Sicherheitsleitfaden BES12. Version 12.2

Transkript

1 Sicherheitsleitfaden BES12 Version 12.2

2 Veröffentlicht: SWD

3 Inhalt Info zu diesem Handbuch... 9 Neuerungen für BlackBerry 10-Geräte... 9 Neuerungen für ios-, Android- und Windows Phone-Geräte...9 Sicherheitsmerkmale für BlackBerry Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte...13 Was ist BES12 Client? Für alle ios-, Android- und Windows Phone-Geräte geltende Sicherheitsfunktionen...14 Unterstützte Funktionen, die ios und Android systemeigen sind...15 Sicherheitsfunktionen für Geräte mit MDM-Steuerelementen Sicherheitsfunktionen für Android for Work-Geräte Sicherheitsmerkmale für Samsung-Geräte, die KNOX MDM verwenden...18 Sicherheitsfunktionen für Samsung-Geräte mit KNOX Workspace Trusted Boot-Bestätigung Unterstützung für TIMA Sicherheitsfunktionen für Geräte mit Secure Work Space...21 Schutz von Geräten vor Entsperren und Hacken...23 Typen von Apps für Secure Work Space...24 Sicherheit von Hardware und OS bei BlackBerry Hardware-Vertrauensstamm für BlackBerry-Geräte...25 Das BlackBerry 10 OS...25 Das Dateisystem...26 Sandboxing Geräteressourcen App-Berechtigungen Überprüfen der Software Verhindern von Speicherschäden...28 Aktivieren von Geräten...30 Verwenden von Aktivierungsarten für die Konfiguration der Kontrolle über Geräte Benutzerregistrierung mit der BlackBerry Infrastructure Aktivierungskennwörter... 33

4 Verwenden von IT-Richtlinien für die Sicherheitsverwaltung...33 Daten während der Übertragung bei BlackBerry 10-Geräten Verbinden von Geräten mit Ihren Ressourcen Schützen der Kommunikation zwischen Apps und Ihrem Unternehmensnetzwerk Schützen von Daten, die mittels Push an Apps auf Geräten übertragen wurden Verschlüsselungstypen für die Kommunikation zwischen Geräten und Ihren Ressourcen Schützen von Verbindungen mit Geschäftsnetzwerken Verbinden mit einem VPN Schutz von Wi-Fi-Verbindungen...40 Schutz von Daten während der Übertragung über die BlackBerry Infrastructure...44 Authentifizierung von BES12 bei der BlackBerry Infrastructure...44 Wie Geräte eine Verbindung zur BlackBerry Infrastructure herstellen...46 Wie BES12 und die BlackBerry Infrastructure Ihre Daten schützen...47 Schützen von Geräteverwaltungsdaten, die zwischen BES12 und Geräten gesendet werden...51 Bereitstellen von Geräten mit Zugriff per einmaligem Anmelden im Netzwerk Ihres Unternehmens Verwenden von Kerberos für die einmalige Anmeldung auf Geräten...53 Schutz der Kommunikation mit Geräten mithilfe von Zertifikaten Bereitstellung von BlackBerry 10-Client-Zertifikaten an Geräte...54 Verwenden von SCEP zur Anmeldung von Clientzertifikaten auf Geräten...55 Senden von Zertifizierungsstellenzertifikaten an Geräte...57 Schutz von -Nachrichten Steuern, welche Geräte Exchange ActiveSync verwenden können Erweitern der -Sicherheit...58 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten Verschlüsselungstypen für die Kommunikation zwischen Geräten und Ihren Ressourcen Schutz von Wi-Fi-Verbindungen...66 Wi-Fi-Geschäftsverbindung...67 Verbinden mit einem VPN Schützen von Daten während der Übertragung zwischen BES12 und ios-, Android und Windows Phone-Geräten...68 Schutz der Kommunikation mit Geräten mithilfe von Zertifikaten Senden von Clientzertifikaten an Geräte...69 Verwenden von SCEP zur Anmeldung von Clientzertifikaten auf Geräten...70 Senden von Zertifizierungsstellenzertifikaten an Geräte...71 Einrichten von Zugriff auf das Unternehmensnetzwerk nach einmaliger Anmeldung für ios-geräte...72 Schutz von -Nachrichten Steuern, welche Geräte Exchange ActiveSync verwenden können... 73

5 Erhöhen der Sicherheit von -Nachrichten mittels S/MIME Überlegungen zu Netzwerken mit DMZ Schützen von Verbindungen zur BES12 mithilfe des BlackBerry Router Verwenden eines BlackBerry Router oder eines Proxy-Servers mit BES Installieren von BES12 in einer DMZ...77 Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen...79 Datenfluss bei der Erstellung eines sicheren IP-Tunnels durch BlackBerry Secure Connect Plus Daten im Ruhezustand auf BlackBerry 10-Geräten Aktivierungsoptionen Sichern von BlackBerry Balance-Geräten...81 Sichern von regulierten BlackBerry Balance-Geräten Wie geschäftliche und persönliche Bereiche voneinander getrennt sind Sichern von Geräten, die nur über einen geschäftlichen Bereich verfügen Verschlüsselung...85 Schutz persönlicher Daten durch die Geräte Schutz geschäftlicher Daten durch die Geräte...87 Erweiterter Schutz von Daten im Ruhezustand Klassifizierung der Apps und Daten auf den Geräten...89 Kennwörter...91 Ändern von Kennwörtern Datenlöschung Überprüfen, wann die Geräte alle Daten im geschäftlichen Bereich löschen Alle Daten vom Gerät löschen Löschen der geschäftlichen Daten Steuern von Messaging Regeln des Zugriffs auf Inhalte Steuern des Zugriffs auf Geräte Steuern von Gerätefunktionen Steuern des Sicherheits-Timeout Verwalten des Teilens geschäftlicher und persönlicher Dateien mithilfe der Option "Teilen" Sicherstellen der Geräteintegrität Steuern der Software Steuern der Sprachsteuerung Steuern der Protokollierung Einrichten einer Startseitennachricht

6 Steuern von Netzwerkverbindungen von Geräten Übertragen von geschäftlichen Dateien von Geräten mit Bluetooth Verwalten von Datentransfer auf ein Gerät/von einem Gerät mithilfe von NFS Kontrollieren von Roaming BlackBerry Link-Schutz Authentifizierung zwischen Geräten und BlackBerry Link Datenschutz zwischen BlackBerry Link und Geräten Sichern und Wiederherstellen Remote-Medien- und Dateizugriffsarchitektur Smartcards Aufheben der Bindung einer Smartcard an ein Gerät Authentifizieren eines Benutzers mithilfe einer Smartcard Verwalten, wie Geräte Smartcards verwenden Daten im Ruhezustand für ios-, Android- oder Windows Phone-Geräte Kennwörter Datenlöschung Alle Daten vom Gerät löschen Löschen der geschäftlichen Daten Durchsetzen von Standards über Kompatibilitätsprofile Verhindern der Installation spezifischer Apps durch die Benutzer Sicherheits-Timeout Sicherheit der Secure Work Space Erstellen eines geschäftlichen Bereichs auf einem Gerät Schutz von Daten im geschäftlichen Bereich mit Verschlüsselung Verschlüsselung des geschäftlichen Bereichs Schutz des Kennworts für den geschäftlichen Bereich Timeout nach Inaktivität im geschäftlichen Bereich Speichern von Daten des geschäftlichen Bereichs auf Medienkarten Anzeige von geschäftlichen Kontakten in der Anrufer-ID Speichern von Arbeitsbrowserdaten Löschen des geschäftlichen Bereichs Steuern, wann Geräte den geschäftlichen Bereich löschen Enterprise-Konnektivität Verbindung eines Geräts mit Enterprise-Konnektivität mit BES Authentifizierung von BES12 bei der BlackBerry Infrastructure Verbindung eines Geräts mit Secure Work Space zur BlackBerry Infrastructure und zu BES

7 Speichern und Schützen von Zertifikaten Authentifizierung des Benutzers am BES12 Client Gesicherte Apps auf ios- oder Android-Geräten Verwalten der Verfügbarkeit gesicherter Apps auf Geräten Wie ein geschäftlicher Bereich gesicherte Apps wrappt App-Wrapping in der BlackBerry Infrastructure Informationsaustausch zwischen gesicherten Apps Wie ein geschäftlicher Bereich Fingerabdrücke von gesicherten Apps nimmt Anlagen für gesicherte Apps von Dritten Verwalten von Apps auf BlackBerry 10-Geräten Verwalten geschäftlicher Apps auf Geräten BlackBerry World for Work Installieren von persönlichen Apps auf Geräten Nutzer mithilfe von Entwicklungstools von der Installation von Apps abhalten Schützen eines Geräts vor schädlichen Apps Verweigerung des Zugriffs auf geschäftliche Apps und Daten für die BlackBerry Runtime für Android-Apps Verwalten der von Apps geöffneten Links in geschäftlichen und persönlichen Bereichen eines Geräts Verhindern, dass Benutzer in geschäftlichen Apps Sprachaufzeichnungen verwenden Verhindern, dass Benutzer bei gemeinsamer Bildschirmnutzung während BBM Video-Chats geschäftliche Dateien teilen Apps auf Geräten unverfügbar machen Steuern, wie sich Apps mit Netzwerken verbinden Steuern, wie geschäftliche Apps eine Verbindung zu Geschäftsnetzwerken herstellen Verhindern, dass sich persönliche Apps mit Netzwerken verbinden Geschäftlichen Apps erlauben, eine Verbindung zu persönlichen Netzwerken herzustellen Kryptografie auf BlackBerry 10-Geräten Symmetrische Verschlüsselungsalgorithmen Asymmetrische Verschlüsselungsalgorithmen Hash-Algorithmen Nachrichtenauthentifizierungscode Signaturalgorithmen Schlüsselvereinbarungsalgorithmen Kryptografische Protokolle Internetsicherheitsprotokolle VPN-Sicherheitsprotokolle Wi-Fi-Sicherheitsprotokolle

8 Cipher-Suites für SSL/TLS-Verbindungen Kryptografische Bibliotheken Kryptografische VPN-Unterstützung Kryptografische Wi-Fi-Unterstützung BlackBerry OS-Gerätesicherheit Glossar Rechtliche Hinweise...163

9 Info zu diesem Handbuch Info zu diesem Handbuch 1 Mit BES12 können Sie BlackBerry 10-, BlackBerry OS- (Version 5.0 bis 7.1), ios-, Android- (einschl. Android for Work- und Samsung KNOX-) und Windows Phone-Geräte für Ihr Unternehmen verwalten. Im vorliegenden Handbuch wird die von BES12 für die Verwaltung und Verwendung der Geräte bereitgestellte Sicherheit beschrieben. Außerdem werden die Sicherheitsfunktionen der BlackBerry 10-Hardware und von BlackBerry 10 OS beschrieben, sowie die Bereitstellung einer zusätzlichen Steuerungs- und Sicherheitsebene durch Secure Work Space für ios- Geräte sowie Android-Geräte, auf denen Android for Work bzw. Samsung KNOX nicht verwendet wird. Dieses Handbuch richtet sich an leitende IT-Experten, die für die Evaluierung des Produkts und die Planung der Produktbereitstellung verantwortlich sind, sowie an alle, die sich weiterführende Kenntnisse zu BES12 und zur Gerätesicherheit aneignen möchten. Behandelt wird die Art und Weise, wie BES12 dazu beitragen kann, übertragene und im Ruhezustand befindliche Daten sowie Apps Ihres Unternehmens zu schützen. Neuerungen für BlackBerry 10-Geräte In der folgenden Tabelle sind die Neuerungen für BES12 Version 12.2 aufgeführt. Funktion BlackBerry Secure Connect Plus Beschreibung Die BES12-Komponente BlackBerry Secure Connect Plus bietet einen sicheren IP- Tunnel zwischen Apps im geschäftlichen Bereich von BlackBerry 10-Geräten und dem Netzwerk des Unternehmens. Weitere Informationen finden Sie unter Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen. Neuerungen für ios-, Android- und Windows Phone-Geräte In der folgenden Tabelle werden die aktualisierten Sicherheitsfunktionen für BES12 Version 12.2 aufgeführt, die in diesem Dokument beschrieben werden. Funktion Unterstützung für Android for Work Beschreibung BES12 kann Geräte mit Android for Work verwalten. 9

10 Info zu diesem Handbuch Funktion Beschreibung Weitere Informationen finden Sie unter Sicherheitsfunktionen für Android for Work- Geräte. Unterstützung für Samsung KNOX Workspace Unterstützung für BlackBerry Secure Connect Plus BES12 kann Samsung-Geräte mit KNOX Workspace aktivieren. Weitere Informationen finden Sie unter Sicherheitsfunktionen für Samsung-Geräte mit KNOX Workspace. Geräte mit KNOX Workspace oder Android for Work können eine sichere Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry Secure Connect Plus herstellen. Die BES12-Komponente BlackBerry Secure Connect Plus bietet einen sicheren IP- Tunnel zwischen geschäftlichen Apps auf Geräten und dem Netzwerk des Unternehmens. Über diesen Tunnel haben Benutzer Zugriff auf Ressourcen hinter der Firewall des Unternehmens, wobei die Sicherheit der Daten mithilfe von Standardprotokollen und durchgehender Verschlüsselung sichergestellt wird. Weitere Informationen finden Sie unter Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen. Neue Secure Work Space-Funktionen Folgende neue Funktionen stehen in Secure Work Space zur Verfügung: IT-Richtlinienregel zur Steuerung des Exports von geschäftlichen Kontakten in die App für persönliche Kontakte auf Android-Geräten Verwendung von SCEP bei der Registrierung von Zertifikaten Zertifikatbasierte Authentifizierung für Exchange ActiveSync- Verbindungen Bei Verwendung von S/MIME: Unterstützung für die Überprüfung von Zertifikatsperrlisten, Zertifikatsuche über LDAP und Erzwingen von S/ MIME über eine -Profileinstellung Bereitstellung von Zertifikaten für Exchange ActiveSync-, S/MIME- und SSL-Verbindungen ios-geräte: IT-Richtlinienregeln zur Steuerung des Detaillierungsgrads in E- Mail-Benachrichtigungen bei gesperrtem geschäftlichem Bereich Unterstützung für den Versand von Verschlüsselungs- und Signaturzertifikaten per Entrust-PKI Löschen aller Daten von per Tethering verbundenen Geräten Für ios-geräte kann nun ein Profil für Benutzeranmeldeinformationen erstellt werden, das ein Entrust-Profil mit eigenem Verschlüsselungs- und Signaturzertifikat umfasst. Benutzer können nun alle Daten von Geräten löschen, die mit dem Computer über USB verbunden sind. 10

11 Info zu diesem Handbuch Funktion Benachrichtigung über Aktualisierungen an der IT-Richtlinie Beschreibung Wenn BlackBerry Aktualisierungen an der IT-Richtlinie sendet, werden Administratoren mit der Rolle IT-Richtlinie anzeigen bzw. IT-Richtlinie erstellen darüber benachrichtigt, wenn sie sich anmelden. 11

12 Sicherheitsmerkmale für BlackBerry Sicherheitsmerkmale für BlackBerry 2 Funktion BlackBerry Produktionssicherheitsmodell BlackBerry 10 OS-Schutz Administrative Kontrolle Kontrolle über den Gerätezugriff auf das Netzwerk Ihres Unternehmens Schutz von Daten während der Übertragung Schutz von Daten im Ruhezustand Kryptografie FIPS-Zertifizierung für den BES12-Server Beschreibung Das End-to-End-Produktionsmodell von BlackBerry gewährleistet BlackBerry 10-Gerätehardwareintegrität und dass nur echte BlackBerry- Geräte eine Verbindung zu der BlackBerry Infrastructure herstellen. Das BlackBerry 10 OS ist manipulationssicher, robust und sicher und umfasst viele Sicherheitsmerkmale, die Daten, Apps und Ressourcen auf Geräten schützen. BES12 ermöglicht Ihnen durch Funktionen wie Geräteaktivierung, IT- Administrationsbefehle, IT-Richtlinien und Profile Kontrolle über das Geräteverhalten. BES12 ermöglicht Ihnen, geschäftliche Wi-Fi-Profile und geschäftliche VPN-Profile an BlackBerry 10-Geräte zu senden, damit Sie kontrollieren können, welche Geräte eine Verbindung zu dem Netzwerk Ihres Unternehmens herstellen können. Daten während der Übertragung innerhalb der BES12-Lösung werden mithilfe von Sicherheitsfunktionen wie Verschlüsselung, Zertifikaten und gegenseitig authentifizierten Verbindungen geschützt. Daten im Ruhezustand auf BlackBerry 10-Geräten werden mithilfe von Sicherheitsfunktionen wie Verschlüsselung, Kennwörtern und Datenbereinigung geschützt. BlackBerry 10-Geräte unterstützen verschiedene Arten von kryptografischen Algorithmen, Codes, Protokollen und APIs. Jede BES12-Instanz verschlüsselt alle Daten, die sie direkt speichert, und beschreibt Daten indirekt mithilfe eines FIPS-zertifizierten kryptografischen Moduls. 12

13 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte 3 Abhängig vom Gerätetyp bietet BES12 diverse Verwaltungsoptionen. Die von Ihnen ausgewählte Verwaltungsoption bestimmt, welche Sicherheitsfunktionen verfügbar sind. Die folgende Tabelle enthält eine Liste der Verwaltungsoptionen, die in diesem Abschnitt näher erläutert werden. Verwaltungsoption Unterstützte Geräte Beschreibung MDM-Steuerelemente ios, Android und Windows Phone Diese Option umfasst einfache Funktionen zur Verwaltung von Geräten, Sicherheit und Apps. KNOX MDM Samsung Diese Option bietet einfache Funktionen zur Verwaltung von Geräten, Sicherheit und Apps über Samsung KNOX MDM-APIs. Android for Work Android-Geräte mit Android OS 5.0 oder höher Diese Option erstellt eine separates geschäftliches Profil auf Android-Geräten. KNOX Workspace Samsung Diese Option erstellt einen verschlüsselten KNOX Workspace auf Samsung-Geräten. Secure Work Space ios und Android Diese Option erstellt einen verschlüsselten geschäftlichen Bereich auf Android- und ios-geräten. Weitere Informationen zu den Verwaltungsoptionen für Android-Geräte finden Sie in der Dokumentation für Administratoren. Was ist BES12 Client? BES12 Client ist eine App, mit der BES12 mit ios-, Android- und Windows Phone-Geräten kommunizieren kann. Wenn Sie diese Geräte mit BES12 verwalten möchten, müssen die Benutzer zunächst BES12 Client auf den Geräten installieren. Benutzer können die neueste Version von BES12 Client aus dem App Store bei ios-geräten, aus Google Play bei Android-Geräten oder aus dem Windows Marketplace bei Windows Phone herunterladen. Nachdem Benutzer ihre Geräte aktiviert haben, können sie mit BES12 Client Folgendes tun: Überprüfen, ob ihre Geräte mit den Standards des Unternehmens kompatibel sind 13

14 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Die Profile anzeigen, die ihren Benutzerkonten zugewiesen wurden Die IT-Richtlinienregeln anzeigen, die ihren Benutzerkonten zugewiesen wurden Ihre Geräte deaktivieren Für alle ios-, Android- und Windows Phone- Geräte geltende Sicherheitsfunktionen Die folgenden Sicherheitsfunktionen gelten für alle Geräte und Verwaltungsoptionen. Funktion Verwaltungsbefehle Steuerelement für Kennwort und Gerät Steuerung der Netzwerkverbindung Beschreibung Sämtliche Verwaltungsoptionen ermöglichen Ihnen bzw. Benutzern, ein Gerät zu sperren, Gerätekennwörter zu ändern und Informationen von Geräten zu löschen. Einige Verwaltungsoptionen bieten zusätzliche Verwaltungsbefehle. Alle Verwaltungsoptionen ermöglichen das Festlegen von Kennwortanforderungen und das Deaktivieren von Gerätefunktionen (z. B. der Kamera) mit IT-Richtlinien. Einige Verwaltungsoptionen bieten verbesserte IT-Richtliniensätze für eine detailliertere Steuerung. Alle Verwaltungsoptionen unterstützen Wi-Fi-Profile, mit denen Sie festlegen können, wie Geräte eine Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von Wi- Fi herstellen können. Einige Verwaltungsoptionen und Gerätetypen unterstützen überdies VPN-Verbindungen und Enterprise-Konnektivität. Kompatibilität Alle Verwaltungsoptionen ermöglichen die Durchsetzung der Anforderungen des Unternehmens an Geräte, z. B. die Installation obligatorischer Apps. Auf ios- und Android-Geräten können Sie entsperrte oder gehackte Geräte verweigern. Zur Durchsetzung der Richtlinientreue können Sie Benutzern eine Benachrichtigung senden und sie auffordern, die Anforderungen des Unternehmens zu erfüllen. Sie können auch den Zugriff von Benutzern auf die Ressourcen und Anwendungen des Unternehmens beschränken und Geschäftsdaten oder alle Daten auf dem Gerät löschen. App-Verwaltung Alle Verwaltungsoptionen ermöglichen die Installation geschäftlicher Apps auf Geräten. Sie können angeben, ob Apps auf Geräten erforderlich sind, und Sie können sehen, ob eine geschäftliche App auf einem Gerät installiert ist. Einige Verwaltungsoptionen ermöglichen die Trennung geschäftlicher und persönlicher Apps mithilfe von Containern oder geschäftlicher Profile. 14

15 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Funktion Zertifikatsbasierte Authentifizierung Beschreibung Alle Verwaltungsoptionen unterstützen die zertifikatbasierte Authentifizierung zwischen Geräten und Netzwerken oder Servern in der Unternehmensumgebung. Alle Verwaltungsoptionen unterstützen das Senden von Zertifizierungsstellenzertifikaten an Geräte. Alle Verwaltungsoptionen für ios- und Android-Geräte unterstützen das Senden von Clientzertifikaten an Geräte. Einige Verwaltungsoptionen ermöglichen die Registrierung von Clientzertifikaten auf Geräten mittels SCEP. BES12 kann Profile und Zertifikate automatisch entfernen, wenn bei einem Gerät gegen eine der Bedingungen für Richtlinientreue (z. B. im Hinblick auf Jailbreak oder Rooting) verstoßen wird. Damit wird verhindert, dass das Gerät eine Verbindung mit den Ressourcen des Unternehmens herstellt, wenn die zertifikatbasierte Authentifizierung verwendet wird. Für die zertifikatsbasierte Authentifizierung ist kein Proxyserver zwischen dem Gerät und dem -Server Ihres Unternehmens erforderlich. Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen FIPS-Zertifizierung für die BES12 Client Wenn Ihr Unternehmen Exchange ActiveSync verwendet, unterstützen alle Verwaltungsoptionen Microsoft Exchange Gatekeeping. Sie können Microsoft Exchange konfigurieren, um die Nutzung von Exchange ActiveSync durch Geräte zu unterbinden, die nicht explizit auf einer zulässigen Liste in Microsoft Exchange aufgeführt sind. Mithilfe von Gatekeeping in BES12 können Sie steuern, welche Geräte der zulässigen Liste hinzugefügt werden. Wenn ein Gerät zur zulässigen Liste hinzugefügt wird, kann ein Benutzer auf das geschäftliche -Konto und andere Informationen auf dem Gerät zugreifen. BES12 Client ist eine App, mit der BES12 mit ios-, Android- und Windows Phone-Geräten kommunizieren kann. BES12 Client verwendet ein FIPS-zertifiziertes kryptografisches Modul, um alle Daten zu verschlüsseln, die er direkt speichert und indirekt in Dateien schreibt. Unterstützte Funktionen, die ios und Android systemeigen sind. Die folgenden Funktionen sind ios und Android systemeigen und werden auch von BES12 unterstützt. Weitere Informationen zu diesen Funktionen finden Sie in der ios- und Android-Dokumentation von Apple und Google. Funktion Komplette Festplattenverschlüsselung Beschreibung Komplette Festplattenverschlüsselung gewährleistet, dass alle Daten des Geräts in verschlüsselter Form gespeichert werden und nur Benutzern zugänglich sind, die eine Verschlüsselungs-PIN oder ein Kennwort eingeben. BES12 unterstützt die systemeigene, vollständige Festplattenverschlüsselung, die auf ios und Android angeboten wird. 15

16 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Funktion Adressraum-Layout- Randomisierung Beschreibung Adressraum-Layout-Randomisierung macht es Angreifern schwieriger, ein Gerät auszunutzen und ihren eigenen Code auszuführen. Diese Technik randomisiert die Lage von Systemkomponenten im Speicher, sodass es für Angreifer schwierig ist zu wissen, wo ein Sicherheitsrisiko vorliegt. BES12 unterstützt die systemeigene Adressraum-Layout- Randomisierung, die auf ios und Android angeboten wird. Sicherheitsfunktionen für Geräte mit MDM- Steuerelementen Die Verwaltungsoption MDM-Steuerelemente ermöglicht die Verwendung der standardmäßig auf ios-, Android- und Windows Phone-Geräten verfügbaren Sicherheitsfunktionen. Es wird kein separater, verschlüsselter Container erstellt, die geschäftlichen Apps und Daten werden nicht von den persönlichen getrennt. MDM-Steuerelemente lassen einige Bedenken in puncto Benutzer-Datenschutz unbeantwortet und bieten keine erhöhte Sicherheit. MDM-Steuerelemente sind normalerweise nicht empfehlenswert, wenn ein Unternehmen strenge Sicherheitsanforderungen zur Verhinderung von Datenverlust/-diebstahl hat. Je nach Gerätetyp stehen zusätzlich zu den Sicherheitsfunktionen für alle Gerätetypen die folgenden Sicherheitsfunktionen zur Verfügung: Gerät Sicherheitsfunktion ios VPN-Verbindung über VPN-Profile SCEP-Registrierung von Zertifikaten Durchsetzung von Richtlinientreue auf Geräten mit Jailbreak IT-Richtlinienregeln zur Steuerung verschiedener systemeigener Apps, Gerätefunktionen und überwachter Geräte sowie zum Konfigurieren von Einstufungen für zulässigen Inhalt Android Durchsetzung von Richtlinientreue auf gerooteten Geräten IT-Richtlinienregel für die Geräteverschlüsselung Windows Phone IT-Richtlinienregeln zur Steuerung von Geräteverbindungen per Bluetooth oder NFC, systemeigener Apps und firmeneigener Geräte (z. B. ob ein Benutzer ein Gerät zurücksetzen kann) 16

17 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Sicherheitsfunktionen für Android for Work- Geräte Android for Work ist eine von Google entwickelte Funktion, die zusätzliche Sicherheit für Unternehmen bietet, in denen Android- Geräte verwaltet werden sollen. Mit ihr wird ein geschäftliches Profil erstellt, das die geschäftlichen Apps und Daten enthält. Wenn Sie Android for Work verwenden, können Sie die Sicherheitsfunktionen für alle Geräte und die in der folgenden Tabelle aufgeführten Sicherheitsfunktionen nutzen: Sicherheitsfunktion Geräteverschlüsselung Geschäftliches Profil Verwaltungsbefehle für das geschäftliche Profil Zertifikatverwaltung App-Verwaltung Beschreibung Standardmäßig wird ein mit Android for Work aktiviertes Gerät mithilfe von AES-256 verschlüsselt. Wenn Sie ein Gerät mit Android for Work aktivieren, wird ein geschäftliches Profil erstellt, das geschäftliche Apps von persönlichen Apps trennt. Das geschäftliche Profil verfügt über ein eigenes Dateisystem, eigene App-Sandboxen und einen eigenen Zertifikat- Schlüsselspeicher. BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) das geschäftliche Profil sperren oder entfernen können. Sie können Clientzertifikate und CA-Zertifikate unter Verwendung verschiedener Arten von Profilen an Geräte senden, je nachdem, woher ein Zertifikat stammt. Sie können eingeschränkte und erforderliche Apps festlegen und sicherstellen, dass die Geräte entsprechend richtlinientreu sind. Alle Apps, die Sie bereitstellen, sind geschäftliche Apps, die in App-Sandboxen im geschäftlichen Profil installiert werden. Sie können App-Konfigurationen einrichten, um die Merkmale von Apps festzulegen. Sichere Verbindung über BlackBerry Secure Connect Plus Sie können BES12- und Android for Work-Geräte zum Herstellen einer sicheren Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry Secure Connect Plus konfigurieren. Hierfür müssen die Geräte mit der Aktivierungsart Geschäftlich und persönlich Benutzer-Datenschutz (Android for Work Premium) aktiviert werden. 17

18 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Sicherheitsmerkmale für Samsung-Geräte, die KNOX MDM verwenden BES12 kann Samsung-Geräte mithilfe von KNOX MDM verwalten. KNOX MDM umfasst die Sicherheitsfunktionen, die Samsung für die Geräte bereitstellt. Wenn ein Gerät aktiviert wird, erkennt BES12 automatisch, ob das Gerät KNOX MDM unterstützt. In der folgenden Tabelle werden die neben den standardmäßigen Android-Sicherheitsmerkmalen für Geräte, die KNOX MDM unterstützen, verfügbaren Sicherheitsfunktionen beschrieben: Sicherheitsfunktion VPN-Verbindung Verbesserter IT-Richtliniensatz Verbesserte App-Verwaltung Beschreibung BES12 umfasst VPN-Profile, die Sie an Geräte mit KNOX MDM senden können, damit diese eine Verbindung mit einem IPSec- oder SSL-VPN herstellen können. Sie können eine kennwort- oder zertifikatbasierte Authentifizierung verwenden. Sie können Samsung KNOX MDM-Geräte über einen verbesserten IT-Richtliniensatz steuern. Beispielsweise können Sie mithilfe verschiedener Regeln das Gerätekennwort, systemeigene Apps, Gerätefunktionalität, Konnektivität (einschließlich Bluetooth und NFC) und Browsereinstellungen steuern. Sie können Apps im Hintergrund installieren und deinstallieren, eingeschränkte Apps deaktivieren, die vor Durchsetzen der Richtlinie durch BES12 installiert wurden, und die Installation eingeschränkter Apps unterbinden. Sie können KNOX MDM mit oder ohne Container (z. B. KNOX Workspace oder Secure Work Space) verwenden. Wenn Sie auch ein Container verwenden möchten, müssen Sie eine Gold-Lizenz erwerben. Weitere Informationen über die KNOX MDM-Richtlinien finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectlang/bes12/current/policy-reference-spreadsheet-zip/. Sicherheitsfunktionen für Samsung-Geräte mit KNOX Workspace Samsung KNOX Workspace ist ein verschlüsselter kennwortgeschützter Container auf einem Samsung-Gerät für geschäftliche Apps und Daten. Er trennt die persönlichen Apps und Daten eines Benutzers von denen des Unternehmens und schützt letztere mithilfe erweiterter, von Samsung entwickelter Sicherheits- und Verwaltungsfunktionen. Wenn Sie KNOX Workspace verwenden, können Sie die Sicherheitsfunktionen für KNOX MDM-Geräte und die in der folgenden Tabelle aufgeführten Sicherheitsfunktionen nutzen: 18

19 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Sicherheitsfunktion Sicherheit der Hardware Beschreibung Standardmäßig werden für Samsung-Geräte, die KNOX Workspace unterstützen, die folgenden Sicherheitsfunktionen für Hardware und Betriebssystem verwendet: Secure Boot und Trusted Boot, die die Echtheit von Kernel und Betriebssystem prüfen TIMA, das den Kernel überprüft und auf Änderungen überwacht SE für Android Containerverschlüsselung Verbesserter IT-Richtliniensatz Standardmäßig verwenden Samsung-Geräte SE für Android. SE für Android teilt das Betriebssystem in Sicherheitsdomänen auf, damit Apps und Prozesse keinen unbefugten Zugriff auf Daten und Ressourcen erhalten. Apps außerhalb des KNOX Workspace erhalten beispielsweise keinen Zugriff auf App-Daten im geschäftlichen Bereich. Standardmäßig ist auf Samsung-Geräten der KNOX Workspace mit AES-256 verschlüsselt. Sie können den KNOX Workspace über einen verbesserten IT-Richtliniensatz steuern. Beispielsweise können Sie über verschiedene Regeln folgende Funktionen steuern: Kennwort für geschäftlichen Bereich Ob geschäftliche Apps Zertifikate anhand von Zertifikatsperrlisten prüfen sollen Trusted Boot-Bestätigung Trennung von geschäftlichen und persönlichen Daten (beispielsweise, ob geschäftliche Dateien im persönlichen Bereich zulässig sind) Ob geschäftliche und persönliche Daten wie Kontakte, Kalender und Benachrichtigungen synchronisiert werden können Smartcard-Authentifizierung für Browser und Konnektivität, einschließlich Bluetooth und NFC Browsereinstellungen Verwaltungsbefehle für den geschäftlichen Bereich Zertifikatbasierte Authentifizierung mittels SCEP Sichere Verbindung über BlackBerry Secure Connect Plus Zertifizierung BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) den geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich zurücksetzen, und den geschäftlichen Bereich entfernen können. Sie können Zertifikate mithilfe von SCEP an Geräte senden. Die Geräte können diese Zertifikate für VPN-, Exchange ActiveSync- und Wi-Fi-Verbindungen verwenden. Sie können BES12 und Geräte mit KNOX Workspace zum Herstellen einer sicheren Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry Secure Connect Plus konfigurieren. KNOX Workspace hat folgende Zertifizierungen: 19

20 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Sicherheitsfunktion Beschreibung FIPS Level 1 für Daten im Ruhezustand und während der Übertragung DISA MOS SRG Compliance Weitere Informationen finden Sie unter Trusted Boot-Bestätigung Trusted Boot ist eine Samsung KNOX-Funktion, die Kernel und Betriebssystem prüft, wenn ein Gerät gestartet wird. Trusted Boot überprüft die Integrität von Geräten mit einem KNOX Workspace, damit Sie wissen, dass keine unzulässige Firmware ausgeführt wird. Wenn ein Benutzer nicht genehmigte Firmware installiert, löst Trusted Boot das KNOX-Garantie-Bit aus, auf den KNOX Workspace kann nicht mehr zugegriffen werden, und Sie können das Gerät nicht mehr mit Samsung KNOX verwalten. Ist das Gerät verschlüsselt, kann es darüber hinaus nicht mehr verwendet werden. Standardmäßig ist die Trusted Boot-Überprüfung deaktiviert. Sie können sie über die Regel Trusted Boot-Bestätigung aktivieren aktivieren. Weitere Informationen über diese Regel finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectlang/bes12/current/policy-reference-spreadsheet-zip/. Weitere Informationen zu Trusted Boot finden Sie unter Unterstützung für TIMA TIMA prüft, ob der Geräte-Kernel während der Laufzeit beschädigt wurde. Wenn Sie ein Gerät mit KNOX Workspace aktivieren, unterstützt BES12 die folgenden Elemente von TIMA: TIMA CCM, das Zertifikate speichert, die von Apps zum Ver- und Entschlüsseln, Signieren und für die Inhaltsprüfung verwendet werden können. TIMA CCM ähnelt einer Smartcard. BES12 speichert automatisch Wi-Fi-Zertifikate, für die Konnektivität mit der BlackBerry Infrastructure erforderliche Zertifikate, freigegebene Zertifikate, Benutzerzertifikate und Benutzeranmeldeinformationen im TIMA CCM. Nur zugelassene Apps im KNOX Workspace, denen der Zertifikatalias bekannt ist, können auf Zertifikate im TIMA CCM zugreifen. Diese Funktion steht für Geräte zur Verfügung, die KNOX 2.1 oder höher unterstützen. TIMA-Schlüsselspeicher, in dem die Schlüssel zur Verschlüsselung des KNOX Workspace gespeichert werden und der für Apps Dienste zum Generieren und Pflegen von Kryptografieschlüsseln bietet. CA-Zertifikate werden nicht im TIMA CCM, sondern im Zertifikatspeicher des KNOX Workspace gespeichert. 20

21 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Sicherheitsfunktionen für Geräte mit Secure Work Space Secure Work Space ist ein Container, der ein höheres Maß an Kontrolle und Sicherheit für ios- und Android-Geräte bietet. Secure Work Space umfasst gesicherte Apps, die geschützt und von persönlichen Apps und Daten getrennt werden. Die gesicherten Apps umfassen eine integrierte -, Kontakte- und Kalender-App, einen sicheren Browser auf Unternehmensebene und eine App zum sicheren Anzeigen und Bearbeiten von Dokumenten. Mithilfe des geschäftlichen Browsers können Benutzer das geschäftliche Intranet und das Internet sicher durchsuchen. In der folgenden Tabelle sind die Secure Work Space-spezifischen Sicherheitsfunktionen aufgeführt. Funktion Schutz der Daten beim Transport zwischen BES12 und einem Gerät Funktion zur Herstellung einer Verbindung zu Arbeitsressourcen, ohne VPN oder eingehende Ports in der Firewall zu verwenden Beschreibung BES12 schützt die Daten, die zwischen BES12 und einem Gerät mit Secure Work Space transportiert werden. BES12 und ein Gerät können mithilfe des TLS- Protokolls mit dem AES-256-Algorithmus kommunizieren. Ein Gerät mit Secure Work Space sendet Daten an BlackBerry Infrastructure, was anschließend mit BES12 über den von ausgehendem Datenverkehr initiierten und bidirektionalen Port 3101 kommuniziert. Die Daten werden vom BES12 über den gleichen Pfad zurück zum Gerät transportiert. Schutz von Daten des geschäftlichen Bereichs auf einem Gerät Zum geschäftlichen Bereich gehören gesicherte Apps. Gesicherte Apps sind geschäftliche Apps, die der geschäftliche Bereich mit zusätzlichen Schutzmaßnahmen sichert. Standardmäßig schützen gesicherte Apps ihre Daten mit der AES-256- Verschlüsselung. Wenn Sie zulassen, dass alle Apps auf die Daten im geschäftlichen Bereich zugreifen können, verschlüsseln die gesicherten Apps ihre Daten nicht. Gesicherte Apps hashcodieren Kennwörter, bevor sie sie speichern. Der geschäftliche Bereich trennt Daten des geschäftlichen Bereichs von anderen Daten. Eine gesicherte App kann nur mit einer anderen gesicherten App kommunizieren und mit ihr Daten teilen, es sei denn, Sie lassen zu, dass alle Apps auf die Daten im geschäftlichen Bereich zugreifen können. Der geschäftliche Bereich ermöglicht es einem Benutzer, aus einer gesicherten App in eine andere gesicherte App zu kopieren, jedoch nicht in eine geschäftliche oder persönliche App. 21

22 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Funktion FIPS-Zertifizierung für die Verschlüsselung von Daten des geschäftlichen Bereichs Verbesserter IT-Richtliniensatz Verwaltungsbefehle für den geschäftlichen Bereich Beschreibung Der geschäftliche Bereich verschlüsselt alle Daten, die er direkt speichert und mithilfe eines FIPS-zertifizierten kryptografischen Moduls indirekt in Dateien schreibt. Mit dem Secure Work Space-IT-Richtliniensatz können Sie ein Kennwort für den geschäftlichen Bereich konfigurieren, vorgeben, was auf Geräten nach einem bestimmten Zeitraum der Inaktivität passieren soll, und geschäftliche Kontakte steuern. BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) den geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich zurücksetzen und den geschäftlichen Bereich entfernen können. Schutz des Betriebssystems Der geschäftliche Bereich kann einen Prozess für eine gesicherte App, die nicht mehr reagiert, neu starten, ohne dadurch andere Prozesse negativ zu beeinflussen. Der geschäftliche Bereich überprüft Anfragen, die Apps für Ressourcen auf dem Gerät stellen. Schutz von App-Daten mit Sandboxing Der geschäftliche Bereich verwendet Sandboxing, um die Funktionen und Berechtigungen gesicherter Apps, die auf dem Gerät ausgeführt werden, zu trennen und zu beschränken. Jeder Anwendungsprozess im geschäftlichen Bereich wird in seiner eigenen Sandbox ausgeführt. Der geschäftliche Bereich bewertet die Anfragen, die die Prozesse einer gesicherten App für Speicher außerhalb ihrer Sandbox stellen. Verwaltung von Berechtigungen für den Zugriff auf Funktionen Funktion zum Hinzufügen Ihrer eigenen gesicherten Apps Funktion zum Hinzufügen gesicherter Apps von anderen Anbietern Der geschäftliche Bereich bewertet jede Anfrage, die eine gesicherte App stellt, um auf eine Funktion auf dem Gerät zuzugreifen. Ihr Unternehmen kann interne Apps in gesicherte Apps konvertieren, die im geschäftlichen Bereich installiert und ausgeführt werden können. Um eine App in eine gesicherte App zu konvertieren, müssen Sie die Binärdatei der App mithilfe der BES12-Verwaltungskonsole sichern. Anschließend muss der App-Entwickler die App erneut signieren (und gegebenenfalls eine Berechtigungsdatei für eine ios- App erstellen). Dann können Sie die App im geschäftlichen Bereich auf den Geräten installieren. Drittentwickler von Apps können ihre Apps sichern und erneut signieren und sie auf App Store oder Google Play zur Verfügung stellen, damit Sie sie an Benutzer senden können. Apps von App Store oder Google Play, die nicht als gesicherte Apps gekennzeichnet sind, können nicht im geschäftlichen Bereich installiert oder ausgeführt werden. 22

23 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Funktion Beschreibung Nur der App-Anbieter kann eine App sichern und erneut signieren, sodass sie im geschäftlichen Bereich installiert werden kann. Schutz des Konto-Managers auf einem Gerät Schutz der gesicherten Apps vor Trojanern und Schadsoftware Erkennung eines entsperrten oder gehackten Status Erlaubte und eingeschränkte - Domänen Manche Geräte verwenden einen Konto-Manager, um die Anmeldeinformationen für verschiedene Benutzerkonten zu speichern. Der geschäftliche Bereich schützt die von gesicherten Apps gespeicherten Anmeldeinformationen, sodass die Anmeldeinformationen ausschließlich von gesicherten Apps geteilt werden können. Der geschäftliche Bereich nimmt von Apps Fingerabdrücke, um sicherzustellen, dass nur bekannte und vertrauenswürdige Apps als gesicherte Apps ausgeführt werden können. Gesicherte Apps werden überprüft, bevor sie an den geschäftlichen Bereich eines Geräts gesendet werden und jedes Mal, wenn sie auf dem Gerät ausgeführt werden. Wenn ein Gerät entsperrt oder gehackt wurde, hat der Benutzer Stammzugriff auf das Betriebssystem des Geräts. BES12 wurde entwickelt, um zu erkennen, ob ein Gerät entsperrt oder gehackt wurde. Sie können den Benutzer benachrichtigen oder auffordern, sogenannte Jailbreak-Software oder Rooting-Software vom Gerät zu entfernen. Wenn ein Gerät entsperrt oder gehackt wurde, kann der Benutzer den geschäftlichen Bereich nicht installieren bzw. nicht auf diesen zugreifen, wenn er bereits installiert wurde. Um Datenverlust zu verhindern, unterstützen Geräte mit Secure Work Space erlaubte und eingeschränkte Domänen für -, Kalender- und Terminplanerdaten. Die erlaubten und eingeschränkten Domänenlisten bestimmen, welche Links der Benutzer von seinen geschäftlichen - und Terminplanerdaten aufrufen kann, und an wen der Benutzer -Nachrichten, Kalendereinladungen und Terminplanerdaten senden kann. Schutz von Geräten vor Entsperren und Hacken ios Bei ios-geräten schützt Secure Work Space gegen Jailbreaking. Secure Work Space führt Standardprüfungen an Pfadnamen und gemeinsamen Dateien durch sowie zusätzliche Überprüfungen, z. B. Tests, ob Privilegien eskaliert werden können, indem Prozesse verzweigt und Systemaufrufe ausgeführt werden. Gesicherte Apps führen In-Process-Speicherprüfungen durch, die Jailbreak-Signaturen in Echtzeit erkennen und eine starke Verteidigung gegen alle Formen von Jailbreak bietet. In-Process-Speicherprüfungen werden durch mehrere Mechanismen geschützt, um zu verhindern, dass die Algorithmen überwunden werden. Die Prüfungen werden beispielsweise über den Code verteilt und beinhalten falsche Spuren und andere Verteidigungstaktiken. 23

24 Sicherheitsmerkmale für ios-, Android- und Windows Phone-Geräte Jailbreak-Prüfungen werden ausgeführt, wenn gesicherte Apps ausgeführt werden. Wenn ein Benutzer ein Gerät verliert, und ein Angreifer das Gerät entsperrt, schützt die Verschlüsselung des geschäftlichen Bereichs die Daten darin vor Angriffen wie beispielsweise Bit-Kopien des persistenten Speichers. Um Secure Work Space auf einem ios-gerät, das entsperrt wurde, auszuführen, müssen Sie das Gerät in einen nicht entsperrten Zustand zurücksetzen. Android Betriebssystem Bei Android-Geräten verwendet Secure Work Space die MDM APIs des Herstellers, um zu erkennen, ob das Gerät gehackt wurde sowie zusätzliche, für Secure Work Space spezifische Nachweisverfahren. Die Prüfungen werden nach Wahrscheinlichkeit ausgeführt und stoppen, wenn sie erkennen, dass das Gerät gehackt wurde. Die Nachweisverfahren des Geräteherstellers sind über ein Partnerprogramm lizenziert und nicht öffentlich zugänglich. Um Secure Work Space auf einem Android-Gerät, das gehackt wurde, auszuführen, müssen Sie das Gerät in einen nicht gehackten Zustand zurücksetzen. Typen von Apps für Secure Work Space Auf Geräten mit Secure Work Space können drei verschiedenen Typen von Apps ausgeführt werden: App-Typ Persönliche App Geschäftliche App Gesicherte App Beschreibung Eine App, die der Benutzer auf dem Gerät installiert, oder eine App, die der Hersteller oder der Mobilfunkanbieter auf dem Gerät installiert. BES12 behandelt diese Apps und die Daten, die diese speichern, als persönliche Daten. Eine App, die Sie auf dem Gerät eines Benutzers installieren und verwalten. BES12 behandelt diese Apps und die Daten, die diese speichern, als geschäftliche Daten. Eine geschäftliche App, die der geschäftliche Bereich mit zusätzlichen Schutzmaßnahmen sichert. BES12 behandelt diese Apps und die Daten, die diese speichern, als Daten des geschäftlichen Bereichs. Es gibt verschiedene Typen gesicherter Apps: App-Typ Standardmäßig gesicherte App Intern gesicherte App Extern gesicherte App Beschreibung Eine gesicherte App, die auf jedem Gerät mit Secure Work Space erscheint. Eine App, die Ihr Unternehmen entwickelt und speziell vorbereitet, um im geschäftlichen Bereich ausgeführt zu werden. Eine App, die ein Drittanbieter entwickelt, und die der App-Anbieter speziell vorbereitet, um im geschäftlichen Bereich ausgeführt zu werden. 24

25 Sicherheit von Hardware und OS bei BlackBerry 10 Sicherheit von Hardware und OS bei BlackBerry 10 4 Hardware-Vertrauensstamm für BlackBerry- Geräte BlackBerry gewährleistet die Integrität der BlackBerry-Gerätehardware und stellt sicher, dass sich gefälschte Geräte nicht mit der BlackBerry Infrastructure verbinden und keine BlackBerry-Dienste verwenden können. Bei BlackBerry wird zu jedem Zeitpunkt des Produktlebenszyklus bei der Produktgestaltung aller wichtigen Komponente die Sicherheit der Geräte berücksichtigt. BlackBerry hat sein End-to-End-Produktionsmodell verbessert, um die sichere Verbindung der Versorgungskette, der BlackBerry-Produktionspartner, der BlackBerry Infrastructure und der BlackBerry- Geräte zu gewährleisten, sodass BlackBerry zuverlässige Geräte auf der ganzen Welt herstellen kann. Das BlackBerry-Produktionssicherheitsmodell sorgt dafür, dass gefälschte Geräte echte Geräte nicht imitieren können, und stellt sicher, dass ausschließlich authentische BlackBerry -Geräte eine Verbindung zur BlackBerry Infrastructure herstellen können. Die BlackBerry Infrastructure stellt die Identität eines Gerätes, das sich anmelden will, mithilfe der Geräteauthentifizierung kryptografisch fest. Die BlackBerry-Produktionssysteme verwenden das hardwarebasierte ECC 521- Bit-Schlüsselpaar, um jedes Gerät während des Fertigungsprozesses zu verfolgen, zu überprüfen und vorzubereiten. Nur Geräte, die die Überprüfungs- und Vorbereitungsprozesse abschließen, können sich in der BlackBerry Infrastructure registrieren. Das BlackBerry 10 OS Das BlackBerry 10 OS ist das Microkernel-Betriebssystem des BlackBerry 10-Geräts. Bei Microkernel-Betriebssystemen wird die minimale Softwaremenge im Kernel implementiert, und andere Prozesse laufen im Benutzerbereich, der sich außerhalb des Kerns befindet. Im Kernel eines Microkernel-Betriebssystems ist weniger Code enthalten als in anderen Betriebssystemen. Aufgrund der geringeren Codemenge kann der Kern Anfälligkeiten umgehen, die mit komplexen Codes verbunden sind, und der Kern kann die Verifizierung erleichtern. Die Verifizierung ist ein Prozess, der die Programmierfehler in einem System bewertet. Viele der Prozesse, die in einem herkömmlichen Betriebssystem im Kernel laufen, laufen im Benutzerbereich des OS. Das OS ist manipulationssicher. Wenn das OS startet, durchläuft der Kernel eine Integritätsprüfung, und wenn bei der Integritätsprüfung Schäden am Kernel festgestellt werden, startet das Gerät nicht. 25

26 Sicherheit von Hardware und OS bei BlackBerry 10 Das OS ist robust. Der Kernel isoliert einen Prozess in seinem Benutzerbereich, wenn dieser nicht mehr reagiert, und startet den Prozess erneut, ohne dabei andere Prozesse zu beeinträchtigen. Zusätzlich verwendet der Kernel adaptive Partitionierung, um zu verhindern, dass Apps den Speicher, der von einer anderen App verwendet wird, beeinträchtigen oder lesen. Das OS ist sicher. Der Kernel überprüft Ressourcenanfragen, und ein Autorisierungsmanager regelt, wie Anwendungen auf die Funktionen des Geräts zugreifen, z. B. auf die Kamera, auf Kontakte und auf Informationen zur Geräteidentifizierung. Das Dateisystem Das BlackBerry 10-Gerätedateisystem läuft außerhalb des Kernels und sorgt dafür, dass die geschäftlichen Daten sicher und von den persönlichen Daten getrennt sind. Das Dateisystem ist in die folgenden Bereiche unterteilt: Basisdateisystem Geschäftliches Dateisystem Persönliches Dateisystem (bei Geräten mit persönlichem Bereich) Das Basisdateisystem ist schreibgeschützt und enthält Systemdateien. Da das Basisdateisystem schreibgeschützt ist, kann das BlackBerry 10 OS die Integrität des Basisdateisystems überprüfen und Schäden verringern, die durch einen Angreifer, der das Dateisystem verändert hat, verursacht wurden. Das geschäftliche Dateisystem enthält geschäftliche Apps und Daten. Das Gerät verschlüsselt die Dateien, die im geschäftlichen Bereich gespeichert sind. Bei Geräten mit einem persönlichen Bereich enthält das persönliche Dateisystem persönliche Apps und Daten. Apps, die ein Benutzer aus der BlackBerry World-Verkaufsplattform auf das Gerät installiert hat, befinden sich im persönlichen Dateisystem. Das Gerät kann die Dateien, die im persönlichen Bereich gespeichert sind, verschlüsseln. Sandboxing Das BlackBerry 10 OS verwendet den Sicherheitsmechanismus Sandboxing, um die Funktionen und Berechtigungen von Apps, die auf dem Gerät ausgeführt werden, zu trennen und zu beschränken. Jeder Anwendungsprozess läuft in seiner eigenen Sandbox. Hierbei handelt es sich um einen virtuellen Kasten, der aus dem Speicher und dem Teil des Dateisystems besteht, auf den der Anwendungsprozess zu einer bestimmten Zeit zugreifen kann. Jede Sandbox ist sowohl mit der App als auch mit dem Bereich, in der sie genutzt wird, verknüpft. Zum Beispiel kann eine App eine Sandbox im persönlichen Bereich und eine weitere Sandbox im geschäftlichen Bereich haben, wobei diese jeweils voneinander isoliert sind. Das OS bewertet die Anfragen, die der Prozess einer App für Speicher außerhalb ihrer Sandbox stellt. Wenn ein Prozess versucht, ohne Genehmigung des OSs auf Speicher außerhalb der eigenen Sandbox zuzugreifen, beendet das OS den Prozess, fordert den gesamten Speicher, der vom Prozess genutzt wird, zurück, und startet den Prozess neu, ohne dabei andere Prozesse zu beeinträchtigen. Wenn das OS installiert ist, weist es jeder App eine eindeutige Gruppen-ID zu. Eine Gruppen-ID kann nicht von zwei Apps geteilt werden, und das OS verwendet keine Gruppen-ID wieder, nachdem eine App entfernt wurde. Die Gruppen-ID einer App bleibt bei einem Upgrade dieselbe. 26

27 Sicherheit von Hardware und OS bei BlackBerry 10 Standardmäßig speichert jede App ihre Daten in der eigenen Sandbox. Das OS verhindert den Zugriff von Apps auf Dateisystem-Speicherorte, die der Gruppen-ID der App nicht zugeordnet sind. Eine App kann Daten auch in einem freigegebenen Verzeichnis speichern und auf Daten in diesem Verzeichnis zugreifen. Dieses Verzeichnis ist eine Sandbox, die von jeder App, die Zugriff darauf hat, genutzt werden kann. Wenn eine App zum ersten Mal Dateien im freigegebenen Verzeichnis speichern will oder auf Dateien im freigegebenen Verzeichnis zugreifen will, wird der Benutzer aufgefordert, der App den Zugriff zu gestatten. Geräteressourcen Das BlackBerry 10 OS verwaltet die Ressourcen eines Geräts, sodass eine App nicht die Ressourcen einer anderen App nutzen kann. Das OS verwendet adaptive Partionierung, um ungenutzte Ressourcen bei üblichen Betriebsbedingungen an Apps umzuverteilen und um die Ressourcenverfügbarkeit für bestimmte Apps bei optimalen Betriebsbedingungen zu verbessern. App-Berechtigungen Der Autorisierungsmanager ist ein Teil des BlackBerry 10 OS, der Anfragen von Apps für den Zugriff auf Gerätefunktionen bewertet. Funktionen sind beispielsweise die Aufnahme von Fotos und Audio-Aufzeichnungen. Das OS ruft den Autorisierungsmanager auf, wenn eine App beginnt, Berechtigungen für die von der App genutzten Funktionen festzulegen. Wenn eine App startet, wird der Benutzer möglicherweise aufgefordert, den Zugriff auf eine Funktion zuzulassen. Der Autorisierungsmanager kann eine vom Benutzer gegebene Berechtigung speichern und die Berechtigung verwenden, wenn die App das nächste Mal startet. Überprüfen der Software Überprüfen des Bootloader-Codes Das BlackBerry 10-Gerät nutzt eine Authentifizierungsmethode, die überprüft, ob der Bootloader-Code zur Ausführung auf dem Gerät freigegeben ist. Während des Herstellungsverfahrens wird der Bootloader im Flash-Speicher des Gerätes installiert, und ein öffentlicher Signaturschlüssel wird im Prozessor des Geräts installiert. Das BlackBerry-Signaturstellensystem verwendet einen privaten Schlüssel zum Signieren des Bootloader-Codes. Das Gerät speichert Informationen, die zur Überprüfung der digitalen Signatur des Bootloader-Codes verwendet werden können. Wenn ein Benutzer ein Gerät einschaltet, führt der Prozessor den internen ROM-Code aus, der den Bootloader-Code aus dem Flash-Speicher liest und die digitale Signatur des Bootloader-Codes anhand des gespeicherten öffentlichen Schlüssels überprüft. Bei abgeschlossener Überprüfung wird die Ausführung des Bootloader auf dem Gerät freigegeben. Wenn die Prüfung nicht abgeschlossen werden kann, läuft das Gerät nicht mehr. 27

28 Sicherheit von Hardware und OS bei BlackBerry 10 Überprüfen des Betriebs- und Dateisystems Wenn der Bootloader-Code zur Ausführung auf einem BlackBerry 10-Gerät berechtigt ist, wird das BlackBerry 10 OS vom Bootloader-Code überprüft. Das OS ist unter Verwendung von EC 521 mit einer Reihe von privaten Schlüsseln digital signiert. Der Bootloader-Code verwendet die entsprechenden öffentlichen Schlüssel, um sicherzustellen, dass die digitale Signatur korrekt ist. Wenn die Signatur korrekt ist, lädt der Bootloader das BlackBerry 10 OS. Bevor das OS das schreibgeschützte Basisdateisystem lädt, führt es ein Validierungsprogramm aus, das einen SHA-256- Hashwert der Inhalte des Basisdateisystems erstellt, einschließlich aller Metadaten. Das Programm vergleicht den SHA-256- Hashwert mit einem SHA-256-Hashwert, der außerhalb des Basisdateisystems gespeichert ist. Dieser gespeicherte Hashwert ist unter Verwendung von EC 521 mit einer Reihe von privaten Schlüsseln digital signiert. Wenn die Hashwerte übereinstimmen, verwendet das Validierungsprogramm die entsprechenden öffentlichen Schlüssel, um die Signatur und die Integrität des gespeicherten Hashwerts zu überprüfen. Überprüfen von Apps und Softwareupgrades Sobald das Basisdateisystem überprüft wurde, überprüft das BlackBerry 10 OS die bestehenden Apps, indem es die XML-Datei der App liest und die Bestandsdaten der App mit den kryptografisch signierten Hashwerten im XML-Manifest abgleicht. Jedes Softwareupgrade und jede App für das BlackBerry 10-Gerät ist im BlackBerry Archive (BAR)-Format verpackt. Dieses Format enthält SHA-2-Hashwerte von jeder archivierten Datei und eine ECC-Signatur, die die Hashliste umfasst. Wenn ein Benutzer ein Softwareupgrade oder eine App installiert, überprüft das Installationsprogramm, ob die Hashwerte und die digitale Signatur korrekt sind. Die digitalen Signaturen für eine BAR-Datei geben zusätzlich den Urheber des Softwareupgrades oder der App an. Der Benutzer kann auf dieser Grundlage dann entscheiden, ob die Software installiert werden soll. Da das Gerät die Integrität einer BAR-Datei prüfen kann, kann das Gerät BAR-Dateien über eine HTTP-Verbindung herunterladen, wodurch der Herunterladevorgang schneller als über eine sicherere Verbindung ist. Verhindern von Speicherschäden BlackBerry 10-Geräte verhindern das Ausnutzen von Speicherschäden auf verschiedene Weise, einschließlich der Sicherheitsmechanismen in der folgenden Tabelle: Sicherheitsmechanismus Stack und Heap nicht ausführbar Stack Cookies Beschreibung Die Speicherbereiche Stack und Heap werden als nicht ausführbar bewertet. Auf diese Weise kann ein Prozess in diesen Bereichen des Speichers keinen Maschinencode ausführen, wodurch es einem Angreifer erschwert wird, potentielle Pufferüberläufe auszunutzen. Stack Cookies sind eine Art Pufferüberlaufschutz, der bei der Abwehr von Angreifern hilft, die einen beliebigen Code ausführen wollen. 28

29 Sicherheit von Hardware und OS bei BlackBerry 10 Sicherheitsmechanismus Robuste Heap-Implementierungen Adressraum-Layout-Randomisierung (ASLR) Quellenverstärkung auf Compiler-Ebene Schutzseiten Beschreibung Die Heap-Implementierung umfasst einen Abwehrmechanismus gegen die beabsichtigte Beschädigung des Heap-Bereichs des Speichers. Der Mechanismus dient dazu, ein Überschreiben der Band-internen Heap- Datenstrukturen zu erkennen und abzuschwächen, sodass ein Programm auf sichere Weise fehlschlagen kann. Der Mechanismus hilft bei der Abwehr von Angreifern, die mittels einer Heap-Beschädigung einen beliebigen Code ausführen wollen. Standardmäßig werden die Speicherpositionen aller Bereiche eines Programms im Adressraum eines Prozesses per Zufallsprinzip angeordnet. Dieser Mechanismus erschwert einem Angreifer die Durchführung eines Angriffs, der das Vorausbestimmen von Zieladressen für die Ausführung eines beliebigen Codes beinhaltet. Der Compiler GCC verwendet die Option FORTIFY_SOURCE, um unsichere Codekonstrukte zu ersetzen (wenn möglich). Zum Beispiel könnte eine unbegrenzte Speicherkopie durch ihre begrenzte Entsprechung ersetzt werden. Wenn ein Prozess versucht, auf eine Speicherseite zuzugreifen, verursacht die Schutzseite eine einmalige Ausnahme, und der Prozess schlägt fehl. Diese Schutzseiten werden strategisch zwischen Speicherbereichen für verschiedene Zwecke platziert, wie dem Standardprogramm-Heap und dem Objekt-Heap. Dieser Mechanismus verhindert, dass ein Angreifer einen Heap-Pufferüberlauf verursacht und das Verhalten eines Prozesses verändert oder mit den Genehmigungen der beeinträchtigten Prozesse einen beliebigen Code ausführt. 29

30 Aktivieren von Geräten Aktivieren von Geräten 5 Bei der Geräteaktivierung wird ein Gerät mit einem Benutzerkonto in BES12 verknüpft und ein sicherer Kommunikationskanal zwischen dem Gerät und BES12 über die BlackBerry Infrastructure hergestellt. Weitere Informationen zur Aktivierung einschließlich zugehöriger Datenflüsse finden Sie in der Übersicht und der Dokumentation für Administratoren. Verwenden von Aktivierungsarten für die Konfiguration der Kontrolle über Geräte Sie können Aktivierungsarten verwenden, um zu konfigurieren, wie viel Kontrolle Sie über aktivierte Geräte haben. Diese Flexibilität bei Kontrollniveaus ist hilfreich, wenn Sie volle Kontrolle über ein Gerät haben möchten, das Sie einem Benutzer ausgeben, oder wenn Sie sicherstellen möchten, dass Sie keine Kontrolle über die privaten Daten eines Geräts haben, das einem Benutzer gehört und das er zur Arbeit bringt. Welche Aktivierungsarten in Ihrem Unternehmen verfügbar sind, hängt von den Gerätetypen und den Lizenzen ab, die Sie erworben haben. Weitere Informationen zu verfügbaren Aktivierungsarten finden Sie in der Dokumentation für Administratoren. In der folgenden Tabelle werden die drei Aktivierungsarten für BlackBerry 10-Geräte beschrieben. Aktivierungsart Geschäftlich und persönlich Unternehmen Beschreibung Diese Aktivierungsart ermöglicht die Steuerung von geschäftlichen Daten auf Geräten und stellt gleichzeitig sicher, dass private Daten geschützt werden. Wenn ein Gerät aktiviert wird, wird auf dem Gerät ein separater geschäftlicher Bereich erstellt, und der Benutzer muss ein Kennwort erstellen, um auf den geschäftlichen Bereich zuzugreifen. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt. Mithilfe von IT-Administrationsbefehlen und IT-Richtlinien können Sie den geschäftlichen Bereich des Geräts steuern, jedoch keinen Aspekt des privaten Bereichs des Geräts. Nur geschäftlicher Bereich Diese Aktivierungsart ermöglicht eine vollständige Kontrolle über das Gerät und bietet keinen separaten Bereich für persönliche Daten. Wenn ein Gerät aktiviert wird, wird der persönliche Bereich entfernt, es wird ein geschäftlicher Bereich erstellt, und der Benutzer muss ein Kennwort erstellen, um auf das Gerät zuzugreifen. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt. 30

31 Aktivieren von Geräten Aktivierungsart Beschreibung Sie können das Gerät mithilfe von IT-Administrationsbefehlen und IT-Richtlinien steuern. Geschäftlich und persönlich Reguliert Diese Aktivierungsart ermöglicht die Kontrolle über die geschäftlichen und die persönlichen Daten. Wenn ein Gerät aktiviert wird, wird auf dem Gerät ein separater geschäftlicher Bereich erstellt, und der Benutzer muss ein Kennwort erstellen, um auf den geschäftlichen Bereich zuzugreifen. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt. Sie können sowohl den geschäftlichen als auch den persönlichen Bereich auf dem Gerät mit IT-Administrationsbefehlen und IT-Richtlinien steuern. In der folgenden Tabelle werden die Aktivierungsarten für Android-, ios- und Windows Phone-Geräte beschrieben. Aktivierungsart Unterstützte Geräte Beschreibung MDM-Steuerelemente Alle Diese Aktivierungsart stellt eine grundlegende Geräteverwaltung mithilfe der Gerätesteuerelemente bereit. Auf dem Gerät ist kein separater Container installiert und keine zusätzliche Sicherheit für geschäftliche Daten vorhanden. Geschäftlich und persönlich Benutzer- Datenschutz ios- und Android-Geräte mit Secure Work Space Android-Geräte mit Android for Work Samsung-Geräte mit Samsung KNOX Workspace Diese Aktivierungsart ermöglicht die Steuerung von geschäftlichen Daten auf Geräten und stellt gleichzeitig sicher, dass private Daten geschützt werden. Wenn ein Gerät aktiviert wird, wird ein separater Container bzw. ein geschäftliches Profil auf dem Gerät erstellt. Wenn ein Container erstellt wird, muss der Benutzer ein Kennwort einrichten, um darauf Zugriff zu erhalten. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt. Während des Aktivierungsprozesses wird mithilfe eines SSL- Zertifikats ein sicherer Kommunikationskanal zwischen dem Gerät und BES12 eingerichtet. Sie können den Container bzw. das geschäftliche Profil auf dem Gerät steuern, jedoch keinerlei Element des persönlichen Bereichs. Geschäftlich und persönlich vollständige Kontrolle ios- und Android-Geräte mit Secure Work Space Samsung-Geräte mit KNOX Workspace Diese Aktivierungsart ermöglicht die volle Kontrolle über Geräte. Wenn ein Gerät aktiviert wird, wird ein separater Container bzw. ein geschäftliches Profil auf dem Gerät erstellt. Wenn ein Container erstellt wird, muss der Benutzer ein Kennwort einrichten, um darauf Zugriff zu erhalten. Geschäftsdaten werden über Verschlüsselung und Kennwortauthentifizierung geschützt. 31

32 Aktivieren von Geräten Aktivierungsart Unterstützte Geräte Beschreibung Während des Aktivierungsprozesses wird mithilfe eines SSL- Zertifikats ein sicherer Kommunikationskanal zwischen dem Gerät und BES12 eingerichtet. Sie können den Container und das geschäftliche Profil sowie einige weitere Aspekte des Geräts, die sowohl den persönlichen als auch den geschäftlichen Bereich betreffen, steuern. Während der Aktivierung müssen Benutzer mit einem ios-gerät ein Mobilgeräteverwaltungsprofil installieren, und Benutzer mit einem Android-Gerät müssen Administratorberechtigungen für den BES12 Client zulassen. Nur geschäftlicher Bereich Samsung-Geräte mit KNOX Workspace Diese Aktivierungsart ermöglicht die Verwaltung des gesamten Geräts. Die Aktivierungsart deaktiviert den persönlichen Bereich und installiert einen geschäftlichen Bereich. Der Benutzer muss ein Kennwort erstellen, um auf das Gerät zuzugreifen. Alle Daten auf dem Gerät werden durch Verschlüsselung und eine Methode zur Authentifizierung, beispielsweise Kennwort, PIN, Muster oder Fingerabdruck, geschützt. Während der Aktivierung müssen Benutzer Administratorberechtigungen für den BES12 Client zulassen. Benutzerregistrierung mit der BlackBerry Infrastructure Die Benutzerregistrierung mit der BlackBerry Infrastructure ist eine Einstellung in den Standard-Aktivierungseinstellungen, die es Benutzern ermöglicht, mit dem BlackBerry Infrastructure registriert zu werden, wenn Sie einen Benutzer zu BES12 hinzufügen. An BlackBerry Infrastructure gesendete Informationen werden sicher gesendet und gespeichert. Der Vorteil der Registrierung ist, dass Benutzer die Serveradresse nicht eingeben müssen, wenn sie die Aktivierung eines Geräts durchführen; sie müssen nur ihre -Adresse und ihr Kennwort eingeben. Der Enterprise Management Agent auf BlackBerry 10-Geräten, bzw. der BES12 Client auf anderen Geräten, kommuniziert dann mit der BlackBerry Infrastructure, um die Serveradresse abzurufen. Eine sichere Verbindung mit BES12 wird mit minimalem Eingriff vonseiten des Benutzers hergestellt. Sie können die Benutzerregistrierung mit BlackBerry Infrastructure abschalten, wenn Sie keine Benutzerinformationen an BlackBerry senden möchten. 32

33 Aktivieren von Geräten Aktivierungskennwörter Sie können festlegen, wie lange ein Aktivierungskennwort gültig bleibt, bevor es abläuft. Sie können auch die Standard- Kennwortlänge für das automatisch generierte Kennwort bestimmen, das in der Aktivierungs- -Nachricht an die Benutzer gesendet wird. Der Wert, den Sie für Ablauf des Aktivierungszeitraums eingeben, wird im Feld "Ablauf des Aktivierungszeitraums" als Standardeinstellung angezeigt, wenn Sie ein Benutzerkonto zu BES12 hinzufügen. Der Ablauf des Aktivierungszeitraums kann 1 Minute bis 30 Tage betragen, und die Länge des automatisch generierten Kennworts kann 4 bis 16 Zeichen betragen. Verwenden von IT-Richtlinien für die Sicherheitsverwaltung Eine IT-Richtlinie ist ein Regelsatz, mit dem Funktionen und die Funktionalität von Geräten beschränkt oder zugelassen werden. Verwenden Sie IT-Richtlinienregeln zur Verwaltung der Sicherheit und des Verhaltens von Geräten. Das Gerätebetriebssystem und die Geräteaktivierungsart bestimmen, welche Regeln in einer IT-Richtlinie auf ein bestimmtes Gerät angewendet werden. Je nach Geräteaktivierungsart, Betriebssystem und Version können Sie beispielsweise IT-Richtlinienregeln verwenden, um folgende Aufgaben zu erledigen: Kennwortanforderungen auf Geräten oder im geschäftlichen Bereich des Geräts durchsetzen Verhindern, dass Benutzer die Kamera verwenden Bei BlackBerry 10-Geräten: Verbindungen über die drahtlose Bluetooth-Technologie steuern Datenverschlüsselung erzwingen Jedem Benutzerkonto kann nur eine IT-Richtlinie zugewiesen werden. Die zugewiesene IT-Richtlinie wird an alle Geräte des Benutzers gesendet. Wenn Sie einem Benutzerkonto oder einer Gruppe, zu der ein Benutzer oder Gerät gehört, keine IT- Richtlinie zuweisen, sendet BES12 die standardmäßige IT-Richtlinie an die Geräte des Benutzers. Sie können IT-Richtlinien einen Rang zuweisen, um zu bestimmen, welche Richtlinie an Geräte gesendet wird, wenn ein Benutzer oder ein Gerät Mitglied in zwei oder mehreren Gruppen ist, die über verschiedene IT-Richtlinien verfügen und keine IT-Richtlinie dem Benutzerkonto direkt zugeordnet ist. BES12 sendet die IT-Richtlinie mit dem höchsten Rang an die Geräte des Benutzers. BES12 sendet automatisch IT-Richtlinien an Geräte, wenn ein Benutzer ein Gerät aktiviert, wenn eine zugewiesene IT-Richtlinie aktualisiert wird und wenn einem Benutzer oder einer Gruppe eine andere IT-Richtlinie zugewiesen wird. Wenn ein Gerät eine neue oder aktualisierte IT-Richtlinie empfängt, wendet das Gerät die Konfigurationsänderungen beinahe in Echtzeit an. Alle BlackBerry 10-IT-Richtlinienregeln, die in BES12 verfügbar sind, gelten für regulierte BlackBerry Balance-Geräte. Nur Geräte des geschäftlichen Bereichs und BlackBerry Balance-Geräte ignorieren die Regeln in der IT-Richtlinie, die nicht für diese Geräte gelten. 33

34 Aktivieren von Geräten Weitere Informationen über die Zuweisung und Priorisierung von IT-Richtlinien finden Sie in der Dokumentation für Administratoren. Weitere Informationen über spezifische IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectlang/bes12/current/policy-reference-spreadsheet-zip/. 34

35 Daten während der Übertragung bei BlackBerry 10-Geräten Daten während der Übertragung bei BlackBerry 10-Geräten 6 Daten, die zwischen BlackBerry 10-Geräten und Ihren Ressourcen hin und her gesendet werden, werden je nach Datenpfad mit verschiedenen Methoden geschützt. Die meisten Daten, die zwischen dem Mail-, Web- und Inhaltsserver Ihres Unternehmens und BlackBerry 10-Geräten ausgetauscht werden, können direkt über ein geschäftliches VPN oder ein Wi-Fi-Geschäftsnetzwerk oder aber über den BES12 und die BlackBerry Infrastructure übermittelt werden. Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile oder IT-Administrationsbefehle und erforderliche Apps aus Ihrem Unternehmensnetzwerk an BlackBerry 10-Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure gesendet, selbst wenn das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist. Unabhängig vom Typ und Pfad der Daten werden die Daten verschlüsselt und über gegenseitig authentifizierte Verbindungen geleitet. Die Daten können nicht von der BlackBerry Infrastructure oder an einem anderen Punkt auf dem Übertragungsweg entschlüsselt werden. Verbinden von Geräten mit Ihren Ressourcen BlackBerry 10-Geräte können sich mithilfe einiger Kommunikationsmethoden mit den Ressourcen Ihres Unternehmens verbinden (z. B. Mailserver, Webserver und Inhaltserver). Standardmäßig versuchen die Geräte, mithilfe der folgenden Kommunikationsmethoden eine Verbindung zu den Ressourcen Ihres Unternehmens herzustellen. Der Reihe nach: 1. Geschäftliche VPN-Profile, die Sie konfigurieren 2. Geschäftliche Wi-Fi-Profile, die Sie konfigurieren 3. BlackBerry Infrastructure und BES12 4. Persönliche VPN-Profile und persönliche Wi-Fi-Profile, die ein Benutzer auf dem Gerät konfiguriert 35

36 Daten während der Übertragung bei BlackBerry 10-Geräten Standardmäßig können geschäftliche Apps auf dem Gerät ebenfalls jede dieser Kommunikationsmethoden verwenden, um auf die Ressourcen in Ihrer Unternehmensumgebung zuzugreifen. Schützen der Kommunikation zwischen Apps und Ihrem Unternehmensnetzwerk BlackBerry 10-Geräte lassen geschäftliche Apps und persönliche Apps (auf Geräten mit einem persönlichen Bereich) zu, um unter Verwendung eines verfügbaren Wi-Fi-Profils oder VPN-Profils eine Verbindung zu Ihrem Unternehmensnetzwerk herzustellen. Wenn Sie Wi-Fi-Profile oder VPN-Profile mit dem BES12 konfigurieren, erlauben Sie persönlichen Apps, auf das Netzwerk Ihres Unternehmens zuzugreifen. Wenn die Sicherheitsanforderungen Ihres Unternehmens nicht zulassen, dass persönliche Apps auf das Unternehmensnetzwerk zugreifen, können Sie die Verbindungsoptionen einschränken. Mithilfe der IT-Richtlinienregel Zulassen, dass persönliche Apps geschäftliche Netzwerke verwenden können Sie verhindern, dass persönliche Apps das Netzwerk Ihres Unternehmens verwenden, indem sie über Ihre geschäftliche Wi-Fi- oder VPN-Netzwerkverbindung auf das Internet zugreifen. Außerdem können Sie die Kommunikationsmethoden einschränken, über die Geräte über BES12 eine Verbindung mit Ihrem Unternehmensnetzwerk herstellen können. Beschränken Sie dazu die Verbindungsoptionen auf den BlackBerry MDS Connection Service und die BlackBerry Infrastructure. Persönliche Apps können über den BlackBerry MDS Connection Service und die BlackBerry Infrastructure keine Verbindung zum Netzwerk Ihres Unternehmens herstellen. 36

37 Daten während der Übertragung bei BlackBerry 10-Geräten Schützen von Daten, die mittels Push an Apps auf Geräten übertragen wurden Der BlackBerry MDS Connection Service verbindet Push-Anwendungen, die auf den Anwendungsservern oder Webservern Ihres Unternehmens gehostet werden, mit Apps auf BlackBerry 10-Geräten. Der BlackBerry MDS Connection Service sendet von Push-Anwendungen empfangene Push-Anforderungen über die BlackBerry Infrastructure an Apps auf BlackBerry 10- Geräten. Bei Bedarf können Sie nur bestimmten Push-Anwendungen erlauben, Daten mittels Push an BlackBerry 10-Geräte zu übertragen, und Sie können die Authentifizierung aktivieren, um zu verhindern, dass der BlackBerry MDS Connection Service Daten von nicht autorisierten Push-Anwendungen sendet. Zum Schutz der Verbindung zwischen Push-Anwendungen und dem BlackBerry MDS Connection Service können Sie TLS verwenden. Push-Anwendungen können das selbstsignierte Zertifikat verwenden, das generiert wird, wenn Sie den BlackBerry MDS Connection Service-Schlüsselspeicher konfigurieren, oder Sie können dem Schlüsselspeicher ein signiertes Zertifikat von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle hinzufügen. Weitere Informationen zum BlackBerry MDS Connection Service finden Sie in der Dokumentation zur Konfiguration. Verschlüsselungstypen für die Kommunikation zwischen Geräten und Ihren Ressourcen Für die Kommunikation zwischen einem Gerät und den Ressourcen Ihres Unternehmens können verschiedene Verschlüsselungstypen verwendet werden. Welcher Verschlüsselungstyp verwendet wird, hängt von der Verbindungsmethode ab. 37

38 Daten während der Übertragung bei BlackBerry 10-Geräten Verschlüsselungstyp Wi-Fi-Verschlüsselung (IEEE ) VPN-Verschlüsselung SSL/TLS-Verschlüsselung Beschreibung Wi-Fi-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und einem drahtloser Zugriffspunkt verwendet, wenn der drahtlose Zugriffspunkt eingerichtet wurde, um Wi-Fi-Verschlüsselung zu verwenden. VPN-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und einem VPN-Server verwendet. SSL/TLS-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und einem Inhaltsserver, einem Webserver oder einem -Server in Ihrem Unternehmen verwendet. Die Verschlüsselung für diese Verbindung muss separat auf jedem Server eingerichtet werden. Hierbei wird für jeden Server ein separates Zertifikat verwendet. Auf dem Server kann je nach Einrichtung SSL oder TLS verwendet werden. Verschlüsselung einer geschäftlichen Wi-Fi-Verbindung Bei einer geschäftlichen Wi-Fi-Verbindung stellt ein BlackBerry 10-Gerät unter Verwendung der Einstellungen, die Sie in einem Wi-Fi-Profil konfiguriert haben, eine Verbindung zu den Ressourcen Ihres Unternehmens her. Wi-Fi-Verschlüsselung wird verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet wurde. Verschlüsselung einer VPN-Verbindung 38

39 Daten während der Übertragung bei BlackBerry 10-Geräten Bei einer VPN-Verbindung stellt ein BlackBerry 10-Gerät über einen beliebigen drahtlosen Zugriffspunkt, ein mobiles Netzwerk, die Firewall und einen VPN-Server Ihres Unternehmens eine Verbindung zu den Ressourcen Ihres Unternehmens her. Wi-Fi- Verschlüsselung wird verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet wurde. Verschlüsselung der BlackBerry Infrastructure-Verbindung Bei einer BlackBerry Infrastructure-Verbindung stellt ein Gerät über einen beliebigen drahtlosen Zugriffspunkt, die BlackBerry Infrastructure, die Firewall Ihres Unternehmens und den BES12 eine Verbindung zu den Ressourcen Ihres Unternehmens her. Wi-Fi-Verschlüsselung wird nur verwendet, wenn der drahtlose Zugriffspunkt für die Verwendung der Verschlüsselung eingerichtet wurde. 39

40 Daten während der Übertragung bei BlackBerry 10-Geräten Schützen von Verbindungen mit Geschäftsnetzwerken Verbinden mit einem VPN VPN-Profile werden nur auf BlackBerry 10-, ios-, Samsung KNOX MDM- und KNOX Workspace-Geräten unterstützt. Wenn Ihre Unternehmensumgebung VPNs umfasst, z. B. IPSec- oder SSL-VPNs, können Sie Geräte zur Authentifizierung bei einem VPN für den Zugriff auf das Netzwerk des Unternehmens konfigurieren. Ein VPN stellt einen verschlüsselten Tunnel zwischen einem Gerät und dem Netzwerk bereit. Eine VPN-Lösung besteht aus einem VPN-Client auf einem Gerät und einem VPN-Konzentrator. Das Gerät kann den VPN-Client zur Authentifizierung mit dem VPN-Konzentrator verwenden, der als Gateway zu Ihrem Unternehmensnetzwerk fungiert. Jedes Gerät enthält einen integrierten VPN-Client, der mehrere VPN-Konzentratoren unterstützt. Je nach VPN-Lösung muss möglicherweise eine Client-App auf dem Gerät installiert werden. Der VPN-Client auf dem Gerät unterstützt die Verwendung einer starken Verschlüsselung, um sich selbst mit dem VPN-Konzentrator zu authentifizieren. Er erstellt einen verschlüsselten Tunnel zwischen dem Gerät und dem VPN-Konzentrator, über den das Gerät und Ihr Unternehmensnetzwerk kommunizieren können. Schutz von Wi-Fi-Verbindungen Ein Gerät kann eine Verbindung zu geschäftlichen Wi-Fi-Netzwerken herstellen, die den Standard IEEE verwenden. Der Standard IEEE i verwendet den Standard IEEE 802.1X zur Authentifizierung und Schlüsselverwaltung, um geschäftliche Wi-Fi-Netzwerke zu schützen. Der Standard IEEE i gibt an, dass Unternehmen das PSK-Protokoll oder den Standard IEEE 802.1X als Zugriffssteuerungsmethode für Wi-Fi-Netzwerke verwenden müssen. Sie können Wi-Fi-Profile verwenden, um Wi-Fi-Konfigurationsinformationen, einschließlich Sicherheitseinstellungen und jegliche erforderliche Zertifikate, an Geräte zu senden. Von einem Gerät unterstützte Layer 2-Sicherheitsmethoden Sie können ein Gerät so konfigurieren, dass es Sicherheitsmethoden für Layer 2 (auch bekannt als IEEE Verbindungsschicht) verwendet, sodass der drahtlose Zugriffspunkt das Gerät authentifizieren kann, damit das Gerät und der drahtlose Zugriffspunkt die Daten, die sie miteinander austauschen, verschlüsseln können. Das Gerät unterstützt die folgenden Layer 2-Sicherheitsmethoden: WEP-Verschlüsselung (64-Bit und 128-Bit) Standard IEEE 802.1X und EAP-Authentifizierung unter Verwendung von PEAP, EAP-TLS, EAP-TTLS und EAP-FAST TKIP- und AES-CCMP-Verschlüsselung für WPA-Personal, WPA2-Personal, WPA - geschäftlich und WPA2 - geschäftlich 40

41 Daten während der Übertragung bei BlackBerry 10-Geräten Zur Unterstützung der Layer 2-Sicherheitsmethoden verfügt das Gerät über einen integrierten IEEE 802.1X-Supplikanten. Wenn ein geschäftliches Wi-Fi-Netzwerk EAP-Authentifizierung verwendet, können Sie den Zugriff von Geräten auf das geschäftlichewi-fi-netzwerk zulassen oder verweigern, indem Sie den zentralen Authentifizierungsserver Ihres Unternehmens aktualisieren. Es ist nicht erforderlich, die Konfiguration eines jeden Zugriffspunkts zu aktualisieren. Weitere Informationen zu IEEE und IEEE 802.1X finden Sie unter Weitere Informationen zur EAP-Authentifizierung finden Sie unter RFC IEEE 802.1X-Standard Der IEEE 802.1X-Standard definiert ein generisches Framework zur Authentifizierung, mit dem ein Gerät und ein geschäftliches Wi-Fi-Netzwerk sich gegenseitig authentifizieren können. Das EAP-Framework ist in RFC 3748 festgelegt. Das Gerät unterstützt EAP-Authentifizierungsmethoden, die den Anforderungen von RFC 4017 entsprechen, zur Authentifizierung des Geräts für das geschäftliche Wi-Fi-Netzwerk. Einige EAP-Authentifizierungsmethoden (z. B. EAP-TLS, EAP-TTLS, EAP-FAST oder PEAP) verwenden Anmeldeinformationen, um gegenseitige Authentifizierung zwischen dem Gerät und dem Wi-Fi-Geschäftsnetzwerk zu bieten. Das Gerät ist kompatibel mit den WPA - geschäftlich- und den WPA2 - geschäftlich-spezifikationen. Datenfluss: Authentifizieren eines Geräts mit einem geschäftlichen Wi-Fi-Netzwerk mithilfe des IEEE 802.1X-Standards Wenn Sie einen drahtlosen Zugriffspunkt so konfiguriert haben, dass er den IEEE 802.1X-Standard verwendet, lässt der Zugriffspunkt nur die Kommunikation per EAP-Authentifizierung zu. Bei diesem Datenfluss wird angenommen, dass Sie ein Gerät so konfiguriert haben, dass es die EAP-Authentifizierungsmethode zur Kommunikation mit dem Zugriffspunkt verwendet. 1. Das Gerät verknüpft sich selbst mit dem Zugriffspunkt, den Sie so konfiguriert haben, dass er den IEEE 802.1X-Standard verwendet. Das Gerät sendet seine Anmeldeinformationen (in der Regel ein Benutzername und Kennwort) an den Zugriffspunkt. 2. Der Zugriffspunkt sendet die Anmeldeinformationen an den Authentifizierungsserver. 3. Der Authentifizierungsserver führt folgende Aktionen aus: a b c Authentifizieren des Geräts für den Zugriffspunkt Anweisen des Zugriffspunkts, den Zugriff auf das geschäftliche Wi-Fi-Netzwerk zuzulassen Senden von Wi-Fi-Anmeldeinformationen an das Gerät, sodass das Gerät mit dem Zugriffspunkt authentifizieren kann 4. Der Zugriffspunkt und das Gerät verwenden EAPoL-Key-Nachrichten, um Verschlüsselungsschlüssel zu erstellen (z. B. WEP, TKIP oder AES-CCMP, je nach der vom Gerät verwendeten EAP-Authentifizierungsmethode). Wenn das Gerät EAPoL-Nachrichten sendet, verwendet das Gerät die von der EAP-Authentifizierungsmethode vorgegebenen Verschlüsselungs- und Integritätsanforderungen. Wenn das Gerät EAPoL-Key-Nachrichten sendet, verwendet das Gerät den ARC4-Algorithmus oder den AES-Algorithmus für Integrität und Verschlüsselung. 41

42 Daten während der Übertragung bei BlackBerry 10-Geräten Nachdem der Zugriffspunkt und das Gerät den Verschlüsselungsschlüssel erstellt haben, kann das Gerät auf das geschäftliche Wi-Fi-Netzwerk zugreifen. Von Geräten unterstützte EAP-Authentifizierungsmethoden PEAP-Authentifizierung Mit der PEAP-Authentifizierung können Geräte mit einem Authentifizierungsserver authentifiziert werden und auf ein geschäftliches Wi-Fi-Netzwerk zugreifen. Die PEAP-Authentifizierung verwendet TLS zum Erstellen eines verschlüsselten Tunnels zwischen einem Gerät und dem Authentifizierungsserver. Das Gerät verwendet den TLS-Tunnel, um dem Authentifizierungsserver Anmeldeinformationen für die Authentifizierung des Geräts zu senden. Geräte unterstützen PEAPv0 und PEAPv1 für die PEAP-Authentifizierung. Geräte unterstützen außerdem EAP-MS-CHAPv2 und EAP-GTC als Protokoll der zweiten Stufe während der PEAP-Authentifizierung, sodass die Geräte Anmeldeinformationen mit dem geschäftlichen Wi-Fi-Netzwerk austauschen können. Um die PEAP-Authentifizierung zu konfigurieren, müssen Sie ein Zertifizierungsstellenzertifikat, das dem Zertifikat des Authentifizierungsservers entspricht, an die Geräte senden und, falls erforderlich, Clientzertifikate anmelden. Sie können SCEP- Profile verwenden, um Clientzertifikate auf Geräten anzumelden. Weitere Informationen finden Sie in der Dokumentation für Administratoren. EAP-TLS-Authentifizierung Bei der EAP-TLS-Authentifizierung wird eine PKI verwendet, damit sich ein Gerät bei einem Authentifizierungsserver authentifizieren und auf ein geschäftliches Wi-Fi-Netzwerk zugreifen kann. Die EAP-TLS-Authentifizierung verwendet TLS zum Erstellen eines verschlüsselten Tunnels zwischen dem Gerät und dem Authentifizierungsserver. Die EAP-TLS-Authentifizierung verwendet den mit TLS verschlüsselten Tunnel und ein Clientzertifikat, um die Anmeldeinformationen des Geräts an den Authentifizierungsserver zu senden. Geräte unterstützen EAP-TLS-Authentifizierung, wenn der Authentifizierungsserver und der Client Zertifikate verwenden, die bestimmte Anforderungen erfüllen. Um die EAP-TLS-Authentifizierung zu konfigurieren, müssen Sie ein Zertifizierungsstellenzertifikat, das dem Zertifikat des Authentifizierungsservers entspricht, an die Geräte senden und Clientzertifikate anmelden. Sie können SCEP-Profile verwenden, um Zertifikate auf Geräten anzumelden. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Weitere Informationen zur EAP-TLS-Authentifizierung finden Sie unter RFC EAP-TTLS-Authentifizierung EAP-TTLS-Authentifizierung erweitert die EAP-TLS-Authentifizierung, damit sich ein Gerät und ein Authentifizierungsserver gegenseitig authentifizieren können. Wenn der Authentifizierungsserver sein Zertifikat zur Authentifizierung mit dem Gerät verwendet und eine geschützte Verbindung zum Gerät herstellt, erfolgt die Authentifizierung des Geräts durch den Authentifizierungsserver über ein Authentifizierungsprotokoll über die geschützte Verbindung. 42

43 Daten während der Übertragung bei BlackBerry 10-Geräten Geräte unterstützen EAP-MS-CHAPv2, MS-CHAPv2 und PAP als Protokoll der zweiten Stufe während der EAP-TTLS- Authentifizierung, damit die Geräte Anmeldeinformationen mit dem geschäftlichen Wi-Fi-Netzwerk austauschen können. Um die EAP-TTLS-Authentifizierung zu konfigurieren, müssen Sie ein Zertifizierungsstellenzertifikat, das dem Zertifikat des Authentifizierungsservers entspricht, an die Geräte senden. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Schutz vertraulicher BES12-Informationen durch das Gerät und Wi-Fi Damit ein Gerät auf ein Wi-Fi-Netzwerk zugreifen kann, müssen Sie vertrauliche Wi-Fi-Informationen, wie Verschlüsselungsschlüssel und Kennwörter, mithilfe von Wi-Fi-Profilen und VPN-Profilen an das Gerät senden. Nachdem das Gerät die vertraulichen Wi-Fi-Informationen empfangen hat, verschlüsselt das Gerät die Verschlüsselungsschlüssel und die Kennwörter und speichert sie im Flash-Speicher. BES12 verschlüsselt die vertraulichen Wi-Fi-Informationen, die es an das Gerät sendet, und speichert die vertraulichen Wi-Fi- Informationen in der BES12-Datenbank. Sie können die vertraulichen Wi-Fi-Informationen in der BES12-Datenbank mithilfe von Zugriffskontroll- und Konfigurationseinstellungen schützen. EAP-FAST-Authentifizierung EAP-FAST-Authentifizierung verwendet PAC, um eine TLS-Verbindung zu einem Gerät herzustellen und die Anmeldedaten des Supplikanten des Geräts über die TLS-Verbindung zu überprüfen. Geräte unterstützen EAP-MS-CHAPv2 und EAP-GTC als Protokoll der zweiten Stufe während der EAP-FAST-Authentifizierung, damit die Geräte Authentifizierungsdaten mit dem geschäftlichen Wi-Fi-Netzwerk austauschen können. Geräte unterstützen die Verwendung automatischer PAC-Bereitstellung nur mit EAP-FAST-Authentifizierung. Weitere Informationen zur EAP-FAST-Authentifizierung finden Sie unter RFC Unterstützte EAP-Authentifizierungsmethoden bei der Verwendung von CCKM BlackBerry 10-Geräte unterstützen die Verwendung von CCKM bei allen unterstützten EAP-Authentifizierungsmethoden, um das Roaming zwischen drahtlosen Zugriffspunkten zu verbessern. Geräte unterstützen die Verwendung von CCKM nicht mit dem CKIP-Verschlüsselungsalgorithmus oder beim AES-CCMP-Verschlüsselungsalgorithmus. Verwenden von Zertifikaten mit PEAP-Authentifizierung, EAP-TLS-Authentifizierung oder EAP- TTLS-Authentifizierung Wenn Ihr Unternehmen zum Schutz der drahtlosen Zugriffspunkte für das geschäftliche Wi-Fi-Netzwerk PEAP- Authentifizierung, EAP-TLS-Authentifizierung oder EAP-TTLS-Authentifizierung verwendet, muss die gegenseitige Authentifizierung zwischen einem Gerät und einem Zugriffspunkt über einen Authentifizierungsserver erfolgen. Zum Generieren der Zertifikate, die das Gerät und der Authentifizierungsserver für die gegenseitige Authentifizierung verwenden, ist eine Zertifizierungsstelle erforderlich. Für eine erfolgreiche PEAP-Authentifizierung, EAP-TLS-Authentifizierung oder EAP-TTLS-Authentifizierung muss das Gerät dem Zertifikat des Authentifizierungsservers vertrauen. Das Gerät vertraut dem Zertifikat des Authentifizierungsservers nicht 43

44 Daten während der Übertragung bei BlackBerry 10-Geräten automatisch. Jedes Gerät speichert eine Liste der Zertifizierungsstellenzertifikate, denen es ausdrücklich vertraut. Das Gerät muss das Zertifizierungsstellenzertifikat für das Zertifikat des Authentifizierungsservers speichern, um dem Zertifikat des Authentifizierungsservers zu vertrauen. Sie können Zertifizierungsstellenzertifikate an jedes Gerät senden, und Sie können SCEP-Profile verwenden, um Clientzertifikate auf Geräten anzumelden. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Schutz von Daten während der Übertragung über die BlackBerry Infrastructure Daten, die zwischen BlackBerry 10-Geräten und Ihren Ressourcen übertragen werden, durchlaufen die BlackBerry Infrastructure unter den folgenden Umständen: BES12 sendet erforderliche Apps und alle Geräteverwaltungsdaten, wie IT-Richtlinien, Profile oder IT- Administrationsbefehle, durch die BlackBerry Infrastructure an die Geräte, selbst wenn diese mit einem geschäftlichen VPN oder einem Wi-Fi-Geschäftsnetzwerk verbunden sind. Die zwischen einem Gerät und dem Mail-, Web- oder Inhaltsserver Ihres Unternehmens übertragenen Daten durchlaufen BES12 und die BlackBerry Infrastructure nur dann, wenn das Gerät nicht mit einem geschäftlichen VPN oder einem Wi-Fi-Geschäftsnetzwerk verbunden ist. Authentifizierung von BES12 bei der BlackBerry Infrastructure Zum Schutz der Daten während der Übertragung zwischen BES12 und der BlackBerry Infrastructure ist eine gegenseitige Authentifizierung von BES12 und BlackBerry Infrastructure vor der Übertragung der Daten erforderlich. BES12 und die BlackBerry Infrastructure verwenden je nach Typ der gesendeten Daten unterschiedliche Authentifizierungsmethoden: Wenn BES12 Geräteverwaltungsdaten an BlackBerry 10-Geräte über die BlackBerry Infrastructure sendet, stellen BES12 und die BlackBerry Infrastructure eine gegenseitig authentifizierte TLS-Verbindung her, die die Daten bei der Übertragung mithilfe von AES-256 schützt. Wenn BES12 Geschäftsdaten vom Mail-, Web- oder Inhaltsserver Ihres Unternehmens an BlackBerry 10-Geräte über die BlackBerry Infrastructure sendet, verwendet BES12 SRP zur Authentifizierung bei und Verbindung mit der BlackBerry Infrastructure. SRP ist ein proprietäres Punkt-zu-Punkt-Protokoll, das über TCP/IP ausgeführt wird. BES12 verwendet SRP zum Kontaktieren der BlackBerry Infrastructure und zum Herstellen einer Verbindung. Wenn BES12 und die BlackBerry Infrastructure eine Verbindung herstellen, führen sie die folgenden Aktionen aus: Gegenseitige Authentifizierung Austausch von Konfigurationsinformationen Senden und Empfangen von Daten 44

45 Daten während der Übertragung bei BlackBerry 10-Geräten Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von Geschäftsdaten 1. BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung. 2. Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES BES12 führt die folgenden Aktionen aus: Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern 4. Die BlackBerry Infrastructure sendet eine zufällige Challenge-Zeichenfolge an BES BES12 sendet eine Challenge-Zeichenfolge an die BlackBerry Infrastructure. 6. Die BlackBerry Infrastructure hashcodiert die von BES12 empfangene Challenge-Zeichenfolge mit dem SRP- Authentifizierungsschlüssel mittels HMAC und dem SHA-1-Algorithmus. Die BlackBerry Infrastructure sendet den resultierenden 20-Byte-Wert als Challenge-Antwort an BES BES12 hashcodiert die von der BlackBerry Infrastructure empfangene Challenge-Zeichenfolge mit dem SRP- Authentifizierungsschlüssel und sendet das Ergebnis als Challenge-Antwort an die BlackBerry Infrastructure. 8. Die BlackBerry Infrastructure führt eine der folgenden Aktionen durch: Akzeptiert die Challenge-Antwort und sendet eine Bestätigung an den BES12, um den Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren Lehnt die Challenge-Antwort ab Wenn die BlackBerry Infrastructure die Challenge-Antwort ablehnt, ist der Authentifizierungsprozess nicht erfolgreich. Die BlackBerry Infrastructure und der BES12 schließen die SRP-Verbindung. Wenn BES12 fünfmal innerhalb einer Minute den gleichen SRP-Authentifizierungsschlüssel und die gleiche SRP-ID zum Herstellen (und anschließenden Trennen) einer Verbindung mit der BlackBerry Infrastructure verwendet, deaktiviert die BlackBerry Infrastructure die SRP ID, um zu verhindern, dass sie von einem Angreifer zur Schaffung von Bedingungen für einen Denial-of-Service (DoS)-Angriff missbraucht werden kann. 45

46 Daten während der Übertragung bei BlackBerry 10-Geräten Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von Geräteverwaltungsdaten 1. BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung. 2. Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES BES12 führt die folgenden Aktionen aus: Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde Verifiziert den Namen des Servers in der BlackBerry Infrastructure, um die TLS-Verbindung aufzubauen Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern 4. Die BlackBerry Infrastructure überprüft den von BES12 gesendeten SRP-Bezeichner und -Authentifizierungsschlüssel und führt eine der folgenden Aktionen aus: Wenn die Anmeldeinformationen gültig sind, wird eine Bestätigung an BES12 gesendet, um den Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren Wenn die Anmeldedaten nicht gültig sind, wird der Authentifizierungsvorgang gestoppt und die SRP-Verbindung geschlossen. Wie Geräte eine Verbindung zur BlackBerry Infrastructure herstellen Geräte und die BlackBerry Infrastructure senden sich gegenseitig alle Daten über eine TLS-Verbindung zu. Die TLS-Verbindung verschlüsselt die Daten, die von den Geräten und der BlackBerry Infrastructure hin und her gesendet werden. Wenn ein Angreifer versucht, sich als die BlackBerry Infrastructure auszugeben, verhindern die Geräte den Aufbau der Verbindung. Die Geräte verifizieren, ob der öffentliche Schlüssel des TLS-Zertifikats für die BlackBerry Infrastructure mit dem privaten Schlüssel des Stammzertifikats übereinstimmt, das während der Herstellung auf den Geräten vorinstalliert wird. Wenn ein Benutzer ein ungültiges Zertifikat akzeptiert, kann die Verbindung nur dann hergestellt werden, wenn das Gerät auch mit einer gültigen BES12-Instanz authentifiziert werden kann. Datenfluss: Herstellen einer TLS-Verbindung zwischen der BlackBerry Infrastructure und einem Gerät 1. Ein Gerät sendet eine Anforderung zum Herstellen einer TLS-Verbindung an die BlackBerry Infrastructure. 2. Die BlackBerry Infrastructure sendet ihr TLS-Zertifikat an das Gerät. 3. Das Gerät verwendet ein Stammzertifikat, das auf dem Gerät vorinstalliert ist, um das TLS-Zertifikat zu überprüfen. Wenn der Benutzer das Stammzertifikat gelöscht hat, fordert das Gerät den Benutzer auf, das TLS-Zertifikat als vertrauenswürdig anzuerkennen. 4. Das Gerät stellt die TLS-Verbindung her. 46

47 Daten während der Übertragung bei BlackBerry 10-Geräten Wie BES12 und die BlackBerry Infrastructure Ihre Daten schützen Nachdem BES12 und die BlackBerry Infrastructure eine SRP-Verbindung hergestellt haben, baut BES12 eine permanente TCP/IP-Verbindung über TCP-Port 3101 auf, über die Daten an die BlackBerry Infrastructure gesendet werden können. Bevor BES12 oder ein BlackBerry 10-Gerät Daten über die BlackBerry Infrastructure zwischen dem Gerät und dem Mail-, Weboder Inhaltsserver Ihres Unternehmens sendet, komprimiert er bzw. es die Daten, verschlüsselt sie mithilfe von Nachrichtenschlüsseln und verschlüsselt die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts. Wenn BES12 oder ein Gerät die Daten empfängt, entschlüsselt er bzw. es die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts und entschlüsselt und dekomprimiert die Daten. Dieser Prozess wird als BlackBerry-Transportschichtverschlüsselung bezeichnet. Daten, die zwischen Geräten und den Servern Ihres Unternehmens übertragen und über die TCP/IP-Verbindung zwischen BES12 und BlackBerry Infrastructure gesendet werden, sind sicher, da die Daten an keinem Zwischenpunkt zwischen BES12 und dem Gerät erneut entschlüsselt und verschlüsselt werden. Kein Datenverkehr, der von Geräten über die BlackBerry Infrastructure gesendet wird, kann Ihre Unternehmensressourcen erreichen, solange BES12 die Daten nicht mit einem gültigen Transportschlüssel für das Gerät entschlüsseln kann. BES12 und die Geräte verwenden AES-256 im CBC-Modus als symmetrischen Algorithmus für die BlackBerry- Transportschichtverschlüsselung. Schlüssel zum Gerätetransport Der Transportschlüssel des Geräts verschlüsselt die Nachrichtenschlüssel, durch die die Daten bei der Übertragung zwischen den Unternehmensressourcen und den BlackBerry 10-Geräten, die über BES12 und die BlackBerry Infrastructure gesendet werden, geschützt werden. BES12 und ein Gerät generieren den Transportschlüssel des Geräts, wenn ein Benutzer das Gerät aktiviert. Der Wert des Transportschlüssels des Geräts ist nur BES12 und dem Gerät bekannt. Datenpakete, deren Format nicht erkannt wird, oder deren Gerätetransportschlüssel, durch den das Datenpaket geschützt wird, nicht erkannt wird, werden abgelehnt. Geräte speichern ihre Transportschlüssel in einer Schlüsselspeicherdatenbank im Flash-Speicher. Die Schlüsselspeicherdatenbank verhindert, dass Angreifer die Gerätetransportschlüssel auf einen Computer kopieren können, indem sie versuchen, eine Sicherung davon abzulegen. Angreifer können keine Schlüsseldaten aus dem Flash-Speicher extrahieren. Generieren des Gerätetransportschlüssels für ein Gerät Wenn ein Benutzer ein BlackBerry 10-Gerät aktiviert, sendet das Gerät eine CSR an BES12. BES12 erstellt anhand der CSR ein Client-Zertifikat, signiert das Client-Zertifikat mit seinem Verwaltungsstammzertifikat des Unternehmens und sendet das Client- Zertifikat und das Verwaltungsstammzertifikat des Unternehmens an das Gerät. Um die Verbindung zwischen dem Gerät und BES12 während des Zertifikataustauschs zu schützen, erstellen das Gerät und BES12 mithilfe des Aktivierungskennworts und der EC-SPEKE einen kurzlebigen symmetrischen Schlüssel. 47

48 Daten während der Übertragung bei BlackBerry 10-Geräten Sobald der Zertifikataustausch abgeschlossen ist, stellen das Gerät und BES12 unter Verwendung des Client-Zertifikats und des Server-Zertifikats eine gegenseitig authentifizierte TLS-Verbindung her. Das Gerät verifiziert das Server-Zertifikat mithilfe des Verwaltungsstammzertifikats des Unternehmens. Um den Transportschlüssel des Geräts zu generieren, verwenden das Gerät und BES12 die authentifizierten, langfristig geltenden öffentlichen Schlüssel, die mit dem Clientzertifikat und dem Serverzertifikat für BES12 verknüpft sind, sowie ECMQV. Das ECMQV-Protokoll wird über die gegenseitig authentifizierte TLS-Verbindung verwendet. Die in ECMQV verwendete elliptische Kurve entspricht der von NIST empfohlenen 521-Bit-Kurve. BES12 und das Gerät senden den Transportschlüssel des Geräts nicht über das drahtlose Netzwerk, wenn der Transportschlüssel des Geräts generiert wird oder Daten ausgetauscht werden. Nachrichtenschlüssel Durch Nachrichtenschlüssel wird die Integrität der Daten geschützt, die zwischen den Ressourcen Ihres Unternehmens und den BlackBerry 10-Geräten über den BES12 und die BlackBerry Infrastructure übertragen werden. BES12 und ein BlackBerry 10-Gerät generieren einen oder mehrere Nachrichtenschlüssel für alle Daten, die durch BES12 und die BlackBerry Infrastructure geleitet werden. Wenn die Daten 2 KB überschreiten und aus mehreren Datenpaketen bestehen, erstellen BES12 und das Gerät einen spezifischen Nachrichtenschlüssel für jedes Datenpaket. Jeder Nachrichtenschlüssel besteht aus Zufallsdaten, so dass Dritte den Schlüssel nicht entschlüsseln, neu erstellen oder duplizieren können. BES12 und das Gerät speichern die Nachrichtenschlüssel nicht im permanenten Speicher. Sie setzen den mit den Nachrichtenschlüsseln verknüpften Speicher frei, nachdem BES12 oder das Gerät die Daten mithilfe des Nachrichtenschlüssels entschlüsselt hat. Das Gerät verwendet Bit, die aus einer zufällig angeordneten Quelle auf dem Gerät abgerufen werden, um einen pseudozufälligen, hoch entropischen Nachrichtenschlüssel zu generieren. Datenfluss: Erstellen eines Nachrichtenschlüssels auf einem Gerät Ein BlackBerry 10-Gerät verwendet zum Generieren eines Nachrichtenschlüssels die DRBG-Funktion. Zur Erstellung eines Nachrichtenschlüssels führt das Gerät die folgenden Aktionen aus: 1. Ruft Zufallsdaten von mehreren Quellen zur Erstellung des Ausgangswerts ab. Das entsprechende Verfahren leitet das Gerät aus der Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab. 2. Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays 3. Fügt das 256-Byte-Zustandsarray in den ARC4-Verschlüsselungsalgorithmus ein, um das 256-Byte-Zustandsarray weiter zu randomisieren 4. Zieht 521 Byte aus dem ARC4-Byte-Zustandsarray Das Gerät zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte ( = 521), um sicherzustellen, dass die Zeiger vor und nach dem Aufruf nicht an derselben Stelle sind und für den Fall, dass die ersten paar Byte des ARC4-Zustandsarrays nicht zufällig sind. 48

49 Daten während der Übertragung bei BlackBerry 10-Geräten 5. Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren 6. Verwendet den 64-Byte-Wert als Ausgangswert für die DRBG-Funktion Das Gerät speichert eine Kopie des Ausgangswerts in einer Datei. Wenn das Gerät neu gestartet wird, liest das Programm den Ausgangswert in der Datei und vergleicht den gespeicherten Ausgangswert mithilfe der XOR-Funktion mit dem neuen Ausgangswert. 7. Verwendet die DRBG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der AES- Verschlüsselung 8. Verwendet die Pseudo-Zufallsbits, um den Nachrichtenschlüssel zu erstellen Weitere Informationen zur DRBG-Funktion finden Sie in NIST Special Publication Datenfluss: Generieren eines Nachrichtenschlüssels in BES12 Der BES12 verwendet die DSA PRNG-Funktion zum Generieren eines Nachrichtenschlüssels. Zum Generieren eines Nachrichtenschlüssels führt der BES12 die folgenden Aktionen aus: 1. Ruft Zufallsdaten von mehreren Quellen für den Ausgangswert ab. Das entsprechende Verfahren leitet der BES12 aus der Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab. 2. Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays BES12 fordert 512 Bit Zufallsdaten aus der Microsoft Cryptographic API an, um die Zufälligkeit der Daten zu erhöhen. 3. Fügt das 256-Byte-Zustandsarray in den ARC4-Algorithmus ein, um das 256-Byte-Zustandsarray weiter zu randomisieren 4. Zieht 521 Byte aus dem 256-Byte-Zustandsarray BES12 zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte ( = 521), um sicherzustellen, dass die Zeiger vor und nach dem Generierungsvorgang nicht an derselben Stelle sind und für den Fall, dass die ersten paar Byte des 256-Byte-Zustandsarrays nicht zufällig sind. 5. Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren 6. Verwendet den 64-Byte-Wert als Ausgangswert für die DSA PRNG-Funktion 7. Verwendet die DSA PRNG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der AES-Verschlüsselung 8. Verwendet die Pseudo-Zufallsbits mit AES-Verschlüsselung zum Generieren des Nachrichtenschlüssels Weitere Informationen zur DSA PRNG-Funktion erhalten Sie unter Federal Information Processing Standard FIPS PUB Datenfluss: Senden von Daten von Geräten über die BlackBerry Infrastructure an Ihre Server 49

50 Daten während der Übertragung bei BlackBerry 10-Geräten 1. Das BlackBerry 10-Gerät führt die folgenden Aktionen aus: a Komprimiert die Daten b Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln c Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts d Sendet die Daten über eine TCP-Verbindung an die BlackBerry Infrastructure 2. Die BlackBerry Infrastructure sendet die Daten über eine permanente TCP/IP-Verbindung an BES BES12 führt die folgenden Aktionen aus: a b c d Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln Dekomprimiert die Daten Sendet die Daten an den Zielserver innerhalb der Firewall Datenfluss: Senden von Daten von Ihren Servern über die BlackBerry Infrastructure an Geräte 1. Ein Mail-, Web- oder Inhaltsserver innerhalb der Firewall sendet die Daten an BES12. 50

51 Daten während der Übertragung bei BlackBerry 10-Geräten 2. BES12 führt die folgenden Aktionen aus: a Komprimiert die Daten b Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln c Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts d Sendet die Daten über eine permanente TCP/IP-Verbindung an die BlackBerry Infrastructure 3. Die BlackBerry Infrastructure sendet die Daten über eine TCP-Verbindung an das BlackBerry 10-Gerät. 4. Das BlackBerry 10-Gerät führt die folgenden Aktionen aus: a b c Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln Dekomprimiert die Daten Schützen von Geräteverwaltungsdaten, die zwischen BES12 und Geräten gesendet werden Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile oder IT-Administrationsbefehle und erforderliche Apps aus Ihrem Unternehmensnetzwerk an BlackBerry 10-Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure gesendet, selbst wenn das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist. Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 Wenn BES12 Geräteverwaltungsdaten an BlackBerry 10-Geräte sendet und Geräte Daten an BES12 zurücksenden, werden die Daten stets über die BlackBerry Infrastructure übermittelt. 51

52 Daten während der Übertragung bei BlackBerry 10-Geräten Verwendete Verschlüsselungsarten zum Senden von Geräteverwaltungsdaten an Geräte Für das Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 werden verschiedene Verschlüsselungsarten verwendet. 52

53 Daten während der Übertragung bei BlackBerry 10-Geräten Bereitstellen von Geräten mit Zugriff per einmaligem Anmelden im Netzwerk Ihres Unternehmens Sie können zulassen, dass sich BlackBerry 10-Gerätebenutzer bei Domänen und Webdiensten Ihres Unternehmensnetzwerks automatisch authentifizieren. Sie können Profile für die einmalige Anmeldung verwenden, um die Geräteauthentifizierung einzurichten. Wenn Sie einem Benutzer ein Profil für die einmalige Anmeldung zuweisen, werden die Anmeldeinformationen des Benutzers auf dem Gerät gespeichert, wenn er zum ersten Mal eine im Profil angegebene Domäne aufruft. Die gespeicherten Anmeldeinformationen des Benutzers werden automatisch verwendet, wenn er versucht, auf die im Profil angegebenen Domänen zuzugreifen. Der Benutzer wird erst erneut zur Eingabe eines Benutzernamens und Kennworts aufgefordert, wenn das Kennwort des Benutzers geändert wird. BES12 unterstützt die folgenden Authentifizierungstypen für die einmalige Anmeldung: Authentifizierungstyp Kerberos NTLM Gilt für Browser im geschäftlichen Bereich Browser und Apps im geschäftlichen Bereich Weitere Informationen zum Erstellen von Profilen für die einmalige Anmeldung finden Sie in der Dokumentation für Administratoren. Verwenden von Kerberos für die einmalige Anmeldung auf Geräten Wenn Ihr Unternehmen Kerberos für den Zugriff per einmaligem Anmelden verwendet, können Benutzer den Zugriff per einmaligem Anmelden auf die Ressourcen Ihres Unternehmens mithilfe des Browsers und der Apps im geschäftlichen Bereich auf ihren BlackBerry 10-Geräten nutzen. Bei der Verwendung von Kerberos mit BlackBerry 10-Geräten, wenn eine gültige TGT auf den Geräten verfügbar ist, werden Benutzer nicht zur Eingabe der Anmeldeinformationen aufgefordert, wenn sie mithilfe des Browsers und der Apps im geschäftlichen Bereich auf die internen Ressourcen Ihres Unternehmens zugreifen. Wenn die Benutzer über eine VPN- Verbindung mit Ihrem Unternehmen verbunden sind, muss das VPN-Gateway die Übertragung an das KDC zulassen, sodass Benutzer ohne Angabe von Anmeldeinformationen Zugriff haben. Für die Verwendung von Kerberos mit BlackBerry 10-Geräten geben Sie die Kerberos-Konfigurationsdatei Ihres Unternehmens in einem Profil für die einmalige Anmeldung an. Weitere Informationen finden Sie in der Dokumentation für Administratoren. 53

54 Daten während der Übertragung bei BlackBerry 10-Geräten Schutz der Kommunikation mit Geräten mithilfe von Zertifikaten Ein Zertifikat ist ein digitales Dokument, das die Identität und den öffentlichen Schlüssel eines Zertifikatempfängers miteinander verknüpft. Für jedes Zertifikat ist ein entsprechender privater Schlüssel vorhanden, der getrennt gespeichert wird. Eine Zertifizierungsstelle signiert das Zertifikat und bescheinigt so dessen Glaubwürdigkeit. Je nach Gerätefunktionen und Aktivierungsart können Zertifikate auf Geräten für Folgendes verwendet werden: Authentifizieren mittels SSL/TSL, wenn die Geräte eine Verbindung zu Webseiten herstellen, die HTTPS verwenden Authentifizieren mit einem geschäftlichen Mailserver Authentifizieren bei einem geschäftlichen Wi-Fi-Netzwerk und, sofern die Geräte dies unterstützen, bei einem VPN Verschlüsseln und Signieren von -Nachrichten mittels S/MIME-Schutz (nur unterstützte Geräte) Bereitstellung von BlackBerry 10-Client-Zertifikaten an Geräte Viele Zertifikate, die für verschiedene Zwecke verwendet werden, können auf einem BlackBerry 10-Gerät gespeichert werden. Clientzertifikate können Geräten auf mehrere Arten bereitgestellt werden: So wird das Zertifikat hinzugefügt Während der Geräteaktivierung SCEP-Profile Profile für Benutzeranmeldeinformationen Benutzerimport Beschreibung BES12 sendet während des Aktivierungsprozesses Zertifikate an Geräte. Die Geräte verwenden diese Zertifikate, um sichere Verbindungen zwischen dem Gerät und BES12 herzustellen. Sie können SCEP-Profile erstellen, die Geräte verwenden, um Clientzertifikate von einer SCEP-kompatiblen Microsoft- oder Entrust-Zertifizierungsstelle anzufordern und zu erhalten. Die Geräte können diese Zertifikate für die zertifikatsbasierte Authentifizierung im Browser und für die Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver verwenden. Wenn Ihr Unternehmen Entrust IdentityGuard-Produkte verwendet, um Zertifikate auszustellen und zu verwalten, können Sie Profile für Benutzeranmeldeinformationen erstellen, die von Geräten verwendet werden, um Zertifikate von der Zertifizierungsstelle Ihres Unternehmens zu erhalten. Die Geräte verwenden diese Zertifikate für die zertifikatsbasierte Authentifizierung im Browser und für die Verbindung zu einem geschäftlichen Wi-Fi- Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver. Benutzer können Clientzertifikate in den Zertifikatsspeicher des Geräts im Abschnitt "Sicherheit und Datenschutz" der "Systemeinstellungen" importieren. Zertifikate für die 54

55 Daten während der Übertragung bei BlackBerry 10-Geräten So wird das Zertifikat hinzugefügt Beschreibung Verwendung durch den geschäftlichen Browser oder zum Senden von S/MIME-geschützten Nachrichten vom geschäftlichen -Konto können aus dem Dateisystem auf dem Gerät oder aus einem Netzwerkpfad, der vom geschäftlichen Bereich zugänglich ist, importiert werden. Smartcards Benutzer können S/MIME- und SSL-Zertifikate von einer Smartcard auf ihre Geräte importieren. Verwenden von SCEP zur Anmeldung von Clientzertifikaten auf Geräten SCEP wird von BlackBerry 10-Geräten, ios-geräten und Android-Geräten mit Samsung KNOX Workspace, Android for Work oder Secure Work Space unterstützt. SCEP ist ein IETF-Protokoll, das das Anmelden von Zertifikaten auf vielen Geräten vereinfacht, indem zur Ausstellung der einzelnen Zertifikate weder ein Eingriff vonseiten des Administrators noch eine Genehmigung erforderlich ist. Geräte können SCEP verwenden, um Clientzertifikate von einer SCEP-kompatiblen Microsoft- oder Entrust-Zertifizierungsstelle, die Ihr Unternehmen verwendet, anzufordern und zu erhalten. Sie können SCEP verwenden, um Clientzertifikate auf Geräten anzumelden, damit die Geräte zertifikatsbasierte Authentifizierung im Browser verwenden können, und um eine Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver herzustellen. Die Zertifikatsanmeldung beginnt, nachdem ein Gerät ein SCEP-Profil erhält, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder -Profil verknüpft ist. Geräte können während des Aktivierungsprozesses ein SCEP-Profil von BES12 erhalten, wenn Sie ein SCEP-Profil ändern oder wenn Sie ein anderes Profil ändern, das über ein zugeordnetes SCEP-Profil verfügt. Nachdem die Zertifikatsanmeldung abgeschlossen ist, werden das Clientzertifikat und dessen Zertifikatskette und privater Schlüssel im geschäftlichen Schlüsselspeicher auf dem Gerät gespeichert. Wenn Sie eine Microsoft-Zertifizierungsstelle verwenden, muss die Zertifizierungsstelle Abfragekennwörter unterstützen. Die Zertifizierungsstelle verifiziert mithilfe von Abfragekennwörtern, dass das Gerät zum Senden einer Zertifikatanforderung autorisiert ist. Wenn die Zertifizierungsstelle NDES umgesetzt hat, verwenden Sie dynamische Abfragekennwörter. Das statische Abfragekennwort oder die Einstellungen zum Erhalt eines dynamisch generierten Abfragekennworts vom SCEP-Dienst werden im SCEP-Profil bestimmt. Um das Kennwort zu schützen, wird es auf BlackBerry 10-Geräten nicht an die Geräte gesendet. Auf anderen Geräten wird das Kennwort an die Geräte gesendet, um den Geräten die Ausführung der Zertifikatanforderung zu ermöglichen. Wenn Sie ein statisches Abfragekennwort verwenden, wird für alle SCEP-Anforderungen von Geräten das gleiche Abfragekennwort verwendet. Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12 entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt. Besuchen Sie um den SCEP-Internetentwurf zu lesen. 55

56 Daten während der Übertragung bei BlackBerry 10-Geräten Verwalten von Zertifikaten, die mithilfe von SCEP an einem Gerät angemeldet werden Nachdem ein Gerät ein Zertifikat mithilfe von SCEP angemeldet hat, überwacht die SCEP-Komponente das Ablaufdatum des Zertifikats. Wenn sich das Ablaufdatum eines Zertifikats nähert, startet die SCEP-Komponente den Anmeldungsprozess für ein neues Zertifikat. Mithilfe der SCEP-Profileinstellung "Automatische Erneuerung" können Sie einstellen, wie viele Tage vor Ablauf eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll. Das Verfahren der Zertifikatregistrierung kann zudem neu beginnen, wenn Sie Änderungen an SCEP-Profileinstellungen für Zertifizierungsstelle, Verbindung oder Verschlüsselungsschlüssel vornehmen, z. B. URL, SCEP-Challenge-Typ, Schlüsselalgorithmus oder Schlüsselgröße. Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12 entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt. Datenfluss: Anmelden eines Zertifikats bei einem BlackBerry 10-Gerät mithilfe von SCEP 1. BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder - Profil verknüpft ist. 2. Das Gerät führt die folgenden Aktionen aus: a b c Erstellen eines Schlüsselpaares mithilfe des Schlüsselalgorithmus und der Schlüsselstärke, die im SCEP-Profil angegeben ist Erstellen eines PKCS#10 CSR mit allen erforderlichen Attributen für die Anfrage, abgesehen vom Abfragekennwort Senden des SCEP-Profilnamens, des PKCS#10 CSR und des Hashtyps an BES12 Core 3. Die BES12 Core führt die folgenden Aktionen aus: a b c d Überprüfen der Übereinstimmung des definierten Antragstellernamens, des alternativen Antragstellernamens und der -Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank Hinzufügen des Abfragekennworts zum PKCS#10 CSR Verwenden der Hashfunktion für PKCS#10 CSR Senden des PKCS#10 CSR-Hash an das Gerät 4. Das Gerät berechnet die Signatur auf dem PKCS#10 CSR-Hash und sendet den SCEP-Profilnamen, das ursprüngliche PKCS#10 CSR, die Signaturanfrage, die berechnete Signaturantwort, das Zertifizierungsstellenzertifikat (zum Verschlüsseln der SCEP-Anfrage), den Hash-Typ und die Art der Verschlüsselung an das BES12 Core. 5. Die BES12 Core führt die folgenden Aktionen aus: 56

57 Daten während der Übertragung bei BlackBerry 10-Geräten a b c d e f Überprüfen des empfangenen Zertifizierungsstellenzertifikats Überprüfen der Übereinstimmung des definierten Antragstellernamens, des alternativen Antragstellernamens und der -Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank Hinzufügen des Abfragekennworts zum PKCS#10 CSR Hinzufügen der berechneten Signaturantwort zum PKCS#10 CSR Verschlüsseln des PKCS#10 CSR mithilfe des verpackten PKCS#7- Dateiformats und des öffentlichen Zertifizierungsstellenschlüssels Senden der verpackten PKCS#7-Daten an das Gerät 6. Das Gerät schließt die SCEP-Anfrage durch Signieren der verpackten PKCS#7-Daten mithilfe des signierten PKCS#7- Dateiformats und sendet die SCEP-Anfrage durch BES12 an die Zertifizierungsstelle. 7. Die Zertifizierungsstelle stellt das Zertifikat aus und sendet es über BES12 das Gerät. 8. Der Enterprise Management Agent auf dem Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum Schlüsselspeicher auf dem Gerät hinzu und macht das Zertifikat für die angegebene Verbindung verfügbar, wenn das SCEP-Profil einem zugewiesenen Wi-Fi-, VPN- oder -Profil zugeordnet ist. Senden von Zertifizierungsstellenzertifikaten an Geräte Alle Geräte unterstützen diese Funktion. Sie müssen möglicherweise Zertifizierungsstellenzertifikate an Geräte verteilen, wenn Ihr Unternehmen S/MIME verwendet, oder wenn die Geräte eine zertifikatsbasierte Authentifizierung für die Verbindung mit einem Netzwerk oder einem Server in Ihrer Unternehmensumgebung verwenden. Wenn die Zertifikate für die Zertifizierungsstellen, die die Netzwerk- und Serverzertifikate Ihres Unternehmens ausgestellt haben, auf Geräten gespeichert werden, können die Geräte Ihren Netzwerken und Servern beim Aufbau sicherer Verbindungen vertrauen. Wenn die Zertifizierungsstellenzertifikate für die Zertifizierungsstellen, die die S/MIME-Zertifikate Ihres Unternehmens ausgestellt haben, auf Geräten gespeichert werden, können die Geräte dem Zertifikat des Senders vertrauen, wenn eine S/MIME-geschützte -Nachricht empfangen wird. Mithilfe von Profilen mit Zertifizierungsstellenzertifikat können Sie Zertifizierungsstellenzertifikate an Geräte senden. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Schutz von -Nachrichten Geräte können Exchange ActiveSync oder IBM Notes Traveler zum Synchronisieren von -Nachrichten, Kalendereinträgen, Kontakten und anderen Terminplanerdaten mit dem -Server Ihres Unternehmens verwenden. BES12 kann es ermöglichen, dass Geräte, die nicht mit dem internen Netzwerk des Unternehmens verbunden sind oder die keine VPN-Verbindung haben, mit dem -Server synchronisiert werden, ohne dass Sie Verbindungen mit dem -Server von außerhalb der Firewall verfügbar machen müssen. 57

58 Daten während der Übertragung bei BlackBerry 10-Geräten BES12 ermöglicht Geräten eine sichere Synchronisierung mit dem -Server über die BlackBerry Infrastructure mithilfe der gleichen Verschlüsselungsmethoden, die für alle anderen Geschäftsdaten verwendet werden. Wenn BES12 die Verbindung zwischen Ihrem -Server und den Geräten bereitstellt, haben die BES12-IT-Richtlinien Vorrang vor allen Richtlinien, die für die Geräte auf dem -Server festgelegt wurden. Wenn Ihr Unternehmen zum Anmelden von Zertifikaten bei Geräten SCEP verwendet, können Sie ein SCEP-Profil mit einem E- Mail-Profil verknüpfen, um eine zertifikatsbasierte Authentifizierung zu erzwingen und somit zum Schutz der Verbindungen zwischen den Geräten und dem -Server beizutragen. Steuern, welche Geräte Exchange ActiveSync verwenden können Alle Geräte unterstützen Exchange ActiveSync Gatekeeping. Microsoft Exchange kann so konfiguriert werden, dass Geräte für die Nutzung von Exchange ActiveSync blockiert sind, es sei denn, die Geräte wurden ausdrücklich einer Positivliste hinzugefügt. Geräte, die nicht auf dieser Liste stehen, können nicht auf geschäftliche und Terminplanerdaten zugreifen. Im BES12 können Sie Microsoft Exchange-Gatekeeping einrichten, um zu steuern, welche Geräte automatisch zur Liste der zulässigen Geräte auf Ihrem Microsoft Exchange Server hinzugefügt werden. Wenn Sie Microsoft Exchange Gatekeeping verwenden und ein Benutzer, dem ein -Profil zugewiesen ist, ein BlackBerry 10-, Secure Work Space- Android for Work- oderknox Workspace-Gerät aktiviert, wird das Gerät automatisch in die Liste der zulässigen Geräte in Microsoft Exchange aufgenommen. Ein Gerät wird dann automatisch von der Liste der zulässigen Geräte entfernt, wenn Sie das -Profil aus dem Benutzerkonto entfernen, wenn das Gerät die Einstellungen im zugewiesenen Einhaltungsprofi verletzt oder wenn das Gerät deaktiviert wird. Sie müssen Android MDM-Geräte der Positivliste manuell hinzufügen bzw. sie manuell aus dieser entfernen. Weitere Informationen zum Aktivieren von Microsoft Exchange Gatekeeping und zum Hinzufügen und Entfernen von Geräten zur bzw. aus der Liste der zulässigen Geräte finden Sie in der Dokumentation für Administratoren. Erweitern der -Sicherheit BES12 und Geräte unterstützen die folgenden Technologien für sicheres Messaging: S/MIME-Schutz: Sie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass BlackBerry 10-Geräte Nachrichten signieren und verschlüsseln oder Nachrichten mithilfe des S/MIME-Schutzes signieren und verschlüsseln. PGP-Schutz: Sie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass Geräte in der BlackBerry 10 OS Version oder älter Nachrichten signieren und verschlüsseln oder Nachrichten mithilfe des PGP- Schutzes signieren und verschlüsseln. IBM Notes- -Verschlüsselung: Wenn Ihre Unternehmensumgebung über IBM Notes oder IBM Domino verfügt, können -Geräte, auf denen IBM Notes Traveler installiert ist, mithilfe deribm Notes- -Verschlüsselung - Nachrichten senden und empfangen. 58

59 Daten während der Übertragung bei BlackBerry 10-Geräten S/MIME-Schutz für Geräte Sie können die Nachrichtensicherheit für BES12 erweitern und BlackBerry 10-Geräte zulassen, um S/MIME-geschützte - Nachrichten zu senden und empfangen. Durch digitales Signieren oder Verschlüsseln von Nachrichten wird die Sicherheit von -Nachrichten, die Benutzer von ihren Geräten senden oder empfangen, zusätzlich erhöht. Sie können verlangen, dass BlackBerry 10-Geräte Nachrichten mithilfe von S/MIME-Schutz signieren, verschlüsseln oder signieren und verschlüsseln, wenn die Benutzer -Nachrichten mit einem geschäftlichen -Konto senden, das auf den Geräten S/MIMEgeschützte Nachrichten unterstützt. Die Geräte unterstützen Schlüssel und Zertifikate in den folgenden Dateiformaten und mit den folgenden Dateierweiterungen: PEM (.pem,.cer) DER (.der,.cer) PFX (.pfx,.p12) Benutzer können S/MIME-Einstellungen auf den Geräten in den BlackBerry Hub-Einstellungen konfigurieren sowie die Zertifikate und Codierungsmethoden auswählen. Benutzer können Zertifikate auf ihren Geräten im Abschnitt "Sicherheit und Datenschutz" der "Systemeinstellungen" verwalten. Geräte unterstützen Anlagen in S/MIME-geschützten -Nachrichten. Benutzer können Anlagen in S/MIME-geschützten E- Mail-Nachrichten anzeigen, senden und weiterleiten. Benutzer können die S/MIME-Einstellungen auf dem Gerät konfigurieren, um entweder Nachrichten mit Signatur ("clearsigned") zu senden, die jede -Anwendung öffnen kann, oder Nachrichten mit einer undurchsichtigen Signatur ("opaquesigned") zu senden, die nur -Anwendungen, die Verschlüsselung unterstützen, öffnen können. Benutzer können ihre privaten Schlüssel auf ihren Geräten oder einer Smartcard speichern. Wenn Benutzer ihre privaten Schlüssel nicht auf ihren Geräten gespeichert haben, können die Geräte keine S/MIME-geschützten -Nachrichten lesen. Es wird die Meldung "Nachricht kann nicht decodiert werden, da Sie nicht über den entsprechenden privaten Schlüssel verfügen" angezeigt. S/MIME-Zertifikate und private Schlüssel BlackBerry 10-Geräte verwenden Kryptografie mit S/MIME-Zertifikaten und privaten S/MIME-Schlüsseln, um - Nachrichten zu verschlüsseln bzw. zu entschlüsseln. Objekt Öffentlicher S/MIME- Schlüssel Beschreibung Wenn ein Benutzer eine -Nachricht von einem Gerät sendet, verwendet das Gerät den öffentlichen S/MIME-Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Wenn ein Benutzer eine signierte -Nachricht auf einem Gerät empfängt, verwendet das Gerät den öffentlichen S/MIME-Schlüssel des Absenders, um die Nachrichtensignatur zu überprüfen. Privater S/MIME-Schlüssel Wenn ein Benutzer eine signierte -Nachricht von einem Gerät sendet, hashcodiert das Gerät die Nachricht mit SHA-1, SHA-2 oder MD5. Das Gerät verwendet den privaten S/MIME- Schlüssel des Benutzers, um den Nachrichtenhash digital zu signieren. 59

60 Daten während der Übertragung bei BlackBerry 10-Geräten Objekt Beschreibung Wenn ein Benutzer eine verschlüsselte Nachricht auf einem Gerät empfängt, verwendet das Gerät den privaten Schlüssel des Benutzers, um die Nachricht zu entschlüsseln. Der private Schlüssel kann auf dem Gerät oder einer Smartcard gespeichert werden. Abrufen von S/MIME-Zertifikaten Sie können "Zertifikatsabruf"-Profile verwenden, um LDAP-Servereinstellungen zu konfigurieren und sie an Geräte zu senden. Mithilfe von LDAP-Servereinstellungen können Geräte nach S/MIME-Zertifikaten von Empfängern suchen und diese von LDAP- Servern über das drahtlose Netzwerk abrufen. Wenn sich ein erforderliches S/MIME-Zertifikat nicht bereits im Zertifikatsspeicher des Geräts befindet, wird es von dem Gerät automatisch abgerufen und in den Zertifikatsspeicher importiert. Ein Gerät durchsucht jeden LDAP-Server und ruft das S/MIME-Zertifikat ab. Wenn mehr als ein S/MIME-Zertifikat vorliegt und das Gerät nicht ermitteln kann, welches zu bevorzugen ist, zeigt das Gerät alle S/MIME-Zertifikate an, sodass der Benutzer auswählen kann, welches davon verwendet werden soll. Wenn Sie keine Einstellungen zum Abrufen von Zertifikaten konfigurieren, müssen Benutzer S/MIME-Zertifikate manuell aus einem Anhang einer geschäftlichen oder von einem Computer importieren. Sie können verlangen, dass die Geräte entweder die einfache Authentifizierung oder Kerberos-Authentifizierung verwenden, um sich bei LDAP-Servern zu authentifizieren. Wenn Sie verlangen, dass die Geräte eine einfache Authentifizierung verwenden, können Sie die erforderlichen Authentifizierungs-Anmeldeinformationen in die "Zertifikatsabruf"-Profile einbinden, sodass sich die Geräte automatisch bei den LDAP-Servern authentifizieren können. Wenn Sie verlangen, dass die Geräte eine Kerberos Authentifizierung verwenden, können Sie die erforderlichen Authentifizierungs-Anmeldeinformationen in die "Zertifikatsabruf"- Profile einbinden, sodass sich die Geräte, auf denen BlackBerry 10 OS Version oder höher ausgeführt wird, automatisch bei den LDAP-Servern authentifizieren können. Andernfalls fordert das Gerät bei der ersten Authentifizierung bei einem LDAP- Server den Benutzer zur Eingabe der erforderlichen Anmeldedaten für die Authentifizierung auf. Bei Geräten, auf denen die BlackBerry 10 OS Version bis 10.3 ausgeführt wird, fordert das Gerät bei der ersten Authentifizierung bei einem LDAP- Server den Benutzer zur Eingabe der erforderlichen Anmeldedaten für die Authentifizierung auf. Weitere Informationen zum Konfigurieren von LDAP-Servern finden Sie in der Dokumentation für Administratoren. Bestimmen des Status von S/MIME-Zertifikaten Um den Status von S/MIME-Zertifikaten zu bestimmen, können Sie OCSP-Profile verwenden, um OCSP- Respondereinstellungen zu konfigurieren und sie an BlackBerry 10-Geräte zu senden. Ein Gerät durchsucht jeden OCSP- Responder und ruft den S/MIME-Zertifikatstatus ab. Bei Geräten, auf denen BlackBerry 10 OS-Version oder höher ausgeführt wird, können Sie CRL-Profile verwenden, um BES12 zu konfigurieren, um den Status von S/MIME-Zertifikaten mit HTTP, HTTPS oder LDAP zu suchen. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Weitere Informationen zu Zertifikatstatusanzeigen finden Sie im Benutzerhandbuch im Abschnitt zu den Symbolen für sichere . 60

61 Daten während der Übertragung bei BlackBerry 10-Geräten S/MIME-Verschlüsselungsalgorithmen Wenn Sie oder ein Benutzer die S/MIME-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, legt die Einstellung "Verschlüsselungsalgorithmen" fest, dass ein Gerät jede der folgenden Verschlüsselungsalgorithmen verwenden kann, um Nachrichten zu verschlüsseln: AES-256 AES-192 AES-128 RC2 Triple DES Sie können den Wert der Einstellung "Verschlüsselungsalgorithmen" ändern, um nur eine Teilmenge der Verschlüsselungsalgorithmen zu verwenden, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern. Wenn ein Benutzer eine S/MIME-geschützte Nachricht empfängt, speichert das Gerät die Verschlüsselungsalgorithmen, die die -Anwendung des Senders unterstützt. Wenn der Benutzer eine verschlüsselte Nachricht an einen Empfänger sendet, für den das Gerät Verschlüsselungsalgorithmus-Informationen gespeichert hat, verwendet das Gerät einen Algorithmus, der von dem Empfänger unterstützt wird. Wenn das Gerät die Verschlüsselungsalgorithmen der -Anwendung des Empfängers nicht bestimmen kann, verschlüsselt das Gerät die -Nachricht mit Triple DES. Datenfluss: Senden einer -Nachricht von einem Gerät mit S/MIME-Verschlüsselung 1. Ein Benutzer sendet eine -Nachricht von einem BlackBerry 10-Gerät mit S/MIME-Verschlüsselung. Das Gerät führt die folgenden Aktionen aus: a b c d e Prüft den Schlüsselspeicher des BlackBerry-Geräts auf das S/MIME-Zertifikat des Empfängers Wenn der Schlüsselspeicher des Geräts das S/MIME-Zertifikat des Empfängers nicht enthält, verwendet das Gerät zum Abrufen das S/MIME-Zertifikat des Empfängers vom LDAP-Server und überprüft den Zertifikatsstatus Verschlüsselt die -Nachricht mit dem S/MIME-Zertifikat des Empfängers Wenn das Gerät mit BlackBerry Infrastructure verbunden ist, verwendet BlackBerryeine Transportschichtverschlüsselung zur Verschlüsselung der S/MIME-verschlüsselten Nachricht Sendet die verschlüsselte Nachricht an BES12 2. Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerry- Transportschichtverschlüsselung. 3. BES12 sendet die S/MIME-verschlüsselte Nachricht an den -Server. 4. Der -Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger. 5. Der Empfänger entschlüsselt die S/MIME-verschlüsselte Nachricht mit seinem privaten S/MIME-Schlüssel. 61

62 Daten während der Übertragung bei BlackBerry 10-Geräten Verwenden des S/MIME-Schutzes mit einer Smartcard BlackBerry 10-Geräte unterstützen den S/MIME-Schutz mit einer Smartcard und beinhalten Tools zum Import von Zertifikaten auf Geräte. Um den S/MIME-Schutz mit einer Smartcard zu verwenden, muss der Benutzer das Gerät mit der Smartcard verknüpfen. Nachdem der Benutzer das Gerät mit der Smartcard verknüpft hat, kann er die Liste der auf der Smartcard gespeicherten S/ MIME-Zertifikate einsehen und auswählen, welche in den Zertifikatsspeicher des Geräts zu importieren sind. Die privaten Schlüssel bleiben auf der Smartcard. Um Nachrichten zu signieren oder zu entschlüsseln, muss das Gerät an die Smartcard angebunden sein. PGP-Schutz für Geräte Sie können die Nachrichtensicherheit für die BES12 erweitern und Geräte zulassen, die unter der BlackBerry 10 OS-Version oder höher laufen, um PGP-geschützte -Nachrichten zu senden und empfangen. Durch digitales Signieren oder Verschlüsseln von Nachrichten wird die Sicherheit von -Nachrichten, die Benutzer von ihren Geräten senden oder empfangen, zusätzlich erhöht. Sie können verlangen, dass BlackBerry 10-Geräte Nachrichten mit dem PGP-Schutz signieren, verschlüsseln oder signieren und verschlüsseln, wenn die Benutzer -Nachrichten mithilfe eines geschäftlichen - Kontos Nachrichten senden, das auf den Geräten PGP-geschützte Nachrichten unterstützt. BES12 unterstützt das OpenPGP-Format auf den Geräten. Weitere Informationen zum OpenPGP-Format finden Sie unter RFC Die Geräte unterstützen Schlüssel und Zertifikate in den folgenden Dateiformaten und mit den folgenden Dateierweiterungen: PEM (.pem,.cer) ASC (.asc,.cer) Benutzer können PGP-Einstellungen auf den Geräten in den BlackBerry Hub-Einstellungen konfigurieren sowie die PGP- Schlüssel und Codierungsmethoden auswählen. Benutzer können PGP-Schlüssel auf ihren Geräten im Abschnitt "Sicherheit und Datenschutz" der "Systemeinstellungen" verwalten. Benutzer können ihre privaten PGP-Schlüssel auf ihren Geräten speichern. Geräte unterstützen Anlagen in PGP-geschützten -Nachrichten. Benutzer können Anlagen in PGP-geschützten - Nachrichten anzeigen, senden und weiterleiten. Wenn Benutzer ihre privaten PGP-Schlüssel nicht auf ihren Geräten gespeichert haben, können die Geräte keine PGPgeschützten -Nachrichten lesen. Es wird die Meldung "Nachricht kann nicht decodiert werden, da Sie nicht über den entsprechenden privaten Schlüssel verfügen" angezeigt. Öffentliche PGP-Schlüssel und private PGP-Schlüssel BlackBerry 10-Geräte verwenden Kryptografie mit öffentlichen Schlüsseln zusammen mit öffentlichen PGP-Schlüsseln und privaten PGP-Schlüsseln, um PGP-geschützte -Nachrichten zu senden und zu empfangen. 62

63 Daten während der Übertragung bei BlackBerry 10-Geräten Schlüssel Öffentlicher PGP-Schlüssel Beschreibung Wenn ein Benutzer eine -Nachricht von einem Gerät sendet, verwendet das Gerät den öffentlichen PGP- Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Wenn ein Benutzer eine signierte -Nachricht auf einem Gerät empfängt, verwendet das Gerät den öffentlichen PGP- Schlüssel des Absenders, um die Nachrichtensignatur zu überprüfen. Der PGP- Schlüssel ist so konzipiert, dass Empfänger und Absender den Schlüssel verteilen und auf ihn zugreifen können, ohne seine Sicherheit zu gefährden. Der PGP- Schlüssel wird normalerweise auf dem Symantec Encryption Management Server Ihres Unternehmens gespeichert. Privater PGP-Schlüssel Wenn ein Benutzer eine signierte -Nachricht von einem Gerät sendet, verwendet das Gerät den privaten PGP-Schlüssel des Benutzers, um die E- Mail-Nachricht digital zu signieren. Wenn ein Benutzer eine verschlüsselte -Nachricht auf einem Gerät empfängt, verwendet das Gerät den privaten PGP-Schlüssel des Benutzers, um die Nachricht zu entschlüsseln. Der private Schlüssel wird auf dem Gerät gespeichert. PGP-Verschlüsselungsalgorithmen Wenn Sie oder ein Benutzer die PGP-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, können die Geräte jeden der folgenden Algorithmen verwenden, um -Nachrichten zu verschlüsseln: AES-256 AES-192 AES-128 Triple DES-168 CAST-128 Der öffentliche PGP-Schlüssel des Empfängers zeigt an, welche Verschlüsselungsalgorithmen von der -Anwendung des Empfängers unterstützt werden. Das Gerät ist dazu konzipiert, den stärksten verfügbaren Verschlüsselungsalgorithmus zu verwenden. Wenn der öffentliche PGP-Schlüssel des Empfängers keine Liste von Verschlüsselungsalgorithmen enthält, verschlüsselt das Gerät die -Nachricht standardmäßig mithilfe eines der Algorithmen in der folgenden Prioritätenfolge: AES-256, AES-192, AES-128, Triple DES-168 und CAST-128. Datenfluss: Senden einer -Nachricht von einem Gerät mithilfe von PGP-Verschlüsselung 1. Ein Benutzer sendet eine -Nachricht von einem BlackBerry 10-Gerät mithilfe von PGP-Verschlüsselung aus. Das Gerät führt die folgenden Aktionen aus: 63

64 Daten während der Übertragung bei BlackBerry 10-Geräten a b c d e Das Gerät überprüft den Schlüsselspeicher des Geräts für den öffentlichen PGP-Schlüssel des Empfängers. Wenn der Schlüsselspeicher des Geräts den öffentlichen PGP-Schlüssel des Empfängers nicht enthält, ruft das Gerät den öffentlichen PGP-Schlüssel des Empfängers vom Symantec Encryption Management Server ab. Das Gerät verschlüsselt die -Nachricht mithilfe des öffentlichen PGP-Schlüssels des Empfängers. Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, verwendet das Gerät BlackBerry- Transportschichtverschlüsselung zur Verschlüsselung der PGP-verschlüsselten Nachricht Das Gerät sendet die verschlüsselte Nachricht an BES Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerry- Transportschichtverschlüsselung. 3. BES12 sendet die PGP-verschlüsselte Nachricht an den -Server. 4. Der -Server sendet die PGP-verschlüsselte Nachricht an den Empfänger. 5. Das Gerät des Empfängers entschlüsselt die PGP-verschlüsselte Nachricht mithilfe des privaten PGP-Schlüssels des Empfängers. Abrufen von PGP-Schlüsseln von einem Symantec Encryption Management Server Wenn Ihre Unternehmensumgebung einen Symantec Encryption Management Server umfasst, können Sie mithilfe der Einstellung "Symantec Encryption Management Server-Adresse" im -Profil voraussetzen, dass Benutzer von BlackBerry 10-Geräten ihre Geräte mit diesem Server anmelden. Sie können außerdem festlegen, ob Benutzer ihre geschäftliche - Adresse oder ihre Microsoft Active Directory-Anmeldeinformationen verwenden müssen, um Geräte mit diesem Server anzumelden. Die Benutzer müssen ihre Anmeldedaten übermitteln, und anschließend müssen sich die Geräte mit dem angegebenen Server anmelden, authentifizieren und in Verbindung setzen, bevor Benutzer PGP-Schutz auf ihren Geräten nutzen können. Nachdem Benutzer ihre Geräte mit dem Server angemeldet haben, können Geräte sowohl auf PGP-Schlüssel und den PGP- Schlüsselstatus zugreifen als auch die -Richtlinie des Symantec Encryption Management Server für alle vom Benutzer gesendeten -Nachrichten abrufen und durchsetzen. Weitere Informationen über Symantec Encryption Management Server-Profileinstellungen finden Sie in der Dokumentation für Administratoren. IBM Notes- Verschlüsselung für Geräte Wenn Ihre Unternehmensumgebung über IBM Notes oder IBM Domino verfügt, können BlackBerry 10-Geräte, auf denen IBM Notes Traveler installiert ist, mithilfe der IBM Notes- -Verschlüsselung -Nachrichten senden und empfangen. Wenn Benutzer Nachrichten erstellen, weiterleiten oder beantworten, können sie angeben, ob der Notes Traveler-Server die Nachricht vor dem Senden an Empfänger verschlüsseln muss. Geräte und der Notes Traveler-Server senden einander alle Daten über eine TLS-Verbindung. Benutzer können die IBM Notes- -Verschlüsselung auf dem Gerät mithilfe der Geräteeinstellungen aktivieren. Weitere Informationen zu unterstützten Notes Traveler-Versionen finden Sie in der Kompatibilitätsmatrix in der Dokumentation zu Installation und Upgrade. 64

65 Daten während der Übertragung bei BlackBerry 10-Geräten Nachrichtenklassifizierung Die Nachrichtenklassifizierung ermöglicht es Ihrem Unternehmen, auf BlackBerry 10-Geräten sichere -Richtlinien festzulegen und durchzusetzen sowie visuelle Markierungen zu -Nachrichten hinzuzufügen. Sie können BES12 verwenden, um Benutzern von BlackBerry 10-Geräten die gleichen Optionen zur Nachrichtenklassifizierung zu bieten, die ihnen auch bei den -Anwendungen auf ihrem Computer zur Verfügung stehen. Sie können die folgenden Regeln für ausgehende Nachrichten definieren, basierend auf den Nachrichtenklassifizierungen: Ein Etikett hinzufügen, um die Nachrichtenklassifizierung zu markieren (z. B. vertraulich) Eine optische Markierung am Ende der Betreffzeile hinzufügen (z. B. [C]) Text am Anfang oder am Ende des -Textkörpers hinzufügen (z. B. "Diese Nachricht wurde als vertraulich eingestuft") S/MIME oder PGP-Optionen einstellen (z. B. signieren und verschlüsseln) Eine Standardklassifizierung einstellen Auf Geräten, auf denen BlackBerry 10 OS-Version und höher ausgeführt wird, können Sie mithilfe der Nachrichtenklassifizierung festlegen, dass Benutzer -Nachrichten signieren, verschlüsseln oder signieren und verschlüsseln müssen oder visuelle Markierungen zu -Nachrichten, die sie von ihren Geräten senden, hinzufügen. Sie können BES12 verwenden, um eine Nachrichtenklassifizierungs-Konfigurationsdatei zu bestimmen, die an das Gerät eines Benutzers gesendet wird. Das Gerät interpretiert und implementiert dann den Inhalt der Nachrichtenklassifizierungs- Konfigurationsdatei. Wenn der Benutzer entweder auf eine -Nachricht antwortet, für die die Nachrichtenklassifizierung festgelegt ist, oder eine gesicherte -Nachricht erstellt, bestimmt die Nachrichtenklassifizierungskonfiguration die Klassifikationsregeln, die das Gerät für die ausgehende Nachricht durchsetzen muss. Benutzer können die Stufe der Nachrichtenklassifizierung auf ihren Geräten anheben, aber nicht absenken. Die Stufen der Nachrichtenklassifizierung werden von Regeln für sichere s in jeder Klassifizierung festgelegt. Weitere Informationen zum Konfigurieren der Nachrichtenklassifizierung finden Sie in der Dokumentation für Administratoren und im Artikel KB36736 unter blackberry.com/go/kbhelp. 65

66 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten Daten während der Übertragung bei ios-, Android- oder Windows Phone- Geräten 7 Wenn Sie mit BES12 ios-, Android- oder Windows Phone-Geräte verwalten, können Sie Daten mithilfe von Sicherheitseinstellungen, VPNs und Zertifikaten während der Übertragung schützen. Verschlüsselungstypen für die Kommunikation zwischen Geräten und Ihren Ressourcen Für die Kommunikation zwischen einem Gerät und den Ressourcen Ihres Unternehmens können verschiedene Verschlüsselungstypen verwendet werden. Welcher Verschlüsselungstyp verwendet wird, hängt von der Verbindungsmethode ab. Verschlüsselungstyp Wi-Fi-Verschlüsselung (IEEE ) VPN-Verschlüsselung SSL/TLS-Verschlüsselung Beschreibung Wi-Fi-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und einem drahtloser Zugriffspunkt verwendet, wenn der drahtlose Zugriffspunkt eingerichtet wurde, um Wi-Fi-Verschlüsselung zu verwenden. VPN-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und einem VPN-Server verwendet. SSL/TLS-Verschlüsselung wird bei der Übertragung von Daten zwischen einem Gerät und einem Inhaltsserver, einem Webserver oder einem -Server in Ihrem Unternehmen verwendet. Die Verschlüsselung für diese Verbindung muss separat auf jedem Server eingerichtet werden. Hierbei wird für jeden Server ein separates Zertifikat verwendet. Auf dem Server kann je nach Einrichtung SSL oder TLS verwendet werden. Schutz von Wi-Fi-Verbindungen Ein Gerät kann eine Verbindung zu geschäftlichen Wi-Fi-Netzwerken herstellen, die den Standard IEEE verwenden. Der Standard IEEE i verwendet den Standard IEEE 802.1X zur Authentifizierung und Schlüsselverwaltung, um geschäftliche Wi-Fi-Netzwerke zu schützen. Der Standard IEEE i gibt an, dass Unternehmen das PSK-Protokoll oder den Standard IEEE 802.1X als Zugriffssteuerungsmethode für Wi-Fi-Netzwerke verwenden müssen. 66

67 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten Sie können Wi-Fi-Profile verwenden, um Wi-Fi-Konfigurationsinformationen, einschließlich Sicherheitseinstellungen und jegliche erforderliche Zertifikate, an Geräte zu senden. Wi-Fi-Geschäftsverbindung Bei einer Wi-Fi-Geschäftsverbindung stellt ein Gerät unter Verwendung der Einstellungen, die Sie in einem Wi-Fi-Profil konfiguriert haben, eine Verbindung zu den Ressourcen Ihres Unternehmens her. Wi-Fi-Verschlüsselung wird verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet wurde. Verbinden mit einem VPN VPN-Profile werden nur auf BlackBerry 10-, ios-, Samsung KNOX MDM- und KNOX Workspace-Geräten unterstützt. Wenn Ihre Unternehmensumgebung VPNs umfasst, z. B. IPSec- oder SSL-VPNs, können Sie Geräte zur Authentifizierung bei einem VPN für den Zugriff auf das Netzwerk des Unternehmens konfigurieren. Ein VPN stellt einen verschlüsselten Tunnel zwischen einem Gerät und dem Netzwerk bereit. Eine VPN-Lösung besteht aus einem VPN-Client auf einem Gerät und einem VPN-Konzentrator. Das Gerät kann den VPN-Client zur Authentifizierung mit dem VPN-Konzentrator verwenden, der als Gateway zu Ihrem Unternehmensnetzwerk fungiert. Jedes Gerät enthält einen integrierten VPN-Client, der mehrere VPN-Konzentratoren unterstützt. Je nach VPN-Lösung muss möglicherweise eine Client-App auf dem Gerät installiert werden. Der VPN-Client auf dem Gerät unterstützt die Verwendung einer starken Verschlüsselung, um sich selbst mit dem VPN-Konzentrator zu authentifizieren. Er erstellt einen verschlüsselten Tunnel zwischen dem Gerät und dem VPN-Konzentrator, über den das Gerät und Ihr Unternehmensnetzwerk kommunizieren können. VPN-Verbindung Bei einer VPN-Verbindung stellen Geräte über einen drahtlosen Zugriffspunkt oder ein Mobilfunknetz, die Firewall und den VPN-Server des Unternehmens eine Verbindung mit den Ressourcen des Unternehmens her. Wi-Fi-Verschlüsselung wird verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet wurde. 67

68 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten Das Gerät kann für die Verbindung die Authentifizierung auf Kennwort- oder Zertifikatbasis verwenden. Aktivieren von VPN bei Bedarf für Geräte mit ios Mit VPN bei Bedarf können Sie festlegen, ob ein ios-gerät beim Versuch, eine Verbindung zu einer bestimmten Domäne aufzubauen, automatisch eine Verbindung zu einem VPN aufbaut. Zertifikate, z. B. SCEP- oder freigegebene Zertifikate, bieten beim Zugriff auf eine bestimmte Domäne Authentifizierungsmöglichkeiten für Benutzergeräte. Sie können die Domäne Ihres Unternehmens beispielsweise so konfigurieren, dass Benutzer mithilfe von VPN bei Bedarf auf Ihre Intranetinhalte zugreifen können. Aktivieren von Per App VPN für ios-apps Sie können Per App VPN verwenden, um zu bestimmen, welche geschäftlichen Apps und gesicherten Apps auf Geräten ein VPN für die Datenübertragung verwenden müssen. Per App VPN trägt zur Senkung der Belastung Ihres Unternehmens-VPN bei, indem nur bestimmter geschäftlicher Datenverkehr für die Verwendung des VPN freigegeben wird (bspw. Zugriff auf Anwendungsserver oder Webseiten hinter der Firewall). Diese Funktion unterstützt auch die Privatsphäre des Benutzers und erhöht die Verbindungsgeschwindigkeit für persönliche Apps, indem der persönliche Datenverkehr nicht über das VPN gesendet wird. Sie verknüpfen dann Apps mit Per App VPN, indem Apps oder App-Gruppen das VPN-Profil zugewiesen wird. Schützen von Daten während der Übertragung zwischen BES12 und ios-, Android und Windows Phone-Geräten BES12 schützt die Daten beim Transport zwischen sich selbst und ios-, Android- und Windows Phone-Geräten. 68

69 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten Während des Aktivierungsvorgangs für diese Geräte wird eine TLS-Verbindung mit gegenseitiger Authentifizierung zwischen BES12 und BES12 Client auf dem Gerät hergestellt. Wenn BES12 Konfigurationsinformationen an ein Gerät senden muss und BES12 und das Gerät eine TLS-Verbindung zum Schützen der Daten verwenden. Schutz der Kommunikation mit Geräten mithilfe von Zertifikaten Ein Zertifikat ist ein digitales Dokument, das die Identität und den öffentlichen Schlüssel eines Zertifikatempfängers miteinander verknüpft. Für jedes Zertifikat ist ein entsprechender privater Schlüssel vorhanden, der getrennt gespeichert wird. Eine Zertifizierungsstelle signiert das Zertifikat und bescheinigt so dessen Glaubwürdigkeit. Je nach Gerätefunktionen und Aktivierungsart können Zertifikate auf Geräten für Folgendes verwendet werden: Authentifizieren mittels SSL/TSL, wenn die Geräte eine Verbindung zu Webseiten herstellen, die HTTPS verwenden Authentifizieren mit einem geschäftlichen Mailserver Authentifizieren bei einem geschäftlichen Wi-Fi-Netzwerk und, sofern die Geräte dies unterstützen, bei einem VPN Verschlüsseln und Signieren von -Nachrichten mittels S/MIME-Schutz (nur unterstützte Geräte) Senden von Clientzertifikaten an Geräte Sie müssen möglicherweise Clientzertifikate an Geräte verteilen, wenn die Geräte eine zertifikatsbasierte Authentifizierung für die Verbindung mit einem Netzwerk oder einem Server in Ihrer Unternehmensumgebung verwenden oder wenn Ihr Unternehmen S/MIME verwendet. Abhängig von den Funktionen des Geräts und der Aktivierungsart können Clientzertifikate für viele Zwecke verwendet werden, u. a. für die zertifikatsbasierte Authentifizierung vom Browser aus, die Verbindung mit dem geschäftlichen Wi-Fi-Netzwerk oder VPN, dem geschäftlichen -Server und für digitale Signaturen für S/MIME-geschützte -Nachrichten. Sie können Clientzertifikate auf mehrere Arten an Geräte senden: Profil SCEP-Profile Beschreibung Sie können SCEP-Profile erstellen, die Geräte verwenden, um Clientzertifikate von einer SCEP-kompatiblen Microsoft- oder Entrust-Zertifizierungsstelle anzufordern und zu erhalten. SCEP-Profile werden auf ios-geräten und Android-Geräten mit Secure Work Space, Samsung KNOX Workspace und Android for Work unterstützt. Wenn Sie SCEP für die Anmeldung von Clientzertifikaten verwenden, hat der Administrator niemals Zugriff auf den privaten Schlüssel des Benutzers. Profile für Benutzeranmeldeinformationen Wenn Ihr Unternehmen Entrust IdentityGuard verwendet, um Zertifikate für ios- und Android-Geräte auszustellen und zu verwalten, können Sie Profile für 69

70 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten Profil Beschreibung Benutzeranmeldeinformationen erstellen, die von den Geräten verwendet werden, um Zertifikate von der Zertifizierungsstelle Ihres Unternehmens zu erhalten. Wenn Sie Entrust IdentityGuard verwenden, hat der Administrator keinen Zugriff auf den privaten Schlüssel des Benutzers. Profile für freigegebenes Zertifikat Ein Profil für ein freigegebenes Zertifikat legt ein Clientzertifikat fest, das BES12 an iosund Android-Geräte sendet. BES12 sendet das gleiche Clientzertifikat an jeden Benutzer, dem das Profil zugewiesen ist. Der Administrator muss Zugriff auf das Zertifikat und den privaten Schlüssel haben, um ein Profil für ein freigegebenes Zertifikat zu erstellen. Senden von Clientzertifikaten an einzelne Benutzerkonten Um ein Clientzertifikat an die Geräte für einen einzelnen Benutzer zu senden, können Sie ein Clientzertifikat zu einem Benutzerkonto hinzufügen. BES12 sendet das Zertifikat an die ios- und Android-Geräte des Benutzers. Der Administrator muss Zugriff auf das Zertifikat und den privaten Schlüssel haben, um ein Clientzertifikat an den Benutzer zu senden. Weitere Informationen zum Senden von Clientzertifikaten an Geräte finden Sie in der Dokumentation für Administratoren. Verwenden von SCEP zur Anmeldung von Clientzertifikaten auf Geräten SCEP wird von BlackBerry 10-Geräten, ios-geräten und Android-Geräten mit Samsung KNOX Workspace, Android for Work oder Secure Work Space unterstützt. SCEP ist ein IETF-Protokoll, das das Anmelden von Zertifikaten auf vielen Geräten vereinfacht, indem zur Ausstellung der einzelnen Zertifikate weder ein Eingriff vonseiten des Administrators noch eine Genehmigung erforderlich ist. Geräte können SCEP verwenden, um Clientzertifikate von einer SCEP-kompatiblen Microsoft- oder Entrust-Zertifizierungsstelle, die Ihr Unternehmen verwendet, anzufordern und zu erhalten. Sie können SCEP verwenden, um Clientzertifikate auf Geräten anzumelden, damit die Geräte zertifikatsbasierte Authentifizierung im Browser verwenden können, und um eine Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver herzustellen. Die Zertifikatsanmeldung beginnt, nachdem ein Gerät ein SCEP-Profil erhält, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder -Profil verknüpft ist. Geräte können während des Aktivierungsprozesses ein SCEP-Profil von BES12 erhalten, wenn Sie ein SCEP-Profil ändern oder wenn Sie ein anderes Profil ändern, das über ein zugeordnetes SCEP-Profil verfügt. Nachdem die Zertifikatsanmeldung abgeschlossen ist, werden das Clientzertifikat und dessen Zertifikatskette und privater Schlüssel im geschäftlichen Schlüsselspeicher auf dem Gerät gespeichert. Wenn Sie eine Microsoft-Zertifizierungsstelle verwenden, muss die Zertifizierungsstelle Abfragekennwörter unterstützen. Die Zertifizierungsstelle verifiziert mithilfe von Abfragekennwörtern, dass das Gerät zum Senden einer Zertifikatanforderung autorisiert ist. Wenn die Zertifizierungsstelle NDES umgesetzt hat, verwenden Sie dynamische Abfragekennwörter. Das 70

71 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten statische Abfragekennwort oder die Einstellungen zum Erhalt eines dynamisch generierten Abfragekennworts vom SCEP-Dienst werden im SCEP-Profil bestimmt. Um das Kennwort zu schützen, wird es auf BlackBerry 10-Geräten nicht an die Geräte gesendet. Auf anderen Geräten wird das Kennwort an die Geräte gesendet, um den Geräten die Ausführung der Zertifikatanforderung zu ermöglichen. Wenn Sie ein statisches Abfragekennwort verwenden, wird für alle SCEP-Anforderungen von Geräten das gleiche Abfragekennwort verwendet. Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12 entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt. Besuchen Sie um den SCEP-Internetentwurf zu lesen. Datenfluss: Anmelden eines Client-Zertifikats auf einem Gerät, das BES12 als Proxy für die SCEP-Anforderung verwendet Sie können BES12 als Proxy für SCEP-Anforderungen verwenden, die von Geräten an die Zertifizierungsstelle gesendet werden. Wenn die Zertifizierungsstelle sich hinter Ihrer Firewall befindet, können Sie mithilfe von BES12 als Proxy Client Zertifikate auf Geräten anmelden, ohne die Zertifizierungsstelle außerhalb der Firewall sichtbar zu machen. 1. BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder - Profil verknüpft ist. 2. Das Gerät erstellt eine SCEP-Anforderung und sendet sie an die BlackBerry Infrastructure. 3. Die BlackBerry Infrastructure sendet die SCEP-Anforderung an BES BES12 aktualisiert die URL für die SCEP-Anforderung und sendet die SCEP-Anforderung an die Zertifizierungsstelle. 5. Die Zertifizierungsstelle gibt das Zertifikat aus und sendet es an BES BES12 sendet die SCEP-Anforderung an die BlackBerry Infrastructure. 7. Die BlackBerry Infrastructure sendet die SCEP-Anforderung an das Gerät. 8. Das Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum Schlüsselspeicher hinzu. Senden von Zertifizierungsstellenzertifikaten an Geräte Alle Geräte unterstützen diese Funktion. 71

72 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten Sie müssen möglicherweise Zertifizierungsstellenzertifikate an Geräte verteilen, wenn Ihr Unternehmen S/MIME verwendet, oder wenn die Geräte eine zertifikatsbasierte Authentifizierung für die Verbindung mit einem Netzwerk oder einem Server in Ihrer Unternehmensumgebung verwenden. Wenn die Zertifikate für die Zertifizierungsstellen, die die Netzwerk- und Serverzertifikate Ihres Unternehmens ausgestellt haben, auf Geräten gespeichert werden, können die Geräte Ihren Netzwerken und Servern beim Aufbau sicherer Verbindungen vertrauen. Wenn die Zertifizierungsstellenzertifikate für die Zertifizierungsstellen, die die S/MIME-Zertifikate Ihres Unternehmens ausgestellt haben, auf Geräten gespeichert werden, können die Geräte dem Zertifikat des Senders vertrauen, wenn eine S/MIME-geschützte -Nachricht empfangen wird. Mithilfe von Profilen mit Zertifizierungsstellenzertifikat können Sie Zertifizierungsstellenzertifikate an Geräte senden. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Einrichten von Zugriff auf das Unternehmensnetzwerk nach einmaliger Anmeldung für ios-geräte Diese Funktion gilt nur für Geräte mit ios 7 oder höher. Sie können zulassen, dass sich Benutzer automatisch bei Domänen und Webdiensten Ihres Unternehmensnetzwerks authentifizieren. Sie können Profile für die einmalige Anmeldung verwenden, um die Geräteauthentifizierung mithilfe von Anmeldeinformationen oder -zertifikaten eines Benutzers einzurichten. Die Zertifikatauthentifizierung wird für die Geräte ios 8.0 und höher unterstützt. Wenn Sie einem Benutzer ein Profil für die einmalige Anmeldung zuweisen, werden die Anmeldeinformationen oder -zertifikate des Benutzers auf dem Gerät gespeichert, wenn er zum ersten Mal eine im Profil festgelegte Domäne aufruft. Die gespeicherten Anmeldeinformationen oder -zertifikate des Benutzers werden automatisch verwendet, wenn er versucht, auf die im Profil festgelegten Domänen zuzugreifen. Der Benutzer wird erst wieder nach den Anmeldeinformationen oder - zertifikaten gefragt, wenn sich das Kennwort des Benutzers ändert oder das Zertifikat abläuft. BES12 unterstützt Kerberos für den Zugriff per einmaligem Anmelden für den Browser und Apps auf Geräten mit ios 7 und höher. Sie können festlegen, welche Apps über Zugriff per einmaligem Anmelden verfügen. Weitere Informationen zum Erstellen von Profilen für die einmalige Anmeldung finden Sie in der Dokumentation für Administratoren. Schutz von -Nachrichten Mithilfe von IBM Notes Traveler, Exchange ActiveSync, IMAP oder POP3 können Geräte -Nachrichten, Kalendereinträge, Kontakte und andere Kalenderdaten mit dem -Server Ihres Unternehmens synchronisieren. IBM Notes Traveler wird auf Windows Phone- und Secure Work Space-Geräten unterstützt. 72

73 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten Zum Schutz der Verbindung mit dem -Server des Unternehmens sind die folgenden Optionen verfügbar (je nachdem, ob die Geräte sie unterstützen): Verbindung der Geräte nur zulassen, wenn diese sich im geschäftlichen Wi-Fi-Netzwerk befinden. VPN konfigurieren Enterprise-Konnektivität konfigurieren BlackBerry Secure Connect Plus konfigurieren VPN, Enterprise-Konnektivität und BlackBerry Secure Connect Plus gestatten eine sichere Verbindung mit Geräten, die sich außerhalb des Netzwerks des Unternehmens befinden. Bei Verwendung von Enterprise-Konnektivität oder BlackBerry Secure Connect Plus ist eine sichere Synchronisierung zwischen Geräten und -Server über eine sichere BES12-Verbindung über die BlackBerry Infrastructure möglich. Wenn BES12 die Verbindung zwischen Ihrem -Server und den Geräten bereitstellt, haben auf den meisten Geräten die BES12-IT-Richtlinien Vorrang vor allen anderen Richtlinien, die für die Geräte auf dem E- Mail-Server eingerichtet wurden. Auf Windows Phone-Geräten werden hingegen IT-Richtlinien aus mehreren Quellen verarbeitet, und diejenige mit den meisten Einschränkungen erhält den Vorrang. Bei Geräten, die SCEP unterstützen, können Sie ein SCEP-Profil mit einem -Profil verknüpfen, um eine zertifikatbasierte Authentifizierung zu erzwingen und somit zum Schutz der Verbindungen zwischen den Geräten und dem -Server beizutragen. Steuern, welche Geräte Exchange ActiveSync verwenden können Alle Geräte unterstützen Exchange ActiveSync Gatekeeping. Microsoft Exchange kann so konfiguriert werden, dass Geräte für die Nutzung von Exchange ActiveSync blockiert sind, es sei denn, die Geräte wurden ausdrücklich einer Positivliste hinzugefügt. Geräte, die nicht auf dieser Liste stehen, können nicht auf geschäftliche und Terminplanerdaten zugreifen. Im BES12 können Sie Microsoft Exchange-Gatekeeping einrichten, um zu steuern, welche Geräte automatisch zur Liste der zulässigen Geräte auf Ihrem Microsoft Exchange Server hinzugefügt werden. Wenn Sie Microsoft Exchange Gatekeeping verwenden und ein Benutzer, dem ein -Profil zugewiesen ist, ein BlackBerry 10-, Secure Work Space- Android for Work- oderknox Workspace-Gerät aktiviert, wird das Gerät automatisch in die Liste der zulässigen Geräte in Microsoft Exchange aufgenommen. Ein Gerät wird dann automatisch von der Liste der zulässigen Geräte entfernt, wenn Sie das -Profil aus dem Benutzerkonto entfernen, wenn das Gerät die Einstellungen im zugewiesenen Einhaltungsprofi verletzt oder wenn das Gerät deaktiviert wird. Sie müssen Android MDM-Geräte der Positivliste manuell hinzufügen bzw. sie manuell aus dieser entfernen. Weitere Informationen zum Aktivieren von Microsoft Exchange Gatekeeping und zum Hinzufügen und Entfernen von Geräten zur bzw. aus der Liste der zulässigen Geräte finden Sie in der Dokumentation für Administratoren. Erhöhen der Sicherheit von -Nachrichten mittels S/MIME Diese Funktion gilt für ios- und Secure Work Space-Geräte. 73

74 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten Sie können die Sicherheit von -Nachrichten erhöhen, indem Sie zulassen, dass Benutzer S/MIME-geschützte - Nachrichten senden und empfangen können. Durch das digitale Signieren oder Verschlüsseln von Nachrichten wird den E- Mail-Nachrichten, die die Benutzer senden oder empfangen, eine zusätzliche Sicherheitsstufe hinzugefügt. Anhand von digitalen Signaturen können Empfänger die Authentizität und Integrität von Nachrichten überprüfen, die die Benutzer senden. Wenn ein Benutzer eine Nachricht mit seinem privaten Schlüssel signiert, verwenden die Empfänger den öffentlichen Schlüssel des Absenders, um sicherzustellen, dass die Nachricht von dem Absender stammt und nicht geändert wurde. Die Verschlüsselung trägt zur Geheimhaltung der Nachrichten bei. Wenn ein Benutzer eine Nachricht verschlüsselt, verwendet das Gerät den öffentlichen Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Der Empfänger verwendet den privaten Schlüssel, um die Nachricht zu verschlüsseln. Die Geräte unterstützen Schlüssel und Zertifikate im PFX-Dateiformat mit der Dateierweiterung.pfx oder.p12. Benutzer müssen für jeden Empfänger, dem sie eine verschlüsselte -Nachricht senden möchten, ihre privaten Schlüssel und ein Zertifikat auf ihren Geräten speichern. Die Benutzer können Schlüssel und Zertifikat durch Importieren der entsprechenden Dateien aus einer geschäftlichen -Nachricht speichern. Alternativ können Sie den automatischen Versand von Zertifikaten per SCEP konfigurieren. S/MIME-Zertifikate und private S/MIME-Schlüssel auf Geräten Geräte können Kryptografie mit öffentlichen Schlüsseln mit S/MIME-Zertifikaten und private S/MIME-Schlüssel verwenden, um -Nachrichten zu verschlüsseln und zu entschlüsseln. Objekt Öffentlicher S/MIME-Schlüssel Beschreibung Wenn ein Benutzer eine -Nachricht von einem Gerät sendet, verwendet das Gerät den öffentlichen S/MIME-Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Wenn ein Benutzer eine signierte -Nachricht auf einem Gerät empfängt, verwendet das Gerät den öffentlichen S/MIME-Schlüssel des Absenders, um die Nachrichtensignatur zu überprüfen. Privater S/MIME-Schlüssel Wenn ein Benutzer eine signierte -Nachricht von einem Gerät sendet, hashcodiert das Gerät die Nachricht mit SHA-1, SHA-2 oder MD5. Das Gerät verwendet den privaten S/MIME-Schlüssel des Benutzers, um den Nachrichtenhash digital zu signieren. Wenn ein Benutzer eine verschlüsselte Nachricht auf einem Gerät empfängt, verwendet das Gerät den privaten Schlüssel des Benutzers, um die Nachricht zu entschlüsseln. Der private Schlüssel wird auf dem Gerät gespeichert. Datenfluss: Senden einer -Nachricht von einem Gerät mit S/MIME-Verschlüsselung 1. Ein Benutzer sendet eine -Nachricht von einem Gerät aus. Das Gerät führt die folgenden Aktionen aus: a Prüft den Schlüsselspeicher des Geräts auf das S/MIME-Zertifikat des Empfängers. 74

75 Daten während der Übertragung bei ios-, Android- oder Windows Phone-Geräten b c Verschlüsselt die -Nachricht mit dem S/MIME-Zertifikat des Empfängers. Sendet die verschlüsselte Nachricht an den -Server. 2. Der -Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger. 3. Der Empfänger entschlüsselt die S/MIME-verschlüsselte Nachricht mithilfe des privaten S/MIME-Schlüssels des Empfängers. 75

76 Überlegungen zu Netzwerken mit DMZ Überlegungen zu Netzwerken mit DMZ 8 Schützen von Verbindungen zur BES12 mithilfe des BlackBerry Router Der BlackBerry Router ist eine optionale Komponente, die eine Verbindung zu Ihrem Netzwerk herstellt, und für die BlackBerry Infrastructure Daten an BES12 sendet und von dieser empfängt. Der BlackBerry Router agiert als Proxy-Server für Verbindungen über die BlackBerry Infrastructure zwischen BES12 und allen Geräten. Sie können eine Instanz des BlackBerry Router für alle BES5-, BES10 und BES12-Domänen in Ihrer Unternehmensumgebung verwenden. Wenn BES12 einen BlackBerry Router erkennt, ermittelt sie die IP-Adresse des Computers, der den BlackBerry Router hostet und schreibt die IP-Adresse in die BES12-Datenbank. Verwenden eines BlackBerry Router oder eines Proxy-Servers mit BES12 Wenn Sie einen Proxy-Server mit BES12 verwenden möchten, können Sie den BlackBerry Router in der BES12-Domäne als Proxy-Server installieren oder einen bereits in der Umgebung installierten TCP-Proxy-Server verwenden. Die Installation des BlackBerry Router oder des Proxy-Servers muss außerhalb der Unternehmens-Firewall in der DMZ erfolgen. Durch die Installation des BlackBerry Router oder eines TCP-Proxy-Server in der DMZ wird die Sicherheit für BES12 zusätzlich erhöht. Nur der BlackBerry Router oder der Proxy-Server stellt von außerhalb der Firewall eine Verbindung zu BES12 her. Alle Verbindungen über die BlackBerry Infrastructure zwischen BES12 und den Geräten werden über den BlackBerry Router oder den Proxy-Server geleitet. 76

77 Überlegungen zu Netzwerken mit DMZ Wenn Sie einen TCP-Proxy-Server verwenden möchten, muss es sich um einen transparenten TCP-Proxy-Server handeln, oder die Verwendung von SOCKS v5 (keine Authentifizierung) ist erforderlich. Weitere Informationen zur Wahl des Installationsorts für BlackBerry Router finden Sie in der Dokumentation zu Installation und Upgrade. Weitere Informationen zum Konfigurieren des BlackBerry Router oder eines Proxyservers finden Sie in der Dokumentation zu Installation und Upgrade. Installieren von BES12 in einer DMZ Wenn die Sicherheitsrichtlinien Ihres Unternehmens eine detailliertere Kontrolle über die für BES12 zugänglichen Ressourcen erfordern, können Sie BES12 in einer eigenen DMZ installieren. Beispielsweise können Sie den BlackBerry Router oder einen TCP-Proxy-Server in der DMZ Ihres Unternehmens installieren und BES12 in einer separaten DMZ. 77

78 Überlegungen zu Netzwerken mit DMZ Weitere Informationen zum Konfigurieren von BES12 bei Installation in einer DMZ finden Sie in der Dokumentation zur Konfiguration. 78

79 Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen 9 Die BES12-Komponente BlackBerry Secure Connect Plus bietet einen sicheren IP-Tunnel zwischen Apps für den geschäftlichen Bereich auf BlackBerry 10-, Samsung KNOX Workspace- und Android for Work-Geräten und dem Netzwerk des Unternehmens. Über diesen Tunnel haben Benutzer Zugriff auf Ressourcen hinter der Firewall des Unternehmens, wobei die Sicherheit der Daten mithilfe von Standardprotokollen und durchgehender Verschlüsselung sichergestellt wird. BlackBerry Secure Connect Plus und unterstützte Geräte erstellen einen sicheren IP-Tunnel, wenn dies die beste Wahl für eine Verbindung mit dem Netzwerk des Unternehmens ist. Ist einem Gerät ein Wi-Fi oder VPN-Profil zugewiesen, und das Gerät hat Zugriff auf das geschäftliche Wi-Fi- bzw. VPN-Netzwerk, wird diese Methode zum Herstellen einer Verbindung verwendet. Stehen diese Möglichkeiten nicht zur Verfügung (z. B. wenn der Benutzer sich außerhalb des geschäftlichen Wi-Fi- Funkbereichs befindet), stellen BlackBerry Secure Connect Plus und das Gerät einen sicheren IP-Tunnel her. Unterstützte Geräte kommunizieren zur Herstellung des sicheren Tunnels über die BlackBerry Infrastructure mit BES12. Für jedes Gerät wird ein Tunnel erstellt. Der Tunnel unterstützt Standard-IPv4-Protokolle (TCP und UDP). Solange der Tunnel geöffnet ist, hat jede App im geschäftlichen Bereich Zugriff auf Netzwerkressourcen. Sobald der Tunnel nicht mehr benötigt wird (zum Beispiel, wenn der Benutzer in den Empfangsbereich des geschäftlichen Wi-Fi-Netzwerks zurückkehrt), wird er geschlossen. BlackBerry Secure Connect Plus bietet die folgenden Vorteile: IP-Datenverkehr zwischen Geräten und BES12 wird komplett verschlüsselt, wodurch die Sicherheit geschäftlicher Daten gewährleistet wird. BlackBerry Secure Connect Plus bietet eine sichere, zuverlässige Verbindung mit geschäftlichen Ressourcen, wenn ein Benutzer nicht auf das geschäftliche Wi-Fi-Netzwerk oder VPN zugreifen kann. BlackBerry Secure Connect Plus wird hinter der Firewall des Unternehmens installiert, sodass Daten in einem vertrauenswürdigen Bereich übertragen werden, der die Sicherheitsstandards des Unternehmens erfüllt. Datenfluss bei der Erstellung eines sicheren IP- Tunnels durch BlackBerry Secure Connect Plus 79

80 Verwenden von BlackBerry Secure Connect Plus für sichere Verbindungen mit geschäftlichen Ressourcen 1. BES12 und Gerät erkennen, dass ein sicherer IP-Tunnel die beste verfügbare Methode zur Verbindung zwischen Apps im geschäftlichen Bereich und dem Netzwerk des Unternehmens ist. 2. Das Gerät sendet ein Signal über einen TLS-Tunnel und Port 443 an die BlackBerry Infrastructure, um einen sicheren Tunnel zum Netzwerk des Unternehmens anzufordern. Das Signal wird standardmäßig unter Verwendung FIPS-140- zertifizierter Certicom-Bibliotheken mit Cipher Suites für RSA und ECC-Schlüsseln verschlüsselt. Der Tunnel für das Signal ist komplett verschlüsselt. 3. BlackBerry Secure Connect Plus empfängt das Signal über Port 3101 von der BlackBerry Infrastructure. 4. Das Gerät und BlackBerry Secure Connect Plus handeln die Tunnelparameter aus und erstellen einen sicheren Tunnel über TURN durch die BlackBerry Infrastructure. Der Tunnel ist authentifiziert und durchgehend mit DTLS verschlüsselt. Für jedes Gerät wird ein Tunnel erstellt. Alle Apps im geschäftlichen Bereich können über den Tunnel eine Verbindung mit den geschäftlichen Ressourcen erstellen. 5. BlackBerry Secure Connect Plus überträgt IP-Datenverkehr (Datenpakete) an die und von den Netzwerkressourcen. Der Tunnel unterstützt Standard-IPv4-Protokolle (TCP und UDP). BlackBerry Secure Connect Plus verschlüsselt und entschlüsselt Datenverkehr mit FIPS-140-zertifizierten Certicom-Bibliotheken mit Cipher Suites für RSA und ECC-Schlüsselnaktiviert werden. 6. BlackBerry Secure Connect Plus schließt den Tunnel, sobald dieser nicht mehr die beste Methode der Verbindung von Apps im geschäftlichen Bereich mit Netzwerkressourcen ist. BlackBerry Secure Connect Plus kann mehrere Tunnel über eine einzelne TURN-Zuordnung in der BlackBerry Infrastructure erstellen. Jeder Tunnel wird für ein anderes Gerät verwendet und besitzt eine eindeutige ID sowie einen eindeutigen DTLS- Kontext. 80