BES12 Sicherheit

Transcription

BES12 Sicherheit
Sicherheitsleitfaden
BES12
Version 12.3
Veröffentlicht: 2016-01-07
SWD-20160107084837178
Inhalt
BES12 Sicherheit............................................................................................................. 7
Neuheiten ........................................................................................................................................................................7
Sicherheitsfunktionen von Geräten ...................................................................................8
Für alle Geräte geltende Sicherheitsfunktionen..................................................................................................................8
Sicherheitsmerkmale für BlackBerry 10 Geräte................................................................................................................. 9
Sicherheitsmerkmale für das PRIV von BlackBerry ..........................................................................................................10
Sicherheitsmerkmale für alle iOS-, Android- und Windows-Geräte................................................................................... 12
Unterstützte systemeigene iOS- und Android -Funktionen........................................................................................ 13
Sicherheitsmerkmale für Samsung-Geräte, die KNOX MDM verwenden........................................................................... 13
Sicherheitsfunktionen für Samsung-Geräte mit KNOX Workspace ................................................................................... 14
Trusted Boot-Bestätigung........................................................................................................................................ 15
Unterstützung für TIMA........................................................................................................................................... 16
Sicherheitsfunktionen für Android for Work-Geräte.......................................................................................................... 16
Sicherheitsfunktionen für Geräte mit Secure Work Space ................................................................................................17
Verwenden des BES12 Client ......................................................................................................................................... 20
Verwalten der Gerätesicherheit mit BES12 ..................................................................... 21
Aktivieren von Geräten....................................................................................................................................................21
Verwenden von Aktivierungsarten für die Konfiguration der Kontrolle über Geräte .................................................... 21
BlackBerry 10-Geräteaktivierungsarten................................................................................................................... 22
Android-Geräteaktivierungsarten............................................................................................................................. 22
iOS-Geräteaktivierungsarten....................................................................................................................................23
Windows-Aktivierungsart......................................................................................................................................... 24
Wie geschäftliche Bereiche geschäftliche Apps und Daten schützen............................................................................... 25
Geschäftlicher Bereich auf BlackBerry 10-Geräten.................................................................................................. 25
Secure Work Space für iOS- und Android-Geräte...................................................................................................... 30
Schutz der Daten durch Verschlüsselung........................................................................................................................ 32
Verschlüsseln von Daten auf BlackBerry 10-Geräten................................................................................................ 32
Verschlüsseln von Daten in Secure Work Space ....................................................................................................... 37
Verwalten von Apps auf Geräten......................................................................................................................................39
Kontrolle von persönlichen Apps auf Geräten........................................................................................................... 39
Verwalten geschäftlicher Apps auf BlackBerry 10-Geräten....................................................................................... 40
Gesicherte Apps auf Geräten mit Secure Work Space .............................................................................................. 44
Kennwörter.....................................................................................................................................................................48
Ändern von Kennwörtern......................................................................................................................................... 48
Kennwörter für BlackBerry 10-Geräte...................................................................................................................... 51
Secure Work Space-Kennwörter...............................................................................................................................57
Datenlöschung............................................................................................................................................................... 58
Löschen aller Daten auf BlackBerry 10-Geräten....................................................................................................... 58
Vollständiges Löschen von Gerätedaten mit iOS, Android und Windows ................................................................... 61
Vollständiges Löschen geschäftlicher Daten von BlackBerry 10-Geräten.................................................................. 62
Geschäftliche Daten vollständig von iOS-, Android- und Windows-Geräten löschen................................................... 65
Sicherstellen der Kompatibilität auf Geräten....................................................................................................................67
Sicherstellen der BlackBerry 10-Geräteintegrität......................................................................................................67
Geräte mit Secure Work Space vor dem Entsperren und Hacken schützen................................................................68
Verhindern der Installation spezifischer Apps durch die Benutzer............................................................................. 68
Bestimmen des Standorts von Geräten............................................................................................................................69
Verwenden von IT-Richtlinien für die Geräteverwaltung....................................................................................................69
Einschränken und Zulassen von Gerätefunktionen................................................................................................... 70
Steuern von BlackBerry 10-Gerätefunktionen.......................................................................................................... 70
Verwenden einer Smartcard mit BlackBerry 10-Geräten.................................................................................................. 76
Aufheben der Bindung einer Smartcard an ein Gerät................................................................................................ 76
Authentifizieren eines Benutzers mithilfe einer Smartcard........................................................................................ 77
Verwalten, wie Geräte Smartcards verwenden.......................................................................................................... 77
Wie BES12 Ihre Daten während der Übertragung schützt................................................ 80
Schutz von Daten während der Übertragung über die BlackBerry Infrastructure ..............................................................80
Schützen von Geräteverwaltungsdaten, die zwischen BES12 und Geräten gesendet werden............................................81
Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 ........................................................................ 81
Verwendete Verschlüsselungsarten zum Senden von Geräteverwaltungsdaten an Geräte..........................................82
Authentifizierung von BES12 bei der BlackBerry Infrastructure ....................................................................................... 82
Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von
Geräteverwaltungsdaten..........................................................................................................................................83
Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von Geschäftsdaten an
Geräte..................................................................................................................................................................... 83
Wie Geräte eine Verbindung zur BlackBerry Infrastructure herstellen...............................................................................85
Verschlüsselung der BlackBerry Infrastructure-Verbindung...................................................................................... 85
Datenfluss: Herstellen einer TLS-Verbindung zwischen der BlackBerry Infrastructure und einem Gerät..................... 85
Verbinden von Geräten mit Ihren Ressourcen.................................................................................................................. 86
Schutz von Daten während der Übertragung zwischen BlackBerry 10 Geräten und Ihren Ressourcen ...................... 87
Schutz von Daten während der Übertragung zwischen Secure Work Space Geräten und Ihren Ressourcen............... 92
Schutz von Daten während der Übertragung mit BlackBerry Secure Connect Plus ................................................... 94
Verbinden mit einem VPN........................................................................................................................................ 96
Schützen der Kommunikation mit Geräten mithilfe von Zertifikaten................................................................................. 97
Bereitstellen von Client-Zertifikaten für Geräte......................................................................................................... 97
Verwenden von SCEP für die Anmeldung von Client-Zertifikaten auf Geräten............................................................ 99
Senden von Zertifizierungsstellenzertifikaten an Geräte..........................................................................................102
Schutz von E-Mail-Nachrichten..................................................................................................................................... 102
Steuern, welche Geräte Exchange ActiveSync verwenden können.......................................................................... 102
Erweitern der E-Mail-Sicherheit..............................................................................................................................103
Bereitstellen von Geräten mit Zugriff per einmaligem Anmelden im Netzwerk Ihres Unternehmens................................ 111
Verwenden von Kerberos für die einmalige Anmeldung auf Geräten........................................................................111
Schützen von Verbindungen zur BES12 mithilfe des BlackBerry Router ........................................................................ 112
Verwenden eines BlackBerry Router oder eines Proxy-Servers mit BES12 ..............................................................112
Installieren von BES12 in einer DMZ...................................................................................................................... 113
BlackBerry 10-Gerätesicherheit....................................................................................115
Hardware-Vertrauensstamm für BlackBerry-Geräte.......................................................................................................115
Das BlackBerry 10 OS ..................................................................................................................................................116
Das Dateisystem....................................................................................................................................................116
Sandboxing........................................................................................................................................................... 117
Geräteressourcen.................................................................................................................................................. 117
App-Berechtigungen............................................................................................................................................. 117
Überprüfen der Software....................................................................................................................................... 118
Verhindern von Speicherschäden...........................................................................................................................119
Schutz von Wi-Fi-Verbindungen.....................................................................................................................................120
Von einem BlackBerry 10-Gerät unterstützte Layer 2-Sicherheitsmethoden........................................................... 120
Von Geräten unterstützte EAP-Authentifizierungsmethoden................................................................................... 121
BlackBerry Link-Schutz................................................................................................................................................ 123
Authentifizierung zwischen Geräten und BlackBerry Link ...................................................................................... 124
Datenschutz zwischen BlackBerry Link und Geräten.............................................................................................. 124
Sichern und Wiederherstellen................................................................................................................................ 124
Remote-Medien- und Dateizugriffsarchitektur........................................................................................................125
Kryptografie auf BlackBerry 10-Geräten........................................................................................................................125
Symmetrische Verschlüsselungsalgorithmen..........................................................................................................126
Asymmetrische Verschlüsselungsalgorithmen........................................................................................................126
Hash-Algorithmen................................................................................................................................................. 126
Nachrichtenauthentifizierungscode....................................................................................................................... 127
Signaturalgorithmen.............................................................................................................................................. 127
Schlüsselvereinbarungsalgorithmen...................................................................................................................... 128
Kryptografische Protokolle.....................................................................................................................................128
Cipher-Suites für SSL/TLS-Verbindungen............................................................................................................... 129
Kryptografische Bibliotheken................................................................................................................................. 130
Kryptografische VPN-Unterstützung...................................................................................................................... 130
Kryptografische Wi-Fi-Unterstützung..................................................................................................................... 131
BlackBerry OS-Gerätesicherheit................................................................................... 132
Glossar.........................................................................................................................134
Rechtliche Hinweise..................................................................................................... 140
BES12 Sicherheit
BES12 Sicherheit
1
BES12 enthält zahlreiche Funktionen, die Ihnen helfen, Sicherheit, Datenschutz, und Kontinuität für Ihr Unternehmen zu
gewährleisten:
•
Verschlüsselung hilft, Ihre Daten während der Übertragung zu schützen
•
Es gibt ein Software-Entwicklungsmodell, bei dem Sicherheit im Vordergrund steht
•
Eine Architektur, die entwickelt wurde, um eine sichere Verbindung zwischen den E-Mail- und den Inhaltsservern
Ihres Unternehmens sowie den Geräten zu schaffen
•
FIPS-Zertifizierung. Jede BES12-Instanz verschlüsselt alle Daten, die sie direkt speichert, und beschreibt Daten
indirekt mithilfe eines FIPS-zertifizierten kryptografischen Moduls.
Neuheiten
In der folgenden Tabelle werden die aktualisierten Sicherheitsfunktionen für BES12 Version 12.3 aufgeführt, die in diesem
Dokument beschrieben werden:
Funktion
Beschreibung
Unterstützung für Windows 10Geräte
Sie können Windows 10-Tablets und -Computer und Windows 10 Mobile-Geräte mit
BES12 aktivieren.
Geräte mit Windows 10 benötigen keinen BES12 Client.
Zusätzliche Aktivierungsarten
Sie können Android-Geräte mit Android OS 5.1 (Lollipop) oder höher mit zwei neuen
Android for Work-Aktivierungsarten aktivieren. Die Aktivierungsart "Nur geschäftlicher
Bereich (Android for Work)" aktiviert das Gerät nur mit einem geschäftlichen Profil und
ohne persönliches Profil. Die Aktivierungsart "Nur geschäftlicher Bereich (Android for
Work – Premium)" aktiviert das Gerät nur mit einem geschäftlichen Profil und ohne
persönliches Profil und erlaubt dem Gerät auch, BlackBerry Secure Connect Plus zu
nutzen.
Sie können Samsung-Geräte mit der Aktivierungsart "Geschäftlich und persönlich –
Benutzer-Datenschutz (Samsung KNOX)" aktivieren. Diese Aktivierungsart aktiviert das
Gerät mit einem geschäftlichen Bereich und einem persönlichen Bereich.
Administratoren können IT-Verwaltungsbefehle und IT-Richtlinienregeln für die
Verwaltung geschäftlicher Daten verwenden, persönliche Daten bleiben jedoch privat.
Daten im geschäftlichen Bereich werden durch Verschlüsselung und eine Methode zur
Authentifizierung, beispielsweise Kennwort, PIN, Muster oder Fingerabdruck, geschützt.
7
Sicherheitsfunktionen von Geräten
Sicherheitsfunktionen von Geräten
2
BES12 verwaltet die Sicherheitsfunktionen von Geräten mit BlackBerry 10, BlackBerry OS (Version 5.0 bis 7.1), iOS, Android
und Windows.
Jeder Gerätetyp stellt eine Reihe von eigenen Sicherheitsfunktionen zur Verfügung, die Sie mit BES12 verwalten können.
Für alle Geräte geltende Sicherheitsfunktionen
Die folgenden Sicherheitsfunktionen gelten für alle Geräte und Geräteverwaltungsoptionen:
Funktion
Beschreibung
Verwaltungsbefehle
Sämtliche Geräte ermöglichen es Ihnen bzw. den Benutzern, ein Gerät zu sperren,
Gerätekennwörter zu ändern und Informationen von Geräten zu löschen. Einige
Geräteverwaltungsoptionen bieten zusätzliche Unterstützung für Verwaltungsbefehle.
Steuerelement für Kennwort und
Gerät
Alle Geräte ermöglichen das Festlegen von Kennwortanforderungen und das Deaktivieren
von Gerätefunktionen (z. B. der Kamera) mit IT-Richtlinienregeln. Einige
Geräteverwaltungsoptionen bieten verbesserte IT-Richtliniensätze für eine detailliertere
Steuerung.
Steuerung der
Netzwerkverbindung
Alle Geräte unterstützen Wi-Fi-Profile, mit denen Sie festlegen können, wie Geräte eine
Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von Wi-Fi herstellen
können.
Einige Optionen zur Geräteverwaltung unterstützen auch VPN und EnterpriseKonnektivität über die BlackBerry Infrastructure.
Kompatibilität
Alle Geräteverwaltungsoptionen ermöglichen die Durchsetzung der Anforderungen des
Unternehmens an Geräte, z. B. die Installation obligatorischer Apps. Einige Geräte
ermöglichen es Ihnen außerdem, entsperrte oder gehackte Geräte oder Geräte, die nicht
über eine bestimmte Betriebssystemversion verfügen, einzuschränken.
App-Verwaltung
Alle Geräte ermöglichen die Installation geschäftlicher Apps auf Geräten. Sie können
angeben, ob Apps auf Geräten erforderlich sind, und Sie können sehen, ob geschäftliche
Apps auf einem Gerät installiert sind.
Einige Geräteverwaltungsoptionen ermöglichen die Trennung geschäftlicher und
persönlicher Apps mithilfe von Containern oder geschäftlichen Profilen.
8
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
Zertifikatsbasierte
Authentifizierung
Alle Geräte unterstützen die zertifikatsbasierte Authentifizierung zwischen Geräten und
Netzwerken oder Servern in der Unternehmensumgebung.
Alle Geräte unterstützen das Senden von Zertifizierungsstellenzertifikaten an Geräte. Die
meisten Geräte unterstützen das Senden von Client-Zertifikaten an Geräte. Einige Geräte
ermöglichen die Registrierung von Client-Zertifikaten auf Geräten mittels SCEP.
BES12 kann Profile und Zertifikate automatisch entfernen, wenn ein Gerät gegen eine der
Bedingungen für Richtlinientreue (z. B. im Hinblick auf Jailbreak oder Rooting) verstößt.
Damit wird verhindert, dass das Gerät eine Verbindung mit den Ressourcen Ihres
Unternehmens herstellt, wenn die zertifikatsbasierte Authentifizierung verwendet wird.
Steuern, welche Geräte Zugriff auf Wenn Ihr Unternehmen Exchange ActiveSync verwendet, unterstützen alle Geräte
Exchange ActiveSync haben
Microsoft Exchange-Gatekeeping. Sie können Microsoft Exchange konfigurieren, um die
dürfen
Nutzung von Exchange ActiveSync durch Geräte zu unterbinden, die nicht explizit auf
einer zulässigen Liste in Microsoft Exchange aufgeführt sind. Mithilfe von Gatekeeping in
BES12 können Sie steuern, welche Geräte der zulässigen Liste hinzugefügt werden. Wenn
ein Gerät zur zulässigen Liste hinzugefügt wird, kann ein Benutzer auf das geschäftliche
E-Mail-Konto und andere Informationen auf dem Gerät zugreifen.
Sicherheitsmerkmale für BlackBerry 10 Geräte
BlackBerry 10-Geräte wurden entwickelt, um Anwendern und Unternehmen ein hohes Maß an Sicherheit zu bieten. Die
folgende Tabelle bietet eine Übersicht über viele der Sicherheitsfunktionen, die mit durch BES12 verwalteten BlackBerry 10Geräten zur Verfügung stehen.
Funktion
Beschreibung
BlackBerry 10 OS-Schutz
Das BlackBerry 10 OS ist manipulationssicher, robust und sicher und umfasst viele
Sicherheitsmerkmale, die Daten, Apps und Ressourcen auf Geräten schützen.
Weitere Informationen finden Sie im Abschnitt Das BlackBerry 10 OS .
Sichere Verbindungen zu den
Ressourcen Ihres Unternehmens
BES12- und BlackBerry 10-Geräte verfügen durch BES12 und die BlackBerry
Infrastructure über eine sichere Verbindung mit dem Netzwerk Ihres Unternehmens.
Weitere Informationen finden Sie im Abschnitt Schutz von Daten während der
Übertragung zwischen BlackBerry 10 Geräten und Ihren Ressourcen .
BlackBerry Balance-Technologie
BlackBerry Balance-Technologie ermöglicht Ihnen die Einrichtung eines persönlichen
Bereichs und eines geschäftlichen Bereichs für Nutzer. Im persönlichen Bereich sind Ihre
Befugnisse beschränkt, im geschäftlichen Bereich haben Sie die volle Kontrolle über
9
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
Apps und Daten. Alternativ haben Sie die Möglichkeit, nur einen geschäftlichen Bereich
auf dem Gerät zu erstellen, sodass Ihr Unternehmen die volle Kontrolle über Apps und
Daten auf dem Gerät behält.
Weitere Informationen finden Sie im Abschnitt Sichern von BlackBerry Balance-Geräten.
IT-Richtliniensatz
BlackBerry 10-Geräte unterstützen einen umfassenden Satz von IT-Richtlinienregeln, die
Ihnen einen hohen Grad an Kontrolle über die Gerätefunktionen geben.
Weitere Informationen finden Sie im Abschnitt Steuern von BlackBerry 10Gerätefunktionen.
VPN
Sie können geschäftliche VPN-Profile an BlackBerry 10-Geräte senden, damit diese VPNZugang zum Netzwerk Ihres Unternehmens erhalten.
Weitere Informationen finden Sie im Abschnitt Verbinden mit einem VPN.
App-Verwaltung
Sie können kontrollieren, welche Apps der Benutzer im geschäftlichen Bereich
installieren darf. Sie können interne Apps im geschäftlichen Bereich installieren und
löschen.
Weitere Informationen finden Sie im Abschnitt Verwalten geschäftlicher Apps auf
BlackBerry 10-Geräten.
Verwaltungsbefehle für den
geschäftlichen Bereich
BES12 enthält Verwaltungsbefehle, mit denen Sie das Gerät und die Kennwörter des
geschäftlichen Bereichs zurücksetzen können.
Weitere Informationen finden Sie im Abschnitt Ändern von Kennwörtern.
BES12 enthält Verwaltungsbefehle, mit denen Sie sämtliche Daten auf dem Gerät oder im
geschäftlichen Bereich vollständig löschen können.
Weitere Informationen finden Sie in den Abschnitten Löschen aller Daten auf BlackBerry
10-Geräten und Vollständiges Löschen geschäftlicher Daten von BlackBerry 10-Geräten.
Verwandte Informationen
BlackBerry 10-Gerätesicherheit, auf Seite 115
Sicherheitsmerkmale für das PRIV von
BlackBerry
Das PRIV von BlackBerry ist ein professionelles und sicheres Gerät, das die Sicherheitsfunktionen von BlackBerry für Android
OS mitbringt. Die folgende Tabelle bietet eine Zusammenfassung vieler PRIV-Sicherheitsfunktionen, die mit BES12 verwaltet
werden.
10
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
Mehrstufige Verteidigung
Sicherheitsmaßnahmen sind in jede Ebene des Geräts integriert: Hardware, Firmware,
Betriebssystem und in den Apps für sichere Kommunikation und Zusammenarbeit. Daraus
ergibt sich ein mehrstufiger Verteidigungsansatz, der ein neues Maß an Sicherheit für Android
bietet. Jeder Bereich des Geräts arbeitet nahtlos mit jedem anderen zusammen, um die
Privatsphäre zu schützen und die Integrität und Vertraulichkeit von Apps und Daten zu
bewahren.
Hardware-Vertrauensstamm
Ein hardwarebasierter Vertrauensstamm wird bei der Herstellung des Prozessors eingerichtet,
indem diesem die kryptografischen Ressourcen hinzugefügt werden, die später für die
Authentifizierung des Geräts und für Secure Boot verwendet werden sollen.
BlackBerry Secure Compound BlackBerry Secure Compound bietet eine vertrauenswürdige Umgebung zur Speicherung
vertraulicher Daten und zum Ausführen von sicherheitsorientierten Apps wie BlackBerry
Integrity Detection.
Secure Boot
Der sichere Startvorgang stellt sicher, dass nur ein von BlackBerry signiertes Betriebssystem,
das nicht manipuliert wurde, auf dem PRIV geladen werden kann. In jeder Phase des sicheren
Startvorgangs wird überprüft, ob die nächste Komponente nicht manipuliert wurde, bevor sie
geladen wird.
Die Downgrade-Prävention verhindert, dass ein Benutzer nach einer Aktualisierung eine alte
Version des Betriebssystems auf dem PRIV installiert. Dies schützt vor Situationen, in denen
ein Benutzer eine Betriebssystemversion ohne die neuesten Sicherheitsupdates installiert
oder ein böswilliger Benutzer eine in einer älteren Version vorhandene Schwachstelle
ausnutzt.
BlackBerry Integrity Detection BlackBerry Integrity Detection überwacht kontinuierlich Ereignisse oder
Konfigurationsänderungen, die darauf hinweisen könnten, dass die Sicherheit des Geräts
beeinträchtigt ist.
BES12 lässt sich in BlackBerry Integrity Detection integrieren, um z. B. eine Warnung zu
generieren, das Gerät unter Quarantäne zu stellen, damit keine Zugriffe auf geschäftliche
Ressourcen mehr erfolgen können oder das Gerät vollständig zu löschen, wenn eine
potenzielle Gefährdung erkannt wird.
Kernel-Härtung
Auf dem PRIV läuft ein Linux-Kernel, der mit Patches und Änderungen der Konfiguration
gehärtet wurde. Damit ist die Wahrscheinlichkeit einer Kompromittierung durch eine
Sicherheitslücke geringer. Außerdem werden Prozesse mit bestimmten erhöhten
Berechtigungen nur innerhalb eines auf Integrität geprüften Dateisystems auf einem von
BlackBerry signierten Image ausgeführt.
Verschlüsselte Benutzerdaten Standardmäßig werden alle Benutzerdaten (persönliche und geschäftliche) mit einer
FIPS 140-2-kompatiblen Kryptografie-Engine verschlüsselt. Verschlüsselungsschlüssel
werden durch BlackBerry Secure Compound geschützt.
11
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
BES12-Aktivierungsarten
Das PRIV unterstützt die Aktivierungsarten "Android for Work", "Secure Work Space" und
"MDM-Steuerelemente".
Sicherheitsmerkmale für alle iOS-, Android- und
Windows-Geräte
Die Verwaltungsoption "MDM-Steuerelemente" ermöglicht die Verwendung der standardmäßig auf iOS-, Android- und
Windows-Geräten verfügbaren Sicherheitsfunktionen. Es wird kein separater, verschlüsselter Container erstellt, die
geschäftlichen Apps und Daten der Benutzer werden nicht von den persönlichen getrennt. MDM-Steuerelemente lassen einige
Bedenken in puncto Benutzer-Datenschutz unbeantwortet und bieten keine erhöhte Sicherheit. MDM-Steuerelemente sind
normalerweise nicht empfehlenswert, wenn ein Unternehmen strenge Sicherheitsanforderungen zur Verhinderung von
Datenverlust/-diebstahl hat.
Je nach Gerätetyp stehen zusätzlich zu den Sicherheitsfunktionen für alle Gerätetypen die folgenden Sicherheitsfunktionen zur
Verfügung:
Gerät
Sicherheitsfunktion
iOS
•
VPN-Verbindung über VPN-Profile
•
SCEP-Registrierung von Zertifikaten
•
Durchsetzung von Richtlinientreue auf Geräten mit Jailbreak
•
IT-Richtlinienregeln zur Steuerung verschiedener systemeigener Apps,
Gerätefunktionen und überwachter Geräte sowie zum Konfigurieren von
Einstufungen für zulässigen Inhalt
•
Durchsetzung von Richtlinientreue auf gerooteten Geräten
•
IT-Richtlinienregel für die Geräteverschlüsselung
•
IT-Richtlinienregeln zur Kontrolle der Konnektivität über Bluetooth oder NFC, der
Gerätefunktionen, der nativen Apps und der firmeneigenen Geräte
•
Windows 10-Geräte unterstützen VPN-Verbindungen über VPN-Profile
Android
Windows
12
Sicherheitsfunktionen von Geräten
Unterstützte systemeigene iOS- und Android -Funktionen
Bei den folgenden Funktionen handelt es sich um systemeigene iOS- und Android-Funktionen, die auch von BES12 unterstützt
werden. Weitere Informationen zu diesen Funktionen finden Sie in der iOS- und der Android-Dokumentation, die von Apple und
Google verfügbar ist.
Funktion
Beschreibung
Verschlüsselung des gesamten
Datenträgers
Durch die Verschlüsselung des gesamten Datenträgers wird sichergestellt, dass alle
Daten eines Geräts verschlüsselt gespeichert werden und Benutzer mit einer
Verschlüsselungs-PIN oder einem Verschlüsselungskennwort darauf zugreifen können.
BES12 unterstützt die systemeigene Verschlüsselung des gesamten Datenträgers, die
unter iOS und Android angeboten wird.
Zufällige Anordnung des
Adressraumlayouts
Durch die zufällige Anordnung des Adressraumlayouts ist es für Angreifer schwerer,
Geräte zu attackieren und eigenen Code auszuführen. Durch diese Technik wird der
Ablageort der Systemkomponenten im Speicher zufällig angeordnet, sodass
Schwachstellen für Angreifer nicht leicht erkennbar sind. BES12 unterstützt die
systemeigene zufällige Anordnung des Layouts des Adressraums, die unter iOS und
Android angeboten wird.
Sicherheitsmerkmale für Samsung-Geräte, die
KNOX MDM verwenden
BES12 kann Samsung-Geräte mithilfe von KNOX MDM verwalten. KNOX MDM umfasst die Sicherheitsfunktionen, die Samsung
für die Geräte bereitstellt. Wenn ein Gerät aktiviert wird, erkennt BES12 automatisch, ob das Gerät KNOX MDM unterstützt.
In der folgenden Tabelle werden die neben den standardmäßigen Android-Sicherheitsmerkmalen zusätzlich verfügbaren
Sicherheitsfunktionen für Geräte, die KNOX MDM unterstützen, beschrieben:
Sicherheitsfunktion
Beschreibung
VPN-Verbindung
BES12 umfasst VPN-Profile, die Sie an Geräte mit KNOX MDM senden können, damit
diese eine Verbindung mit einem IPSec- oder SSL-VPN herstellen können. Sie können
eine kennwort- oder zertifikatbasierte Authentifizierung verwenden.
Verbesserter IT-Richtliniensatz
Sie können Samsung KNOX MDM-Geräte über einen verbesserten IT-Richtliniensatz
steuern. Beispielsweise können Sie mithilfe von Regeln das Gerätekennwort,
systemeigene Apps, Gerätefunktionalität, Konnektivität (einschließlich Bluetooth und
NFC) und Browsereinstellungen steuern.
13
Sicherheitsfunktionen von Geräten
Sicherheitsfunktion
Beschreibung
Verbesserte App-Verwaltung
Sie können Apps im Hintergrund installieren und deinstallieren, eingeschränkte Apps
deaktivieren, die vor Durchsetzen der Richtlinie durch BES12 installiert wurden, und die
Installation eingeschränkter Apps unterbinden.
Geräte mit KNOX MDM können ohne einen Container oder mit einem Container wie KNOX Workspace oder Secure Work Space
aktiviert werden.
Sicherheitsfunktionen für Samsung-Geräte mit
KNOX Workspace
Samsung KNOX Workspace ist ein verschlüsselter kennwortgeschützter Container auf einem Samsung-Gerät für geschäftliche
Apps und Daten. Er trennt die persönlichen Apps und Daten eines Benutzers von denen des Unternehmens und schützt
letztere mithilfe erweiterter, von Samsung entwickelter Sicherheits- und Verwaltungsfunktionen.
Wenn Sie KNOX Workspace verwenden, können Sie die Sicherheitsfunktionen für KNOX MDM-Geräte und die in der folgenden
Tabelle aufgeführten Sicherheitsfunktionen nutzen:
Sicherheitsfunktion
Beschreibung
Sicherheit der Hardware
Standardmäßig werden für Samsung-Geräte, die KNOX Workspace unterstützen, die
folgenden Sicherheitsfunktionen für Hardware und Betriebssystem verwendet:
•
Secure Boot und Trusted Boot, die die Echtheit von Kernel und Betriebssystem
prüfen
•
TIMA, das den Kernel überprüft und auf Änderungen überwacht
SE für Android
Standardmäßig verwenden Samsung-Geräte SE für Android. SE für Android teilt das
Betriebssystem in Sicherheitsdomänen auf, damit Apps und Prozesse keinen unbefugten
Zugriff auf Daten und Ressourcen erhalten. Apps außerhalb des KNOX Workspace
erhalten beispielsweise keinen Zugriff auf App-Daten im geschäftlichen Bereich.
Containerverschlüsselung
Standardmäßig ist auf Samsung-Geräten der KNOX Workspace mit AES-256
verschlüsselt.
Verbesserter IT-Richtliniensatz
Sie können den KNOX Workspace über einen verbesserten IT-Richtliniensatz steuern.
Beispielsweise können Sie über Regeln folgende Funktionen steuern:
•
Kennwort für geschäftlichen Bereich
•
Ob geschäftliche Apps Zertifikate anhand von CRLs prüfen sollten
14
Sicherheitsfunktionen von Geräten
Sicherheitsfunktion
Verwaltungsbefehle für den
geschäftlichen Bereich
Beschreibung
•
Trusted Boot-Bestätigung
•
Trennung von geschäftlichen und persönlichen Daten (beispielsweise, ob
geschäftliche Dateien im persönlichen Bereich zulässig sind)
•
Ob geschäftliche und persönliche Daten wie Kontakte, Kalender und
Benachrichtigungen synchronisiert werden können
•
Smartcard-Authentifizierung für Browser und E-Mail
•
Konnektivität, einschließlich Bluetooth und NFC
•
Browsereinstellungen
BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) nur den
geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich
zurücksetzen und den geschäftlichen Bereich entfernen können.
Zertifikatbasierte Authentifizierung Sie können Zertifikate mithilfe von SCEP an Geräte senden. Die Geräte können diese
mittels SCEP
Zertifikate für VPN-, Exchange ActiveSync- und Wi-Fi-Verbindungen verwenden.
Sichere Verbindung über
BlackBerry Secure Connect Plus
Sie können BES12 und Geräte mit KNOX Workspace zum Herstellen einer sicheren
Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry
Secure Connect Plus konfigurieren.
Zertifizierung
KNOX Workspace hat folgende Zertifizierungen:
•
FIPS 140-2 Level 1 für Daten im Ruhezustand und während der Übertragung
•
DISA MOS SRG Compliance
Weitere Informationen finden Sie unter https://www.samsungknox.com/en/products/knoxworkspace/technical.
Trusted Boot-Bestätigung
Trusted Boot ist eine Samsung KNOX-Funktion, die Kernel und Betriebssystem prüft, wenn ein Gerät gestartet wird. Trusted
Boot überprüft die Integrität von Geräten mit einem KNOX Workspace, damit Sie wissen, dass keine unzulässige Firmware
ausgeführt wird. Wenn ein Benutzer nicht genehmigte Firmware installiert, löst Trusted Boot das KNOX-Garantie-Bit aus, auf
den KNOX Workspace kann nicht mehr zugegriffen werden, und Sie können das Gerät nicht mehr mit Samsung KNOX
verwalten. Ist das Gerät verschlüsselt, kann es darüber hinaus nicht mehr verwendet werden.
Standardmäßig ist die Trusted Boot-Überprüfung deaktiviert. Sie können Trusted Boot über die IT-Richtlinienregel "Trusted
Boot-Bestätigung aktivieren" aktivieren. Weitere Informationen über diese Regel finden Sie in der Richtlinien-Referenztabelle
unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Weitere Informationen zu Trusted Boot finden Sie unter https://www.samsungknox.com/en/products/knox-workspace.
15
Sicherheitsfunktionen von Geräten
Unterstützung für TIMA
TIMA prüft, ob der Geräte-Kernel während der Laufzeit beschädigt wurde. Wenn Sie ein Gerät mit KNOX Workspace aktivieren,
unterstützt BES12 die folgenden Elemente von TIMA:
•
TIMA CCM, das Client-Zertifikate speichert, die von Apps zum Ver- und Entschlüsseln, Signieren und für die
Inhaltsprüfung verwendet werden können. TIMA CCM ähnelt einer Smartcard. BES12 speichert automatisch Wi-FiZertifikate, für die Konnektivität mit der BlackBerry Infrastructure erforderliche Zertifikate, freigegebene Zertifikate,
Benutzerzertifikate und Benutzeranmeldeinformationen im TIMA CCM. Nur zugelassene Apps im KNOX Workspace,
denen der Zertifikatalias bekannt ist, können auf Zertifikate im TIMA CCM zugreifen. CA-Zertifikate werden nicht im
TIMA CCM, sondern im Zertifikatspeicher des KNOX Workspace gespeichert. Diese Funktion steht für Geräte zur
Verfügung, die KNOX 2.1 oder höher unterstützen.
•
TIMA-Schlüsselspeicher, in dem die Schlüssel zur Verschlüsselung des KNOX Workspace gespeichert werden und der
für Apps Dienste zum Generieren und Pflegen von Kryptografieschlüsseln bietet.
Sicherheitsfunktionen für Android for WorkGeräte
Android for Work ist eine von Google entwickelte Funktion, die zusätzliche Sicherheit für Unternehmen bietet, in denen AndroidGeräte verwaltet werden sollen. Mit ihr wird ein geschäftliches Profil erstellt, das die geschäftlichen Apps und Daten enthält.
Wenn Sie Android for Work verwenden, können Sie die Sicherheitsfunktionen für alle Geräte und die in der folgenden Tabelle
aufgeführten Sicherheitsfunktionen nutzen:
Funktion
Beschreibung
Geräteverschlüsselung
Standardmäßig wird ein mit Android for Work aktiviertes Gerät vollständig verschlüsselt.
Geschäftliches Profil
Wenn Sie ein Gerät mit Android for Work aktivieren, wird ein geschäftliches Profil erstellt,
das geschäftliche Apps von persönlichen Apps trennt. Das geschäftliche Profil verfügt
über ein eigenes Dateisystem, eigene App-Sandboxen und einen eigenen ZertifikatSchlüsselspeicher.
Verwaltungsbefehle für das
geschäftliche Profil
BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) das
geschäftliche Profil sperren oder entfernen können.
Zertifikatverwaltung
Sie können Clientzertifikate und CA-Zertifikate unter Verwendung verschiedener Arten
von Profilen an Geräte senden, je nachdem, woher ein Zertifikat stammt.
App-Verwaltung
Sie können erforderliche Apps für den geschäftlichen Bereich festlegen und sicherstellen,
dass die Geräte alle Vorschriften erfüllen. Alle Apps, die Sie bereitstellen, sind
geschäftliche Apps, die in App-Sandboxen im geschäftlichen Profil installiert werden.
16
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
Sie können App-Konfigurationen einrichten, um die Merkmale von Apps festzulegen.
Sichere Verbindung über
BlackBerry Secure Connect Plus
Sie können BES12- und Android for Work-Geräte zum Herstellen einer sicheren
Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry
Secure Connect Plus konfigurieren.
Hierfür müssen die Geräte mit der Aktivierungsart "Geschäftlich und persönlich –
Benutzer-Datenschutz (Android for Work – Premium)" oder "Nur geschäftlicher Bereich
(Android for Work – Premium)" aktiviert werden.
Sicherheitsfunktionen für Geräte mit Secure
Work Space
Secure Work Space ist ein Container, der ein höheres Maß an Kontrolle und Sicherheit für iOS- und Android-Geräte bietet.
Secure Work Space umfasst gesicherte Apps, die geschützt und von persönlichen Apps und Daten getrennt werden. Die
gesicherten Apps umfassen eine integrierte E-Mail-, Kontakte- und Kalender-App, einen sicheren Browser auf
Unternehmensebene und eine App zum sicheren Anzeigen und Bearbeiten von Dokumenten. Mithilfe des geschäftlichen
Browsers können Benutzer das geschäftliche Intranet und das Internet sicher durchsuchen.
In der folgenden Tabelle sind die Secure Work Space-spezifischen Sicherheitsfunktionen aufgeführt:
Funktion
Beschreibung
Schutz von Daten während der
BES12 schützt Daten, die zwischen BES12 und einem Gerät mit Secure Work Space
Übertragung zwischen BES12 und übertragen werden. BES12 und ein Gerät können mithilfe des TLS-Protokolls mit dem
einem Gerät
AES-256-Algorithmus kommunizieren.
Fähigkeit, eine Verbindung zu
geschäftlichen Ressourcen ohne
VPN oder eingehende Ports in der
Firewall aufzubauen
Schutz der Daten im
geschäftlichen Bereich auf einem
Gerät
Ein Gerät mit Secure Work Space sendet Daten an BlackBerry Infrastructure, was
anschließend mit BES12 über den von ausgehendem Datenverkehr initiierten und
bidirektionalen Port 3101 kommuniziert. Die Daten werden vom BES12 über den
gleichen Pfad zurück zum Gerät transportiert.
•
Ein geschäftlicher Bereich enthält gesicherte Apps. Gesicherte Apps sind
geschäftliche Apps, die den geschäftlichen Bereich durch zusätzlichen Schutz
sichern.
•
Standardmäßig schützen gesicherte Apps ihre Daten mithilfe der AES-256Verschlüsselung. Wenn Sie wählen, dass alle Apps auf Daten im geschäftlichen
Bereich zugreifen dürfen, dann erfolgt keine Verschlüsselung der Daten
gesicherter Apps.
17
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
•
Gesicherte Apps verschlüsseln Kennwörter mit einem Hash, bevor sie
gespeichert werden.
•
Der geschäftliche Bereich isoliert Daten im geschäftlichen Bereich von anderen
Daten. Eine gesicherte App kann nur mit einer anderen gesicherten App
kommunizieren und mit ihr Daten austauschen, außer Sie lassen zu, dass alle
Apps auf Daten im geschäftlichen Bereich zugreifen dürfen.
•
Der geschäftliche Bereich erlaubt es einem Benutzer, Daten von einer
gesicherten App in eine andere gesicherte App zu kopieren und einzufügen,
jedoch nicht in eine geschäftliche oder persönliche App.
FIPS-Zertifizierung für die
Verschlüsselung von Daten im
geschäftlichen Bereich
Der geschäftliche Bereich verschlüsselt alle direkt gespeicherten Daten und schreibt
mithilfe eines FIPS-zertifizierten kryptografischen Moduls indirekt in Dateien.
Verbesserter IT-Richtliniensatz
Mit dem Secure Work Space-IT-Richtliniensatz können Sie ein Kennwort für den
geschäftlichen Bereich konfigurieren, vorgeben, was auf Geräten nach einem
bestimmten Zeitraum der Inaktivität passieren soll, und geschäftliche Kontakte steuern.
Verwaltungsbefehle für den
geschäftlichen Bereich
BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) nur den
geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich
zurücksetzen und den geschäftlichen Bereich entfernen können.
Schutz des Betriebssystems
•
Der geschäftliche Bereich kann einen Vorgang für eine gesicherte App, die nicht
mehr reagiert, neu starten, ohne dass sich dies auf andere Vorgänge negativ
auswirkt.
•
Der geschäftliche Bereich überprüft Anforderungen, die Apps an Ressourcen
auf dem Gerät stellen.
Schutz von App-Daten mithilfe von Der geschäftliche Bereich verwendet Sandboxing, um Funktionen und Berechtigungen
Sandboxing
von gesicherten Apps, die auf dem Gerät ausgeführt werden, zu trennen und
einzuschränken. Jeder App-Prozess im geschäftlichen Bereich wird in einer eigenen
Sandbox ausgeführt.
Der geschäftliche Bereich überprüft die Anforderungen, die die Vorgänge einer
gesicherten App an Speicher außerhalb der Sandbox stellen.
Verwaltung von Berechtigungen
für den Zugriff auf Funktionen
Der geschäftliche Bereich überprüft jede Anforderung, die eine gesicherte App stellt, um
auf eine Funktion auf dem Gerät zuzugreifen.
Möglichkeit, Ihre eigenen
gesicherten Apps hinzuzufügen
Ihr Unternehmen kann interne Apps in gesicherte Apps, die im geschäftlichen Bereich
installiert und ausgeführt werden können, konvertieren. Zum Konvertieren einer App in
eine gesicherte App müssen Sie die binäre Datei der App mithilfe der BES12-
18
Sicherheitsfunktionen von Geräten
Funktion
Beschreibung
Verwaltungskonsole sichern. Anschließend muss der App-Entwickler die App neu
signieren (und bei Bedarf bei einer iOS-App eine Berechtigungsdatei erstellen).
Schließlich können Sie die App im geschäftlichen Bereich auf Geräten installieren.
Möglichkeit, gesicherte Apps von
anderen Anbietern hinzuzufügen
Drittentwickler von Apps können ihre Apps sichern und neu signieren und sie im App
Store oder in Google Play verfügbar machen, sodass Sie sie an Benutzer senden können.
Apps aus dem App Store oder aus Google Play, die nicht den gesicherten Apps
zugewiesen sind, können im geschäftlichen Bereich weder installiert noch ausgeführt
werden. Nur der App-Anbieter kann Apps sichern und neu signieren, sodass sie im
geschäftlichen Bereich installiert werden können.
Schutz des Kontomanagers auf
einem Gerät
Einige Geräte nutzen einen Kontomanager, um Anmeldeinformationen für verschiedene
Benutzerkonten zu speichern. Der geschäftliche Bereich schützt die von gesicherten
Apps gespeicherten Anmeldeinformationen, sodass die Anmeldeinformationen für
gesicherte Apps freigegeben sind, jedoch nicht für andere Apps.
Schutz der gesicherten Apps vor
Trojanern und Schadsoftware
Der geschäftliche Bereich fertigt Fingerabdrücke von Apps an, um sicherzustellen, dass
nur bekannte und vertrauenswürdige Apps als gesicherte Apps ausgeführt werden
können. Gesicherte Apps werden überprüft, bevor sie an den geschäftlichen Bereich
eines Geräts gesendet werden und jedes Mal, wenn das Gerät die Apps ausführt.
Erkennen eines entsperrten oder
gehackten Status
Wenn ein Gerät entsperrt oder gehackt wurde, hat der Benutzer Administratorrechte
beim Zugriff auf das Betriebssystem des Geräts. BES12 erkennt, ob ein Gerät entsperrt
oder gehackt wurde. Sie können den Benutzer benachrichtigen oder auffordern, so
genannte Jailbreak-Software oder Rooting-Software von dem Gerät zu entfernen. Wenn
ein Gerät entsperrt oder gehackt wurde, kann der Benutzer den geschäftlichen Bereich
nicht installieren bzw. nicht auf diesen zugreifen, wenn er bereits installiert wurde.
Erlaubte und eingeschränkte EMail-Domänen
Um Datenverlust zu verhindern, unterstützen Geräte mit Secure Work Space erlaubte und
eingeschränkte Domänen für E-Mail-, Kalender- und Terminplanerdaten. Die erlaubten
und eingeschränkten Domänenlisten bestimmen, welche Links der Benutzer von seinen
geschäftlichen E-Mail- und Terminplanerdaten aufrufen kann, und an wen der Benutzer
E-Mail-Nachrichten, Kalendereinladungen und Terminplanerdaten senden kann.
Verwandte Informationen
Secure Work Space für iOS- und Android-Geräte, auf Seite 30
19
Sicherheitsfunktionen von Geräten
Verwenden des BES12 Client
BES12 Client ist eine App, mit der BES12 mit iOS-, Android- und Windows Phone 8.x-Geräten kommunizieren kann. Er
verwendet ein FIPS-zertifiziertes kryptografisches Modul, um alle Daten zu verschlüsseln, die er direkt speichert und indirekt in
Dateien schreibt.
Zum Aktivieren von iOS-, Android- und Windows Phone-Geräten mit BES12 müssen Benutzer zuerst den BES12 Client auf den
Geräten installieren. Benutzer können die aktuelle Version des BES12 Client vom App Store für iOS-Geräte, aus Google Play für
Android-Geräte oder vom Windows Marketplace für Geräte mit Windows Phone herunterladen.
Nachdem Benutzer ihre Geräte aktiviert haben, bietet der BES12 Client folgende Möglichkeiten:
•
Überprüfung der Kompatibilität ihrer Geräte mit den Standards Ihres Unternehmens
•
Ansicht der Profile, die ihren Benutzerkonten zugewiesen sind
•
Ansicht der IT-Richtlinienregeln, die ihren Benutzerkonten zugewiesen sind
•
Deaktivieren ihrer Geräte
Windows 10-Geräte verwenden den BES12 Client nicht.
20
Verwalten der Gerätesicherheit mit BES12
Verwalten der Gerätesicherheit mit
BES12
3
Abhängig vom Gerätetyp bietet BES12 diverse Verwaltungsfunktionen für Geräte. Die verfügbaren Funktionen hängen auch von
den Geräteverwaltungsoptionen ab, die Sie beim Aktivieren der Geräte einstellen.
Aktivieren von Geräten
Bei der Geräteaktivierung wird ein Gerät mit einem Benutzerkonto in BES12 verknüpft und ein sicherer Kommunikationskanal
zwischen dem Gerät und BES12 über die BlackBerry Infrastructure hergestellt. Nachdem ein Gerät aktiviert wurde, können Sie
das Gerät mit BES12 verwalten.
Zur Sicherung des Aktivierungsprozesses müssen die Benutzer ein Kennwort eingeben, um ein Gerät zu aktivieren. Sie können
festlegen, wie lange ein Aktivierungskennwort gültig bleiben soll, bevor es abläuft. Außerdem können Sie die Standardlänge des
Kennworts für das automatisch generierte Kennwort angeben, das in der Aktivierungs-E-Mail an den Benutzer gesendet wird.
Standardmäßig werden Benutzer in der BlackBerry Infrastructure registriert, wenn Sie einen Benutzer zu BES12 hinzufügen.
Die an die BlackBerry Infrastructure gesendeten Informationen werden auf sichere Weise gesendet und gespeichert. Sie
können die Benutzerregistrierung bei der BlackBerry Infrastructure deaktivieren, wenn Sie keine Benutzerinformationen an
BlackBerry senden möchten.
Der Vorteil der Registrierung ist, dass Benutzer die Serveradresse nicht eingeben müssen, wenn sie die Aktivierung eines Geräts
durchführen; sie müssen nur ihre E-Mail-Adresse und ihr Kennwort eingeben. Der Enterprise Management Agent auf
BlackBerry 10-Geräten, bzw. der BES12 Client auf anderen Geräten, kommuniziert dann mit der BlackBerry Infrastructure, um
die Serveradresse abzurufen. Eine sichere Verbindung mit BES12 wird mit minimalem Eingriff vonseiten des Benutzers
hergestellt.
Anweisungen zur Aktivierung sowie weitere Informationen zu Aktivierungskennwörtern und zur Benutzerregistrierung finden Sie
in der Dokumentation für Administratoren. Datenflüsse zur Aktivierung finden Sie im Abschnitt Architektur.
Verwenden von Aktivierungsarten für die Konfiguration der
Kontrolle über Geräte
Aktivierungsarten konfigurieren den Grad der Kontrolle, die Sie über aktivierte Geräte haben. Beispielsweise können Sie die
volle Kontrolle über ein Gerät erhalten, das Sie an einen Benutzer ausgeben, oder sicherstellen, dass Sie keine Kontrolle über
die privaten Daten eines Geräts haben, das einem Benutzer gehört und das er zur Arbeit mitbringt.
21
Verwalten der Gerätesicherheit mit BES12
Welche Aktivierungsarten Ihr Unternehmen verwenden kann, ist abhängig von den Gerätetypen, die Sie verwalten, und den
Lizenzen, die Sie erworben haben. Weitere Informationen zur Auswahl von Aktivierungsarten finden Sie in der Dokumentation
für Administratoren.
BlackBerry 10-Geräteaktivierungsarten
BlackBerry 10-Geräte können eine der folgenden Aktivierungsarten aufweisen:
Aktivierungsart
Beschreibung
Geschäftlich und persönlich –
Unternehmen
Diese Aktivierungsart ermöglicht die Steuerung von geschäftlichen Daten auf Geräten
und stellt gleichzeitig sicher, dass private Daten geschützt werden. Wenn ein Gerät
aktiviert wird, wird auf dem Gerät ein separater geschäftlicher Bereich erstellt, und der
Benutzer muss ein Kennwort erstellen, um auf den geschäftlichen Bereich zuzugreifen.
Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Mithilfe von IT-Administrationsbefehlen und IT-Richtlinienregeln können Sie den
geschäftlichen Bereich des Geräts steuern, jedoch nicht den privaten Bereich des Geräts.
Nur geschäftlicher Bereich
Diese Aktivierungsart ermöglicht eine vollständige Kontrolle über die Geräte und bietet
keinen separaten Bereich für persönliche Daten. Wenn ein Gerät aktiviert wird, wird der
persönliche Bereich entfernt, und es wird ein geschäftlicher Bereich erstellt. Der
Benutzer muss ein Kennwort erstellen, um auf das Gerät zuzugreifen. Geschäftsdaten
werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Sie können das Gerät mithilfe von IT-Administrationsbefehlen und IT-Richtlinienregeln
steuern.
Geschäftlich und persönlich –
Reguliert
Diese Aktivierungsart ermöglicht die Kontrolle über die geschäftlichen und die
persönlichen Daten. Wenn ein Gerät aktiviert wird, wird auf dem Gerät ein separater
geschäftlicher Bereich erstellt, und der Benutzer muss ein Kennwort erstellen, um auf
den geschäftlichen Bereich zuzugreifen. Geschäftsdaten werden über Verschlüsselung
und Kennwortauthentifizierung geschützt.
Sie können sowohl den geschäftlichen als auch den persönlichen Bereich auf dem Gerät
mit IT-Administrationsbefehlen und IT-Richtlinienregeln steuern.
Verwandte Informationen
Geschäftlicher Bereich auf BlackBerry 10-Geräten, auf Seite 25
Android-Geräteaktivierungsarten
Android-Geräte können eine der folgenden Aktivierungsarten aufweisen:
22
Verwalten der Gerätesicherheit mit BES12
Aktivierungsart
Beschreibung
MDM-Steuerelemente
Diese Aktivierungsart stellt eine grundlegende Geräteverwaltung mithilfe der
Gerätesteuerelemente bereit. Auf dem Gerät ist kein separater Container installiert und
keine zusätzliche Sicherheit für geschäftliche Daten vorhanden.
Geschäftlich und persönlich –
Benutzer-Datenschutz
Diese Aktivierungsart ermöglicht die Steuerung von geschäftlichen Daten auf Geräten
und stellt gleichzeitig sicher, dass private Daten geschützt werden. Wenn ein Gerät
aktiviert wird, wird ein separater Container (Secure Work Space oder Samsung KNOX
Workspace) bzw. ein geschäftliches Profil (Android for Work) auf dem Gerät erstellt. Wenn
ein Container erstellt wird, muss der Benutzer ein Kennwort einrichten, um darauf Zugriff
zu erhalten. Geschäftsdaten werden über Verschlüsselung und
Kennwortauthentifizierung geschützt.
Sie können den Container bzw. das geschäftliche Profil auf dem Gerät steuern, jedoch
keinerlei Elemente des persönlichen Bereichs.
Geschäftlich und persönlich –
vollständige Kontrolle
Diese Aktivierungsart ermöglicht die volle Kontrolle über Geräte. Wenn ein Gerät aktiviert
wird, wird ein separater Container (Secure Work Space oder Samsung KNOX Workspace)
auf dem Gerät erstellt. Der Benutzer muss ein Kennwort für den Zugriff auf den Container
erstellen. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung
geschützt.
Sie können den Container und einige weitere Aspekte des Geräts, die sowohl den
persönlichen als auch den geschäftlichen Bereich betreffen, steuern. Während der
Aktivierung müssen Benutzer Administratorberechtigungen für den BES12 Client
zulassen.
Nur geschäftlicher Bereich
Diese Aktivierungsart ermöglicht die Verwaltung des gesamten Geräts. Diese
Aktivierungsart deaktiviert den persönlichen Bereich und erstellt einen geschäftlichen
Bereich (Samsung KNOX Workspace) oder ein geschäftliches Profil (Android for Work).
Der Benutzer muss ein Kennwort für den Zugriff auf das Gerät erstellen. Alle Daten auf
dem Gerät werden durch Verschlüsselung und eine Methode zur Authentifizierung,
beispielsweise Kennwort, PIN, Muster oder Fingerabdruck, geschützt.
Während der Aktivierung müssen Benutzer Administratorberechtigungen für den BES12
Client zulassen.
Verwandte Informationen
Secure Work Space für iOS- und Android-Geräte, auf Seite 30
iOS-Geräteaktivierungsarten
iOS-Geräte können eine der folgenden Aktivierungsarten aufweisen:
23
Verwalten der Gerätesicherheit mit BES12
Aktivierungsart
Beschreibung
MDM-Steuerelemente
Diese Aktivierungsart stellt eine grundlegende Geräteverwaltung mithilfe der
Gerätesteuerelemente bereit. Auf dem Gerät ist kein separater Container installiert und
keine zusätzliche Sicherheit für geschäftliche Daten vorhanden.
Geschäftlich und persönlich –
Benutzer-Datenschutz
Diese Aktivierungsart ermöglicht die Steuerung von geschäftlichen Daten auf Geräten
und stellt gleichzeitig sicher, dass private Daten geschützt werden. Wenn ein Gerät
aktiviert wird, wird ein separater Container (Secure Work Space) auf dem Gerät erstellt.
Der Benutzer muss ein Kennwort für den Zugriff auf den Container erstellen.
Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Sie können den Container auf dem Gerät steuern, jedoch keinerlei Elemente des
persönlichen Bereichs.
Geschäftlich und persönlich –
vollständige Kontrolle
Diese Aktivierungsart ermöglicht die volle Kontrolle über Geräte. Wenn ein Gerät aktiviert
wird, wird ein separater Container (Secure Work Space) auf dem Gerät erstellt. Der
Benutzer muss ein Kennwort für den Zugriff auf den Container erstellen. Geschäftsdaten
werden über Verschlüsselung und Kennwortauthentifizierung geschützt.
Sie können den Container und einige weitere Aspekte des Geräts, die sowohl den
persönlichen als auch den geschäftlichen Bereich betreffen, steuern. Benutzer müssen
während der Aktivierung ein Mobilgeräteverwaltungsprofil installieren.
Verwandte Informationen
Secure Work Space für iOS- und Android-Geräte, auf Seite 30
Windows-Aktivierungsart
Windows-Geräte haben die folgende Aktivierungsart:
Aktivierungsart
Beschreibung
MDM-Steuerelemente
Die Aktivierungsart stellt eine grundlegende Geräteverwaltung mithilfe der mit Windows
10, Windows 10 Mobile und Windows Phone 8.x verfügbaren Gerätesteuerelemente
bereit. Es wird kein separater geschäftlicher Bereich auf dem Gerät installiert und es gibt
keine zusätzliche Sicherheit für geschäftliche Daten.
24
Verwalten der Gerätesicherheit mit BES12
Wie geschäftliche Bereiche geschäftliche Apps
und Daten schützen
In Abhängigkeit der von Ihnen gewählten Aktivierungsart kann ein geschäftlicher Bereich auf dem Gerät erstellt werden. Ein
solcher Bereich ist ein getrennter Bereich des Geräts, der die Abtrennung und die Verwaltung verschiedener Arten von Daten,
Apps und Netzwerkverbindungen ermöglicht. Die verschiedenen Bereiche können unterschiedlichen Regeln für
Datenspeicherung, App-Berechtigungen und Netzwerkrouting unterliegen. Geräte mit einem geschäftlichen Bereich und
einem persönlichen Bereich ermöglichen Ihrem Unternehmen eine strengere Kontrollen über geschäftliche Apps und Daten;
zugleich behalten die Benutzer die Kontrolle über persönliche Daten und Apps.
BES12 unterstützt mehrere Optionen für geschäftliche Bereiche:
•
BlackBerry Balance auf BlackBerry 10-Geräten
•
Secure Work Space auf iOS- und Android-Geräten
•
Android for Work auf Android-Geräten
•
Samsung KNOX Workspace auf Samsung-Geräten
Weitere Informationen zum Schutz Ihrer Apps und Daten durch Android for Work finden Sie unter https://www.google.com/work/
android/.
Weitere Informationen zum Schutz Ihrer Apps und Daten durch Samsung KNOX Workspace finden Sie unter https://
www.samsungknox.com/en/products/knox-workspace/technical.
Geschäftlicher Bereich auf BlackBerry 10-Geräten
Alle BlackBerry 10-Geräte, die mit BES12 aktiviert werden, haben einen geschäftlichen Bereich. Wenn Sie BlackBerry 10Geräte aktivieren, haben Sie die Wahl zwischen drei Aktivierungsarten für die Erstellung verschiedener Verwaltungsoptionen für
den geschäftlichen Bereich:
•
Geschäftlich und persönlich – Unternehmen
•
Geschäftlich und persönlich – Reguliert
•
Nur geschäftlicher Bereich
Verwandte Informationen
BlackBerry 10-Geräteaktivierungsarten, auf Seite 22
Sichern von BlackBerry Balance-Geräten
Sie können BlackBerry 10-Geräte mithilfe des Aktivierungstyps "Geschäftlich und persönlich – Unternehmen“ aktivieren, um
Benutzern BlackBerry Balance-Geräte zur Verfügung zu stellen. Die Geräte verfügen über einen persönlichen und einen
geschäftlichen Bereich, und Sie können lediglich den geschäftlichen Bereich steuern. Ihr Unternehmen kann die BlackBerry
25
Verwalten der Gerätesicherheit mit BES12
Balance-Technologie verwenden, sodass Benutzer ihre Geräte sowohl geschäftlich als auch privat nutzen können. Sie könnten
Benutzern beispielsweise gestatten, private Geräte auf BES12 zu aktivieren oder Geräte zu verwenden, die Ihr Unternehmen für
den persönlichen Gebrauch zur Verfügung stellt.
BES12-Sicherheitsfunktionen und BlackBerry Balance können überprüfen, wie Geräte die Inhalte und Ressourcen (Daten,
Apps und Netzwerkverbindungen) Ihres Unternehmens schützen, und ermöglichen, dass Geräte die geschäftlichen Daten und
Apps anders als persönliche Daten und Apps behandeln. Diese Funktionen und Optionen haben folgende Vorteile:
•
Ihr Unternehmen kann den Zugriff auf geschäftliche Apps und Daten auf den Geräten überwachen.
•
Die Daten Ihres Unternehmens sind geschützt.
•
Benutzer können über einige Kernanwendungen geschlossen auf persönliche und geschäftliche Daten zugreifen.
•
Sie können Apps, die Ihr Unternehmen als geschäftliche Apps verfügbar machen will, verwalten und überwachen.
•
Sie können die Apps und Daten Ihres Unternehmens von persönlichen Geräten löschen, wenn Benutzer Ihr
Unternehmen verlassen.
•
Sie können Netzwerkverbindungen für geschäftliche und persönliche Apps überwachen.
Sichern von regulierten BlackBerry Balance-Geräten
Sie können BlackBerry 10-Geräte mithilfe der Aktivierungsart "Geschäftlich und persönlich – Reguliert" aktivieren, um
Benutzern regulierte BlackBerry Balance-Geräte zur Verfügung zu stellen. Die Geräte verfügen über einen persönlichen und
einen geschäftlichen Bereich, und Sie können beide Bereiche kontrollieren. Ihr Unternehmen kann die BlackBerry BalanceTechnologie verwenden, damit Benutzer Geräte sowohl für den geschäftlichen als auch den persönlichen Bereich nutzen
können und Ihrem Unternehmen trotzdem Kontrolle über Gerätefunktionen geben.
BES12-Sicherheitsfunktionen und das regulierte BlackBerry Balance können steuern, wie Geräte die Inhalte und Ressourcen
(Daten, Apps und Netzwerkverbindungen) Ihres Unternehmens schützen und Geräten erlauben, die Daten und Apps Ihres
Unternehmens anders als persönliche Daten und Apps zu behandeln.
Regulierte BlackBerry Balance-Geräte behandeln geschäftliche und persönliche Daten genauso wie BlackBerry BalanceGeräte. Alles, was Sie zur Verwaltung von BlackBerry Balance-Geräten tun können, einschließlich der Verwendung von ITRichtlinienregeln, ist auch mit regulierten BlackBerry Balance-Geräten möglich. Regulierte BlackBerry Balance-Geräte bieten
Ihnen jedoch zusätzliche Verwaltungsoptionen, einschließlich:
•
Gerätefunktionen deaktivieren, auch wenn sich Benutzer im persönlichen Bereich aufhalten
•
Verhindern, dass Benutzer persönliche Konten auf dem Gerät haben
•
Kommunikationswege für Telefonanrufe, SMS und BBM blockieren
•
Kommunikationswege wie z. B. Wi-Fi ,Bluetooth und NFC blockieren
•
Erweiterten Schutz für Daten im Ruhezustand für Daten des geschäftlichen Bereichs verwenden
Benutzer mit regulierten BlackBerry Balance-Geräten sollten sich bewusst sein, dass Ihr Unternehmen persönliche Daten auf
ihren Geräten überprüfen kann. Wenn ein Gerät mithilfe der Aktivierungsart "Geschäftlich und persönlich – Reguliert" aktiviert
wird, wird dem Benutzer ein allgemeiner Haftungsausschluss angezeigt, der angibt, dass das Gerät von Ihrem Unternehmen
verwaltet wird und der Benutzer den Haftungsausschluss akzeptieren muss, um mit der Aktivierung fortzufahren. Sie können
einen zusätzlichen Hinweis konfigurieren, der die Geschäftsbedingungen darlegt, denen Benutzer folgen müssen, um die
26
Verwalten der Gerätesicherheit mit BES12
Sicherheitsanforderungen Ihres Unternehmens zu erfüllen. Für regulierte BlackBerry Balance-Geräte, auf denen BlackBerry 10
OS Version 10.3.1 und höher ausgeführt wird, können Sie in der IT-Richtlinie festlegen, ob ein Gerät den Organisationshinweis
jedes Mal, wenn ein Benutzer das Gerät neu startet, anzeigen soll.
Sichern von Geräten, die nur über einen geschäftlichen Bereich verfügen
Sie können BlackBerry 10-Geräte mithilfe der Aktivierungsart "Nur geschäftlicher Bereich" aktivieren, um Benutzern Geräte,
die nur über einen geschäftlichen Bereich verfügen, zur Verfügung zu stellen. Diese Geräte verfügen nur über einen Bereich,
der als geschäftlicher Bereich gilt und sicher ist. Alle Daten und Apps auf diesen Geräten werden als geschäftliche Ressourcen
klassifiziert. Sie können Geräte, die nur über einen geschäftlichen Bereich verfügen, aktivieren, wenn Benutzer Geräte fast
ausschließlich für geschäftliche Zwecke verwenden werden, oder wenn in Ihrem Unternehmen besonders vertrauliche
Positionen besetzt sind, die die vollständige Verwaltung von Geräten erfordern.
Durch diese Aktivierungsoption haben Sie die vollständige Kontrolle über Geräte und können:
•
Alle Apps und Dienste auf Geräten zulassen
•
Steuerung von Gerätemerkmalen, wie z. B. Kamera oder GPS
•
Blockieren von Kommunikationspfaden, wie Wi-Fi oder Bluetooth
•
Steuern, welche Apps die Benutzer herunterladen können
•
Verhindern des Zugriffs auf persönliche E-Mail-Nachrichtendienste
•
Erweiterten Schutz für Daten im Ruhezustand für Daten des geschäftlichen Bereichs verwenden
Der Kennwortschutz auf Geräten, die nur über einen persönlichen Bereich verfügen, ist nicht optional. Um Geschäftsdaten auf
diesen Geräten zu sichern, müssen Benutzer bei der Aktivierung ein Gerätekennwort festlegen.
Benutzer mit Geräten, die nur über einen geschäftlichen Bereich verfügen, sollten sich bewusst sein, dass Ihr Unternehmen alle
Daten auf ihren Geräten überprüfen kann, auch wenn sie ihre Geräte für persönliche Zwecke nutzen. Wenn ein Gerät mithilfe
der Aktivierungsart "Nur geschäftlicher Bereich" aktiviert wird, wird dem Benutzer ein allgemeiner Haftungsausschluss
angezeigt, der angibt, dass das Gerät vollständig von Ihrem Unternehmen verwaltet wird, und der Benutzer muss den
Haftungsausschluss akzeptieren, um mit der Aktivierung fortzufahren. Sie können einen zusätzlichen Hinweis konfigurieren,
der die Geschäftsbedingungen darlegt, denen Benutzer folgen müssen, um die Sicherheitsanforderungen Ihres Unternehmens
zu erfüllen. Für Geräte, die nur über einen geschäftlichen Bereich verfügen, auf denen BlackBerry 10 OS Version 10.3.1 und
höher ausgeführt wird, können Sie in der IT-Richtlinie festlegen, ob ein Gerät den Unternehmenshinweis jedes Mal, wenn ein
Benutzer das Gerät neu startet, anzeigen soll.
Wenn ein Gerät über einen persönlichen oder geschäftlichen Bereich verfügt, bevor Sie es aktivieren, wird dieser während des
Aktivierungsprozesses gelöscht und alle Daten, Apps oder Netzwerkverbindungen, die das Gerät vor der Aktivierung genutzt
hat, werden entfernt. Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Wie Apps und Daten auf BlackBerry Balance-Geräten klassifiziert werden
BlackBerry Balance-Geräte und regulierte BlackBerry Balance-Geräte können zwischen Daten für den geschäftlichen
Gebrauch und Daten für den Privatgebrauch unterscheiden. Die Geräte klassifizieren Daten abhängig von der Datenquelle in
geschäftliche und persönliche Daten, und diese Klassifizierungen bestimmen, wie die Daten auf den Geräten gespeichert,
geschützt und verarbeitet werden. Geschäftliche Daten sind alle Daten, die von Apps im geschäftlichen Bereich verwaltet
27
Verwalten der Gerätesicherheit mit BES12
werden, und persönliche Daten sind alle Daten, die von Apps im persönlichen Bereich verwaltet werden. Zum Beispiel werden
Daten aus einem geschäftlichen Konto im geschäftlichen Bereich auf dem Gerät gespeichert, und Daten aus einem
persönlichen Konto werden im persönlichen Bereich auf dem Gerät gespeichert. Nachdem Daten von einem Gerät als
geschäftliche Daten oder persönliche Daten klassifiziert wurden, können persönliche Daten nicht zu geschäftlichen Daten
umklassifiziert werden und geschäftliche Daten nicht zu persönlichen Daten umklassifiziert werden.
Alle Daten und Apps auf Geräten, die nur über einen geschäftlichen Bereich verfügen, werden als geschäftliche Ressourcen
klassifiziert, auch wenn Benutzer die Geräte für persönliche Angelegenheiten nutzen, wie dem Besuch persönlicher Webseiten
oder dem Empfang persönlicher E-Mails.
Die folgende Tabelle beschreibt die einzelnen App-Klassifizierungen für Geräte mit einem persönlichen Bereich und führt
Beispiele für Apps an, die zu der jeweiligen App-Klassifizierung gehören:
Beschreibung
Apps
Apps, die nur im geschäftlichen Bereich verfügbar sind und
nur geschäftliche Daten anzeigen
•
BlackBerry World for Work
•
Beliebige Apps, die Benutzer aus BlackBerry World for
Work herunterladen
Apps, die nur im persönlichen Bereich verfügbar sind und nur •
persönliche Daten anzeigen
BBM, BBM Video, SMS-Textnachrichten und visuelle
Sprachnachrichten (mit Zugriff auf geschäftliche
Kontakte, falls nicht durch die IT-Richtlinienregel
"Persönliche Apps können auf geschäftliche Kontakte
zugreifen" verhindert)
Apps, die sowohl in geschäftlichen als auch in persönlichen
Bereichen verfügbar sind, und die geschäftliche und
persönliche Daten in einer einheitlichen Ansicht anzeigen
Diese Apps klassifizieren die Daten, die sie nutzen, abhängig
von der Datenquelle entweder als geschäftliche oder
persönliche Daten und verwalten jeden Datentyp innerhalb
des Bereichs, zu dem er gehört.
•
BlackBerry World
•
Benutzer-Apps für Instant Messaging
•
Beliebige Apps, die Benutzer aus BlackBerry World
herunterladen (einschließlich BlackBerry Runtime für
Android-Apps)
•
BlackBerry Remember
•
BlackBerry Hub
•
Kalendar
•
Kontakte
Diese Apps verwalten geschäftliche Daten innerhalb der
Beschränkungen des geschäftlichen Dateisystems, der
geschäftlichen Richtlinien, Berechtigungen und Regelungen,
um sicherzustellen, dass die Daten innerhalb des
geschäftlichen Bereichs sicher sind und die Daten nicht für
Benutzer verfügbar sind, wenn der geschäftliche Bereich
28
Verwalten der Gerätesicherheit mit BES12
Beschreibung
Apps
gesperrt ist. Diese Apps werden streng kontrolliert und sind
auf Kernanwendungen begrenzt, die ausschließlich von
BlackBerry entwickelt werden.
Apps, die eine Instanz im geschäftlichen Bereich und eine
separate Instanz im persönlichen Bereich haben
•
Adobe Reader
•
Browser
Diese App-Instanzen laufen sowohl in den geschäftlichen als
auch den persönlichen Bereichen eines Geräts unabhängig
voneinander. Zum Beispiel kann die Documents To Go-App,
die sich im geschäftlichen Bereich befindet, nur Dateien
verwalten, die sich im geschäftlichen Bereich befinden, und
das BlackBerry 10 OS sorgt dafür, dass diese App nicht mit
Dateien, die sich im persönlichen Bereich befinden,
interagiert.
•
Documents To Go
•
Dateiverwaltung
•
Hilfe
•
Bilder
Jede Instanz dieser Apps wird von den anderen getrennt
gehalten, und jede App arbeitet gemäß den Regeln und
Beschränkungen, die für den Bereich gelten, in dem sie
installiert ist. Zum Beispiel zeigt die Dateiverwaltung-App nur
geschäftliche Apps an, wenn ein Benutzer die App im
geschäftlichen Bereich öffnet, und nur persönliche Dateien,
wenn der Benutzer die App im persönlichen Bereich öffnet.
Regeln des Zugriffs auf Inhalte
BlackBerry Balance- und regulierte BlackBerry Balance-Geräte regeln wie folgt, was Benutzer mit geschäftlichen und
persönlichen Inhalten tun können:
•
Die Geräte lassen nicht zu, dass Benutzer Dateien aus dem persönlichen Bereich in den geschäftlichen Bereich
verschieben oder aus dem geschäftlichen Bereich in den persönlichen Bereich verschieben.
•
Die Geräte lassen nicht zu, dass Benutzer Text aus dem geschäftlichen Bereich ausschneiden, kopieren oder in Apps
des persönlichen Bereichs einfügen. Die Geräte lassen zu, dass Benutzer Text aus Apps des persönlichen Bereichs in
Apps des geschäftlichen Bereichs einfügen. Die Geräte speichern Daten, die Benutzer aus Apps des geschäftlichen
Bereichs kopieren, nur im geschäftlichen Bereich, und Daten, die Benutzer aus Apps des persönlichen Bereichs
kopieren, nur im persönlichen Bereich.
•
Apps, die sowohl in geschäftlichen als auch in persönlichen Bereichen einheitlich angezeigt werden, können
persönliche Dateien an die geschäftliche Anlage der App anhängen. Zum Beispiel können Benutzer persönliche
Dateien an geschäftliche E-Mail-Nachrichten anhängen. Die Geräte verwenden schreibgeschützte Versionen dieser
Dateien und übertragen oder kopieren diese Dateien nicht aus dem persönlichen Dateisystem in das geschäftliche
Dateisystem.
29
Verwalten der Gerätesicherheit mit BES12
Standardmäßig können geschäftliche Apps auf freigegebene Dateien im persönlichen Bereich zugreifen, insofern der Benutzer
dies erlaubt. Wenn ein Benutzer eine geschäftliche App installiert, zeigt das Gerät eine Meldung mit den Optionen an, die
Anfrage der App für den Zugriff auf freigegebene Dateien oder Inhalte entweder zuzulassen oder abzulehnen. Wenn Sie
verhindern möchten, dass geschäftliche Apps auf freigegebene persönliche Dateien zugreifen, stellen Sie sicher, dass die ITRichtlinienregel "Zulassen, dass geschäftliche Apps auf freigegebene Dateien oder Inhalte in den persönlichen Bereichen
zugreifen" nicht ausgewählt ist. Dadurch wird verhindert, dass geschäftliche Apps auf freigegebene Dateien oder Inhalte im
persönlichen Bereich zugreifen, unabhängig von den Benutzereinstellungen des Geräts. Dadurch wird ebenfalls verhindert,
dass Benutzer persönliche Dateien an Nachrichten anhängen, die sie von einem geschäftlichen Konto senden, und dass
persönliche Dateien oder Inhalte mit geschäftlichen Apps unter Verwendung der Option "Teilen" geteilt werden.
Standardmäßig können alle Apps im persönlichen Bereich auf die erforderlichen Daten für geschäftliche Kontakte zugreifen.
Benutzer können außerdem die Optionen "Kopieren nach" und "Speichern in" für geschäftliche Kontakte in der Kontakte-App
verwenden.
Sie können die Einstellungen der IT-Richtlinienregeln ändern, um Folgendes zu bewirken:
•
Verhindern, dass alle persönlichen Anwendungen jederzeit auf Daten für geschäftliche Kontakte zugreifen können,
indem Sie die IT-Richtlinienregel "Persönliche Apps können auf geschäftliche Kontakte zugreifen" auf "Keine"
einstellen.
•
Um nur den folgenden von BlackBerry entwickelten persönlichen Apps zu erlauben, auf Daten für Geschäftskontakte
zuzugreifen. Setzen Sie dazu die IT-Richtlinienregel "Persönlichen Apps Zugriff auf Geschäftskontakte gewähren" auf
"Nur BlackBerry-Apps": Telefon, BBM (einschließlich BBM Video und BBM Voice), Textnachrichten, Smart Tags und
visuelle Mailbox.
•
So verhindern Sie, dass Benutzer während eines BBM Video-Chat den Bildschirminhalt mit anderen BBM Video-ChatTeilnehmern teilen. Wenn Sie Benutzern das Teilen des Bildschirminhalts im geschäftlichen Bereich im BBM VideoChat nicht erlauben, sperrt ein Gerät den geschäftlichen Bereich, wenn ein Benutzer den Bildschirm während eines
BBM Video-Chats freigibt. Der Benutzer kann den geschäftlichen Bereich erst dann entsperren, wenn der Vorgang
der Bildschirmfreigabe des BBM Video-Chats vollständig beendet wurde.
Secure Work Space für iOS- und Android-Geräte
Secure Work Space erstellt einen geschäftlichen Bereich auf iOS- und Android-Geräten, wenn ein Gerät in BES12 aktiviert wird.
Der geschäftliche Bereich ist ein getrennter Bereich des Geräts für geschäftliche Ressourcen, wo Benutzer Dokumente
erstellen, bearbeiten und speichern können. Der geschäftliche Bereich speichert auch Konfigurationsangaben vom Server und
damit verbundene Informationen, zum Beispiel Microsoft Active Directory-Anmeldeinformationen und -Profile.
30
Verwalten der Gerätesicherheit mit BES12
Die Sicherheitsfunktionen von BES12 und Secure Work Space steuern, wie Geräte die Daten Ihres Unternehmens, Apps und
Netzwerkverbindungen schützen, und erzwingen, dass Daten und Apps Ihres Unternehmens auf Geräten anders als
persönliche Daten und Apps behandelt werden. Das heißt, Sie können Folgendes durchführen:
•
Ermöglichen Sie es Ihrem Unternehmen, Informationen zu kontrollieren, auch wenn diese auf Geräten gespeichert
sind, die Eigentum von Mitarbeitern sind und von ihnen zur Arbeit mitgebracht werden.
•
Steuern des Zugriffs auf die Daten und Apps Ihres Unternehmens auf Geräten
•
Verhindern, dass die Sicherheit von Daten beeinträchtigt wird
•
Installieren und Verwalten der Daten und Apps Ihres Unternehmens auf Geräten
•
Bei Bedarf Löschen der Daten Ihres Unternehmens von Geräten
•
Steuern von Netzwerkverbindungen, die von geschäftlichen und persönlichen Apps verwendet werden
•
Ermöglichen Sie es Ihrem Unternehmen, Informationen zu kontrollieren, auch wenn diese auf Geräten gespeichert
sind, die Eigentum von Mitarbeitern sind und von ihnen zur Arbeit mitgebracht werden.
Verwandte Informationen
Sicherheitsfunktionen für Geräte mit Secure Work Space, auf Seite 17
Android-Geräteaktivierungsarten, auf Seite 22
iOS-Geräteaktivierungsarten, auf Seite 23
Erstellen von geschäftlichen Bereichen auf Geräten mit Secure Work Space
Zum Erstellen eines geschäftlichen Bereichs auf einem Gerät mit Secure Work Space aktivieren Sie das Gerät in BES12
entweder über die Aktivierungsart "Geschäftlich und persönlich – volle Kontrolle (Secure Work Space)" oder "Geschäftlich und
persönlich – Privatsphäre des Benutzers (Secure Work Space)". Während des Aktivierungsvorgangs verschlüsselt das Gerät
den geschäftlichen Bereich.
Geräte mit Secure Work Space machen es während des Aktivierungsprozesses erforderlich, dass die Benutzer ein Kennwort für
den geschäftlichen Bereich festlegen. Das Kennwort für den geschäftlichen Bereich dient dem Schutz von Daten des
geschäftlichen Bereichs und gesicherter Apps. Sie können IT-Richtlinienregeln zur Kontrolle von Kennwortanforderungen wie
Komplexität und Länge verwenden.
31
Verwalten der Gerätesicherheit mit BES12
Nachdem ein Gerät in BES12 aktiviert wurde, sind auf dem Gerät weiterhin ein persönlicher Bereich sowie alle Daten, Apps
oder Netzwerkverbindungen des Benutzers vorhanden, die der Benutzer verwendet hat, bevor das Gerät aktiviert wurde.
Benutzer können ihre Geräte für Zwecke verwenden, welche die Sicherheitsrichtlinien des Unternehmens ansonsten nicht
erlauben, zum Beispiel das Herunterladen von Videos, das Spielen von Multiplayer-Spielen im Internet oder das Hochladen von
privaten Fotos und Facebook-Einträgen, ohne die auf dem Gerät gespeicherten geschäftlichen Daten sichtbar zu machen.
Schutz der Daten durch Verschlüsselung
BES12 hilft beim Schutz von Daten auf Geräten durch Verschlüsselung.
BlackBerry 10-Geräte verschlüsseln die Dateien, die im geschäftlichen Bereich gespeichert sind. Sie können ITRichtlinienregeln benutzen, um das Verschlüsseln aller Daten auf den Geräten, einschließlich aller Daten im persönlichen
Bereich und auf Medienkarten, zu erzwingen.
Secure Work Space verschlüsselt alle Daten im geschäftlichen Bereich. Android-Geräte mit Secure Work Space verschlüsseln
auch alle Daten des geschäftlichen Bereichs auf der Medienkarte.
In Abhängigkeit von der Aktivierungsart können Sie IT-Richtlinienregeln benutzen, um das Verschlüsseln aller Daten auf den
Android-Geräten, einschließlich aller Daten im persönlichen Bereich und auf Medienkarten, zu erzwingen.
Weitere Informationen zur Datenverschlüsselung für Android for Work finden Sie unter https://support.google.com/work/
android.
Weitere Informationen zur Datenverschlüsselung für Samsung KNOX Workspace finden Sie unter https://
www.samsungknox.com/en/products/knox-workspace/technical.
Weitere Informationen zur Datenverschlüsselung für iOS finden Sie unter https://www.apple.com/business/docs/
iOS_Security_Guide.pdf.
Verschlüsseln von Daten auf BlackBerry 10-Geräten
BlackBerry 10-Geräte schützen durch Verschlüsselung die folgenden Datentypen. Nur die Inhalte von Dateien werden
verschlüsselt; die Dateien selbst und die Verzeichnisnamen werden nicht verschlüsselt.
Datentyp
Beschreibung
Daten im geschäftlichen
Bereich
Geräte schützen Geschäftsdaten durch die Verschlüsselung der im geschäftlichen Bereich
gespeicherten Dateien. Die Verschlüsselung des geschäftlichen Bereichs ist nicht optional.
Daten im persönlichen Bereich
Geräte mit einem persönlichen Bereich können persönliche Daten durch die
Verschlüsselung der im persönlichen Bereich gespeicherten Dateien schützen.
Die Verschlüsselung des persönlichen Bereichs ist optional. Sie können die ITRichtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen"
verwenden, um die Verschlüsselung für den persönlichen Bereich auf einem Gerät zu
aktivieren.
32
Verwalten der Gerätesicherheit mit BES12
Datentyp
Beschreibung
Benutzer können die Verschlüsselung persönlicher Daten auch mittels der Option
"Geräteverschlüsselung" in den "Sicherheit und Datenschutz"-Einstellungen auf einem
Gerät aktivieren.
Medienkartendaten
Geräte können Medienkartendaten durch die Verschlüsselung der auf Medienkarten
gespeicherten Dateien schützen:
•
Standardmäßig erlauben es Geräte mit einem persönlichen Bereich Benutzern
nur persönliche Daten auf Medienkarten zu speichern, und diese Daten werden in
einem unverschlüsselten Format gespeichert.
•
Standardmäßig erlauben es Geräte, die nur über einen geschäftlichen Bereich
verfügen, Benutzern, Daten auf Medienkarten zu speichern, und diese Daten
werden in einem unverschlüsselten Format gespeichert.
Die Medienkartenverschlüsselung ist optional. Sie können die IT-Richtlinienregel
"Medienkartenverschlüsselung erzwingen" verwenden, um die
Medienkartenverschlüsselung zu aktivieren. Es wird dringend empfohlen, auf Geräten, die
nur über einen geschäftlichen Bereich verfügen, die Medienkartenverschlüsselung mithilfe
der IT-Richtlinienregel "Medienkartenverschlüsselung erzwingen" zu aktivieren, da
Benutzer Geschäftsdaten standardmäßig in unverschlüsseltem Format speichern können.
Benutzer können die Medienkartenverschlüsselung auch mittels der Option
"Medienkartenverschlüsselung" in den "Sicherheit und Datenschutz"-Einstellungen auf
einem Gerät aktivieren.
Die Medienkarte wird deaktiviert, wenn ein anderes Gerät die Daten auf ihr verschlüsselt
hat. Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen
geschäftlichen Bereich verfügen, ist die Medienkartenverschlüsselung nur erlaubt, wenn
die IT-Richtlinienregel "Medienkarte zulassen" ausgewählt ist.
Wie BlackBerry 10-Geräte geschäftliche Daten schützen
Bei der Verschlüsselung des geschäftlichen Bereichs für BlackBerry 10-Geräte werden Daten, die im geschäftlichen
Dateisystem gespeichert sind, unter Verwendung von XTS-AES-256 verschlüsselt. Bei Geräten, die nur über einen
geschäftlichen Bereich verfügen, werden alle Daten unter Verwendung von XTS-AES-256 verschlüsselt.
Ein Gerät erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte einer Datei zu verschlüsseln. Die
Dateiverschlüsselungsschlüssel werden von einem hierarchischen Verschlüsselungsschlüssel-System wie folgt geschützt:
•
Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem geschäftlichen Domänenschlüssel und
speichert den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.
•
Der geschäftliche Domänenschlüssel ist ein zufällig erstellter Schlüssel, der in den Metadaten des Dateisystems
gespeichert und unter Verwendung des geschäftlichen Hauptschlüssels verschlüsselt wird.
33
Verwalten der Gerätesicherheit mit BES12
•
Der geschäftliche Hauptschlüssel wird ebenfalls zufällig erstellt. Der geschäftliche Hauptschlüssel wird im NVRAM
auf dem Gerät gespeichert und mit dem Systemhauptschlüssel verschlüsselt.
•
Der Systemhauptschlüssel wird im Replay-geschützten Speicherblock (RPMB, Replay Protected Memory Block) auf
dem Gerät gespeichert.
•
Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors
in den Prozessor integriert wird.
Die Dateiverschlüsselungsschlüssel, der geschäftliche Domänenschlüssel, der geschäftliche Hauptschlüssel und der
Systemhauptschlüssel werden mithilfe von BlackBerry OS Cryptographic Kernel erstellt, der für das BlackBerry 10 OS die FIPS
140-2-Zertifizierung erhalten hat.
Wie BlackBerry 10-Geräte persönliche Daten schützen
Bei der Verschlüsselung des persönlichen Bereichs für BlackBerry 10-Geräte werden Dateien, die im persönlichen Dateisystem
gespeichert sind, unter Verwendung von XTS-AES-256 verschlüsselt. Ein Gerät erzeugt per Zufallsprinzip einen
Verschlüsselungsschlüssel, um die Inhalte einer Datei zu verschlüsseln. Die Dateiverschlüsselungsschlüssel werden von einem
hierarchischen Verschlüsselungsschlüssel-System wie folgt geschützt:
•
Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem persönlichen Domänenschlüssel und speichert
den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.
•
Der persönliche Domänenschlüssel ist ein zufällig erstellter Schlüssel, der in den Metadaten des Dateisystems
gespeichert und unter Verwendung des persönlichen Hauptschlüssels verschlüsselt wird.
•
Der persönliche Hauptschlüssel wird ebenfalls zufällig erstellt. Der persönliche Hauptschlüssel wird im NVRAM auf
dem Gerät gespeichert und mit dem Systemhauptschlüssel verschlüsselt.
•
Der Systemhauptschlüssel wird im Replay-geschützten Speicherblock (RPMB, Replay Protected Memory Block) auf
dem Gerät gespeichert.
•
Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors
in den Prozessor integriert wird.
Wenn die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" ausgewählt wird, wählen Sie
auch die IT-Richtlinienregel "Kennwort für das gesamte Gerät anfordern", sodass das Kennwort für den geschäftlichen Bereich
für das gesamte Gerät gilt. Wenn die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" nicht
ausgewählt wird und der Benutzer die Verschlüsselung für den persönlichen Bereich aktivieren möchte, wird der Benutzer
aufgefordert, ein neues Kennwort einzugeben, insofern das Gerät nicht bereits ein Kennwort hat.
Die Geräte können ebenfalls alle Dateien verschlüsseln, die auf in den Geräten steckenden Medienkarten gespeichert sind.
Benutzer können ausschließlich persönliche Daten auf den Medienkarten speichern.
Die Dateiverschlüsselungsschlüssel, der persönliche Domänenschlüssel, der persönliche Hauptschlüssel und der
Systemhauptschlüssel werden mithilfe von BlackBerry OS Cryptographic Kernel erstellt, der für das BlackBerry 10 OS die FIPS
140-2-Zertifizierung erhalten hat.
34
Verwalten der Gerätesicherheit mit BES12
Wie Daten auf Medienkarten von BlackBerry 10-Geräten geschützt werden
Die Medienkartenverschlüsselung verschlüsselt auf Medienkarten in BlackBerry 10-Geräten gespeicherte Dateien. Ein Gerät
erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte von Dateien auf der Medienkarte zu verschlüsseln.
Der Schlüssel für die Verschlüsselung wird wie folgt geschützt:
•
Das Gerät verknüpft die persönliche Domäne mit einem nach dem Zufallsprinzip generierten Schlüssel und erzeugt
einen Hashwert zum Erstellen eines Schlüssels für die Medienkarte. Wenn das Gerät nur über einen geschäftlichen
Bereich verfügt oder wenn die Verschlüsselung für den persönlichen Bereich nicht eingeschaltet wurde, generiert das
Gerät zunächst einen Domänenschlüssel für den persönlichen Bereich.
•
Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem Schlüssel der Medienkarte und speichert den
Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.
•
Ein Hashwert des Medienkartenschlüssels wird auf dem Gerät im Replay-geschützten Speicherblock gespeichert,
damit der Medienkartenschlüssel überprüft werden kann.
•
Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors
in den Prozessor integriert wird.
Auf BlackBerry Balance-Geräten können nur persönliche Daten auf Medienkarten gespeichert werden. Die
Medienkartenverschlüsselung ist optional. Sie können die Medienkartenverschlüsselung in der IT-Richtlinie erzwingen. Auf
Geräten, die nur über einen geschäftlichen Bereich verfügen, wird die Einrichtung der Medienkartenverschlüsselung dringend
empfohlen, da Benutzer geschäftliche Daten auf Medienkarten speichern können. Auf regulierten BlackBerry Balance-Geräten
und Geräten, die nur über einen geschäftlichen Bereich verfügen, können Sie den Einsatz von Medienkarten auch in der ITRichtlinie verbieten. Benutzer können die Medienkartenverschlüsselung auch in den Geräteeinstellungen einschalten.
Der Verschlüsselungsschlüssel der Medienkartenverschlüsselung wird vom kryptografischen Kernel des BlackBerryOS
generiert, welcher in BlackBerry 10 OS nach FIPS 140-2 zertifiziert ist.
Erweiterter Schutz von Daten im Ruhezustand auf BlackBerry 10-Geräten
Erweiterter Schutz von Daten im Ruhezustand ist ein Verschlüsselungsmodell für Daten im Ruhezustand, das Sie verwenden
können, um Daten im geschäftlichen Bereich auf gesperrten regulierten BlackBerry Balance-Geräten und Geräten, auf denen
BlackBerry 10 OS Version 10.3.1 und höher ausgeführt wird und die nur über einen geschäftlichen Bereich verfügen, zu
schützen. Es hilft bei der Sicherung vertraulicher Daten durch die Beschränkung des Zugriffs auf bestimmte Dateien im
geschäftlichen Bereich des Geräts, wenn der geschäftliche Bereich gesperrt ist. Wenn der geschäftliche Bereich gesperrt ist,
können nur Apps, die speziell dafür entwickelt wurden, erweiterten Schutz von Daten im Ruhezustand zu unterstützen, weiter
im geschäftlichen Bereich ausgeführt werden, und sie sind darauf beschränkt, nur auf bestimmte Teile des Dateisystems des
geschäftlichen Bereichs zuzugreifen.
Zusätzlich zur Einschränkung des Zugriffs auf vertrauliche Daten bei gesperrtem geschäftlichen Bereich verschlüsselt der
erweiterte Schutz von Daten im Ruhezustand auch Daten, die das Gerät empfängt, wenn der geschäftliche Bereich gesperrt ist.
Sowohl die Daten, die im geschäftlichen Bereich auf Geräten gespeichert sind, als auch Geschäftsdaten, die gesperrte Geräte
empfangen, werden verschlüsselt. Die Domänenschlüssel für die Verschlüsselung von Dateien des geschäftlichen Bereichs
werden ebenfalls verschlüsselt. Die Dateien werden mithilfe von Schlüsseln verschlüsselt, die an Informationen gebunden sind,
die nicht auf dem Gerät gespeichert sind, wie z. B. das Kennwort für den geschäftlichen Bereich oder die Smartcard eines
Benutzers.
35
Verwalten der Gerätesicherheit mit BES12
Erweiterter Schutz von Daten im Ruhezustand stellt verschiedene Domänen für die Speicherung der folgenden
Datenklassifizierungen bereit:
Domänenname
Beschreibung
Gesperrt
Diese Domäne speichert vertrauliche Daten. Die Daten in dieser Domäne sind verschlüsselt
und können nur aufgerufen werden, während der geschäftliche Bereich nicht gesperrt ist.
Der Domänenschlüssel kann nur entschlüsselt werden, nachdem der Benutzer den
geschäftlichen Bereich entsperrt hat.
Betriebsbereit
Diese Domäne speichert vertrauliche Daten, die verfügbar sein müssen, wenn der
geschäftliche Bereich gesperrt oder nicht gesperrt ist. Wenn das Gerät zum ersten Mal
gestartet wurde oder neu gestartet wurde, sind die Daten nicht verfügbar, bis der Benutzer
den geschäftlichen Bereich entsperrt. Die Daten sind dann verfügbar, bis das Gerät
ausgeschaltet oder neu gestartet wird. Der Domänenschlüssel kann nur entschlüsselt
werden, nachdem der Benutzer den geschäftlichen Bereich zum ersten Mal nach dem Start
des Geräts entsperrt hat.
Start
Diese Domäne speichert Daten, die verschlüsselt werden müssen, aber während des Starts
verfügbar sein müssen, ohne dass der Benutzer den geschäftlichen Bereich zuerst
entsperren muss. Alle Daten, die für den Gerätestart erforderlich sind oder verfügbar sein
müssen, bevor der Benutzer den geschäftlichen Bereich entsperrt, müssen in dieser Domäne
gespeichert werden. Der Domänenschlüssel kann abgerufen und entschlüsselt werden, ohne
dass der Benutzer den geschäftlichen Bereich zuerst entsperren muss.
Wenn die IT-Richtlinienregel "Zeitüberschreitung des erweiterten Schutzes von Daten im Ruhezustand" auf einen Wert größer
als 0 gesetzt wird, kann auf die Daten in der Sperrdomäne normal zugegriffen werden, bis der erweiterte Schutz von Daten im
Ruhezustand ausgeschaltet wird.
Sie können den erweiterten Schutz von Daten im Ruhezustand auf regulierten BlackBerry Balance-Geräten und auf Geräten,
die nur über einen geschäftlichen Bereich verfügen, verwenden. Auf regulierten BlackBerry Balance-Geräten beeinträchtigt der
erweiterte Schutz von Daten im Ruhezustand persönliche Apps nicht. Sie werden weiterhin ausgeführt und können normal auf
das persönliche Dateisystem des Geräts zugreifen.
Erweiterten Schutz von Daten im Ruhezustand verwalten
Sie können die IT-Richtlinienregel "erweiterten Schutz von Daten im Ruhezustand erzwingen" verwenden, um den erweiterten
Schutz von Daten im Ruhezustand auf Geräten zu aktivieren. Benutzer können den erweiterten Schutz von Daten im
Ruhezustand auf ihren Geräten nicht aktivieren bzw. deaktivieren.
Möglicherweise möchten Sie nicht, dass der erweiterte Schutz von Daten im Ruhezustand aktiviert wird, sobald der
geschäftliche Bereich gesperrt wird, und Sie würden bevorzugen, dass es zwischen der Sperrung des geschäftlichen Bereichs
und der Aktivierung des erweiterten Schutzes von Daten im Ruhezustand eine Verzögerung gibt. Wenn dies der Fall ist, können
Sie die IT-Richtlinienregel "Zeitüberschreitung des erweiterten Schutzes von Daten im Ruhezustand" verwenden, um eine
Verzögerung von bis zu 24 Stunden einzurichten. Wenn der erweiterte Schutz von Daten im Ruhezustand nicht aktiviert ist,
kann auf die Daten in der Sperrdomäne normal zugegriffen werden.
36
Verwalten der Gerätesicherheit mit BES12
Sie können verlangen, dass die Zwei-Faktor-Authentifizierung verwendet wird, um die Verschlüsselungsschlüssel für den
erweiterten Schutz von Daten im Ruhezustand zu schützen, indem Sie die IT-Richtlinienregel "Zwei-Faktor-Authentifizierung für
den erweiterten Schutz von Daten im Ruhezustand" verwenden. Die Zwei-Faktor-Authentifizierung schützt die
Verschlüsselungsschlüssel für den erweiterten Schutz von Daten im Ruhezustand sowohl mit einem privaten Schlüssel, der auf
einer Smart Card gespeichert ist, als auch mit dem Kennwort des geschäftlichen Bereichs.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Sie können auswählen, wo Wi-Fi- und VPN-Profile im geschäftlichen Bereich auf Geräten, die den erweiterten Schutz von Daten
im Ruhezustand verwenden, gespeichert werden. Unter Verwendung der Profileinstellung "Datensicherheitsebene" in Wi-Fiund VPN-Profilen können Sie festlegen, ob Wi-Fi- und VPN-Profile "immer verfügbar", "nach Authentifizierung verfügbar" oder
"nur verfügbar, wenn der geschäftliche Bereich entsperrt wird" sein sollen. Wenn Sie festlegen, dass die Profile immer
verfügbar sind, wird das Profil in der Startdomäne gespeichert und steht zur Verfügung, wenn der geschäftliche Bereich
gesperrt ist. Wenn Sie festlegen, dass das Profil "nach Authentifizierung verfügbar" ist, wird das Profil in der Betriebsdomäne
gespeichert und ist nach dem Entsperren des geschäftlichen Bereichs so lange verfügbar, bis das Gerät erneut gestartet wird.
Wenn Sie festlegen, dass das Profil "Nur verfügbar, wenn der geschäftliche Bereich entsperrt ist", wird das Profil in der
Sperrdomäne gespeichert und kann nur dann für Wi-Fi- oder VPN-Verbindungen verwendet werden, wenn der geschäftliche
Bereich entsperrt ist.
Weitere Informationen über diese Profileinstellungen finden Sie in der Dokumentation für Administratoren.
Verschlüsseln von Daten in Secure Work Space
Im geschäftlichen Bereich werden die von gesicherten Apps gespeicherten Daten mithilfe von AES-256-Verschlüsselung
verschlüsselt. Der geschäftliche Bereich erzeugt zufällig einen separaten Verschlüsselungsschlüssel für jede gesicherte App
und verschlüsselt die Schlüssel mit dem Kennwort des Benutzers für den geschäftlichen Bereich. Im geschäftlichen Bereich
werden alle von einer gesicherten App gespeicherten Daten direkt verschlüsselt und der Schreibvorgang in Dateien erfolgt
indirekt. Die Verschlüsselungsbibliotheken (OpenSSL-FIIPTS oder iOS-Crypto unter iOS und OpenSSL-FIPS unter Android OS)
sind Komponenten der FIPS-zertifizierten kryptografischen Bibliothek von BlackBerry für Secure Work Space.
Gesicherte Apps können Daten nur für andere gesicherte Apps freigeben. Wenn eine gesicherte App anfordert, Daten für eine
andere App freizugeben, fängt der geschäftliche Bereich die Anforderung ab und lässt zu, dass die App fortfährt, wenn beide
Apps gesichert sind. Wenn keine der beiden Apps gesichert sind, lehnt der geschäftliche Bereich die Anforderung ab. Der
geschäftliche Bereich erlaubt es einem Benutzer, Daten von einer gesicherten App in eine andere gesicherte App zu kopieren
und einzufügen, jedoch nicht in eine geschäftliche oder persönliche App.
Bei der Verwendung des geschäftlichen Browsers werden keine Internet- oder Intranetkennwörter gespeichert. Der CookieSpeicher wird genau wie andere Daten des geschäftlichen Bereichs durch das sichere Dateisystem geschützt.
Secure Work Space-Verschlüsselung
37
Verwalten der Gerätesicherheit mit BES12
Für Android-Geräte weist das Android OS eine UID zu einer App zu, wenn die App installiert wird. Die UID ist für jede App
eindeutig, es sei denn, die App fordert die Freigabe einer UID für eine andere App an. Die zwei Apps müssen in diesem Fall mit
dem gleichen Zertifikat des gleichen Entwicklers signiert sein.
Jeder UID wird ein zufälliger Verschlüsselungsschlüssel zugewiesen, wenn die UID das erste Mal ausgeführt wird und die UID
den Schlüssel für die Datenverschlüsselung verwendet. Diese Schlüssel werden in einem getrennten sicheren Dateisystem im
geschäftlichen Bereich gespeichert, und das Dateisystem ist zwischen gesicherten Apps freigegeben. Wenn die App mit der
UID zum ersten Mal ausgeführt wird, fordert sie von der Work Space Manager-App den Verschlüsselungsschlüssel an, der mit
der UID verknüpft ist. Das gesamte sichere Dateisystem, mit Ausnahme des ersten Blocks, wird mithilfe von AES-256 im CBCModus mit 128-Bit-Blöcken verschlüsselt. Der Schlüssel zum Dateisystem wird im ersten Block gespeichert. Anschließend wird
der erste Block mit einem aus dem Kennwort des geschäftlichen Bereichs abgeleiteten Schlüssel verschlüsselt.
Bei iOS-Geräten weist Secure Work Space jeder gesicherten App einen zufälligen Verschlüsselungsschlüssel zu, wenn die App
zum ersten Mal ausgeführt wird. Die App verwendet den Schlüssel, um die Daten zu verschlüsseln. Diese Schlüssel werden in
einem vollständig segmentierten virtuellen und sicheren Dateisystem gespeichert, das von den Apps gemeinsam benutzt wird.
Die zugrunde liegende Blockstruktur des sicheren Dateisystems ist proprietär. Das virtuelle Dateisystem ist über einem NANDähnlichen Block mit einer virtuellen Geräteschnittstelle gelagert.
Sowohl auf Android- als auch auf iOS-Geräten ist das gesamte virtuelle Dateisystem, außer der erste Block, mithilfe von
AES-256 im CBC-Modus mit 128-Bitblöcken verschlüsselt. Der Schlüssel zum virtuellen Dateisystem wird im ersten Block
gespeichert. Der erste Block wird anschließend mit einem aus dem Kennwort des geschäftlichen Bereichs abgeleiteten
Schlüssel verschlüsselt. Das Kennwort des geschäftlichen Bereichs wird unter Verwendung von PBKDF2 als
Schlüsselableitungsfunktion mit HMAC-SHA1 abgeleitet.
Speichern von Secure Work Space-Daten auf Medienkarten
Bei Android-Geräten sind auf Medienkarten gespeicherte Daten im geschäftlichen Bereich Teil des sicheren Dateisystems,
genau wie Daten im geschäftlichen Bereich, die auf dem Gerät selbst gespeichert werden. Die Daten auf der Medienkarte
können nur entschlüsselt werden, wenn die Karte an das ursprüngliche Gerät angeschlossen wird und der Benutzer das
Kennwort für den geschäftlichen Bereich eingegeben hat. Auf die Daten auf der Medienkarte kann nicht auf kryptografische
Weise zugegriffen werden, wenn die Karte in ein anderes Gerät eingeführt wird, da die Verschlüsselungsschlüssel nicht
verfügbar sind.
38
Verwalten der Gerätesicherheit mit BES12
Verwalten von Apps auf Geräten
Sie können BES12 verwenden, um Apps, die Ihr Unternehmen auf Geräten verfügbar machen will, zu verwalten und zu
überwachen.
Sie können für die Geräte erforderliche Apps festlegen. Je nach Gerät, Aktivierungsart und Typ der App kann die App entweder
automatisch installiert werden oder der Benutzer kann zur Installation aufgefordert werden. Sie können Maßnahmen in den
Kompatibilitätsprofilen festlegen, die ausgeführt werden, wenn der Benutzer die Anwendung nicht installiert.
Sie können auch optionale Apps angeben, die die Benutzer im geschäftlichen Bereich installieren dürfen. Ebenso können Sie
beschränkte Apps angeben, die Benutzer nicht installieren dürfen. Je nach Typ des Geräts und Aktivierungsart können Sie auf
einigen Geräten auch steuern, welche Apps Benutzer im persönlichen Bereich installieren dürfen.
Weitere Informationen zum Angeben erforderlicher, optionaler und eingeschränkter Apps und zum Verhalten dieser Apps auf
verschiedenen Geräten finden Sie in der Dokumentation für Administratoren.
Kontrolle von persönlichen Apps auf Geräten
Je nach Typ des Geräts und Aktivierungsart können Sie das Installieren von persönlichen Apps auf den Geräten einschränken.
Für iOS-, Android- und Windows Phone 8.x-Geräte können Sie eine Liste der eingeschränkten Apps erstellen, die Ihre Benutzer
nicht installieren sollen. Zum Beispiel können Sie Benutzer daran hindern, schädliche Apps oder Apps, die viele Ressourcen
verbrauchen, zu installieren.
Für BlackBerry 10-Geräte und Android-Geräte mit Samsung KNOX Workspace oder Android for Work müssen Sie keine Liste
der eingeschränkten Apps erstellen. Auf diesen Geräten können Benutzer nur Apps im geschäftlichen Bereich installieren, die
Sie ausdrücklich zugelassen haben.
Verwandte Informationen
Verhindern der Installation spezifischer Apps durch die Benutzer, auf Seite 68
Installieren von persönlichen Apps auf BlackBerry 10-Geräten
Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Benutzer im persönlichen Bereich Apps aus
verschiedenen Quellen wie z. B. BlackBerry World, dem Amazon Appstore, E-Mail-Anhängen, Downloads über den Browser,
Medienkarten und mithilfe des Entwicklungsmodus installieren (wenn der Entwicklungsmodus nicht beschränkt ist).
Auf regulierten BlackBerry Balance-Geräten können Sie eine IT-Richtlinienregel verwenden, um Benutzer im persönlichen
Bereich an der Installation von Apps aus anderen Quellen als BlackBerry World oder mithilfe des Entwicklungsmodus zu
hindern. Wenn Sie den Entwicklungsmodus jedoch mit IT-Richtlinienregeln eingeschränkt haben, können Benutzer auch im
persönlichen Bereich keine Apps im Entwicklungsmodus installieren.
BlackBerry Balance- und regulierte BlackBerry Balance-Geräte klassifizieren alle Android-Apps als persönliche Apps, sodass
sie nur im persönlichen Bereich der Geräte installiert werden können. Sie können Android-Apps nicht für die Installation im
geschäftlichen Bereich bereitstellen oder genehmigen. Android-Apps können nur auf persönliche Daten im persönlichen
Bereich zugreifen.
39
Verwalten der Gerätesicherheit mit BES12
Verwalten geschäftlicher Apps auf BlackBerry 10-Geräten
Sie können BES12 verwenden, um Apps, die Ihr Unternehmen als geschäftliche Apps auf BlackBerry 10-Geräten verfügbar
machen will, zu verwalten und zu überwachen.
Geschäftliche Apps werden zum geschäftlichen Bereich auf Geräten hinzugefügt, und geschäftliche Apps können nur auf
Geschäftsdaten zugreifen und mit anderen geschäftlichen Apps interagieren. Auf Geräten kann dieselbe App getrennt
voneinander im geschäftlichen Bereich und im persönlichen Bereich installiert sein. Jede Instanz der App wird von der anderen
getrennt gehalten und jede arbeitet gemäß den Regeln und Beschränkungen, die für den Bereich gelten, in dem sie installiert
ist. Die Apps können konfiguriert, aktualisiert oder unabhängig voneinander entfernt werden, und die Veränderungen an der
einen Instanz haben keine Auswirkungen auf die andere Instanz. Beispielsweise kann eine im persönlichen Bereich installierte
Instant Messaging-App gegen das Hinzufügen von geschäftlichen Kontakten beschränkt sein, während die gleiche, im
geschäftlichen Bereich installierte Instant Messaging-App nicht dieser Beschränkung unterliegt.
Hinweis: Der geschäftliche Bereich unterstützt BlackBerry Runtime für Android-Apps nicht.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
BlackBerry World for Work
Die App BlackBerry World for Work wird während der Aktivierung im geschäftlichen Bereich auf BlackBerry 10-Geräten
installiert.
BlackBerry World for Work enthält eine Registerkarte "Geschäftliche Apps" und eine Registerkarte "Öffentliche Apps", auf
denen optionale Apps aufgelistet werden. Die Registerkarte "Geschäftliche Apps" bietet eine Liste optionaler Apps, die von
Ihrem Unternehmen gehostet und mit BES12 bereitgestellt werden. Die Registerkarte "Öffentliche Apps" enthält eine Liste der
Apps aus der öffentlichen BlackBerry World-App, die Sie als optionale Apps für den geschäftlichen Bereich angegeben haben.
Wenn eine der Apps, die Sie als optionale Apps angeben, nicht bestimmten Kriterien für Geräte (z. B. Dienstanbieter, Land oder
Geräteversion) entspricht, erscheinen die Apps auf diesen Geräten nicht in BlackBerry World for Work. Wenn Sie eine AndroidApp aus dem öffentlichen BlackBerry World als eine optionale App bestimmen, erscheint diese auf Geräten nicht in BlackBerry
World for Work.
Weitere Informationen zum Hinzufügen von Apps zu BlackBerry World for Work: Siehe Dokumentation für Administratoren .
Nutzer mithilfe von Entwicklungstools von der Installation von Apps abhalten
App-Entwickler können Entwicklungstools verwenden, um Apps, die sie entwickeln, zu testen, indem sie die Apps auf
BlackBerry 10-Geräten mithilfe einer USB- oder Wi-Fi-Verbindung installieren. Sie können mit IT-Richtlinienregeln verhindern,
dass Benutzer über die Entwicklertools Apps auf dem Gerät oder in dessen geschäftlichem Bereich installieren.
Wenn der Entwicklungsmodus auf Geräten nicht erlaubt ist:
•
Benutzer können Apps im geschäftlichen Bereich nur von der Verkaufsplattform BlackBerry World for Work aus
installieren.
40
Verwalten der Gerätesicherheit mit BES12
•
Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Benutzer im persönlichen Bereich
Apps aus allen verfügbaren Quellen (wie z. B. BlackBerry World und App-Downloads aus dem Browser) installieren,
sie können jedoch den Entwicklungsmodus nicht nutzen.
Verwalten der von Apps geöffneten Links in geschäftlichen und persönlichen Bereichen
eines BlackBerry 10 Geräts
Im Allgemeinen können geschäftliche Apps nur andere geschäftliche Apps öffnen und persönliche Apps nur andere
persönliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten öffnen. Zum Beispiel öffnet sich beim
Klicken auf Links in persönlichen E-Mail-Nachrichten der Browser im persönlichen Bereich. In einigen Fällen öffnen die
geschäftlichen Apps solche, die als persönliche Apps klassifiziert wurden, wie Telefon, BBM oder SMS. Für solche Fälle haben
Geräte Beschränkungen, die gegen Datenverlust schützen und sicherstellen, dass nur die minimal erforderliche Datenmenge
bei der Initiierung der persönlichen Apps zwischen geschäftlichen und persönlichen Apps übertragen wird.
Standardmäßig können Benutzer den Browser im persönlichen Bereich verwenden, um Links sowohl in persönlichen als auch
in geschäftlichen E-Mail-Nachrichten zu öffnen. Links in geschäftlichen E-Mail-Nachrichten öffnen den Browser im
persönlichen Bereich, und die Geräte zeigen eine Nachricht an, die stattdessen das Öffnen des Links im Browser des
geschäftlichen Bereichs zulässt. Sie können eine IT-Richtlinienregel benutzen, die es erforderlich macht, dass Links in
geschäftlichen E-Mails immer im Browser des geschäftlichen Bereichs geöffnet werden.
Vorinstallierte Apps auf Geräten unverfügbar machen
Sie können IT-Richtlinienregeln verwenden, um einige vorinstallierte Apps unverfügbar zu machen. Dies funktioniert auf
Geräten, die nur über einen geschäftlichen Bereich verfügen, sowie auf regulierten BlackBerry Balance-Geräten im
persönlichen sowie im geschäftlichen Bereich. Sie können die Verwendung folgender Apps verhindern:
•
BBM
•
BlackBerry Blend
•
BlackBerry Maps
•
BlackBerry Protect
•
YouTube für BlackBerry-Geräte
•
Von Mobilfunkanbietern installierte Apps
Sie können Benutzern auch das Erstellen von Konten für Dienste wie Facebook, Twitter, LinkedIn und Evernote auf dem Gerät
untersagen.
Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Kontrolle der Netzwerkverbindung von Apps auf BlackBerry 10-Geräten
Sie können IT-Richtlinienregeln anwenden, um festzulegen, wie geschäftliche und persönliche Apps mit Netzwerken verbunden
werden.
41
Verwalten der Gerätesicherheit mit BES12
Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten wird der geschäftliche und der persönliche Datenverkehr
unabhängig voneinander weitergeleitet. Da Geräte, die nur über einen geschäftlichen Bereich verfügen, vollständig von Ihrem
Unternehmen gesteuert werden, gelten alle Apps und Daten auf diesen Geräten als geschäftliche Apps und geschäftliche
Daten.
Steuern, wie geschäftliche Apps eine Verbindung zu Geschäftsnetzwerken herstellen
Mit IT-Richtlinienregeln können Sie steuern, welche Verbindungsarten geschäftliche Apps auf BlackBerry 10-Geräten zum
Herstellen einer Verbindung zu Ihrem Unternehmensnetzwerk verwenden können. Geschäftliche Apps können über mehrere
Kommunikationsmethoden auf Ihr Unternehmensnetzwerk zugreifen. Diese Verbindungen werden priorisiert und geschäftliche
Apps verwenden normalerweise die Standardroute.
Die IT-Richtlinie "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" steuert, welche Verbindungen für
geschäftliche Apps verfügbar sind. Wenn die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps
erzwingen" nicht aktiviert ist, versuchen geschäftliche Apps in dieser Reihenfolge über die folgenden
Kommunikationsmethoden eine Verbindung zu Ihrem Unternehmensnetzwerk herzustellen:
1.
Geschäftliche VPN-Profile über ein Wi-Fi-Netzwerk
2.
Geschäftliche VPN-Profile über ein mobiles Netzwerk
3.
Geschäftliche Wi-Fi-Profile
4.
BlackBerry Infrastructure über ein Wi-Fi-Netzwerk
5.
BlackBerry Infrastructure über ein Mobilfunknetz
42
Verwalten der Gerätesicherheit mit BES12
Geschäftliche Apps können standardmäßig Wi-Fi-Profile, VPN-Profile oder BES12 für die Verbindung mit Ihrem
Unternehmensnetzwerk verwenden. Wenn Sie den gesamten Datenverkehr auf Geräten steuern oder filtern möchten, können
Sie die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" verwenden. Wenn Sie diese
Regel wählen, deaktivieren Sie Wi-Fi- und VPN-Verbindungen für geschäftliche Apps und beschränken die Konnektivität
ausschließlich auf BES12 (dabei kommen der BlackBerry MDS Connection Service und die BlackBerry Infrastructure zum
Einsatz).
Wenn die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" aktiviert ist, versuchen
geschäftliche Apps in dieser Reihenfolge über die folgenden Kommunikationsmethoden eine Verbindung zu Ihrem
Unternehmensnetzwerk herzustellen:
1.
BlackBerry Infrastructure über ein Wi-Fi-Netzwerk
2.
BlackBerry Infrastructure über ein Mobilfunknetz
Verhindern, dass sich persönliche Apps mit Netzwerken verbinden
Standardmäßig können persönliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten das VPN- oder
Wi-Fi-Netzwerk Ihres Unternehmens verwenden, um eine Verbindung mit dem Internet herzustellen.
Sie können mit einer IT-Richtlinienregel alle Apps im persönlichen Bereich daran hindern, dass sie Ihre
Unternehmensnetzwerke zur Verbindung mit dem Internet nutzen. Wenn Sie verhindern, dass persönliche Apps das Netzwerk
Ihres Unternehmens verwenden, um eine Verbindung mit dem Internet herzustellen, wenn kein persönliches Netzwerk
verfügbar ist, ist es möglich, dass persönliche Apps, die eine Internetverbindung erfordern, nicht funktionieren.
BBM Video wird als eine persönliche App auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten klassifiziert.
Wenn Sie persönlichen Apps gestatten, die Netzwerke Ihres Unternehmens zur Internetverbindung zu nutzen, können Sie mit
einer IT-Richtlinienregel BBM Video daran hindern, die Netzwerke Ihrer Organisation für eingehende und ausgehende VideoChats zu benutzen.
43
Verwalten der Gerätesicherheit mit BES12
Geschäftlichen Apps erlauben, eine Verbindung zu persönlichen Netzwerken herzustellen
Standardmäßig können geschäftliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten keine
persönlichen Netzwerke nutzen, um eine Verbindung zum Internet herzustellen. Sie können mit einer IT-Richtlinienregel
bestimmen, dass geschäftliche Apps, einschließlich Terminplaner-Apps, Verbindungen mithilfe von persönlichen Netzwerken
herstellen, wenn das geschäftliche Wi-Fi-Netzwerk oder VPN nicht verfügbar ist.
Die meisten Apps auf Geräten, die nur über einen geschäftlichen Bereich verfügen, senden alle Daten über das Netzwerk Ihres
Unternehmens. Die folgenden Apps und Funktionen auf Geräten, die nur über einen geschäftlichen Bereich verfügen, leiten
keinen Datenverkehr durch das Netzwerk Ihres Unternehmens und können Daten durch jede persönliche Wi-Fi-Verbindung
oder über das mobile Netzwerk senden:
•
Softwareupdates
•
BBM, einschließlich BBM Voice und BBM Video
•
Hotspot-Browser
•
Mobile Bezahl-Kommunikation mit einem Zahlungsdienst
•
Ersteinrichtung persönlicher E-Mail-Konten (persönliche E-Mail-Nachrichten werden durch das Netzwerk Ihres
Unternehmens geleitet)
Gesicherte Apps auf Geräten mit Secure Work Space
Gesicherte Apps werden speziell zur Ausführung im geschäftlichen Bereich von iOS- und Android-Geräten mit Secure Work
Space entwickelt. Gesicherte Apps bieten die gleiche Sicherheitsstufe wie Apps, die im geschäftlichen Bereich auf BlackBerry
10-Geräten installiert sind. Sichere Anwendungen sind gewrappt und verfügen über einen "Fingerabdruck". Zusätzlich zu
gesicherten Standard-Apps können Sie die internen Apps Ihres Unternehmens in gesicherte Apps konvertieren und sie im
geschäftlichen Bereich installieren. Alternativ können Sie sichere Apps vom App Store oder Google Play verteilen, die der AppAnbieter speziell für die Ausführung im geschäftlichen Bereich vorbereitet hat.
Typen von Apps für Secure Work Space
Geräte mit Secure Work Space können drei verschiedene Arten von Apps ausführen:
Art von App
Beschreibung
Persönliche App
Eine App, die der Benutzer auf dem Gerät installiert, oder eine App, die der Hersteller oder der
Mobilfunkanbieter auf dem Gerät installiert. BES12 behandelt diese Apps und die von diesen
Apps gespeicherten Daten als persönliche Daten.
Geschäftliche App
Eine App, die Sie auf dem Gerät eines Benutzers installieren und verwalten. BES12 behandelt
diese Apps und die von diesen Apps gespeicherten Daten als geschäftliche Daten.
44
Verwalten der Gerätesicherheit mit BES12
Art von App
Beschreibung
Gesicherte App
Eine geschäftliche App, die der geschäftliche Bereich mit zusätzlichen Schutzmaßnahmen
sichert. BES12 behandelt diese Apps und die von diesen Apps gespeicherten Daten als Daten
im geschäftlichen Bereich.
Es gibt verschiedene Typen gesicherter Apps:
Art von App
Beschreibung
Standardmäßig gesicherte
App
Eine gesicherte App, die auf jedem Gerät mit Secure Work Space angezeigt wird.
Intern gesicherte App
Eine App, die von Ihrem Unternehmen entwickelt und speziell vorbereitet wird, um im
geschäftlichen Bereich ausgeführt zu werden.
Extern gesicherte App
Eine App, die von einem Drittanbieter entwickelt wird und vom App-Anbieter speziell
vorbereitet wird, um im geschäftlichen Bereich ausgeführt zu werden.
Verwalten der Verfügbarkeit von gesicherten Apps auf Geräten
Sie können BES12 verwenden, um gesicherte Apps auf Geräten mit Secure Work Space zu installieren und zu verwalten.
Gesicherte Apps können nur auf Daten im geschäftlichen Bereich zugreifen und mit anderen gesicherten Apps interagieren.
Standardmäßig gesicherte Apps werden auf jedem Gerät mit Secure Work Space angezeigt. Bei den folgenden Apps handelt es
sich um standardmäßig gesicherte Apps:
Gerätetyp
iOS
Android
Name
•
Work Connect – für E-Mail, Kalender, Kontakte, Notizen und Aufgaben
•
Work Browser – für Internet-Browsing
•
Documents To Go – für die Anzeige und Bearbeitung von Microsoft Office-Dateien
•
Work Space Manager – für das Ausführen der sonstigen gesicherten Apps auf dem
Gerät erforderlich
•
Secure Work Space – für E-Mail, Kalender, Kontakte und Internet-Browsing
•
Documents To Go – für die Anzeige und Bearbeitung von Microsoft Office-Dateien
Sie haben auch die Möglichkeit, die internen Apps Ihres Unternehmens in gesicherte Apps zu konvertieren. Sie müssen die
binäre App-Datei (.apk oder .ipa) mithilfe der Verwaltungskonsole sichern. Daraufhin muss der Entwickler der App die App neu
signieren (und bei Bedarf eine Berechtigungsdatei erstellen). Schließlich können Sie die App im geschäftlichen Bereich auf
Geräten installieren.
45
Verwalten der Gerätesicherheit mit BES12
Weitere Informationen zur Installation einer App im geschäftlichen Bereich finden Sie in der Dokumentation für
Administratoren.
Anbieter von Drittanbieter-Apps können gesicherte Apps erstellen, die speziell für die Ausführung im geschäftlichen Bereich
konzipiert wurden, und im App Store oder dem Google Play verfügbar machen. Sie können diese Apps im geschäftlichen
Bereich auf Benutzergeräten installieren. Apps aus dem App Store oder aus Google Play, die nicht den gesicherten Apps
zugewiesen sind, können im geschäftlichen Bereich weder installiert noch ausgeführt werden. Nur der App-Anbieter kann Apps
sichern und neu signieren, sodass sie im geschäftlichen Bereich installiert werden können.
Sie können die gesicherten Anwendungen festlegen, die Sie installieren, aktualisieren oder entfernen möchten, und Sie können
festlegen, welche Apps erforderlich oder optional sind. Sie können auch die Gerätemodelle bestimmen, die eine App
unterstützen, sodass sie nur auf kompatiblen Geräten installiert wird. Wenn Sie bestimmen, dass eine App erforderlich ist, wird
diese App automatisch auf dem Gerät installiert. Wenn Benutzer die App entfernen, können Sie das Profil für die
Vorschrifteneinhaltung verwenden, um eine Benachrichtigung an die Benutzer zu senden und sie aufzufordern, die
Anforderungen Ihres Unternehmens zu erfüllen. Sie können auch den Zugriff von Benutzern auf die Ressourcen und
Anwendungen Ihres Unternehmens beschränken und geschäftliche Daten oder alle Daten vom Gerät löschen.
Auf Geräten mit Secure Work Space kann die gleiche App separat als gesicherte App und entweder als geschäftliche oder
persönliche App installiert werden. Alle Instanzen der App sind voneinander getrennt und jede App arbeitet gemäß den Regeln
und Beschränkungen, die für den Bereich gelten, in dem die App installiert wurde. Die Apps können konfiguriert, aktualisiert
oder unabhängig voneinander entfernt werden, und die Veränderungen an der einen Instanz haben keine Auswirkungen auf die
andere Instanz. Zum Beispiel ist es möglich, dass eine als persönliche App installierte Instant Messaging-App bei der
Hinzufügung von geschäftlichen Kontakten eingeschränkt ist, während diese Einschränkung nicht gilt, wenn die gleiche Instant
Messaging-App als gesicherte App installiert wird.
So umschließt ein geschäftlicher Bereich gesicherte Apps
Ein geschäftlicher Bereich schützt gesicherte Apps durch das Wrapping von Apps davor, dass andere Apps auf dem Gerät
ausgeführt werden. Das Wrapping von Apps ist ein Vorgang, bei dem einer bestehenden App eine Sicherheitsschicht und
Kontrolle hinzugefügt werden. Der Quellcode der App wird nicht verändert. Stattdessen übernimmt der Wrapping-Vorgang die
Anforderungen der App an die Systemdienste und leitet diese an eine Bibliothek von Mechanismen und Richtlinien um. BES12
umschließt Apps automatisch für iOS- und Android-Geräte, wenn Sie die Apps als gesichert festlegen. Der App-WrappingVorgang ist voll mit den Richtlinien kompatibel, die Apple für iOS-Geräte erzwingt.
Der App-Wrapping-Vorgang schaltet System-API-Aufrufe zwischen, damit der geschäftliche Bereich die Anforderungen einer
gesicherten App an Systemdienste weiterleiten kann. Bei Apps, die unter Android OS auf der virtuellen Maschine Dalvik
ausgeführt werden, führt der geschäftliche Bereich die Zwischenschaltung auf zwei Schichten durch: Ersetzen von Dalvik-ByteCode-API-Aufrufen durch eigene Abschnitte und Verknüpfen von Aufrufen für nativen Objektcode. Bei Apps, die unter iOS nicht
auf einer virtuellen Maschine ausgeführt werden, verknüpft der geschäftliche Bereich nur Aufrufe für nativen Objektcode.
Der App-Wrapping-Vorgang packt dann die App um, sodass der Sicherheitscode und der ursprüngliche Code physisch nicht
getrennt werden können. Dieses Umpacken stellt sicher, dass bei nachfolgenden Änderungen an einer gesicherten App durch
Dritte die Ausführung der gesicherten App auf dem Gerät verhindert wird.
46
Verwalten der Gerätesicherheit mit BES12
App-Wrapping in der BlackBerry Infrastructure
Ist das Wrapping einer App erfolgreich, wird die App 72 Stunden in der BlackBerry Infrastructure gespeichert, nachdem das
Wrapping abgeschlossen ist. Schlägt das Wrapping einer App fehl, dann gibt die BlackBerry Infrastructure einen Fehlerstatus
an BES12 aus, bevor die BlackBerry Infrastructure die App aus ihren Datensätzen löscht.
Wenn BES12 eine App an die BlackBerry Infrastructure zum Wrapping sendet, wird ein eindeutiger Mandantenbezeichner
gesendet. Die BlackBerry Infrastructure bezieht den Mandantenbezeichner im Wrapping mit ein und erfasst die Zuordnung
zwischen dem Mandantenbezeichner und der gewrappten App. Wenn die App nach der Weiterleitung an ein Gerät einen
Zusammenschluss mit anderen gesicherten Apps versucht, sendet das Gerät zunächst eine Anforderung an die BlackBerry
Infrastructure, um zu überprüfen, ob Benutzer, Gerät und App mit dem Mandantenbezeichner verknüpft sind. Durch diese
Überprüfung wird verhindert, dass die App im geschäftlichen Bereich anderer Besitzer von BES12 ausgeführt wird. Die
BlackBerry Infrastructure untersucht während der Überprüfung auch App-Metadaten wie die Signatur und den Paketnamen.
Wenn die Überprüfung erfolgreich ist, wird die App für den Zusammenschluss auf dem Gerät zugelassen.
Externe gesicherte Apps, die öffentlich in einem App Store verfügbar sind, enthalten keinen Mandantenbezeichner und können
im geschäftlichen Bereich aller BES12-Besitzer ausgeführt werden.
Austausch von Informationen zwischen gesicherten Apps
Durch den Zusammenschluss können gesicherte Apps Informationen auf kontrollierte Weise austauschen. App-Wrapping stellt
eine definierte Schnittstelle bereit, mit der eingeschränkt wird, was Apps tun können, wenn sie mithilfe des verschlüsselten
Dateisystems kommunizieren.
Wenn eine gesicherte App in der BlackBerry Infrastructure gewrappt wird, wird ein Hash des App-Codes erzeugt. Dieser
Hashwert ist auch als Fingerabdruck bekannt, und die BlackBerry Infrastructure zeichnet den Fingerabdruck und die
Metadaten der App auf.
Wenn eine gesicherte App zum ersten Mal auf einem Gerät ausgeführt wird, wird von dem Gerät eine Laufzeitversion des
Fingerabdrucks und der Metadaten der App erstellt und an die BlackBerry Infrastructure gesendet. Die BlackBerry
Infrastructure vergleicht den gespeicherten Fingerabdruck und die gespeicherten Metadaten mit den Laufzeitversionen des
Fingerabdrucks und der Metadaten. Bei einer Übereinstimmung benachrichtigt die BlackBerry Infrastructure das Gerät, das es
eine Zusammenführung durchführen und die App ausführen kann. Stimmen die beiden Versionen der Fingerabdrücke und
Metadaten nicht überein, benachrichtigt die BlackBerry Infrastructure das Gerät, dass die App nicht zusammengeführt und
ausgeführt werden kann. Der Benutzer sieht eine Fehlermeldung.
Über eine dynamische Zusammenführungsliste auf dem Gerät wird identifiziert, welche gesicherten Apps zusammengeführt
werden können. Wenn die BlackBerry Infrastructure das Gerät benachrichtigt, dass es eine Zusammenführung durchführen
und die App ausführen kann, fügt das Gerät die App zur Zusammenführungsliste hinzu. Bei jeder folgenden Ausführung der
App vergleicht das Gerät den Laufzeit-Fingerabdruck der App mit dem in der Zusammenführungsliste zwischengespeicherten
Fingerabdruck. Die BlackBerry Infrastructure kann die Zusammenführungsliste jederzeit widerrufen und das Gerät dazu
zwingen, die Liste zu rekonstruieren. Netzwerkkonnektivität wird benötigt, um zu überprüfen, ob eine App für die
Zusammenführung zugelassen werden kann.
Wenn die Zusammenführung erfolgreich ist, können die zusammengeführten Apps einen Schlüsselaustausch mit
Einschränkungen durchführen, sodass sie Zugriff auf die gleichen Daten im verschlüsselten Dateisystem haben.
47
Verwalten der Gerätesicherheit mit BES12
So fertigt ein geschäftlicher Bereich Fingerabdrücke gesicherter Apps an
Ein geschäftlicher Bereich schützt gesicherte Apps mithilfe von Fingerabdrücken vor Trojanern und Schadsoftware.
Fingerabdrücke verwenden einen Algorithmus, um eine App einer kurzen Bitfolge zuzuweisen. Diese Bitfolge ist der
Fingerabdruck der App und dient als eindeutiger Datensatz der App. Die Überprüfung eines Fingerabdrucks ist effizienter als
die Übertragung und der Vergleich der ursprünglichen App mit der App auf dem Gerät, wobei viel größere Dateien als bei einem
Fingerabdruck benötigt werden.
Bevor eine gesicherte App zu einem Gerät mit Secure Work Space hinzugefügt wird, erstellt die BlackBerry Infrastructure einen
Fingerabdruck der gesicherten App. Die BlackBerry Infrastructure sendet die gesicherte App und den Fingerabdruck an das
Gerät. Bevor die gesicherte App auf dem Gerät hinzugefügt wird, berechnet der geschäftliche Bereich den Fingerabdruck der
gesicherten App und vergleicht ihn mit dem Fingerabdruck, der von der BlackBerry Infrastructure gesendet wurde. Jedes Mal,
wenn die gesicherte App ausgeführt wird, berechnet der geschäftliche Bereich den Fingerabdruck der gesicherten App und
vergleicht ihn mit dem Fingerabdruck, der von der BlackBerry Infrastructure gesendet wurde. Wenn die verglichenen
Fingerabdrücke nicht übereinstimmen, führt das Gerät die gesicherte App nicht aus.
Anlagen für gesicherte Drittanbieter-Apps
Standardmäßig können Anlagen für eine gesicherte Drittanbieter-App nicht außerhalb der UID geöffnet werden, es sei denn,
die App erlaubt den Datenaustausch mit anderen Apps. Beispiele für Anlagen einer gesicherten Drittanbieter-App sind u. a. EMail, MMS und Browser-Downloads. Das Wrapping der App fängt die Standard-APIs ab, die iOS und Android verwenden und
verhindert, dass die App Daten in eine andere App überträgt. Private APIs sind in iOS oder Android nicht erlaubt. Das Wrapping
stellt auch sicher, dass Anlagen vor dem Speichern verschlüsselt werden.
Kennwörter
Gerätekennwörter und Kennwörter für den geschäftlichen Bereich schützen die Daten Ihres Unternehmens und die
Benutzerinformationen, die auf den Geräten gespeichert sind. Sie können BES12 verwenden, um den Kennwortschutz auf
Geräten zu erzwingen.
Anforderungen für Gerätekennwörter können mithilfe von IT-Richtlinienregeln eingerichtet werden. Jeder Gerätetyp unterstützt
verschiedene IT-Richtlinienregeln zur Kontrolle der Passwortanforderungen für das Gerät und den geschäftlichen Bereich. Sie
können Anforderungen an die Kennwortlänge und -komplexität, die Gültigkeitsdauer, die Dauer der Inaktivität, bis das Gerät
oder der geschäftliche Bereich zur Kennworteingabe auffordert und die Anzahl der möglichen Eingabeversuche festlegen.
Weitere Informationen über Kennwortregeln für IT-Richtlinien finden Sie in der Dokumentation für Administratoren.
Ändern von Kennwörtern
In Abhängigkeit von den unterstützen Gerätefunktionen können Sie BES12-Verwaltungsbefehle nutzen, um Geräte aus der
Entfernung zu sperren und die Kennwörter zu ändern. Sie können dies beispielsweise tun, wenn ein Gerät verloren gegangen ist
48
Verwalten der Gerätesicherheit mit BES12
oder ein Benutzer das Kennwort vergessen hat. Wenn ein Gerät über einen geschäftlichen Bereich verfügt, können Sie auch das
Kennwort für den geschäftlichen Bereich ändern.
Die folgenden Optionen stehen für den jeweiligen Gerätetyp zur Verfügung:
BlackBerry 10
IT-Administrationsbefehl
Beschreibung
Gerätekennwort festlegen,
Gerät sperren und Nachricht
einrichten
Dieser Befehl erzeugt ein neues Gerätekennwort, legt eine Mitteilung auf der Startseite fest
(zum Beispiel Informationen darüber, wo ein gefundenes Gerät abgegeben werden soll) und
sperrt dann das Gerät. Sie müssen ein Kennwort erstellen, das die bestehenden
Kennwortregeln erfüllt. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät
aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.
Wenn eine IT-Richtlinie erfordert, dass das Gerät das gleiche Kennwort für das Gerät und den
geschäftlichen Bereich nutzen muss, ändert dieser Befehl zudem das Kennwort für den
geschäftlichen Bereich.
Geschäftlichen Bereich
sperren und Kennwort
festlegen
Mit diesem Befehl können Sie ein neues Kennwort für den geschäftlichen Bereich auf
BlackBerry Balance-Geräten oder regulierten BlackBerry Balance-Geräten festlegen und den
geschäftlichen Bereich sperren. Sie müssen ein Kennwort erstellen, das die bestehenden
Kennwortregeln erfüllt. Um den geschäftlichen Bereich zu entsperren, muss der Benutzer das
neue von Ihnen erstellte Kennwort eingeben.
Wenn eine IT-Richtlinie erfordert, dass das Gerät das gleiche Kennwort für das Gerät und den
geschäftlichen Bereich nutzen muss, ändert dieser Befehl zudem das Gerätekennwort.
iOS
IT-Administrationsbefehl
Beschreibung
Gerät sperren
Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort
eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können
Sie diesen Befehl verwenden.
Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort
vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt.
Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar.
Kennwort entsperren und
löschen
Dieser Befehl entsperrt ein Gerät und löscht das bestehende Kennwort. Der Benutzer wird zur
Eingabe eines Gerätekennworts aufgefordert. Sie können diesen Befehl verwenden, wenn der
Benutzer das Gerätekennwort vergessen hat.
49
Verwalten der Gerätesicherheit mit BES12
IT-Administrationsbefehl
Beschreibung
Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar.
Geschäftlichen Bereich
sperren
Dieser Befehl sperrt den geschäftlichen Bereich auf einem Gerät, sodass der Benutzer das
bestehende Kennwort für den geschäftlichen Bereich eingeben muss, um das Gerät zu
entsperren.
Kennwort für geschäftlichen
Bereich zurücksetzen
Dieser Befehl löscht das aktuelle Kennwort für den geschäftlichen Bereich vom Gerät. Wenn
der Benutzer den geschäftlichen Bereich öffnet, fordert das Gerät ihn auf, ein neues Kennwort
für den geschäftlichen Bereich festzulegen.
Android
IT-Administrationsbefehl
Beschreibung
Gerät sperren
Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort
eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können
Sie diesen Befehl verwenden.
Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort
vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt.
Kennwort entsperren und
löschen
Dieser Befehl entsperrt ein Gerät und löscht das bestehende Kennwort. Der Benutzer wird zur
Eingabe eines Gerätekennworts aufgefordert. Sie können diesen Befehl verwenden, wenn der
Benutzer das Gerätekennwort vergessen hat.
Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar.
Geschäftlichen Bereich
sperren
Dieser Befehl sperrt den geschäftlichen Bereich auf einem Gerät, sodass der Benutzer das
bestehende Kennwort für den geschäftlichen Bereich eingeben muss, um das Gerät zu
entsperren.
Dieser Befehl ist nur für Geräte mit Secure Work Space verfügbar.
Kennwort für geschäftlichen
Bereich zurücksetzen
Dieser Befehl löscht das aktuelle Kennwort für den geschäftlichen Bereich vom Gerät. Wenn
der Benutzer den geschäftlichen Bereich öffnet, fordert das Gerät ihn auf, ein neues Kennwort
für den geschäftlichen Bereich festzulegen.
Dieser Befehl ist nur für Geräte mit Secure Work Space oder Samsung KNOX Workspace
verfügbar.
Gerätekennwort festlegen und Mit diesem Befehl erstellen Sie ein Gerätekennwort. Anschließend wird das Gerät gesperrt. Sie
sperren
müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Wenn der
50
Verwalten der Gerätesicherheit mit BES12
IT-Administrationsbefehl
Beschreibung
Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu
akzeptieren oder abzulehnen.
Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar.
Windows
IT-Administrationsbefehl
Beschreibung
Gerät sperren
Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort
eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können
Sie diesen Befehl verwenden.
Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort
vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt.
Dieser Befehl wird nur auf Geräten unterstützt, auf denen Windows 10 Mobile und Windows
Phone 8.1 oder höher ausgeführt wird.
Gerätekennwort erstellen und Mit diesem Befehl wird ein neues Kennwort generiert und das Gerät gesperrt. Das generierte
Gerät sperren
Kennwort wird dem Benutzer per E-Mail gesendet. Sie können die vorgewählte E-Mail-Adresse
verwenden oder eine E-Mail-Adresse angeben. Das generierte Kennwort erfüllt alle
bestehenden Kennwortregeln.
Dieser Befehl wird auf nur Geräten mit Windows 10 Mobile und Windows Phone OS
Version 8.10.14176 oder höher unterstützt.
Kennwörter für BlackBerry 10-Geräte
BlackBerry 10-Geräte verwenden die gleichen Kennwortregeln für das Gerät und den geschäftlichen Bereich. Auf Geräten, die
nur über einen geschäftlichen Bereich verfügen, sind Kennwörter nicht optional. Da nur ein geschäftlicher Bereich auf diesen
Geräten verfügbar ist, müssen Benutzer ein Kennwort festlegen; die Kennwortanforderungen und -optionen gelten für das
gesamte Gerät.
Bei BlackBerry Balance-Geräten und regulierten BlackBerry Balance-Geräten bestimmt die Richtlinienregel "Kennwort für
geschäftlichen Bereich erforderlich", ob der geschäftliche Bereich ein Kennwort benötigt. Wenn diese Regel ausgewählt wurde,
wird das geschäftliche Kennwort (in den "BlackBerry Balance"-Einstellungen des Geräts) als das Kennwort für den
geschäftlichen Bereich verwendet.
Wenn die IT-Richtlinienregel "Kennwort für geschäftlichen Bereich erforderlich" ausgewählt wurde, können Sie außerdem
mithilfe der Regel "Kennwort für das gesamte Gerät anfordern" verlangen, dass Benutzer ein Kennwort für das gesamte Gerät
festlegen. Wenn Sie dies tun, können Sie für Geräte mit BlackBerry 10 OS Version 10.3.1 oder höher die IT-Richtlinienregel
"Verhalten der Kennwörter des geschäftlichen Bereichs und Gerätekennwort definieren" anwenden, um festzulegen, ob das
51
Verwalten der Gerätesicherheit mit BES12
Kennwort des geschäftlichen Bereiches und das Gerätekennwort gleich oder verschieden sein müssen, oder Sie können den
Benutzer wählen lassen. Wenn Sie den Benutzer wählen lassen, kann dieser sein Kennwort des geschäftlichen Bereichs als sein
Gerätekennwort verwenden, indem er die Option "Als mein Gerätekennwort verwenden" in den "BlackBerry Balance"Einstellungen auswählt. Wenn das Kennwort des geschäftlichen Bereichs und das Gerätekennwort gleich sind, wird das
geschäftliche Kennwort als das Kennwort für das gesamte Gerät verwendet und die IT-Richtlinienregeln in der Regelgruppe
"Kennwort" gelten für das Kennwort des gesamten Geräts. Wenn ein Benutzer das Gerät entsperrt, wird gleichzeitig der
geschäftliche Bereich entsperrt. Benutzer können den geschäftlichen Bereich manuell sperren, wenn sie den persönlichen
Bereich der Geräte nutzen.
Wenn Sie nicht verlangen, dass Benutzer ein geschäftliches Kennwort festlegen, können Sie weder das Kennwort für das
gesamte Gerät anfordern, noch das Verhalten des Kennworts des geschäftlichen Bereichs und des Gerätekennworts definieren
oder zusätzliche Kennwortanforderungen an Geräte durchsetzen.
Benutzer können Gerätekennworteinstellungen mit der Option "Gerätekennwort" in den Einstellungen unter "Sicherheit und
Datenschutz" auf den Geräten konfigurieren. Wenn ein Benutzer die persönliche Datenverschlüsselung mithilfe der Option
"Verschlüsselung" auf den Geräten aktiviert, muss er ein Gerätekennwort festlegen. Geräte ermöglichen den Benutzern die
Definition stärker eingeschränkter, aber niemals weniger eingeschränkter Kennworteinstellungen als die von Ihnen
angegebenen Kennwortregeln. Wenn die IT-Richtlinienregel "Mindestkomplexität des Kennworts" auf "Keine Einschränkung"
festgelegt ist, können Benutzer eine einfache Kennwortoption einstellen, um ein numerisches Kennwort des geschäftlichen
Bereichs oder ein numerisches Gerätekennwort anstatt eines alphanumerischen Kennworts festzulegen.
Weitere Informationen über Kennwortregeln für IT-Richtlinien finden Sie in der Dokumentation für Administratoren. Sie können
auch die Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/
herunterladen.
Ändern von BlackBerry 10-Gerätekennwörtern
Sie können BES12 verwenden, um den IT-Administrationsbefehl "Gerätekennwort festlegen, sperren und Nachricht einrichten"
an ein Gerät zu senden, um das Gerätekennwort zu ändern.
Dieser Befehl führt auf Geräten je nach deren Kennwörtern und Einstellungen zu verschiedenen Ergebnissen. In der folgenden
Tabelle werden die Gerätebedingungen und die Ergebnisse, die dieser Befehl für diese hat, aufgeführt:
Bedingungen
•
•
•
•
Ergebnis
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
•
Das Gerät verfügt über kein Kennwort
•
für das gesamte Gerät
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
•
Das Gerät verfügt über ein Kennwort für •
das gesamte Gerät
Dieser Befehl erzeugt ein Kennwort für das gesamte Gerät
Das Kennwort für den geschäftlichen Bereich ist nicht betroffen
Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das
Gerätekennwort
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
Das Kennwort für den geschäftlichen Bereich ist nicht betroffen
Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das
Gerätekennwort
52
Verwalten der Gerätesicherheit mit BES12
Bedingungen
Ergebnis
•
Die Kennwörter sind nicht durch die ITRichtlinienregel "Kennwort für das
gesamte Gerät anfordern" oder die
Geräteoption "Als mein Gerätekennwort
verwenden" verknüpft
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Das Kennwort für den geschäftlichen
•
Bereich wird als das Kennwort für das
•
gesamte Gerät mithilfe der ITRichtlinienregel "Kennwort für das
gesamte Gerät anfordern" durchgesetzt
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
•
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
•
Der Benutzer bestimmt das Kennwort
•
für den geschäftlichen Bereich als das
Kennwort für das gesamte Gerät mithilfe
•
der Option "Als mein Gerätekennwort
verwenden"
Das gesamte Gerät wird gesperrt, beide Kennwörter werden
synchronisiert und das neue Kennwort ist das Kennwort für das gesamte
Gerät
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
Das Kennwort für den geschäftlichen Bereich ist nicht betroffen
Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das
Gerätekennwort
Die Kennwörter sind nicht verknüpft
Der IT-Administrationsbefehl "Gerätekennwort festlegen, sperren und Nachricht einrichten" kann auch verwendet werden, um
eine Nachricht einzurichten, die auf der Startseite des Geräts erscheint. Zum Beispiel können Kontaktinformationen angezeigt
werden, die verwendet werden können, um das Gerät zum Besitzer zurückzubringen.
Wenn BES12 keine Verbindung mit einem Gerät herstellen kann, weil das Gerät ausgeschaltet oder nicht mit einem Netzwerk
verbunden ist, wird der Befehl gesendet, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Das neue Kennwort
kann dem Benutzer verbal mitgeteilt werden, wenn das Gerät lokalisiert wird. Wenn der Benutzer das Gerät entsperrt, wird er
vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.
Weitere Informationen zum Senden des IT-Administrationsbefehls "Gerätekennwort angeben, Gerät sperren und Nachricht
einrichten" an ein Gerät finden Sie in der Dokumentation für Administratoren.
Ändern von BlackBerry 10-Kennwörtern für den geschäftlichen Bereich
Sie können BES12 verwenden, um den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an
ein Gerät zu senden, um das Kennwort für den geschäftlichen Bereich zu ändern.
Geräte, die nur über einen geschäftlichen Bereich verfügen, verfügen nur über ein Gerätekennwort. Obwohl Sie diesen Befehl
an Geräte, die nur über einen geschäftlichen Bereich verfügen, senden können, führt dies zu demselben Ergebnis wie das
Senden des IT-Administrationsbefehls "Gerätekennwort festlegen, sperren und Nachricht einrichten".
53
Verwalten der Gerätesicherheit mit BES12
Wenn Sie den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an BlackBerry Balance- oder
regulierte BlackBerry Balance-Geräte senden, führt dieser Befehl auf Geräten je nach deren Kennwörtern und Einstellungen zu
verschiedenen Ergebnissen. In der folgenden Tabelle werden die Gerätebedingungen und die Ergebnisse, die dieser Befehl für
diese hat, aufgeführt:
Bedingungen
Ergebnis
•
Das Gerät verfügt über kein Kennwort
für den geschäftlichen Bereich
•
Der Befehl erzeugt ein Kennwort für den geschäftlichen Bereich
•
Das Gerät verfügt über kein Kennwort
für das gesamte Gerät
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
•
Das Gerät verfügt weiterhin nicht über ein Kennwort für das gesamte
Gerät
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Das Gerät verfügt über kein Kennwort
für das gesamte Gerät
•
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
•
Das Gerät verfügt weiterhin nicht über ein Kennwort für das gesamte
Gerät
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Das Gerät verfügt über ein Kennwort für •
das gesamte Gerät
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
•
Die Kennwörter werden von Ihnen oder •
vom Benutzer (über die ITRichtlinienregel "Kennwort für das
gesamte Gerät ist erforderlich" oder die
Option "Als mein Gerätekennwort
verwenden" auf dem Gerät) nicht
verknüpft.
Das Kennwort für das gesamte Gerät ist nicht betroffen
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Sie können das Kennwort für den
•
geschäftlichen Bereich als das
•
Kennwort für das gesamte Gerät mithilfe
der IT-Richtlinienregel "Kennwort für
das gesamte Gerät anfordern"
durchsetzen
Das Kennwort für das gesamte Gerät wird durch den Befehl geändert
•
Das gesamte Gerät wird gesperrt, beide Kennwörter werden
synchronisiert und das neue Kennwort ist das Kennwort für das gesamte
Gerät
54
Verwalten der Gerätesicherheit mit BES12
Bedingungen
Ergebnis
•
Das Gerät verfügt über ein Kennwort für •
den geschäftlichen Bereich
Das Kennwort für den geschäftlichen Bereich wird durch den Befehl
geändert
•
Der Benutzer bestimmt das Kennwort
•
für den geschäftlichen Bereich als das
Kennwort für das gesamte Gerät mithilfe •
der Option "Als mein Gerätekennwort
•
verwenden"
Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das
Kennwort für den geschäftlichen Bereich
Das Kennwort für das gesamte Gerät ist nicht betroffen
Die Kennwörter sind nicht verknüpft
Wenn BES12 keine Verbindung mit einem Gerät herstellen kann, weil das Gerät ausgeschaltet oder nicht mit einem Netzwerk
verbunden ist, wird der Befehl gesendet, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Das neue Kennwort
kann dem Benutzer verbal mitgeteilt werden, wenn das Gerät lokalisiert wird. Wenn der Benutzer das Gerät entsperrt, wird er
vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.
Weitere Informationen zum Senden des IT-Administrationsbefehls "Neues Kennwort für den geschäftlichen Bereich angeben
und geschäftlichen Bereich sperren" an ein Gerät finden Sie in der Dokumentation für Administratoren.
Datenfluss: Wenn Sie das Kennwort für den geschäftlichen Bereich auf einem BlackBerry
Balance- oder einem regulierten BlackBerry Balance-Gerät ändern
1.
Sie senden den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an das Gerät.
2.
Das Gerät sendet den verschlüsselten Zwischenschlüssel an BES12.
3.
BES12 verwendet den privaten Schlüssel, der mit dem Gerät verknüpft ist, um den Zwischenschlüssel zu entschlüsseln,
und sendet den Zwischenschlüssel zurück an das Gerät.
BES12 speichert einen eindeutigen privaten Schlüssel für jedes aktivierte Gerät.
4.
Das Gerät führt die folgenden Aktionen aus:
•
Verwendet den Zwischenschlüssel, um den geschäftlichen Hauptschlüssel erneut abzuleiten, und entschlüsselt
den geschäftlichen Domänenschlüssel
•
Berechnet einen SHA-512-Hashwert des neuen Kennworts und einen zufälligen 64-Bit-Saltwert und speichert
ihn auf dem Gerät
•
Generiert einen neuen Zwischenschlüssel
55
Verwalten der Gerätesicherheit mit BES12
•
Verwendet den neuen Zwischenschlüssel, um einen neuen geschäftlichen Hauptschlüssel zu generieren, und
verwendet diesen, um den geschäftlichen Domänenschlüssel zu verschlüsseln
•
Verschlüsselt den neuen Zwischenschlüssel mithilfe des öffentlichen Schlüssels, den BES12 mit dem Gerät
verknüpft, und speichert den verschlüsselten Schlüssel auf dem Gerät
Da nur BES12 den zugehörigen privaten Schlüssel hat, kann nur BES12 den verschlüsselten Zwischenschlüssel
entschlüsseln. Der Zwischenschlüssel wird nie dauerhaft in unverschlüsselter Form auf dem Gerät gespeichert.
Das Kennwort für den geschäftlichen Bereich wurde zurückgesetzt.
Datenfluss: Wenn ein Benutzer das Kennwort für den geschäftlichen Bereich auf einem
BlackBerry Balance- oder einem regulierten BlackBerry Balance-Gerät ändert
1.
In den BlackBerry Balance-Einstellungen auf dem Gerät gibt der Benutzer das aktuelle Kennwort und das neue Kennwort
ein.
2.
Das Gerät authentifiziert den Benutzer durch Berechnung eines SHA-512-Hashwerts des aktuellen Kennworts und eines
gespeicherten 64-Bit-Saltwerts und vergleicht das Ergebnis mit dem gespeicherten Hashwert des aktuellen Kennworts.
Wenn die zwei Hashwerte übereinstimmen, wird der geschäftliche Bereich entsperrt und das Zurücksetzen des
Kennworts fortgesetzt.
3.
Das Gerät führt die folgenden Aktionen aus:
•
Berechnet einen SHA-512-Hashwert des neuen Kennworts und einen zufälligen 64-Bit-Saltwert und speichert
ihn auf dem Gerät
•
Leitet den aktuellen Zwischenschlüssel ab
•
Verwendet den aktuellen Zwischenschlüssel, um den aktuellen geschäftlichen Hauptschlüssel abzuleiten, und
entschlüsselt den geschäftlichen Domänenschlüssel
•
Leitet einen neuen Zwischenschlüssel ab
•
Verwendet den neuen Zwischenschlüssel, um einen neuen geschäftlichen Hauptschlüssel abzuleiten, den es
verwendet, um den geschäftlichen Domänenschlüssel zu verschlüsseln
•
Verschlüsselt den neuen Zwischenschlüssel mithilfe des öffentlichen Schlüssels, den der BES12 Core mit dem
Gerät verknüpft, und speichert den verschlüsselten Schlüssel auf dem Gerät
Da nur der BES12 Core über den entsprechenden eindeutigen privaten Schlüssel für jedes Gerät verfügt, der auf dem
BES12 Coreaktiviert wird, kann nur der BES12 Core den verschlüsselten Zwischenschlüssel entschlüsseln. Der
Zwischenschlüssel wird nicht dauerhaft in unverschlüsselter Form auf dem Gerät gespeichert.
Das Kennwort für den geschäftlichen Bereich wurde zurückgesetzt.
Steuern des Sicherheits-Timeout
Sie können die IT-Richtlinienregel "Sicherheits-Timeout" verwenden, um zu verlangen, dass ein BlackBerry 10-Gerät den
geschäftlichen Bereich oder das gesamte Gerät nach einem bestimmten Zeitraum der Inaktivität wie folgt sperrt:
56
Verwalten der Gerätesicherheit mit BES12
Gerätetyp
Beschreibung
•
BlackBerry Balance
•
•
Reguliertes BlackBerry
Balance
Bei Geräten, die unterschiedliche Kennwörter für den geschäftlichen und
persönlichen Bereich eingestellt haben, kann die IT-Richtlinienregel "SicherheitsTimeout" zur Kontrolle von Zeitüberschreitungen im geschäftlichen Bereich
verwendet werden.
•
Bei Geräten, deren geschäftliches Kennwort für das gesamte Gerät gültig ist, kann
die IT-Richtlinienregel "Sicherheits-Timeout" zur Kontrolle von
Zeitüberschreitungen auf dem gesamten Gerät verwendet werden.
Nur geschäftlicher Bereich
Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, steuert die ITRichtlinienregel "Sicherheits-Timeout" die Handhabung von Zeitüberschreitungen auf
dem gesamten Gerät, da es nur einen Bereich gibt.
Geschäftliche Apps (einschließlich Apps, die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen)
folgen dem Sicherheits-Timeout für den geschäftlichen Bereich. Wenn es in der festgelegten Zeit keine Benutzeraktivität im
geschäftlichen Bereich gibt, sperrt sich der geschäftliche Bereich automatisch, auch wenn der Benutzer zu der Zeit persönliche
Apps verwendet (keine Apps, die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen).
Bestimmte Apps wie beispielsweise Apps, die Navigationsinformationen, Diashows und Videos anzeigen, können das
Sicherheits-Timeout verlängern. Standardmäßig können diese Apps den Sicherheitstimer zurücksetzen und so das Gerät daran
hindern, die Sperre nach der festgelegten Inaktivitätsperiode zu aktivieren. Wenn Sie diese Funktion von Apps verhindern
möchten, stellen Sie sicher, dass die IT-Richtlinienregel "Zurücksetzen des Sicherheits-Timer durch Apps zulassen" nicht
ausgewählt ist.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Secure Work Space-Kennwörter
Zum Schutz von Daten im geschäftlichen Bereich und gesicherten Apps muss bei Geräten mit Secure Work Space ein Kennwort
für den geschäftlichen Bereich eingerichtet werden. Sie können IT-Richtlinienregeln zur Kontrolle von Kennwortanforderungen
wie Komplexität und Länge verwenden.
Im geschäftlichen Bereich wird nicht das Kennwort des geschäftlichen Bereichs gespeichert. Stattdessen verschlüsselt er
Daten mithilfe eines Hashs, der vom Kennwort als Verschlüsselungsschlüssel abgeleitet wird. Nachdem das Kennwort
festgelegt wurde, versucht der geschäftliche Bereich Daten mit dem aus dem Kennwort, das der Benutzer eingegeben hat,
abgeleiteten Hash zu entschlüsseln, wenn der Benutzer das Kennwort eingibt, um auf den geschäftlichen Bereich zuzugreifen.
Können die Daten nicht entschlüsselt werden, wird das Kennwort des Benutzers als falsch abgelehnt.
Um das Zurücksetzen von Kennwörtern zu ermöglichen, generiert das Gerät einen öffentlichen und einen privaten Schlüssel,
verschlüsselt den abgeleiteten Schlüssel für den geschäftlichen Bereich mit dem privaten Schlüssel und speichert den
verschlüsselten Block unabhängig vom geschäftlichen Bereich. Das Gerät sendet den öffentlichen Schlüssel an BES12 und
löscht lokale Kopien der öffentlichen und privaten Schlüssel.
57
Verwalten der Gerätesicherheit mit BES12
Wenn der Benutzer das Kennwort für den geschäftlichen Bereich ändert, generiert das Gerät den abgeleiteten Schlüssel
erneut. Ein Benutzer kann das Kennwort für den geschäftlichen Bereich jederzeit ändern, und ein Administrator das Kennwort
für den geschäftlichen Bereich mithilfe eines IT-Administrationsbefehls zurücksetzen und den Benutzer dazu veranlassen, es
zu ändern.
Wenn ein Administrator den IT-Administrationsbefehl zum Zurücksetzen des Kennworts für den geschäftlichen Bereich
verwendet, sendet BES12 den öffentlichen Schlüssel zurück an das Gerät. Das Gerät verwendet den öffentlichen Schlüssel, um
den abgeleiteten Schlüssel zu entschlüsseln. Außerdem muss der Benutzer ein neues Kennwort für den geschäftlichen Bereich
eingeben.
BES12 und die BlackBerry Infrastructure speichern nicht die Verschlüsselungsschlüssel des Benutzers.
Weitere Informationen über IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Timeout nach Inaktivität im geschäftlichen Bereich
Wenn eine gesicherte App von einem Nutzer in den Hintergrund geschickt wird, startet diese den Timer der
Inaktivitätsübergangsfrist für den geschäftlichen Bereich. Wenn der Benutzer während der Übergangsfrist eine andere
gesicherte App startet, muss der Benutzer das Kennwort für den geschäftlichen Bereich nicht eingeben. Sie können das
Timeout nach Inaktivität mittels der IT-Richtlinienregel "Zeitraum der Inaktivität vor dem Sperren" konfigurieren.
Weitere Informationen über diese IT-Richtlinienregel finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Datenlöschung
Zum Schutz der Daten Ihres Unternehmens und der Benutzerinformationen auf dem Gerät können Sie mithilfe von BES12
geschäftliche Daten oder alle Daten von einem Gerät löschen.
Auch Benutzer können geschäftliche Daten oder alle Daten von ihren Geräten löschen.
Löschen aller Daten auf BlackBerry 10-Geräten
BlackBerry 10-Geräte löschen alle Daten im Gerätespeicher, wenn eines der folgenden Ereignisse eintritt:
Ereignis
Gerätetyp
Beschreibung
Sie senden den ITAdministrationsbefehl "Alle
Gerätedaten löschen" an ein Gerät.
•
BlackBerry
Balance
•
Reguliertes
BlackBerry
Balance
Sie können BES12 verwenden, um alle Daten von den Geräten
mithilfe des IT-Administrationsbefehls "Alle Gerätedaten
löschen" zu löschen. Sie können diesen Befehl beispielsweise
an ein Gerät senden, um ein zuvor verwendetes Gerät erneut
einem Benutzer in Ihrem Unternehmen zuzuteilen oder an ein
58
Verwalten der Gerätesicherheit mit BES12
Ereignis
Gerätetyp
•
Beschreibung
Nur geschäftlicher verloren gegangenes Gerät, das wahrscheinlich nicht
wiedergefunden wird.
Bereich
Mit diesem Befehl werden alle Benutzerinformationen und
App-Daten gelöscht, die auf dem Gerät gespeichert sind,
einschließlich Informationen im geschäftlichen Bereich und
Informationen auf der Medienkarte. Er setzt das Gerät auf die
Werkseinstellungen zurück und löscht das Gerät aus BES12.
Nachdem Sie diesen Befehl gesendet haben, wird eine Option
zum Entfernen des Geräts aus BES12 angezeigt. Wenn das
Gerät keine Verbindung mehr zu BES12 herstellen kann,
können Sie das Gerät aus BES12 entfernen. Wenn das Gerät
eine Verbindung zu BES12 herstellt, nachdem es entfernt
wurde, werden nur die geschäftlichen Daten vom Gerät
entfernt. Falls zutreffend, wird auch der geschäftliche Bereich
entfernt.
Weitere Informationen zum Senden dieses Befehls finden Sie
in der Dokumentation für Administratoren.
Sie senden den ITAdministrationsbefehl "Nur
Geschäftsdaten löschen" an ein
Gerät.
Nur geschäftlicher
Bereich
Sie können den IT-Administrationsbefehl "Nur
Geschäftsdaten löschen" an ein Gerät, das nur über einen
geschäftlichen Bereich verfügt, senden, um alle Daten auf
diesem zu löschen. Da diese Geräte nur über einen
geschäftlichen Bereich verfügen, können Sie entweder den ITAdministrationsbefehle "Alle Gerätedaten löschen" oder "Nur
Geschäftsdaten löschen" verwenden, um Daten von diesen
Geräten zu löschen.
Wenn BES12 keine Verbindung mit dem Gerät herstellen
kann, weil es ausgeschaltet oder nicht mit einem Netzwerk
verbunden ist, sendet BES12 den Befehl, sobald das Gerät
eine Verbindung zu einem Netzwerk herstellt.
Weitere Informationen zum Senden dieses Befehls finden Sie
in der Dokumentation für Administratoren.
Es verstreicht mehr Zeit, ohne dass
das Gerät eine Verbindung zum
Netzwerk Ihres Unternehmens
herstellt, als die IT-Richtlinienregel
"Daten ohne Netzwerkverbindung
vom Gerät löschen" erlaubt.
Das Gerät löscht alle Benutzerinformationen und App-Daten,
die auf dem Gerät gespeichert sind, einschließlich der
Informationen im geschäftlichen Bereich, und setzt das Gerät
auf die Werkseinstellungen zurück.
•
Reguliertes
BlackBerry
Balance
•
Nur geschäftlicher
Bereich
Sie können diese Regel verwenden, um das Gerät zu
veranlassen, alle Daten zu löschen, wenn es keine Updates
oder Befehle erhält.
59
Verwalten der Gerätesicherheit mit BES12
Ereignis
Gerätetyp
Ein Gerät sendet einen
Integritätsalarm an BES12, und als
Erzwingungsaktion wird "Alle
Gerätedaten löschen" eingestellt.
•
•
Beschreibung
Wenn das BlackBerry 10 OS ein Problem mit der Integrität
eines Gerätes erkennt, warnt es BES12. Wenn ein
Integritätsalarm auftritt und "Alle Gerätedaten löschen" als
Erzwingungsaktion eingestellt wird, werden alle Daten vom
Nur geschäftlicher
Gerät gelöscht.
Bereich
Reguliertes
BlackBerry
Balance
Ein Gerät sendet einen
Nur geschäftlicher
Integritätsalarm an BES12, und als Bereich
Erzwingungsaktion wird "Nur
Geschäftsdaten löschen" eingestellt.
Ein Benutzer gibt das
Gerätekennwort öfter falsch ein, als
in der IT-Richtlinienregel "Maximale
Kennwortversuche" zugelassen ist.
•
BlackBerry
Balance
•
Reguliertes
BlackBerry
Balance
•
Wenn das BlackBerry 10 OS ein Problem mit der Integrität
eines Gerätes erkennt, warnt es BES12.
Weil diese Geräte nur über einen geschäftlichen Bereich
verfügen, werden alle Daten vom Gerät gelöscht, wenn ein
Integritätsalarm auftritt und "Nur Geschäftsdaten löschen" als
Erzwingungsaktion eingestellt wird.
Das Gerät löscht alle Benutzerinformationen und App-Daten,
die auf dem Gerät gespeichert sind, einschließlich der
Informationen im geschäftlichen Bereich, und setzt das Gerät
auf die Werkseinstellungen zurück.
Auf BlackBerry Balance- und regulierten BlackBerry BalanceNur geschäftlicher Geräten werden alle Daten vom Gerät gelöscht, wenn ein
Gerät über ein Kennwort für das gesamte Gerät verfügt und
Bereich
ein Benutzer das Gerätekennwort öfter falsch eingibt, als in
der IT-Richtlinienregel "Maximale Kennwortversuche"
zugelassen ist.
Auf Geräten, die nur über einen geschäftlichen Bereich
verfügen, werden alle Daten vom Gerät gelöscht, wenn ein
Benutzer das Gerätekennwort öfter falsch eingibt, als in der
IT-Richtlinienregel "Maximale Kennwortversuche" zugelassen
ist.
Ein Benutzer verwendet die Option
"Sicherheitslöschung" auf dem
Gerät.
Ein Benutzer verwendet BlackBerry
Protect, um alle Gerätedaten zu
löschen.
Ein Benutzer kann alle Daten auf Geräten mithilfe der Option
"Sicherheitslöschung" in den Einstellungen "Sicherheit und
Datenschutz" auf dem Gerät löschen.
•
BlackBerry
Balance
•
Reguliertes
BlackBerry
Balance
•
Nur geschäftlicher
Bereich
•
BlackBerry
Balance
Ein Benutzer kann auch BlackBerry Protect verwenden, um
Daten von einem Gerät zu löschen.
60
Verwalten der Gerätesicherheit mit BES12
Ereignis
Gerätetyp
Beschreibung
•
Reguliertes
BlackBerry
Balance
Benutzer können BlackBerry Protect nur dann verwenden,
wenn die IT-Richtlinienregel "BlackBerry Protect zulassen"
ausgewählt ist.
•
Nur geschäftlicher Weitere Informationen zu BlackBerry Protect finden Sie in der
Bereich
BlackBerry Protect-Hilfe.
BlackBerry 10-Geräte löschen alle Daten aus den geschäftlichen und persönlichen Bereichen, wenn ein Löschen aller Daten
eines Geräts stattfindet.
Datenfluss: Löschen aller Daten
Wenn alle Daten von einem BlackBerry 10-Gerät gelöscht werden, führt das Gerät die folgenden Aktionen aus:
1.
Das BlackBerry 10 OS überschreibt den Gerätespeicher mit Nullen.
2.
Das BlackBerry 10 OS führt einen sicheren TRIM-Vorgang für einen Abschnitt des Gerätespeichers aus. Aufgrund des
sicheren TRIM-Vorgangs löscht der Flash-Speicherchip den gesamten Speicher.
Vollständiges Löschen von Gerätedaten mit iOS, Android und
Windows
Die Geräte löschen alle Daten im Gerätespeicher, wenn eines der folgenden Ereignisse eintritt:
Ereignis
Beschreibung
Sie senden den ITAdministrationsbefehl "Alle
Gerätedaten löschen" an ein
Gerät.
Sie können BES12 verwenden, um alle Daten von den Geräten mithilfe des ITAdministrationsbefehls "Alle Gerätedaten löschen" zu löschen. Sie können diesen Befehl
beispielsweise an ein Gerät senden, um ein zuvor verwendetes Gerät erneut einem
Benutzer in Ihrem Unternehmen zuzuteilen oder an ein verloren gegangenes Gerät, das
wahrscheinlich nicht wiedergefunden wird.
Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf
dem Gerät gespeichert sind (einschließlich Informationen im geschäftlichen Bereich, falls
zutreffend), das Gerät auf die Werkseinstellungen zurückgesetzt und das Gerät aus
BES12 entfernt.
Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des Geräts
aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12 herstellen kann,
können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine Verbindung zu BES12
herstellt, nachdem es entfernt wurde, werden nur die geschäftlichen Daten vom Gerät
entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.
61
Verwalten der Gerätesicherheit mit BES12
Ereignis
Beschreibung
Weitere Informationen zum Senden dieses Befehls an Geräte: Siehe Dokumentation für
Administratoren .
Ein Benutzer gibt häufiger das
Das Gerät löscht alle Benutzerinformationen und App-Daten, die auf dem Gerät
falsche Kennwort ein, als es die IT- gespeichert sind, einschließlich der Informationen im geschäftlichen Bereich, und setzt
Richtlinienregeln zulassen.
das Gerät auf die Werkseinstellungen zurück.
Bei Geräten mit den Aktivierungsarten "Geschäftlich und persönlich – BenutzerDatenschutz (Android for Work)" und "Geschäftlich und persönlich – BenutzerDatenschutz (Android for Work – Premium)" wird nur das geschäftliche Profil entfernt.
Ein Benutzer verwendet die Option Ein Benutzer kann alle Daten auf Geräten mit iOS oder höher mithilfe der Option "Alle
"Alle Inhalte und Einstellungen
Inhalte und Einstellungen löschen" auf dem Gerät löschen.
löschen" auf einem Gerät mit iOS.
Vollständiges Löschen geschäftlicher Daten von BlackBerry 10Geräten
Um die Daten Ihres Unternehmens auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten zu schützen, löschen
diese Geräte nur Geschäftsdaten, wenn eines der folgenden Ereignisse eintritt:
Ereignis
Beschreibung
Sie senden den IT-Administrationsbefehl
"Nur Geschäftsdaten löschen" an ein
Gerät.
Sie können BES12 verwenden, um alle geschäftlichen Daten von den Geräten
mithilfe des IT-Administrationsbefehls "Nur Geschäftsdaten löschen" zu löschen.
Sie können diesen Befehl beispielsweise an ein persönliches Gerät senden, wenn
ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet, oder wenn das Gerät
verloren geht oder gestohlen wird.
Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät
vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät
aus BES12 entfernt.
Die Informationen im geschäftlichen Bereich werden gelöscht und der
geschäftliche Bereich wird vom Gerät entfernt.
Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des
Geräts aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12
herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine
Verbindung zu BES12 herstellt, nachdem es entfernt wurde, werden nur die
geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der
geschäftliche Bereich entfernt.
Ein Benutzer kann das Gerät immer noch benutzen, obwohl Daten im
geschäftlichen Bereich gelöscht wurden.
62
Verwalten der Gerätesicherheit mit BES12
Ereignis
Beschreibung
Weitere Informationen zum Senden dieses IT-Verwaltungsbefehls finden Sie in der
Dokumentation für Administratoren.
Ein Benutzer gibt das Kennwort für den
geschäftlichen Bereich öfter falsch ein,
als in der IT-Richtlinienregel "Maximale
Kennwortversuche" zugelassen ist.
Die Informationen im geschäftlichen Bereich werden gelöscht und der
geschäftliche Bereich wird vom Gerät entfernt.
Ein Gerät stellt über einen längeren
Zeitraum keine Verbindung zum Netzwerk
Ihres Unternehmens her, als in der ITRichtlinienregel "Geschäftlichen Bereich
ohne Netzwerkverbindung löschen"
zugelassen ist.
Sie können die IT-Richtlinienregel "Geschäftlichen Bereich ohne
Netzwerkverbindung löschen" verwenden, um die Anzahl der Stunden
festzulegen, die vergehen müssen, ohne dass ein Gerät keine Verbindung zum
Netzwerk Ihres Unternehmens herstellt, bevor das Gerät alle Daten im
geschäftlichen Bereich löscht.
Wenn das Kennwort für den geschäftlichen Bereich und das Gerätekennwort eines
Gerätes unterschiedlich sind, werden alle Daten, einschließlich des geschäftlichen
Bereichs, vom Gerät gelöscht, wenn ein Benutzer das Gerätekennwort öfter falsch
eingibt, als in der IT-Richtlinienregel "Maximale Kennwortversuche" zugelassen
ist.
Sie können diese Regel verwenden, um das Gerät zu veranlassen, die Daten im
geschäftlichen Bereich zu löschen, wenn das Gerät keine Updates oder Befehle
von BES12 enthält.
Ein Gerät sendet einen Integritätsalarm
an BES12, und als Erzwingungsaktion
wird "Nur Geschäftsdaten löschen"
eingestellt.
Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt,
warnt es BES12. Wenn ein Integritätsalarm auftritt und "Nur Geschäftsdaten
löschen" als Erzwingungsaktion eingestellt wird, wird der geschäftliche Bereich
gelöscht.
Ein BlackBerry Balance-Gerät senden
einen Integritätsalarm an BES12, und als
Erzwingungsaktion wird "Alle Gerätedaten
löschen" eingestellt.
Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt,
warnt es BES12. Wenn ein Integritätsalarm auf einem BlackBerry Balance-Gerät
auftritt und "Alle Gerätedaten löschen" als Erzwingungsaktion eingestellt wird,
wird nur der geschäftliche Bereich gelöscht.
Ein Benutzer verwendet die Option
"Geschäftlichen Bereich löschen" in den
Einstellungen "BlackBerry Balance" auf
dem Gerät.
Benutzer können den geschäftlichen Bereich auch mithilfe der Option
"Geschäftlichen Bereich löschen" in den "BlackBerry Balance"-Einstellungen von
ihren Geräten löschen.
Wenn Sie oder ein Benutzer alle Daten aus dem geschäftlichen Bereich auf einem Gerät löschen, weist das BlackBerry 10 OS
das Dateisystem an, alle Verzeichnisse und Dateien im geschäftlichen Dateisystem zu löschen. Alle Dateien, die im Dateisystem
verbleiben, bleiben verschlüsselt. Die Entschlüsselungsschlüssel sind für das Dateisystem nicht zugänglich.
63
Verwalten der Gerätesicherheit mit BES12
Geschäftliche Daten wurden vollständig von BlackBerry 10-Geräten gelöscht
Wenn nur die geschäftlichen Daten von einem BlackBerry Balance-Gerät oder einem regulierten BlackBerry Balance-Gerät
gelöscht wurden, verbleiben die gesamten persönlichen Daten auf dem Gerät. Sie können dies beispielsweise tun, wenn ein
Benutzer nicht mehr in Ihrem Unternehmen arbeitet.
In der folgenden Tabelle werden Beispiele von Daten aufgelistet, die entfernt werden, wenn alle Daten aus dem geschäftlichen
Bereich eines Geräts gelöscht werden:
Objekt
Beschreibung
Geschäftliche E-Mail-Nachrichten
•
E-Mail-Nachrichten, die an das geschäftliche E-Mail-Konto des Benutzers gesendet
werden, und E-Mail-Nachrichten, die der Benutzer von seinem geschäftlichen EMail-Konto sendet
•
Entwürfe von E-Mail-Nachrichten, die der Benutzer mit seinem geschäftlichen EMail-Konto erstellt
•
Anlagen, die an das geschäftliche E-Mail-Konto des Benutzers gesendet werden,
und Anlagen, die der Benutzer von seinem geschäftlichen E-Mail-Konto sendet
•
Anlagen, die der Benutzer im geschäftlichen Bereich speichert
Anlagen
Kalendereinträge
Kalendereinträge, die der Benutzer mithilfe seines Geschäftskalenders erstellt
Kontakte
Kontakte, die BES12 mit dem geschäftlichen E-Mail-Konto des Benutzers synchronisiert
BlackBerry Remember
Alle Aufgaben und Notizen, die BES12 mit dem geschäftlichen E-Mail-Konto des
Benutzers synchronisiert
Browser
Alle geschäftlichen Browserdaten
Dateien
Dateien, auf die der Benutzer aus dem Netzwerk Ihres Unternehmens aus zugegriffen
und die er heruntergeladen hat
IT-Richtlinie
IT-Richtlinie, die Ihrem Unternehmen zugewiesen ist
Schlüssel zum Gerätetransport
Verweise auf den Schlüssel zum Gerätetransport, der das Gerät von der Kommunikation
mit BES12 abhält
Geschäftliche Apps
Geschäftliche Apps, die ein Benutzer heruntergeladen und auf einem Gerät installiert hat
Daten geschäftlicher Apps
Geschäftliche Daten sind mit den geschäftlichen Apps auf dem Gerät verknüpft
Geschäftliche Wi-Fi-Profile
Geschäftliche Wi-Fi-Profile auf dem Gerät
Geschäftliche VPN-Profile
Geschäftliche VPN-Profile auf dem Gerät
64
Verwalten der Gerätesicherheit mit BES12
Geschäftliche Daten vollständig von iOS-, Android- und
Windows-Geräten löschen
Um die Daten Ihres Unternehmens auf Geräten zu schützen, löschen die Geräte alle geschäftlichen Daten, wenn Sie den ITVerwaltungsbefehl "Nur geschäftliche Daten löschen" an ein Gerät senden. Sie können diesen Befehl beispielsweise an ein
persönliches Gerät senden, wenn ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet, oder wenn das Gerät verloren geht
oder gestohlen wird.
Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und
Zertifikate, gelöscht und das Gerät aus BES12 entfernt.
Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des Geräts aus BES12 angezeigt. Wenn das Gerät
keine Verbindung mehr zu BES12 herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine
Verbindung zu BES12 herstellt, nachdem es entfernt wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls
zutreffend, wird auch der geschäftliche Bereich entfernt.
Ein Benutzer kann das Gerät immer noch benutzen, obwohl Daten im geschäftlichen Bereich gelöscht wurden.
Weitere Informationen zum Senden dieses Befehls an Geräte finden Sie in der Dokumentation für Administratoren.
Secure Work Space von Geräten mit iOS und Android löschen
Wenn Sie Secure Work Space von einem Gerät löschen, müssen Sie keine zusätzlichen Schritte vornehmen, um die
Wiederherstellung von Daten zu verhindern. Ohne Verschlüsselungsschlüssel ist der Zugriff auf wiederhergestellte Daten
kryptografisch unmöglich.
Wenn der geschäftliche Bereich gelöscht wird und das Gerät zum Zeitpunkt der Löschung verbunden war, werden auch Daten
des geschäftlichen Bereichs von Medienkarten gelöscht.
Beim Löschen von Secure Work Space werden geschäftliche Daten vollständig gelöscht.
Wenn Sie Secure Work Space von einem iOS- und Android-Gerät löschen, werden alle geschäftlichen Daten gelöscht.
In der folgenden Tabelle werden Beispiele für Daten aufgeführt, die entfernt werden, wenn der geschäftliche Bereich auf
Geräten gelöscht wird:
Objekt
Beschreibung
Geschäftliche E-Mail-Nachrichten
•
E-Mail-Nachrichten, die an die E-Mail-App des Benutzers im geschäftlichen Bereich
gesendet werden
•
E-Mail-Nachrichten, die der Benutzer von der E-Mail-App im geschäftlichen Bereich
sendet
•
Entwürfe von E-Mail-Nachrichten, die der Benutzer mithilfe der E-Mail-App im
geschäftlichen Bereich erstellt
65
Verwalten der Gerätesicherheit mit BES12
Objekt
Beschreibung
Anlagen
•
Anlagen, die an die E-Mail-App des Benutzers im geschäftlichen Bereich gesendet
werden
•
Anlagen, die der Benutzer von der E-Mail-App im geschäftlichen Bereich sendet
•
Anlagen, die der Benutzer im geschäftlichen Bereich speichert
Kalendereinträge
Kalendereinträge, die der Benutzer mithilfe der Kalender-App im geschäftlichen Bereich
erstellt
Kontakte
Kontakte, die BES12 mit der Kontakte-App des Benutzers im geschäftlichen Bereich
synchronisiert
Aufgaben und Notizen
Alle Aufgaben und Notizen, die BES12 mit der Aufgaben- und Notizen-App des Benutzers
im geschäftlichen Bereich synchronisiert
Browser
Alle Work Browser-Daten
Dateien
Dateien, auf die der Benutzer aus dem Netzwerk Ihres Unternehmens aus zugegriffen
und die er heruntergeladen hat
IT-Richtlinie
IT-Richtlinie, die dem Gerät zugeordnet ist
Geschäftliche Apps
Bei einem iOS-Gerät: geschäftliche Apps, die der Administrator an ein Gerät gesendet hat
Daten geschäftlicher Apps
Bei einem iOS-Gerät: geschäftliche Daten, die im Zusammenhang mit geschäftlichen
Apps auf dem Gerät stehen (z. B. gespeicherte Einstellungen)
Gesicherte Apps
Bei einem iOS-Gerät: gesicherte Apps, die ein Benutzer heruntergeladen und auf einem
Gerät installiert hat.
Bei einem Android-Gerät wird der Benutzer aufgefordert, die gesicherten Apps zu
entfernen. Wenn der Benutzer die gesicherten Apps nicht entfernt, bleiben diese auf dem
Gerät, der Benutzer kann sie aber nicht ausführen.
Daten im geschäftlichen Bereich
Bei einem iOS-Gerät: Daten im geschäftlichen Bereich, die im Zusammenhang mit
gesicherten Apps auf dem Gerät stehen.
Bei einem Android-Gerät wird der Benutzer aufgefordert, die Daten im geschäftlichen
Bereich zu entfernen (z. B. gespeicherte Einstellungen). Wenn der Benutzer die Daten im
geschäftlichen Bereich nicht entfernt, bleiben diese auf dem Gerät, der Benutzer kann
aber nicht auf die Daten zugreifen.
Profile
Bei einem iOS-Gerät: VPN, Wi-Fi, E-Mail, SCEP, Zertifizierungsstellenzertifikat,
freigegebenes Zertifikat, einmalige Anmeldung und Profile für verwaltete Domänen.
66
Verwalten der Gerätesicherheit mit BES12
Objekt
Beschreibung
Bei einem Android-Gerät: Wi-Fi, E-Mail, Zertifizierungsstellenzertifikat und Profile für
freigegebene Zertifikate.
Sicherstellen der Kompatibilität auf Geräten
Sie können Kompatibilitätsprofile verwenden, um Gerätebenutzer bei der Einhaltung der in Ihrer Organisation in Bezug auf die
Verwendung von BlackBerry 10-, iOS-, Android- und Windows Phone-Geräten festgelegten Standards zu unterstützen. Ein
Kompatibilitätsprofil definiert die Gerätebedingungen, die in Ihrer Organisation nicht akzeptabel sind.
Abhängig vom Betriebssystem und der Version können Sie festlegen, ob folgende Bedingungen zulässig sind:
•
Entsperrte oder gehackte Geräte
•
Eingeschränkte Version der Gerätesoftware ist installiert
•
Nicht zugewiesene oder eingeschränkte App ist installiert
•
Eine erforderliche App wurde nicht installiert
Ein Kompatibilitätsprofil legt die folgenden Informationen fest:
•
Bedingungen, aufgrund derer ein Gerät mit BES12 nicht kompatibel ist
•
Benachrichtigungen, die die Benutzer erhalten, wenn ein Gerät die Kompatibilitätsbedingungen verletzt und die
Zeitdauer, die Benutzern zur Behebung des Problems zur Verfügung steht
•
Eine Aktion, die vorgenommen wird, wenn der Benutzer das Problem nicht behebt, einschließlich der Einschränkung
des Benutzerzugriffs auf die Ressourcen der Organisation, Löschen geschäftlicher Daten auf dem Gerät oder Löschen
aller Daten auf dem Gerät
Weitere Informationen über Kompatibilitätsprofile finden Sie in der Dokumentation für Administratoren.
Sicherstellen der BlackBerry 10-Geräteintegrität
Das BlackBerry 10 OS überprüft die Integrität des Kernels und des Dateisystems. Wenn BlackBerry 10 OS ein Problem
feststellt, sendet es eine Warnmeldung an BES12. Sie können die Integritätsalarm-Einstellungen im Kompatibilitätsprofil
festlegen, um die Aktionen zu steuern, die BES12 ausführen würde, wenn eine der Integritätsprüfungen fehlschlägt.
Mögliche Aktionen sind z. B. das Gerät unter Quarantäne zu stellen, sodass es nicht auf geschäftliche Ressourcen zugreifen
kann, den Benutzer per E-Mail oder Gerätebenachrichtigung zu benachrichtigen und Geschäftsdaten oder alle Daten des
Geräts zu löschen.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
67
Verwalten der Gerätesicherheit mit BES12
Geräte mit Secure Work Space vor dem Entsperren und Hacken
schützen
iOS
Bei iOS-Geräten schützt Secure Work Space gegen Jailbreaking. Secure Work Space führt Standardprüfungen an Pfadnamen
und gemeinsamen Dateien durch sowie zusätzliche Überprüfungen, z. B. Tests, ob Privilegien eskaliert werden können, indem
Prozesse verzweigt und Systemaufrufe ausgeführt werden.
Gesicherte Apps führen Überprüfungen des in Verarbeitung befindlichen Speichers durch, um Jailbreak-Signaturen in Echtzeit
zu identifizieren und eine robuste Verteidigung gegen alle Entsperrformen bereitzustellen. Überprüfungen des in Verarbeitung
befindlichen Speichers werden durch verschiedene Mechanismen geschützt, damit verhindert wird, dass die Algorithmen nicht
eingehalten werden. Zum Beispiel werden Überprüfungen über den ganzen Code verteilt und schließen Ablenkungsmanöver
und sonstige Verteidigungstaktiken ein.
Jailbreak-Überprüfungen werden während der Ausführung gesicherter Apps durchgeführt. Verliert ein Benutzer ein Gerät und
ein Angreifer entsperrt das Gerät, schützt die Verschlüsselung des geschäftlichen Bereichs die Daten im geschäftlichen
Bereich, sodass Angriffe, bei denen z. B. Bit-Kopien von persistentem Speicher erstellt werden, nicht möglich sind.
Zum Ausführen von Secure Work Space auf einem entsperrten iOS-Gerät müssen Sie den Zustand des Geräts vor dem
Jailbreak-Angriff wiederherstellen.
Android Betriebssystem
Bei Android-Geräten verwendet der Secure Work Space die MDM-APIs des Geräteherstellers, um herauszufinden, ob das Gerät
gehackt wurde, sowie weitere Nachweismethoden, die für Secure Work Space spezifisch sind. Die Überprüfungen werden in
der Reihenfolge der Wahrscheinlichkeit ausgeführt und stoppen, wenn erkannt wird, dass das Gerät gehackt wurde. Die
Nachweismethoden des Geräteherstellers werden über ein Partnerprogramm lizenziert und stehen nicht öffentlich zur
Verfügung.
Zum Ausführen von Secure Work Space auf einem gehackten Android-Gerät müssen Sie den Zustand des Geräts vor dem
Hacking-Angriff wiederherstellen.
Verhindern der Installation spezifischer Apps durch die
Benutzer
Bei iOS, Android und Windows Phone 8.1-Geräten können Sie mit Kompatibilitätsprofilen Listen von Apps erstellen, die Ihre
Benutzer nicht auf den Geräten installieren sollen. Zum Beispiel können Sie Benutzer daran hindern, schädliche Apps oder
Apps, die viele Ressourcen erfordern, zu installieren.
Bei iOS- und Android-Geräten mit MDM-Steuerelementen oder Secure Work Space können Sie bestimmen, welche Aktion ein
Gerät durchführen soll, wenn eine eingeschränkte App installiert wird. Entfernt der Benutzer die eingeschränkte App nicht von
dem Gerät, gibt das Kompatibilitätsprofil vor, was passieren muss. Wenn ein Benutzer eine eingeschränkte App installiert,
meldet das Gerät des Benutzers, dass diese App nicht kompatibel ist. Im Bericht werden der Name der verbotenen App und
Informationen dazu angezeigt, welche Aktionen ausgeführt werden müssen, wenn der Benutzer die App nicht deinstalliert.
68
Verwalten der Gerätesicherheit mit BES12
Bei Geräten mit Windows Phone 8.1 oder höher und Android-Geräten, die KNOX MDM verwenden, verhindert das Hinzufügen
einer App zum Kompatibilitätsprofil, dass Benutzer diese App installieren können. Wenn ein Benutzer versucht, eine verbotene
App zu installieren, wird eine Meldung auf dem Gerät angezeigt, dass diese App verboten ist und nicht installiert werden kann.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Verwandte Informationen
Kontrolle von persönlichen Apps auf Geräten, auf Seite 39
Bestimmen des Standorts von Geräten
Sie können ein Standortdienst-Profil zum Auffinden von verlorenen oder gestohlenen iOS- und Windows 10 Mobile-Geräten
erstellen. Sie können die aktuellen Standorte von iOS- und Windows 10 Mobile-Geräten auf einer Karte in der
Verwaltungskonsole anzeigen und Benutzern ermöglichen, ihre eigenen Geräte auf einer Karte in BES12 Self-Service
anzuzeigen. Bei iOS-Geräten können Sie auch den Verlauf des Gerätestandorts protokollieren. Weitere Informationen zur
Standortbestimmung von Geräten finden Sie in der Dokumentation für Administratoren.
Benutzer von BlackBerry 10 Geräten können auch BlackBerry Protect zum Auffinden der Geräte verwenden. Weitere
Informationen zu BlackBerry Protect finden Sie in der BlackBerry Protect-Hilfe. Sie können eine IT-Richtlinienregel erstellen,
die BlackBerry Protect deaktiviert.
Verwenden von IT-Richtlinien für die
Geräteverwaltung
Eine IT-Richtlinie ist ein Regelsatz, mit dem Funktionen und die Funktionalität von Geräten eingeschränkt oder zugelassen
werden. Mithilfe von IT-Richtlinienregeln können die Sicherheit und das Verhalten von Geräten verwaltet werden. Das
Betriebssystem des Geräts bestimmt über die Liste der Funktionen, die mit IT-Richtlinien gesteuert werden können, und die
Aktivierungsart des Geräts bestimmt, welche Regeln einer IT-Richtlinie für ein bestimmtes Gerät gelten.
Es kann einem Benutzerkonto nur eine IT-Richtlinie zugewiesen werden, und die zugewiesene IT-Richtlinie wird an alle Geräte
des Benutzers gesendet. Wenn Sie einem Benutzerkonto oder einer Gruppe, der ein Benutzer oder ein Gerät angehört, keine ITRichtlinie zuweisen, sendet BES12 die standardmäßige IT-Richtlinie an die Geräte des Benutzers.
Sie können den IT-Richtlinien einen Rang zuweisen, um anzugeben, welche Richtlinie an die Geräte gesendet werden soll,
wenn ein Benutzer oder ein Gerät Mitglied von zwei oder mehr Gruppen ist, die unterschiedliche IT-Richtlinien aufweisen, und
keine der IT-Richtlinien dem Benutzerkonto direkt zugewiesen ist.Der BES12 sendet die ranghöchste IT-Richtlinie an die Geräte
des Benutzers.
BES12 sendet IT-Richtlinien automatisch an Geräte, wenn ein Benutzer ein Gerät aktiviert, eine zugewiesene IT-Richtlinie
aktualisiert wird und wenn einem Benutzer oder einer Benutzergruppe eine andere IT-Richtlinie zugewiesen wird. Wenn ein
Gerät eine neue oder aktualisierte IT-Richtlinie empfängt, wendet das Gerät die Konfigurationsänderungen nahezu in Echtzeit
an.
69
Verwalten der Gerätesicherheit mit BES12
Geräte ignorieren Regeln einer IT-Richtlinie, die nicht für sie gelten. Zum Beispiel ignorieren BlackBerry 10-Geräte, die nur über
einen geschäftlichen Bereich verfügen, Regeln, die nur für BlackBerry Balance-Geräte oder Geräte mit anderen
Betriebssystemen gelten.
Weitere Informationen über die Zuweisung und Priorisierung von IT-Richtlinien finden Sie in der Dokumentation für
Administratoren.
Weitere Informationen über spezifische IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Einschränken und Zulassen von Gerätefunktionen
Indem Sie IT-Richtlinienregeln konfigurieren, können Sie Gerätefunktionen oder Funktionen des geschäftlichen Bereichs
einschränken oder zulassen. Die für jeden Gerätetyp zur Verfügung stehenden IT-Richtlinienregeln sind von Betriebssystem und
Version des Gerätes sowie von zusätzlichen Optionen von Secure Work Space, Samsung KNOX und Android for Work abhängig.
Je nach Betriebssystem des Geräts und Aktivierungsart können Sie mit IT-Richtlinienregeln Folgendes kontrollieren:
•
Kennwortanforderungen des Geräts und des geschäftlichen Bereichs
•
Gerätefunktionen wie Kamera oder Standortdienste
•
Verbindungen über die drahtlose Bluetooth-Technologie oder NFC
•
Verfügbarkeit bestimmter Apps
Weitere Informationen über spezifische IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter
help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Steuern von BlackBerry 10-Gerätefunktionen
BlackBerry 10-Geräte unterstützen eine umfangreiche Liste von IT-Richtlinienregeln zur Kontrolle der Gerätefunktionen. Zum
Beispiel können folgende Funktionen auf allen BlackBerry 10-Geräten durch IT-Richtlinienregeln deaktiviert werden:
•
Roaming
•
Sprachsteuerung
•
Tethering und mobiler Hotspot
•
Rechnungen des Mobilfunkanbieters für Käufe in der BlackBerry World
Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen geschäftlichen Bereich verfügen, können Sie eine
Vielzahl von Funktionen aktivieren oder deaktivieren. Beispiel:
•
Standortbestimmung
•
Medienkarte
•
Kamera
•
UKW-Radio
70
Verwalten der Gerätesicherheit mit BES12
•
Mobile Netzwerkverbindungen
•
Freisprechen
•
Sprachaufzeichnung
•
Wi-Fi
•
HDMI
•
NFC
•
Bluetooth
•
SMS/MMS
•
BBM
•
BlackBerry Protect
Weitere Informationen über die IT-Richtlinienregeln, die diese Funktionen steuern, finden Sie in der Richtlinien-Referenztabelle
unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/
Steuern von BlackBerry 10 OS-Software-Updates
Benutzer können ihre Gerätesoftware standardmäßig durch das Herunterladen von BlackBerry 10 OS-Updates über das
drahtlose Netzwerk aktualisieren. Benutzer können alle Softwareupdates herunterladen, die durch BlackBerry oder einen
Dienstanbieter bereitgestellt werden.
Für reglementierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können Sie
eine IT-Richtlinienregel verwenden, um Benutzer auf das ausschließliche Herunterladen von sicherheitsrelevanten SoftwareUpdates über das WLAN-Netzwerk, das von BlackBerry oder dem Mobilfunkanbieter zur Verfügung gestellt wird, zu
beschränken oder zu verhindern, dass Benutzer Software-Updates über das drahtlose Netzwerk herunterladen.
Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Steuerung der BlackBerry 10-Protokollsynchronisierung mit BES12
Standardmäßig synchronisieren regulierte BlackBerry Balance-Geräte und Geräte nur mit geschäftlichem Bereich
Protokolldateien für BBM, Telefon, SMS, MMS, PIN und BBM Video-Chatfunktionen nicht mit dem BES12.
Wenn Sie einen oder mehrere dieser Kommunikationspfade protokollieren müssen, können Sie dies mithilfe der folgenden ITRichtlinienregeln tun:
•
BBM-Protokolle synchronisieren
•
Telefonprotokolle synchronisieren
•
PIN-zu-PIN-Protokolle synchronisieren
•
SMS/MMS-Protokolle synchronisieren
•
Videochat-Protokolle synchronisieren
71
Verwalten der Gerätesicherheit mit BES12
Wenn Sie diese Kommunikationspfade für regulierte BlackBerry Balance-Geräte protokollieren, enthalten die Protokolldateien
sowohl Geschäfts- als auch private Daten.
Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Kontrolle von Verbindungen auf BlackBerry 10-Geräten
Regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können standardmäßig
verschiedene Verbindungen herstellen. Sie können die folgenden IT-Richtlinienregeln verwenden, um Verbindungen zu steuern:
•
Bluetooth zulassen
•
Hotspot-Browser zulassen
•
Miracast zulassen
•
NFC zulassen
•
Vom Benutzer erstelle VPN-Profile zulassen
•
Wi-Fi zulassen
Wenn Sie eine dieser Verbindungen auf regulierten BlackBerry Balance-Geräten nicht zulassen, wird diese sowohl für den
persönlichen als auch für den geschäftlichen Bereich nicht zugelassen.
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Übertragen von geschäftlichen Dateien von Geräten mit Bluetooth
Mithilfe der drahtlosen Bluetooth-Technologie können Benutzer drahtlose Verbindungen zwischen einem BlackBerry Balanceoder einem regulierten BlackBerry Balance-Gerät und anderen Bluetooth-fähigen Geräten herstellen. Benutzer müssen eine
Kopplung mit einem anderen Bluetooth-Gerät anfordern und einen Kennschlüssel verwenden, um die Kopplung einzurichten.
Das Gerät zeigt den Benutzern jedes Mal eine Aufforderung an, wenn ein Bluetooth-fähiges Gerät versucht, eine Verbindung mit
den Geräten herzustellen.
Standardmäßig können Benutzer Dateien, Kontakte und Nachrichten aus dem geschäftlichen Bereich auf Geräten an
Bluetooth-fähige Geräte, die sie erfolgreich gekoppelt haben, übertragen.
Sie können die folgenden IT-Richtlinienregeln anwenden, um zu verhindern, dass Benutzer geschäftliche Dateien an andere
Bluetooth-fähige Geräte übertragen:
IT-Richtlinienregel
Beschreibung
Das Übertragen geschäftlicher
Dateien mithilfe von BluetoothOPP oder einer Wi-Fi DirectVerbindung zulassen
Geräte verwenden das Bluetooth-OPP, um andere Objekte an andere Bluetooth-fähige
Geräte zu senden. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen
Dateien über Bluetooth-OPP oder einer Wi-Fi Direct-Verbindung zulassen" anwenden, um
zu verhindern, dass Benutzer das Bluetooth-OPP anwenden, um geschäftliche Dateien
und Objekte wie Kontakte an andere Bluetooth-fähige Geräte zu senden. Geräte
72
Verwalten der Gerätesicherheit mit BES12
IT-Richtlinienregel
Beschreibung
verwenden außerdem das Bluetooth-OPP, um geschäftliche Dateien in einem
Dateiformat (zum Beispiel Bilder oder Dokumente) mithilfe von NFC zu teilen. Wenn die
IT-Richtlinienregel "Übertragen von geschäftlichen Dateien mithilfe einer Bluetooth-OPP
oder einer Wi-Fi Direct-Verbindung zulassen" nicht aktiviert ist, können Benutzer keine
geschäftlichen Dateien in einem Dateiformat teilen. Sie können die IT-Richtlinienregel
"Übertragen von geschäftlichen Dateien über NFC zulassen" auch anwenden, um zu
verhindern, dass Benutzer geschäftliche Dateien an andere NFC-fähige Geräte über NFC
senden.
Übertragen von
Geräte verwenden das Bluetooth-PBAP und das Bluetooth-HFP, um Kontakte an ein
Geschäftskontakten mit Bluetooth- anderes Bluetooth-fähige Gerät zu senden. Sie können die IT-Richtlinienregel
PBAP oder -HFP zulassen
"Übertragen von geschäftlichen Kontakten über Bluetooth PBAP HFP zulassen"
anwenden, um zu verhindern, dass Benutzer Bluetooth-PBAP und Bluetooth-HFP
anwenden, um geschäftliche Kontakte an ein anderes Bluetooth-fähiges Gerät zu senden.
Wenn Sie diese Regel nicht auswählen, können Geräte das Bluetooth-MAP auch nicht
verwenden, um geschäftliche Nachrichten an ein anderes Bluetooth-fähiges Gerät zu
senden.
Übertragen von geschäftlichen
Nachrichten mit Bluetooth-MAP
zulassen
Geräte verwenden Bluetooth-MAP, um Nachrichten an andere Bluetooth-fähige Geräte
zu senden. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen
Nachrichten mit Bluetooth-MAP zulassen" anwenden, um zu verhindern, dass Benutzer
Bluetooth-MAP verwenden, um Nachrichten vom geschäftlichen Bereich (zum Beispiel EMail-Nachrichten und Sofortnachrichten) an ein anderes Bluetooth-fähiges Gerät
senden. Wenn Sie nicht die IT-Richtlinienregel "Übertragen von geschäftlichen Kontakten
mit Bluetooth-PBAP oder HFP zulassen" anwenden, können Benutzer keine
geschäftlichen Nachrichten an ein anderes Bluetooth-fähiges Gerät mithilfe von
Bluetooth-MAP senden, unabhängig davon, ob die IT-Richtlinienregel "Übertragen von
geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" ausgewählt ist oder nicht.
Standardmäßig kann der Benutzer bei Auswahl der IT-Richtlinienregel "Übertragen von
geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" geschäftliche Nachrichten an
ein Bluetooth-fähiges Gerät mithilfe von Bluetooth-MAP übertragen, nachdem er einmal
das Kennwort für den Eintritt in den geschäftlichen Bereich eingegeben hat. Wenn ein
Benutzer den geschäftlichen Bereich jedes Mal wieder neu entsperren soll, wenn das
Gerät eine Verbindung zum Bluetooth-fähigen Gerät aufbaut und bevor es geschäftliche
Nachrichten mithilfe von Bluetooth-MAP übertragen kann, so wählen Sie die ITRichtlinienregel "Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP
zulassen" nicht aus.
Sie können auch verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit Bluetooth
aufbauen.
73
Verwalten der Gerätesicherheit mit BES12
Steuern von Bluetooth auf Geräten
Regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können standardmäßig
Bluetooth-Verbindungen herstellen. Sie verfügen über eine Reihe von Optionen zum Steuern von Bluetooth-Verbindungen und
zum Steuern einiger der Kriterien, die ein Gerät verwenden muss, wenn es sich mit einem anderen Gerät verbindet.
Option
IT-Richtlinienregel
Beschreibung
Verhindern, dass ein Gerät BluetoothVerbindungen herstellt
Bluetooth zulassen
Wenn Sie Bluetooth-Verbindungen auf
einem Gerät zulassen, kann der
Benutzer Bluetooth dennoch mithilfe der
Geräteeinstellungen ausschalten.
Verhindern, dass ein Gerät den
erkennbaren Bluetooth-Modus
verwendet
Erkennbaren Bluetooth-Modus zulassen Ein erkennbares Gerät kann von anderen
Bluetooth-fähigen Geräten im Bereich
des Geräts aufgefunden werden. Wenn
Sie den erkennbaren Modus auf einem
Gerät zulassen, kann der Benutzer
diesen dennoch mithilfe der
Geräteeinstellungen ausschalten.
Verhindern, dass ein Gerät mit Bluetooth Bluetooth-Kopplung zulassen
und aktiviertem erkennbaren Modus
neue Verbindungen mit anderen Geräten
herstellt
Wenn ein Gerät eine Verbindung zu
anderen Geräten hergestellt hat, können
Sie diese Regel verwenden, um zu
verhindern, dass es eine Verbindung zu
weiteren Geräten herstellt.
Verhindern, dass ein Gerät kurze
Kennschlüssel annimmt
Standardmäßig kann ein Gerät eine
Verbindung zu einem anderen Gerät
herstellen, wenn der Kennschlüssel, den
das andere Gerät anfordert oder
bereitstellt, weniger als 8 Ziffern beträgt.
Eine Mindestlänge für den BluetoothKennschlüssel durchsetzen
Die Mindestlänge des
Mindestlänge des BluetoothVerschlüsselungsschlüssels steuern, den Verschlüsselungsschlüssels
Geräte zur Verschlüsselung von
Bluetooth-Verbindungen verwenden
Standardmäßig muss ein Gerät eine
Mindestlänge des
Verschlüsselungsschlüssels von 1 Byte
verwenden.
Voraussetzen, dass Geräte den Modus
für den numerischen Vergleich nutzen,
um eine Verbindung zu einem anderen
Gerät herzustellen
Wenn Geräte Bluetooth-SSP verwenden,
um eine Verbindung zu einem anderen
Gerät herzustellen, auf dem BluetoothVersion 2.1 und höher ausgeführt wird,
können Sie voraussetzen, dass Geräte
den numerischen Vergleich für die
Verbindung verwenden.
Numerischen Bluetooth-SSP-Vergleich
erzwingen
74
Verwalten der Gerätesicherheit mit BES12
Option
IT-Richtlinienregel
Beschreibung
Standardmäßig müssen Geräte den
Modus für den numerischen Vergleich
nicht verwenden.
Steuern, welche Bluetooth-Profile
verfügbar sind
•
•
•
•
Geräte nutzen Bluetooth-Profile, um mit
anderen Bluetooth-fähigen Geräten zu
Bluetooth AVRCP zulassen
kommunizieren, und führen Aufgaben
Bluetooth-Kontaktübertragung aus, wie z. B. Audio-Dateien auf andere
über PBAP zulassen
Geräte streamen oder anderen Geräten
Bluetooth-Dateiübertragung
erlauben, auf bestimmte Datentypen
über OBEX zulassen
zuzugreifen.
Bluetooth A2DP zulassen
•
Bluetooth-HFP zulassen
•
Bluetooth-MAP zulassen
•
Bluetooth-PAN-Profil zulassen
•
Bluetooth-SPP zulassen
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
Verwalten von Datentransfer auf ein Gerät/von einem Gerät mithilfe von NFS
Dateien, die BlackBerry Balance- und regulierte BlackBerry Balance-Geräte von anderen Geräten mithilfe von NFS empfangen,
werden im Allgemeinen als persönliche Daten klassifiziert. Wenn jedoch eine geschäftliche App ein für die geschäftliche APP
spezifisches NFC-Tagformat unterstützt, werden die von einem Gerät empfangenen Dateien mit diesem NFC-Tag als
geschäftliche Daten klassifiziert.
Standardmäßig können Geräte NFC verwenden, um geschäftliche Dateien zu anderen NFC-fähigen Geräten zu übertragen. Sie
können zulassen oder verhindern, dass Benutzer geschäftliche Dateien in einem Dateiformat (zum Beispiel Bilder oder
Dokumente) mithilfe von NFC teilen, indem Sie die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien mit Bluetooth
OPP zulassen" anwenden. Unabhängig davon, wie diese IT-Richtlinienregel festgelegt wurde, können Geräte NFC verwenden,
um bestimmte MIME- oder URI-Dateitypen zu senden, wie zum Beispiel Webadressen und Telefonnummern an andere NFCfähige Geräte. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien über NFC zulassen" auch anwenden,
um zu verhindern, dass Benutzer geschäftliche Dateien an andere NFC-fähige Geräte über NFC senden.
Sie können auch verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit NFC aufbauen.
75
Verwalten der Gerätesicherheit mit BES12
Verwenden einer Smartcard mit BlackBerry 10Geräten
Sie können Smartcards mit BlackBerry 10-Geräten für Folgendes verwenden:
•
Zulassen, dass Benutzer sich mit ihren Smartcards authentifizieren und sich anmelden (dies wird als Zwei-FaktorAuthentifizierung bezeichnet)
•
Die Zertifikate importieren, die für S/MIME-Verschlüsselung erforderlich sind
•
App-Entwicklern erlauben, ihre eigenen gesicherten Lösungen mithilfe der BlackBerry 10-Plattform zu entwickeln
•
Die Zertifikate importieren, die für die Authentifizierung bei gesicherten Websites erforderlich sind
BlackBerry 10 unterstützt den integrierten microSD-Smart Card Reader in Geräten sowie externe Smart Card Reader und
umfasst systemeigene Smartcard-Treiber für standardisierte PIV- und CAC-Smartcards.
Um eine micrsoSD-Smartcard verwenden zu können, muss ein Benutzer die Smartcard in das Gerät einstecken und die
Smartcard-Einstellungen auf dem Gerät konfigurieren. Smartcard-Einstellungen umfassen Optionen wie z. B. LEDBenachrichtigungen beim Zugriff auf eine Smartcard in einem Gerät. Weitere Informationen zur Konfiguration eines Gerätes für
die Unterstützung einer microSD-Smartcard finden Sie im Benutzerhandbuch für das Gerät und im Benutzerhandbuch für die
microSD-Smartcard. Informationen zur Konfiguration eines Geräts für die Unterstützung eines externen Smart Card Readers
finden Sie im Benutzerhandbuch für den externen Smart Card Reader.
Um Apps auf dem Gerät auf die microSD-Smartcard zugreifen zu lassen, kann ein Benutzer die Smartcard-API im BlackBerry
10 Native SDK verwenden.
Aufheben der Bindung einer Smartcard an ein Gerät
Die Bindung zwischen der aktuellen Smartcard eines Benutzers und einem BlackBerry 10-Gerät wird aufgehoben, wenn:
•
Sie oder ein Benutzer das Gerät löschen. Während dieses Vorgangs löscht das Gerät die SmartcardBindungsinformationen aus dem Gerätespeicher. Wenn der Vorgang abgeschlossen ist, kann sich der Benutzer
mithilfe einer neuen Smartcard bei dem Gerät authentifizieren. Sie können durch das Senden des ITAdministrationsbefehls "Alle Daten löschen" oder des IT-Administrationsbefehls "Nur Geschäftsdaten löschen" Daten
von dem Gerät löschen.
•
Sie oder ein Benutzer die Zwei-Faktor-Authentifizierung deaktivieren. Während dieses Vorgangs deaktiviert das Gerät
die Zwei-Faktor-Authentifizierung mit der installierten Smartcard und löscht die Smartcard-Bindungsinformationen
von dem Gerät.
76
Verwalten der Gerätesicherheit mit BES12
Authentifizieren eines Benutzers mithilfe einer Smartcard
Wenn Sie oder ein Benutzer die Zwei-Faktor-Authentifizierung auf einem BlackBerry 10-Gerät aktivieren, muss sich der
Benutzer mithilfe einer Smartcard bei dem Gerät authentifizieren. Benutzer müssen ihre Identität durch das Darlegen von zwei
Faktoren nachweisen:
•
Was sie haben (die Smartcard)
•
Was sie wissen (das Smartcard-Kennwort)
Wenn Sie oder ein Benutzer die Zwei-Faktor-Authentifizierung auf dem Gerät aktivieren, treten die folgenden Ereignisse auf:
1.
Der Benutzer wird von dem Gerät zu Folgendem aufgefordert:
•
Das Gerätekennwort einzugeben, wenn Sie oder der Benutzer das Gerät dazu konfiguriert haben, Zwei-FaktorAuthentifizierung für das gesamte Gerät erforderlich zu machen.
•
Das Kennwort für den geschäftlichen Bereich einzugeben, wenn Sie oder der Benutzer das Gerät dazu
konfiguriert haben, Zwei-Faktor-Authentifizierung für den geschäftlichen Bereich erforderlich zu machen.
Wenn der Benutzer kein Gerätekennwort oder kein Kennwort für den geschäftlichen Bereich konfiguriert hat, kann ZweiFaktor-Authentifizierung nicht konfiguriert werden. Die Geräteaktivierungsart und die IT-Richtlinienregeleinstellungen
bestimmen, welche Smartcard-Einstellungen auf einem Gerät für Zwei-Faktor-Authentifizierung verfügbar sind.
2.
Das Gerät fordert den Benutzer auf, das Smartcard-Kennwort einzugeben, um Zwei-Faktor-Authentifizierung mit der
installierten Smartcard zu aktivieren.
Verwalten, wie Geräte Smartcards verwenden
Sie können die folgenden IT-Richtlinienregeln verwenden, um zu steuern, wie Geräte Smartcards verwenden. Die verfügbaren
IT-Richtlinienregeln hängen von der Aktivierungsart ab:
IT-Richtlinienregel
Zwei-Faktor-Authentifizierung
Zwei-Faktor-Authentifizierung
nur für geschäftlichen Bereich
Anforderungen
Beschreibung
•
Reguliertes BlackBerry BalanceGerät
•
Gerät, das nur über einen
geschäftlichen Bereich verfügt
•
BlackBerry 10 OS (Version 10.3 und
höher)
•
Reguliertes BlackBerry BalanceGerät
•
Gerät, das nur über einen
geschäftlichen Bereich verfügt
77
Sie können diese Regel verwenden, um zu
bestimmen, ob Zwei-Faktor-Authentifizierung
erforderlich, zugelassen oder nicht zugelassen
sein soll.
Über diese IT-Richtlinienregel können Sie
angeben, ob Benutzer auch das Kennwort für
den geschäftlichen Bereich eingeben
müssen, um den geschäftlichen Bereich zu
entsperren, oder ob dafür nur die Smartcard
Verwalten der Gerätesicherheit mit BES12
IT-Richtlinienregel
Zwei-Faktor-Authentifizierung
für geschäftliche Zwecke
zuweisen
Caching von SmartcardKennwörtern
Kennworteingabe für
Smartcard
Anforderungen
•
BlackBerry 10 OS (Version 10.3 und und das Smartcard-Kennwort erforderlich
sind.
höher)
•
•
Wenn Zwei-Faktor-Authentifizierung
eingeschaltet wird, können Sie diese Regel
verwenden, um zu bestimmen, ob ZweiBlackBerry 10 OS (Version 10.3 und
Faktor-Authentifizierung verwendet werden
höher)
kann, um den geschäftlichen Bereich, das
Gerät oder beides zu entsperren.
•
BlackBerry Balance-Geräte
•
Reguliertes BlackBerry BalanceGerät
•
Gerät, das nur über einen
geschäftlichen Bereich verfügt
•
BlackBerry 10 OS (Version 10.3 und
höher)
•
Sie können diese Regel verwenden, um zu
bestimmen, ob ein Gerät die
Reguliertes BlackBerry BalanceKennworteingabe für Smartcard mit ZweiGerät
Faktor-Authentifizierung verwenden kann. Die
Gerät, das nur über einen
Kennworteingabe für Smartcard ermöglicht
geschäftlichen Bereich verfügt
einem Benutzer, numerische Kennwörter auf
BlackBerry 10 OS (Version 10.3 und dem Gerät einzugeben, ohne die Alt-Taste zu
höher)
drücken, und vervollständigt das Feld für das
Gerätekennwort oder für das Kennwort für
den geschäftlichen Bereich automatisch,
wenn das Gerätekennwort oder das Kennwort
für den geschäftlichen Bereich und das
Smartcard-Kennwort identisch sind.
•
•
•
Sperren beim Entfernen der
Smartcard
Beschreibung
•
•
•
•
Reguliertes BlackBerry BalanceGerät
Sie können diese Regel verwenden, um zu
bestimmen, ob ein Gerät das SmartcardKennwort im Cache-Speicher speichern kann.
Das zwischengespeicherte Kennwort wird im
Geräte-RAM gespeichert.
BlackBerry Balance-Geräte
Sie können diese Regel verwenden, um zu
bestimmen, ob ein Gerät oder der
Reguliertes BlackBerry Balancegeschäftliche Bereich auf einem Gerät
Gerät
gesperrt wird, wenn ein Benutzer die
Gerät, das nur über einen
Smartcard aus einem unterstützen Smart
geschäftlichen Bereich verfügt
Card Reader entfernt oder einen unterstützten
BlackBerry 10 OS (Version 10.3 und Smart Card Reader vom Gerät trennt.
höher)
BlackBerry Balance-Geräte
78
Verwalten der Gerätesicherheit mit BES12
Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/
detectLang/bes12/current/policy-reference-spreadsheet-zip/.
79
Wie BES12 Ihre Daten während der Übertragung schützt
Wie BES12 Ihre Daten während der
Übertragung schützt
4
Daten, die zwischen Geräten und den Ressourcen Ihres Unternehmens hin- und hergesendet werden, werden je nach
Datenpfad mit verschiedenen Methoden geschützt.
Zwischen den Mail-, Web- und Inhaltsservern Ihres Unternehmens und Geräten übertragene Daten können direkt über ein
geschäftliches VPN, ein geschäftliches Wi-Fi-Netzwerk oder in Abhängigkeit von der Aktivierungsart und den gewählten
Optionen des Geräts auch über BES12 und die BlackBerry Infrastructure gesendet werden.
Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile oder IT-Administrationsbefehle und erforderliche Apps aus
Ihrem Unternehmensnetzwerk an Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure gesendet, selbst
wenn das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist.
Unabhängig vom Typ und Pfad der Daten werden die Daten verschlüsselt und über gegenseitig authentifizierte Verbindungen
geleitet. Die Daten können nicht von der BlackBerry Infrastructure oder an einem anderen Punkt auf dem Übertragungsweg
entschlüsselt werden.
Schutz von Daten während der Übertragung
über die BlackBerry Infrastructure
Daten, die zwischen Geräten und Ihren Ressourcen übertragen werden, durchlaufen die BlackBerry Infrastructure unter den
folgenden Umständen:
•
BES12 sendet interne Apps und alle Geräteverwaltungsdaten, wie IT-Richtlinien, Profile und ITAdministrationsbefehle, durch die BlackBerry Infrastructure an die Geräte, selbst wenn diese mit einem
geschäftlichen VPN oder einem Wi-Fi-Geschäftsnetzwerk verbunden sind.
•
Die zwischen einem Gerät und dem Mail-, Web- oder Inhaltsserver Ihres Unternehmens übertragenen Daten
durchlaufen BES12 und die BlackBerry Infrastructure nur dann, wenn BlackBerry Secure Connect Plus oder die
Enterprise-Konnektivität eingeschaltet sind und das Gerät nicht mit einem geschäftlichen VPN oder einem Wi-FiGeschäftsnetzwerk verbunden ist.
Enterprise-Konnektivität ist für BlackBerry 10-Geräte immer aktiviert und kann für Geräte mit Secure Work Space konfiguriert
werden.Geräte mit BlackBerry 10, Samsung KNOX Workspace und Android for Work-Geräte mit Android for Work-PremiumAktivierung können BlackBerry Secure Connect Plus nutzen.
80
Wie BES12 Ihre Daten während der Übertragung schützt
Schützen von Geräteverwaltungsdaten, die
zwischen BES12 und Geräten gesendet werden
Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile, IT-Administrationsbefehle und interne Apps aus Ihrem
Unternehmensnetzwerk an Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure gesendet, selbst wenn
das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist.
Während des Aktivierungsvorgangs wird eine TLS-Verbindung mit gegenseitiger Authentifizierung zwischen BES12 und dem
BlackBerry 10-Gerät, dem Windows 10-Gerät oder dem BES12 Client auf einem iOS-, Android- oder Windows Phone-Gerät mit
Version 8.x hergestellt. Wenn BES12 Konfigurationsinformationen an ein Gerät senden muss und BES12 und das Gerät eine
TLS-Verbindung zum Schützen der Daten verwenden.
Senden von Geräteverwaltungsdaten zwischen Geräten und
BES12
Wenn BES12 Geräteverwaltungsdaten an Geräte sendet und Geräte Daten an BES12 zurücksenden, werden die Daten stets
über die BlackBerry Infrastructure übermittelt.
81
Wie BES12 Ihre Daten während der Übertragung schützt
Verwendete Verschlüsselungsarten zum Senden von
Geräteverwaltungsdaten an Geräte
Für das Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 werden verschiedene Verschlüsselungsarten
verwendet.
Authentifizierung von BES12 bei der BlackBerry
Infrastructure
Zum Schutz der Daten während der Übertragung zwischen BES12 und der BlackBerry Infrastructure ist eine gegenseitige
Authentifizierung von BES12 und BlackBerry Infrastructure vor der Übertragung der Daten erforderlich.Je nach den gewählten
Verbindungsoptionen verwenden BES12 und die BlackBerry Infrastructure je nach Typ der gesendeten Daten unterschiedliche
Authentifizierungsmethoden:
•
Wenn BES12 Geräteverwaltungsdaten an ein beliebiges Gerät sendet oder geschäftliche Daten von Mail-, Web-, oder
Inhaltsservern Ihres Unternehmens über Enterprise-Konnektivität an Secure Work Space-Geräte sendet, nutzen
BES12 und BlackBerry Infrastructure eine gegenseitig authentifizierte TLS-Verbindung, die AES-256 zum Schutz der
Daten beim Transport verwendet.
•
Wenn BES12 Geschäftsdaten vom Mail-, Web- oder Inhaltsserver Ihres Unternehmens an BlackBerry 10-Geräte
mittels Enterprise-Konnektivität über die BlackBerry Infrastructure sendet, verwendet BES12 SRP zur
Authentifizierung bei und Verbindung mit der BlackBerry Infrastructure.
•
Wenn BES12 geschäftliche Daten von Mail-, Web-, oder Inhaltsservern Ihres Unternehmens über die BlackBerry
Secure Connect Plus an Geräte mit BlackBerry 10, Samsung KNOX Workspace oder Android for Work sendet,
verwendet es SRP für die Authentifizierung mit dem BlackBerry Infrastructure und stellt dann einen sicheren IPTunnel mit DTLS zwischen BES12 und dem Gerät her.
82
Wie BES12 Ihre Daten während der Übertragung schützt
Nachdem BES12 und die BlackBerry Infrastructure eine SRP-Verbindung hergestellt haben, baut BES12 eine permanente
TCP/IP-Verbindung über TCP-Port 3101 auf, über die Daten an die BlackBerry Infrastructure gesendet werden können.
SRP ist ein proprietäres Punkt-zu-Punkt-Protokoll, das über TCP/IP ausgeführt wird. BES12 verwendet SRP zum Kontaktieren
der BlackBerry Infrastructure und zum Herstellen einer Verbindung. Wenn BES12 und die BlackBerry Infrastructure eine
Verbindung herstellen, führen sie die folgenden Aktionen aus:
•
Gegenseitige Authentifizierung
•
Austausch von Konfigurationsinformationen
•
Senden und Empfangen von Daten
Datenfluss: Authentifizieren von BES12 bei der BlackBerry
Infrastructure beim Senden von Geräteverwaltungsdaten
Dieser Datenfluss gilt auch für das Senden von geschäftlichen Daten mithilfe der Enterprise-Konnektivität an Secure Work
Space-Geräte.
1.
BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung.
2.
Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12.
3.
BES12 führt die folgenden Aktionen aus:
4.
•
Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde
•
Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung
•
Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an
die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern
Die BlackBerry Infrastructure überprüft den von BES12 gesendeten SRP-Bezeichner und -Authentifizierungsschlüssel
und führt eine der folgenden Aktionen aus:
•
Wenn die Anmeldeinformationen gültig sind, wird eine Bestätigung an BES12 gesendet, um den
Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren
•
Wenn die Anmeldedaten nicht gültig sind, wird der Authentifizierungsvorgang gestoppt und die SRP-Verbindung
geschlossen.
Datenfluss: Authentifizieren von BES12 bei der BlackBerry
Infrastructure beim Senden von Geschäftsdaten an Geräte
83
Wie BES12 Ihre Daten während der Übertragung schützt
1.
BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung.
2.
Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12.
3.
BES12 führt die folgenden Aktionen aus:
•
Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde
•
Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung
•
Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an
die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern
4.
Die BlackBerry Infrastructure sendet eine zufällige Challenge-Zeichenfolge an BES12.
5.
BES12 sendet eine Challenge-Zeichenfolge an die BlackBerry Infrastructure.
6.
Die BlackBerry Infrastructure hashcodiert die von BES12 empfangene Challenge-Zeichenfolge mit dem SRPAuthentifizierungsschlüssel mittels HMAC und dem SHA-1-Algorithmus. Die BlackBerry Infrastructure sendet den
resultierenden 20-Byte-Wert als Challenge-Antwort an BES12.
7.
BES12 hashcodiert die von der BlackBerry Infrastructure empfangene Challenge-Zeichenfolge mit dem SRPAuthentifizierungsschlüssel und sendet das Ergebnis als Challenge-Antwort an die BlackBerry Infrastructure.
8.
Die BlackBerry Infrastructure führt eine der folgenden Aktionen durch:
•
Akzeptiert die Challenge-Antwort und sendet eine Bestätigung an den BES12, um den
Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren
•
Lehnt die Challenge-Antwort ab
Wenn die BlackBerry Infrastructure die Challenge-Antwort ablehnt, ist der Authentifizierungsprozess nicht erfolgreich. Die
BlackBerry Infrastructure und der BES12 schließen die SRP-Verbindung.
Wenn BES12 fünfmal innerhalb einer Minute den gleichen SRP-Authentifizierungsschlüssel und die gleiche SRP-ID zum
Herstellen (und anschließenden Trennen) einer Verbindung mit der BlackBerry Infrastructure verwendet, deaktiviert die
BlackBerry Infrastructure die SRP ID, um zu verhindern, dass sie von einem Angreifer zur Schaffung von Bedingungen für
einen Denial-of-Service (DoS)-Angriff missbraucht werden kann.
84
Wie BES12 Ihre Daten während der Übertragung schützt
Wie Geräte eine Verbindung zur BlackBerry
Infrastructure herstellen
Geräte und die BlackBerry Infrastructure senden sich gegenseitig alle Daten über eine TLS-Verbindung zu. Die TLS-Verbindung
verschlüsselt die Daten, die von den Geräten und der BlackBerry Infrastructure hin und her gesendet werden.
Wenn ein Angreifer versucht, sich als die BlackBerry Infrastructure auszugeben, verhindern die Geräte den Aufbau der
Verbindung. Die Geräte verifizieren, ob der öffentliche Schlüssel des TLS-Zertifikats für die BlackBerry Infrastructure mit dem
privaten Schlüssel des Stammzertifikats übereinstimmt, das während der Herstellung auf den BlackBerry 10-Geräten
vorinstalliert wird und das auf anderen Geräten während des Aktivierungsprozesses installiert wird. Wenn ein Benutzer ein
ungültiges Zertifikat akzeptiert, kann die Verbindung nur dann hergestellt werden, wenn das Gerät auch mit einer gültigen
BES12-Instanz authentifiziert werden kann.
Verschlüsselung der BlackBerry Infrastructure-Verbindung
Bei einer BlackBerry Infrastructure-Verbindung stellt ein Gerät über einen beliebigen drahtlosen Zugriffspunkt, die BlackBerry
Infrastructure, die Firewall Ihres Unternehmens und den BES12 eine Verbindung zu den Ressourcen Ihres Unternehmens her.
Wi-Fi-Verschlüsselung wird nur verwendet, wenn der drahtlose Zugriffspunkt für die Verwendung der Verschlüsselung
eingerichtet ist.
Datenfluss: Herstellen einer TLS-Verbindung zwischen der
BlackBerry Infrastructure und einem Gerät
1.
Ein Gerät sendet eine Anforderung zum Herstellen einer TLS-Verbindung an die BlackBerry Infrastructure.
2.
Die BlackBerry Infrastructure sendet ihr TLS-Zertifikat an das Gerät.
85
Wie BES12 Ihre Daten während der Übertragung schützt
3.
Das Gerät überprüft das TLS-Zertifikat mit einem Stammzertifikat, das auf dem Gerät während der Fertigung oder des
Aktivierungsprozesses vorinstalliert wurde.
4.
Das Gerät stellt die TLS-Verbindung her.
Verbinden von Geräten mit Ihren Ressourcen
BlackBerry 10-Geräte, Geräte mit Secure Work Space, bei denen Enterprise-Konnektivität aktiviert ist, und Geräte mit Samsung
KNOX Workspace oder Android for Work können sich über BlackBerry Secure Connect Plus über mehrere
Kommunikationsmethoden mit Ihren Unternehmensressourcen (z. B. Mail-Server, Web-Server und Inhaltsserver) verbinden.
Standardmäßig versuchen die Geräte, mithilfe der folgenden Kommunikationsmethoden eine Verbindung zu den Ressourcen
Ihres Unternehmens herzustellen. Der Reihe nach:
1.
Geschäftliche VPN-Profile, die Sie konfigurieren
2.
Geschäftliche Wi-Fi-Profile, die Sie konfigurieren
3.
BlackBerry Infrastructure und BES12
4.
Persönliche VPN- oder Wi-Fi-Einstellungen, die ein Benutzer auf dem Gerät konfiguriert
Standardmäßig können geschäftliche Apps auf den Geräten ebenfalls jede dieser Kommunikationsmethoden verwenden, um
auf die Ressourcen in Ihrer Unternehmensumgebung zuzugreifen.
86
Wie BES12 Ihre Daten während der Übertragung schützt
Schutz von Daten während der Übertragung zwischen
BlackBerry 10 Geräten und Ihren Ressourcen
Bevor BES12 oder ein BlackBerry 10-Gerät Daten über die BlackBerry Infrastructure zwischen dem Gerät und dem Mail-, Weboder Inhaltsserver Ihres Unternehmens sendet, komprimiert er bzw. es die Daten, verschlüsselt sie mithilfe von
Nachrichtenschlüsseln und verschlüsselt die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts. Wenn BES12
oder ein Gerät die Daten empfängt, entschlüsselt es die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts und
entschlüsselt und dekomprimiert die Daten. Dieser Prozess wird als BlackBerry-Transportschichtverschlüsselung bezeichnet.
Daten, die zwischen Geräten und den Servern Ihres Unternehmens übertragen und über die TCP/IP-Verbindung zwischen
BES12 und BlackBerry Infrastructure gesendet werden, sind sicher, da die Daten an keinem Zwischenpunkt zwischen BES12
und dem Gerät erneut entschlüsselt und verschlüsselt werden.
Kein Datenverkehr, der von Geräten über die BlackBerry Infrastructure gesendet wird, kann Ihre Unternehmensressourcen
erreichen, solange BES12 die Daten nicht mit einem gültigen Transportschlüssel für das Gerät entschlüsseln kann.
BES12 und die Geräte verwenden AES-256 im CBC-Modus als symmetrischen Algorithmus für die BlackBerryTransportschichtverschlüsselung.
Schlüssel zum Gerätetransport
Der Transportschlüssel des Geräts verschlüsselt die Nachrichtenschlüssel, durch die die Daten bei der Übertragung zwischen
den Unternehmensressourcen und den BlackBerry 10-Geräten, die über BES12 und die BlackBerry Infrastructure gesendet
werden, geschützt werden. BES12 und ein Gerät generieren den Transportschlüssel des Geräts, wenn ein Benutzer das Gerät
aktiviert.
Der Wert des Transportschlüssels des Geräts ist nur BES12 und dem Gerät bekannt. Datenpakete, deren Format nicht erkannt
wird, oder deren Gerätetransportschlüssel, durch den das Datenpaket geschützt wird, nicht erkannt wird, werden abgelehnt.
Geräte speichern ihre Transportschlüssel in einer Schlüsselspeicherdatenbank im Flash-Speicher. Die
Schlüsselspeicherdatenbank verhindert, dass Angreifer die Gerätetransportschlüssel auf einen Computer kopieren können,
indem sie versuchen, eine Sicherung davon abzulegen. Angreifer können keine Schlüsseldaten aus dem Flash-Speicher
extrahieren.
Generieren des Gerätetransportschlüssels für ein Gerät
Wenn ein Benutzer ein BlackBerry 10-Gerät aktiviert, sendet das Gerät eine CSR an BES12. BES12 erstellt anhand der CSR ein
Client-Zertifikat, signiert das Client-Zertifikat mit seinem Verwaltungsstammzertifikat des Unternehmens und sendet das ClientZertifikat und das Verwaltungsstammzertifikat des Unternehmens an das Gerät. Um die Verbindung zwischen dem Gerät und
BES12 während des Zertifikataustauschs zu schützen, erstellen das Gerät und BES12 mithilfe des Aktivierungskennworts und
der EC-SPEKE einen kurzlebigen symmetrischen Schlüssel.
Sobald der Zertifikataustausch abgeschlossen ist, stellen das Gerät und BES12 unter Verwendung des Client-Zertifikats und des
Server-Zertifikats eine gegenseitig authentifizierte TLS-Verbindung her. Das Gerät verifiziert das Server-Zertifikat mithilfe des
Verwaltungsstammzertifikats des Unternehmens.
87
Wie BES12 Ihre Daten während der Übertragung schützt
Um den Transportschlüssel des Geräts zu generieren, verwenden das Gerät und BES12 die authentifizierten, langfristig
geltenden öffentlichen Schlüssel, die mit dem Clientzertifikat und dem Serverzertifikat für BES12 verknüpft sind, sowie ECMQV.
Das ECMQV-Protokoll wird über die gegenseitig authentifizierte TLS-Verbindung verwendet. Die in ECMQV verwendete
elliptische Kurve entspricht der von NIST empfohlenen 521-Bit-Kurve.
BES12 und das Gerät senden den Transportschlüssel des Geräts nicht über das drahtlose Netzwerk, wenn der
Transportschlüssel des Geräts generiert wird oder Daten ausgetauscht werden.
Nachrichtenschlüssel
Durch Nachrichtenschlüssel wird die Integrität der Daten geschützt, die zwischen den Ressourcen Ihres Unternehmens und
den BlackBerry 10-Geräten über den BES12 und die BlackBerry Infrastructure übertragen werden.
BES12 und ein BlackBerry 10-Gerät generieren einen oder mehrere Nachrichtenschlüssel für alle Daten, die durch BES12 und
die BlackBerry Infrastructure geleitet werden. Wenn die Daten 2 KB überschreiten und aus mehreren Datenpaketen bestehen,
erstellen BES12 und das Gerät einen spezifischen Nachrichtenschlüssel für jedes Datenpaket.
Jeder Nachrichtenschlüssel besteht aus Zufallsdaten, so dass Dritte den Schlüssel nicht entschlüsseln, neu erstellen oder
duplizieren können.
BES12 und das Gerät speichern die Nachrichtenschlüssel nicht im permanenten Speicher. Sie setzen den mit den
Nachrichtenschlüsseln verknüpften Speicher frei, nachdem BES12 oder das Gerät die Daten mithilfe des
Nachrichtenschlüssels entschlüsselt hat.
Das Gerät verwendet Bit, die aus einer zufällig angeordneten Quelle auf dem Gerät abgerufen werden, um einen pseudozufälligen, hoch entropischen Nachrichtenschlüssel zu generieren.
Datenfluss: Erstellen eines Nachrichtenschlüssels auf einem Gerät
Ein BlackBerry 10-Gerät verwendet zum Generieren eines Nachrichtenschlüssels die DRBG-Funktion.
Zur Erstellung eines Nachrichtenschlüssels führt das Gerät die folgenden Aktionen aus:
1.
Ruft Zufallsdaten von mehreren Quellen zur Erstellung des Ausgangswerts ab. Das entsprechende Verfahren leitet das
Gerät aus der Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab
2.
Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays
3.
Fügt das 256-Byte-Zustandsarray in den ARC4-Verschlüsselungsalgorithmus ein, um das 256-Byte-Zustandsarray weiter
zu randomisieren
4.
Zieht 521 Byte aus dem ARC4-Byte-Zustandsarray
Das Gerät zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte (512 + 9 = 521), um
sicherzustellen, dass die Zeiger vor und nach dem Aufruf nicht an derselben Stelle sind und für den Fall, dass die ersten
paar Byte des ARC4-Zustandsarrays nicht zufällig sind.
5.
Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren
6.
Verwendet den 64-Byte-Wert als Ausgangswert für die DRBG-Funktion
88
Wie BES12 Ihre Daten während der Übertragung schützt
Das Gerät speichert eine Kopie des Ausgangswerts in einer Datei. Wenn das Gerät neu gestartet wird, liest das Programm
den Ausgangswert in der Datei und vergleicht den gespeicherten Ausgangswert mithilfe der XOR-Funktion mit dem neuen
Ausgangswert.
7.
Verwendet die DRBG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der AESVerschlüsselung
8.
Verwendet die Pseudo-Zufallsbits, um den Nachrichtenschlüssel zu erstellen
Weitere Informationen zur DRBG-Funktion finden Sie in NIST Special Publication 800-90.
Datenfluss: Generieren eines Nachrichtenschlüssels in BES12
Der BES12 verwendet die DSA PRNG-Funktion zum Generieren eines Nachrichtenschlüssels.
Zum Generieren eines Nachrichtenschlüssels führt der BES12 die folgenden Aktionen aus:
1.
Ruft Zufallsdaten von mehreren Quellen für den Ausgangswert ab. Das entsprechende Verfahren leitet der BES12 aus der
Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab
2.
Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays
BES12 fordert 512 Bit Zufallsdaten aus der Microsoft Cryptographic API an, um die Zufälligkeit der Daten zu erhöhen.
3.
Fügt das 256-Byte-Zustandsarray in den ARC4-Algorithmus ein, um das 256-Byte-Zustandsarray weiter zu randomisieren
4.
Zieht 521 Byte aus dem 256-Byte-Zustandsarray
BES12 zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte (512 + 9 = 521), um
sicherzustellen, dass die Zeiger vor und nach dem Generierungsvorgang nicht an derselben Stelle sind und für den Fall,
dass die ersten paar Byte des 256-Byte-Zustandsarrays nicht zufällig sind.
5.
Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren
6.
Verwendet den 64-Byte-Wert als Ausgangswert für die DSA PRNG-Funktion
7.
Verwendet die DSA PRNG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der
AES-Verschlüsselung
8.
Verwendet die Pseudo-Zufallsbits mit AES-Verschlüsselung zum Generieren des Nachrichtenschlüssels
Weitere Informationen zur DSA PRNG-Funktion erhalten Sie unter Federal Information Processing Standard – FIPS PUB 186-2.
Datenfluss: Senden von Daten von BlackBerry 10-Geräten über die BlackBerry
Infrastructure an Ihre Server
89
Wie BES12 Ihre Daten während der Übertragung schützt
1.
Das BlackBerry 10-Gerät führt die folgenden Aktionen aus:
a
Komprimiert die Daten
b
Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
d
Sendet die Daten über eine TCP-Verbindung an die BlackBerry Infrastructure
2.
Die BlackBerry Infrastructure sendet die Daten über eine permanente TCP/IP-Verbindung an BES12.
3.
BES12 führt die folgenden Aktionen aus:
a
Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
b
Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Dekomprimiert die Daten
d
Sendet die Daten an den Zielserver innerhalb der Firewall
Datenfluss: Senden von Daten von Ihren Servern an die BlackBerry 10-Geräte über die
BlackBerry Infrastructure
1.
Ein Mail-, Web- oder Inhaltsserver innerhalb der Firewall sendet die Daten an BES12.
90
Wie BES12 Ihre Daten während der Übertragung schützt
2.
BES12 führt die folgenden Aktionen aus:
a
Komprimiert die Daten
b
Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
d
Sendet die Daten über eine permanente TCP/IP-Verbindung an die BlackBerry Infrastructure
3.
Die BlackBerry Infrastructure sendet die Daten über eine TCP-Verbindung an das BlackBerry 10-Gerät.
4.
Das BlackBerry 10-Gerät führt die folgenden Aktionen aus:
a
Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts
b
Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln
c
Dekomprimiert die Daten
Schützen der Kommunikation zwischen Apps auf Ihren BlackBerry 10-Geräten und Ihrem
Unternehmensnetzwerk
BlackBerry 10-Geräte lassen geschäftliche Apps und persönliche Apps (auf Geräten mit einem persönlichen Bereich) zu, um
unter Verwendung eines verfügbaren Wi-Fi-Profils oder VPN-Profils eine Verbindung zu Ihrem Unternehmensnetzwerk
herzustellen. Wenn Sie Wi-Fi-Profile oder VPN-Profile mit dem BES12 konfigurieren, erlauben Sie persönlichen Apps, auf das
Netzwerk Ihres Unternehmens zuzugreifen.
Wenn die Sicherheitsanforderungen Ihres Unternehmens nicht zulassen, dass persönliche Apps auf das
Unternehmensnetzwerk zugreifen, können Sie die Verbindungsoptionen einschränken. Mithilfe der IT-Richtlinienregel
"Zulassen, dass persönliche Apps geschäftliche Netzwerke verwenden" können Sie verhindern, dass persönliche Apps das
Netzwerk Ihres Unternehmens verwenden, indem sie über Ihre geschäftliche Wi-Fi- oder VPN-Netzwerkverbindung auf das
Internet zugreifen.
Außerdem können Sie die Kommunikationsmethoden einschränken, über die Geräte über BES12 eine Verbindung mit Ihrem
Unternehmensnetzwerk herstellen können. Beschränken Sie dazu die Verbindungsoptionen auf den BlackBerry MDS
Connection Service und die BlackBerry Infrastructure. Persönliche Apps können über den BlackBerry MDS Connection Service
und die BlackBerry Infrastructure keine Verbindung zum Netzwerk Ihres Unternehmens herstellen.
Schützen von Daten, die mittels Push an Apps auf BlackBerry 10-Geräten übertragen wurden
91
Wie BES12 Ihre Daten während der Übertragung schützt
Der BlackBerry MDS Connection Service verbindet Push-Anwendungen, die auf den Anwendungsservern oder Webservern
Ihres Unternehmens gehostet werden, mit Apps auf BlackBerry 10-Geräten. Der BlackBerry MDS Connection Service sendet
von Push-Anwendungen empfangene Push-Anforderungen über die BlackBerry Infrastructure an Apps auf BlackBerry 10Geräten.
Bei Bedarf können Sie nur bestimmten Push-Anwendungen erlauben, Daten mittels Push an BlackBerry 10-Geräte zu
übertragen, und Sie können die Authentifizierung aktivieren, um zu verhindern, dass der BlackBerry MDS Connection Service
Daten von nicht autorisierten Push-Anwendungen sendet.
Zum Schutz der Verbindung zwischen Push-Anwendungen und dem BlackBerry MDS Connection Service können Sie TLS
verwenden. Push-Anwendungen können das selbstsignierte Zertifikat verwenden, das generiert wird, wenn Sie den BlackBerry
MDS Connection Service-Schlüsselspeicher konfigurieren, oder Sie können dem Schlüsselspeicher ein signiertes Zertifikat von
einer vertrauenswürdigen öffentlichen Zertifizierungsstelle hinzufügen.
Weitere Informationen zum BlackBerry MDS Connection Service finden Sie in der Dokumentation zur Konfiguration.
Schutz von Daten während der Übertragung zwischen Secure
Work Space Geräten und Ihren Ressourcen
Sie können für die Daten eines Geräts während der Übertragung einen zusätzlichen Schutz bereitstellen, unter anderem für
Authentifizierungsverbindungen und -sitzungen, und die Daten verschlüsseln, indem die Enterprise-Konnektivität bei einem
Gerät mit Secure Work Space aktiviert wird. Mit der Enterprise-Konnektivität vermeiden Sie, dass innerhalb der Firewall Ihres
Unternehmens eine direkte Verbindung mit dem Internet für die Geräteverwaltung und Drittanbieteranwendungen, bspw. den
Mailserver, die Zertifizierungsstelle und andere Web- oder Inhaltsserver, geöffnet wird. Die Enterprise-Konnektivität sendet den
gesamten Datenverkehr über die BlackBerry Infrastructure an BES12.
Weitere Informationen über Enterprise-Konnektivitäts-Profile finden Sie in der Dokumentation für Administratoren.
Verbindung eines Geräts mit Secure Work Space mit Enterprise-Konnektivität mit BES12
92
Wie BES12 Ihre Daten während der Übertragung schützt
Beim Zugriff auf Ihr Unternehmensnetzwerk stellt ein Gerät mit Enterprise-Konnektivität die Verbindung über einen Wi-FiZugriffspunkt oder ein Mobilfunknetz, die BlackBerry Infrastructure, die Firewall Ihres Unternehmens und BES12 her.
Die Geräte und die Ressourcen Ihres Unternehmens verwenden Tunneling für die Einkapselung verschiedener
Verschlüsselungsarten in der End-to-End-Verbindung. Man spricht von Tunneling (Tunneln), wenn Daten mit mehr als einer
Verschlüsselungsschicht verschlüsselt werden. Welche Art der Verschlüsselung verwendet wird, hängt von der Art der
Verbindung zwischen dem Gerät und der Ressource ab.
Die Daten, die das Gerät und BES12 untereinander austauschen, werden mithilfe der TLS-Verschlüsselung verschlüsselt.
Wurde der drahtlose Zugriffspunkt eingerichtet, um Wi-Fi-Verschlüsselung zu verwenden, verwenden die Daten, die das Gerät
und der drahtlose Zugriffspunkt austauschen, dieWi-Fi-Verschlüsselung. Da auf dem Gerät Tunneling verwendet wird, werden
die Daten, die das Gerät an BES12 sendet, während der Übertragung zwischen dem Gerät und dem drahtlosen Zugriffspunkt
zuerst durch TSL-Verschlüsselung und anschließend durch Wi-Fi-Verschlüsselung verschlüsselt.
Verschlüsselungstyp
Beschreibung
Wi-Fi-Verschlüsselung (IEEE 802.11)
Verschlüsselung wird für Daten verwendet, die bei der Verbindung zwischen einem
Gerät und einem drahtlosen Zugriffspunkt übertragen werden, wenn der drahtlose
Zugriffspunkt für die Verwendung der Wi-Fi-Verschlüsselung eingerichtet wurde.
TLS-Verschlüsselung
Verschlüsselt die Daten für die Verbindung zwischen einem Gerät und BES12
mithilfe des TLS-Protokolls mit dem Algorithmus AES-256.
SSL/TLS-Verschlüsselung
Verschlüsselt die Daten für die Sitzung zwischen einem Gerät und einem Inhalts-,
Web- oder Nachrichtenserver, der Exchange ActiveSync verwendet. Die
Verschlüsselung für diese Sitzung muss separat auf jedem Server eingerichtet
werden. Hierbei wird für jeden Server ein separates Zertifikat verwendet. Auf dem
Server kann je nach Einrichtung SSL oder TLS verwendet werden.
93
Wie BES12 Ihre Daten während der Übertragung schützt
Authentifizierung des Benutzers am BES12 Client
Der BES12 Client authentifiziert den Gerätebenutzer bei BES12 und verwendet hierzu ein von BES12 signiertes Zertifikat. Diese
Authentifizierung erfolgt, bevor BES12 gesicherte Apps per Push auf das Gerät überträgt. Wenn die Authentifizierung
erfolgreich ist, sendet BES12 die Bereitstellungsdaten an den BES12 Client.
Wenn die gesicherten Apps auf das Gerät übertragen werden und eine gesicherte App geöffnet wird, sendet der BES12 Client
die Bereitstellungsdaten an Secure Work Space. Secure Work Space verwendet die Bereitstellungsdaten zum Herstellen einer
Verbindung an BES12.
Verschlüsselung und Sicherheit für geschäftliche Daten bei der Übertragung
Die Übertragung gesicherter Apps (z. B. E-Mail- und Kalenderdaten) erfolgt über TLS-authentifizierte Sitzungen für die
Datenverschlüsselung zwischen dem Gerät und BES12. Für diesen Datenverkehr werden SSL- oder TLS-Verschlüsselung zum
Verschlüsseln der Sitzung zwischen dem Gerät und dem Inhaltsserver, Web- oder E-Mail-Server eingesetzt, der Exchange
ActiveSync verwendet.
Für gesicherte Apps mit Enterprise-Konnektivität werden zudem eine API-seitige Authentifizierung und die Validierung per
Sitzungs-Token bereitgestellt. Bei der API-Authentifizierung verwendet jede API-Kommunikationsmethode eine eindeutige
Methode für den Aufbau einer vertrauenswürdigen Beziehung. Wenn die Sicherheit einer der Methoden beeinträchtigt werden
sollte, sind andere Methoden weiterhin sicher. Die Validierung per Sitzungs-Token wird für die Identifizierung des Geräts bei der
Bereitstellung verwendet. Einige APIs nutzen das Sitzungs-Token, abhängig vom Sicherheitskontext.
Speichern und Schützen von Authentifizierungszertifikaten
BES12 und der BES12 Client auf dem Gerät mit Secure Work Space sichern den Kanal und speichern jeweils eine Kopie des
Authentifizierungszertifikats. Der BES12 Client speichert das Zertifikat im sicheren Dateisystem. Gesicherte Apps verwenden
die Verwendung des Zertifikats für die Kommunikation mit BES12 über den sicheren Kanal.
Innerhalb des sicheren Kanals kann eine gesicherte App von Dritten einen zweiten sicheren Kanal für die Authentifizierung mit
Webseiten einrichten. Hierfür verwendet die App den zugrundeliegenden Schlüsselspeicher des Geräts (z. B. den iOSSchlüsselspeicher).
Schutz von Daten während der Übertragung mit BlackBerry
Secure Connect Plus
Die BES12-Komponente BlackBerry Secure Connect Plus bietet einen sicheren IP-Tunnel zwischen Apps für den
geschäftlichen Bereich auf BlackBerry 10-, Samsung KNOX Workspace- und Android for Work-Geräten und dem Netzwerk
Ihres Unternehmens. Über diesen Tunnel haben Benutzer Zugriff auf Ressourcen hinter der Firewall Ihres Unternehmens,
wobei die Sicherheit der Daten mithilfe von Standardprotokollen und durchgehender Verschlüsselung sichergestellt wird.
BlackBerry Secure Connect Plus und ein unterstütztes Gerät stellen einen sicheren IP-Tunnel her, wenn eine Verbindung zu
Ihrem geschäftlichen Wi-Fi-Netzwerk oder VPN nicht verfügbar ist.
94
Wie BES12 Ihre Daten während der Übertragung schützt
Unterstützte Geräte kommunizieren mit BES12 über die BlackBerry Infrastructure, um den sicheren Tunnel herzustellen.
Solange der Tunnel geöffnet ist, hat jede App im geschäftlichen Bereich Zugriff auf Netzwerkressourcen. Sobald der Tunnel
nicht mehr benötigt wird (zum Beispiel, wenn der Benutzer in den Empfangsbereich des geschäftlichen Wi-Fi-Netzwerks
zurückkehrt), wird er von BlackBerry Secure Connect Plus geschlossen.
Wie BlackBerry Secure Connect Plus einen sicheren IP-Tunnel herstellt
Nachdem BES12 und das Gerät ermittelt haben, dass ein sicherer IP-Tunnel die beste verfügbare Methode zur Verbindung
geschäftlicher Apps mit dem Netzwerk des Unternehmens ist, verhandeln das Gerät und BES12 die Tunnelparameter über die
BlackBerry Infrastructure.
Der hergestellte Tunnel ist authentifiziert und durchgehend mit DTLS verschlüsselt. Er unterstützt Standard-IPv4-Protokolle
(TCP und UDP). BlackBerry Secure Connect Plus verschlüsselt und entschlüsselt Datenverkehr mit FIPS-140-zertifizierten
Certicom-Bibliotheken mit Cipher Suites für RSA und ECC-Schlüsseln.
Datenfluss: Erstellung eines sicheren IP-Tunnels durch BlackBerry Secure Connect Plus
1.
BES12 und das Gerät erkennen, dass ein sicherer IP-Tunnel die beste verfügbare Methode zur Verbindung zwischen Apps
im geschäftlichen Bereich und dem Netzwerk Ihres Unternehmens ist.
2.
Das Gerät sendet ein Signal über TLS an die BlackBerry Infrastructure, um einen sicheren Tunnel zum Netzwerk des
Unternehmens anzufordern.
3.
BlackBerry Secure Connect Plus empfängt das Signal über Port 3101 von der BlackBerry Infrastructure.
4.
Das Gerät und BlackBerry Secure Connect Plus handeln die Tunnelparameter aus und erstellen einen sicheren Tunnel
durch die BlackBerry Infrastructure. Der Tunnel ist authentifiziert und durchgehend mit DTLS verschlüsselt.
95
Wie BES12 Ihre Daten während der Übertragung schützt
Verbinden mit einem VPN
VPN-Profile werden nur auf Geräten mit BlackBerry 10, iOS, Samsung KNOX MDM, KNOX Workspace und Windows
10unterstützt.
Wenn Ihre Unternehmensumgebung VPNs umfasst, z. B. IPSec- oder SSL-VPNs, können Sie Geräte zur Authentifizierung bei
einem VPN für den Zugriff auf das Netzwerk des Unternehmens konfigurieren. Ein VPN stellt einen verschlüsselten Tunnel
zwischen einem Gerät und dem Netzwerk bereit.
Eine VPN-Lösung besteht aus einem VPN-Client auf einem Gerät und einem VPN-Konzentrator. Das Gerät kann den VPN-Client
zur Authentifizierung mit dem VPN-Konzentrator verwenden, der als Gateway zum Unternehmensnetzwerk fungiert. Jedes
Gerät enthält einen integrierten VPN-Client, der mehrere VPN-Konzentratoren unterstützt. Je nach VPN-Lösung ist es
möglicherweise erforderlich, dass auf dem Gerät eine Client-App installiert wird. Der VPN-Client auf dem Gerät unterstützt zur
Authentifizierung mit dem VPN-Konzentrator die Verwendung einer starken Verschlüsselung. Er erstellt einen verschlüsselten
Tunnel zwischen dem Gerät und dem VPN-Konzentrator, über den das Gerät und das Unternehmensnetzwerk kommunizieren
können.
Verschlüsselung einer VPN-Verbindung
Bei einer VPN-Verbindung stellen Geräte über einen drahtlosen Zugriffspunkt oder ein Mobilfunknetz, die Firewall und den
VPN-Server des Unternehmens eine Verbindung mit den Ressourcen des Unternehmens her. Wi-Fi-Verschlüsselung wird
verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet ist.
Das Gerät kann für die Verbindung die Authentifizierung auf Kennwort- oder Zertifikatbasis verwenden.
VPN bei Bedarf für iOS-Geräte
Mit VPN bei Bedarf können Sie festlegen, ob ein iOS-Gerät automatisch eine Verbindung zu einem VPN in einer bestimmten
Domäne aufbaut. Client-Zertifikate liefern dem Benutzergerät die Authentifizierung, wenn auf diese bestimmte Domäne
zugegriffen wird. Sie können z. B. die Domäne Ihres Unternehmens angeben, um Benutzern den Zugriff auf den Inhalt Ihres
Intranets mithilfe von VPN bei Bedarf zu gestatten.
96
Wie BES12 Ihre Daten während der Übertragung schützt
Per App VPN für Apps und App-Gruppen
Sie können Per App VPN auf iOS- und Windows 10-Geräten verwenden, um zu bestimmen, welche geschäftlichen Apps und
gesicherten Apps auf Geräten ein VPN für die Datenübertragung verwenden müssen. Per App VPN trägt zur Senkung der
Belastung Ihres Unternehmens-VPN bei, indem nur bestimmter geschäftlicher Datenverkehr für die Verwendung des VPN
freigegeben wird (bspw. Zugriff auf Anwendungsserver oder Webseiten hinter der Firewall). Diese Funktion unterstützt auch die
Privatsphäre des Benutzers und erhöht die Verbindungsgeschwindigkeit für persönliche Apps, indem der persönliche
Datenverkehr nicht über das VPN gesendet wird.
Weitere Informationen über Per App VPN finden Sie in der Dokumentation für Administratoren.
Schützen der Kommunikation mit Geräten
mithilfe von Zertifikaten
Ein Zertifikat ist ein digitales Dokument, das die Identität und den öffentlichen Schlüssel eines Zertifikatempfängers
miteinander verknüpft. Für jedes Zertifikat ist ein entsprechender privater Schlüssel vorhanden, der getrennt gespeichert wird.
Eine Zertifizierungsstelle signiert die Zertifikate und bescheinigt so ihre Glaubwürdigkeit.
Je nach Gerätefunktionen und Aktivierungsart können Zertifikate auf Geräten für Folgendes verwendet werden:
•
Authentifizieren mittels SSL/TLS, wenn die Geräte eine Verbindung zu Webseiten herstellen, die HTTPS verwenden
•
Authentifizieren mit einem geschäftlichen Mailserver
•
Authentifizieren bei einem geschäftlichen Wi-Fi-Netzwerk und, sofern die Geräte dies unterstützen, bei einem VPN
•
Verschlüsseln und Signieren von E-Mail-Nachrichten mittels S/MIME-Schutz (nur unterstützte Geräte)
Bereitstellen von Client-Zertifikaten für Geräte
Viele Zertifikate, die für verschiedene Zwecke verwendet werden, können auf einem Gerät gespeichert werden. Sie können
Client-Zertifikate auf verschiedene Arten auf Geräten bereitstellen.
So wird das Zertifikat
hinzugefügt
Beschreibung
Unterstützte Geräte
Während der
Geräteaktivierung
BES12 sendet während des Aktivierungsprozesses Zertifikate Alle
an Geräte. Die Geräte verwenden diese Zertifikate, um sichere
Verbindungen zwischen dem Gerät und BES12 herzustellen.
SCEP-Profile
Sie können SCEP-Profile erstellen, die Geräte verwenden, um
Clientzertifikate von einer SCEP-kompatiblen Microsoft- oder
Entrust-Zertifizierungsstelle anzufordern und zu erhalten. Die
97
•
BlackBerry 10
•
iOS
Wie BES12 Ihre Daten während der Übertragung schützt
So wird das Zertifikat
hinzugefügt
Profile für
Benutzeranmeldeinformationen
Beschreibung
Unterstützte Geräte
Geräte können diese Zertifikate für die zertifikatsbasierte
•
Authentifizierung im Browser und für die Verbindung zu einem
•
geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN
•
oder einem geschäftlichen Mailserver verwenden.
•
Secure Work Space
Wenn Ihr Unternehmen Entrust IdentityGuard-Produkte
verwendet, um Zertifikate auszustellen und zu verwalten,
können Sie Profile für Benutzeranmeldeinformationen
erstellen, die von Geräten verwendet werden, um Zertifikate
von der Zertifizierungsstelle Ihres Unternehmens zu erhalten.
Die Geräte verwenden diese Zertifikate für die
zertifikatsbasierte Authentifizierung im Browser und für die
Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem
geschäftlichen VPN oder einem geschäftlichen Mailserver.
•
BlackBerry 10
•
iOS
•
Android
•
iOS
•
Android
•
iOS
•
Android
Profile für
Ein Profil für ein freigegebenes Zertifikat legt ein
freigegebenes Zertifikat Clientzertifikat fest, das BES12 an iOS- und Android-Geräte
sendet. BES12 sendet das gleiche Clientzertifikat an jeden
Benutzer, dem das Profil zugewiesen ist.
Samsung KNOX Workspace
Android for Work
Windows 10
Der Administrator muss Zugriff auf das Zertifikat und den
privaten Schlüssel haben, um ein Profil für ein freigegebenes
Zertifikat zu erstellen.
Senden von ClientZum Senden eines Client-Zertifikats an die Geräte einzelner
Zertifikaten an einzelne Benutzer können Sie einem Benutzerkonto ein ClientBenutzerkonten
Zertifikat hinzufügen. BES12 sendet das Zertifikat an die iOSund Android-Geräte des Benutzers.
Der Administrator muss Zugriff auf das Zertifikat und den
privaten Schlüssel haben, um das Client-Zertifikat an den
Benutzer zu senden.
Benutzerimport
Benutzer können Clientzertifikate in den Zertifikatsspeicher
BlackBerry 10
des Geräts im Abschnitt "Sicherheit und Datenschutz" der
"Systemeinstellungen" importieren. Zertifikate für die
Verwendung durch den geschäftlichen Browser oder zum
Senden von S/MIME-geschützten Nachrichten vom
geschäftlichen E-Mail-Konto können aus dem Dateisystem auf
dem Gerät oder aus einem Netzwerkpfad, der vom
geschäftlichen Bereich zugänglich ist, importiert werden.
98
Wie BES12 Ihre Daten während der Übertragung schützt
So wird das Zertifikat
hinzugefügt
Beschreibung
Unterstützte Geräte
Smartcards
Benutzer können S/MIME- und SSL-Zertifikate von einer
Smartcard auf ihre Geräte importieren.
BlackBerry 10
Weitere Informationen zum Senden von Client-Zertifikaten an Geräte finden Sie in der Dokumentation für Administratoren.
Verwenden von SCEP für die Anmeldung von Client-Zertifikaten
auf Geräten
SCEP wird von BlackBerry 10-Geräten, iOS-Geräten, Android-Geräten mit Samsung KNOX Workspace, Android for Work oder
Secure Work Space sowie von Geräten mit Windows 10 unterstützt.
SCEP ist ein IETF-Protokoll, das das Anmelden von Zertifikaten auf vielen Geräten vereinfacht, indem zur Ausstellung der
einzelnen Zertifikate weder ein Eingriff vonseiten des Administrators noch eine Genehmigung erforderlich ist. Geräte können
SCEP verwenden, um Clientzertifikate von einer SCEP-kompatiblen Microsoft- oder Entrust-Zertifizierungsstelle, die Ihr
Unternehmen verwendet, anzufordern und zu erhalten. Sie können SCEP verwenden, um Clientzertifikate auf Geräten
anzumelden, damit die Geräte zertifikatsbasierte Authentifizierung im Browser verwenden können, und um eine Verbindung zu
einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver herzustellen.
Die Zertifikatsanmeldung startet, nachdem ein Gerät ein SCEP-Profil empfangen hat, das dem Benutzer zugewiesen ist oder mit
einem zugewiesenen Wi-Fi-, VPN- oder E-Mail-Profil verknüpft ist. Geräte können ein SCEP-Profil von BES12 während des
Aktivierungsprozesses empfangen, wenn Sie ein SCEP-Profil ändern oder wenn Sie ein anderes Profil ändern, dem ein SCEPProfil zugewiesen ist. Nachdem die Zertifikatsanmeldung abgeschlossen ist, werden das Client-Zertifikat und dessen
Zertifikatskette sowie der private Schlüssel im geschäftlichen Schlüsselspeicher auf dem Gerät gespeichert.
Wenn Sie eine Microsoft-Zertifizierungsstelle verwenden, muss die Zertifizierungsstelle Abfragekennwörter unterstützen. Die
Zertifizierungsstelle verifiziert mithilfe von Abfragekennwörtern, dass das Gerät zum Senden einer Zertifikatsanforderungen
autorisiert ist. Wenn die Zertifizierungsstelle NDES umgesetzt hat, können Sie dynamische Abfragekennwörter verwenden. Das
statische Abfragekennwort oder die Einstellungen zum Erhalt eines dynamisch generierten Abfragekennworts vom SCEP-Dienst
werden im SCEP-Profil bestimmt. Um das Kennwort zu schützen, wird es auf BlackBerry 10-Geräten nicht an die Geräte
gesendet. Auf anderen Geräten wird das Kennwort an die Geräte gesendet, um den Geräten die Ausführung der
Zertifikatsanforderungen zu ermöglichen. Wenn Sie ein statisches Abfragekennwort verwenden, wird für alle SCEPAnforderungen von Geräten das gleiche Abfragekennwort verwendet.
Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die
Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12
entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt.
Weitere Informationen zum SCEP-Internet-Draft finden Sie unter www.ietf.org.
99
Wie BES12 Ihre Daten während der Übertragung schützt
Verwalten von Zertifikaten, die mithilfe von SCEP an einem Gerät angemeldet werden
Nachdem ein Gerät ein Zertifikat mithilfe von SCEP angemeldet hat, überwacht die SCEP-Komponente das Ablaufdatum des
Zertifikats. Wenn sich das Ablaufdatum eines Zertifikats nähert, startet die SCEP-Komponente den Anmeldungsprozess für ein
neues Zertifikat. Mithilfe der SCEP-Profileinstellung "Automatische Erneuerung" können Sie einstellen, wie viele Tage vor Ablauf
eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll.
Das Verfahren der Zertifikatregistrierung kann zudem neu beginnen, wenn Sie Änderungen an SCEP-Profileinstellungen für
Zertifizierungsstelle, Verbindung oder Verschlüsselungsschlüssel vornehmen, z. B. URL, SCEP-Challenge-Typ,
Schlüsselalgorithmus oder Schlüsselgröße.
Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die
Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12
entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt.
Datenfluss: Anmelden eines Zertifikats bei einem BlackBerry 10-Gerät mithilfe von SCEP
1.
BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder E-MailProfil verknüpft ist.
2.
Das Gerät führt die folgenden Aktionen aus:
3.
a
Erstellen eines Schlüsselpaares mithilfe des Schlüsselalgorithmus und der Schlüsselstärke, die im SCEP-Profil
angegeben ist
b
Erstellen eines PKCS#10 CSR mit allen erforderlichen Attributen für die Anfrage, abgesehen vom Abfragekennwort
c
Senden des SCEP-Profilnamens, des PKCS#10 CSR und des Hashtyps an BES12
BES12 führt die folgenden Aktionen aus:
a
Überprüfen der Übereinstimmung des definierten Antragsstellernamens, des alternativen Antragsstellernamens und
der E-Mail-Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank
b
Hinzufügen des Abfragekennworts zum PKCS#10 CSR
c
Verwenden der Hashfunktion für PKCS#10 CSR
d
Senden des PKCS#10 CSR-Hash an das Gerät
4.
Das Gerät berechnet die Signatur auf dem PKCS#10 CSR-Hash und sendet den SCEP-Profilnamen, das ursprüngliche
PKCS#10 CSR, die Signaturanfrage, die berechnete Signaturantwort, das Zertifizierungsstellenzertifikat (zum
Verschlüsseln der SCEP-Anfrage), den Hashtyp und die Art der Verschlüsselung an BES12.
5.
BES12 führt die folgenden Aktionen aus:
100
Wie BES12 Ihre Daten während der Übertragung schützt
a
Überprüfen des empfangenen Zertifizierungsstellenzertifikats
b
Überprüfen der Übereinstimmung des definierten Antragsstellernamens, des alternativen Antragsstellernamens und
der E-Mail-Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank
c
Hinzufügen des Abfragekennworts zum PKCS#10 CSR
d
Hinzufügen der berechneten Signaturantwort zum PKCS#10 CSR
e
Verschlüsseln des PKCS#10 CSR mithilfe des verpackten PKCS#7- Dateiformats und des öffentlichen
Zertifizierungsstellenschlüssels
f
Senden der verpackten PKCS#7-Daten an das Gerät
6.
Das Gerät schließt die SCEP-Anfrage durch Signieren der verpackten PKCS#7-Daten mithilfe des signierten PKCS#7Dateiformats und sendet die SCEP-Anfrage durch BES12 an die Zertifizierungsstelle.
7.
Die Zertifizierungsstelle stellt das Zertifikat aus und sendet es über BES12 das Gerät.
8.
Der Enterprise Management Agent auf dem Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum
Schlüsselspeicher auf dem Gerät hinzu und macht das Zertifikat für die angegebene Verbindung verfügbar, wenn das
SCEP-Profil einem zugewiesenen Wi-Fi-, VPN- oder E-Mail-Profil zugeordnet ist.
Datenfluss: Anmelden eines Client-Zertifikats auf einem Gerät, das BES12 als Proxy für die
SCEP-Anforderung verwendet
Sie können BES12 als Proxy für SCEP-Anforderungen verwenden, die von iOS- und Android-Geräten an die Zertifizierungsstelle
gesendet werden. Wenn die Zertifizierungsstelle sich hinter Ihrer Firewall befindet, können Sie mithilfe von BES12 als Proxy
Client Zertifikate auf Geräten anmelden, ohne die Zertifizierungsstelle außerhalb der Firewall sichtbar zu machen.
1.
BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder E-MailProfil verknüpft ist.
2.
Das Gerät erstellt eine SCEP-Anforderung und sendet sie an die BlackBerry Infrastructure.
3.
Die BlackBerry Infrastructure sendet die SCEP-Anforderung an BES12.
4.
BES12 aktualisiert die URL für die SCEP-Anforderung und sendet die SCEP-Anforderung an die Zertifizierungsstelle.
5.
Die Zertifizierungsstelle gibt das Zertifikat aus und sendet es an BES12.
6.
BES12 sendet die SCEP-Anforderung an die BlackBerry Infrastructure.
7.
Die BlackBerry Infrastructure sendet die SCEP-Anforderung an das Gerät.
101
Wie BES12 Ihre Daten während der Übertragung schützt
8.
Das Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum Schlüsselspeicher hinzu.
Senden von Zertifizierungsstellenzertifikaten an Geräte
Sie müssen möglicherweise Zertifizierungsstellenzertifikate an Geräte verteilen, wenn Ihr Unternehmen S/MIME verwendet oder
wenn Geräte eine zertifikatsbasierte Authentifizierung für die Verbindung mit einem Netzwerk oder einem Server in Ihrer
Unternehmensumgebung verwenden.
Wenn die von den Zertifizierungsstellen ausgegebenen Netzwerk- und Serverzertifikate Ihres Unternehmens auf Geräten
gespeichert werden, ist die Vertrauenswürdigkeit beim Aufbau sicherer Verbindungen zu Ihren Netzwerken und Servern
gewährleistet. Wenn die Zertifikate der Zertifizierungsstellen, von denen die S/MIME-Zertifikate Ihres Unternehmens ausgestellt
wurden, auf Geräten gespeichert werden, können die Geräte beim Empfang einer mit S/MIME geschützten E-Mail-Nachricht
das Zertifikat des Absenders als vertrauenswürdig behandeln.
Mithilfe von Profilen mit Zertifizierungsstellenzertifikat können Sie Zertifizierungsstellenzertifikate an Geräte senden. Weitere
Informationen finden Sie in der Dokumentation für Administratoren.
Schutz von E-Mail-Nachrichten
Alle Geräte unterstützen Exchange ActiveSync zum Synchronisieren von E-Mail-Nachrichten, Kalendereinträgen, Kontakten
und anderen Terminplanerdaten mit dem E-Mail-Server Ihres Unternehmens.Geräte mit BlackBerry 10, Windows und Secure
Work Space unterstützen auch IBM Notes Traveler. BES12 kann es ermöglichen, dass Geräte, die nicht mit dem internen
Netzwerk des Unternehmens verbunden sind oder die keine VPN-Verbindung haben, mit dem E-Mail-Server synchronisiert
werden, ohne dass Sie Verbindungen mit dem E-Mail-Server von außerhalb der Firewall verfügbar machen müssen.
BES12 ermöglicht Geräten eine sichere Synchronisierung mit dem E-Mail-Server über die BlackBerry Infrastructure mithilfe der
gleichen Verschlüsselungsmethoden, die für alle anderen Geschäftsdaten verwendet werden. Wenn BES12 die Verbindung
zwischen Ihrem E-Mail-Server und den Geräten bereitstellt, haben die BES12-IT-Richtlinien Vorrang vor allen Richtlinien, die für
die Geräte auf dem E-Mail-Server festgelegt wurden.
Wenn Ihr Unternehmen zum Anmelden von Zertifikaten bei Geräten SCEP verwendet, können Sie ein SCEP-Profil mit einem EMail-Profil verknüpfen, um eine zertifikatsbasierte Authentifizierung zu erzwingen und somit zum Schutz der Verbindungen
zwischen den Geräten und dem E-Mail-Server beizutragen.
Steuern, welche Geräte Exchange ActiveSync verwenden
können
Microsoft Exchange kann so konfiguriert werden, dass Geräte für die Nutzung von Exchange ActiveSync blockiert sind, es sei
denn, die Geräte wurden ausdrücklich einer Positivliste hinzugefügt. Geräte, die nicht auf dieser Liste stehen, können nicht auf
geschäftliche E-Mail und Terminplanerdaten zugreifen. Im BES12 können Sie Microsoft Exchange-Gatekeeping einrichten, um
zu steuern, welche Geräte automatisch zur Liste der zulässigen Geräte auf Ihrem Microsoft Exchange Server hinzugefügt
werden.
102
Wie BES12 Ihre Daten während der Übertragung schützt
Wenn Sie Microsoft Exchange Gatekeeping verwenden und ein Benutzer, dem ein E-Mail-Profil zugewiesen ist, ein BlackBerry
10-, Secure Work Space- Android for Work- oderKNOX Workspace-Gerät aktiviert, wird das Gerät automatisch in die Liste der
zulässigen Geräte in Microsoft Exchange aufgenommen. Ein Gerät wird dann automatisch von der Liste der zulässigen Geräte
entfernt, wenn Sie das E-Mail-Profil aus dem Benutzerkonto entfernen, wenn das Gerät die Einstellungen im zugewiesenen
Einhaltungsprofi verletzt oder wenn das Gerät deaktiviert wird. Sie müssen Android MDM-Geräte der Positivliste manuell
hinzufügen bzw. sie manuell aus dieser entfernen.
Weitere Informationen zum Aktivieren von Microsoft Exchange-Gatekeeping und zum Hinzufügen und Entfernen von Geräten
zur bzw. aus der Liste der zulässigen Geräte finden Sie in der Dokumentation für Administratoren.
Erweitern der E-Mail-Sicherheit
BES12 und Geräte unterstützen die folgenden Technologien für sicheres Messaging:
•
S/MIME-Schutz: Sie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass BlackBerry 10-, iOSGeräte und Secure Work Space-Geräte Nachrichten signieren und verschlüsseln oder Nachrichten mithilfe des S/
MIME-Schutzes signieren und verschlüsseln.
•
PGP-Schutz: Sie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass Geräte in der BlackBerry
10 OS Version 10.3.1 oder älter Nachrichten signieren und verschlüsseln oder Nachrichten mithilfe des PGPSchutzes signieren und verschlüsseln.
•
IBM Notes-E-Mail-Verschlüsselung: Wenn Ihre Unternehmensumgebung über IBM Notes oder IBM Domino verfügt,
können Geräte, auf denen IBM Notes Traveler installiert ist, mithilfe der IBM Notes-E-Mail-Verschlüsselung E-MailNachrichten senden und empfangen.
Erweitern der Sicherheit von E-Mail-Nachrichten mittels S/MIME
Sie können die Sicherheit von E-Mail-Nachrichten erhöhen, indem Sie zulassen, dass Benutzer S/MIME-geschützte E-MailNachrichten senden und empfangen können. Durch das digitale Signieren oder Verschlüsseln von Nachrichten wird den EMail-Nachrichten, die die Benutzer senden oder empfangen, eine zusätzliche Sicherheitsstufe hinzugefügt.
Über digitale Signaturen können Empfänger die Authentizität und Integrität von Nachrichten überprüfen, die von Benutzern
gesendet wurden. Wenn ein Benutzer eine Nachricht mit seinem privaten Schlüssel digital signiert, verwenden die Empfänger
den öffentlichen Schlüssel des Absenders, um zu überprüfen, dass die Nachricht vom Absender stammt und die Nachricht
nicht geändert wurde.
Durch Verschlüsselung kann die Vertraulichkeit von Nachrichten gewährleistet werden. Wenn ein Benutzer eine Nachricht
verschlüsselt, verwendet das Gerät den öffentlichen Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Der
Empfänger verwendet seinen privaten Schlüssel, um die Nachricht zu entschlüsseln.
S/MIME-Zertifikate und private Schlüssel
Geräte können Kryptografie mit öffentlichen Schlüsseln mit S/MIME-Zertifikaten und private S/MIME-Schlüssel verwenden, um
E-Mail-Nachrichten zu verschlüsseln und zu entschlüsseln.
103
Wie BES12 Ihre Daten während der Übertragung schützt
Objekt
Beschreibung
Öffentlicher S/MIMESchlüssel
Wenn ein Benutzer eine E-Mail-Nachricht von einem Gerät sendet, verwendet das Gerät den
öffentlichen S/MIME-Schlüssel des Empfängers, um die Nachricht zu verschlüsseln.
Wenn ein Benutzer eine signierte E-Mail-Nachricht auf einem Gerät empfängt, verwendet das
Gerät den öffentlichen S/MIME-Schlüssel des Absenders, um die Nachrichtensignatur zu
überprüfen.
Privater S/MIME-Schlüssel
Wenn ein Benutzer eine signierte E-Mail-Nachricht von einem Gerät sendet, hashcodiert das
Gerät die Nachricht mit SHA-1, SHA-2 oder MD5. Das Gerät verwendet den privaten S/MIMESchlüssel des Benutzers, um den Nachrichtenhash digital zu signieren.
Wenn ein Benutzer eine verschlüsselte Nachricht auf einem Gerät empfängt, verwendet das
Gerät den privaten Schlüssel des Benutzers, um die Nachricht zu entschlüsseln. Der private
Schlüssel wird auf dem Gerät gespeichert.
S/MIME-Schutz für BlackBerry 10-Geräte
BlackBerry 10-Geräte unterstützen Schlüssel und Zertifikate in den folgenden Dateiformaten und mit den folgenden
Dateierweiterungen:
•
PEM (.pem, .cer)
•
DER (.der, .cer)
•
PFX (.pfx, .p12)
Benutzer können S/MIME-Einstellungen auf den Geräten in den BlackBerry Hub-Einstellungen konfigurieren sowie die
Zertifikate und Codierungsmethoden auswählen. Benutzer können Zertifikate auf ihren Geräten im Abschnitt "Sicherheit und
Datenschutz" der "Systemeinstellungen" verwalten.
Geräte unterstützen Anlagen in S/MIME-geschützten E-Mail-Nachrichten. Benutzer können Anlagen in S/MIME-geschützten EMail-Nachrichten anzeigen, senden und weiterleiten.
Benutzer können die S/MIME-Einstellungen auf dem Gerät konfigurieren, um entweder Nachrichten mit Signatur ("clearsigned") zu senden, die jede E-Mail-Anwendung öffnen kann, oder Nachrichten mit einer undurchsichtigen Signatur ("opaquesigned") zu senden, die nur E-Mail-Anwendungen, die Verschlüsselung unterstützen, öffnen können.
Benutzer können ihre privaten Schlüssel auf ihren Geräten oder einer Smartcard speichern. Wenn Benutzer ihre privaten
Schlüssel nicht auf ihren Geräten gespeichert haben, können die Geräte keine S/MIME-geschützten E-Mail-Nachrichten lesen.
Es wird die Meldung "Nachricht kann nicht decodiert werden, da Sie nicht über den entsprechenden privaten Schlüssel
verfügen" angezeigt.
Abrufen von S/MIME-Zertifikaten
Sie können "Zertifikatsabruf"-Profile verwenden, um LDAP-Servereinstellungen zu konfigurieren und sie an Geräte zu senden.
Mithilfe von LDAP-Servereinstellungen können Geräte nach S/MIME-Zertifikaten von Empfängern suchen und diese von LDAP-
104
Wie BES12 Ihre Daten während der Übertragung schützt
Servern über das drahtlose Netzwerk abrufen. Wenn sich ein erforderliches S/MIME-Zertifikat nicht bereits im
Zertifikatsspeicher des Geräts befindet, wird es von dem Gerät automatisch abgerufen und in den Zertifikatsspeicher importiert.
Ein Gerät durchsucht jeden LDAP-Server und ruft das S/MIME-Zertifikat ab. Wenn mehr als ein S/MIME-Zertifikat vorliegt und
das Gerät nicht ermitteln kann, welches zu bevorzugen ist, zeigt das Gerät alle S/MIME-Zertifikate an, sodass der Benutzer
auswählen kann, welches davon verwendet werden soll.
Wenn Sie keine Einstellungen zum Abrufen von Zertifikaten konfigurieren, müssen Benutzer S/MIME-Zertifikate manuell aus
einem Anhang einer geschäftlichen E-Mail oder von einem Computer importieren.
Sie können verlangen, dass die Geräte entweder die einfache Authentifizierung oder Kerberos-Authentifizierung verwenden,
um sich bei LDAP-Servern zu authentifizieren. Wenn Sie verlangen, dass die Geräte eine einfache Authentifizierung verwenden,
können Sie die erforderlichen Authentifizierungs-Anmeldeinformationen in die "Zertifikatsabruf"-Profile einbinden, sodass sich
die Geräte automatisch bei den LDAP-Servern authentifizieren können. Wenn Sie verlangen, dass die Geräte eine Kerberos
Authentifizierung verwenden, können Sie die erforderlichen Authentifizierungs-Anmeldeinformationen in die "Zertifikatsabruf"Profile einbinden, sodass sich die Geräte, auf denen BlackBerry 10 OS Version 10.3.1 oder höher ausgeführt wird, automatisch
bei den LDAP-Servern authentifizieren können. Andernfalls fordert das Gerät bei der ersten Authentifizierung bei einem LDAPServer den Benutzer zur Eingabe der erforderlichen Anmeldedaten für die Authentifizierung auf. Bei Geräten, auf denen die
BlackBerry 10 OS Version 10.2.1 bis 10.3 ausgeführt wird, fordert das Gerät bei der ersten Authentifizierung bei einem LDAPServer den Benutzer zur Eingabe der erforderlichen Anmeldedaten für die Authentifizierung auf.
Weitere Informationen zum Konfigurieren von LDAP-Servern finden Sie in der Dokumentation für Administratoren.
Bestimmen des Status von S/MIME-Zertifikaten
Um den Status von S/MIME-Zertifikaten zu bestimmen, können Sie OCSP-Profile verwenden, um OCSPRespondereinstellungen zu konfigurieren und sie an BlackBerry 10-Geräte zu senden. Ein Gerät durchsucht jeden OCSPResponder und ruft den S/MIME-Zertifikatstatus ab.
Bei Geräten, auf denen BlackBerry 10 OS-Version 10.3.1 oder höher ausgeführt wird, können Sie CRL-Profile verwenden, um
BES12 zu konfigurieren, um den Status von S/MIME-Zertifikaten mit HTTP, HTTPS oder LDAP zu suchen.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Weitere Informationen zu Zertifikatstatusanzeigen finden Sie im Benutzerhandbuch im Abschnitt zu den Symbolen für sichere
E-Mail.
S/MIME-Verschlüsselungsalgorithmen
Wenn Sie oder ein Benutzer die S/MIME-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, legt die Einstellung
"Verschlüsselungsalgorithmen" fest, dass ein Gerät jeden der folgenden Verschlüsselungsalgorithmen verwenden kann, um
Nachrichten zu verschlüsseln:
•
AES-256
•
AES-192
•
AES-128
•
RC2
105
Wie BES12 Ihre Daten während der Übertragung schützt
•
Triple DES
Sie können den Wert der Einstellung "Verschlüsselungsalgorithmen" ändern, um nur eine Teilmenge der
Verschlüsselungsalgorithmen zu verwenden, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.
Wenn ein Benutzer eine S/MIME-geschützte Nachricht empfängt, speichert das Gerät die Verschlüsselungsalgorithmen, die die
E-Mail-Anwendung des Senders unterstützt. Wenn der Benutzer eine verschlüsselte Nachricht an einen Empfänger sendet, für
den das Gerät Verschlüsselungsalgorithmus-Informationen gespeichert hat, verwendet das Gerät einen Algorithmus, der von
dem Empfänger unterstützt wird. Wenn das Gerät die Verschlüsselungsalgorithmen der E-Mail-Anwendung des Empfängers
nicht bestimmen kann, verschlüsselt das Gerät die E-Mail-Nachricht mit Triple DES.
Datenfluss: Senden einer E-Mail-Nachricht von einem BlackBerry 10-Gerät mit S/MIMEVerschlüsselung
1.
Ein Benutzer sendet eine E-Mail-Nachricht von einem BlackBerry 10-Gerät mit S/MIME-Verschlüsselung. Das Gerät führt
die folgenden Aktionen aus:
a
Prüft den Schlüsselspeicher des BlackBerry-Geräts auf das S/MIME-Zertifikat des Empfängers
b
Wenn der Schlüsselspeicher des Geräts das S/MIME-Zertifikat des Empfängers nicht enthält, verwendet das Gerät
zum Abrufen das S/MIME-Zertifikat des Empfängers vom LDAP-Server und überprüft den Zertifikatsstatus
c
Verschlüsselt die E-Mail-Nachricht mit dem S/MIME-Zertifikat des Empfängers
d
Wenn das Gerät mit BlackBerry Infrastructure verbunden ist, verwendet BlackBerry eine
Transportschichtverschlüsselung zur Verschlüsselung der S/MIME-verschlüsselten Nachricht
e
Sendet die verschlüsselte Nachricht an BES12
2.
Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerryTransportschichtverschlüsselung.
3.
BES12 sendet die S/MIME-verschlüsselte Nachricht an den E-Mail-Server.
4.
Der E-Mail-Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger.
5.
Der Empfänger entschlüsselt die S/MIME-verschlüsselte Nachricht mit seinem privaten S/MIME-Schlüssel.
Verwenden des S/MIME-Schutzes mit einer Smartcard
BlackBerry 10-Geräte unterstützen den S/MIME-Schutz mit einer Smartcard und beinhalten Tools zum Import von Zertifikaten
auf Geräte. Um den S/MIME-Schutz mit einer Smartcard zu verwenden, muss der Benutzer das Gerät mit der Smartcard
verknüpfen.
Nachdem der Benutzer das Gerät mit der Smartcard verknüpft hat, kann er die Liste der auf der Smartcard gespeicherten S/
MIME-Zertifikate einsehen und auswählen, welche in den Zertifikatsspeicher des Geräts zu importieren sind. Die privaten
Schlüssel bleiben auf der Smartcard. Um Nachrichten zu signieren oder zu entschlüsseln, muss das Gerät an die Smartcard
angebunden sein.
106
Wie BES12 Ihre Daten während der Übertragung schützt
S/MIME-Schutz für iOS- und Secure Work Space-Geräte
iOS- und Secure Work Space-Geräte unterstützen Schlüssel und Zertifikate im PFX-Dateiformat entweder mit der
Dateinamenerweiterung .pfx oder .p12.
Benutzer müssen für jeden Empfänger, dem sie eine verschlüsselte E-Mail-Nachricht senden möchten, ihre privaten Schlüssel
und ein Zertifikat auf ihren Geräten speichern. Die Benutzer können Schlüssel und Zertifikat durch Importieren der
entsprechenden Dateien aus einer geschäftlichen E-Mail-Nachricht speichern. Alternativ können Sie den automatischen
Versand von Zertifikaten per SCEP konfigurieren.
Datenfluss: Senden einer E-Mail-Nachricht von einem Gerät mit S/MIME-Verschlüsselung
1.
Ein Benutzer sendet eine E-Mail-Nachricht von einem Gerät aus. Das Gerät führt die folgenden Aktionen aus:
a
Prüft den Schlüsselspeicher des Geräts auf das S/MIME-Zertifikat des Empfängers.
b
Verschlüsselt die E-Mail-Nachricht mit dem S/MIME-Zertifikat des Empfängers.
c
Sendet die verschlüsselte Nachricht an den E-Mail-Server.
2.
Der E-Mail-Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger.
3.
Der Empfänger entschlüsselt die mit S/MIME verschlüsselte Nachricht mit dem privaten S/MIME-Schlüssel des
Empfängers.
PGP-Schutz für Geräte
Sie können die Nachrichtensicherheit für die BES12 erweitern und Geräte zulassen, die unter der BlackBerry 10 OS-Version
10.3.1 oder höher laufen, um PGP-geschützte E-Mail-Nachrichten zu senden und empfangen. Durch digitales Signieren oder
Verschlüsseln von Nachrichten wird die Sicherheit von E-Mail-Nachrichten, die Benutzer von ihren Geräten senden oder
empfangen, zusätzlich erhöht. Sie können verlangen, dass BlackBerry 10-Geräte Nachrichten mit dem PGP-Schutz signieren,
verschlüsseln oder signieren und verschlüsseln, wenn die Benutzer E-Mail-Nachrichten mithilfe eines geschäftlichen E-MailKontos Nachrichten senden, das auf den Geräten PGP-geschützte Nachrichten unterstützt.
BES12 unterstützt das OpenPGP-Format auf den Geräten. Weitere Informationen zum OpenPGP-Format finden Sie unter RFC
4880.
Die Geräte unterstützen Schlüssel und Zertifikate in den folgenden Dateiformaten und mit den folgenden Dateierweiterungen:
•
PEM (.pem, .cer)
•
ASC (.asc, .cer)
Benutzer können PGP-Einstellungen auf den Geräten in den BlackBerry Hub-Einstellungen konfigurieren sowie die PGPSchlüssel und Codierungsmethoden auswählen. Benutzer können PGP-Schlüssel auf ihren Geräten im Abschnitt "Sicherheit
und Datenschutz" der "Systemeinstellungen" verwalten. Benutzer können ihre privaten PGP-Schlüssel auf ihren Geräten
speichern.
Geräte unterstützen Anlagen in PGP-geschützten E-Mail-Nachrichten. Benutzer können Anlagen in PGP-geschützten E-MailNachrichten anzeigen, senden und weiterleiten.
107
Wie BES12 Ihre Daten während der Übertragung schützt
Wenn Benutzer ihre privaten PGP-Schlüssel nicht auf ihren Geräten gespeichert haben, können die Geräte keine PGPgeschützten E-Mail-Nachrichten lesen. Es wird die Meldung "Nachricht kann nicht decodiert werden, da Sie nicht über den
entsprechenden privaten Schlüssel verfügen" angezeigt.
Öffentliche PGP-Schlüssel und private PGP-Schlüssel
BlackBerry 10-Geräte verwenden Kryptografie mit öffentlichen Schlüsseln zusammen mit öffentlichen PGP-Schlüsseln und
privaten PGP-Schlüsseln, um PGP-geschützte E-Mail-Nachrichten zu senden und zu empfangen.
Schlüssel
Beschreibung
Öffentlicher PGP-Schlüssel
Wenn ein Benutzer eine E-Mail-Nachricht von einem Gerät sendet, verwendet
das Gerät den öffentlichen PGP- Schlüssel des Empfängers, um die Nachricht
zu verschlüsseln.
Wenn ein Benutzer eine signierte E-Mail-Nachricht auf einem Gerät empfängt,
verwendet das Gerät den öffentlichen PGP- Schlüssel des Absenders, um die
Nachrichtensignatur zu überprüfen.
Der PGP- Schlüssel ist so konzipiert, dass Empfänger und Absender den
Schlüssel verteilen und auf ihn zugreifen können, ohne seine Sicherheit zu
gefährden. Der PGP- Schlüssel wird normalerweise auf dem Symantec
Encryption Management Server Ihres Unternehmens gespeichert.
Privater PGP-Schlüssel
Wenn ein Benutzer eine signierte E-Mail-Nachricht von einem Gerät sendet,
verwendet das Gerät den privaten PGP-Schlüssel des Benutzers, um die EMail-Nachricht digital zu signieren.
Wenn ein Benutzer eine verschlüsselte E-Mail-Nachricht auf einem Gerät
empfängt, verwendet das Gerät den privaten PGP-Schlüssel des Benutzers,
um die Nachricht zu entschlüsseln.
Der private Schlüssel wird auf dem Gerät gespeichert.
PGP-Verschlüsselungsalgorithmen
Wenn Sie oder ein Benutzer die PGP-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, können die Geräte jeden der
folgenden Algorithmen verwenden, um E-Mail-Nachrichten zu verschlüsseln:
•
AES-256
•
AES-192
•
AES-128
•
Triple DES-168
•
CAST-128
108
Wie BES12 Ihre Daten während der Übertragung schützt
Der öffentliche PGP-Schlüssel des Empfängers zeigt an, welche Verschlüsselungsalgorithmen von der E-Mail-Anwendung des
Empfängers unterstützt werden. Das Gerät ist dazu konzipiert, den stärksten verfügbaren Verschlüsselungsalgorithmus zu
verwenden. Wenn der öffentliche PGP-Schlüssel des Empfängers keine Liste von Verschlüsselungsalgorithmen enthält,
verschlüsselt das Gerät die E-Mail-Nachricht standardmäßig mithilfe eines der Algorithmen in der folgenden Prioritätenfolge:
AES-256, AES-192, AES-128, Triple DES-168 und CAST-128.
Datenfluss: Senden einer E-Mail-Nachricht von einem Gerät mithilfe von PGP-Verschlüsselung
1.
Ein Benutzer sendet eine E-Mail-Nachricht von einem BlackBerry 10-Gerät mithilfe von PGP-Verschlüsselung aus. Das
Gerät führt die folgenden Aktionen aus:
a
Das Gerät überprüft den Schlüsselspeicher des Geräts für den öffentlichen PGP-Schlüssel des Empfängers.
b
Wenn der Schlüsselspeicher des Geräts den öffentlichen PGP-Schlüssel des Empfängers nicht enthält, ruft das Gerät
den öffentlichen PGP-Schlüssel des Empfängers vom Symantec Encryption Management Server ab.
c
Das Gerät verschlüsselt die E-Mail-Nachricht mithilfe des öffentlichen PGP-Schlüssels des Empfängers.
d
Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, verwendet das Gerät BlackBerryTransportschichtverschlüsselung zur Verschlüsselung der PGP-verschlüsselten Nachricht.
e
Das Gerät sendet die verschlüsselte Nachricht an BES12.
2.
Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerryTransportschichtverschlüsselung.
3.
BES12 sendet die PGP-verschlüsselte Nachricht an den E-Mail-Server.
4.
Der E-Mail-Server sendet die PGP-verschlüsselte Nachricht an den Empfänger.
5.
Das Gerät des Empfängers entschlüsselt die PGP-verschlüsselte Nachricht mithilfe des privaten PGP-Schlüssels des
Empfängers.
Abrufen von PGP-Schlüsseln von einem Symantec Encryption Management Server
Wenn Ihre Unternehmensumgebung einen Symantec Encryption Management Server umfasst, können Sie mithilfe der
Einstellung "Symantec Encryption Management Server-Adresse" im E-Mail-Profil voraussetzen, dass Benutzer von BlackBerry
10-Geräten ihre Geräte mit diesem Server anmelden. Sie können außerdem festlegen, ob Benutzer ihre geschäftliche E-MailAdresse oder ihre Microsoft Active Directory-Anmeldeinformationen verwenden müssen, um Geräte mit diesem Server
anzumelden. Die Benutzer müssen ihre Anmeldedaten übermitteln, und anschließend müssen sich die Geräte mit dem
angegebenen Server anmelden, authentifizieren und in Verbindung setzen, bevor Benutzer PGP-Schutz auf ihren Geräten
nutzen können.
Nachdem Benutzer ihre Geräte mit dem Server angemeldet haben, können Geräte sowohl auf PGP-Schlüssel und den PGPSchlüsselstatus zugreifen als auch die E-Mail-Richtlinie des Symantec Encryption Management Server für alle vom Benutzer
gesendeten E-Mail-Nachrichten abrufen und durchsetzen.
Weitere Informationen über Symantec Encryption Management Server-Profileinstellungen finden Sie in der Dokumentation für
Administratoren.
109
Wie BES12 Ihre Daten während der Übertragung schützt
IBM Notes-E-Mail Verschlüsselung für Geräte
Wenn Ihre Unternehmensumgebung über IBM Notes oder IBM Domino verfügt, können BlackBerry 10-Geräte, auf denen IBM
Notes Traveler installiert ist, mithilfe der IBM Notes-E-Mail-Verschlüsselung E-Mail-Nachrichten senden und empfangen.
Wenn Benutzer Nachrichten erstellen, weiterleiten oder beantworten, können sie angeben, ob der Notes Traveler-Server die
Nachricht vor dem Senden an Empfänger verschlüsseln muss. Geräte und der Notes Traveler-Server senden einander alle
Daten über eine TLS-Verbindung.
Benutzer können die IBM Notes-E-Mail-Verschlüsselung auf dem Gerät mithilfe der Geräteeinstellungen aktivieren.
Mehr Informationen zu den unterstützten Versionen von Notes Traveler finden Sie in der Kompatibilitätsmatrix.
Klassifizieren von Meldungen für BlackBerry 10-Geräte
Die Nachrichtenklassifizierung ermöglicht es Ihrem Unternehmen, auf BlackBerry 10-Geräten sichere E-Mail-Richtlinien
festzulegen und durchzusetzen sowie visuelle Markierungen zu E-Mail-Nachrichten hinzuzufügen. Sie können BES12
verwenden, um Benutzern von BlackBerry 10-Geräten die gleichen Optionen zur Nachrichtenklassifizierung zu bieten, die
ihnen auch bei den E-Mail-Anwendungen auf ihrem Computer zur Verfügung stehen. Sie können die folgenden Regeln für
ausgehende Nachrichten definieren, basierend auf den Nachrichtenklassifizierungen:
•
Ein Etikett hinzufügen, um die Nachrichtenklassifizierung zu markieren (z. B. vertraulich)
•
Eine optische Markierung am Ende der Betreffzeile hinzufügen (z. B. [C])
•
Text am Anfang oder am Ende des E-Mail-Textkörpers hinzufügen (z. B. "Diese Nachricht wurde als vertraulich
eingestuft")
•
S/MIME oder PGP-Optionen einstellen (z. B. signieren und verschlüsseln)
•
Eine Standardklassifizierung einstellen
Auf Geräten, auf denen BlackBerry 10 OS-Version 10.3.1 und höher ausgeführt wird, können Sie mithilfe der
Nachrichtenklassifizierung festlegen, dass Benutzer E-Mail-Nachrichten signieren, verschlüsseln oder signieren und
verschlüsseln müssen oder visuelle Markierungen zu E-Mail-Nachrichten, die sie von ihren Geräten senden, hinzufügen. Sie
können BES12 verwenden, um eine Nachrichtenklassifizierungs-Konfigurationsdatei zu bestimmen, die an das Gerät eines
Benutzers gesendet wird. Das Gerät interpretiert und implementiert dann den Inhalt der NachrichtenklassifizierungsKonfigurationsdatei. Wenn der Benutzer entweder auf eine E-Mail-Nachricht antwortet, für die die Nachrichtenklassifizierung
festgelegt ist, oder eine gesicherte E-Mail-Nachricht erstellt, bestimmt die Nachrichtenklassifizierungskonfiguration die
Klassifikationsregeln, die das Gerät für die ausgehende Nachricht durchsetzen muss.
Benutzer können die Stufe der Nachrichtenklassifizierung auf ihren Geräten anheben, aber nicht absenken. Die Stufen der
Nachrichtenklassifizierung werden von Regeln für sichere E-Mails in jeder Klassifizierung festgelegt.
Weitere Informationen zum Konfigurieren der Nachrichtenklassifizierung finden Sie in der Dokumentation für Administratoren
und im Artikel KB36736 unter http://support.blackberry.com/kb.
110
Wie BES12 Ihre Daten während der Übertragung schützt
Bereitstellen von Geräten mit Zugriff per
einmaligem Anmelden im Netzwerk Ihres
Unternehmens
Sie können die automatische Authentifizierung von Domänen und Webdiensten Ihres Unternehmensnetzwerks im Browser und
in anderen Apps auf Geräten mit iOS 7 und höher und im geschäftlichen Bereich auf BlackBerry 10-Geräten automatisch
zulassen.
Die Authentifizierung für die einmalige Anmeldung kann die Anmeldeinformationen des Benutzers oder das Zertifikat
verwenden. Zertifikatsbasierte Authentifizierung wird für BlackBerry 10-Geräte und Geräte mit iOS 8.0 und höher unterstützt.
Wenn Sie einem Benutzer ein Profil für die einmalige Anmeldung zuweisen, werden die Anmeldeinformationen des Benutzers
auf dem Gerät gespeichert, wenn er zum ersten Mal eine im Profil angegebene Domäne aufruft. Die gespeicherten
Anmeldeinformationen des Benutzers werden automatisch verwendet, wenn er versucht, auf die im Profil angegebenen
Domänen zuzugreifen. Der Benutzer wird nicht weiter zur Eingabe der Anmeldeinformationen aufgefordert, bis das Kennwort
des Benutzers sich ändert oder das Zertifikat abläuft.
BES12 unterstützt die folgenden Authentifizierungstypen für die einmalige Anmeldung:
Authentifizierungstyp
Gilt für
Kerberos
•
BlackBerry 10
•
iOS Version 7 und höher
NTLM
•
BlackBerry 10
Zertifikatsbasierte Authentifizierung
•
BlackBerry 10
•
iOS Version 8 und höher
Weitere Informationen zum Erstellen von Profilen für die einmalige Anmeldung finden Sie in der Dokumentation für
Administratoren.
Verwenden von Kerberos für die einmalige Anmeldung auf
Geräten
Wenn Ihr Unternehmen Kerberos für den Zugriff per einmaliger Anmeldung verwendet, können Benutzer den Zugriff per
einmaliger Anmeldung auf die Ressourcen Ihres Unternehmens mithilfe des Browsers und der Apps im geschäftlichen Bereich
auf ihren BlackBerry 10-Geräten oder Geräten mit iOS 7 oder höher nutzen.
111
Wie BES12 Ihre Daten während der Übertragung schützt
Bei der Verwendung von Kerberos mit Geräten, wenn eine gültige TGT auf den Geräten verfügbar ist, werden Benutzer nicht zur
Eingabe der Anmeldeinformationen aufgefordert, wenn sie mithilfe des Browsers und der Apps im geschäftlichen Bereich auf
die internen Ressourcen Ihres Unternehmens zugreifen. Wenn die Benutzer über eine VPN-Verbindung mit Ihrem Unternehmen
verbunden sind, muss das VPN-Gateway die Übertragung an das KDC zulassen, sodass Benutzer ohne Angabe von
Anmeldeinformationen Zugriff haben.
Für die Verwendung von Kerberos mit Geräten geben Sie die Kerberos-Konfigurationsdatei Ihres Unternehmens in einem Profil
für die einmalige Anmeldung an.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
Schützen von Verbindungen zur BES12 mithilfe
des BlackBerry Router
Der BlackBerry Router ist eine optionale Komponente, die eine Verbindung zu Ihrem Netzwerk herstellt, und für die BlackBerry
Infrastructure Daten an BES12 sendet und von dieser empfängt. Der BlackBerry Router agiert als Proxy-Server für
Verbindungen über die BlackBerry Infrastructure zwischen BES12 und allen Geräten.
Sie können eine Instanz des BlackBerry Router für alle BES5-, BES10 und BES12-Domänen in Ihrer Unternehmensumgebung
verwenden.
Wenn BES12 einen BlackBerry Router erkennt, ermittelt sie die IP-Adresse des Computers, der den BlackBerry Router hostet
und schreibt die IP-Adresse in die BES12-Datenbank.
Verwenden eines BlackBerry Router oder eines Proxy-Servers
mit BES12
Wenn Sie einen Proxy-Server mit BES12 verwenden möchten, können Sie den BlackBerry Router als Proxy-Server installieren
oder einen bereits in der Umgebung installierten TCP-Proxy-Server verwenden. Die Installation des BlackBerry Router oder des
Proxy-Servers muss außerhalb der Unternehmens-Firewall in der DMZ erfolgen.
Durch die Installation des BlackBerry Router oder eines TCP-Proxy-Server in der DMZ wird die Sicherheit für BES12 zusätzlich
erhöht. Nur der BlackBerry Router oder der Proxy-Server stellen von außerhalb der Firewall eine Verbindung zu BES12 her.
Alle Verbindungen über die BlackBerry Infrastructure zwischen BES12 und den Geräten werden über den BlackBerry Router
oder den Proxy-Server geleitet.
112
Wie BES12 Ihre Daten während der Übertragung schützt
Wenn Sie einen TCP-Proxy-Server verwenden möchten, muss es sich um einen transparenten TCP-Proxy-Server handeln, oder
die Verwendung von SOCKS v5 (keine Authentifizierung) ist erforderlich.
Weitere Informationen zur Planung des Installationsorts für den BlackBerry Router finden Sie in der Dokumentation zu
Installation und Upgrade.
Weitere Informationen zum Konfigurieren des BlackBerry Router oder eines Proxy-Servers finden Sie in der Dokumentation zur
Konfiguration.
Installieren von BES12 in einer DMZ
Wenn die Sicherheitsrichtlinien Ihres Unternehmens eine detailliertere Kontrolle über die für BES12 zugänglichen Ressourcen
erfordern, können Sie BES12 in einer eigenen DMZ installieren.
Beispielsweise können Sie den BlackBerry Router oder einen TCP-Proxy-Server in der DMZ Ihres Unternehmens installieren
und BES12 in einer separaten DMZ.
113
Wie BES12 Ihre Daten während der Übertragung schützt
Weitere Informationen zum Konfigurieren von BES12 bei Installation in einer DMZ finden Sie in der Dokumentation zur
Konfiguration.
114
BlackBerry 10-Gerätesicherheit
BlackBerry 10-Gerätesicherheit
5
BlackBerry 10-Geräte verfügen über umfangreiche Sicherheitsfunktionen:
Funktion
Beschreibung
BlackBerry Produktionssicherheitsmodell
Das End-to-End-Produktionsmodell von BlackBerry gewährleistet
BlackBerry 10-Gerätehardwareintegrität und dass nur echte BlackBerryGeräte eine Verbindung zu der BlackBerry Infrastructure herstellen.
BlackBerry 10 OS-Schutz
Das BlackBerry 10 OS ist manipulationssicher, robust und sicher und
umfasst viele Sicherheitsmerkmale, die Daten, Apps und Ressourcen auf
Geräten schützen.
Schutz von Daten im Ruhezustand
Daten im Ruhezustand auf BlackBerry 10-Geräten werden mithilfe von
Sicherheitsfunktionen wie Verschlüsselung, Kennwörtern und
Datenbereinigung geschützt.
Kryptografie
BlackBerry 10-Geräte unterstützen verschiedene Arten von
kryptografischen Algorithmen, Codes, Protokollen und APIs.
Test und Genehmigung von Apps für die
Verkaufsplattform BlackBerry World
Alle Apps werden getestet, um sicherzustellen, dass sie nicht die
Grundfunktionen von BlackBerry 10-Geräten beeinträchtigen, bevor sie von
BlackBerry genehmigt und auf der BlackBerry World-Verkaufsplattform zur
Verfügung gestellt werden. BlackBerry kann alle Apps aus BlackBerry World
entfernen, die als potenziell schädlich erkannt werden oder nicht der
BlackBerry World-Geschäftsvereinbarung entsprechen.
Hardware-Vertrauensstamm für BlackBerryGeräte
BlackBerry gewährleistet die Integrität der BlackBerry-Gerätehardware und stellt sicher, dass sich gefälschte Geräte nicht mit
der BlackBerry Infrastructure verbinden und keine BlackBerry-Dienste verwenden können.
Bei BlackBerry wird zu jedem Zeitpunkt des Produktlebenszyklus bei der Produktgestaltung aller wichtigen Komponenten die
Sicherheit der Geräte berücksichtigt. BlackBerry hat sein End-to-End-Produktionsmodell verbessert, um die sichere
Verbindung der Versorgungskette, der BlackBerry-Produktionspartner, der BlackBerry Infrastructure und der BlackBerryGeräte zu gewährleisten, sodass BlackBerry zuverlässige Geräte auf der ganzen Welt herstellen kann.
115
BlackBerry 10-Gerätesicherheit
Das BlackBerry-Produktionssicherheitsmodell sorgt dafür, dass gefälschte Geräte echte Geräte nicht imitieren können, und
stellt sicher, dass ausschließlich authentische BlackBerry -Geräte eine Verbindung zur BlackBerry Infrastructure herstellen
können. Die BlackBerry Infrastructure stellt die Identität eines Gerätes, das sich anmelden will, mithilfe der
Geräteauthentifizierung kryptografisch fest. Die BlackBerry-Produktionssysteme verwenden das hardwarebasierte ECC 521Bit-Schlüsselpaar, um jedes Gerät während des Fertigungsprozesses zu verfolgen, zu überprüfen und vorzubereiten. Nur
Geräte, die die Überprüfungs- und Vorbereitungsprozesse abschließen, können sich in der BlackBerry Infrastructure
registrieren.
Das BlackBerry 10 OS
Das BlackBerry 10 OS ist das Microkernel-Betriebssystem des BlackBerry 10-Geräts. Bei Microkernel-Betriebssystemen wird
die minimale Softwaremenge im Kernel implementiert, und andere Prozesse laufen im Benutzerbereich, der sich außerhalb des
Kerns befindet.
Im Kernel eines Microkernel-Betriebssystems ist weniger Code enthalten als in anderen Betriebssystemen. Aufgrund der
geringeren Codemenge kann der Kern Anfälligkeiten umgehen, die mit komplexen Codes verbunden sind, und der Kern kann
die Verifizierung erleichtern. Die Verifizierung ist ein Prozess, der die Programmierfehler in einem System bewertet. Viele der
Prozesse, die in einem herkömmlichen Betriebssystem im Kernel laufen, laufen im Benutzerbereich des OS.
Das OS ist manipulationssicher. Wenn das OS startet, durchläuft der Kernel eine Integritätsprüfung, und wenn bei der
Integritätsprüfung Schäden am Kernel festgestellt werden, startet das Gerät nicht.
Das OS ist robust. Der Kernel isoliert einen Prozess in seinem Benutzerbereich, wenn dieser nicht mehr reagiert, und startet
den Prozess erneut, ohne dabei andere Prozesse zu beeinträchtigen. Zusätzlich verwendet der Kernel adaptive Partitionierung,
um zu verhindern, dass Apps den Speicher, der von einer anderen App verwendet wird, beeinträchtigen oder lesen.
Das OS ist sicher. Der Kernel überprüft Ressourcenanfragen, und ein Autorisierungsmanager regelt, wie Anwendungen auf die
Funktionen des Geräts zugreifen, z. B. auf die Kamera, auf Kontakte und auf Informationen zur Geräteidentifizierung.
Das Dateisystem
Das BlackBerry 10-Gerätedateisystem läuft außerhalb des Kernels und sorgt dafür, dass die geschäftlichen Daten sicher und
von den persönlichen Daten getrennt sind. Das Dateisystem ist in die folgenden Bereiche unterteilt:
•
Basisdateisystem
•
Geschäftliches Dateisystem
•
Persönliches Dateisystem (bei Geräten mit persönlichem Bereich)
Das Basisdateisystem ist schreibgeschützt und enthält Systemdateien. Da das Basisdateisystem schreibgeschützt ist, kann das
BlackBerry 10 OS die Integrität des Basisdateisystems überprüfen und Schäden verringern, die durch einen Angreifer, der das
Dateisystem verändert hat, verursacht wurden.
Das geschäftliche Dateisystem enthält geschäftliche Apps und Daten. Das Gerät verschlüsselt die Dateien, die im
geschäftlichen Bereich gespeichert sind.
116
BlackBerry 10-Gerätesicherheit
Bei Geräten mit einem persönlichen Bereich enthält das persönliche Dateisystem persönliche Apps und Daten. Apps, die ein
Benutzer aus der BlackBerry World-Verkaufsplattform auf das Gerät installiert hat, befinden sich im persönlichen Dateisystem.
Das Gerät kann die Dateien, die im persönlichen Bereich gespeichert sind, verschlüsseln.
Sandboxing
Das BlackBerry 10 OS verwendet den Sicherheitsmechanismus Sandboxing, um die Funktionen und Berechtigungen von Apps,
die auf dem Gerät ausgeführt werden, zu trennen und zu beschränken. Jeder Anwendungsprozess läuft in seiner eigenen
Sandbox. Hierbei handelt es sich um einen virtuellen Kasten, der aus dem Speicher und dem Teil des Dateisystems besteht, auf
den der Anwendungsprozess zu einer bestimmten Zeit zugreifen kann.
Jede Sandbox ist sowohl mit der App als auch mit dem Bereich, in der sie genutzt wird, verknüpft. Zum Beispiel kann eine App
eine Sandbox im persönlichen Bereich und eine weitere Sandbox im geschäftlichen Bereich haben, wobei diese jeweils
voneinander isoliert sind.
Das OS bewertet die Anfragen, die der Prozess einer App für Speicher außerhalb ihrer Sandbox stellt. Wenn ein Prozess
versucht, ohne Genehmigung des OSs auf Speicher außerhalb der eigenen Sandbox zuzugreifen, beendet das OS den Prozess,
fordert den gesamten Speicher, der vom Prozess genutzt wird, zurück, und startet den Prozess neu, ohne dabei andere
Prozesse zu beeinträchtigen.
Wenn das OS installiert ist, weist es jeder App eine eindeutige Gruppen-ID zu. Eine Gruppen-ID kann nicht von zwei Apps geteilt
werden, und das OS verwendet keine Gruppen-ID wieder, nachdem eine App entfernt wurde. Die Gruppen-ID einer App bleibt
bei einem Upgrade dieselbe.
Standardmäßig speichert jede App ihre Daten in der eigenen Sandbox. Das OS verhindert den Zugriff von Apps auf
Dateisystem-Speicherorte, die der Gruppen-ID der App nicht zugeordnet sind.
Eine App kann Daten auch in einem freigegebenen Verzeichnis speichern und auf Daten in diesem Verzeichnis zugreifen.
Dieses Verzeichnis ist eine Sandbox, die von jeder App, die Zugriff darauf hat, genutzt werden kann. Wenn eine App zum ersten
Mal Dateien im freigegebenen Verzeichnis speichern will oder auf Dateien im freigegebenen Verzeichnis zugreifen will, wird der
Benutzer aufgefordert, der App den Zugriff zu gestatten.
Geräteressourcen
Das BlackBerry 10 OS verwaltet die Ressourcen eines Geräts, sodass eine App nicht die Ressourcen einer anderen App nutzen
kann. Das OS verwendet adaptive Partionierung, um ungenutzte Ressourcen bei üblichen Betriebsbedingungen an Apps
umzuverteilen und um die Ressourcenverfügbarkeit für bestimmte Apps bei optimalen Betriebsbedingungen zu verbessern.
App-Berechtigungen
Der Autorisierungsmanager ist ein Teil des BlackBerry 10 OS, der Anfragen von Apps für den Zugriff auf Gerätefunktionen
bewertet. Funktionen sind beispielsweise die Aufnahme von Fotos und Audio-Aufzeichnungen. Das OS ruft den
Autorisierungsmanager auf, wenn eine App beginnt, Berechtigungen für die von der App genutzten Funktionen festzulegen.
Wenn eine App startet, wird der Benutzer möglicherweise aufgefordert, den Zugriff auf eine Funktion zuzulassen. Der
117
BlackBerry 10-Gerätesicherheit
Autorisierungsmanager kann eine vom Benutzer gegebene Berechtigung speichern und die Berechtigung verwenden, wenn die
App das nächste Mal startet.
Überprüfen der Software
Überprüfen des Bootloader-Codes
Das BlackBerry 10-Gerät nutzt eine Authentifizierungsmethode, die überprüft, ob der Bootloader-Code zur Ausführung auf dem
Gerät freigegeben ist. Während des Herstellungsverfahrens wird der Bootloader im Flash-Speicher des Gerätes installiert, und
ein öffentlicher Signaturschlüssel wird im Prozessor des Geräts installiert. Das BlackBerry-Signaturstellensystem verwendet
einen privaten Schlüssel zum Signieren des Bootloader-Codes. Das Gerät speichert Informationen, die zur Überprüfung der
digitalen Signatur des Bootloader-Codes verwendet werden können.
Wenn ein Benutzer ein Gerät einschaltet, führt der Prozessor den internen ROM-Code aus, der den Bootloader-Code aus dem
Flash-Speicher liest und die digitale Signatur des Bootloader-Codes anhand des gespeicherten öffentlichen Schlüssels
überprüft. Bei abgeschlossener Überprüfung wird die Ausführung des Bootloader auf dem Gerät freigegeben. Wenn die Prüfung
nicht abgeschlossen werden kann, läuft das Gerät nicht mehr.
Überprüfen des Betriebs- und Dateisystems
Wenn der Bootloader-Code zur Ausführung auf einem BlackBerry 10-Gerät berechtigt ist, wird das BlackBerry 10 OS vom
Bootloader-Code überprüft. Das OS ist unter Verwendung von EC 521 mit einer Reihe von privaten Schlüsseln digital signiert.
Der Bootloader-Code verwendet die entsprechenden öffentlichen Schlüssel, um sicherzustellen, dass die digitale Signatur
korrekt ist. Wenn die Signatur korrekt ist, lädt der Bootloader das BlackBerry 10 OS.
Bevor das OS das schreibgeschützte Basisdateisystem lädt, führt es ein Validierungsprogramm aus, das einen SHA-256Hashwert der Inhalte des Basisdateisystems erstellt, einschließlich aller Metadaten. Das Programm vergleicht den SHA-256Hashwert mit einem SHA-256-Hashwert, der außerhalb des Basisdateisystems gespeichert ist. Dieser gespeicherte Hashwert
ist unter Verwendung von EC 521 mit einer Reihe von privaten Schlüsseln digital signiert. Wenn die Hashwerte übereinstimmen,
verwendet das Validierungsprogramm die entsprechenden öffentlichen Schlüssel, um die Signatur und die Integrität des
gespeicherten Hashwerts zu überprüfen.
Überprüfen von Apps und Softwareupgrades
Sobald das Basisdateisystem überprüft wurde, überprüft das BlackBerry 10 OS die bestehenden Apps, indem es die XML-Datei
der App liest und die Bestandsdaten der App mit den kryptografisch signierten Hashwerten im XML-Manifest abgleicht.
Jedes Softwareupgrade und jede App für das BlackBerry 10-Gerät ist im BlackBerry Archive (BAR)-Format verpackt. Dieses
Format enthält SHA-2-Hashwerte von jeder archivierten Datei und eine ECC-Signatur, die die Hashliste umfasst. Wenn ein
Benutzer ein Softwareupgrade oder eine App installiert, überprüft das Installationsprogramm, ob die Hashwerte und die digitale
Signatur korrekt sind.
Die digitalen Signaturen für eine BAR-Datei geben zusätzlich den Urheber des Softwareupgrades oder der App an. Der
Benutzer kann auf dieser Grundlage dann entscheiden, ob die Software installiert werden soll.
118
BlackBerry 10-Gerätesicherheit
Da das Gerät die Integrität einer BAR-Datei prüfen kann, kann das Gerät BAR-Dateien über eine HTTP-Verbindung
herunterladen, wodurch der Herunterladevorgang schneller als über eine sicherere Verbindung ist.
Verhindern von Speicherschäden
BlackBerry 10-Geräte verhindern das Ausnutzen von Speicherschäden auf verschiedene Weise, einschließlich der
Sicherheitsmechanismen in der folgenden Tabelle:
Sicherheitsmechanismus
Beschreibung
Stack und Heap nicht ausführbar
Die Speicherbereiche Stack und Heap werden als nicht ausführbar bewertet. Auf
diese Weise kann ein Prozess in diesen Bereichen des Speichers keinen
Maschinencode ausführen, wodurch es einem Angreifer erschwert wird,
potentielle Pufferüberläufe auszunutzen.
Stack Cookies
Stack Cookies sind eine Art Pufferüberlaufschutz, der bei der Abwehr von
Angreifern hilft, die einen beliebigen Code ausführen wollen.
Robuste Heap-Implementierungen
Die Heap-Implementierung umfasst einen Abwehrmechanismus gegen die
beabsichtigte Beschädigung des Heap-Bereichs des Speichers. Der
Mechanismus dient dazu, ein Überschreiben der Band-internen HeapDatenstrukturen zu erkennen und abzuschwächen, sodass ein Programm auf
sichere Weise fehlschlagen kann. Der Mechanismus hilft bei der Abwehr von
Angreifern, die mittels einer Heap-Beschädigung einen beliebigen Code
ausführen wollen.
Adressraum-Layout-Randomisierung
(ASLR)
Standardmäßig werden die Speicherpositionen aller Bereiche eines Programms
im Adressraum eines Prozesses per Zufallsprinzip angeordnet. Dieser
Mechanismus erschwert einem Angreifer die Durchführung eines Angriffs, der
das Vorausbestimmen von Zieladressen für die Ausführung eines beliebigen
Codes beinhaltet.
Quellenverstärkung auf Compiler-Ebene
Der Compiler GCC verwendet die Option FORTIFY_SOURCE, um unsichere
Codekonstrukte zu ersetzen (wenn möglich). Zum Beispiel könnte eine
unbegrenzte Speicherkopie durch ihre begrenzte Entsprechung ersetzt werden.
Schutzseiten
Wenn ein Prozess versucht, auf eine Speicherseite zuzugreifen, verursacht die
Schutzseite eine einmalige Ausnahme, und der Prozess schlägt fehl. Diese
Schutzseiten werden strategisch zwischen Speicherbereichen für verschiedene
Zwecke platziert, wie dem Standardprogramm-Heap und dem Objekt-Heap.
Dieser Mechanismus verhindert, dass ein Angreifer einen Heap-Pufferüberlauf
verursacht und das Verhalten eines Prozesses verändert oder mit den
Genehmigungen der beeinträchtigten Prozesse einen beliebigen Code ausführt.
119
BlackBerry 10-Gerätesicherheit
Schutz von Wi-Fi-Verbindungen
BlackBerry 10-Geräte können eine Verbindung mit Wi-Fi-Geschäftsnetzwerken herstellen, die den IEEE 802.11-Standard
verwenden. Der Standard IEEE 802.11i verwendet den Standard IEEE 802.1X zur Authentifizierung und Schlüsselverwaltung,
um Wi-Fi-Geschäftsnetzwerke zu schützen. Im Standard IEEE 802.11i ist festgelegt, dass Unternehmen das PSK-Protokoll oder
den Standard IEEE 802.1X als Zugriffssteuerungsmethoden für Wi-Fi-Netzwerke einsetzen müssen.
Sie können Wi-Fi-Profile verwenden, um Wi-Fi-Konfigurationsinformationen, darunter Sicherheitseinstellungen und alle
erforderlichen Zertifikate, an Geräte zu senden.
Von einem BlackBerry 10-Gerät unterstützte Layer 2Sicherheitsmethoden
BlackBerry 10-Geräte können Sicherheitsmethoden für Layer 2 (auch bekannt als IEEE 802.11-Verbindungsschicht)
verwenden, sodass der drahtlose Zugriffspunkt das Gerät authentifizieren kann, damit das Gerät und der drahtlose
Zugriffspunkt die Daten, die sie miteinander austauschen, verschlüsseln können. BlackBerry 10-Geräte unterstützen die
folgenden Layer 2-Sicherheitsmethoden:
•
WEP-Verschlüsselung (64-Bit und 128-Bit)
•
Standard IEEE 802.1X und EAP-Authentifizierung unter Verwendung von PEAP, EAP-TLS, EAP-TTLS und EAP-FAST
•
TKIP- und AES-CCMP-Verschlüsselung für WPA-Personal, WPA2-Personal, WPA - geschäftlich und WPA2 geschäftlich
Zur Unterstützung der Layer 2-Sicherheitsmethoden verfügen BlackBerry 10-Geräte über einen integrierten IEEE 802.1XSupplikanten.
Wenn ein geschäftliches Wi-Fi-Netzwerk EAP-Authentifizierung verwendet, können Sie den Zugriff von Geräten auf das
geschäftlicheWi-Fi-Netzwerk zulassen oder verweigern, indem Sie den zentralen Authentifizierungsserver Ihres Unternehmens
aktualisieren. Es ist nicht erforderlich, die Konfiguration eines jeden Zugriffspunkts zu aktualisieren.
Weitere Informationen zu IEEE 802.11 und IEEE 802.1X finden Sie unter www.ieee.org/portal/site. Weitere Informationen zur
EAP-Authentifizierung finden Sie unter RFC 3748.
IEEE 802.1X-Standard
Der IEEE 802.1X-Standard definiert ein generisches Framework zur Authentifizierung, mit dem ein Gerät und ein geschäftliches
Wi-Fi-Netzwerk sich gegenseitig authentifizieren können. Das EAP-Framework ist in RFC 3748 festgelegt.
BlackBerry 10-Geräte unterstützen EAP-Authentifizierungsmethoden, die den Anforderungen von RFC 4017 entsprechen, zur
Authentifizierung für das geschäftliche Wi-Fi-Netzwerk. Einige EAP-Authentifizierungsmethoden (z. B. EAP-TLS, EAP-TTLS,
EAP-FAST oder PEAP) verwenden Anmeldeinformationen, um gegenseitige Authentifizierung zwischen dem Gerät und dem WiFi-Geschäftsnetzwerk zu bieten.
120
BlackBerry 10-Gerätesicherheit
BlackBerry 10-Geräte sind mit den WPA - geschäftlich- und den WPA2 - geschäftlich-Spezifikationen kompatibel.
Datenfluss: Authentifizieren eines BlackBerry 10-Geräts mit einem geschäftlichen Wi-FiNetzwerk mithilfe des IEEE 802.1X-Standards
Wenn Sie einen drahtlosen Zugriffspunkt so konfiguriert haben, dass er den IEEE 802.1X-Standard verwendet, lässt der
Zugriffspunkt nur die Kommunikation per EAP-Authentifizierung zu. Bei diesem Datenfluss wird angenommen, dass Sie ein
BlackBerry 10-Gerät so konfiguriert haben, dass es die EAP-Authentifizierungsmethode zur Kommunikation mit dem
Zugriffspunkt verwendet.
1.
Das BlackBerry 10-Gerät verknüpft sich selbst mit dem Zugriffspunkt, den Sie so konfiguriert haben, dass er den IEEE
802.1X-Standard verwendet. Das Gerät sendet seine Anmeldeinformationen (in der Regel ein Benutzername und
Kennwort) an den Zugriffspunkt.
2.
Der Zugriffspunkt sendet die Anmeldeinformationen an den Authentifizierungsserver.
3.
Der Authentifizierungsserver führt folgende Aktionen aus:
4.
a
Authentifizieren des Geräts für den Zugriffspunkt
b
Anweisen des Zugriffspunkts, den Zugriff auf das geschäftliche Wi-Fi-Netzwerk zuzulassen
c
Senden von Wi-Fi-Anmeldeinformationen an das Gerät, sodass das Gerät mit dem Zugriffspunkt authentifizieren
kann
Der Zugriffspunkt und das Gerät verwenden EAPoL-Key-Nachrichten, um Verschlüsselungsschlüssel zu erstellen (z. B.
WEP, TKIP oder AES-CCMP, je nach der vom Gerät verwendeten EAP-Authentifizierungsmethode).
Wenn das Gerät EAPoL-Nachrichten sendet, verwendet das Gerät die von der EAP-Authentifizierungsmethode
vorgegebenen Verschlüsselungs- und Integritätsanforderungen. Wenn das Gerät EAPoL-Key-Nachrichten sendet,
verwendet das Gerät den ARC4-Algorithmus oder den AES-Algorithmus für Integrität und Verschlüsselung.
Nachdem der Zugriffspunkt und das Gerät den Verschlüsselungsschlüssel erstellt haben, kann das Gerät auf das geschäftliche
Wi-Fi-Netzwerk zugreifen.
Von Geräten unterstützte EAP-Authentifizierungsmethoden
PEAP-Authentifizierung
Mit der PEAP-Authentifizierung können Geräte mit einem Authentifizierungsserver authentifiziert werden und auf ein
geschäftliches Wi-Fi-Netzwerk zugreifen. Die PEAP-Authentifizierung verwendet TLS zum Erstellen eines verschlüsselten
Tunnels zwischen einem Gerät und dem Authentifizierungsserver. Das Gerät verwendet den TLS-Tunnel, um dem
Authentifizierungsserver Anmeldeinformationen für die Authentifizierung des Geräts zu senden.
Geräte unterstützen PEAPv0 und PEAPv1 für die PEAP-Authentifizierung. Geräte unterstützen außerdem EAP-MS-CHAPv2 und
EAP-GTC als Protokoll der zweiten Stufe während der PEAP-Authentifizierung, sodass die Geräte Anmeldeinformationen mit
dem geschäftlichen Wi-Fi-Netzwerk austauschen können.
121
BlackBerry 10-Gerätesicherheit
Um die PEAP-Authentifizierung zu konfigurieren, müssen Sie ein Zertifizierungsstellenzertifikat, das dem Zertifikat des
Authentifizierungsservers entspricht, an die Geräte senden und, falls erforderlich, Clientzertifikate anmelden. Sie können SCEPProfile verwenden, um Clientzertifikate auf Geräten anzumelden.
Weitere Informationen finden Sie in der Dokumentation für Administratoren.
EAP-TLS-Authentifizierung
Bei der EAP-TLS-Authentifizierung wird eine PKI verwendet, damit sich ein Gerät bei einem Authentifizierungsserver
authentifizieren und auf ein geschäftliches Wi-Fi-Netzwerk zugreifen kann. Die EAP-TLS-Authentifizierung verwendet TLS zum
Erstellen eines verschlüsselten Tunnels zwischen dem Gerät und dem Authentifizierungsserver. Die EAP-TLS-Authentifizierung
verwendet den mit TLS verschlüsselten Tunnel und ein Clientzertifikat, um die Anmeldeinformationen des Geräts an den
Authentifizierungsserver zu senden.
Geräte unterstützen EAP-TLS-Authentifizierung, wenn der Authentifizierungsserver und der Client Zertifikate verwenden, die
bestimmte Anforderungen erfüllen. Um die EAP-TLS-Authentifizierung zu konfigurieren, müssen Sie ein
Zertifizierungsstellenzertifikat, das dem Zertifikat des Authentifizierungsservers entspricht, an die Geräte senden und
Clientzertifikate anmelden. Sie können SCEP-Profile verwenden, um Zertifikate auf Geräten anzumelden. Weitere Informationen
finden Sie in der Dokumentation für Administratoren.
Weitere Informationen zur EAP-TLS-Authentifizierung finden Sie unter RFC 2716.
EAP-TTLS-Authentifizierung
EAP-TTLS-Authentifizierung erweitert die EAP-TLS-Authentifizierung, damit sich ein Gerät und ein Authentifizierungsserver
gegenseitig authentifizieren können. Wenn der Authentifizierungsserver sein Zertifikat zur Authentifizierung mit dem Gerät
verwendet und eine geschützte Verbindung zum Gerät herstellt, erfolgt die Authentifizierung des Geräts durch den
Authentifizierungsserver über ein Authentifizierungsprotokoll über die geschützte Verbindung.
Geräte unterstützen EAP-MS-CHAPv2, MS-CHAPv2 und PAP als Protokoll der zweiten Stufe während der EAP-TTLSAuthentifizierung, damit die Geräte Anmeldeinformationen mit dem geschäftlichen Wi-Fi-Netzwerk austauschen können.
Um die EAP-TTLS-Authentifizierung zu konfigurieren, müssen Sie ein Zertifizierungsstellenzertifikat, das dem Zertifikat des
Authentifizierungsservers entspricht, an die Geräte senden. Weitere Informationen finden Sie in der Dokumentation für
Administratoren.
Schutz vertraulicher BES12-Informationen durch das Gerät und Wi-Fi
Damit ein Gerät auf ein Wi-Fi-Netzwerk zugreifen kann, müssen Sie vertrauliche Wi-Fi-Informationen, wie
Verschlüsselungsschlüssel und Kennwörter, mithilfe von Wi-Fi-Profilen und VPN-Profilen an das Gerät senden. Nachdem das
Gerät die vertraulichen Wi-Fi-Informationen empfangen hat, verschlüsselt das Gerät die Verschlüsselungsschlüssel und die
Kennwörter und speichert sie im Flash-Speicher.
BES12 verschlüsselt die vertraulichen Wi-Fi-Informationen, die es an das Gerät sendet, und speichert die vertraulichen Wi-FiInformationen in der BES12-Datenbank. Sie können die vertraulichen Wi-Fi-Informationen in der BES12-Datenbank mithilfe von
Zugriffskontroll- und Konfigurationseinstellungen schützen.
122
BlackBerry 10-Gerätesicherheit
EAP-FAST-Authentifizierung
EAP-FAST-Authentifizierung verwendet PAC, um eine TLS-Verbindung zu einem Gerät herzustellen und die Anmeldedaten des
Supplikanten des Geräts über die TLS-Verbindung zu überprüfen.
Geräte unterstützen EAP-MS-CHAPv2 und EAP-GTC als Protokoll der zweiten Stufe während der EAP-FAST-Authentifizierung,
damit die Geräte Authentifizierungsdaten mit dem geschäftlichen Wi-Fi-Netzwerk austauschen können. Geräte unterstützen
die Verwendung automatischer PAC-Bereitstellung nur mit EAP-FAST-Authentifizierung.
Weitere Informationen zur EAP-FAST-Authentifizierung finden Sie unter RFC 4851.
Unterstützte EAP-Authentifizierungsmethoden bei der Verwendung von CCKM
BlackBerry 10-Geräte unterstützen die Verwendung von CCKM bei allen unterstützten EAP-Authentifizierungsmethoden, um
das Roaming zwischen drahtlosen Zugriffspunkten zu verbessern. Geräte unterstützen die Verwendung von CCKM nicht mit
dem CKIP-Verschlüsselungsalgorithmus oder dem AES-CCMP-Verschlüsselungsalgorithmus.
Verwenden von Zertifikaten mit PEAP-Authentifizierung, EAP-TLS-Authentifizierung oder
EAP-TTLS-Authentifizierung
Wenn Ihr Unternehmen zum Schutz der drahtlosen Zugriffspunkte für das geschäftliche Wi-Fi-Netzwerk PEAPAuthentifizierung, EAP-TLS-Authentifizierung oder EAP-TTLS-Authentifizierung verwendet, muss die gegenseitige
Authentifizierung zwischen einem Gerät und einem Zugriffspunkt über einen Authentifizierungsserver erfolgen. Zum
Generieren der Zertifikate, die das Gerät und der Authentifizierungsserver für die gegenseitige Authentifizierung verwenden, ist
eine Zertifizierungsstelle erforderlich.
Für eine erfolgreiche PEAP-Authentifizierung, EAP-TLS-Authentifizierung oder EAP-TTLS-Authentifizierung muss das Gerät dem
Zertifikat des Authentifizierungsservers vertrauen. Das Gerät vertraut dem Zertifikat des Authentifizierungsservers nicht
automatisch. Jedes Gerät speichert eine Liste der Zertifizierungsstellenzertifikate, denen es ausdrücklich vertraut. Das Gerät
muss das Zertifizierungsstellenzertifikat für das Zertifikat des Authentifizierungsservers speichern, um dem Zertifikat des
Authentifizierungsservers zu vertrauen.
Sie können Zertifizierungsstellenzertifikate an jedes Gerät senden, und Sie können SCEP-Profile verwenden, um
Clientzertifikate auf Geräten anzumelden. Weitere Informationen finden Sie in der Dokumentation für Administratoren.
BlackBerry Link-Schutz
Benutzer von BlackBerry 10-Geräten können BlackBerry Link auf einem Computer für Folgendes verwenden:
•
Synchronisieren von Musik, Bildern, Videos, Kontakten, Kalenderterminen und Dokumenten zwischen Geräten und
Computern über USB oder Wi-Fi-Verbindungen
•
Importieren von Kontakten und Kalenderterminen von Microsoft Outlook auf ein Gerät
•
Sichern und Wiederherstellen von persönlichen Apps und Daten
123
BlackBerry 10-Gerätesicherheit
•
Aktualisieren oder Neuinstallieren von Gerätesoftware
•
Übertragen unterstützter Einstellungen und Daten auf ein neues Gerät
•
Verwalten mehrerer Geräte, die die gleiche oder eine unterschiedliche BlackBerry ID verwenden
•
Remote-Dateizugriff erlauben, damit ihre Geräte auf Dateien zugreifen können, die in vom Benutzer ausgewählten
Ordnern auf ihren Computern gespeichert sind
BlackBerry Link und Geräte bieten Daten- und Verbindungsschutz während Sicherungs-, Wiederherstellungs-, Remote-Medienund Remote-Dateizugriffsvorgängen.
Authentifizierung zwischen Geräten und BlackBerry Link
Wenn Benutzer von BlackBerry 10-Geräten BlackBerry Link zum ersten Mal öffnen, können sie sich mithilfe ihrer BlackBerry
ID-Anmeldeinformationen anmelden, um die Verbindung zwischen ihren Geräten und BlackBerry Link zu authentifizieren.
BlackBerry Link nutzt die BlackBerry Infrastructure, um mithilfe eines TLS-Tunnels eine zuverlässige Kopplung mit einem Gerät
herzustellen. BlackBerry Link und das Gerät teilen Schlüssel, die auf der BlackBerry ID des Benutzers basieren. Die Zertifikate
werden mittels secp521r1 verschlüsselt. Wenn der Zertifikatsaustausch abgeschlossen ist, stellen BlackBerry Link und das
Gerät eine TLS-Verbindung mit gegenseitiger Authentifizierung her.
Bei der Erstauthentifizierung muss sich BlackBerry Link mittels login.cgi am Gerät anmelden, wenn das Gerät über ein
Kennwort verfügt. Anschließend wird ein Token erteilt, der Token-basierte Authentifizierung bei nachfolgenden Anmeldungen
ermöglicht.
Datenschutz zwischen BlackBerry Link und Geräten
Der Kommunikationskanal zwischen BlackBerry Link und einem BlackBerry 10-Gerät verwendet DTLS 1.0 und TLS 1.1 und
wird mittels AES-256 verschlüsselt. ECDH und ECDSA werden verwendet, um den gesicherten Kanal einzurichten.
Der Kommunikationskanal verwendet DTLS 1.0 für UDP-Verbindungen und TLS 1.1 für TCP-Verbindungen. BlackBerry Link und
Geräte unterstützen die TLS_ECDH_ECDSA_AES_256_SHA Cipher-Suite beim Aufbau einer TLS-Verbindung.
Sichern und Wiederherstellen
Benutzer von BlackBerry 10-Geräten können Apps und Daten auf Geräten mithilfe von BlackBerry Link sichern und
wiederherstellen. Benutzer können nur persönliche Apps und Daten auf Geräten sichern und wiederherstellen. Wenn Benutzer
versuchen, geschäftliche Apps und Daten zu sichern und zu bearbeiten, zeigt BlackBerry Link eine Fehlermeldung an.
Sicherungsschutz
Wenn der Benutzer eines BlackBerry 10-Geräts persönliche Apps und Daten sichert, verschlüsselt das Gerät die Apps und
Daten und authentifiziert anschließend die Sicherungsdatei und die Kopfzeileninformationen, bevor es die Datei an BlackBerry
Link sendet.Die Datei wird dann von BlackBerry Link auf dem Computer des Benutzers gespeichert.
124
BlackBerry 10-Gerätesicherheit
Das Gerät verwendet AES im CTR-Modus mit einem 256-Bit-Schlüssel, um Sicherungsdateien zu verschlüsseln und zu
entschlüsseln, und HMAC-SHA-256, um die Integrität und die Authentizität der Sicherungsdateien zu überprüfen.
Um Sicherungsdateien für den persönlichen Bereich zu verschlüsseln, verwendet das Gerät einen geheimen Schlüssel, der mit
dem BlackBerry ID-Konto des Benutzers verknüpft ist, um den Verschlüsselungsschlüssel und den HMAC-Schlüssel zu
generieren. Der geheime Schlüssel ist für den Benutzer nicht zugänglich und wird nie als Teil der Geräte-Sicherungsdatei
gespeichert. Der Verschlüsselungsschlüssel wird auf dem Gerät in verschlüsseltem Format gespeichert.
Das Gerät verwendet den geheimen Schlüssel und einen zufälligen Saltwert, um einen symmetrischen 256-BitVerschlüsselungsschlüssel und einen 256-Bit-Authentifizierungsschlüssel zu erstellen. Das Gerät verwendet den
Verschlüsselungsschlüssel zur Verschlüsselung und Entschlüsselung der Sicherungsdatei und den Authentifizierungsschlüssel
zur Überprüfung der Integrität und Authentizität der Sicherungsdatei.
Wiederherstellungsschutz
Wenn der Benutzer eines BlackBerry 10-Geräts gesicherte Apps und Daten auf einem Gerät wiederherstellt, überprüft das
Gerät die Authentizität und die Integrität der Sicherungsdatei, bevor es die Datei entschlüsselt und wiederherstellt.
Um eine verschlüsselte Sicherungsdatei für den persönlichen Bereich auf einem neuen Gerät wiederherzustellen, muss das
neue Gerät dieselbe BlackBerry ID wie das alte Gerät verwenden.
Remote-Medien- und Dateizugriffsarchitektur
Remote-Medien- und Dateizugriff über Wi-Fi-Verbindungen auf BlackBerry 10-Geräten wird durch eine WebDAV-Schnittstelle
ausgestellt, die mithilfe der folgenden Erweiterungsmodule auf dem Nginx-HTTP- und Proxy-Server implementiert wird:
•
Media Sync-Modul
•
Nginx-Modul
•
WebDAV-Modul
Remote-Zugriff auf Dateien und Medien ist auf den persönlichen Bereich bei BlackBerry Balance- und regulierten BlackBerry
Balance-Geräten beschränkt.
Kryptografie auf BlackBerry 10-Geräten
BlackBerry 10-Geräte unterstützen verschiedene Arten von kryptografischen Algorithmen, Codes, Protokollen und APIs.
125
BlackBerry 10-Gerätesicherheit
Symmetrische Verschlüsselungsalgorithmen
Algorithmus
Schlüssellänge (in Bits)
Modi
AES
128, 192, 256
CBC, CFB, ECB, OFB, CTR, CCM/CCM*, GCM,
Key Wrap (RFC 3394)
AES
512
XTS
Blowfish
bis zu 256
CBC, CFB, ECB, OFB
Camellia
128, 192, 256
CBC, ECB
CAST
40 bis 128
CBC, CFB, ECB, OFB
DES
56
CBC, CFB, ECB, OFB
DESX
184
CBC, CFB, ECB, OFB
RC2
bis zu 256
CBC, CFB, ECB, OFB
RC4
bis zu 256
—
Triple DES
112, 168
CBC, CFB, ECB, OFB
Asymmetrische Verschlüsselungsalgorithmen
Algorithmus
Unterstützte Kurven- oder Schlüssellänge (in Bits)
ECIES
secp192r1, secp256r1, secp384r1, secp521r1, sect163k1,
sect283k1
RSA PKCS#1 v1.5 / PKCS#1 v2.1 (OAEP)
512, 1024, 2048, 4096
Hash-Algorithmen
Algorithmus
Digest-Größe (in Bits)
AES-MMO
128
MD2
128
126
BlackBerry 10-Gerätesicherheit
Algorithmus
Digest-Größe (in Bits)
MD4
128
MD5
128
MDC-2
128
RIPEMD-160
160
SHA-1
160
SHA-2
224, 256, 384, 512
Nachrichtenauthentifizierungscode
Codes
Schlüssellänge (in Bits)
AES-XCBC-MAC
128
CMAC-AES
28, 192, 256
HMAC-MD5
128
HMAC-SHA-1
160
HMAC-SHA-2
224, 256, 384, 512
HMAC-RIPEMD-160
160
Signaturalgorithmen
Algorithmus
Unterstützte Kurven- oder Schlüssellänge (in Bits)
DSA (FIPS 186-3)
1024, 2048, 3072
ECDSA
secp192r1, secp256r1, secp384r1, secp521r1, sect163k1,
sect283k1
ECQV
secp192r1, secp256r1, secp384r1, secp521r1, sect163k1,
sect283k1
RSA PKCS#1 v1.5 / PKCS#1 v2.1 (PSS)
512, 1024, 2048, 4096
127
BlackBerry 10-Gerätesicherheit
Schlüsselvereinbarungsalgorithmen
Algorithmus
Unterstützte Kurven- oder Schlüssellänge (in Bits)
DH
1024, 2048, 3072
ECDH
secp192r1, secp256r1, secp384r1, secp521r1, sect163k1,
sect283k1
ECMQV
secp192r1, secp256r1, secp384r1, secp521r1, sect163k1,
sect283k1
Kryptografische Protokolle
Internetsicherheitsprotokolle
•
DTLS 1.0
•
SSL 2.0
•
SSL 3.0
•
TLS 1.0
•
TLS 1.1
•
TLS 1.2
VPN-Sicherheitsprotokolle
•
IKE
•
IKEv2
•
IPSec
Wi-Fi-Sicherheitsprotokolle
•
WEP
•
WPA-Personal
•
WPA - geschäftlich
•
WPA2-Personal
•
WPA2 - geschäftlich
128
BlackBerry 10-Gerätesicherheit
Cipher-Suites für SSL/TLS-Verbindungen
BlackBerry 10-Geräte unterstützen unterschiedliche Cipher-Suites für SSL/TLS im Direktmodus, wenn sie SSL/TLSVerbindungen zur BlackBerry Infrastructure oder zu Webservern innerhalb oder außerhalb Ihres Unternehmens herstellen. Die
folgenden Cipher-Suites werden unterstützt:
•
TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA
•
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
•
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
•
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
•
TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA
•
TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA
•
TLS_DHE_DSS_WITH_DES_CBC_SHA
•
TLS_DHE_DSS_WITH_SEED_CBC_SHA
•
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
•
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
•
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
•
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
•
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
•
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
•
TLS_DHE_RSA_WITH_DES_CBC_SHA
•
TLS_DHE_RSA_WITH_SEED_CBC_SHA
•
TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA
•
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
•
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
•
TLS_ECDH_ECDSA_WITH_RC4_128_SHA
•
TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA
•
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
•
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
•
TLS_ECDH_RSA_WITH_RC4_128_SHA
•
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
•
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
•
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
•
TLS_ECDHE_ECDSA_WITH_RC4_128_SHA
•
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
129
BlackBerry 10-Gerätesicherheit
•
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
•
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
•
TLS_ECDHE_RSA_WITH_RC4_128_SHA
•
TLS_PSK_WITH_3DES_EDE_CBC_SHA
•
TLS_PSK_WITH_AES_128_CBC_SHA
•
TLS_PSK_WITH_AES_256_CBC_SHA
•
TLS_PSK_WITH_RC4_128_SHA
•
TLS_RSA_EXPORT_WITH_DES40_CBC_SHA
•
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
•
TLS_RSA_EXPORT_WITH_RC4_40_MD5
•
TLS_RSA_WITH_3DES_EDE_CBC_SHA
•
TLS_RSA_WITH_AES_128_CBC_SHA
•
TLS_RSA_WITH_AES_256_CBC_SHA
•
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
•
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
•
TLS_RSA_WITH_DES_CBC_SHA
•
TLS_RSA_WITH_RC4_128_MD5
•
TLS_RSA_WITH_RC4_128_SHA
•
TLS_RSA_WITH_SEED_CBC_SHA
Kryptografische Bibliotheken
•
BlackBerry OS Cryptographic Library
•
OpenSSL
Kryptografische VPN-Unterstützung
Protokoll
IKE
Authentifizierungst IKE IPSec
ypen
DH-Gruppe
IKE-IPSecChiffrierschlüssel
PSK, PKI, XAUTHPSK, XAUTH-PKI
DES (56-BitSchlüssel), Triple
DES (168-BitSchlüssel), AES
1, 2, 5, 7 bis
26
130
IKE IPSec-Hash
IKE PRF
AES-XCBC, MD5,
SHA-1, SHA-256,
SHA-384, SHA-512
AES-XCBC, HMACMD5, HMAC-SHA-1,
HMAC-SHA-256,
HMAC-SHA-384,
HMAC-SHA-512
BlackBerry 10-Gerätesicherheit
Protokoll
Authentifizierungst IKE IPSec
ypen
DH-Gruppe
IKE-IPSecChiffrierschlüssel
IKE IPSec-Hash
IKE PRF
AES-XCBC, MD5,
SHA-1, SHA-256,
SHA-384, SHA-512
AES-XCBC, HMACMD5, HMAC-SHA-1,
HMAC-SHA-256,
HMAC-SHA-384,
HMAC-SHA-512
(128, 192, 256-BitSchlüssel)
IKEv2
PSK, PKI, EAP-TLS, 1, 2, 5, 7 bis
EAP-MS-CHAPv2
26
DES (56-BitSchlüssel), Triple
DES (168-BitSchlüssel), AES
(128, 192, 256-BitSchlüssel)
Kryptografische Wi-Fi-Unterstützung
Kryptografisches Protokoll Verschlüsselung
EAP externe Methode
EAP interne Methode
WEP
RC4
—
—
WPA
TKIP
PEAP, EAP-TTLS, EAP-FAST, EAPTLS, EAP-AKA, EAP-SIM
MSCHAPv2, EAP-GTC, PAP
WPA2
TKIP, CCMP (AES)
PEAP, EAP-TTLS, EAP-FAST, EAPTLS, EAP-AKA, EAP-SIM
MSCHAPv2, EAP-GTC, PAP
131
BlackBerry OS-Gerätesicherheit
BlackBerry OS-Gerätesicherheit
6
Wenn die BES12-Domäne Ihres Unternehmens BlackBerry OS-Geräte (Version 5.0 bis 7.1) unterstützt, informieren Sie sich in
der folgenden Tabelle über weiterführende Informationen zur Sicherheit von BlackBerry OS-Geräten.
Besuchen Sie http://help.blackberry.com/en/bes5-for-exchange/ und lesen Sie BlackBerry Enterprise Server 5 Technischer
Überblick – Sicherheit.
Weitere Informationen
Ressource
Aktivieren und Verwalten der
Geräte
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Aktivieren eines Geräts
•
Verwalten der Sicherheit der BlackBerry Enterprise Solution
BES12-Dokumentation für Administratoren
•
Daten während der Übertragung
Daten im Ruhezustand
IT-Administrationsbefehle
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Verschlüsseln der zwischen dem BlackBerry Enterprise Server und einem Gerät
gesendeten Daten
•
Schützen der Kommunikation mit einem Gerät
•
Schützen der Kommunikation in Ihrer Unternehmensumgebung
•
Wi-Fi-fähige Geräte
•
IEEE 802.1X-Standard
•
Verwenden eines VPN mit einem Gerät
•
Verwalten von Zertifikaten auf einem Gerät
•
Schützen von BlackBerry Device Software-Updates
•
Erweitern der Nachrichtensicherheit für ein Gerät
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Schlüssel auf einem Gerät
•
Gerätespeicher
•
Schützen von Geräten in Ihrer Unternehmensumgebung für den privaten und
geschäftlichen Gebrauch
•
Schützen von Daten auf einem Gerät
132
BlackBerry OS-Gerätesicherheit
Weitere Informationen
Apps
Ressource
•
Schützen der vom BlackBerry Enterprise Server in Ihrer
Unternehmensumgebung gespeicherten Daten
•
Konfigurieren der Zwei-Faktor-Authentifizierung und Schützen von BluetoothVerbindungen
•
Wi-Fi-fähige Geräte
•
IEEE 802.1X-Standard
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
Kryptografie
Steuern von Anwendungen auf einem Gerät
BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit
•
RIM-Kryptografie-API
133
Glossar
Glossar
7
A2DP
Advanced Audio Distribution Profile (erweitertes Audioverteilungsprofil)
AES
Advanced Encryption Standard (erweiterter Verschlüsselungsstandard)
AES-CCMP
Advanced Encryption Standard (Erweiterter Verschlüsselungsstandard) Counter Mode CBCMACProtokoll
AES-XCBC
Advanced Encryption Standard Extended Cipher Block Chaining
AES-XCBC-MAC
Advanced Encryption Standard mit erweitertem CBC-Nachrichtenauthentifizierungscode (CBC:
Blockchiffrierungsverkettung)
API
Application Programming Interface (Anwendungsprogrammierschnittstelle)
ARC4
Alleged Rivest's Cipher 4 (Verschlüsselungsverfahren)
AVRCP
Audio/Video Remote Control Profile (Bluetooth-Profil zur Fernsteuerung von Audio- oder
Videogeräten)
BES5
BlackBerry Enterprise Server 5
BES12
BlackBerry Enterprise Service 12
BlackBerrySignaturstellensyste
m
Das BlackBerry-Signaturstellensystem wird von Drittentwicklern zum kryptografischen Signieren
ihrer Anwendungen genutzt.
BES12-Instanz
BES12-Instanz bezieht sich auf alle BES12-Komponenten, die auf einem Computer installiert sind,
mit Ausnahme des BlackBerry Router, bei dem es sich um eine separat installierte optionale
Komponente handelt. Eine BES12-Instanz wird auch manchmal als „Einheit“ bezeichnet.
CA
Zertifizierungsstelle
CAC
Common Access Card
CAST
Carlisle Adams Stafford Tavares (Verschlüsselungsverfahren)
CBC
Cipher Block Chaining (Geheimtextblockverkettung)
CCKM
Cisco® Centralized Key Management (Zentralisiertes Key Manangement von Cisco®)
CCM
Client Certificate Management
CFB
Cipher Feedback (Schlüsselrückführung)
CKIP
Cisco Key Integrity Protocol (Protokoll zur Schlüsselsicherheit von Cisco)
CRL
Certificate Revocation List (Zertifikatwiderrufliste)
CSR
Certificate Signing Request (Anforderung für die Zertifikatssignatur)
134
Glossar
CTR
Messwert
DER
Distinguished Encoding Rules
DES
Data Encryption Standard (Datenverschlüsselungsstandard)
DH
Diffie-Hellman (Diffie-Hellman-Verfahren)
DISA
Defense Information Systems Agency
DMZ
Eine demilitarisierte Zone (DMZ) ist ein neutrales Subnetzwerk außerhalb der Firewall eines
Unternehmens. Sie besteht zwischen dem vertrauenswürdigen Unternehmens-LAN und dem nicht
vertrauenswürdigen externen drahtlosen Netzwerk und dem öffentlichen Internet.
DoS
Denial of Service (Dienstverweigerung)
DRBG
Deterministischer Zufallsbitgenerator
DSA
Digital Signature Algorithm (Digitaler Signaturalgorithmus)
DTLS
Datagram Transport Layer Security
EAP
Extensible Authentication Protocol (erweiterbares Authentifizierungsprotokoll)
EAP-AKA
Extensible Authentication Protocol Authentication and Key Agreement (Erweiterbares
Authentifizierungsprotokoll - Authentifizierung und Schlüsselvereinbarung)
EAP-FAST
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (Erweiterbares
Authentifizierungsprotokoll – Flexible Authentifizierung über sichere Tunnel)
EAP-GTC
Extensible Authentication Protocol-Generic Token Card (Erweiterbares Authentifizierungsprotokoll –
Generische Tokenkarte)
EAP-SIM
Extensible Authentication Protocol Subscriber Identity Module (Erweiterbares
Authentifizierungsprotokoll – Teilnehmeridentitätsmodul)
EAP-MS-CHAP
Extensible Authentication Protocol Microsoft® Challenge Handshake Authentication Protocol
(erweiterbares Authentifizierungsprotokoll – Challenge Handshake Authentication-Protokoll von
Microsoft®)
EAP-TLS
Extensible Authentication Protocol Transport Layer Security (erweiterbares
Authentifizierungsprotokoll – Transportschichtsicherheit)
EAP-TTLS
Extensible Authentication Protocol-Tunneled Transport Layer Security (Erweiterbares
Authentifizierungsprotokoll – Tunnel-Transportschichtsicherheit)
EAPoL
Extensible Authentication Protocol over LAN (erweiterbares Authentifizierungsprotokoll über LAN)
ECB
Electronic Codebook (elektronisches Codebook)
ECC
Elliptic Curve Cryptography (Kryptographieverfahren basierend auf elliptischer Kurve)
ECDH
Elliptic Curve Diffie-Hellman (elliptische Kurve nach Diffie-Hellman)
ECDSA
Elliptic Curve Digital Signature Algorithm (digitaler Signaturalgorithmus basierend auf elliptischer
Kurve)
135
Glossar
ECIES
Elliptic Curve Integrated Encryption Standard (Verschlüsselungsverfahren basierend auf elliptischer
Kurve)
ECMQV
Elliptic Curve Menezes-Qu-Vanstone (Kryptographieverfahren basierend auf elliptischer Kurve)
EC-SPEKE
Elliptic Curve – Simple Password Exponential Key Exchange (einfacher KennwortexponentialSchlüsselaustausch)
EDE
Encryption-Decryption-Encryption (Verschlüsselung-Entschlüsselung-Verschlüsselung)
EMM
Enterprise Mobility Management
FIPS
Federal Information Processing Standards (US-Standard für die Informationsverarbeitung)
GCC
GNU Compiler Collection
GCM
Galois/Counter Mode
GPS
Global Positioning System (Satellitengestütztes Navigations- und Positionsbestimmungssystem)
HDMI
High-Definition Multimedia Interface
HFP
Hands-Free Profile (Freisprechprofil)
HMAC
Keyed-Hash Message Authentication Code (verschlüsselter HashNachrichtenauthentifizierungscode)
HTTP
Hypertext Transfer Protocol (Hypertextübertragungsprotokoll)
HTTPS
Hypertext Transfer Protocol over Secure Sockets Layer (HTTP über SSL)
IEEE
Institute of Electrical and Electronics Engineers
IETF
Internet Engineering Task Force
IKE
Internet Key Exchange
IP
Internet Protocol (Internetprotokoll)
IPSec
Internet Protocol Security (Internetprotokollsicherheit)
IRM
Information Rights Management (Verwaltung von Informationsrechten)
IT-Richtlinie
Eine IT-Richtlinie besteht aus verschiedenen Regeln, die die Sicherheitsmerkmale und das Verhalten
von Geräten steuern.
KDC
Ein Schlüsselverteilungscenter (KDC) ist ein Server, der die vertrauenswürdige Vermittlerrolle für das
Kerberos™-Protokoll ausführt. Der KDC veröffentlicht Diensttickets und verwaltet eine Liste von
Tickets, die es veröffentlicht hat. Domänencontroller sind KDCs.
LAN
Local Area Network (lokales Netzwerk)
LDAP
Lightweight Directory Access Protocol (Anwendungsprotokoll)
LED
Light-Emitting Diode (Leuchtdiode)
MAP
Message Access Profile (Nachrichtenzugriffsprofil)
MD
Message Digest Algorithm (kryptografische Hashfunktion)
136
Glossar
MD5
Message-Digest Algorithm, Version 5 (Message-Digest-Algorithmus)
MDC
Modification Detection Code
MDM
Mobile Geräteverwaltung (Mobile Device Management)
MIME
Multipurpose Internet Mail Extensions (Protokoll für den Austausch von E-Mails über das Internet)
MMS
Multimedia Messaging Service (Multimedia-Dienst für mobile Geräte)
MOS
Mobiles Betriebssystem
MS-CHAP
Microsoft Challenge Handshake Authentication Protocol (Authentifizierungsprotokoll von Microsoft)
NDES
Network Device Enrollment Service (Registrierungsdienst für Netzwerkgeräte)
NFC
Near Field Communication (Nahfeldkommunikation)
NIST
National Institute of Standards and Technology (US-Standardisierungsinstitut)
NTLM
NT LAN Manager (Authentifizierungsverfahren für Rechnernetze)
NVRAM
Nonvolatile Random Access Memory
OBEX
Object Exchange (Objektaustausch)
OCSP
Online Certificate Status Protocol (Internetprotokoll zur Statusabfrage)
OFB
Output Feedback (Verschlüsselungsverfahren)
OPP
Object Push Profile
PAC
Protected Access Credential (geschützte Anmeldedaten)
PAN
Personal Area Networking
PAP
Password Authentication Protocol
PBAP
Phone Book Access Profile (Telefonbuch-Zugriffsprofil)
PEAP
Protected Extensible Authentication Protocol (Geschütztes erweiterbares
Authentifizierungsprotokoll)
PEM
Privacy Enhanced Mail
PFX
Personal Information Exchange (Austausch persönlicher Informationen)
PIN
Personal Identification Number (Persönliche Identifikationsnummer)
PIV
Personal Identity Verification
PKCS
Public Key Cryptography Standards (kryptographische Verschlüsselungsstandards)
PKI
Public Key Infrastructure (Infrastruktur öffentlicher Schlüssel)
PRNG
pseudo-zufälliger Zahlengenerator
PSK
Pre-Shared Key (vorinstallierter Schlüssel)
RC
Rivest's Cipher (Verschlüsselungsverfahren)
137
Glossar
RFC
Request For Comments (Kommentaranforderungen)
RIPEMD
RACE Integrity Primitives Evaluation Message Digest (RACE kryptographische Hash-Funktion)
S/MIME
Secure Multipurpose Internet Mail Extensions (Protokoll für den Austausch sicherer E-Mails über das
Internet)
SCEP
Simple Certificate Enrollment-Protokoll
SHA
Secure Hash Algorithm (Sicherer Hash-Algorithmus)
SMS
Short Message Service (Kurznachrichtendienst)
SOCKS
Socket Secure
Bereich
Ein Bereich ist eine bestimmte Gerätezone, in der verschiedene Arten von Daten, Anwendungen und
Netzwerkverbindungen getrennt und verwaltet werden können. Unterschiedliche Bereiche verfügen
über unterschiedliche Regeln zur Datenspeicherung, für Anwendungsberechtigungen und
Netzwerkroutings. Bereiche wurden bisher auch als Perimeter bezeichnet.
SPP
Serial Port Profile
SRP
Server Routing Protocol
SSL
Secure Sockets Layer (Netzwerkprotokoll zur sicheren Übertragung von Daten)
SSP
Secure Simple Pairing
TCP
Transmission Control Protocol (Übertragungssteuerungsprotokoll)
TCP/IP
Transmission Control Protocol/Internet Protocol (Transmission Control-Protokoll/Internetprotokoll)
bezeichnet einen Satz von Kommunikationsprotokollen, der für die Datenübertragung über
Netzwerke wie das Internet verwendet wird.
TGT
Das Ticket Granting Ticket (TGT) ist ein Dienstticket, das ein Client eines Kerberos-fähigen Diensts
an den TGS sendet, um das Dienstticket für den Kerberos-fähigen Dienst anzufordern.
TCP/IP
Transmission Control Protocol/Internet Protocol (Transmission Control-Protokoll/Internetprotokoll)
bezeichnet einen Satz von Kommunikationsprotokollen, der für die Datenübertragung über
Netzwerke wie das Internet verwendet wird.
TKIP
Temporal Key Integrity Protocol (temporäres Protokoll zur Schlüsselintegrität)
TLS
Transport Layer Security (Netzwerkprotokoll zur sicheren Datenübertragung)
Triple DES
Triple Data Encryption Standard (Verschlüsselungsstandard 3DES)
UDP
User Datagram Protocol (User Datagram-Protokoll)
UID
Unique Identifier (eindeutiger Bezeichner)
URI
Uniform Resource Identifier
USB OTG
USB On-The-Go
VPN
Virtual Private Network (Virtuelles privates Netzwerk)
WebDAV
Web Distributed Authoring and Versioning
138
Glossar
WEP
Wired Equivalent Privacy (Verschlüsselungsverfahren für WLAN)
WPA
Wi-Fi Protected Access (Geschützter Zugriff auf Funknetze)
xAuth
Erweiterte Authentifizierung
XEX
Xor-Encrypt-Xor (Verschlüsselung mit der Xor-Operation)
XML
Extensible Markup Language (erweiterbare Auszeichnungssprache)
XTS
Auf XEX basierender Tweaked CodeBook Mode (TCB) mit CipherText Stealing (CTS)
139
Rechtliche Hinweise
Rechtliche Hinweise
8
© 2015 BlackBerry. Sämtliche Marken einschließlich BLACKBERRY, dem BLACKBERRY-Symbol, BBM, BES, MANYME,
VIRTUAL SIM PLATFORM, WORKLIFE, MOVIRTU, SECUSMART, SECUSMART & Design, SECUSUITE, WATCHDOX, WATCHDOX
& Design und WATCHDOX und dem WATCHDOX-Symbol bzw. Design sind ohne Begrenzung Marken bzw. eingetragene
Warenzeichen von BlackBerry Limited, deren Tochtergesellschaften und/oder angegliederten Unternehmen, die unter Lizenz
verwendet werden; das exklusive Recht an diesen Marken wird ausdrücklich vorbehalten.
Adobe und Reader sind Marken oder eingetragene Marken der Adobe Systems Incorporated in den USA und/oder anderen
Ländern. Android, Google, Dalvik und Google Play sind Marken von Google Inc. Apple und App Store sind Marken von Apple Inc.
Bluetooth ist eine Marke von Bluetooth SIG. Cisco ist eine Marke von Cisco Systems, Inc. und/oder seiner angegliederten
Unternehmen in den USA und einigen anderen Ländern. Documents To Go ist eine Marke von Dataviz, Inc. DISA ist eine Marke
von Defense Information Systems Agency. Entrust und Entrust IdentityGuard sind Marken von Entrust, Inc. Evernote ist eine
Marke von Evernote Corporation. Facebook ist eine Marke von Facebook, Inc. HDMI ist eine Marke der HDMI Licensing, LLC.
IBM, Domino und Notizen sind eingetragene Marken der International Business Machines Corporation in vielen Ländern
weltweit. IEEE, 802.11, 802.11i und 802.1X sind Marken des Institute of Electrical and Electronics Engineers, Inc. iOS ist eine
Marke von Cisco Systems, Inc. und/oder seiner angegliederten Unternehmen in den USA und einigen anderen Ländern. iOS®
wird unter Lizenz von Apple Inc. verwendet. Kerberos ist eine Marke des Massachusetts Institute of Technology. LinkedIn ist
eine Marke der LinkedIn Corporation. Microsoft, Active Directory, ActiveSync und Windows Phone sind Marken oder
eingetragene Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Miracast ist eine Marke der Wi-Fi
Alliance. Nginx ist eine Marke von Nginx Software Inc. OpenSSL ist eine Marke der The OpenSSL Software Foundation, Inc. PGP
ist eine Marke der PGP Corporation. RSA ist eine Marke von RSA Security. Samsung, Samsung KNOX und KNOX sind Marken
von Samsung Electronics Co., Ltd. Symantec ist eine Marke oder eingetragene Marke der Symantec Corporation oder ihrer
Tochtergesellschaften in den USA und anderen Ländern. Twitter ist eine Marke von Twitter, Inc. Wi-Fi, WPA und WPA2 sind
Marken der Wi-Fi Alliance. Windows Phone ist eine Marke oder eine eingetragene Marke der Microsoft Corporation in den USA
und/oder anderen Ländern. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.
Dieses Dokument und alle Dokumente, die per Verweis in dieses Dokument mit einbezogen werden, z. B. alle über die
BlackBerry-Webseite erhältlichen Dokumente, werden ohne Mängelgewähr und je nach Verfügbarkeit bereitgestellt. Die
entsprechenden Dokumente werden ohne ausdrückliche Billigung, Gewährleistung oder Garantie seitens BlackBerry Limited
und seinen angegliederten Unternehmen („BlackBerry“) bereitgestellt. BlackBerry übernimmt keine Verantwortung für
eventuelle typografische, technische oder anderweitige Ungenauigkeiten sowie für Fehler und Auslassungen in den genannten
Dokumenten. Die BlackBerry-Technologie ist in dieser Dokumentation teilweise in verallgemeinerter Form beschrieben, um das
Eigentum und die vertraulichen Informationen und/oder Geschäftsgeheimnisse von BlackBerry zu schützen. BlackBerry behält
sich das Recht vor, die in diesem Dokument enthaltenen Informationen von Zeit zu Zeit zu ändern. BlackBerry ist jedoch nicht
verpflichtet, die Benutzer über diese Änderungen, Updates, Verbesserungen oder Zusätze rechtzeitig bzw. überhaupt in
Kenntnis zu setzen.
Diese Dokumentation enthält möglicherweise Verweise auf Informationsquellen, Hardware oder Software, Produkte oder
Dienste, einschließlich Komponenten und Inhalte wie urheberrechtlich geschützte Inhalte und/oder Websites von
Drittanbietern (nachfolgend "Drittprodukte und -dienste" genannt). BlackBerry hat keinen Einfluss auf und übernimmt keine
Haftung für Drittprodukte und -dienste, dies gilt u. a. für Inhalt, Genauigkeit, Einhaltung der Urheberrechtsgesetze,
Kompatibilität, Leistung, Zuverlässigkeit, Rechtmäßigkeit, Schicklichkeit, Links oder andere Aspekte der Drittprodukte und -
140
Rechtliche Hinweise
dienste. Der Einschluss eines Verweises auf Drittprodukte und -dienste in dieser Dokumentation impliziert in keiner Weise eine
besondere Empfehlung der Drittprodukte und -dienste oder des Drittanbieters durch BlackBerry.
SOFERN ES NICHT DURCH DAS IN IHREM RECHTSGEBIET GELTENDE RECHT AUSDRÜCKLICH UNTERSAGT IST, WERDEN
HIERMIT SÄMTLICHE AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, BILLIGUNGEN, GARANTIEN,
ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN JEDER ART, EINSCHLIESSLICH, OHNE EINSCHRÄNKUNG, BEDINGUNGEN,
BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER HALTBARKEIT, EIGNUNG
FÜR EINEN BESTIMMTEN ZWECK ODER VERWENDUNGSZWECK, MARKTGÄNGIGKEIT, MARKTGÄNGIGEN QUALITÄT,
NICHTVERLETZUNG VON RECHTEN DRITTER, ZUFRIEDENSTELLENDEN QUALITÄT ODER DES EIGENTUMSRECHTS
ABGELEHNT. DIES GILT AUCH FÜR ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DIE SICH AUS EINEM GESETZ, EINER
GEPFLOGENHEIT, USANCEN BZW. HANDELSGEPFLOGENHEITEN ERGEBEN ODER IM ZUSAMMENHANG MIT DER
DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER MANGELNDEN LEISTUNG VON SOFTWARE,
HARDWARE, DIENSTEN ODER DRITTANBIETER-PRODUKTEN UND -DIENSTEN STEHEN, AUF DIE HIER VERWIESEN WIRD.
MÖGLICHERWEISE HABEN SIE ZUDEM ANDERE LANDESSPEZIFISCHE RECHTE. IN MANCHEN RECHTSGEBIETEN IST DER
AUSSCHLUSS ODER DIE EINSCHRÄNKUNG KONKLUDENTER GEWÄHRLEISTUNGEN UND BEDINGUNGEN NICHT
ZULÄSSIG. IN DEM GESETZLICH ZULÄSSIGEN UMFANG WERDEN SÄMTLICHE KONKLUDENTEN GEWÄHRLEISTUNGEN
ODER BEDINGUNGEN IM ZUSAMMENHANG MIT DER DOKUMENTATION, DIE EINGESCHRÄNKT WERDEN KÖNNEN,
SOFERN SIE NICHT WIE OBEN DARGELEGT AUSGESCHLOSSEN WERDEN KÖNNEN, HIERMIT AUF 90 TAGE AB DATUM DES
ERWERBS DER DOKUMENTATION ODER DES ARTIKELS, AUF DEN SICH DIE FORDERUNG BEZIEHT, BESCHRÄNKT.
IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS HAFTET
BLACKBERRY UNTER KEINEN UMSTÄNDEN FÜR SCHÄDEN JEGLICHER ART, DIE IM ZUSAMMENHANG MIT DIESER
DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER NICHTLEISTUNG JEGLICHER SOFTWARE,
HARDWARE, DIENSTE ODER DRITTPRODUKTE UND -DIENSTE, AUF DIE HIER BEZUG GENOMMEN WIRD, STEHEN,
EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE FOLGENDEN SCHÄDEN: DIREKTE, VERSCHÄRFTEN
SCHADENERSATZ NACH SICH ZIEHENDE, BEILÄUFIG ENTSTANDENE, INDIREKTE, KONKRETE, STRAFE EINSCHLIESSENDE
SCHÄDEN, FOLGESCHÄDEN ODER SCHÄDEN, FÜR DIE ANSPRUCH AUF KOMPENSATORISCHEN SCHADENERSATZ
BESTEHT, SCHÄDEN WEGEN ENTGANGENEN GEWINNEN ODER EINKOMMEN, NICHTREALISIERUNG ERWARTETER
EINSPARUNGEN, BETRIEBSUNTERBRECHUNGEN, VERLUSTES GESCHÄFTLICHER DATEN, ENTGANGENER
GESCHÄFTSCHANCEN ODER BESCHÄDIGUNG BZW. VERLUSTES VON DATEN, DES UNVERMÖGENS, DATEN ZU
ÜBERTRAGEN ODER ZU EMPFANGEN, PROBLEMEN IM ZUSAMMENHANG MIT ANWENDUNGEN, DIE IN VERBINDUNG MIT
BLACKBERRY-PRODUKTEN UND -DIENSTEN VERWENDET WERDEN, KOSTEN VON AUSFALLZEITEN,
NICHTVERWENDBARKEIT VON BLACKBERRY-PRODUKTEN UND -DIENSTEN ODER TEILEN DAVON BZW. VON AIRTIMEDIENSTEN, KOSTEN VON ERSATZGÜTERN, DECKUNG, EINRICHTUNGEN ODER DIENSTEN, KAPITAL- ODER ANDERE
VERMÖGENSSCHÄDEN, UNABHÄNGIG DAVON, OB SCHÄDEN DIESER ART ABZUSEHEN ODER NICHT ABZUSEHEN WAREN,
UND AUCH DANN, WENN BLACKBERRY AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE.
IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS ÜBERNIMMT
BLACKBERRY KEINERLEI VERANTWORTUNG, VERPFLICHTUNG ODER HAFTUNG, SEI SIE VERTRAGLICHER,
DELIKTRECHTLICHER ODER ANDERWEITIGER NATUR, EINSCHLIESSLICH DER HAFTUNG FÜR FAHRLÄSSIGKEIT UND DER
DELIKTSHAFTUNG.
DIE IN DIESEM DOKUMENT GENANNTEN EINSCHRÄNKUNGEN, AUSSCHLÜSSE UND HAFTUNGSAUSSCHLÜSSE GELTEN:
(A) UNGEACHTET DER VON IHNEN ANGEFÜHRTEN KLAGEGRÜNDE, FORDERUNGEN ODER KLAGEN, EINSCHLIESSLICH,
ABER NICHT BESCHRÄNKT AUF VERTRAGSBRUCH, FAHRLÄSSIGKEIT, ZIVILRECHTLICHER DELIKTE, DELIKTSHAFTUNG
ODER SONSTIGE RECHTSTHEORIE UND SIND AUCH NACH EINEM WESENTLICHEN VERSTOSS BZW. EINEM FEHLENDEN
GRUNDLEGENDEN ZWECK DIESER VEREINBARUNG ODER EINES DARIN ENTHALTENEN RECHTSBEHELFS WIRKSAM; UND
141
Rechtliche Hinweise
GELTEN (B) FÜR BLACKBERRY UND DIE ZUGEHÖRIGEN UNTERNEHMEN, RECHTSNACHFOLGER, BEVOLLMÄCHTIGTEN,
VERTRETER, LIEFERANTEN (EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN), AUTORISIERTE BLACKBERRYDISTRIBUTOREN (EBENFALLS EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN) UND DIE JEWEILIGEN FÜHRUNGSKRÄFTE,
ANGESTELLTEN UND UNABHÄNGIGEN AUFTRAGNEHMER.
ZUSÄTZLICH ZU DEN OBEN GENANNTEN EINSCHRÄNKUNGEN UND AUSSCHLÜSSEN HAFTEN DIE FÜHRUNGSKRÄFTE,
ANGESTELLTEN, VERTRETER, DISTRIBUTOREN, LIEFERANTEN, UNABHÄNGIGEN AUFTRAGNEHMER VON BLACKBERRY
ODER BLACKBERRY ANGEHÖRENDEN UNTERNEHMEN IN KEINER WEISE IM ZUSAMMENHANG MIT DER
DOKUMENTATION.
Bevor Sie Drittprodukte bzw. -dienste abonnieren, installieren oder verwenden, müssen Sie sicherstellen, dass Ihr
Mobilfunkanbieter sich mit der Unterstützung aller zugehörigen Funktionen einverstanden erklärt hat. Einige Mobilfunkanbieter
bieten möglicherweise keine Internet-Browsing-Funktion in Zusammenhang mit einem Abonnement für BlackBerry® Internet
Service an. Erkundigen Sie sich bei Ihrem Dienstanbieter bezüglich Verfügbarkeit, Roaming-Vereinbarungen, Service-Plänen
und Funktionen. Für die Installation oder Verwendung von Drittprodukten und -diensten mit den Produkten und Diensten von
BlackBerry sind u. U. Patent-, Marken-, Urheberrechts- oder sonstige Lizenzen erforderlich, damit die Rechte Dritter nicht
verletzt werden. Es liegt in Ihrer Verantwortung, zu entscheiden, ob Sie Drittprodukte und -dienste verwenden möchten, und
festzustellen, ob hierfür Lizenzen erforderlich sind. Für den Erwerb etwaiger Lizenzen sind Sie verantwortlich. Installieren oder
verwenden Sie Drittprodukte und -dienste erst nach dem Erwerb aller erforderlichen Lizenzen. Alle Drittprodukte und -dienste,
die Sie mit Produkten und Diensten von BlackBerry erhalten, werden lediglich zu Ihrem Vorteil, ohne Mängelgewähr und ohne
ausdrückliche oder stillschweigende Bedingung, Billigung, Garantie, Zusicherung oder Gewährleistung jedweder Art von
BlackBerry bereitgestellt. BlackBerry übernimmt in diesem Zusammenhang keinerlei Haftung. Die Verwendung von
Drittprodukten und -diensten unterliegt Ihrer Zustimmung zu den Bedingungen separater Lizenzen und anderer geltender
Vereinbarungen mit Dritten, sofern sie nicht ausdrücklich von einer Lizenz oder anderen Vereinbarung mit BlackBerry
behandelt wird.
Die Nutzungsbedingungen für BlackBerry-Produkte und -Dienste werden in einer entsprechenden separaten Lizenz oder
anderen Vereinbarung mit BlackBerry dargelegt. KEINE DER IN DIESER DOKUMENTATION DARGELEGTEN BESTIMMUNGEN
SETZEN IRGENDWELCHE AUSDRÜCKLICHEN SCHRIFTLICHEN VEREINBARUNGEN ODER GEWÄHRLEISTUNGEN VON
BLACKBERRY FÜR TEILE VON BLACKBERRY-PRODUKTEN ODER -DIENSTEN AUSSER KRAFT.
BlackBerry Limited
2200 University Avenue East
Waterloo, Ontario
Canada N2K 0A7
BlackBerry UK Limited
200 Bath Road
Slough, Berkshire SL1 3XE
United Kingdom
Veröffentlicht in Kanada
142