:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Blackberry Bridge für RIM-Tablets Wie Blackberry-Smartphone und Playbook sicher per Bluetooth kommunizieren
Die Blackberry Bridge ist ein integraler Bestandteil im Konzept des Blackberry Playbook. Damit soll eine sichere Kommunikation zwischen Smartphone und Tablet möglich sein. Im Artikel erklären wir, wie RIM die Daten gegen unbefugten Zugriff schützen will und wie das Sicherheitskonzept der Blackberry Bridge aufgebaut ist.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Eine für Firmen und Blackberry-Nutzer interessante Funktion des Playbooks ist die Blackberry Bridge. Diese verwandelt das Tablet vereinfacht gesagt in einen Thin Client, der auf Anwendungen und Daten des Smartphones zugreifen kann. Über die Bridge kann man E-Mails lesen und bearbeiten, die Kontakte auf dem Blackberry einsehen, Kalender-, Aufgaben- und Notiz-App verwenden oder per Blackberry Messenger chatten.
Dank der Bridge lässt sich das Blackberry Smartphone auch als Proxy fürs Tablet nutzen, um darüber eine Verbindung ins Web aufzubauen. Der Clou dabei: Die Verbindung läuft über einen vorhandenen Blackberry Enterprise Server (BES) – mit dem Tablet kann man also auch auf Intranet-Anwendungen zugreifen.
Für die Übertragung setzt Research in Motion (RIM) auf Bluetooth. Der Hersteller ist sich durchaus bewusst, dass das Protokoll über die Jahre mehrfach erfolgreich attackiert wurde. Jede Verbindung wird daher zusätzlich mittels AES 256 verschlüsselt.
Die Einrichtung geht über normales Bluetooth-Pairing hinaus: Während des Vorgangs erzeugen die Systeme ein zufälliges Shared Secret. Während der Einrichtung bietet das Tablet einen QR-Code an, der mit der Bridge-App des Smartphones eingescannt wird. Alternativ kann man das Shared Secret auf dem Display anzeigen lassen, um es manuell auf dem Smartphone einzugeben. Wenn möglich sollte man das automatische Setup per QR-Code vorziehen, denn dann ist das Shared Secret 128 Bit lang – beim manuellen Setup sind es nur 30 Bit.
QNX als Tablet-Betriebssystem
Auf dem Blackberry Playbook kommt erstmals nicht Blackberry OS als Betriebssystem zum Einsatz, sondern QNX. Dieses ist zwar im Endkunden-Umfeld weniger bekannt, wird aber seit Jahren erfolgreich in Bereichen wie Automotive oder zum Betrieb von Kraftwerken genutzt.
QNX ist ein Mikrokernel-System. Diese Systeme integrieren so wenige Funktionen wie möglich direkt in den Kernel, alles andere wird in den so genannten User Space ausgelagert. Das bietet auch beim Thema Sicherheit Vorteile: Weil nur wenige Programme direkt im Rechtekontext des Kernels arbeiten, ist die Angriffsfläche deutlich geringer.
QNX ermöglicht RIM auch eine weitere Besonderheit des Playbooks: Die Aufteilung des verfügbaren Speichers in einen persönlichen und beruflichen Bereich. Beide kann man sich wie separate Festplatten vorstellen.
Die meisten Komponenten, die der Nutzer installiert, landen im persönlichen Bereich. Alle Informationen, die über einen Blackberry-Server oder die Blackberry-Bridge auf dem Gerät ankommen, werden im beruflichen Bereich abgelegt. Dieser bietet gegenüber dem persönlichen Bereich einen großen Unterschied: Alle Daten sind per AES 256 und dem Blackberry Bridge Work Key verschlüsselt.
Inhalt
- Seite 1: Blackberry Bridge setzt auf Bluetooth
- Seite 2: Integration ins Unternehmen
- Seite 3: Mögliche Bluetooth-Attacken und Gegenmaßnahmen
Integration ins Unternehmen
Aktuell gibt es für das Blackberry Playbook noch keine Verwaltungssoftware – weder auf dem Gerät noch für den Einsatz im Unternehmen. Die Blackberry Bridge soll diese Funktionen übernehmen, bis RIM eine passende Lösung liefert.
Bis dahin wird stattdessen das Smartphone verwaltet. Ein Beispiel für die Integration ist, dass die Bridge ein im Smartphone hinterlegtes Passwort abgefragt wird, bevor man auf die Bridge-Apps zugreifen kann. Wird das Passwort öfter falsch eingegeben, sperrt sich das Smartphone und löscht je nach Konfiguration alle gespeicherten Daten.
Die Bridge selbst speichert dabei, abgesehen vom verschlüsselten Cache, keine Daten auf dem Tablet ab. Sobald die Bluetooth-Verbindung abbricht, sperren sich die Applikationen der Bridge, ein Zugriff auf die Daten ist nicht mehr möglich.
Eine wichtige Ausnahme gibt es allerdings: Anhänge in E-Mails lassen sich über das Playbook weiterbearbeiten und auch auf dem Gerät speichern. Dadurch besteht die Möglichkeit, dass diese Informationen im Falle eines Diebstahls in die falschen Hände geraten.
Als Gegenmaßnahme kann man auch im Tablet selbst ein Passwort setzen. Dieses Kennwort wird an zwei Stellen abgefragt: Wenn der Nutzer das Gerät einschaltet und wenn per USB auf die Daten des Playbook zugegriffen wird. Zudem sollte man ein zweites Kennwort setzen, wenn die WiFi-Freigabe, also der Zugriff auf die Daten des Tablets über das WLAN, aktiviert wird.
Blackberry Bridge in der Praxis
Das Bridge-System funktioniert im Alltag überraschend gut. Sobald das Tablet ein eingerichtetes Smartphone in Bluetooth-Reichweite findet, verbinden sich die beiden Plattformen und die Bridge-Apps werden für den Nutzer aktiviert.
Selbst für technisch weniger versierte Nutzer ist das Setup einfach. Die Smartphone-App lässt sich aus der Blackberry AppWorld herunterladen und installieren oder wird alternativ über den BES an die Geräte geschickt.
Anschließend führt ein Assistent auf dem Tablet durch das Setup. Der große Vorteil ist, dass die Endnutzer keinerlei Konfiguration des Postfachs vornehmen müssen. Solange der Blackberry richtig konfiguriert ist, ist die Bridge innerhalb von Minuten eingerichtet und aktiv.
Inhalt
- Seite 1: Blackberry Bridge setzt auf Bluetooth
- Seite 2: Integration ins Unternehmen
- Seite 3: Mögliche Bluetooth-Attacken und Gegenmaßnahmen
Bluetooth-Attacken und Gegenmaßnahmen
Für Angreifer besonders interessant ist die Bluetooth-Verbindung zwischen dem Tablet und dem Smartphone. RIM skizziert in einem Whitepaper verschiedene Bluetooth-Angriffsszenarien und nennt zugleich die jeweiligen Gegenmaßnahmen:
Brute Force: Angreifer könnten per Brute Force die Verschlüsselung zwischen den beiden Geräten knacken und anschließend mitlauschen. Der Private Key allerdings 256 Bit lang ist, würde eine Entschlüsselung aktuell noch zu lange in Anspruch nehmen, als dass diese eine sinnvolle Attacke wäre.
Wörterbuch-Attacke: Theoretisch wäre es möglich, mit Hilfe eines Wörterbuchs das Passwort herauszufinden und so die Verschlüsselung zu knacken. RIM nutzt als Gegenmaßnahme das ECDH-Protokoll, welches nach dem Kryptographie-Prinzip der Elliptischen Kurven
Mitschneiden des Traffics: Mit der richtigen Ausrüstung könnte ein Angreifer unter Umständen die Kommunikation zwischen Tablet und Smartphone mitschneiden und versuchen, die Daten zu entschlüsseln. Der verwendete ECDH-Algorithmus hilft allerdings auch hier - er gilt aufgrund seines Aufbaus als sicher. Um an den privaten Schlüssel zu gelangen, müsste der Angreifer das Elliptic Curve Discrete Logarithm Problem lösen, mit dem der Schlüssel erzeugt wurde, was als ausgeschlossen gilt, da mit Ausnahme der Public Keys keinerlei Informationen freigegeben werden.
Vortäuschen eines Smartphones: Selbst wenn ein Angreifer erfolgreich ein Blackberry Smartphone vortäuschen könnte, um auf die Daten des Tablets zugreifen zu können, benötigt er den privaten Schlüssel. Auch hier müsste er wieder das ECDH-Problem lösen.
Man in the Middle: Sollte sich ein Angreifer in ein aktive Verbindung einschalten wollen, so steht er auch hier wieder vor dem Problem, dass er nur mit dem privaten Key einen erfolgreichen Angriff starten kann. ECDH schaltete sich auch hier ein: Zum einen ist es kaum möglich, das Passwort zu erraten - und selbst dann hat der Angreifer nur eine Chance, das Passwort einzugeben, da sich ansonsten der Pairing-Prozess zurücksetzt.
Small-Subgroup-Attacke: Theoretisch wäre es möglich, den privaten Key zu knacken, indem man die Geräte dazu zwingt, den Schlüssel aus einem kleineren Pool zu wählen - womit es einfacher wäre, ihn zu erraten. Auch hier setzt ECDH an, die Protokolle sind laut RIM so designed, dass eine Small-Subgroup-Attacke nicht möglich ist.
Inhalt
- Seite 1: Blackberry Bridge setzt auf Bluetooth
- Seite 2: Integration ins Unternehmen
- Seite 3: Bluetooth-Attacken und Gegenmaßnahmen
(ID:2052080)
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945861/original.jpg "Microsoft 365 ist für Unternehmen auf der ganzen Welt ein wichtiges Tool bei der Zusammenarbeit von entfernten, vermehrt die Cloud nutzenden Mitarbeitern. Aber wer sich auf die Zugänglichkeit von Microsoft 365 verlässt, muss auch darauf vorbereitet sein, dass Angreifer das Gleiche tun. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951865/original.jpg "Mit privacyIDEA 3.7 kann sich ein Benutzer an seinem Notebook mit einem zweiten Faktor anmelden, auch wenn das Gerät offline ist und den privacyIDEA-Server nicht erreichen kann. (tippapatt - stock.adobe.com)")