Blackberry Balance – kann die “BYOD”-Lösung Blackberry retten?

Kommentieren Drucken

Die dienstliche Nutzung von privaten Smartphones, Tablets und Endgeräten im Allgemeinen (Bring your own Device, BYOD) – oder auch die private Nutzung von dienstlichen Endgeräten – wirft die Frage auf, wie eine sichere Trennung zwischen dienstlichen und privaten Anwendungen und Inhalten hergestellt werden kann. Im Wesentlichen bieten sich hier drei Möglichkeiten, welche im Folgenden kurz erläutert werden. Blackberry Balance ist ein Vertreter dieser Spezies, de hier beleuchtet werden soll.

Dem Unternehmen bieten sich zur Trennung von privater und dienstlicher Nutzung im Wesentlichen drei Möglichkeiten:

Man

  • unterbindet eine gemischte Nutzung von Endgeräten durch restriktive Konfiguration,
  • setzt ein geräteübergreifendes Zusatzprodukt (z.B. einen „Secure Container“ oder eine Virtuelle Maschine) ein, oder
  • setzt auf bordeigene (proprietäre) Mittel eines Endgeräte-Herstellers.

Die erstgenannte Vorgehensweise ist wohl die in Zeiten des BYOD-Hypes unpopulärste, jedoch wirkungsvollste Variante. Die Erfahrung zeigt aber, dass mit der „Unterdrückung“ privat nutzbarer Funktionen auch ein großer Teil der „Usability“ und des Mehrwerts für den Mit-arbeiter verloren gehen. Damit verliert das mobile Endgerät an Attraktivität und erleidet den „Blackberry-Effekt“ – es landet wegen zu restriktiver Konfiguration in der Schublade oder wird „nur“ noch zum Telefonieren verwendet.

Die zweite Variante ist immer noch populär (siehe Produkte von Good Technology & Co.), bedeutet aber auch nicht unerhebliche Zusatzaufwände für die IT und wirft die Frage auf, ob eine „sichere App“ im Zusammenspiel mit einem „unsicheren Betriebssystem“ wirklich einen Sicherheitsgewinn erzielen kann. Solche Lösungen setzen immer eine Härtung des darunter liegenden „Wirtes“, mindestens durch ein Device Management, voraus.

Die dritte verbindet die zweite Variante mit einem eigens gehärteten Betriebssystem, um so eine vertrauenswürdige Gesamtplattform zu bilden. Blackberry Balance ist zunächst – wie auch Samsung Knox – ein Vertreter dieser Spezies.

Der erste Nachteil der dritten Variante fällt sofort ins Auge: es handelt sich um eine Hersteller-spezifische Lösung, die die Endgeräteauswahl auf einige wenige Modelle des einen Herstellers reduziert. Die limitierte Endgerätepalette widerspricht aber schlicht dem Konzept „Bring your own Device“. Es ist schwer vorstellbar, dass ein Anwender privat nur deshalb auf das „Enterprise-Betriebssystem“ Blackberry wechseln sollte, weil sein Arbeitgeber genau dieses Endgerät für die dienstliche Nutzung freigegeben hat. Und dass ein Privatanwender von selbst auf die Idee kommt, auf Blackberry zu setzen ist – angesichts der mageren Marktdurchdringung und des ausschließlich auf Unternehmenskunden ausgerichteten Öko-systems – zumindest als unwahrscheinlich zu bezeichnen.

Es bleibt also festzustellen, dass sich Blackberry ausschließlich als firmeneigenes Endgerät („Company-owned Device“, CoD) anbietet, dass durch Blackberry Balance eine sichere Pri-vatnutzung ermöglichen soll. Prinzipiell verbindet dieses Manko alle Ansätze der dritten Vari-ante – auch das vielgelobte Samsung KNOX! Jedoch ist die Wahrscheinlichkeit, ein KNOX-fähiges Highend-Smartphone mit dem ausgewiesenen Consumer-Betriebssystem Android beim Anwender vorzufinden, um einige Größenordnungen höher. Das hat wohl auch das Management von Blackberry erkannt und setzt mit „Secure Workspace“ das Balance-Konzept auch für Android und iOS um. Hierbei handelt es sich somit wieder um einen Vertreter der zweiten Variante – mit allen Vor- und Nachteilen.

Doch zurück zu Blackberry Balance – was ist das eigentlich? Balance, eine Anspielung auf „Work-Life-Balance“, ist zunächst der Marketingbegriff für eine technische Trennung von privaten und dienstlichen Apps und Daten. Diese wird Betriebssystem-seitig auf Basis eines Berechtigungssystems und von Verschlüsselungstechnologie realisiert. Abbildung 1 zeigt die grundlegende Struktur des Sicherheitsmodelles von Blackberry Balance.

Die Policy „Enable Separation of Work Content“ aktiviert diese Trennung und erlaubt somit eine Klassifizierung von Daten als „Geschäftsdaten“ und „Privatdaten“.
Folgende Daten werden als Geschäftsdaten klassifiziert:

  • Geschäftliche E-Mails (und zugehörige Anhänge)
  • Geschäftliche Kontaktdaten, Aufgaben und Notizen
  • Kalendereinträge aus Exchange- oder Domino-Konten
  • Daten aus dem Firmennetzwerk
  • Daten aus durch das Unternehmen bereitgestellten Anwendungen

Anhand von Anwendungsrichtlinien kann nun der Zugriff auf Geschäftsdaten und Privatdaten gesteuert bzw. unterbunden werden. So kann feingranular gesteuert werden, welche An-wendungen wie auf welche Daten zugreifen dürfen. Durch die Unterscheidung von Privat- und Geschäftsdaten können zudem weitere Transaktionen differenziert werden:

  • Selektives Löschen von Daten
  • Verhindern der Datenübertragung
  • Differenziertes Backup von Firmendaten
  • Unterbinden von Copy & Paste zwischen privaten und dienstlichen Applikationen
  • Verhindern der Weiterleitung von Firmendaten

Aus der Anwenderperspektive gliedert sich die Arbeitsoberfläche in einen Privat- und einen Unternehmensbereich. Diese können jeweils mehrere „Desktops“ umfassen und beinhalten Icons der Privat- bzw. Geschäftsanwendungen. Über die Blackberry-Infrastruktur können Unternehmen so „vertrauenswürdige“ oder eigenentwickelte Anwendungen für die Arbeit mit Inhalten aus dem Unternehmensnetzwerk bereitstellen. Der Zugriff auf den geschäftlichen „Workspace“ wird durch ein richtlinienkonformes Passwort geschützt. Intelligentes Detail am Rande: wird ein Screenshot bei entsperrtem Workspace gemacht, so wird dieser IMMER im geschäftlichen Workspace gespeichert. So können keine Benachrichtigungen oder Inhalte aus dem Unternehmen „abfotografiert“ werden.

Blackberry Balance bietet eigentlich alles, was sich ein Sicherheitsbeauftragter, der sich mit BYOD-Ideen seines Unternehmens konfrontiert sieht, nur wünschen kann.

  • Trennung privater und geschäftlicher Daten und differenzierte Datenhaltung
  • Kontrolle über dienstliche und private Apps durch Anwendungsrichtlinien
  • Sperrung und Kontrolle sicherheitskritischer Funktionen (z.B. Screenshot)
  • Verschlüsselung nach Stand der Technik (AES-256)
  • Zentrales Management und Backup

Aber: der dramatisch geschwundene Marktanteil macht Blackberry allenfalls noch für ein Company-owned-Device-Szenario attraktiv, BYOD auf Blackberry-Basis ist eine Utopie. Der Consumer hat längst auf andere Devices gesetzt. Was für Blackberry noch bleibt, ist der Markt für unternehmenseigene Geräte – der ohnehin seit jeher im Fokus stand. Die Frage ist: setzt noch eine signifikante Anzahl von Unternehmen weiterhin auf Blackberry oder ist der Vertrauensverlust durch geschäftliche Schwierigkeiten und die NOCs im Zugriffsbereich der NSA zu groß? Hätte die Balance-Technologie einige Jahre früher zur Verfügung gestanden und hätte man nicht den Trend zu Touch und Apps restlos verschlafen, würde sich diese Frage nicht stellen.

Blackberry scheint selbst nicht mehr daran zu glauben, mit Balance und den aktuellen Geräten genügend Druck auf die Straße zu bringen. Um das Geschäft mit BES 10 und dem Blackberry-Ökosystem zu sichern, öffnete man sich im vergangenen Jahr mit „Secure Workspace“ für Fremdgeräte der Bauart iOS und Android um dort Balance-ähnliche Funktionen anzubieten. Somit sind nun auch BYOD-Szenarien mit Blackberry-Technologie realistisch umsetzbar. Auch andere Technologien, wie z.B. der Blackberry Messenger (BBM), stehen mittlerweile unter besagten Betriebssystemen zur Verfügung. Der Fokus von Blackberry dürfte somit zukünftig auf Mobile Device Management, Enterprise Application Management, Secure Content Management und Communications liegen, nicht mehr auf Endgeräte-Hardware.

In diesem Umfeld konkurriert Blackberry jedoch mit anderen, welche das Feld deutlich früher für sich eingenommen haben. Ob die späte Besinnung auf Mike Lazaridis‘ Rettungsideen für „sein“ Unternehmen jedoch fruchtet, wird sich nicht an der Frage entscheiden, ob zukünftig BYOD oder CoD in der Unternehmens-IT vorherrschen wird. Und Blackberrys Überlebens-chancen wird man künftig nicht mehr an der Zahl der verkauften Endgeräte messen, sondern am Gelingen der Transformation zur reinen „Software-Company“.

zugeordnete Kategorien: Endgeräte, IT-Sicherheit, UC
zugeordnete Tags: , ,

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.