beschränkt.
Smartcards
Sie können Smartcards mit BlackBerry 10-Geräten für Folgendes verwenden:
•
Zulassen, dass Benutzer sich mit ihren Smartcards authentifizieren und sich anmelden (dies wird als Zwei-FaktorAuthentifizierung bezeichnet)
•
Die Zertifikate importieren, die für S/MIME-Verschlüsselung erforderlich sind
•
App-Entwicklern erlauben, ihre eigenen gesicherten Lösungen mithilfe der BlackBerry 10-Plattform zu entwickeln
•
Die Zertifikate importieren, die für die Authentifizierung bei gesicherten Websites erforderlich sind
BlackBerry 10 unterstützt den integrierten microSD-Smart Card Reader in Geräten sowie externe Smart Card Reader und
umfasst systemeigene Smartcard-Treiber für standardisierte PIV- und CAC-Smartcards.
Um eine micrsoSD-Smartcard verwenden zu können, muss ein Benutzer die Smartcard in das Gerät einstecken und die
Smartcard-Einstellungen auf dem Gerät konfigurieren. Smartcard-Einstellungen umfassen Optionen wie z. B. LEDBenachrichtigungen beim Zugriff auf eine Smartcard in einem Gerät. Weitere Informationen zur Konfiguration eines Gerätes für
die Unterstützung einer microSD-Smartcard finden Sie im Benutzerhandbuch für das Gerät und im Benutzerhandbuch für die
microSD-Smartcard. Informationen zur Konfiguration eines Geräts für die Unterstützung eines externen Smart Card Readers
finden Sie im Benutzerhandbuch für den externen Smart Card Reader.
Um Apps auf dem Gerät auf die microSD-Smartcard zugreifen zu lassen, kann ein Benutzer die Smartcard-API im BlackBerry
10 Native SDK verwenden.
117
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
Aufheben der Bindung einer Smartcard an ein Gerät
Die Bindung zwischen der aktuellen Smartcard eines Benutzers und einem BlackBerry 10-Gerät wird aufgehoben, wenn:
•
Sie oder ein Benutzer das Gerät löschen. Während dieses Vorgangs löscht das Gerät die SmartcardBindungsinformationen aus dem Gerätespeicher. Wenn der Vorgang abgeschlossen ist, kann sich der Benutzer
mithilfe einer neuen Smartcard bei dem Gerät authentifizieren. Sie können durch das Senden des ITAdministrationsbefehls "Alle Daten löschen" oder des IT-Administrationsbefehls "Nur Geschäftsdaten löschen" Daten
von dem Gerät löschen.
•
Sie oder ein Benutzer die Zwei-Faktor-Authentifizierung deaktivieren. Während dieses Vorgangs deaktiviert das Gerät
die Zwei-Faktor-Authentifizierung mit der installierten Smartcard und löscht die Smartcard-Bindungsinformationen
von dem Gerät.
Authentifizieren eines Benutzers mithilfe einer Smartcard
Wenn Sie oder ein Benutzer die Zwei-Faktor-Authentifizierung auf einem BlackBerry 10-Gerät aktivieren, muss sich der
Benutzer mithilfe einer Smartcard bei dem Gerät authentifizieren. Benutzer müssen ihre Identität durch das Darlegen von zwei
Faktoren nachweisen:
•
Was sie haben (die Smartcard)
•
Was sie wissen (das Smartcard-Kennwort)
Wenn Sie oder ein Benutzer die Zwei-Faktor-Authentifizierung auf dem Gerät aktivieren, treten die folgenden Ereignisse auf:
1.
Der Benutzer wird von dem Gerät zu Folgendem aufgefordert:
•
Das Gerätekennwort einzugeben, wenn Sie oder der Benutzer das Gerät dazu konfiguriert haben, Zwei-FaktorAuthentifizierung für das gesamte Gerät erforderlich zu machen.
•
Das Kennwort für den geschäftlichen Bereich einzugeben, wenn Sie oder der Benutzer das Gerät dazu
konfiguriert haben, Zwei-Faktor-Authentifizierung für den geschäftlichen Bereich erforderlich zu machen.
Wenn der Benutzer kein Gerätekennwort oder kein Kennwort für den geschäftlichen Bereich konfiguriert hat, kann ZweiFaktor-Authentifizierung nicht konfiguriert werden. Die Geräteaktivierungsart und die IT-Richtlinienregeleinstellungen
bestimmen, welche Smartcard-Einstellungen auf einem Gerät für Zwei-Faktor-Authentifizierung verfügbar sind.
2.
Das Gerät fordert den Benutzer auf, das Smartcard-Kennwort einzugeben, um Zwei-Faktor-Authentifizierung mit der
installierten Smartcard zu aktivieren.
Verwalten, wie Geräte Smartcards verwenden
Sie können die folgenden IT-Richtlinienregeln verwenden, um zu steuern, wie Geräte Smartcards verwenden. Die verfügbaren
IT-Richtlinienregeln hängen von der Aktivierungsart ab:
118
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
IT-Richtlinienregel
Zwei-Faktor-Authentifizierung
Anforderungen
•
•
•
Zwei-Faktor-Authentifizierung nur für
geschäftlichen Bereich
•
•
•
Zwei-Faktor-Authentifizierung für
geschäftliche Zwecke zuweisen
Smartcard-KennwortZwischenspeicherung
Sie können diese Regel verwenden, um
zu bestimmen, ob Zwei-FaktorAuthentifizierung erforderlich,
Gerät, das nur über einen
zugelassen oder nicht zugelassen sein
geschäftlichen Bereich verfügt
soll.
BlackBerry 10 OS (Version
10.3 und höher)
Reguliertes BlackBerry
Balance-Gerät
Sie können diese Regel verwenden, um
zu bestimmen, ob Benutzer auch das
Kennwort für den geschäftlichen Bereich
Gerät, das nur über einen
eingeben müssen, um den
geschäftlichen Bereich verfügt
geschäftlichen Bereich zu entsperren,
BlackBerry 10 OS (Version
oder ob sie nur die Smartcard und das
10.3 und höher)
Smartcard-Kennwort benötigen, um den
geschäftlichen Bereich zu entsperren.
Reguliertes BlackBerry
Balance-Gerät
Wenn Zwei-Faktor-Authentifizierung
eingeschaltet wird, können Sie diese
Regel verwenden, um zu bestimmen, ob
Zwei-Faktor-Authentifizierung verwendet
werden kann, um den geschäftlichen
Bereich, das Gerät oder beides zu
entsperren.
•
Reguliertes BlackBerry
Balance-Gerät
•
BlackBerry 10 OS (Version
10.3 und höher)
•
Sie können diese Regel verwenden, um
zu bestimmen, ob ein Gerät das
Reguliertes BlackBerry
Smartcard-Kennwort im Cache-Speicher
Balance-Gerät
speichern kann. Das
Gerät, das nur über einen
zwischengespeicherte Kennwort wird im
geschäftlichen Bereich verfügt Geräte-RAM gespeichert.
BlackBerry 10 OS (Version
10.3 und höher)
•
•
•
Kennworteingabe für Smartcard
Beschreibung
•
•
•
•
BlackBerry Balance-Geräte
Sie können diese Regel verwenden, um
zu bestimmen, ob ein Gerät die
Reguliertes BlackBerry
Kennworteingabe für Smartcard mit
Balance-Gerät
Zwei-Faktor-Authentifizierung
Gerät, das nur über einen
verwenden kann. Die Kennworteingabe
geschäftlichen Bereich verfügt für Smartcard ermöglicht einem
BlackBerry 10 OS (Version
Benutzer, numerische Kennwörter auf
10.3 und höher)
dem Gerät einzugeben, ohne die AltBlackBerry Balance-Geräte
119
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand auf BlackBerry 10-Geräten
IT-Richtlinienregel
Anforderungen
Beschreibung
Taste zu drücken, und vervollständigt
das Feld für das Gerätekennwort oder für
das Kennwort für den geschäftlichen
Bereich automatisch, wenn das
Gerätekennwort oder das Kennwort für
den geschäftlichen Bereich und das
Smartcard-Kennwort identisch sind.
Sperren beim Entfernen der Smartcard
•
•
•
•
Sie können diese Regel verwenden, um
zu bestimmen, ob ein Gerät oder der
Reguliertes BlackBerry
geschäftliche Bereich auf einem Gerät
Balance-Gerät
gesperrt wird, wenn ein Benutzer die
Gerät, das nur über einen
Smartcard aus einem unterstützen
geschäftlichen Bereich verfügt Smart Card Reader entfernt oder einen
BlackBerry 10 OS (Version
unterstützten Smart Card Reader vom
10.3 und höher)
Gerät trennt.
BlackBerry Balance-Geräte
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
120
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand für iOS-, Android- oder Windows Phone-Geräte
Daten im Ruhezustand für iOS-,
Android- oder Windows Phone-Geräte
11
Der geschäftliche Bereich schützt seine Daten im Ruhezustand, indem er die Daten verschlüsselt und die Kennwörter
hashcodiert, bevor er sie speichert. Sie können auch einen Kennwortschutz anfordern und steuern, wann der geschäftliche
Bereich auf den Geräten gelöscht wird.
Kennwörter
Diese Funktion gilt für alle Geräte.
Gerätekennwörter schützen die Daten Ihres Unternehmens und die Benutzerinformationen, die auf den Geräten gespeichert
sind. Bei Geräten mit einem Container wird das Kennwort des Containers verwendet, um die Daten im geschäftlichen Bereich
zu schützen. Sie können IT-Richtlinienregeln verwenden, um den Kennwortschutz auf Geräten zu erzwingen.
Sie können auch Geräte per Fernzugriff sperren und die Kennwörter ändern oder löschen. Sie können dies beispielsweise tun,
wenn ein Gerät verloren gegangen ist oder ein Benutzer das Kennwort vergessen hat.
Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Weitere Informationen über das Ändern von Kennwörtern per Fernzugriff finden Sie in der Dokumentation für Administratoren.
Datenlöschung
Diese Funktion gilt für alle Geräte.
Um die Daten Ihres Unternehmens und die Benutzerinformationen auf Geräten zu schützen, können Sie BES12 verwenden, um
geschäftliche Daten oder alle Daten auf Geräten zu löschen.
Benutzer können ebenfalls geschäftliche Daten oder alle Daten auf ihren Geräten löschen.
Alle Daten vom Gerät löschen
Die Geräte löschen alle Daten im Gerätespeicher, wenn eines der folgenden Ereignisse eintritt:
121
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand für iOS-, Android- oder Windows Phone-Geräte
Ereignis
Gerätetyp
Beschreibung
Sie senden den ITAdministrationsbefehl "Alle
Gerätedaten löschen" an ein Gerät.
•
iOS
•
Android
•
Windows Phone
Sie können BES12 verwenden, um alle Daten von den
Geräten mithilfe des IT-Administrationsbefehls "Alle
Gerätedaten löschen" zu löschen. Sie können diesen Befehl
beispielsweise an ein Gerät senden, um ein zuvor
verwendetes Gerät erneut einem Benutzer in Ihrem
Unternehmen zuzuteilen oder an ein verloren gegangenes
Gerät, das wahrscheinlich nicht wiedergefunden wird.
Mit diesem Befehl werden alle Benutzerinformationen und
App-Daten gelöscht, die auf dem Gerät gespeichert sind
(einschließlich Informationen im geschäftlichen Bereich, falls
zutreffend), das Gerät auf die Werkseinstellungen
zurückgesetzt und das Gerät aus BES12 entfernt.
Nachdem Sie diesen Befehl gesendet haben, wird eine Option
zum Entfernen des Geräts aus BES12 angezeigt. Wenn das
Gerät keine Verbindung mehr zu BES12 herstellen kann,
können Sie das Gerät aus BES12 entfernen. Wenn das Gerät
eine Verbindung zu BES12 herstellt, nachdem es entfernt
wurde, werden nur die geschäftlichen Daten vom Gerät
entfernt. Falls zutreffend, wird auch der geschäftliche Bereich
entfernt.
Weitere Informationen zum Senden dieses Befehls an Geräte
finden Sie in der Dokumentation für Administratoren.
Ein Benutzer gibt das Gerätekennwort •
öfter falsch ein, als in der IT•
Richtlinienregel "Höchstanzahl
•
fehlgeschlagener Versuche"
zugelassen ist.
Ein Benutzer verwendet die Option
"Alle Inhalte und Einstellungen
löschen" auf einem Gerät mit iOS 8.
iOS
iOS
Android
Windows Phone
Mit diesem Befehl werden alle Benutzerinformationen und
App-Daten gelöscht, die auf dem Gerät gespeichert sind,
einschließlich der im geschäftlichen Bereich, und das Gerät
wird auf die Werkseinstellungen zurückgesetzt.
Ein Benutzer kann alle Daten auf Geräten mithilfe der Option
"Alle Inhalte und Einstellungen löschen" auf dem Gerät
löschen.
Löschen der geschäftlichen Daten
Um die Daten Ihres Unternehmens auf Geräten zu schützen, löschen die Geräte alle geschäftlichen Daten, wenn eines der
folgenden Ereignisse eintritt:
122
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand für iOS-, Android- oder Windows Phone-Geräte
Ereignis
Gerätetyp
Sie senden den IT•
Administrationsbefehl "Nur
•
Geschäftsdaten löschen" an ein
•
Gerät.
iOS
Android
Windows Phone
Beschreibung
Sie können BES12 verwenden, um alle geschäftlichen Daten
von den Geräten mithilfe des IT-Administrationsbefehls "Nur
Geschäftsdaten löschen" zu löschen. Sie können diesen Befehl
beispielsweise an ein persönliches Gerät senden, wenn ein
Benutzer nicht mehr in Ihrem Unternehmen arbeitet, oder
wenn das Gerät verloren geht oder gestohlen wird.
Mit diesem Befehl werden geschäftliche Daten, einschließlich
der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und
Zertifikate, gelöscht und das Gerät aus BES12 entfernt.
Nachdem Sie diesen Befehl gesendet haben, wird eine Option
zum Entfernen des Geräts aus BES12 angezeigt. Wenn das
Gerät keine Verbindung mehr zu BES12 herstellen kann,
können Sie das Gerät aus BES12 entfernen. Wenn das Gerät
eine Verbindung zu BES12 herstellt, nachdem es entfernt
wurde, werden nur die geschäftlichen Daten vom Gerät
entfernt. Falls zutreffend, wird auch der geschäftliche Bereich
entfernt.
Ein Benutzer kann das Gerät immer noch benutzen, obwohl
Daten im geschäftlichen Bereich gelöscht wurden.
Weitere Informationen zum Senden dieses Befehls an Geräte
finden Sie in der Dokumentation für Administratoren.
Durchsetzen von Standards über
Kompatibilitätsprofile
Diese Funktion gilt für alle Geräte.
Sie können Einhaltungsprofile verwenden, um Benutzer bei der Einhaltung von Standards Ihres Unternehmens in Bezug auf die
Verwendung von Mobilgeräten zu unterstützen. Ein Kompatibilitätsprofil bestimmt die Gerätebedingungen, die in Ihrem
Unternehmen nicht zulässig sind, die Benachrichtigungen, die an Benutzer gesendet werden, und die Maßnahmen, die
getroffen werden, wenn ein Gerät nicht konform ist.
Je nach Betriebssystem und Version können Sie festlegen, ob die folgenden Bedingungen zulässig sind:
•
Entsperrtes oder gehacktes Gerät
•
Eine verbotene App ist installiert
•
Die erforderliche App ist nicht installiert
123
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand für iOS-, Android- oder Windows Phone-Geräte
Sie können auch festlegen, wie BES12 reagiert, wenn ein Gerät gegen die Kompatibilitätsregeln verstößt. Die Aktionen können
Folgendes enthalten:
•
Eine E-Mail-Nachricht an den Benutzer senden
•
Eine Benachrichtigung auf dem Gerät anzeigen
•
Verhindern, dass der Benutzer auf die Ressourcen des Unternehmens und die Apps des Geräts zugreift, entweder
sofort oder nach einem bestimmten Zeitraum
•
Geschäftliche Daten vom Gerät löschen; entweder sofort oder nach einem bestimmten Zeitraum
•
Alle Daten vom Gerät löschen; entweder sofort oder nach einem bestimmten Zeitraum
Bei Android-Geräten, die KNOX-MDM verwenden, können Sie eine Liste der gesperrten Apps zu einem Kompatibilitätsprofil
hinzufügen. BES12 setzt jedoch nicht die Kompatibilitätsregeln durch. Stattdessen wird die Liste mit den gesperrten Apps an
die Geräte gesendet, die daraufhin die Einhaltung erzwingen. Gesperrte Apps können nicht installiert werden, und wenn sie
bereits installiert sind, werden sie deaktiviert. Wenn Sie eine App aus der Liste der gesperrten Apps entfernen, wird die App
erneut aktiviert (sofern sie bereits installiert ist).
Weitere Informationen über Kompatibilitätsprofile finden Sie in der Dokumentation für Administratoren.
Verhindern der Installation spezifischer Apps durch die
Benutzer
Diese Funktion gilt für alle Geräte.
Sie können eine Liste von Apps erstellen, die von Benutzern nicht auf Geräten installiert werden sollen. Zum Beispiel können Sie
Benutzer daran hindern, schädliche Apps oder Apps, die viele Ressourcen erfordern, zu installieren.
Sie können ein Kompatibilitätsprofil erstellen, in dem bestimmt wird, welche Aktion ein iOS- oder Android-Gerät ausführen soll,
wenn eine gesperrte App installiert wird, und das Kompatibilitätsprofil Benutzern oder Benutzergruppen zuweisen. Wenn der
Benutzer die gesperrte App nicht vom Gerät löscht, gibt das Kompatibilitätsprofil die Aktionen an, die ausgeführt werden
müssen. Wenn ein Benutzer eine gesperrte App installiert, meldet das Gerät des Benutzers, dass diese App nicht kompatibel
ist. Der Bericht zeigt den Namen der gesperrten App und die Aktionen an, die ausgeführt werden müssen, wenn der Benutzer
die App nicht deinstalliert.
Bei Windows Phone 8.1 oder höher und bei Android-Geräten, die KNOX MDM verwenden, müssen Sie die App lediglich dem
Kompatibilitätsprofil hinzufügen. Der Benutzer kann keine App installieren, die Sie dem Kompatibilitätsprofil hinzufügen. Wenn
ein Benutzer versucht, eine gesperrte App zu installieren, wird eine Meldung auf dem Gerät angezeigt, dass diese App gesperrt
ist und nicht installiert werden kann.
Sicherheits-Timeout
Diese Funktion gilt für alle Geräte.
Mithilfe von BES12 können Sie festlegen, dass Geräte nach einem gewissen Zeitraum der Inaktivität gesperrt werden.
124
ENTWURF - BlackBerry Interner Gebrauch
Daten im Ruhezustand für iOS-, Android- oder Windows Phone-Geräte
Welche Regeln Sie zum Festlegen des Inaktivitätszeitraums und der durch das Gerät erforderlichen Aktion verwenden, hängt
vom Gerätetyp und der Verwaltungsoption ab. Sie können Sicherheits-Timeouts über IT-Richtlinienregeln konfigurieren.
Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
125
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Sicherheit der Secure Work Space
12
Diese Funktion gilt für iOS- und Android-Geräte.
Über die Secure Work Space-Technologie können Benutzer ihre Geräte für geschäftliche und persönliche Zwecke sicher
verbinden. Beispielsweise ermöglicht es Secure Work Space Ihrem Unternehmen, Informationen zu kontrollieren, auch wenn
diese auf Geräten gespeichert sind, die Eigentum von Mitarbeitern sind und die diese mit zur Arbeit bringen.
Die Sicherheitsfunktionen von BES12 und Secure Work Space kontrollieren, wie Geräte die Daten, Apps und
Netzwerkverbindungen Ihres Unternehmens schützen, und bezwecken, dass Geräte die Daten und Apps Ihres Unternehmens
anders als persönliche Daten und Apps behandeln. Dadurch ist Ihnen Folgendes möglich:
•
Den Zugriff auf die Daten und Apps Ihres Unternehmens auf Geräten kontrollieren
•
Daten vor Beeinträchtigung schützen
•
Apps Ihres Unternehmens auf Geräten installieren und verwalten
•
Daten und Apps Ihres Unternehmens bei Bedarf von Geräten löschen
•
Von geschäftlichen und persönlichen Apps verwendete Netzwerkverbindungen kontrollieren
Secure Work Space verwendet gesonderte Bereiche des Geräts, die als Bereiche zur Trennung geschäftlicher und persönlicher
Aktivitäten bezeichnet werden. Ein solcher Bereich ist ein getrennter Bereich des Geräts, der die Abtrennung und die
Verwaltung verschiedener Arten von Daten, Apps und Netzwerkverbindungen ermöglicht. Die verschiedenen Bereiche können
unterschiedlichen Regeln für Datenspeicherung, App-Berechtigungen und Netzwerkrouting unterliegen. Die separaten
Bereiche helfen Benutzern bei der Vermeidung von Aktivitäten, wie z. B. dem Kopieren von geschäftlichen Daten in eine
persönliche App.
126
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Erstellen eines geschäftlichen Bereichs auf
einem Gerät
Um einen geschäftlichen Bereich auf einem Gerät zu erstellen, müssen Sie diesen auf BES12 durch die Aktivierungsart
"Geschäftlich und persönlich – vollständige Kontrolle" oder "Geschäftlich und persönlich – Benutzer-Datenschutz" aktivieren.
Der geschäftliche Bereich ist ein abgetrennter Bereich des Geräts für geschäftliche Ressourcen, in welchem Benutzer
geschäftliche Dokumente erstellen, bearbeiten und speichern können. Der geschäftliche Bereich speichert auch
Konfigurationsdetails vom Server und alle zugehörigen Informationen, wie Microsoft Active Directory-Anmeldeinformationen
und Profile. Während des Aktivierungsprozesses verschlüsselt das Gerät den geschäftlichen Bereich.
Standardmäßig machen es Geräte mit Secure Work Space während des Aktivierungsprozesses erforderlich, dass die Benutzer
ein Kennwort für den geschäftlichen Bereich festlegen. Das Kennwort für den geschäftlichen Bereich dient dem Schutz von
Daten des geschäftlichen Bereichs und gesicherter Apps. Sie können IT-Richtlinienregeln zur Kontrolle von
Kennwortanforderungen wie Komplexität und Länge verwenden.
Nachdem ein Gerät auf BES12 aktiviert wurde, enthält das Gerät nach wie vor den persönlichen Bereich sowie alle
Benutzerdaten, Apps oder Netzwerkverbindungen, die der Benutzer verwendet hat, bevor das Gerät aktiviert wurde. Benutzer
können ihre Geräte für Aktivitäten verwenden, die die Sicherheitsrichtlinien Ihres Unternehmen ansonsten möglicherweise
nicht gestatten, wie beispielsweise das Herunterladen von Videos, das Spielen von Online-Multiplayer-Spielen oder das
Hochladen persönlicher Fotos und Facebook-Einträge, ohne dabei die auf dem Gerät gespeicherten geschäftlichen Daten
preiszugeben.
Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Schutz von Daten im geschäftlichen Bereich mit
Verschlüsselung
Ein geschäftlicher Bereich schützt die Daten des geschäftlichen Bereichs, indem er die Daten, die gesicherte Apps speichern,
mithilfe der AES-256-Verschlüsselung verschlüsselt. Der geschäftliche Bereich erzeugt zufällig einen separaten
Verschlüsselungsschlüssel für jede gesicherte App und verschlüsselt die Schlüssel mit dem Kennwort des geschäftlichen
Bereichs des Benutzers. Der geschäftliche Bereich verschlüsselt alle Daten, die eine gesicherte App direkt speichert und
indirekt in Dateien schreibt. Die Verschlüsselungsbibliotheken (OpenSSL-FIIPTS oder iOS Krypto auf iOS und OpenSSL-FIPS auf
Android OS) sind Komponenten der FIPS-zertifizierten BlackBerry kryptografischen Bibliothek für Secure Work Space.
Gesicherte Apps können Daten nur mit anderen gesicherten Apps teilen. Wenn eine gesicherte App Daten mit einer anderen
App teilen will, fängt der geschäftliche Bereich die Anfrage ab und lässt sie zu, wenn beide Apps gesicherte Apps sind. Wenn
beide Apps keine gesicherten Apps sind, lehnt der geschäftliche Bereich die Anfrage ab. Der geschäftliche Bereich ermöglicht
es einem Benutzer, aus einer gesicherten App in eine andere gesicherte App zu kopieren, jedoch nicht in eine geschäftliche
oder persönliche App.
127
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Verschlüsselung des geschäftlichen Bereichs
Für Android-Geräte weist das Android-Betriebssystem eine UID zu einer App zu, wenn die App installiert wird. Die UID ist für
jede App einzigartig, außer wenn die App verlangt, eine UID mit einer anderen App zu teilen. In diesem Fall müssen beide Apps
mit dem gleichen Zertifikat des gleichen Entwicklers signiert werden.
Jeder UID wird ein zufälliger Verschlüsselungsschlüssel zugewiesen, wenn die UID zum ersten Mal ausgeführt wird. Die UID
verwendet den Schlüssel, um die Daten zu verschlüsseln. Die Schlüssel werden in einem separaten sicheren Dateisystem im
geschäftlichen Bereich gespeichert. Das Dateisystem wird von gesicherten Apps geteilt. Wenn die App mit der UID zum ersten
Mal ausgeführt wird, fordert sie von der App "Manager für geschäftlichen Bereich" den mit der UID verknüpften
Verschlüsselungsschlüssel an. Außer der erste Block wird das gesamte sichere Dateisystem mithilfe von AES-256 im CBCModus mit 128-Bitbereichen verschlüsselt. Der Schlüssel zum Dateisystem wird im ersten Block gespeichert. Anschließend
wird der erste Block mit einem aus dem Kennwort des geschäftlichen Bereichs abgeleiteten Schlüssel verschlüsselt.
Bei iOS-Geräten weist Secure Work Space jeder gesicherten App einen zufälligen Verschlüsselungsschlüssel zu, wenn die App
zum ersten Mal ausgeführt wird. Die App verwendet den Schlüssel, um die Daten zu verschlüsseln. Die Schlüssel werden in
einem vollständig segmentierten, virtuellen und sicheren Dateisystem gespeichert, das von gesicherten Apps geteilt wird. Die
zugrundeliegende Blockstruktur des Dateisystems ist proprietär. Das virtuelle Dateisystem ist oberhalb eines NAND-förmigen
Blocks mit einer virtuellen Geräteschnittstelle geschichtet.
Sowohl auf Android- als auch auf iOS-Geräten ist das gesamte virtuelle Dateisystem, außer der erste Block, mithilfe von
AES-256 im CBC-Modus mit 128-Bitbereichen verschlüsselt. Der Schlüssel zum virtuellen Dateisystem wird im ersten Block
gespeichert. Der erste Block wird anschließend mit einem aus dem Kennwort des geschäftlichen Bereichs abgeleiteten
Schlüssel verschlüsselt. Das Kennwort des geschäftlichen Bereichs wird unter Verwendung von PBKDF2 als
Schlüsselableitungsfunktion mit HMAC-SHA1 abgeleitet.
128
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Schutz des Kennworts für den geschäftlichen
Bereich
Zum Schutz von Daten im geschäftlichen Bereich und gesicherten Apps muss bei Geräten mit Secure Work Space ein Kennwort
für den geschäftlichen Bereich eingerichtet werden. Sie können IT-Richtlinienregeln zur Kontrolle von Kennwortanforderungen
wie Komplexität und Länge verwenden.
Der geschäftliche Bereich speichert das Kennwort für den geschäftlichen Bereich nicht. Stattdessen verschlüsselt er Daten
mithilfe eines Hashs, der vom Kennwort als Verschlüsselungsschlüssel abgeleitet wird. Nachdem das Kennwort festgelegt
wurde, versucht der geschäftliche Bereich Daten mit dem aus dem Kennwort, das der Benutzer eingegeben hat, abgeleiteten
Hash zu entschlüsseln, wenn der Benutzer das Kennwort eingibt, um auf den geschäftlichen Bereich zuzugreifen. Wenn die
Daten nicht entschlüsselt werden, wird das Kennwort, das der Benutzer eingegeben hat, als falsch zurückgewiesen.
Um das Zurücksetzen von Kennwörtern zu ermöglichen, generiert das Gerät einen öffentlichen und einen privaten Schlüssel,
verschlüsselt den abgeleiteten Schlüssel für den geschäftlichen Bereich mit dem privaten Schlüssel und speichert den
verschlüsselten Block unabhängig vom geschäftlichen Bereich. Das Gerät sendet den öffentlichen Schlüssel an BES12 und
löscht die lokalen Kopien der öffentlichen und privaten Schlüssel.
Wenn der Benutzer das Kennwort für den geschäftlichen Bereich ändert, generiert das Gerät den abgeleiteten Schlüssel
erneut. Ein Benutzer kann das Kennwort für den geschäftlichen Bereich jederzeit ändern, und ein Administrator das Kennwort
für den geschäftlichen Bereich mithilfe eines IT-Administrationsbefehls zurücksetzen und den Benutzer dazu veranlassen, es
zu ändern.
Wenn ein Administrator den IT-Administrationsbefehl verwendet, um das Kennwort für den geschäftlichen Bereich
zurückzusetzen, sendet BES12 den öffentlichen Schlüssel zurück an das Gerät, und das Gerät verwendet den öffentlichen
Schlüssel, um den abgeleiteten Schlüssel zu entschlüsseln. Außerdem muss der Benutzer ein neues Kennwort für den
geschäftlichen Bereich eingeben.
BES12 und BlackBerry Infrastructure speichern die Verschlüsselungsschlüssel des Benutzers nicht.
Weitere Informationen über IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Timeout nach Inaktivität im geschäftlichen
Bereich
Wenn eine gesicherte App von einem Nutzer in den Hintergrund geschickt wird, startet diese den Timer der
Inaktivitätsübergangsfrist für den geschäftlichen Bereich. Wenn der Benutzer während der Übergangsfrist eine andere
gesicherte App startet, muss der Benutzer das Kennwort für den geschäftlichen Bereich nicht eingeben. Sie können das
Timeout nach Inaktivität mittels der IT-Richtlinienregel "Zeitraum der Inaktivität vor dem Sperren" konfigurieren.
129
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Weitere Informationen über diese IT-Richtlinienregel finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Speichern von Daten des geschäftlichen
Bereichs auf Medienkarten
Bei Android-Geräten sind alle Daten im geschäftlichen Bereich, die auf Medienkarten gespeichert sind, Teil des sicheren
Dateisystems, genau wie alle Daten des geschäftlichen Bereichs, die auf dem Gerät selbst gespeichert sind. Die Daten auf der
Medienkarte können nur entschlüsselt werden, wenn die Karte an das ursprüngliche Gerät angeschlossen wird und der
Benutzer das Kennwort für den geschäftlichen Bereich eingegeben hat. Die Daten auf der Medienkarte sind kryptografisch
unzugänglich, wenn die Karte in ein anderes Gerät eingesetzt wird, weil die Verschlüsselungsschlüssel nicht verfügbar sind.
Anzeige von geschäftlichen Kontakten in der
Anrufer-ID
Diese Funktion gilt für Secure Work Space-Geräte.
Selbst wenn der geschäftliche Bereich gesperrt ist, können Sie die IT-Richtlinie „Work Connect-Kontakte“ verwenden, um
anzugeben, ob die Anrufer-ID die Namen und Telefonnummern von geschäftlichen Kontakten anzeigen kann. Diese Regel
erlaubt der Work Connect-App im geschäftlichen Bereich, die Geschäftskontakte in das persönliche Adressbuch zu exportieren
(die Kontakte-App). Die Work Connect-App exportiert nur Kontaktnamen und Telefonnummern. Wenn Sie das Gerät
deaktivieren, werden Geschäftskontakte aus dem persönlichen Adressbuch entfernt.
Wenn diese Regel auf "In persönliches Adressbuch exportieren" eingestellt ist, exportiert die Work Connect-App die
Geschäftskontakte in das persönliche Adressbuch. Die App exportiert außerdem einen Geschäftskontakt erneut, wenn sich der
Name oder die Telefonnummer des Geschäftskontakts ändert oder wenn ein Kontakt hinzugefügt oder gelöscht wird. Es werden
nur Geschäftskontakte mit Telefonnummern exportiert.
Wenn diese Regel auf "Nicht in persönliches Adressbuch exportieren" eingestellt ist, werden die Geschäftskontakte nicht
exportiert, und für Anrufe und SMS-Textnachrichten von Geschäftskontakten wird kein Kontaktname angezeigt. Wenn diese
Regel auf "Benutzerkonfiguration erlauben" eingestellt ist, kann ein Benutzer die Geschäftskontakte aus der Work Connect-App
in das persönliche Adressbuch exportieren.
Speichern von Arbeitsbrowserdaten
Bei der Verwendung des Arbeitsbrowsers speichert der geschäftliche Bereich keine Internet- oder Intranetkennwörter. Die
Speicherung von Cookies ist jedoch, genau wie andere Daten im geschäftlichen Bereich, durch das sichere Dateisystem
geschützt.
130
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Löschen des geschäftlichen Bereichs
Wenn Sie den geschäftlichen Bereich von einem Gerät löschen, müssen Sie keine zusätzlichen Schritte durchführen, um die
Wiederherstellung der Daten zu verhindern. Ohne die Verschlüsselungsschlüssel sind alle wiederhergestellten Daten
kryptografisch unzugänglich.
Durch das Löschen des geschäftlichen Bereichs werden auch Daten im geschäftlichen Bereich von einer Medienkarte
gelöscht, wenn diese zum Zeitpunkt der Löschung an das Gerät angeschlossen ist.
Steuern, wann Geräte den geschäftlichen Bereich löschen
Zum Schutz der Daten Ihres Unternehmens können Sie alle geschäftlichen Daten von einem Gerät löschen. Alle persönlichen
Daten bleiben auf dem Gerät erhalten. Sie können dies beispielsweise tun, wenn ein Benutzer nicht mehr in Ihrem
Unternehmen arbeitet.
In der folgenden Tabelle werden Beispiele für Daten aufgeführt, die entfernt werden, wenn der geschäftliche Bereich auf
Geräten gelöscht wird:
Objekt
Beschreibung
Geschäftliche E-Mail-Nachrichten
•
E-Mail-Nachrichten, die an die E-Mail-App des Benutzers im geschäftlichen Bereich
gesendet werden
•
E-Mail-Nachrichten, die der Benutzer von der E-Mail-App im geschäftlichen Bereich
sendet
•
Entwürfe von E-Mail-Nachrichten, die der Benutzer mithilfe der E-Mail-App im
geschäftlichen Bereich erstellt
•
Anlagen, die an die E-Mail-App des Benutzers im geschäftlichen Bereich gesendet
werden
•
Anlagen, die der Benutzer von der E-Mail-App im geschäftlichen Bereich sendet
•
Anlagen, die der Benutzer im geschäftlichen Bereich speichert
Anlagen
Kalendereinträge
Kalendereinträge, die der Benutzer mithilfe der Kalender-App im geschäftlichen Bereich
erstellt
Kontakte
Kontakte, die BES12 mit der Kontakte-App des Benutzers im geschäftlichen Bereich
synchronisiert
Aufgaben und Notizen
Alle Aufgaben und Notizen, die BES12 mit der Aufgaben- und Notizen-App des Benutzers
im geschäftlichen Bereich synchronisiert
Browser
Alle Work Browser-Daten
131
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Objekt
Beschreibung
Dateien
Dateien, auf die der Benutzer aus dem Netzwerk Ihres Unternehmens aus zugegriffen
und die er heruntergeladen hat
IT-Richtlinie
IT-Richtlinie, die dem Gerät zugeordnet ist
Geschäftliche Apps
Bei einem iOS-Gerät: geschäftliche Apps, die der Administrator an ein Gerät gesendet hat
Daten geschäftlicher Apps
Bei einem iOS-Gerät: geschäftliche Daten, die im Zusammenhang mit geschäftlichen
Apps auf dem Gerät stehen (z. B. gespeicherte Einstellungen)
Gesicherte Apps
Bei einem iOS-Gerät: gesicherte Apps, die ein Benutzer heruntergeladen und auf einem
Gerät installiert hat.
Bei einem Android-Gerät wird der Benutzer aufgefordert, die gesicherten Apps zu
entfernen. Wenn der Benutzer die gesicherten Apps nicht entfernt, bleiben diese auf dem
Gerät bestehen, aber der Benutzer kann sie nicht ausführen.
Daten im geschäftlichen Bereich
Bei einem iOS-Gerät: Daten im geschäftlichen Bereich, die im Zusammenhang mit
gesicherten Apps auf dem Gerät stehen.
Bei einem Android-Gerät wird der Benutzer aufgefordert, die Daten im geschäftlichen
Bereich zu entfernen (z. B. gespeicherte Einstellungen). Wenn der Benutzer die Daten im
geschäftlichen Bereich nicht entfernt, bleiben diese auf dem Gerät bestehen, aber der
Benutzer kann nicht auf die Daten zugreifen.
Profile
Bei einem iOS-Gerät: VPN, Wi-Fi, E-Mail, SCEP, Zertifizierungsstellenzertifikat,
freigegebenes Zertifikat, einmalige Anmeldung und Profile für verwaltete Domänen.
Bei einem Android-Gerät: Wi-Fi, E-Mail, Zertifizierungsstellenzertifikat und Profile für
freigegebene Zertifikate.
Enterprise-Konnektivität
Diese Funktion gilt für Secure Work Space-Geräte.
Sie können für die Daten eines Geräts während der Übertragung einen zusätzlichen Schutz bereitstellen, unter anderem für
Authentifizierungsverbindungen und -sitzungen, und die Daten verschlüsseln, indem die Enterprise-Konnektivität bei einem
Gerät mit Secure Work Space aktiviert wird. Mit der Enterprise-Konnektivität vermeiden Sie, dass innerhalb der Firewall Ihres
Unternehmens eine direkte Verbindung mit dem Internet für die Geräteverwaltung und Drittanbieteranwendungen, bspw. den
Mailserver, die Zertifizierungsstelle und andere Web- oder Inhaltsserver, geöffnet wird. Die Enterprise-Konnektivität sendet den
gesamten Datenverkehr über die BlackBerry Infrastructure an BES12.
Weitere Informationen über Enterprise-Konnektivitäts-Profile finden Sie in der Dokumentation für Administratoren.
132
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Verbindung eines Geräts mit Enterprise-Konnektivität mit
BES12
Beim Zugriff auf Ihr Unternehmensnetzwerk stellt ein Gerät mit Enterprise-Konnektivität die Verbindung über einen Wi-FiZugriffspunkt oder ein Mobilfunknetz, die BlackBerry Infrastructure, die Firewall Ihres Unternehmens und BES12 her.
Die Geräte und die Ressourcen Ihres Unternehmens verwenden Tunneling für die Einkapselung verschiedener
Verschlüsselungsarten in der End-to-End-Verbindung. Man spricht von Tunneling (Tunneln), wenn Daten mit mehr als einer
Verschlüsselungsschicht verschlüsselt werden. Welche Art der Verschlüsselung verwendet wird, hängt von der Art der
Verbindung zwischen dem Gerät und der Ressource ab.
Die Daten, die das Gerät und BES12 untereinander austauschen, werden mithilfe der TLS-Verschlüsselung verschlüsselt.
Wurde der drahtlose Zugriffspunkt eingerichtet, um Wi-Fi-Verschlüsselung zu verwenden, verwenden die Daten, die das Gerät
und der drahtlose Zugriffspunkt austauschen, dieWi-Fi-Verschlüsselung. Da auf dem Gerät Tunneling verwendet wird, werden
die Daten, die das Gerät an BES12 sendet, während der Übertragung zwischen dem Gerät und dem drahtlosen Zugriffspunkt
zuerst durch TSL-Verschlüsselung und anschließend durch Wi-Fi-Verschlüsselung verschlüsselt.
Verschlüsselungstyp
Beschreibung
Wi-Fi-Verschlüsselung (IEEE 802.11)
Verschlüsselung wird für Daten verwendet, die bei der Verbindung zwischen einem
Gerät und einem drahtlosen Zugriffspunkt übertragen werden, wenn der drahtlose
Zugriffspunkt für die Verwendung der Wi-Fi-Verschlüsselung eingerichtet wurde.
TLS-Verschlüsselung
Verschlüsselt die Daten für die Verbindung zwischen einem Gerät und BES12
mithilfe des TLS-Protokolls mit dem Algorithmus AES-256.
SSL/TLS-Verschlüsselung
Verschlüsselt die Daten für die Sitzung zwischen einem Gerät und einem Inhalts-,
Web- oder Nachrichtenserver, der Exchange ActiveSync verwendet. Die
133
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Verschlüsselungstyp
Beschreibung
Verschlüsselung für diese Sitzung muss separat auf jedem Server eingerichtet
werden. Hierbei wird für jeden Server ein separates Zertifikat verwendet. Auf dem
Server kann je nach Einrichtung SSL oder TLS verwendet werden.
Verschlüsselung und Sicherheit für geschäftliche Daten bei der Übertragung
Die Übertragung gesicherter Apps (z. B. E-Mail- und Kalenderdaten) erfolgt über TLS-authentifizierte Sitzungen für die
Datenverschlüsselung zwischen dem Gerät und BES12. Für diesen Datenverkehr werden SSL- oder TLS-Verschlüsselung zum
Verschlüsseln der Sitzung zwischen dem Gerät und dem Inhaltsserver, Web- oder E-Mail-Server eingesetzt, der Exchange
ActiveSync verwendet.
Für gesicherte Apps mit Enterprise-Konnektivität werden zudem eine API-seitige Authentifizierung und die Validierung per
Sitzungs-Token bereitgestellt. Bei der API-Authentifizierung verwendet jede API-Kommunikationsmethode eine eindeutige
Methode für den Aufbau einer vertrauenswürdigen Beziehung. Wenn die Sicherheit einer der Methoden beeinträchtigt werden
sollte, sind andere Methoden weiterhin sicher. Die Validierung per Sitzungs-Token wird für die Identifizierung des Geräts bei der
Bereitstellung verwendet. Einige APIs nutzen das Sitzungs-Token, abhängig vom Sicherheitskontext.
Authentifizierung von BES12 bei der BlackBerry Infrastructure
Zum Schutz der Daten während der Übertragung zwischen BES12 und der BlackBerry Infrastructure ist eine gegenseitige
Authentifizierung von BES12 und BlackBerry Infrastructure vor der Übertragung der Daten erforderlich.
Wenn BES12 Daten über die BlackBerry Infrastructure an Geräte sendet, stellen BES12 und die BlackBerry Infrastructure eine
TLS-Verbindung mit gegenseitiger Authentifizierung her, die AES-256 zum Schutz der Daten verwendet.
Datenfluss: Authentifizierung von BES12 mit der BlackBerry Infrastructure
1.
BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung.
2.
Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12.
3.
BES12 führt die folgenden Aktionen aus:
4.
•
Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgegeben
wurde
•
Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung
•
Sendet zum Abruf der SRP-ID ein Datenpaket mit seiner eindeutigen SRP-ID und seinem SRPAuthentifizierungsschlüssel an die BlackBerry Infrastructure.
Die BlackBerry Infrastructure überprüft die von BES12 gesendete SRP-ID und den SRP-Authentifizierungsschlüssels und
führt eine der folgenden Aktionen aus:
134
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
•
Wenn die Anmeldeinformationen gültig sind, wird eine Bestätigung an BES12 gesendet, um den
Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren
•
Wenn die Anmeldeinformationen ungültig sind, wird der Authentifizierungprozess beendet und SRP-Verbindung
geschlossen
Schutz BES12 einer TCP/IP-Verbindung zur BlackBerry Infrastructure für Daten des
geschäftlichen Bereichs
Nachdem BES12 und die BlackBerry Infrastructure eine Verbindung geöffnet haben, verwendet BES12 eine persistente
TCP/IP-Verbindung, Daten an die BlackBerry Infrastructure zu senden.
Die TCP/IP-Verbindung zwischen BES12 und der BlackBerry Infrastructure wird mithilfe von TLS-Verschlüsselung gesichert. Es
existiert keine Zwischenstelle, die die Daten erneut ent- und verschlüsselt.
Sie müssen die Unternehmensfirewall oder den Proxy-Server so konfigurieren, dass BES12 eine ausgehende Verbindung zur
BlackBerry Infrastructure über den TCP-Port 3101 initiieren und aufrechterhalten kann.
Verbindung eines Geräts mit Secure Work Space zur BlackBerry
Infrastructure und zu BES12
Geräte stellen über TCP-IP eine Verbindung zur BlackBerry Infrastructure her. Der Datenverkehr über diese Verbindung wird
von der BlackBerry Infrastructure getunnelt an BES12 geleitet.
Geräte und BES12 senden einander alle Daten über eine TLS-Verbindung. Die TLS-Sitzung verschlüsselt die Daten, die Geräte
und BES12 miteinander austauschen. Eine TLS-Sitzung zwischen einem Gerät und BES12 ist so konzipiert, dass Angreifer die
TLS-Verbindung nicht zum Senden oder Empfangen von Daten mit einem Gerät verwenden können.
Wenn ein Angreifer BES12 zu imitieren versucht, verhindern die Geräte die Verbindung. Geräte überprüfen, ob die
Zertifikatskette des Servers von dem Stammzertifikat signiert wurde, das während des Aktivierungsprozesses geladen wurde.
Datenfluss: Öffnen einer TLS-Sitzung zwischen einem Gerät mit Secure Work Space und
BES12 über die BlackBerry Infrastructure
1.
Ein Gerät stellt eine TCP-Verbindung zur BlackBerry Infrastructure her.
2.
Die BlackBerry Infrastructure erzeugt einen Tunnel zu BES12.
3.
Das Gerät sendet eine Anfrage zum Öffnen einer TLS-Sitzung über den Tunnel an BES12.
4.
BES12 sendet sein TLS-Zertifikat über den Tunnel an das Gerät.
5.
Das Gerät verwendet ein Stammzertifikat, das auf dem Gerät vorinstalliert ist, um das TLS-Zertifikat zu überprüfen. Der
Benutzer kann das Stammzertifikat nicht löschen.
6.
Das Gerät öffnet die TLS-Sitzung.
135
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Speichern und Schützen von Zertifikaten
Der gesamte Secure Work Space Datenverkehr wird sicher über die BlackBerry Infrastructure an BES12 geleitet. BES12 und
der BES12 Client auf dem Gerät sichern den Kanal und speichern jeweils eine Kopie des Zertifikats. Der BES12 Client speichert
das Zertifikat im sicheren Dateisystem. Gesicherte Apps verwenden die Verwendung des Zertifikats für die Kommunikation mit
BES12 über den sicheren Kanal.
Innerhalb des sicheren Kanals kann eine gesicherte App von Dritten einen zweiten sicheren Kanal für die Authentifizierung mit
Webseiten einrichten. Hierfür verwendet die App den zugrundeliegenden Schlüsselspeicher des Geräts (z. B. den iOSSchlüsselspeicher).
Authentifizierung des Benutzers am BES12 Client
Der BES12 Client authentifiziert den Gerätebenutzer bei BES12 und verwendet hierzu ein von BES12 signiertes Zertifikat. Diese
Authentifizierung erfolgt, bevor BES12 gesicherte Apps per Push auf das Gerät überträgt. Wenn die Authentifizierung
erfolgreich ist, sendet BES12 die Bereitstellungsdaten an den BES12 Client.
Wenn die gesicherten Apps auf das Gerät übertragen werden und eine gesicherte App geöffnet wird, sendet der BES12 Client
die Bereitstellungsdaten an Secure Work Space. Secure Work Space verwendet die Bereitstellungsdaten zum Herstellen einer
Verbindung an BES12.
Gesicherte Apps auf iOS- oder Android-Geräten
Der geschäftliche Bereich schützt gesicherte Apps, indem er die Apps wrappt und Fingerabdrücke von ihnen nimmt. Zusätzlich
zu den gesicherten Standard-Apps können Sie auch die internen Apps Ihres Unternehmens in gesicherte Apps umwandeln und
sie im geschäftlichen Bereich installieren. Alternativ können Sie gesicherte Apps von App Store oder Google Play verteilen, die
der App-Anbieter speziell zur Ausführung im geschäftlichen Bereich entwickelt hat.
Verwalten der Verfügbarkeit gesicherter Apps auf Geräten
Sie können BES12 verwenden, um gesicherte Apps auf Geräten mit Secure Work Space zu installieren und zu verwalten.
Gesicherte Apps können nur auf Daten im geschäftlichen Bereich zugreifen und mit anderen gesicherten Apps interagieren.
Standardmäßig gesicherte Apps erscheinen auf jedem Gerät mit Secure Work Space. Die folgenden Apps sind standardmäßig
gesicherte Apps:
Gerätetyp
iOS
Name
•
Work Connect – für E-Mail, Kalender, Kontakte, Notizen und Aufgaben
•
Work Browser – für Internet-Browsing
136
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Gerätetyp
Android
Name
•
Documents To Go – zum Anzeigen und Bearbeiten von Microsoft Office-Dateien
•
Work Space Manager – erforderlich, um die anderen gesicherten Apps auf dem
Gerät auszuführen
•
Secure Work Space – für E-Mail, Kalender, Kontakte und Internet-Browsing
•
Documents To Go – zum Anzeigen und Bearbeiten von Microsoft Office-Dateien
Sie können die internen Apps Ihres Unternehmens auch in gesicherte Apps umwandeln. Sie müssen die Binärdatei der App
(.apk oder .ipa) mithilfe der Administrationskonsole sichern. Anschließend muss der App-Entwickler die App erneut signieren
(und gegebenenfalls eine Berechtigungsdatei erstellen). Dann können Sie die App im geschäftlichen Bereich auf den Geräten
installieren.
Weitere Informationen zur Installation einer App im geschäftlichen Bereich finden Sie in der Dokumentation für
Administratoren.
Drittanbieter von Apps können gesicherte Apps erstellen, die speziell darauf ausgerichtet sind, im geschäftlichen Bereich
ausgeführt zu werden, und machen diese im App Store oder Google Play verfügbar. Sie können diese Apps im geschäftlichen
Bereich auf den Geräten von Benutzern installieren. Apps von App Store oder Google Play, die nicht als gesicherte Apps
gekennzeichnet sind, können nicht im geschäftlichen Bereich installiert oder ausgeführt werden. Nur der App-Anbieter kann
eine App sichern und erneut signieren, sodass sie im geschäftlichen Bereich installiert werden kann.
Sie können die gesicherten Apps festlegen, die Sie installieren, aktualisieren oder entfernen möchten, und Sie können
festlegen, ob die Apps erforderlich oder optional sind. Sie können auch die Gerätemodelle festlegen, die eine App unterstützen,
damit diese nur auf kompatiblen Geräten installiert wird. Wenn Sie festlegen, dass eine App erforderlich ist, wird die App
automatisch auf dem Gerät installiert. Wenn der Benutzer die App entfernt, können Sie ein Kompatibilitätsprofil verwenden, um
Benutzern eine Benachrichtigung zu senden und sie auffordern, die Anforderungen Ihres Unternehmens zu erfüllen. Sie
können auch den Zugriff von Benutzern auf die Ressourcen und Anwendungen Ihres Unternehmens beschränken und
Geschäftsdaten oder alle Daten vom Gerät löschen.
Auf Geräten mit Secure Work Space kann separat die gleiche App als gesicherte App und entweder als geschäftliche oder
persönliche App installiert sein. Jede Instanz der App wird von den anderen getrennt gehalten, und jede arbeitet gemäß den
Regeln und Beschränkungen, die für den Bereich gelten, in dem sie installiert ist. Die Apps können konfiguriert, aktualisiert
oder unabhängig voneinander entfernt werden, und die Veränderungen an der einen Instanz haben keine Auswirkungen auf die
andere Instanz. Beispielsweise kann bei einer als persönliche App installierte Instant-Messaging-App das Hinzufügen von
geschäftlichen Kontakten beschränkt sein, während die gleiche Instant-Messaging-App, die als gesicherte App installiert
wurde, nicht dieser Beschränkung unterliegt.
Wie ein geschäftlicher Bereich gesicherte Apps wrappt
Ein geschäftlicher Bereich schützt gesicherte Apps vor anderen Apps, die auf dem Gerät ausgeführt werden, durch den
Gebrauch von App-Wrapping. App-Wrapping ist ein Prozess, bei dem eine Sicherheits- und Kontrollebene um eine vorhandene
App gelegt wird. Der Quellcode der Anwendung wird nicht geändert. Stattdessen nimmt der App-Wrapping-Vorgang die
137
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
Anforderungen auf, die die App an Systemdienste macht, und leitet diese an eine Bibliothek von Mechanismen und Richtlinien
um. BES12 wrappt Apps automatisch für iOS-Geräte und Android-Geräte, wenn Sie die Apps als gesicherte Apps
kennzeichnen. Der App-Wrapping-Vorgang ist vollständig kompatibel mit den Richtlinien, die Apple für iOS-Geräte geltend
macht.
Der App-Wrapping-Vorgang schaltet System-API-Aufrufe zwischen, damit der geschäftliche Bereich die Anforderungen einer
gesicherten App für Systemdienste umleiten kann. Bei Android OS, wo die Apps unter dem virtuellen Dalvik-Computer
ausgeführt werden, führt der geschäftliche Bereich die Zwischenschaltung auf zwei Ebenen durch: Austauschen von DalvikByte-Code-API-Aufrufen durch die eigenen Abschnitte und Verbinden von Aufrufen für den systemeigenen Objektcode. Bei
iOS, bei denen Apps nicht unter einem virtuellen Computer ausgeführt werden, verbindet der geschäftliche Bereich Aufrufe nur
für den systemeigenen Objektcode.
Der App-Wrapping-Vorgang packt die App anschließend so um, dass der Sicherheitscode und der ursprüngliche Code physisch
untrennbar sind. Dieses Umpacken stellt sicher, dass alle nachfolgenden Änderungen an einer gesicherten App durch einen
Dritten verhindern, dass die App auf dem Gerät läuft.
App-Wrapping in der BlackBerry Infrastructure
Ist das Wrapping einer App erfolgreich, wird die App 72 Stunden in der BlackBerry Infrastructure gespeichert, nachdem das
Wrapping abgeschlossen ist. Schlägt das Wrapping einer App fehl, dann gibt die BlackBerry Infrastructure einen Fehlerstatus
an BES12 aus, bevor die BlackBerry Infrastructure die App aus ihren Datensätzen löscht.
Wenn BES12 eine App an die BlackBerry Infrastructure zum Wrapping sendet, wird ein eindeutiger Mandantenbezeichner
gesendet. Die BlackBerry Infrastructure bezieht den Mandantenbezeichner im Wrapping mit ein und erfasst die Zuordnung
zwischen dem Mandantenbezeichner und der gewrappten App. Wenn die App nach der Weiterleitung an ein Gerät einen
Zusammenschluss mit anderen gesicherten Apps versucht, sendet das Gerät zunächst eine Anforderung an die BlackBerry
Infrastructure, um zu überprüfen, ob Benutzer, Gerät und App mit dem Mandantenbezeichner verknüpft sind. Durch diese
Überprüfung wird verhindert, dass die App im geschäftlichen Bereich anderer Besitzer von BES12 ausgeführt wird. Die
BlackBerry Infrastructure untersucht während der Überprüfung auch App-Metadaten wie die Signatur und den Paketnamen.
Wenn die Überprüfung erfolgreich ist, wird die App für den Zusammenschluss auf dem Gerät zugelassen.
Externe gesicherte Apps, die öffentlich in einem App Store verfügbar sind, enthalten keinen Mandantenbezeichner und können
im geschäftlichen Bereich aller BES12-Besitzer ausgeführt werden.
Informationsaustausch zwischen gesicherten Apps
In einem Verbund können gesicherte Apps Informationen kontrolliert teilen. App-Wrapping bietet eine definierte Schnittstelle,
die einschränkt, was die Apps tun können, wenn sie mithilfe des verschlüsselten Dateisystems kommunizieren.
Wenn eine gesicherte App in BlackBerry Infrastructure gewrappt ist, wird ein Hash des Codes der App erstellt. Dieser Hash ist
auch als Fingerabdruck bekannt. BlackBerry Infrastructure erfasst den Fingerabdruck und die Metadaten der App.
Wenn eine gesicherte App zum ersten Mal auf einem Gerät ausgeführt wird, erstellt das Gerät eine Laufzeitversion des
Fingerabdrucks und der Metadaten der App und sendet sie an BlackBerry Infrastructure. Der BlackBerry Infrastructure
vergleicht den Fingerabdruck und die Metadaten, die er gespeichert hat, mit den Laufzeitversionen des Fingerabdrucks und
den Metadaten. Wenn sie übereinstimmen, informiert BlackBerry Infrastructure das Gerät, dass es einen Verbund erstellen und
138
ENTWURF - BlackBerry Interner Gebrauch
Sicherheit der Secure Work Space
die App ausführen kann. Wenn die beiden Versionen von Fingerabdruck und Metadaten nicht übereinstimmen, informiert
BlackBerry Infrastructure das Gerät, dass es keinen Verbund erstellen und die App nicht ausführen kann. Dem Benutzer wird
eine Fehlermeldung angezeigt.
Eine dynamische Verbundliste auf dem Gerät ermittelt, welche gesicherten Apps einen Verbund erstellen können. Wenn
BlackBerry Infrastructure das Gerät informiert, dass es einen Verbund erstellen und die App ausführen kann, fügt das Gerät die
App zur Verbundliste hinzu. Jedes weitere Mal, wenn die App ausgeführt wird, vergleicht das Gerät den Laufzeit-Fingerabdruck
der App mit dem in der Verbundliste zwischengespeicherten Fingerabdruck. BlackBerry Infrastructure kann die Verbundliste
jederzeit widerrufen und das Gerät dazu zwingen, die Liste wiederherzustellen. Netzwerkkonnektivität ist erforderlich, um zu
überprüfen, ob eine App einen Verbund erstellen darf.
Wenn ein Verbund erfolgreich erstellt wurde, können die verbundenen Apps einen eingeschränkten Schlüsselaustausch
durchführen, sodass sie auf die gleichen Daten im verschlüsselten Dateisystem zugreifen können.
Wie ein geschäftlicher Bereich Fingerabdrücke von gesicherten
Apps nimmt
Ein geschäftlicher Bereich schützt gesicherte Apps vor Trojanern und Schadsoftware, indem er die Fingerabdruckmethode
verwendet. Die Fingerabdruckmethode verwendet einen Algorithmus, um eine App zu einer kurzen Bitfolge zuzuordnen, die als
Fingerabdruck der App dient. Der Fingerabdruck dient als eindeutiger Datensatz der App. Die Überprüfung eines
Fingerabdrucks ist effizienter als die Übertragung und der Vergleich der ursprünglichen App mit der App auf dem Gerät, was
viel größere Dateien als ein Fingerabdruck erfordert.
Bevor eine gesicherte App mit Secure Work Space zu einem Gerät hinzugefügt wird, nimmt der BlackBerry Infrastructure
Fingerabdrücke von der gesicherten App. Der BlackBerry Infrastructure sendet die gesicherte App und den Fingerabdruck an
das Gerät. Bevor die gesicherte App zum Gerät hinzugefügt wird, berechnet der geschäftliche Bereich den Fingerabdruck der
gesicherten App und vergleicht ihn mit dem vom BlackBerry Infrastructure gesendeten Fingerabdruck. Jedes Mal, wenn die
gesicherte App ausgeführt wird, berechnet der geschäftliche Bereich den Fingerabdruck der gesicherten App neu und
vergleicht ihn mit dem vom BlackBerry Infrastructure gesendeten Fingerabdruck. In allen Fällen, in denen die verglichenen
Fingerabdrücke nicht zusammenpassen, führt das Gerät die gesicherte App nicht aus.
Anlagen für gesicherte Apps von Dritten
Standardmäßig können Anlagen für eine gesicherte App von Dritten nicht außerhalb der UID geöffnet werden, es sei denn, die
App erlaubt das Teilen von Daten mit anderen Apps. Zu den Anlagen für eine gesicherte App von Dritten gehören beispielsweise
E-Mail, MMS und Browserdownloads. Das Wrapping auf der App fängt die Standard-APIs ab, die iOS und Android verwenden,
und hindert die App daran, Daten an eine andere App zu übermitteln. Private APIs sind in iOS oder Android nicht erlaubt. Das
Wrapping stellt außerdem sicher, dass Anlagen verschlüsselt werden, bevor sie gespeichert werden.
139
ENTWURF - BlackBerry Interner Gebrauch
Verwalten von Apps auf BlackBerry 10-Geräten
Verwalten von Apps auf BlackBerry
10-Geräten
13
Sie können BES12 verwenden, um Apps, die Ihr Unternehmen als geschäftliche Apps auf BlackBerry 10-Geräten verfügbar
machen will, zu verwalten und zu überwachen.
Sie können auch kontrollieren, wie Benutzer persönliche Apps auf Geräten installieren können.
Verwalten geschäftlicher Apps auf Geräten
Sie können BES12 verwenden, um Apps, die Ihr Unternehmen als geschäftliche Apps auf BlackBerry 10-Geräten verfügbar
machen will, zu verwalten und zu überwachen.
Geschäftliche Apps werden zum geschäftlichen Bereich auf Geräten hinzugefügt, und geschäftliche Apps können nur auf
Geschäftsdaten zugreifen und mit anderen geschäftlichen Apps interagieren. Auf Geräten kann dieselbe App getrennt
voneinander im geschäftlichen Bereich und im persönlichen Bereich installiert sein. Jede Instanz der App wird von der anderen
getrennt gehalten, und jede arbeitet gemäß den Regeln und Beschränkungen, die für den Bereich gelten, in dem sie installiert
ist. Die Apps können konfiguriert, aktualisiert oder unabhängig voneinander entfernt werden, und die Veränderungen an der
einen Instanz haben keine Auswirkungen auf die andere Instanz. Beispielsweise kann eine im persönlichen Bereich installierte
Instant Messaging-App gegen das Hinzufügen von geschäftlichen Kontakten beschränkt sein, während die gleiche, im
geschäftlichen Bereich installierte Instant Messaging-App nicht dieser Beschränkung unterliegt.
Hinweis: Der geschäftliche Bereich unterstützt BlackBerry Runtime für Android-Apps nicht.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
BlackBerry World for Work
Die App BlackBerry World for Work wird während der Aktivierung im geschäftlichen Bereich auf Geräten geladen.
BlackBerry World for Work enthält eine Registerkarte "Geschäftliche Apps" und eine Registerkarte "Öffentliche Apps", auf
denen optionale Apps aufgelistet werden. Die Registerkarte "Geschäftliche Apps" bietet eine Liste optionaler Apps, die von
Ihrem Unternehmen gehostet werden. Die Registerkarte "Öffentliche Apps" bietet eine Liste von Apps aus der öffentlichen
BlackBerry World-App.
Benutzer können nur Apps installieren, die Sie mithilfe von BES12- und öffentlichen BlackBerry World-Apps bereitstellen, die
Sie als optionale Apps im geschäftlichen Bereich angeben. Benutzer können keine Apps installieren, die nicht von Ihrem
Unternehmen zugelassen wurden.
140
ENTWURF - BlackBerry Interner Gebrauch
Verwalten von Apps auf BlackBerry 10-Geräten
Wenn eine der Apps, die Sie als optionale Apps angeben, nicht bestimmten Kriterien für Geräte (z. B. Dienstanbieter, Land oder
Geräteversion) entsprechen, erscheinen die Apps auf diesen Geräten nicht in BlackBerry World for Work.
Geräte klassifizieren Android-Apps als persönliche Apps, und persönliche Apps können nicht auf Geräten, die nur über einen
geschäftlichen Bereich verfügen, installiert werden. Wenn Sie eine Android-App aus dem öffentlichen BlackBerry World als eine
optionale Apps bestimmen, erscheint diese auf Geräten nicht in BlackBerry World for Work.
Weitere Informationen zum Hinzufügen von Apps zu BlackBerry World for Work finden Sie in der Dokumentation für
Administratoren.
Installieren von persönlichen Apps auf Geräten
Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Benutzer im persönlichen Bereich Apps aus
verschiedenen Quellen wie z. B BlackBerry World, E-Mail-Anhängen, Downloads über den Browser, Medienkarten und mithilfe
des Entwicklungsmodus installieren (wenn der Entwicklungsmodus nicht beschränkt ist).
Auf regulierten BlackBerry Balance-Geräten können Sie die IT-Richtlinienregel "Installieren von Apps aus anderen Quellen
erlauben" verwenden, um Benutzer an der Installation von Apps im persönlichen Bereich aus anderen Quellen als BlackBerry
World oder mithilfe des Entwicklungsmodus zu hindern. Wenn jedoch die IT-Richtlinienregel "Entwicklungsmodus
beschränken" ausgewählt ist, ist es Benutzern auch nicht mithilfe des Entwicklungsmodus möglich, persönliche Apps zu
installieren.
Nutzer mithilfe von Entwicklungstools von der
Installation von Apps abhalten
App-Entwickler können Entwicklungstools verwenden, um Apps, die sie entwickeln, zu testen, indem sie die Apps auf
BlackBerry 10-Geräten mithilfe einer USB- oder Wi-Fi-Verbindung installieren.
Sie können die IT-Richtlinienregel "Entwicklungsmodus beschränken" verwenden, um Benutzer daran zu hindern,
Entwicklungstools zu benutzen, um Apps auf Geräten zu installieren. Alternativ können Sie die Regel "Entwicklungsmodus
Zugriff auf geschäftlichen Bereich erlauben" verwenden, um Benutzer daran zu hindern, Entwicklungstools zu benutzen, um
Apps im geschäftlichen Bereich auf Geräten zu installieren.
Wenn der Entwicklungsmodus auf Geräten nicht erlaubt ist:
•
Benutzer können Apps im geschäftlichen Bereich nur von der Verkaufsplattform BlackBerry World for Work aus
installieren
•
Auf BlackBerry Balance und regulierten BlackBerry Balance-Geräten können Benutzer im persönlichen Bereich Apps
aus allen verfügbaren Quellen (wie z. B. BlackBerry World und Herunterladen von Apps über den Browser)
installieren, außer, wenn sie den Entwicklungsmodus nutzen
141
ENTWURF - BlackBerry Interner Gebrauch
Verwalten von Apps auf BlackBerry 10-Geräten
Schützen eines Geräts vor schädlichen Apps
Apps werden getestet, um sicherzustellen, dass sie nicht die Grundfunktionen von BlackBerry 10-Geräten beeinträchtigen,
bevor sie von BlackBerry genehmigt und auf der BlackBerry World-Verkaufsplattform zur Verfügung gestellt werden. BlackBerry
kann alle Apps aus BlackBerry World entfernen, die als potenziell schädlich erkannt wurden oder nicht der BlackBerry WorldGeschäftsvereinbarung entsprechen.
Verweigerung des Zugriffs auf geschäftliche
Apps und Daten für die BlackBerry Runtime für
Android-Apps
BlackBerry Balance- und regulierte BlackBerry Balance-Geräte klassifizieren Android-Apps als persönliche Apps, sodass sie
nur in den persönlichen Bereich der Geräte installiert werden können. Sie können Android-Apps nicht für die Installation im
geschäftlichen Bereich bereitstellen oder genehmigen. Android-Apps können nur auf persönliche Daten im persönlichen
Bereich zugreifen. Android-Apps haben keinen Zugriff auf die geschäftlichen Apps oder auf geschäftliche Daten im
geschäftlichen Bereich.
Verwalten der von Apps geöffneten Links in
geschäftlichen und persönlichen Bereichen
eines Geräts
Im Allgemeinen können geschäftliche Apps nur andere geschäftliche Apps öffnen und persönliche Apps nur andere
persönliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten öffnen. Zum Beispiel öffnet sich bei
dem Klicken auf Links in persönlichen E-Mail-Nachrichten der Browser im persönlichen Bereich. In einigen Fällen öffnen die
geschäftlichen Apps solche, die als persönliche Apps klassifiziert wurden, wie Telefon, BBM oder SMS. In diesen Fällen haben
Geräte Beschränkungen, um gegen Datenverlust geschützt zu sein und zu versichern, dass nur die minimal erforderliche
Datenmenge bei der Initiierung der persönlichen Apps zwischen den geschäftlichen und persönlichen Apps übertragen wird.
Standardmäßig können Benutzer den Browser im persönlichen Bereich verwenden, um Links sowohl in persönlichen als auch
in geschäftlichen E-Mail-Nachrichten zu öffnen. Links in geschäftlichen E-Mail-Nachrichten öffnen den Browser im
persönlichen Bereich und die Geräte zeigen eine Nachricht an, die stattdessen das Öffnen des Links im Browser des
geschäftlichen Bereichs zulässt.
Ihr Unternehmen erfordert möglicherweise, dass Intranetlinks im Browser des geschäftlichen Bereichs geöffnet werden
können. Wenn Sie möchten, dass Links aus geschäftlichen E-Mail-Nachrichten immer im Browser des geschäftlichen Bereichs
142
ENTWURF - BlackBerry Interner Gebrauch
Verwalten von Apps auf BlackBerry 10-Geräten
geöffnet werden, stellen Sie sicher, dass die IT-Richtlinienregel "Öffnen von Links in geschäftlichen E-Mail-Nachrichten im
persönlichen Browser zulassen" nicht ausgewählt wurde.
Verhindern, dass Benutzer in geschäftlichen
Apps Sprachaufzeichnungen verwenden
Standardmäßig können Benutzer Sprachaufzeichnungen in allen Apps anwenden, die diese Funktion auf BlackBerry Balanceund regulierten BlackBerry Balance-Geräten unterstützten.
Sie können die IT-Richtlinienregel "Sprachaufzeichnung in geschäftlichen Apps zulassen" anwenden, um zuzulassen oder zu
verhindern, dass Benutzer die Sprachaufzeichnung in geschäftlichen Apps verwenden.
Verhindern, dass Benutzer bei gemeinsamer
Bildschirmnutzung während BBM Video-Chats
geschäftliche Dateien teilen
Standardmäßig können sich Benutzer den Bildschirm mit anderen BBM Video-Chatteilnehmern während eines BBM VideoChats teilen, wenn sie sich im geschäftlichen Bereich auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten
befinden.
Sie können die IT-Richtlinienregel "Teilen von geschäftlichen Dateien während der BBM Videobildschirmfreigabe erlauben"
anwenden, um zuzulassen oder zu verhindern, dass Benutzer geschäftliche Bildschirmansichten mit anderen BBM VideoChatteilnehmern während eines BBM Video-Chats teilen. Wenn diese Regel nicht ausgewählt wurde, sperrt ein Gerät den
geschäftlichen Bereich, wenn ein Benutzer den Bildschirm während eines BBM Video-Chats freigibt, und der Benutzer kann
den geschäftlichen Bereich erst dann entsperren, wenn der Vorgang der Bildschirmfreigabe des BBM Video-Chats vollständig
beendet wurde.
Apps auf Geräten unverfügbar machen
Sie können die folgenden IT-Richtlinienregeln verwenden, um einige Apps auf regulierten BlackBerry Balance-Geräten
(persönliche und geschäftliche Bereiche) und auf Geräten, die nur über einen geschäftlichen Bereich verfügen, unverfügbar zu
machen:
•
BlackBerry Maps zulassen
•
Apps von Mobilfunkanbietern zulassen
143
ENTWURF - BlackBerry Interner Gebrauch
Verwalten von Apps auf BlackBerry 10-Geräten
•
YouTube für BlackBerry-Geräte zulassen
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Steuern, wie sich Apps mit Netzwerken
verbinden
Sie können IT-Richtlinienregeln anwenden, um festzulegen, wie geschäftliche Apps und persönliche Apps (auf Geräten mit
einem persönlichen Bereich) mit Netzwerken verbunden werden.
Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten wird der geschäftliche und der persönliche Datenverkehr
unabhängig voneinander weitergeleitet. Da Geräte, die nur über einen geschäftlichen Bereich verfügen, vollständig von Ihrem
Unternehmen gesteuert werden, gelten alle Apps und Daten auf diesen Geräten als geschäftliche Apps und geschäftliche
Daten.
Steuern, wie geschäftliche Apps eine Verbindung zu
Geschäftsnetzwerken herstellen
Mit IT-Richtlinienregeln können Sie steuern, welche Verbindungsarten geschäftliche Apps zum Herstellen einer Verbindung zu
Ihrem Unternehmensnetzwerk verwenden können. Geschäftliche Apps können über mehrere Kommunikationsmethoden auf
Ihr Unternehmensnetzwerk zugreifen. Je nach Einstellungen der IT-Richtlinienregeln werden bestimmte Verbindungen für
geschäftliche Apps zur Verfügung gestellt. Diese Verbindungen werden priorisiert und geschäftliche Apps verwenden
normalerweise die Standardroute.
Die IT-Richtlinie „Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen“ steuert, welche Verbindungen für
geschäftliche Apps verfügbar sind. Wenn die IT-Richtlinienregel „Steuerung des Netzwerkzugriffs für geschäftliche Apps
erzwingen“ nicht aktiviert ist, versuchen geschäftliche Apps in dieser Reihenfolge über die folgenden
Kommunikationsmethoden eine Verbindung zu Ihrem Unternehmensnetzwerk herzustellen:
1.
Geschäftliche VPN-Profile über ein Wi-Fi-Netzwerk
2.
Geschäftliche VPN-Profile über ein mobiles Netzwerk
3.
Geschäftliche Wi-Fi-Profile
4.
BlackBerry Infrastructure über ein Wi-Fi-Netzwerk
5.
BlackBerry Infrastructure über ein Mobilfunknetz
144
ENTWURF - BlackBerry Interner Gebrauch
Verwalten von Apps auf BlackBerry 10-Geräten
Geschäftliche Apps können standardmäßig Wi-Fi-Profile, VPN-Profile oder BES12 für die Verbindung mit Ihrem
Unternehmensnetzwerk verwenden. Wenn Sie den gesamten Datenverkehr auf Geräten steuern oder filtern möchten, können
Sie die IT-Richtlinienregel „Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen“ verwenden. Wenn Sie diese
Regel wählen, deaktivieren Sie Wi-Fi- und VPN-Verbindungen für geschäftliche Apps und beschränken die Konnektivität
ausschließlich auf BES12 (dabei kommen der BlackBerry MDS Connection Service und die BlackBerry Infrastructure zum
Einsatz).
Wenn die IT-Richtlinienregel „Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen“ aktiviert ist, versuchen
geschäftliche Apps in dieser Reihenfolge über die folgenden Kommunikationsmethoden eine Verbindung zu Ihrem
Unternehmensnetzwerk herzustellen:
1.
BlackBerry Infrastructure über ein Wi-Fi-Netzwerk
2.
BlackBerry Infrastructure über ein Mobilfunknetz
145
ENTWURF - BlackBerry Interner Gebrauch
Verwalten von Apps auf BlackBerry 10-Geräten
Verhindern, dass sich persönliche Apps mit Netzwerken
verbinden
Standardmäßig können persönliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräte das Netzwerk
Ihres Unternehmens Wi-Fi oder VPN-Netzwerke verwenden, um eine Verbindung mit dem Internet herzustellen.
Sie können die IT-Richtlinienregel "Verwenden der geschäftlichen Netzwerke für persönliche Apps zulassen" anwenden, um zu
verhindern oder zuzulassen, dass die Apps im persönlichen Bereich die Netzwerke Ihres Unternehmens verwenden, um eine
Verbindung mit dem Internet herzustellen. Wenn Sie verhindern, dass alle persönlichen Apps das Netzwerk Ihres
Unternehmens verwenden, um eine Verbindung mit dem Internet herzustellen, wenn kein persönliches Netzwerk verfügbar ist,
ist es möglich, dass persönliche Apps, die eine Internetverbindung erfordern, nicht funktionieren.
Wenn die IT-Richtlinienregel "Verwenden der geschäftlichen Netzwerke für persönliche Apps zulassen" ausgewählt wurde,
können Benutzer trotzdem verhindern, dass Apps im persönlichen Bereich das Netzwerk Ihres Unternehmens verwenden, um
eine Verbindung mit dem Internet herzustellen. Hierzu muss die Option "Verwenden des geschäftlichen Netzwerks für
persönliche Apps zulassen" in den "BlackBerry Balance"-Einstellungen Ihres Gerätes aktiviert werden. Benutzer können dies
tun, um ihre Privatsphäre zu schützen.
BBM Video wird als eine persönliche App auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten klassifiziert.
Wenn Sie zulassen, dass persönliche Apps die Netzwerke Ihres Unternehmens verwenden, um eine Verbindung mit dem
Internet herzustellen (indem die IT-Richtlinienregel "Verwenden der geschäftlichen Netzwerke für persönliche Apps zulassen"
aktiviert wird), können Sie verhindern, dass BBM Video das Wi-Fi-Netzwerk Ihres Unternehmens oder das VPN-Netzwerk für
einkommende und ausgehende Videochats verwendet, indem versichert wird, dass die IT-Richtlinienregel "Verwenden des
geschäftlichen Netzwerks für BBM Videozugang zulassen" ausgewählt wurde.
146
ENTWURF - BlackBerry Interner Gebrauch
Verwalten von Apps auf BlackBerry 10-Geräten
Geschäftlichen Apps erlauben, eine Verbindung zu
persönlichen Netzwerken herzustellen
Standardmäßig können geschäftliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten keine
persönlichen Netzwerke nutzen, um eine Verbindung zum Internet herzustellen. Sie können die IT-Richtlinienregel
"Geschäftlichen Apps erlauben, persönliche Netzwerke zu nutzen", um geschäftlichen Apps, einschließlich TerminplanerApps, zu erlauben, eine Verbindung mithilfe persönlicher Netzwerke herzustellen, wenn eine geschäftliche Wi-Fi- oder
geschäftliche VPN-Verbindung nicht verfügbar ist, oder wenn Ihr Unternehmen keine geschäftlichen Wi-Fi- oder geschäftlichen
VPN-Profile an das Gerät sendet.
Die meisten Apps auf Geräten, die nur über einen geschäftlichen Bereich verfügen, senden alle Daten über das Netzwerk Ihres
Unternehmens. Die folgenden Apps und Funktionen auf Geräten, die nur über einen geschäftlichen Bereich verfügen, leiten
keinen Datenverkehr durch das Netzwerk Ihres Unternehmens und können Daten durch jede persönliche Wi-Fi-Verbindung
oder über das mobile Netzwerk senden:
•
Softwareupdates
•
BBM, einschließlich BBM Voice und BBM Video
•
Hotspot-Browser
•
Mobile Bezahl-Kommunikation mit einem Zahlungsdienst
•
Ersteinrichtung persönlicher E-Mail-Konten (persönliche E-Mail-Nachrichten werden durch das Netzwerk Ihres
Unternehmens geleitet)
147
ENTWURF - BlackBerry Interner Gebrauch
Kryptografie auf BlackBerry 10-Geräten
Kryptografie auf BlackBerry 10Geräten
14
BlackBerry 10-Geräte unterstützen verschiedene Arten von kryptografischen Algorithmen, Codes, Protokollen und APIs.
Symmetrische Verschlüsselungsalgorithmen
Algorithmus
Schlüssellänge (in Bits)
Modi
AES
128, 192, 256
CBC, CFB, ECB, OFB, CTR, CCM/CCM*, GCM,
Key Wrap (RFC 3394)
AES
512
XTS
Blowfish
bis zu 256
CBC, CFB, ECB, OFB
Camellia
128, 192, 256
CBC, ECB
CAST
40 bis 128
CBC, CFB, ECB, OFB
DES
56
CBC, CFB, ECB, OFB
DESX
184
CBC, CFB, ECB, OFB
RC2
bis zu 256
CBC, CFB, ECB, OFB
RC4
bis zu 256
—
Triple DES
112, 168
CBC, CFB, ECB, OFB
Asymmetrische Verschlüsselungsalgorithmen
Algorithmus
Unterstützte Kurven- oder Schlüssellänge (in Bits)
ECIES
secp192r1, secp256r1, secp384r1, secp521r1, sect163k1,
sect283k1
148
ENTWURF - BlackBerry Interner Gebrauch
Kryptografie auf BlackBerry 10-Geräten
Algorithmus
Unterstützte Kurven- oder Schlüssellänge (in Bits)
RSA PKCS#1 v1.5 / PKCS#1 v2.1 (OAEP)
512, 1024, 2048, 4096
Hash-Algorithmen
Algorithmus
Digest-Größe (in Bits)
AES-MMO
128
MD2
128
MD4
128
MD5
128
MDC-2
128
RIPEMD-160
160
SHA-1
160
SHA-2
224, 256, 384, 512
Nachrichtenauthentifizierungscode
Codes
Schlüssellänge (in Bits)
AES-XCBC-MAC
128
CMAC-AES
28, 192, 256
HMAC-MD5
128
HMAC-SHA-1
160
HMAC-SHA-2
224, 256, 384, 512
HMAC-RIPEMD-160
160
149
ENTWURF - BlackBerry Interner Gebrauch
Kryptografie auf BlackBerry 10-Geräten
Signaturalgorithmen
Algorithmus
Unterstützte Kurven- oder Schlüssellänge (in Bits)
DSA (FIPS 186-3)
1024, 2048, 3072
ECDSA
secp192r1, secp256r1, secp384r1, secp521r1, sect163k1,
sect283k1
ECQV
secp192r1, secp256r1, secp384r1, secp521r1, sect163k1,
sect283k1
RSA PKCS#1 v1.5 / PKCS#1 v2.1 (PSS)
512, 1024, 2048, 4096
Schlüsselvereinbarungsalgorithmen
Algorithmus
Unterstützte Kurven- oder Schlüssellänge (in Bits)
DH
1024, 2048, 3072
ECDH
secp192r1, secp256r1, secp384r1, secp521r1, sect163k1,
sect283k1
ECMQV
secp192r1, secp256r1, secp384r1, secp521r1, sect163k1,
sect283k1
Kryptografische Protokolle
Internetsicherheitsprotokolle
•
DTLS 1.0
•
SSL 2.0
•
SSL 3.0
•
TLS 1.0
•
TLS 1.1
150
ENTWURF - BlackBerry Interner Gebrauch
Kryptografie auf BlackBerry 10-Geräten
•
TLS 1.2
VPN-Sicherheitsprotokolle
•
IKE
•
IKEv2
•
IPSec
Wi-Fi-Sicherheitsprotokolle
•
WEP
•
WPA-Personal
•
WPA - geschäftlich
•
WPA2-Personal
•
WPA2 - geschäftlich
Cipher-Suites für SSL/TLS-Verbindungen
BlackBerry 10-Geräte unterstützen unterschiedliche Cipher-Suites für SSL/TLS im Direktmodus, wenn sie SSL/TLSVerbindungen zur BlackBerry Infrastructure oder zu Webservern innerhalb oder außerhalb Ihres Unternehmens herstellen. Die
folgenden Cipher-Suites werden unterstützt:
•
TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
•
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
•
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
•
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
•
TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA
•
TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA
•
TLS_DHE_DSS_WITH_DES_CBC_SHA
•
TLS_DHE_DSS_WITH_SEED_CBC_SHA
•
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
•
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
•
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
•
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
151
ENTWURF - BlackBerry Interner Gebrauch
Kryptografie auf BlackBerry 10-Geräten
•
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
•
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
•
TLS_DHE_RSA_WITH_DES_CBC_SHA
•
TLS_DHE_RSA_WITH_SEED_CBC_SHA
•
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
•
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
•
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
•
TLS_ECDH_ECDSA_WITH_RC4_128_SHA
•
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
•
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
•
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
•
TLS_ECDH_RSA_WITH_RC4_128_SHA
•
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
•
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
•
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
•
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
•
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
•
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
•
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
•
TLS_ECDHE_RSA_WITH_RC4_128_SHA
•
TLS_PSK_WITH_3DES_EDE_CBC_SHA
•
TLS_PSK_WITH_AES_128_CBC_SHA
•
TLS_PSK_WITH_AES_256_CBC_SHA
•
TLS_PSK_WITH_RC4_128_SHA
•
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
•
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
•
TLS_RSA_EXPORT_WITH_RC4_40_MD5
•
TLS_RSA_WITH_3DES_EDE_CBC_SHA
•
TLS_RSA_WITH_AES_128_CBC_SHA
•
TLS_RSA_WITH_AES_256_CBC_SHA
•
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
•
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
•
TLS_RSA_WITH_DES_CBC_SHA
•
TLS_RSA_WITH_RC4_128_MD5
152
ENTWURF - BlackBerry Interner Gebrauch
Kryptografie auf BlackBerry 10-Geräten
•
TLS_RSA_WITH_RC4_128_SHA
•
TLS_RSA_WITH_SEED_CBC_SHA
Kryptografische Bibliotheken
•
BlackBerry OS Cryptographic Library
•
OpenSSL
Kryptografische VPN-Unterstützung
Authentifizierungst IKE IPSec
ypen
DH-Gruppe
IKE-IPSecChiffrierschlüssel
IKE
PSK, PKI, XAUTHPSK, XAUTH-PKI
1, 2, 5, 7 bis
26
IKEv2
PSK, PKI, EAP-TLS, 1, 2, 5, 7 bis
EAP-MS-CHAPv2
26
Protokoll
IKE IPSec-Hash
IKE PRF
DES (56-BitSchlüssel), Triple
DES (168-BitSchlüssel), AES
(128, 192, 256-BitSchlüssel)
AES-XCBC, MD5,
SHA-1, SHA-256,
SHA-384, SHA-512
AES-XCBC, HMACMD5, HMAC-SHA-1,
HMAC-SHA-256,
HMAC-SHA-384,
HMAC-SHA-512
DES (56-BitSchlüssel), Triple
DES (168-BitSchlüssel), AES
(128, 192, 256-BitSchlüssel)
AES-XCBC, MD5,
SHA-1, SHA-256,
SHA-384, SHA-512
AES-XCBC, HMACMD5, HMAC-SHA-1,
HMAC-SHA-256,
HMAC-SHA-384,
HMAC-SHA-512
Kryptografische Wi-Fi-Unterstützung
Kryptografisches Protokoll Verschlüsselung
EAP externe Methode
EAP interne Methode
WEP
RC4
—
—
WPA
TKIP
PEAP, EAP-TTLS, EAP-FAST, EAPTLS, EAP-AKA, EAP-SIM
MSCHAPv2, EAP-GTC, PAP
153
ENTWURF - BlackBerry Interner Gebrauch
Kryptografie auf BlackBerry 10-Geräten
Kryptografisches Protokoll Verschlüsselung
EAP externe Methode
EAP interne Methode
WPA2
PEAP, EAP-TTLS, EAP-FAST, EAPTLS, EAP-AKA, EAP-SIM
MSCHAPv2, EAP-GTC, PAP
TKIP, CCMP (AES)
154
ENTWURF - BlackBerry Interner Gebrauch
BlackBerry OS-Gerätesicherheit
BlackBerry OS-Gerätesicherheit
15
Wenn die BES12-Domäne Ihres Unternehmens BlackBerry OS-Geräte (Version 5.0 bis 7.1) unterstützt, informieren Sie sich in
der folgenden Tabelle über weiterführende Informationen zur Sicherheit von BlackBerry OS-Geräten.
Besuchen Sie docs.blackberry.com/BES5, und lesen Sie BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit.
Weitere Informationen
Ressource
Aktivieren und Verwalten der Geräte
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Aktivieren eines Geräts
•
Verwalten der Sicherheit der BlackBerry Enterprise Solution
BES12-Dokumentation für Administratoren
•
Daten während der Übertragung
Daten im Ruhezustand
IT-Administrationsbefehle
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Verschlüsseln der zwischen dem BlackBerry Enterprise Server
und einem Gerät gesendeten Daten
•
Schützen der Kommunikation mit einem Gerät
•
Schützen der Kommunikation in Ihrer Unternehmensumgebung
•
Wi-Fi-fähige Geräte
•
IEEE 802.1X-Standard
•
Verwenden eines VPN mit einem Gerät
•
Verwalten von Zertifikaten auf einem Gerät
•
Schützen von BlackBerry Device Software-Updates
•
Erweitern der Nachrichtensicherheit für ein Gerät
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Schlüssel auf einem Gerät
•
Gerätespeicher
•
Schützen von Geräten in Ihrer Unternehmensumgebung für den
privaten und geschäftlichen Gebrauch
•
Schützen von Daten auf einem Gerät
155
ENTWURF - BlackBerry Interner Gebrauch
BlackBerry OS-Gerätesicherheit
Weitere Informationen
Apps
Ressource
•
Schützen der vom BlackBerry Enterprise Server in Ihrer
Unternehmensumgebung gespeicherten Daten
•
Konfigurieren der Zwei-Faktor-Authentifizierung und Schützen
von Bluetooth-Verbindungen
•
Wi-Fi-fähige Geräte
•
IEEE 802.1X-Standard
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Kryptografie
Steuern von Anwendungen auf einem Gerät
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
RIM-Kryptografie-API
156
ENTWURF - BlackBerry Interner Gebrauch
Glossar
Glossar
16
A2DP
Advanced Audio Distribution Profile (erweitertes Audioverteilungsprofil)
AES
Advanced Encryption Standard (erweiterter Verschlüsselungsstandard)
AES-CCMP
Advanced Encryption Standard (Erweiterter Verschlüsselungsstandard) Counter Mode CBCMACProtokoll
AES-XCBC
Advanced Encryption Standard Extended Cipher Block Chaining
AES-XCBC-MAC
Advanced Encryption Standard mit erweitertem CBC-Nachrichtenauthentifizierungscode (CBC:
Blockchiffrierungsverkettung)
API
Application Programming Interface (Anwendungsprogrammierschnittstelle)
ARC4
Alleged Rivest's Cipher 4 (Verschlüsselungsverfahren)
AVRCP
Audio/Video Remote Control Profile (Bluetooth-Profil zur Fernsteuerung von Audio- oder
Videogeräten)
BES5
BlackBerry Enterprise Server 5
BES12
BlackBerry Enterprise Service 12
BlackBerrySignaturstellensyste
m
Das BlackBerry-Signaturstellensystem wird von Drittentwicklern zum kryptografischen Signieren
ihrer Anwendungen genutzt.
BES12-Instanz
BES12-Instanz bezieht sich auf alle BES12-Komponenten, die auf einem Computer installiert sind,
mit Ausnahme des BlackBerry Router, bei dem es sich um eine separat installierte optionale
Komponente handelt. Eine BES12-Instanz wird auch manchmal als „Einheit“ bezeichnet.
CA
Zertifizierungsstelle
CAC
Common Access Card
CAST
Carlisle Adams Stafford Tavares (Verschlüsselungsverfahren)
CBC
Cipher Block Chaining (Geheimtextblockverkettung)
CCKM
Cisco® Centralized Key Management (Zentralisiertes Key Manangement von Cisco®)
CCM
Client Certificate Management
CFB
Cipher Feedback (Schlüsselrückführung)
CKIP
Cisco Key Integrity Protocol (Protokoll zur Schlüsselsicherheit von Cisco)
CRL
Certificate Revocation List (Zertifikatwiderrufliste)
CSR
Certificate Signing Request (Anforderung für die Zertifikatssignatur)
157
ENTWURF - BlackBerry Interner Gebrauch
Glossar
CTR
Messwert
DER
Distinguished Encoding Rules
DES
Data Encryption Standard (Datenverschlüsselungsstandard)
DH
Diffie-Hellman (Diffie-Hellman-Verfahren)
DISA
Defense Information Systems Agency
DMZ
Eine demilitarisierte Zone (DMZ) ist ein neutrales Subnetzwerk außerhalb der Firewall eines
Unternehmens. Sie besteht zwischen dem vertrauenswürdigen Unternehmens-LAN und dem nicht
vertrauenswürdigen externen drahtlosen Netzwerk und dem öffentlichen Internet.
DoS
Denial of Service (Dienstverweigerung)
DRBG
Deterministischer Zufallsbitgenerator
DSA
Digital Signature Algorithm (Digitaler Signaturalgorithmus)
DTLS
Datagram Transport Layer Security
EAP
Extensible Authentication Protocol (erweiterbares Authentifizierungsprotokoll)
EAP-AKA
Extensible Authentication Protocol Authentication and Key Agreement (Erweiterbares
Authentifizierungsprotokoll - Authentifizierung und Schlüsselvereinbarung)
EAP-FAST
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (Erweiterbares
Authentifizierungsprotokoll – Flexible Authentifizierung über sichere Tunnel)
EAP-GTC
Extensible Authentication Protocol-Generic Token Card (Erweiterbares Authentifizierungsprotokoll –
Generische Tokenkarte)
EAP-SIM
Extensible Authentication Protocol Subscriber Identity Module (Erweiterbares
Authentifizierungsprotokoll – Teilnehmeridentitätsmodul)
EAP-MS-CHAP
Extensible Authentication Protocol Microsoft® Challenge Handshake Authentication Protocol
(erweiterbares Authentifizierungsprotokoll – Challenge Handshake Authentication-Protokoll von
Microsoft®)
EAP-TLS
Extensible Authentication Protocol Transport Layer Security (erweiterbares
Authentifizierungsprotokoll – Transportschichtsicherheit)
EAP-TTLS
Extensible Authentication Protocol-Tunneled Transport Layer Security (Erweiterbares
Authentifizierungsprotokoll – Tunnel-Transportschichtsicherheit)
EAPoL
Extensible Authentication Protocol over LAN (erweiterbares Authentifizierungsprotokoll über LAN)
ECB
Electronic Codebook (elektronisches Codebook)
ECC
Elliptic Curve Cryptography (Kryptographieverfahren basierend auf elliptischer Kurve)
ECDH
Elliptic Curve Diffie-Hellman (elliptische Kurve nach Diffie-Hellman)
ECDSA
Elliptic Curve Digital Signature Algorithm (digitaler Signaturalgorithmus basierend auf elliptischer
Kurve)
158
ENTWURF - BlackBerry Interner Gebrauch
Glossar
ECIES
Elliptic Curve Integrated Encryption Standard (Verschlüsselungsverfahren basierend auf elliptischer
Kurve)
ECMQV
Elliptic Curve Menezes-Qu-Vanstone (Kryptographieverfahren basierend auf elliptischer Kurve)
EC-SPEKE
Elliptic Curve – Simple Password Exponential Key Exchange (einfacher KennwortexponentialSchlüsselaustausch)
EDE
Encryption-Decryption-Encryption (Verschlüsselung-Entschlüsselung-Verschlüsselung)
EMM
Enterprise Mobility Management
FIPS
Federal Information Processing Standards (US-Standard für die Informationsverarbeitung)
GCC
GNU Compiler Collection
GCM
Galois/Counter Mode
GPS
Global Positioning System (Satellitengestütztes Navigations- und Positionsbestimmungssystem)
HDMI
High-Definition Multimedia Interface
HFP
Hands-Free Profile (Freisprechprofil)
HMAC
Keyed-Hash Message Authentication Code (verschlüsselter HashNachrichtenauthentifizierungscode)
HTTP
Hypertext Transfer Protocol (Hypertextübertragungsprotokoll)
HTTPS
Hypertext Transfer Protocol over Secure Sockets Layer (HTTP über SSL)
IEEE
Institute of Electrical and Electronics Engineers
IETF
Internet Engineering Task Force
IKE
Internet Key Exchange
IP
Internet Protocol (Internetprotokoll)
IPSec
Internet Protocol Security (Internetprotokollsicherheit)
IRM
Information Rights Management (Verwaltung von Informationsrechten)
IT-Richtlinie
Eine IT-Richtlinie besteht aus verschiedenen Regeln, die die Sicherheitsmerkmale und das Verhalten
von Geräten steuern.
KDC
Ein Schlüsselverteilungscenter (KDC) ist ein Server, der die vertrauenswürdige Vermittlerrolle für das
Kerberos™-Protokoll ausführt. Der KDC veröffentlicht Diensttickets und verwaltet eine Liste von
Tickets, die es veröffentlicht hat. Domänencontroller sind KDCs.
LAN
Local Area Network (lokales Netzwerk)
LDAP
Lightweight Directory Access Protocol (Anwendungsprotokoll)
LED
Light-Emitting Diode (Leuchtdiode)
MAP
Message Access Profile (Nachrichtenzugriffsprofil)
MD
Message Digest Algorithm (kryptografische Hashfunktion)
159
ENTWURF - BlackBerry Interner Gebrauch
Glossar
MD5
Message-Digest Algorithm, Version 5 (Message-Digest-Algorithmus)
MDC
Modification Detection Code
MDM
Mobile Geräteverwaltung (Mobile Device Management)
MIME
Multipurpose Internet Mail Extensions (Protokoll für den Austausch von E-Mails über das Internet)
MMS
Multimedia Messaging Service (Multimedia-Dienst für mobile Geräte)
MOS
Mobiles Betriebssystem
MS-CHAP
Microsoft Challenge Handshake Authentication Protocol (Authentifizierungsprotokoll von Microsoft)
NDES
Network Device Enrollment Service (Registrierungsdienst für Netzwerkgeräte)
NFC
Near Field Communication (Nahfeldkommunikation)
NIST
National Institute of Standards and Technology (US-Standardisierungsinstitut)
NTLM
NT LAN Manager (Authentifizierungsverfahren für Rechnernetze)
NVRAM
Nonvolatile Random Access Memory
OBEX
Object Exchange (Objektaustausch)
OCSP
Online Certificate Status Protocol (Internetprotokoll zur Statusabfrage)
OFB
Output Feedback (Verschlüsselungsverfahren)
OPP
Object Push Profile
PAC
Protected Access Credential (geschützte Anmeldedaten)
PAN
Personal Area Networking
PAP
Password Authentication Protocol
PBAP
Phone Book Access Profile (Telefonbuch-Zugriffsprofil)
PEAP
Protected Extensible Authentication Protocol (Geschütztes erweiterbares
Authentifizierungsprotokoll)
PEM
Privacy Enhanced Mail
PFX
Personal Information Exchange (Austausch persönlicher Informationen)
PIN
Personal Identification Number (Persönliche Identifikationsnummer)
PIV
Personal Identity Verification
PKCS
Public Key Cryptography Standards (kryptographische Verschlüsselungsstandards)
PKI
Public Key Infrastructure (Infrastruktur öffentlicher Schlüssel)
PRNG
pseudo-zufälliger Zahlengenerator
PSK
Pre-Shared Key (vorinstallierter Schlüssel)
RC
Rivest's Cipher (Verschlüsselungsverfahren)
160
ENTWURF - BlackBerry Interner Gebrauch
Glossar
RFC
Request For Comments (Kommentaranforderungen)
RIPEMD
RACE Integrity Primitives Evaluation Message Digest (RACE kryptographische Hash-Funktion)
S/MIME
Secure Multipurpose Internet Mail Extensions (Protokoll für den Austausch sicherer E-Mails über das
Internet)
SCEP
Simple Certificate Enrollment-Protokoll
SHA
Secure Hash Algorithm (Sicherer Hash-Algorithmus)
SMS
Short Message Service (Kurznachrichtendienst)
SOCKS
Socket Secure
Bereich
Ein Bereich ist eine bestimmte Gerätezone, in der verschiedene Arten von Daten, Anwendungen und
Netzwerkverbindungen getrennt und verwaltet werden können. Unterschiedliche Bereiche verfügen
über unterschiedliche Regeln zur Datenspeicherung, für Anwendungsberechtigungen und
Netzwerkroutings. Bereiche wurden bisher auch als Perimeter bezeichnet.
SPP
Serial Port Profile
SRP
Server Routing Protocol
SSL
Secure Sockets Layer (Netzwerkprotokoll zur sicheren Übertragung von Daten)
SSP
Secure Simple Pairing
TCP
Transmission Control Protocol (Übertragungssteuerungsprotokoll)
TCP/IP
Transmission Control Protocol/Internet Protocol (Transmission Control-Protokoll/Internetprotokoll)
bezeichnet einen Satz von Kommunikationsprotokollen, der für die Datenübertragung über
Netzwerke wie das Internet verwendet wird.
TGT
Das Ticket Granting Ticket (TGT) ist ein Dienstticket, das ein Client eines Kerberos-fähigen Diensts
an den TGS sendet, um das Dienstticket für den Kerberos-fähigen Dienst anzufordern.
TCP/IP
Transmission Control Protocol/Internet Protocol (Transmission Control-Protokoll/Internetprotokoll)
bezeichnet einen Satz von Kommunikationsprotokollen, der für die Datenübertragung über
Netzwerke wie das Internet verwendet wird.
TKIP
Temporal Key Integrity Protocol (temporäres Protokoll zur Schlüsselintegrität)
TLS
Transport Layer Security (Netzwerkprotokoll zur sicheren Datenübertragung)
Triple DES
Triple Data Encryption Standard (Verschlüsselungsstandard 3DES)
UDP
User Datagram Protocol (User Datagram-Protokoll)
UID
Unique Identifier (eindeutiger Bezeichner)
URI
Uniform Resource Identifier
USB OTG
USB On-The-Go
VPN
Virtual Private Network (Virtuelles privates Netzwerk)
WebDAV
Web Distributed Authoring and Versioning
161
ENTWURF - BlackBerry Interner Gebrauch
Glossar
WEP
Wired Equivalent Privacy (Verschlüsselungsverfahren für WLAN)
WPA
Wi-Fi Protected Access (Geschützter Zugriff auf Funknetze)
xAuth
Erweiterte Authentifizierung
XEX
Xor-Encrypt-Xor (Verschlüsselung mit der Xor-Operation)
XML
Extensible Markup Language (erweiterbare Auszeichnungssprache)
XTS
Auf XEX basierender Tweaked CodeBook Mode (TCB) mit CipherText Stealing (CTS)
162
ENTWURF - BlackBerry Interner Gebrauch
Rechtliche Hinweise
Rechtliche Hinweise
17
© 2015 BlackBerry. Alle Rechte vorbehalten. BlackBerry® und zugehörige Marken, Namen und Logos sind Eigentum von
BlackBerry Limited und sind in den USA und weiteren Ländern weltweit als Marken eingetragen und/oder werden dort als
Marken verwendet.
Adobe und Reader sind Marken oder eingetragene Marken der Adobe Systems Incorporated in den USA und/oder anderen
Ländern. Android, Google, Dalvik und Google Play sind Marken von Google Inc. Apple und App Store sind Marken von Apple Inc.
Cisco WebEx ist eine Marke von Cisco Systems, Inc. und/oder seiner angegliederten Unternehmen in den USA und einigen
anderen Ländern. Bluetooth ist eine Marke von Bluetooth SIG. Cisco ist eine Marke von Cisco Systems, Inc. und/oder seiner
angegliederten Unternehmen in den USA und einigen anderen Ländern. Documents To Go ist eine Marke von Dataviz, Inc. DISA
ist eine Marke von Defense Information Systems Agency. Entrust und Entrust IdentityGuard sind Marken von Entrust, Inc.
Facebook ist eine Marke von Facebook, Inc. HDMI ist eine Marke der HDMI Licensing, LLC. IBM, Domino und Notizen sind
eingetragene Marken der International Business Machines Corporation in vielen Ländern weltweit. IEEE, 802.11, 802.11i und
802.1X sind Marken des Institute of Electrical and Electronics Engineers, Inc. iOS ist eine Marke von Cisco Systems, Inc. und/
oder seiner angegliederten Unternehmen in den USA und einigen anderen Ländern. iOS® wird unter Lizenz von Apple Inc.
verwendet. Kerberos ist eine Marke des Massachusetts Institute of Technology. Microsoft, Active Directory, ActiveSync und
Windows Phone sind Marken oder eingetragene Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Miracast ist eine Marke der Wi-Fi Alliance. Nginx ist eine Marke von Nginx Software Inc. OpenSSL ist eine Marke der The
OpenSSL Software Foundation, Inc. PGP ist eine Marke der PGP Corporation. RSA ist eine Marke von RSA Security. Samsung
Samsung KNOX und KNOX sind Marken von Samsung Electronics Co., Ltd. Symantec ist eine Marke oder eingetragene Marke
der Symantec Corporation oder ihrer Tochtergesellschaften in den USA und anderen Ländern. Wi-Fi, WPA und WPA2 sind
Marken der Wi-Fi Alliance. Windows Phone ist eine Marke oder eine eingetragene Marke der Microsoft Corporation in den USA
und/oder anderen Ländern. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.
Dieses Dokument und alle Dokumente, die per Verweis in dieses Dokument mit einbezogen werden, z. B. alle über die
BlackBerry-Webseite erhältlichen Dokumente, werden ohne Mängelgewähr und je nach Verfügbarkeit bereitgestellt. Die
entsprechenden Dokumente werden ohne ausdrückliche Billigung, Gewährleistung oder Garantie seitens BlackBerry Limited
und seinen angegliederten Unternehmen („BlackBerry“) bereitgestellt. BlackBerry übernimmt keine Verantwortung für
eventuelle typografische, technische oder anderweitige Ungenauigkeiten sowie für Fehler und Auslassungen in den genannten
Dokumenten. Die BlackBerry-Technologie ist in dieser Dokumentation teilweise in verallgemeinerter Form beschrieben, um das
Eigentum und die vertraulichen Informationen und/oder Geschäftsgeheimnisse von BlackBerry zu schützen. BlackBerry behält
sich das Recht vor, die in diesem Dokument enthaltenen Informationen von Zeit zu Zeit zu ändern. BlackBerry ist jedoch nicht
verpflichtet, die Benutzer über diese Änderungen, Updates, Verbesserungen oder Zusätze rechtzeitig bzw. überhaupt in
Kenntnis zu setzen.
Diese Dokumentation enthält möglicherweise Verweise auf Informationsquellen, Hardware oder Software, Produkte oder
Dienste, einschließlich Komponenten und Inhalte wie urheberrechtlich geschützte Inhalte und/oder Websites von
Drittanbietern (nachfolgend "Drittprodukte und -dienste" genannt). BlackBerry hat keinen Einfluss auf und übernimmt keine
Haftung für Drittprodukte und -dienste, dies gilt u. a. für Inhalt, Genauigkeit, Einhaltung der Urheberrechtsgesetze,
Kompatibilität, Leistung, Zuverlässigkeit, Rechtmäßigkeit, Schicklichkeit, Links oder andere Aspekte der Drittprodukte und dienste. Der Einschluss eines Verweises auf Drittprodukte und -dienste in dieser Dokumentation impliziert in keiner Weise eine
besondere Empfehlung der Drittprodukte und -dienste oder des Drittanbieters durch BlackBerry.
163
ENTWURF - BlackBerry Interner Gebrauch
Rechtliche Hinweise
SOFERN ES NICHT DURCH DAS IN IHREM RECHTSGEBIET GELTENDE RECHT AUSDRÜCKLICH UNTERSAGT IST, WERDEN
HIERMIT SÄMTLICHE AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, BILLIGUNGEN, GARANTIEN,
ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN JEDER ART, EINSCHLIESSLICH, OHNE EINSCHRÄNKUNG, BEDINGUNGEN,
BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER HALTBARKEIT, EIGNUNG
FÜR EINEN BESTIMMTEN ZWECK ODER VERWENDUNGSZWECK, MARKTGÄNGIGKEIT, MARKTGÄNGIGEN QUALITÄT,
NICHTVERLETZUNG VON RECHTEN DRITTER, ZUFRIEDENSTELLENDEN QUALITÄT ODER DES EIGENTUMSRECHTS
ABGELEHNT. DIES GILT AUCH FÜR ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DIE SICH AUS EINEM GESETZ, EINER
GEPFLOGENHEIT, USANCEN BZW. HANDELSGEPFLOGENHEITEN ERGEBEN ODER IM ZUSAMMENHANG MIT DER
DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER MANGELNDEN LEISTUNG VON SOFTWARE,
HARDWARE, DIENSTEN ODER DRITTANBIETER-PRODUKTEN UND -DIENSTEN STEHEN, AUF DIE HIER VERWIESEN WIRD.
MÖGLICHERWEISE HABEN SIE ZUDEM ANDERE LANDESSPEZIFISCHE RECHTE. IN MANCHEN RECHTSGEBIETEN IST DER
AUSSCHLUSS ODER DIE EINSCHRÄNKUNG KONKLUDENTER GEWÄHRLEISTUNGEN UND BEDINGUNGEN NICHT
ZULÄSSIG. IN DEM GESETZLICH ZULÄSSIGEN UMFANG WERDEN SÄMTLICHE KONKLUDENTEN GEWÄHRLEISTUNGEN
ODER BEDINGUNGEN IM ZUSAMMENHANG MIT DER DOKUMENTATION, DIE EINGESCHRÄNKT WERDEN KÖNNEN,
SOFERN SIE NICHT WIE OBEN DARGELEGT AUSGESCHLOSSEN WERDEN KÖNNEN, HIERMIT AUF 90 TAGE AB DATUM DES
ERWERBS DER DOKUMENTATION ODER DES ARTIKELS, AUF DEN SICH DIE FORDERUNG BEZIEHT, BESCHRÄNKT.
IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS HAFTET
BLACKBERRY UNTER KEINEN UMSTÄNDEN FÜR SCHÄDEN JEGLICHER ART, DIE IM ZUSAMMENHANG MIT DIESER
DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER NICHTLEISTUNG JEGLICHER SOFTWARE,
HARDWARE, DIENSTE ODER DRITTPRODUKTE UND -DIENSTE, AUF DIE HIER BEZUG GENOMMEN WIRD, STEHEN,
EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE FOLGENDEN SCHÄDEN: DIREKTE, VERSCHÄRFTEN
SCHADENERSATZ NACH SICH ZIEHENDE, BEILÄUFIG ENTSTANDENE, INDIREKTE, KONKRETE, STRAFE EINSCHLIESSENDE
SCHÄDEN, FOLGESCHÄDEN ODER SCHÄDEN, FÜR DIE ANSPRUCH AUF KOMPENSATORISCHEN SCHADENERSATZ
BESTEHT, SCHÄDEN WEGEN ENTGANGENEN GEWINNEN ODER EINKOMMEN, NICHTREALISIERUNG ERWARTETER
EINSPARUNGEN, BETRIEBSUNTERBRECHUNGEN, VERLUSTES GESCHÄFTLICHER DATEN, ENTGANGENER
GESCHÄFTSCHANCEN ODER BESCHÄDIGUNG BZW. VERLUSTES VON DATEN, DES UNVERMÖGENS, DATEN ZU
ÜBERTRAGEN ODER ZU EMPFANGEN, PROBLEMEN IM ZUSAMMENHANG MIT ANWENDUNGEN, DIE IN VERBINDUNG MIT
BLACKBERRY-PRODUKTEN UND -DIENSTEN VERWENDET WERDEN, KOSTEN VON AUSFALLZEITEN,
NICHTVERWENDBARKEIT VON BLACKBERRY-PRODUKTEN UND -DIENSTEN ODER TEILEN DAVON BZW. VON AIRTIMEDIENSTEN, KOSTEN VON ERSATZGÜTERN, DECKUNG, EINRICHTUNGEN ODER DIENSTEN, KAPITAL- ODER ANDERE
VERMÖGENSSCHÄDEN, UNABHÄNGIG DAVON, OB SCHÄDEN DIESER ART ABZUSEHEN ODER NICHT ABZUSEHEN WAREN,
UND AUCH DANN, WENN BLACKBERRY AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE.
IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS ÜBERNIMMT
BLACKBERRY KEINERLEI VERANTWORTUNG, VERPFLICHTUNG ODER HAFTUNG, SEI SIE VERTRAGLICHER,
DELIKTRECHTLICHER ODER ANDERWEITIGER NATUR, EINSCHLIESSLICH DER HAFTUNG FÜR FAHRLÄSSIGKEIT UND DER
DELIKTSHAFTUNG.
DIE IN DIESEM DOKUMENT GENANNTEN EINSCHRÄNKUNGEN, AUSSCHLÜSSE UND HAFTUNGSAUSSCHLÜSSE GELTEN:
(A) UNGEACHTET DER VON IHNEN ANGEFÜHRTEN KLAGEGRÜNDE, FORDERUNGEN ODER KLAGEN, EINSCHLIESSLICH,
ABER NICHT BESCHRÄNKT AUF VERTRAGSBRUCH, FAHRLÄSSIGKEIT, ZIVILRECHTLICHER DELIKTE, DELIKTSHAFTUNG
ODER SONSTIGE RECHTSTHEORIE UND SIND AUCH NACH EINEM WESENTLICHEN VERSTOSS BZW. EINEM FEHLENDEN
GRUNDLEGENDEN ZWECK DIESER VEREINBARUNG ODER EINES DARIN ENTHALTENEN RECHTSBEHELFS WIRKSAM; UND
GELTEN (B) FÜR BLACKBERRY UND DIE ZUGEHÖRIGEN UNTERNEHMEN, RECHTSNACHFOLGER, BEVOLLMÄCHTIGTEN,
VERTRETER, LIEFERANTEN (EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN), AUTORISIERTE BLACKBERRY-
164
ENTWURF - BlackBerry Interner Gebrauch
Rechtliche Hinweise
DISTRIBUTOREN (EBENFALLS EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN) UND DIE JEWEILIGEN FÜHRUNGSKRÄFTE,
ANGESTELLTEN UND UNABHÄNGIGEN AUFTRAGNEHMER.
ZUSÄTZLICH ZU DEN OBEN GENANNTEN EINSCHRÄNKUNGEN UND AUSSCHLÜSSEN HAFTEN DIE FÜHRUNGSKRÄFTE,
ANGESTELLTEN, VERTRETER, DISTRIBUTOREN, LIEFERANTEN, UNABHÄNGIGEN AUFTRAGNEHMER VON BLACKBERRY
ODER BLACKBERRY ANGEHÖRENDEN UNTERNEHMEN IN KEINER WEISE IM ZUSAMMENHANG MIT DER
DOKUMENTATION.
Bevor Sie Drittprodukte bzw. -dienste abonnieren, installieren oder verwenden, müssen Sie sicherstellen, dass Ihr
Mobilfunkanbieter sich mit der Unterstützung aller zugehörigen Funktionen einverstanden erklärt hat. Einige Mobilfunkanbieter
bieten möglicherweise keine Internet-Browsing-Funktion in Zusammenhang mit einem Abonnement für BlackBerry® Internet
Service an. Erkundigen Sie sich bei Ihrem Dienstanbieter bezüglich Verfügbarkeit, Roaming-Vereinbarungen, Service-Plänen
und Funktionen. Für die Installation oder Verwendung von Drittprodukten und -diensten mit den Produkten und Diensten von
BlackBerry sind u. U. Patent-, Marken-, Urheberrechts- oder sonstige Lizenzen erforderlich, damit die Rechte Dritter nicht
verletzt werden. Es liegt in Ihrer Verantwortung, zu entscheiden, ob Sie Drittprodukte und -dienste verwenden möchten, und
festzustellen, ob hierfür Lizenzen erforderlich sind. Für den Erwerb etwaiger Lizenzen sind Sie verantwortlich. Installieren oder
verwenden Sie Drittprodukte und -dienste erst nach dem Erwerb aller erforderlichen Lizenzen. Alle Drittprodukte und -dienste,
die Sie mit Produkten und Diensten von BlackBerry erhalten, werden lediglich zu Ihrem Vorteil, ohne Mängelgewähr und ohne
ausdrückliche oder stillschweigende Bedingung, Billigung, Garantie, Zusicherung oder Gewährleistung jedweder Art von
BlackBerry bereitgestellt. BlackBerry übernimmt in diesem Zusammenhang keinerlei Haftung. Die Verwendung von
Drittprodukten und -diensten unterliegt Ihrer Zustimmung zu den Bedingungen separater Lizenzen und anderer geltender
Vereinbarungen mit Dritten, sofern sie nicht ausdrücklich von einer Lizenz oder anderen Vereinbarung mit BlackBerry
behandelt wird.
Die Nutzungsbedingungen für BlackBerry-Produkte und -Dienste werden in einer entsprechenden separaten Lizenz oder
anderen Vereinbarung mit BlackBerry dargelegt. KEINE DER IN DIESER DOKUMENTATION DARGELEGTEN BESTIMMUNGEN
SETZEN IRGENDWELCHE AUSDRÜCKLICHEN SCHRIFTLICHEN VEREINBARUNGEN ODER GEWÄHRLEISTUNGEN VON
BLACKBERRY FÜR TEILE VON BLACKBERRY-PRODUKTEN ODER -DIENSTEN AUSSER KRAFT.
BlackBerry Limited
2200 University Avenue East
Waterloo, Ontario
Canada N2K 0A7
BlackBerry UK Limited
200 Bath Road
Slough, Berkshire SL1 3XE
United Kingdom
Veröffentlicht in Kanada
165

 Download  Report
BES12 - wireless & mobile - BlackBerry Nachrichten, Dokumente

BES12 - wireless & mobile - BlackBerry Nachrichten, Dokumente

Marktführer im Verkehrswegebau optimiert mit BlackBerry

Marktführer im Verkehrswegebau optimiert mit BlackBerry

BES12 ENTERPRISE MOBILITY MANAGEMENT

BES12 ENTERPRISE MOBILITY MANAGEMENT

MOBILITÄT LEICHT GEMACHT

MOBILITÄT LEICHT GEMACHT

WAS IST Zemona®? Zemona® UNTERSTÜTZT IHREN SAP

WAS IST Zemona®? Zemona® UNTERSTÜTZT IHREN SAP

Versionshinweise und Ratgeber

Versionshinweise und Ratgeber

Als PDF herunterladen

Als PDF herunterladen

Jobs - icnh

Jobs - icnh

Veranstaltungsdukument vom 15.10.2015

Veranstaltungsdukument vom 15.10.2015

expydoc.com

Your ExpyDoc

© Copyright 2024 ExpyDoc