bes12-12.4-security guide - help.blackberry.com · oder opentrust cms konfigurieren und profile...

SicherheitsleitfadenBES12

Version 12.4

Veröffentlicht: 2016-04-08SWD-20160408093459611

InhaltBES12 Sicherheit............................................................................................................. 6

Neuheiten ........................................................................................................................................................................6

Sicherheitsfunktionen von Geräten ...................................................................................8Für alle Geräte geltende Sicherheitsfunktionen..................................................................................................................8

Sicherheitsmerkmale für BlackBerry 10 Geräte................................................................................................................. 9

Sicherheitsmerkmale für das PRIV von BlackBerry ..........................................................................................................10

Sicherheitsmerkmale für alle iOS-, OS X-, Android- und Windows-Geräte......................................................................... 11

Unterstützte systemeigene iOS- und Android -Funktionen........................................................................................ 12

Sicherheitsmerkmale für Samsung-Geräte, die KNOX MDM verwenden...........................................................................13

Sicherheitsfunktionen für Samsung-Geräte mit KNOX Workspace ................................................................................... 14

Trusted Boot-Bestätigung........................................................................................................................................ 15

Unterstützung für TIMA........................................................................................................................................... 15

Sicherheitsfunktionen für Android for Work-Geräte.......................................................................................................... 16

Sicherheitsfunktionen für Geräte mit Secure Work Space ................................................................................................17

Verwenden der Good for BES12-App oder des BES12 Client ........................................................................................... 19

Verwalten der Gerätesicherheit mit BES12 ..................................................................... 21Aktivieren von Geräten....................................................................................................................................................21

Wie geschäftliche Bereiche geschäftliche Apps und Daten schützen............................................................................... 22

Geschäftlicher Bereich auf BlackBerry 10-Geräten.................................................................................................. 22

Secure Work Space für iOS- und Android-Geräte...................................................................................................... 27

Schutz der Daten durch Verschlüsselung........................................................................................................................ 28

Verschlüsseln von Daten auf BlackBerry 10-Geräten................................................................................................ 29

Verschlüsseln von Daten in Secure Work Space ....................................................................................................... 34

Verwalten von Apps auf Geräten......................................................................................................................................35

Kontrolle von persönlichen Apps auf Geräten........................................................................................................... 36

Verwalten geschäftlicher Apps auf BlackBerry 10-Geräten....................................................................................... 36

Good Dynamics-Produktivitätsanwendungen........................................................................................................... 41

Gesicherte Apps auf Geräten mit Secure Work Space .............................................................................................. 41

Kennwörter.....................................................................................................................................................................45

Ändern von Kennwörtern......................................................................................................................................... 45

Kennwörter für BlackBerry 10-Geräte...................................................................................................................... 48

Secure Work Space-Kennwörter...............................................................................................................................54

Datenlöschung............................................................................................................................................................... 55

Löschen aller Daten auf BlackBerry 10-Geräten....................................................................................................... 55

Vollständiges Löschen von Gerätedaten auf Geräten mit iOS, OS X, Android oder Windows .......................................58

Vollständiges Löschen geschäftlicher Daten von BlackBerry 10-Geräten.................................................................. 59

Geschäftliche Daten vollständig von iOS-, OS X-, Android- und Windows-Geräten löschen.........................................62

Sicherstellen der Kompatibilität auf Geräten....................................................................................................................64

Sicherstellen der BlackBerry 10-Geräteintegrität......................................................................................................65

Geräte mit Secure Work Space vor dem Entsperren und Hacken schützen................................................................65

Verhindern der Installation spezifischer Apps durch die Benutzer............................................................................. 66

Bestimmen des Standorts von Geräten............................................................................................................................66

Verwenden von IT-Richtlinien für die Geräteverwaltung....................................................................................................67

Einschränken und Zulassen von Gerätefunktionen................................................................................................... 67

Steuern von BlackBerry 10-Gerätefunktionen.......................................................................................................... 68

Verwalten, wie Geräte Smartcards verwenden................................................................................................................. 73

Steuern des BlackBerry Link-Zugriffs auf Geräte..............................................................................................................75

Wie BES12 Ihre Daten während der Übertragung schützt................................................ 76Schutz von Daten während der Übertragung über die BlackBerry Infrastructure ..............................................................76

Schützen von Geräteverwaltungsdaten, die zwischen BES12 und Geräten gesendet werden............................................77

Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 ........................................................................ 77

Verwendete Verschlüsselungsarten zum Senden von Geräteverwaltungsdaten an Geräte..........................................78

Authentifizierung von BES12 bei der BlackBerry Infrastructure ....................................................................................... 78

Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von

Geräteverwaltungsdaten..........................................................................................................................................79

Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von Geschäftsdaten an

Geräte..................................................................................................................................................................... 79

Wie Geräte eine Verbindung zur BlackBerry Infrastructure herstellen...............................................................................81

Verschlüsselung der BlackBerry Infrastructure-Verbindung...................................................................................... 81

Datenfluss: Herstellen einer TLS-Verbindung zwischen der BlackBerry Infrastructure und einem Gerät.....................81

Verbinden von Geräten mit Ihren Ressourcen.................................................................................................................. 82

Schutz von Daten während der Übertragung zwischen BlackBerry 10 Geräten und Ihren Ressourcen ...................... 83

Schutz von Daten während der Übertragung zwischen Secure Work Space Geräten und Ihren Ressourcen............... 89

Schutz von Daten während der Übertragung mit BlackBerry Secure Connect Plus ................................................... 91

Verbinden mit einem VPN........................................................................................................................................ 92

Schützen der Kommunikation mit Geräten mithilfe von Zertifikaten................................................................................. 94

Bereitstellen von Client-Zertifikaten für Geräte......................................................................................................... 94

Verwenden von SCEP für die Anmeldung von Client-Zertifikaten auf Geräten............................................................ 96

Senden von Zertifizierungsstellenzertifikaten an Geräte............................................................................................98

Schutz von E-Mail-Nachrichten....................................................................................................................................... 99

Steuern, welche Geräte Exchange ActiveSync verwenden können............................................................................ 99

Erweitern der E-Mail-Sicherheit..............................................................................................................................100

Bereitstellen von Geräten mit Zugriff per einmaligem Anmelden im Netzwerk Ihres Unternehmens................................ 105

Verwenden von Kerberos für die einmalige Anmeldung auf Geräten........................................................................105

Schützen von Verbindungen zur BES12 mithilfe des BlackBerry Router ........................................................................ 106

Verwenden eines BlackBerry Router oder eines Proxy-Servers mit BES12 ..............................................................106

Installieren von BES12 in einer DMZ...................................................................................................................... 107

BlackBerry OS-Gerätesicherheit................................................................................... 109

Glossar.........................................................................................................................111

Rechtliche Hinweise.....................................................................................................115

BES12 Sicherheit

BES12 enthält zahlreiche Funktionen, die Ihnen helfen, Sicherheit, Datenschutz, und Kontinuität für Ihr Unternehmen zu gewährleisten:

• Verschlüsselung hilft, Ihre Daten während der Übertragung zu schützen

• Es gibt ein Software-Entwicklungsmodell, bei dem Sicherheit im Vordergrund steht

• Eine Architektur, die entwickelt wurde, um eine sichere Verbindung zwischen den E-Mail- und den Inhaltsservern Ihres Unternehmens sowie den Geräten zu schaffen

• FIPS-Zertifizierung. Jede BES12-Instanz verschlüsselt alle Daten, die sie direkt speichert, und beschreibt Daten indirekt mithilfe eines FIPS-zertifizierten kryptografischen Moduls.

NeuheitenIn der folgenden Tabelle werden die aktualisierten Sicherheitsfunktionen für BES12 Version 12.4 aufgeführt, die in diesem Dokument beschrieben werden:

Funktion Beschreibung

Unterstützung für OS X-Geräte BES12 unterstützt jetzt Mac Computer, auf denen OS X (Version 10.8 und höher) ausgeführt wird.

Unterstützung für Good Dynamics BES12 ermöglicht iOS- und Android-Geräten nun den Zugriff auf die Good Dynamics-Produktivitäts-Apps.

Sichern von geschäftlichen Daten Benutzer von BlackBerry 10-Geräten können jetzt geschäftliche Apps und Daten auf Geräten mithilfe von BlackBerry Link sichern und wiederherstellen. Sie können BES12 verwenden, um die Verschlüsselungsschlüssel zu generieren und an Geräte zu senden und den BlackBerry Link-Zugriff auf geschäftliche Anwendungen und Daten zu steuern.

BlackBerry Secure Connect Plus-Unterstützung für iOS-Geräte

Diese Version ermöglicht die Unterstützung von iOS-Geräten mit iOS 9 oder höher und der Aktivierungsart „MDM-Steuerelemente“. Sie können zulassen, dass alle Apps auf iOS-Geräten einen sicheren Tunnel verwenden, oder Sie können festlegen, welche Apps „Per App VPN“ verwenden.

Unterstützung für OpenTrust PKI-Software

Wenn Ihre Organisation zur Bereitstellung von PKI-Diensten die OpenTrust-Software verwendet, können Sie die zertifikatsbasierte Authentifizierung auf die Geräte ausweiten, die mithilfe von BES12 verwaltet werden. Sie können eine Verbindung mit OpenTrust PKI

1

BES12 Sicherheit

6


oder OpenTrust CMS konfigurieren und Profile verwenden, um das Zertifizierungsstellenzertifikat sowie Clientzertifikate an Geräte zu senden.

Beschränkungen für Cipher Suites auf BlackBerry 10-Geräten

Mit BES12 können Sie zudem einschränken, welche Cipher Suites der SSL-Bibliothek von BlackBerry 10-Geräten unterstützt werden. Sie können dies tun, wenn eine Cipher Suite entfernt werden soll, die ein Sicherheitsrisiko darstellt, und die Ressourcen Ihrer Organisation diese Cipher Suite für die Kommunikation nicht benötigen.

Bestimmen des Standorts von Android-Geräten

Profilen für die Standortbestimmung werden nun auf Android-Geräten unterstützt.

BES12 Sicherheit

7

Sicherheitsfunktionen von Geräten

BES12 verwaltet die Sicherheitsfunktionen von Geräten mit BlackBerry 10, BlackBerry OS (Version 5.0 bis 7.1), iOS, OS X, Android oder Windows.

Jeder Gerätetyp stellt eine Reihe von eigenen Sicherheitsfunktionen zur Verfügung, die Sie mit BES12 verwalten können.

Für alle Geräte geltende SicherheitsfunktionenDie folgenden Sicherheitsfunktionen gelten für alle Geräte und Geräteverwaltungsoptionen:


Verwaltungsbefehle Sämtliche Geräte ermöglichen es Ihnen bzw. den Benutzern, ein Gerät zu sperren, Gerätekennwörter zu ändern und Informationen von Geräten zu löschen. Einige Geräteverwaltungsoptionen bieten zusätzliche Unterstützung für Verwaltungsbefehle.

Steuerelement für Kennwort und Gerät

Alle Geräte ermöglichen das Festlegen von Kennwortanforderungen und das Deaktivieren von Gerätefunktionen (z. B. der Kamera) mit IT-Richtlinienregeln. Einige Geräteverwaltungsoptionen bieten verbesserte IT-Richtliniensätze für eine detailliertere Steuerung.

Steuerung der Netzwerkverbindung

Alle Geräte unterstützen Wi-Fi-Profile, mit denen Sie festlegen können, wie Geräte eine Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von Wi-Fi herstellen können.

Einige Optionen zur Geräteverwaltung unterstützen auch VPN und Enterprise-Konnektivität über die BlackBerry Infrastructure.

Kompatibilität Alle Geräteverwaltungsoptionen ermöglichen die Durchsetzung der Anforderungen des Unternehmens an Geräte, z. B. die Installation obligatorischer Apps. Einige Geräte ermöglichen es Ihnen außerdem, entsperrte oder gehackte Geräte oder Geräte, die nicht über eine bestimmte Betriebssystemversion verfügen, einzuschränken.

App-Verwaltung Alle Geräte ermöglichen die Installation geschäftlicher Apps auf Geräten. Sie können angeben, ob Apps auf Geräten erforderlich sind, und Sie können sehen, ob geschäftliche Apps auf einem Gerät installiert sind.

Einige Geräteverwaltungsoptionen ermöglichen die Trennung geschäftlicher und persönlicher Apps mithilfe von Containern oder geschäftlichen Profilen.

2


8


Zertifikatsbasierte Authentifizierung

Alle Geräte unterstützen die zertifikatsbasierte Authentifizierung zwischen Geräten und Netzwerken oder Servern in der Unternehmensumgebung.

Alle Geräte unterstützen das Senden von Zertifizierungsstellenzertifikaten an Geräte. Die meisten Geräte unterstützen das Senden von Client-Zertifikaten an Geräte. Einige Geräte ermöglichen die Registrierung von Client-Zertifikaten auf Geräten mittels SCEP.

BES12 kann Profile und Zertifikate automatisch entfernen, wenn ein Gerät gegen eine der Bedingungen für Richtlinientreue (z. B. im Hinblick auf Jailbreak oder Rooting) verstößt. Damit wird verhindert, dass das Gerät eine Verbindung mit den Ressourcen Ihres Unternehmens herstellt, wenn die zertifikatsbasierte Authentifizierung verwendet wird.

Steuern, welche Geräte Zugriff auf Exchange ActiveSync haben dürfen

Wenn Ihr Unternehmen Exchange ActiveSync verwendet, unterstützen alle Geräte Microsoft Exchange-Gatekeeping. Sie können Microsoft Exchange konfigurieren, um die Nutzung von Exchange ActiveSync durch Geräte zu unterbinden, die nicht explizit auf einer zulässigen Liste in Microsoft Exchange aufgeführt sind. Mithilfe von Gatekeeping in BES12 können Sie steuern, welche Geräte der zulässigen Liste hinzugefügt werden. Wenn ein Gerät zur zulässigen Liste hinzugefügt wird, kann ein Benutzer auf das geschäftliche E-Mail-Konto und andere Informationen auf dem Gerät zugreifen.

Sicherheitsmerkmale für BlackBerry 10 GeräteBlackBerry 10-Geräte wurden entwickelt, um Anwendern und Unternehmen ein hohes Maß an Sicherheit zu bieten. Die folgende Tabelle bietet eine Übersicht über viele der Sicherheitsfunktionen, die mit durch BES12 verwalteten BlackBerry 10-Geräten zur Verfügung stehen.


BlackBerry 10 OS-Schutz Das BlackBerry 10 OS ist manipulationssicher, robust und sicher und umfasst viele Sicherheitsmerkmale, die Daten, Apps und Ressourcen auf Geräten schützen.

Sichere Verbindungen zu den Ressourcen Ihres Unternehmens

BES12- und BlackBerry 10-Geräte verfügen durch BES12 und die BlackBerry Infrastructure über eine sichere Verbindung mit dem Netzwerk Ihres Unternehmens.

BlackBerry Balance-Technologie BlackBerry Balance-Technologie ermöglicht Ihnen die Einrichtung eines persönlichen Bereichs und eines geschäftlichen Bereichs für Nutzer. Im persönlichen Bereich sind Ihre Befugnisse beschränkt, im geschäftlichen Bereich haben Sie die volle Kontrolle über Apps und Daten. Alternativ haben Sie die Möglichkeit, nur einen geschäftlichen Bereich auf dem Gerät zu erstellen, sodass Ihr Unternehmen die volle Kontrolle über Apps und Daten auf dem Gerät behält.


9


IT-Richtliniensatz BlackBerry 10-Geräte unterstützen einen umfassenden Satz von IT-Richtlinienregeln, die Ihnen einen hohen Grad an Kontrolle über die Gerätefunktionen geben.

VPN Sie können geschäftliche VPN-Profile an BlackBerry 10-Geräte senden, damit diese VPN-Zugang zum Netzwerk Ihres Unternehmens erhalten.

App-Verwaltung Sie können kontrollieren, welche Apps der Benutzer im geschäftlichen Bereich installieren darf. Sie können interne Apps im geschäftlichen Bereich installieren und löschen.

Verwaltungsbefehle für den geschäftlichen Bereich

BES12 enthält Verwaltungsbefehle, mit denen Sie das Gerät und die Kennwörter des geschäftlichen Bereichs zurücksetzen können.

BES12 enthält Verwaltungsbefehle, mit denen Sie sämtliche Daten auf dem Gerät oder im geschäftlichen Bereich vollständig löschen können.

Sicherheitsmerkmale für das PRIV von BlackBerryDas PRIV von BlackBerry ist ein professionelles und sicheres Gerät, das die Sicherheitsfunktionen von BlackBerry für Android OS mitbringt. Die folgende Tabelle bietet eine Zusammenfassung vieler PRIV-Sicherheitsfunktionen, die mit BES12 verwaltet werden.


Mehrstufige Verteidigung Sicherheitsmaßnahmen sind in jede Ebene des Geräts integriert: Hardware, Firmware, Betriebssystem und in den Apps für sichere Kommunikation und Zusammenarbeit. Daraus ergibt sich ein mehrstufiger Verteidigungsansatz, der ein neues Maß an Sicherheit für Android bietet. Jeder Bereich des Geräts arbeitet nahtlos mit jedem anderen zusammen, um die Privatsphäre zu schützen und die Integrität und Vertraulichkeit von Apps und Daten zu bewahren.

Hardware-Vertrauensstamm Ein hardwarebasierter Vertrauensstamm wird bei der Herstellung des Prozessors eingerichtet, indem diesem die kryptografischen Ressourcen hinzugefügt werden, die später für die Authentifizierung des Geräts und für Secure Boot verwendet werden sollen.

BlackBerry Secure Compound BlackBerry Secure Compound bietet eine vertrauenswürdige Umgebung zur Speicherung vertraulicher Daten und zum Ausführen von sicherheitsorientierten Apps wie BlackBerry Integrity Detection.


10


Secure Boot Der sichere Startvorgang stellt sicher, dass nur ein von BlackBerry signiertes Betriebssystem, das nicht manipuliert wurde, auf dem PRIV geladen werden kann. In jeder Phase des sicheren Startvorgangs wird überprüft, ob die nächste Komponente nicht manipuliert wurde, bevor sie geladen wird.

Die Downgrade-Prävention verhindert, dass ein Benutzer nach einer Aktualisierung eine alte Version des Betriebssystems auf dem PRIV installiert. Dies schützt vor Situationen, in denen ein Benutzer eine Betriebssystemversion ohne die neuesten Sicherheitsupdates installiert oder ein böswilliger Benutzer eine in einer älteren Version vorhandene Schwachstelle ausnutzt.

BlackBerry Integrity Detection BlackBerry Integrity Detection überwacht kontinuierlich Ereignisse oder Konfigurationsänderungen, die darauf hinweisen könnten, dass die Sicherheit des Geräts beeinträchtigt ist.

BES12 lässt sich in BlackBerry Integrity Detection integrieren, um z. B. eine Warnung zu generieren, das Gerät unter Quarantäne zu stellen, damit keine Zugriffe auf geschäftliche Ressourcen mehr erfolgen können oder das Gerät vollständig zu löschen, wenn eine potenzielle Gefährdung erkannt wird.

Kernel-Härtung Auf dem PRIV läuft ein Linux-Kernel, der mit Patches und Änderungen der Konfiguration gehärtet wurde. Damit ist die Wahrscheinlichkeit einer Kompromittierung durch eine Sicherheitslücke geringer. Außerdem werden Prozesse mit bestimmten erhöhten Berechtigungen nur innerhalb eines auf Integrität geprüften Dateisystems auf einem von BlackBerry signierten Image ausgeführt.

Verschlüsselte Benutzerdaten Standardmäßig werden alle Benutzerdaten (persönliche und geschäftliche) mit einer FIPS 140-2-kompatiblen Kryptografie-Engine verschlüsselt. Verschlüsselungsschlüssel werden durch BlackBerry Secure Compound geschützt.

BES12-Aktivierungsarten Das PRIV unterstützt die Aktivierungsarten "Android for Work", "Secure Work Space" und "MDM-Steuerelemente".

Sicherheitsmerkmale für alle iOS-, OS X-, Android- und Windows-GeräteDie Aktivierungsart „MDM-Steuerelemente“ ermöglicht die Verwendung der standardmäßig auf iOS-, OS X-, Android- und Windows-Geräten verfügbaren Sicherheitsfunktionen. Es wird kein separater, verschlüsselter Container erstellt, die geschäftlichen Apps und Daten der Benutzer werden nicht von den persönlichen getrennt. MDM-Steuerelemente lassen einige Bedenken in puncto Benutzer-Datenschutz unbeantwortet und bieten keine erhöhte Sicherheit. MDM-Steuerelemente sind


11

normalerweise nicht empfehlenswert, wenn ein Unternehmen strenge Sicherheitsanforderungen zur Verhinderung von Datenverlust/-diebstahl hat.

Je nach Gerätetyp stehen zusätzlich zu den Sicherheitsfunktionen für alle Gerätetypen die folgenden Sicherheitsfunktionen zur Verfügung:

Gerät Sicherheitsfunktion

iOS • VPN-Verbindung über VPN-Profile

• SCEP-Registrierung von Zertifikaten

• Durchsetzung von Richtlinientreue auf Geräten mit Jailbreak

• IT-Richtlinienregeln zur Steuerung verschiedener systemeigener Apps, Gerätefunktionen und überwachter Geräte sowie zum Konfigurieren von Einstufungen für zulässigen Inhalt

• Sichere Verbindung über BlackBerry Secure Connect Plus (erfordert Aktivierungsart „MDM-Steuerelemente“)

OS X • VPN-Verbindung über VPN-Profile

• SCEP-Registrierung von Zertifikaten

• IT-Richtlinienregeln zur Steuerung von Kennwortanforderungen

Android • Durchsetzung von Richtlinientreue auf gerooteten Geräten

• IT-Richtlinienregel für die Geräteverschlüsselung

Windows • IT-Richtlinienregeln zur Kontrolle der Konnektivität über Bluetooth oder NFC, der Gerätefunktionen, der nativen Apps und der firmeneigenen Geräte

• Windows 10-Geräte unterstützen VPN-Verbindungen über VPN-Profile

Unterstützte systemeigene iOS- und Android -FunktionenBei den folgenden Funktionen handelt es sich um systemeigene iOS- und Android-Funktionen, die auch von BES12 unterstützt werden. Weitere Informationen zu diesen Funktionen finden Sie in der iOS- und der Android-Dokumentation, die von Apple und Google verfügbar ist.


Verschlüsselung des gesamten Datenträgers

Durch die Verschlüsselung des gesamten Datenträgers wird sichergestellt, dass alle Daten eines Geräts verschlüsselt gespeichert werden und Benutzer mit einer Verschlüsselungs-PIN oder einem Verschlüsselungskennwort darauf zugreifen können. BES12 unterstützt die systemeigene Verschlüsselung des gesamten Datenträgers, die unter iOS und Android angeboten wird.


12


Zufällige Anordnung des Adressraumlayouts

Durch die zufällige Anordnung des Adressraumlayouts ist es für Angreifer schwerer, Geräte zu attackieren und eigenen Code auszuführen. Durch diese Technik wird der Ablageort der Systemkomponenten im Speicher zufällig angeordnet, sodass Schwachstellen für Angreifer nicht leicht erkennbar sind. BES12 unterstützt die systemeigene zufällige Anordnung des Layouts des Adressraums, die unter iOS und Android angeboten wird.

Sicherheitsmerkmale für Samsung-Geräte, die KNOX MDM verwendenBES12 kann Samsung-Geräte mithilfe von KNOX MDM verwalten. KNOX MDM umfasst die Sicherheitsfunktionen, die Samsung für die Geräte bereitstellt. Wenn ein Gerät aktiviert wird, erkennt BES12 automatisch, ob das Gerät KNOX MDM unterstützt.

In der folgenden Tabelle werden die neben den standardmäßigen Android-Sicherheitsmerkmalen zusätzlich verfügbaren Sicherheitsfunktionen für Geräte, die KNOX MDM unterstützen, beschrieben:

Sicherheitsfunktion Beschreibung

VPN-Verbindung BES12 umfasst VPN-Profile, die Sie an Geräte mit KNOX MDM senden können, damit diese eine Verbindung mit einem IPSec- oder SSL-VPN herstellen können. Sie können eine kennwort- oder zertifikatbasierte Authentifizierung verwenden.

Verbesserter IT-Richtliniensatz Sie können Samsung KNOX MDM-Geräte über einen verbesserten IT-Richtliniensatz steuern. Beispielsweise können Sie mithilfe von Regeln das Gerätekennwort, systemeigene Apps, Gerätefunktionalität, Konnektivität (einschließlich Bluetooth und NFC) und Browsereinstellungen steuern.

Verbesserte App-Verwaltung Sie können Apps im Hintergrund installieren und deinstallieren, eingeschränkte Apps deaktivieren, die vor Durchsetzen der Richtlinie durch BES12 installiert wurden, und die Installation eingeschränkter Apps unterbinden.

Geräte mit KNOX MDM können ohne einen Container oder mit einem Container wie KNOX Workspace oder Secure Work Space aktiviert werden.


13

Sicherheitsfunktionen für Samsung-Geräte mit KNOX WorkspaceSamsung KNOX Workspace ist ein verschlüsselter kennwortgeschützter Container auf einem Samsung-Gerät für geschäftliche Apps und Daten. Er trennt die persönlichen Apps und Daten eines Benutzers von denen des Unternehmens und schützt letztere mithilfe erweiterter, von Samsung entwickelter Sicherheits- und Verwaltungsfunktionen.

Wenn Sie KNOX Workspace verwenden, können Sie die Sicherheitsfunktionen für KNOX MDM-Geräte und die in der folgenden Tabelle aufgeführten Sicherheitsfunktionen nutzen:


Sicherheit der Hardware Standardmäßig werden für Samsung-Geräte, die KNOX Workspace unterstützen, die folgenden Sicherheitsfunktionen für Hardware und Betriebssystem verwendet:

• Secure Boot und Trusted Boot, die die Echtheit von Kernel und Betriebssystem prüfen

• TIMA, das den Kernel überprüft und auf Änderungen überwacht

SE für Android Standardmäßig verwenden Samsung-Geräte SE für Android. SE für Android teilt das Betriebssystem in Sicherheitsdomänen auf, damit Apps und Prozesse keinen unbefugten Zugriff auf Daten und Ressourcen erhalten. Apps außerhalb des KNOX Workspace erhalten beispielsweise keinen Zugriff auf App-Daten im geschäftlichen Bereich.

Containerverschlüsselung Standardmäßig ist auf Samsung-Geräten der KNOX Workspace mit AES-256 verschlüsselt.

Verbesserter IT-Richtliniensatz Sie können den KNOX Workspace über einen verbesserten IT-Richtliniensatz steuern. Beispielsweise können Sie über Regeln folgende Funktionen steuern:

• Kennwort für geschäftlichen Bereich

• Ob geschäftliche Apps Zertifikate anhand von CRLs prüfen sollten

• Trusted Boot-Bestätigung

• Trennung von geschäftlichen und persönlichen Daten (beispielsweise, ob geschäftliche Dateien im persönlichen Bereich zulässig sind)

• Ob geschäftliche und persönliche Daten wie Kontakte, Kalender und Benachrichtigungen synchronisiert werden können

• Smartcard-Authentifizierung für Browser und E-Mail

• Konnektivität, einschließlich Bluetooth und NFC

• Browsereinstellungen


14



BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) nur den geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich zurücksetzen und den geschäftlichen Bereich entfernen können.

Zertifikatbasierte Authentifizierung mittels SCEP

Sie können Zertifikate mithilfe von SCEP an Geräte senden. Die Geräte können diese Zertifikate für VPN-, Exchange ActiveSync- und Wi-Fi-Verbindungen verwenden.

Sichere Verbindung über BlackBerry Secure Connect Plus

Sie können BES12 und Geräte mit KNOX Workspace zum Herstellen einer sicheren Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry Secure Connect Plus konfigurieren.

Zertifizierung KNOX Workspace hat folgende Zertifizierungen:

• FIPS 140-2 Level 1 für Daten im Ruhezustand und während der Übertragung

• DISA MOS SRG Compliance

Weitere Informationen finden Sie unter https://www.samsungknox.com/en/products/knox-workspace/technical.

Trusted Boot-BestätigungTrusted Boot ist eine Samsung KNOX-Funktion, die Kernel und Betriebssystem prüft, wenn ein Gerät gestartet wird. Trusted Boot überprüft die Integrität von Geräten mit einem KNOX Workspace, damit Sie wissen, dass keine unzulässige Firmware ausgeführt wird. Wenn ein Benutzer nicht genehmigte Firmware installiert, löst Trusted Boot das KNOX-Garantie-Bit aus, auf den KNOX Workspace kann nicht mehr zugegriffen werden, und Sie können das Gerät nicht mehr mit Samsung KNOX verwalten. Ist das Gerät verschlüsselt, kann es darüber hinaus nicht mehr verwendet werden.

Standardmäßig ist die Trusted Boot-Überprüfung deaktiviert. Sie können Trusted Boot über die IT-Richtlinienregel "Trusted Boot-Bestätigung aktivieren" aktivieren. Weitere Informationen über diese Regel finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.

Weitere Informationen zu Trusted Boot finden Sie unter https://www.samsungknox.com/en/products/knox-workspace.

Unterstützung für TIMATIMA prüft, ob der Geräte-Kernel während der Laufzeit beschädigt wurde. Wenn Sie ein Gerät mit KNOX Workspace aktivieren, unterstützt BES12 die folgenden Elemente von TIMA:

• TIMA CCM, das Client-Zertifikate speichert, die von Apps zum Ver- und Entschlüsseln, Signieren und für die Inhaltsprüfung verwendet werden können. TIMA CCM ähnelt einer Smartcard. BES12 speichert automatisch Wi-Fi-Zertifikate, für die Konnektivität mit der BlackBerry Infrastructure erforderliche Zertifikate, freigegebene Zertifikate, Benutzerzertifikate und Benutzeranmeldeinformationen im TIMA CCM. Nur zugelassene Apps im KNOX Workspace,


15

https://www.samsungknox.com/en/products/knox-workspace/technical


http://help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/


https://www.samsungknox.com/en/products/knox-workspace

denen der Zertifikatalias bekannt ist, können auf Zertifikate im TIMA CCM zugreifen. CA-Zertifikate werden nicht im TIMA CCM, sondern im Zertifikatspeicher des KNOX Workspace gespeichert. Diese Funktion steht für Geräte zur Verfügung, die KNOX 2.1 oder höher unterstützen.

• TIMA-Schlüsselspeicher, in dem die Schlüssel zur Verschlüsselung des KNOX Workspace gespeichert werden und der für Apps Dienste zum Generieren und Pflegen von Kryptografieschlüsseln bietet.

Sicherheitsfunktionen für Android for Work-GeräteAndroid for Work ist eine von Google entwickelte Funktion, die zusätzliche Sicherheit für Unternehmen bietet, in denen Android-Geräte verwaltet werden sollen. Mit ihr wird ein geschäftliches Profil erstellt, das die geschäftlichen Apps und Daten enthält.

Wenn Sie Android for Work verwenden, können Sie die Sicherheitsfunktionen für alle Geräte und die in der folgenden Tabelle aufgeführten Sicherheitsfunktionen nutzen:


Geräteverschlüsselung Standardmäßig wird ein mit Android for Work aktiviertes Gerät vollständig verschlüsselt.

Geschäftliches Profil Wenn Sie ein Gerät mit Android for Work aktivieren, wird ein geschäftliches Profil erstellt, das geschäftliche Apps von persönlichen Apps trennt. Das geschäftliche Profil verfügt über ein eigenes Dateisystem, eigene App-Sandboxen und einen eigenen Zertifikat-Schlüsselspeicher.

Verwaltungsbefehle für das geschäftliche Profil

BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) das geschäftliche Profil sperren oder entfernen können.

Zertifikatverwaltung Sie können Clientzertifikate und CA-Zertifikate unter Verwendung verschiedener Arten von Profilen an Geräte senden, je nachdem, woher ein Zertifikat stammt.

App-Verwaltung Sie können erforderliche Apps für den geschäftlichen Bereich festlegen und sicherstellen, dass die Geräte alle Vorschriften erfüllen. Alle Apps, die Sie bereitstellen, sind geschäftliche Apps, die in App-Sandboxen im geschäftlichen Profil installiert werden.

Sie können App-Konfigurationen einrichten, um die Merkmale von Apps festzulegen.

Sichere Verbindung über BlackBerry Secure Connect Plus

Sie können BES12- und Android for Work-Geräte zum Herstellen einer sicheren Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry Secure Connect Plus konfigurieren.

Hierfür müssen die Geräte mit der Aktivierungsart "Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work – Premium)" oder "Nur geschäftlicher Bereich (Android for Work – Premium)" aktiviert werden.


16

Sicherheitsfunktionen für Geräte mit Secure Work SpaceSecure Work Space ist ein Container, der ein höheres Maß an Kontrolle und Sicherheit für iOS- und Android-Geräte bietet.

Secure Work Space umfasst gesicherte Apps, die geschützt und von persönlichen Apps und Daten getrennt werden. Die gesicherten Apps umfassen eine integrierte E-Mail-, Kontakte- und Kalender-App, einen sicheren Browser auf Unternehmensebene und eine App zum sicheren Anzeigen und Bearbeiten von Dokumenten. Mithilfe des geschäftlichen Browsers können Benutzer das geschäftliche Intranet und das Internet sicher durchsuchen.

In der folgenden Tabelle sind die Secure Work Space-spezifischen Sicherheitsfunktionen aufgeführt:


Schutz von Daten während der Übertragung zwischen BES12 und einem Gerät

BES12 schützt Daten, die zwischen BES12 und einem Gerät mit Secure Work Space übertragen werden. BES12 und ein Gerät können mithilfe des TLS-Protokolls mit dem AES-256-Algorithmus kommunizieren.

Fähigkeit, eine Verbindung zu geschäftlichen Ressourcen ohne VPN oder eingehende Ports in der Firewall aufzubauen

Ein Gerät mit Secure Work Space sendet Daten an BlackBerry Infrastructure, was anschließend mit BES12 über den von ausgehendem Datenverkehr initiierten und bidirektionalen Port 3101 kommuniziert. Die Daten werden vom BES12 über den gleichen Pfad zurück zum Gerät transportiert.

Schutz der Daten im geschäftlichen Bereich auf einem Gerät

• Ein geschäftlicher Bereich enthält gesicherte Apps. Gesicherte Apps sind geschäftliche Apps, die den geschäftlichen Bereich durch zusätzlichen Schutz sichern.

• Standardmäßig schützen gesicherte Apps ihre Daten mithilfe der AES-256-Verschlüsselung. Wenn Sie wählen, dass alle Apps auf Daten im geschäftlichen Bereich zugreifen dürfen, dann erfolgt keine Verschlüsselung der Daten gesicherter Apps.

• Gesicherte Apps verschlüsseln Kennwörter mit einem Hash, bevor sie gespeichert werden.

• Der geschäftliche Bereich isoliert Daten im geschäftlichen Bereich von anderen Daten. Eine gesicherte App kann nur mit einer anderen gesicherten App kommunizieren und mit ihr Daten austauschen, außer Sie lassen zu, dass alle Apps auf Daten im geschäftlichen Bereich zugreifen dürfen.

• Der geschäftliche Bereich erlaubt es einem Benutzer, Daten von einer gesicherten App in eine andere gesicherte App zu kopieren und einzufügen, jedoch nicht in eine geschäftliche oder persönliche App.


17


FIPS-Zertifizierung für die Verschlüsselung von Daten im geschäftlichen Bereich

Der geschäftliche Bereich verschlüsselt alle direkt gespeicherten Daten und schreibt mithilfe eines FIPS-zertifizierten kryptografischen Moduls indirekt in Dateien.

Verbesserter IT-Richtliniensatz Mit dem Secure Work Space-IT-Richtliniensatz können Sie ein Kennwort für den geschäftlichen Bereich konfigurieren, vorgeben, was auf Geräten nach einem bestimmten Zeitraum der Inaktivität passieren soll, und geschäftliche Kontakte steuern.


BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) nur den geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich zurücksetzen und den geschäftlichen Bereich entfernen können.

Schutz des Betriebssystems • Der geschäftliche Bereich kann einen Vorgang für eine gesicherte App, die nicht mehr reagiert, neu starten, ohne dass sich dies auf andere Vorgänge negativ auswirkt.

• Der geschäftliche Bereich überprüft Anforderungen, die Apps an Ressourcen auf dem Gerät stellen.

Schutz von App-Daten mithilfe von Sandboxing

Der geschäftliche Bereich verwendet Sandboxing, um Funktionen und Berechtigungen von gesicherten Apps, die auf dem Gerät ausgeführt werden, zu trennen und einzuschränken. Jeder App-Prozess im geschäftlichen Bereich wird in einer eigenen Sandbox ausgeführt.

Der geschäftliche Bereich überprüft die Anforderungen, die die Vorgänge einer gesicherten App an Speicher außerhalb der Sandbox stellen.

Verwaltung von Berechtigungen für den Zugriff auf Funktionen

Der geschäftliche Bereich überprüft jede Anforderung, die eine gesicherte App stellt, um auf eine Funktion auf dem Gerät zuzugreifen.

Möglichkeit, Ihre eigenen gesicherten Apps hinzuzufügen

Ihr Unternehmen kann interne Apps in gesicherte Apps, die im geschäftlichen Bereich installiert und ausgeführt werden können, konvertieren. Zum Konvertieren einer App in eine gesicherte App müssen Sie die binäre Datei der App mithilfe der BES12-Verwaltungskonsole sichern. Anschließend muss der App-Entwickler die App neu signieren (und bei Bedarf bei einer iOS-App eine Berechtigungsdatei erstellen). Schließlich können Sie die App im geschäftlichen Bereich auf Geräten installieren.

Möglichkeit, gesicherte Apps von anderen Anbietern hinzuzufügen

Drittentwickler von Apps können ihre Apps sichern und neu signieren und sie im App Store oder in Google Play verfügbar machen, sodass Sie sie an Benutzer senden können.

Apps aus dem App Store oder aus Google Play, die nicht den gesicherten Apps zugewiesen sind, können im geschäftlichen Bereich weder installiert noch ausgeführt werden. Nur der App-Anbieter kann Apps sichern und neu signieren, sodass sie im geschäftlichen Bereich installiert werden können.


18


Schutz des Kontomanagers auf einem Gerät

Einige Geräte nutzen einen Kontomanager, um Anmeldeinformationen für verschiedene Benutzerkonten zu speichern. Der geschäftliche Bereich schützt die von gesicherten Apps gespeicherten Anmeldeinformationen, sodass die Anmeldeinformationen für gesicherte Apps freigegeben sind, jedoch nicht für andere Apps.

Schutz der gesicherten Apps vor Trojanern und Schadsoftware

Der geschäftliche Bereich fertigt Fingerabdrücke von Apps an, um sicherzustellen, dass nur bekannte und vertrauenswürdige Apps als gesicherte Apps ausgeführt werden können. Gesicherte Apps werden überprüft, bevor sie an den geschäftlichen Bereich eines Geräts gesendet werden und jedes Mal, wenn das Gerät die Apps ausführt.

Erkennen eines entsperrten oder gehackten Status

Wenn ein Gerät entsperrt oder gehackt wurde, hat der Benutzer Administratorrechte beim Zugriff auf das Betriebssystem des Geräts. BES12 erkennt, ob ein Gerät entsperrt oder gehackt wurde. Sie können den Benutzer benachrichtigen oder auffordern, so genannte Jailbreak-Software oder Rooting-Software von dem Gerät zu entfernen. Wenn ein Gerät entsperrt oder gehackt wurde, kann der Benutzer den geschäftlichen Bereich nicht installieren bzw. nicht auf diesen zugreifen, wenn er bereits installiert wurde.

Erlaubte und eingeschränkte E-Mail-Domänen

Um Datenverlust zu verhindern, unterstützen Geräte mit Secure Work Space erlaubte und eingeschränkte Domänen für E-Mail-, Kalender- und Terminplanerdaten. Die erlaubten und eingeschränkten Domänenlisten bestimmen, welche Links der Benutzer von seinen geschäftlichen E-Mail- und Terminplanerdaten aufrufen kann, und an wen der Benutzer E-Mail-Nachrichten, Kalendereinladungen und Terminplanerdaten senden kann.

Verwandte InformationenSecure Work Space für iOS- und Android-Geräte, auf Seite 27

Verwenden der Good for BES12-App oder des BES12 ClientDie Good for BES12-App auf iOS Geräten und der BES12 Client auf Android- und Windows Phone 8.x-Geräte ermöglicht BES12 die Kommunikation mit den Geräten. Beide Apps verwenden ein FIPS-zertifiziertes kryptografisches Modul, um alle Daten zu verschlüsseln, die sie direkt speichern und indirekt in Dateien schreiben.

Zum Aktivieren von iOS-, Android- und Windows Phone-Geräten mit BES12 müssen Benutzer zuerst die Good for BES12-App oder den BES12 Client auf den Geräten installieren. Benutzer können die aktuelle Version der Good for BES12-App aus dem App Store für iOS-Geräte, den BES12 Clientvon Google Play für Android-Geräte oder vom Windows Marketplace für Geräte mit Windows Phone herunterladen.

Nachdem Benutzer ihre Geräte aktiviert haben, bietet die Good for BES12-App oder der BES12 Client folgende Möglichkeiten:

• Überprüfung der Kompatibilität ihrer Geräte mit den Standards Ihres Unternehmens


19

• Ansicht der Profile, die ihren Benutzerkonten zugewiesen sind

• Ansicht der IT-Richtlinienregeln, die ihren Benutzerkonten zugewiesen sind

• Deaktivieren ihrer Geräte

Auf Windows 10- und OS X-Geräten wird die Good for BES12-App oder der BES12 Client nicht verwendet.


20

Verwalten der Gerätesicherheit mit BES12

Abhängig vom Gerätetyp bietet BES12 diverse Verwaltungsfunktionen für Geräte. Die verfügbaren Funktionen hängen auch von den Geräteverwaltungsoptionen ab, die Sie beim Aktivieren der Geräte einstellen.

Aktivieren von GerätenBei der Geräteaktivierung wird ein Gerät mit einem Benutzerkonto in BES12 verknüpft und ein sicherer Kommunikationskanal zwischen dem Gerät und BES12 über die BlackBerry Infrastructure hergestellt. Nachdem ein Gerät aktiviert wurde, können Sie das Gerät mit BES12 verwalten.

Zur Sicherung des Aktivierungsprozesses müssen die Benutzer ein Kennwort eingeben, um ein Gerät zu aktivieren. Sie können festlegen, wie lange ein Aktivierungskennwort gültig bleiben soll, bevor es abläuft. Außerdem können Sie die Standardlänge des Kennworts für das automatisch generierte Kennwort angeben, das in der Aktivierungs-E-Mail an den Benutzer gesendet wird.

Standardmäßig werden Benutzer in der BlackBerry Infrastructure registriert, wenn Sie einen Benutzer zu BES12 hinzufügen. Die an die BlackBerry Infrastructure gesendeten Informationen werden auf sichere Weise gesendet und gespeichert. Sie können die Benutzerregistrierung bei der BlackBerry Infrastructure deaktivieren, wenn Sie keine Benutzerinformationen an BlackBerry senden möchten.

Der Vorteil der Registrierung ist, dass Benutzer die Serveradresse nicht eingeben müssen, wenn sie die Aktivierung eines Geräts durchführen; sie müssen nur ihre E-Mail-Adresse und ihr Kennwort eingeben. Der Enterprise Management Agent auf BlackBerry 10-Geräten, die Good for BES12-App oder der BES12 Client kommuniziert dann mit der BlackBerry Infrastructure, um die Serveradresse abzurufen. Eine sichere Verbindung mit BES12 wird mit minimalem Eingriff vonseiten des Benutzers hergestellt.

Aktivierungsarten konfigurieren den Grad der Kontrolle, die Sie über aktivierte Geräte haben. Beispielsweise können Sie die volle Kontrolle über ein Gerät erhalten, das Sie an einen Benutzer ausgeben, oder sicherstellen, dass Sie keine Kontrolle über die privaten Daten eines Geräts haben, das einem Benutzer gehört und das er zur Arbeit mitbringt. Welche Aktivierungsarten Ihr Unternehmen verwenden kann, ist abhängig von den Gerätetypen, die Sie verwalten, und den Lizenzen, die Sie erworben haben.

Weitere Informationen über die Aktivierung von Geräten und Aktivierungsarten finden Sie in der Dokumentation für Administratoren. Datenflüsse zur Aktivierung finden Sie im Abschnitt Architektur.

3


21

http://help.blackberry.com/detectLang/bes12/12.4/administration/


http://help.blackberry.com/detectLang/bes12/12.4/architecture/

Wie geschäftliche Bereiche geschäftliche Apps und Daten schützenIn Abhängigkeit der von Ihnen gewählten Aktivierungsart kann ein geschäftlicher Bereich auf dem Gerät erstellt werden. Ein solcher Bereich ist ein getrennter Bereich des Geräts, der die Abtrennung und die Verwaltung verschiedener Arten von Daten, Apps und Netzwerkverbindungen ermöglicht. Die verschiedenen Bereiche können unterschiedlichen Regeln für Datenspeicherung, App-Berechtigungen und Netzwerkrouting unterliegen. Geräte mit einem geschäftlichen Bereich und einem persönlichen Bereich ermöglichen Ihrem Unternehmen eine strengere Kontrollen über geschäftliche Apps und Daten; zugleich behalten die Benutzer die Kontrolle über persönliche Daten und Apps.

BES12 unterstützt mehrere Optionen für geschäftliche Bereiche:

• BlackBerry Balance auf BlackBerry 10-Geräten

• Secure Work Space auf iOS- und Android-Geräten

• Android for Work auf Android-Geräten

• Samsung KNOX Workspace auf Samsung-Geräten

Weitere Informationen zum Schutz Ihrer Apps und Daten durch Android for Work finden Sie unter https://www.google.com/work/android/.

Weitere Informationen zum Schutz Ihrer Apps und Daten durch Samsung KNOX Workspace finden Sie unter https://www.samsungknox.com/en/products/knox-workspace/technical.

Geschäftlicher Bereich auf BlackBerry 10-GerätenAlle BlackBerry 10-Geräte, die mit BES12 aktiviert werden, haben einen geschäftlichen Bereich. Wenn Sie BlackBerry 10-Geräte aktivieren, haben Sie die Wahl zwischen drei Aktivierungsarten für die Erstellung verschiedener Verwaltungsoptionen für den geschäftlichen Bereich:

• Geschäftlich und persönlich – Unternehmen

• Geschäftlich und persönlich – Reguliert

• Nur geschäftlicher Bereich

Sichern von BlackBerry Balance-GerätenSie können BlackBerry 10-Geräte mithilfe des Aktivierungstyps "Geschäftlich und persönlich – Unternehmen“ aktivieren, um Benutzern BlackBerry Balance-Geräte zur Verfügung zu stellen. Die Geräte verfügen über einen persönlichen und einen geschäftlichen Bereich, und Sie können lediglich den geschäftlichen Bereich steuern. Ihr Unternehmen kann die BlackBerry Balance-Technologie verwenden, sodass Benutzer ihre Geräte sowohl geschäftlich als auch privat nutzen können. Sie könnten Benutzern beispielsweise gestatten, private Geräte auf BES12 zu aktivieren oder Geräte zu verwenden, die Ihr Unternehmen für den persönlichen Gebrauch zur Verfügung stellt.


22

https://www.google.com/work/android/

https://www.google.com/work/android/



BES12-Sicherheitsfunktionen und BlackBerry Balance können überprüfen, wie Geräte die Inhalte und Ressourcen (Daten, Apps und Netzwerkverbindungen) Ihres Unternehmens schützen, und ermöglichen, dass Geräte die geschäftlichen Daten und Apps anders als persönliche Daten und Apps behandeln. Diese Funktionen und Optionen haben folgende Vorteile:

• Ihr Unternehmen kann den Zugriff auf geschäftliche Apps und Daten auf den Geräten überwachen.

• Die Daten Ihres Unternehmens sind geschützt.

• Benutzer können über einige Kernanwendungen geschlossen auf persönliche und geschäftliche Daten zugreifen.

• Sie können Apps, die Ihr Unternehmen als geschäftliche Apps verfügbar machen will, verwalten und überwachen.

• Sie können die Apps und Daten Ihres Unternehmens von persönlichen Geräten löschen, wenn Benutzer Ihr Unternehmen verlassen.

• Sie können Netzwerkverbindungen für geschäftliche und persönliche Apps überwachen.

Sichern von regulierten BlackBerry Balance-GerätenSie können BlackBerry 10-Geräte mithilfe der Aktivierungsart "Geschäftlich und persönlich – Reguliert" aktivieren, um Benutzern regulierte BlackBerry Balance-Geräte zur Verfügung zu stellen. Die Geräte verfügen über einen persönlichen und einen geschäftlichen Bereich, und Sie können beide Bereiche kontrollieren. Ihr Unternehmen kann die BlackBerry Balance-Technologie verwenden, damit Benutzer Geräte sowohl für den geschäftlichen als auch den persönlichen Bereich nutzen können und Ihrem Unternehmen trotzdem Kontrolle über Gerätefunktionen geben.

BES12-Sicherheitsfunktionen und das regulierte BlackBerry Balance können steuern, wie Geräte die Inhalte und Ressourcen (Daten, Apps und Netzwerkverbindungen) Ihres Unternehmens schützen und Geräten erlauben, die Daten und Apps Ihres Unternehmens anders als persönliche Daten und Apps zu behandeln.

Regulierte BlackBerry Balance-Geräte behandeln geschäftliche und persönliche Daten genauso wie BlackBerry Balance-Geräte. Alles, was Sie zur Verwaltung von BlackBerry Balance-Geräten tun können, einschließlich der Verwendung von IT-Richtlinienregeln, ist auch mit regulierten BlackBerry Balance-Geräten möglich. Regulierte BlackBerry Balance-Geräte bieten Ihnen jedoch zusätzliche Verwaltungsoptionen, einschließlich:

• Gerätefunktionen deaktivieren, auch wenn sich Benutzer im persönlichen Bereich aufhalten

• Verhindern, dass Benutzer persönliche Konten auf dem Gerät haben

• Kommunikationswege für Telefonanrufe, SMS und BBM blockieren

• Kommunikationswege wie z. B. Wi-Fi ,Bluetooth und NFC blockieren

• Erweiterten Schutz für Daten im Ruhezustand für Daten des geschäftlichen Bereichs verwenden

Benutzer mit regulierten BlackBerry Balance-Geräten sollten sich bewusst sein, dass Ihr Unternehmen persönliche Daten auf ihren Geräten überprüfen kann. Wenn ein Gerät mithilfe der Aktivierungsart "Geschäftlich und persönlich – Reguliert" aktiviert wird, wird dem Benutzer ein allgemeiner Haftungsausschluss angezeigt, der angibt, dass das Gerät von Ihrem Unternehmen verwaltet wird und der Benutzer den Haftungsausschluss akzeptieren muss, um mit der Aktivierung fortzufahren. Sie können einen zusätzlichen Hinweis konfigurieren, der die Geschäftsbedingungen darlegt, denen Benutzer folgen müssen, um die Sicherheitsanforderungen Ihres Unternehmens zu erfüllen. Für regulierte BlackBerry Balance-Geräte, auf denen BlackBerry 10 OS Version 10.3.1 und höher ausgeführt wird, können Sie in der IT-Richtlinie festlegen, ob ein Gerät den Organisationshinweis jedes Mal, wenn ein Benutzer das Gerät neu startet, anzeigen soll.


23

Sichern von Geräten, die nur über einen geschäftlichen Bereich verfügenSie können BlackBerry 10-Geräte mithilfe der Aktivierungsart "Nur geschäftlicher Bereich" aktivieren, um Benutzern Geräte, die nur über einen geschäftlichen Bereich verfügen, zur Verfügung zu stellen. Diese Geräte verfügen nur über einen Bereich, der als geschäftlicher Bereich gilt und sicher ist. Alle Daten und Apps auf diesen Geräten werden als geschäftliche Ressourcen klassifiziert. Sie können Geräte, die nur über einen geschäftlichen Bereich verfügen, aktivieren, wenn Benutzer Geräte fast ausschließlich für geschäftliche Zwecke verwenden werden, oder wenn in Ihrem Unternehmen besonders vertrauliche Positionen besetzt sind, die die vollständige Verwaltung von Geräten erfordern.

Durch diese Aktivierungsoption haben Sie die vollständige Kontrolle über Geräte und können:

• Alle Apps und Dienste auf Geräten zulassen

• Steuerung von Gerätemerkmalen, wie z. B. Kamera oder GPS

• Blockieren von Kommunikationspfaden, wie Wi-Fi oder Bluetooth

• Steuern, welche Apps die Benutzer herunterladen können

• Verhindern des Zugriffs auf persönliche E-Mail-Nachrichtendienste

• Erweiterten Schutz für Daten im Ruhezustand für Daten des geschäftlichen Bereichs verwenden

Der Kennwortschutz auf Geräten, die nur über einen persönlichen Bereich verfügen, ist nicht optional. Um Geschäftsdaten auf diesen Geräten zu sichern, müssen Benutzer bei der Aktivierung ein Gerätekennwort festlegen.

Benutzer mit Geräten, die nur über einen geschäftlichen Bereich verfügen, sollten sich bewusst sein, dass Ihr Unternehmen alle Daten auf ihren Geräten überprüfen kann, auch wenn sie ihre Geräte für persönliche Zwecke nutzen. Wenn ein Gerät mithilfe der Aktivierungsart "Nur geschäftlicher Bereich" aktiviert wird, wird dem Benutzer ein allgemeiner Haftungsausschluss angezeigt, der angibt, dass das Gerät vollständig von Ihrem Unternehmen verwaltet wird, und der Benutzer muss den Haftungsausschluss akzeptieren, um mit der Aktivierung fortzufahren. Sie können einen zusätzlichen Hinweis konfigurieren, der die Geschäftsbedingungen darlegt, denen Benutzer folgen müssen, um die Sicherheitsanforderungen Ihres Unternehmens zu erfüllen. Für Geräte, die nur über einen geschäftlichen Bereich verfügen, auf denen BlackBerry 10 OS Version 10.3.1 und höher ausgeführt wird, können Sie in der IT-Richtlinie festlegen, ob ein Gerät den Unternehmenshinweis jedes Mal, wenn ein Benutzer das Gerät neu startet, anzeigen soll.

Wenn ein Gerät über einen persönlichen oder geschäftlichen Bereich verfügt, bevor Sie es aktivieren, wird dieser während des Aktivierungsprozesses gelöscht und alle Daten, Apps oder Netzwerkverbindungen, die das Gerät vor der Aktivierung genutzt hat, werden entfernt. Weitere Informationen finden Sie in der Dokumentation für Administratoren.

Wie Apps und Daten auf BlackBerry Balance-Geräten klassifiziert werdenBlackBerry Balance-Geräte und regulierte BlackBerry Balance-Geräte können zwischen Daten für den geschäftlichen Gebrauch und Daten für den Privatgebrauch unterscheiden. Die Geräte klassifizieren Daten abhängig von der Datenquelle in geschäftliche und persönliche Daten, und diese Klassifizierungen bestimmen, wie die Daten auf den Geräten gespeichert, geschützt und verarbeitet werden. Geschäftliche Daten sind alle Daten, die von Apps im geschäftlichen Bereich verwaltet werden, und persönliche Daten sind alle Daten, die von Apps im persönlichen Bereich verwaltet werden. Zum Beispiel werden Daten aus einem geschäftlichen Konto im geschäftlichen Bereich auf dem Gerät gespeichert, und Daten aus einem persönlichen Konto werden im persönlichen Bereich auf dem Gerät gespeichert. Nachdem Daten von einem Gerät als


24


geschäftliche Daten oder persönliche Daten klassifiziert wurden, können persönliche Daten nicht zu geschäftlichen Daten umklassifiziert werden und geschäftliche Daten nicht zu persönlichen Daten umklassifiziert werden.

Alle Daten und Apps auf Geräten, die nur über einen geschäftlichen Bereich verfügen, werden als geschäftliche Ressourcen klassifiziert, auch wenn Benutzer die Geräte für persönliche Angelegenheiten nutzen, wie dem Besuch persönlicher Webseiten oder dem Empfang persönlicher E-Mails.

Die folgende Tabelle beschreibt die einzelnen App-Klassifizierungen für Geräte mit einem persönlichen Bereich und führt Beispiele für Apps an, die zu der jeweiligen App-Klassifizierung gehören:

Beschreibung Apps

Apps, die nur im geschäftlichen Bereich verfügbar sind und nur geschäftliche Daten anzeigen

• BlackBerry World for Work

• Beliebige Apps, die Benutzer aus BlackBerry World for Work herunterladen

Apps, die nur im persönlichen Bereich verfügbar sind und nur persönliche Daten anzeigen

• BBM, BBM Video, SMS-Textnachrichten und visuelle Sprachnachrichten (mit Zugriff auf geschäftliche Kontakte, falls nicht durch die IT-Richtlinienregel "Persönliche Apps können auf geschäftliche Kontakte zugreifen" verhindert)

• BlackBerry World

• Benutzer-Apps für Instant Messaging

• Beliebige Apps, die Benutzer aus BlackBerry World herunterladen (einschließlich BlackBerry Runtime für Android-Apps)

Apps, die sowohl in geschäftlichen als auch in persönlichen Bereichen verfügbar sind, und die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen

Diese Apps klassifizieren die Daten, die sie nutzen, abhängig von der Datenquelle entweder als geschäftliche oder persönliche Daten und verwalten jeden Datentyp innerhalb des Bereichs, zu dem er gehört.

Diese Apps verwalten geschäftliche Daten innerhalb der Beschränkungen des geschäftlichen Dateisystems, der geschäftlichen Richtlinien, Berechtigungen und Regelungen, um sicherzustellen, dass die Daten innerhalb des geschäftlichen Bereichs sicher sind und die Daten nicht für Benutzer verfügbar sind, wenn der geschäftliche Bereich gesperrt ist. Diese Apps werden streng kontrolliert und sind auf Kernanwendungen begrenzt, die ausschließlich von BlackBerry entwickelt werden.

• BlackBerry Remember

• BlackBerry Hub

• Kalendar

• Kontakte


25

Beschreibung Apps

Apps, die eine Instanz im geschäftlichen Bereich und eine separate Instanz im persönlichen Bereich haben

Diese App-Instanzen laufen sowohl in den geschäftlichen als auch den persönlichen Bereichen eines Geräts unabhängig voneinander. Zum Beispiel kann die Documents To Go-App, die sich im geschäftlichen Bereich befindet, nur Dateien verwalten, die sich im geschäftlichen Bereich befinden, und das BlackBerry 10 OS sorgt dafür, dass diese App nicht mit Dateien, die sich im persönlichen Bereich befinden, interagiert.

Jede Instanz dieser Apps wird von den anderen getrennt gehalten, und jede App arbeitet gemäß den Regeln und Beschränkungen, die für den Bereich gelten, in dem sie installiert ist. Zum Beispiel zeigt die Dateiverwaltung-App nur geschäftliche Apps an, wenn ein Benutzer die App im geschäftlichen Bereich öffnet, und nur persönliche Dateien, wenn der Benutzer die App im persönlichen Bereich öffnet.

• Adobe Reader

• Browser

• Documents To Go

• Dateiverwaltung

• Hilfe

• Bilder

Regeln des Zugriffs auf InhalteBlackBerry Balance- und regulierte BlackBerry Balance-Geräte regeln wie folgt, was Benutzer mit geschäftlichen und persönlichen Inhalten tun können:

• Die Geräte lassen nicht zu, dass Benutzer Dateien aus dem persönlichen Bereich in den geschäftlichen Bereich verschieben oder aus dem geschäftlichen Bereich in den persönlichen Bereich verschieben.

• Die Geräte lassen nicht zu, dass Benutzer Text aus dem geschäftlichen Bereich ausschneiden, kopieren oder in Apps des persönlichen Bereichs einfügen. Die Geräte lassen zu, dass Benutzer Text aus Apps des persönlichen Bereichs in Apps des geschäftlichen Bereichs einfügen. Die Geräte speichern Daten, die Benutzer aus Apps des geschäftlichen Bereichs kopieren, nur im geschäftlichen Bereich, und Daten, die Benutzer aus Apps des persönlichen Bereichs kopieren, nur im persönlichen Bereich.

• Apps, die sowohl in geschäftlichen als auch in persönlichen Bereichen einheitlich angezeigt werden, können persönliche Dateien an die geschäftliche Anlage der App anhängen. Zum Beispiel können Benutzer persönliche Dateien an geschäftliche E-Mail-Nachrichten anhängen. Die Geräte verwenden schreibgeschützte Versionen dieser Dateien und übertragen oder kopieren diese Dateien nicht aus dem persönlichen Dateisystem in das geschäftliche Dateisystem.

Standardmäßig können geschäftliche Apps auf freigegebene Dateien im persönlichen Bereich zugreifen, insofern der Benutzer dies erlaubt. Wenn ein Benutzer eine geschäftliche App installiert, zeigt das Gerät eine Meldung mit den Optionen an, die Anfrage der App für den Zugriff auf freigegebene Dateien oder Inhalte entweder zuzulassen oder abzulehnen. Wenn Sie verhindern möchten, dass geschäftliche Apps auf freigegebene persönliche Dateien zugreifen, stellen Sie sicher, dass die IT-Richtlinienregel "Zulassen, dass geschäftliche Apps auf freigegebene Dateien oder Inhalte in den persönlichen Bereichen


26

zugreifen" nicht ausgewählt ist. Dadurch wird verhindert, dass geschäftliche Apps auf freigegebene Dateien oder Inhalte im persönlichen Bereich zugreifen, unabhängig von den Benutzereinstellungen des Geräts. Dadurch wird ebenfalls verhindert, dass Benutzer persönliche Dateien an Nachrichten anhängen, die sie von einem geschäftlichen Konto senden, und dass persönliche Dateien oder Inhalte mit geschäftlichen Apps unter Verwendung der Option "Teilen" geteilt werden.

Standardmäßig können alle Apps im persönlichen Bereich auf die erforderlichen Daten für geschäftliche Kontakte zugreifen. Benutzer können außerdem die Optionen "Kopieren nach" und "Speichern in" für geschäftliche Kontakte in der Kontakte-App verwenden.

Sie können die Einstellungen der IT-Richtlinienregeln ändern, um Folgendes zu bewirken:

• Verhindern, dass alle persönlichen Anwendungen jederzeit auf Daten für geschäftliche Kontakte zugreifen können, indem Sie die IT-Richtlinienregel "Persönliche Apps können auf geschäftliche Kontakte zugreifen" auf "Keine" einstellen.

• Um nur den folgenden von BlackBerry entwickelten persönlichen Apps zu erlauben, auf Daten für Geschäftskontakte zuzugreifen. Setzen Sie dazu die IT-Richtlinienregel "Persönlichen Apps Zugriff auf Geschäftskontakte gewähren" auf "Nur BlackBerry-Apps": Telefon, BBM (einschließlich BBM Video und BBM Voice), Textnachrichten, Smart Tags und visuelle Mailbox.

• So verhindern Sie, dass Benutzer während eines BBM Video-Chat den Bildschirminhalt mit anderen BBM Video-Chat-Teilnehmern teilen. Wenn Sie Benutzern das Teilen des Bildschirminhalts im geschäftlichen Bereich im BBM Video-Chat nicht erlauben, sperrt ein Gerät den geschäftlichen Bereich, wenn ein Benutzer den Bildschirm während eines BBM Video-Chats freigibt. Der Benutzer kann den geschäftlichen Bereich erst dann entsperren, wenn der Vorgang der Bildschirmfreigabe des BBM Video-Chats vollständig beendet wurde.

Secure Work Space für iOS- und Android-GeräteSecure Work Space erstellt einen geschäftlichen Bereich auf iOS- und Android-Geräten, wenn ein Gerät in BES12 aktiviert wird. Der geschäftliche Bereich ist ein getrennter Bereich des Geräts für geschäftliche Ressourcen, wo Benutzer Dokumente erstellen, bearbeiten und speichern können. Der geschäftliche Bereich speichert auch Konfigurationsangaben vom Server und damit verbundene Informationen, zum Beispiel Microsoft Active Directory-Anmeldeinformationen und -Profile.


27

Die Sicherheitsfunktionen von BES12 und Secure Work Space steuern, wie Geräte die Daten Ihres Unternehmens, Apps und Netzwerkverbindungen schützen, und erzwingen, dass Daten und Apps Ihres Unternehmens auf Geräten anders als persönliche Daten und Apps behandelt werden. Das heißt, Sie können Folgendes durchführen:

• Ermöglichen Sie es Ihrem Unternehmen, Informationen zu kontrollieren, auch wenn diese auf Geräten gespeichert sind, die Eigentum von Mitarbeitern sind und von ihnen zur Arbeit mitgebracht werden.

• Steuern des Zugriffs auf die Daten und Apps Ihres Unternehmens auf Geräten

• Verhindern, dass die Sicherheit von Daten beeinträchtigt wird

• Installieren und Verwalten der Daten und Apps Ihres Unternehmens auf Geräten

• Bei Bedarf Löschen der Daten Ihres Unternehmens von Geräten

• Steuern von Netzwerkverbindungen, die von geschäftlichen und persönlichen Apps verwendet werden

• Ermöglichen Sie es Ihrem Unternehmen, Informationen zu kontrollieren, auch wenn diese auf Geräten gespeichert sind, die Eigentum von Mitarbeitern sind und von ihnen zur Arbeit mitgebracht werden.

Verwandte InformationenSicherheitsfunktionen für Geräte mit Secure Work Space, auf Seite 17

Erstellen von geschäftlichen Bereichen auf Geräten mit Secure Work SpaceZum Erstellen eines geschäftlichen Bereichs auf einem Gerät mit Secure Work Space aktivieren Sie das Gerät in BES12 entweder über die Aktivierungsart "Geschäftlich und persönlich – volle Kontrolle (Secure Work Space)" oder "Geschäftlich und persönlich – Privatsphäre des Benutzers (Secure Work Space)". Während des Aktivierungsvorgangs verschlüsselt das Gerät den geschäftlichen Bereich.

Geräte mit Secure Work Space machen es während des Aktivierungsprozesses erforderlich, dass die Benutzer ein Kennwort für den geschäftlichen Bereich festlegen. Das Kennwort für den geschäftlichen Bereich dient dem Schutz von Daten des geschäftlichen Bereichs und gesicherter Apps. Sie können IT-Richtlinienregeln zur Kontrolle von Kennwortanforderungen wie Komplexität und Länge verwenden.

Nachdem ein Gerät in BES12 aktiviert wurde, sind auf dem Gerät weiterhin ein persönlicher Bereich sowie alle Daten, Apps oder Netzwerkverbindungen des Benutzers vorhanden, die der Benutzer verwendet hat, bevor das Gerät aktiviert wurde. Benutzer können ihre Geräte für Zwecke verwenden, welche die Sicherheitsrichtlinien des Unternehmens ansonsten nicht erlauben, zum Beispiel das Herunterladen von Videos, das Spielen von Multiplayer-Spielen im Internet oder das Hochladen von privaten Fotos und Facebook-Einträgen, ohne die auf dem Gerät gespeicherten geschäftlichen Daten sichtbar zu machen.

Schutz der Daten durch VerschlüsselungBES12 hilft beim Schutz von Daten auf Geräten durch Verschlüsselung.

BlackBerry 10-Geräte verschlüsseln die Dateien, die im geschäftlichen Bereich gespeichert sind. Sie können IT-Richtlinienregeln benutzen, um das Verschlüsseln aller Daten auf den Geräten, einschließlich aller Daten im persönlichen Bereich und auf Medienkarten, zu erzwingen.


28

Secure Work Space verschlüsselt alle Daten im geschäftlichen Bereich. Android-Geräte mit Secure Work Space verschlüsseln auch alle Daten des geschäftlichen Bereichs auf der Medienkarte.

In Abhängigkeit von der Aktivierungsart können Sie IT-Richtlinienregeln benutzen, um das Verschlüsseln aller Daten auf den Android-Geräten, einschließlich aller Daten im persönlichen Bereich und auf Medienkarten, zu erzwingen.

Weitere Informationen zur Datenverschlüsselung für Android for Work finden Sie unter https://support.google.com/work/android.

Weitere Informationen zur Datenverschlüsselung für Samsung KNOX Workspace finden Sie unter https://www.samsungknox.com/en/products/knox-workspace/technical.

Weitere Informationen zur Datenverschlüsselung für iOS finden Sie unter https://www.apple.com/business/docs/iOS_Security_Guide.pdf.

Verschlüsseln von Daten auf BlackBerry 10-GerätenBlackBerry 10-Geräte schützen durch Verschlüsselung die folgenden Datentypen. Nur die Inhalte von Dateien werden verschlüsselt; die Dateien selbst und die Verzeichnisnamen werden nicht verschlüsselt.

Datentyp Beschreibung

Daten im geschäftlichen Bereich

Geräte schützen Geschäftsdaten durch die Verschlüsselung der im geschäftlichen Bereich gespeicherten Dateien. Die Verschlüsselung des geschäftlichen Bereichs ist nicht optional.

Daten im persönlichen Bereich Geräte mit einem persönlichen Bereich können persönliche Daten durch die Verschlüsselung der im persönlichen Bereich gespeicherten Dateien schützen.

Die Verschlüsselung des persönlichen Bereichs ist optional. Sie können die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" verwenden, um die Verschlüsselung für den persönlichen Bereich auf einem Gerät zu aktivieren.

Benutzer können die Verschlüsselung persönlicher Daten auch mittels der Option "Geräteverschlüsselung" in den "Sicherheit und Datenschutz"-Einstellungen auf einem Gerät aktivieren.

Medienkartendaten Geräte können Medienkartendaten durch die Verschlüsselung der auf Medienkarten gespeicherten Dateien schützen:

• Standardmäßig erlauben es Geräte mit einem persönlichen Bereich Benutzern nur persönliche Daten auf Medienkarten zu speichern, und diese Daten werden in einem unverschlüsselten Format gespeichert.

• Standardmäßig erlauben es Geräte, die nur über einen geschäftlichen Bereich verfügen, Benutzern, Daten auf Medienkarten zu speichern, und diese Daten werden in einem unverschlüsselten Format gespeichert.


29

https://support.google.com/work/android

https://support.google.com/work/android



https://www.apple.com/business/docs/iOS_Security_Guide.pdf

https://www.apple.com/business/docs/iOS_Security_Guide.pdf

Datentyp Beschreibung

Die Medienkartenverschlüsselung ist optional. Sie können die IT-Richtlinienregel "Medienkartenverschlüsselung erzwingen" verwenden, um die Medienkartenverschlüsselung zu aktivieren. Es wird dringend empfohlen, auf Geräten, die nur über einen geschäftlichen Bereich verfügen, die Medienkartenverschlüsselung mithilfe der IT-Richtlinienregel "Medienkartenverschlüsselung erzwingen" zu aktivieren, da Benutzer Geschäftsdaten standardmäßig in unverschlüsseltem Format speichern können.

Benutzer können die Medienkartenverschlüsselung auch mittels der Option "Medienkartenverschlüsselung" in den "Sicherheit und Datenschutz"-Einstellungen auf einem Gerät aktivieren.

Die Medienkarte wird deaktiviert, wenn ein anderes Gerät die Daten auf ihr verschlüsselt hat. Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen geschäftlichen Bereich verfügen, ist die Medienkartenverschlüsselung nur erlaubt, wenn die IT-Richtlinienregel "Medienkarte zulassen" ausgewählt ist.

Wie BlackBerry 10-Geräte geschäftliche Daten schützenBei der Verschlüsselung des geschäftlichen Bereichs für BlackBerry 10-Geräte werden Daten, die im geschäftlichen Dateisystem gespeichert sind, unter Verwendung von XTS-AES-256 verschlüsselt. Bei Geräten, die nur über einen geschäftlichen Bereich verfügen, werden alle Daten unter Verwendung von XTS-AES-256 verschlüsselt.

Ein Gerät erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte einer Datei zu verschlüsseln. Die Dateiverschlüsselungsschlüssel werden von einem hierarchischen Verschlüsselungsschlüssel-System wie folgt geschützt:

• Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem geschäftlichen Domänenschlüssel und speichert den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.

• Der geschäftliche Domänenschlüssel ist ein zufällig erstellter Schlüssel, der in den Metadaten des Dateisystems gespeichert und unter Verwendung des geschäftlichen Hauptschlüssels verschlüsselt wird.

• Der geschäftliche Hauptschlüssel wird ebenfalls zufällig erstellt. Der geschäftliche Hauptschlüssel wird im NVRAM auf dem Gerät gespeichert und mit dem Systemhauptschlüssel verschlüsselt.

• Der Systemhauptschlüssel wird im Replay-geschützten Speicherblock (RPMB, Replay Protected Memory Block) auf dem Gerät gespeichert.

• Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors in den Prozessor integriert wird.

Die Dateiverschlüsselungsschlüssel, der geschäftliche Domänenschlüssel, der geschäftliche Hauptschlüssel und der Systemhauptschlüssel werden mithilfe von BlackBerry OS Cryptographic Kernel erstellt, der für das BlackBerry 10 OS die FIPS 140-2-Zertifizierung erhalten hat.


30

Wie BlackBerry 10-Geräte persönliche Daten schützenBei der Verschlüsselung des persönlichen Bereichs für BlackBerry 10-Geräte werden Dateien, die im persönlichen Dateisystem gespeichert sind, unter Verwendung von XTS-AES-256 verschlüsselt. Ein Gerät erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte einer Datei zu verschlüsseln. Die Dateiverschlüsselungsschlüssel werden von einem hierarchischen Verschlüsselungsschlüssel-System wie folgt geschützt:

• Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem persönlichen Domänenschlüssel und speichert den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.

• Der persönliche Domänenschlüssel ist ein zufällig erstellter Schlüssel, der in den Metadaten des Dateisystems gespeichert und unter Verwendung des persönlichen Hauptschlüssels verschlüsselt wird.

• Der persönliche Hauptschlüssel wird ebenfalls zufällig erstellt. Der persönliche Hauptschlüssel wird im NVRAM auf dem Gerät gespeichert und mit dem Systemhauptschlüssel verschlüsselt.

• Der Systemhauptschlüssel wird im Replay-geschützten Speicherblock (RPMB, Replay Protected Memory Block) auf dem Gerät gespeichert.


Wenn die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" ausgewählt wird, wählen Sie auch die IT-Richtlinienregel "Kennwort für das gesamte Gerät anfordern", sodass das Kennwort für den geschäftlichen Bereich für das gesamte Gerät gilt. Wenn die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" nicht ausgewählt wird und der Benutzer die Verschlüsselung für den persönlichen Bereich aktivieren möchte, wird der Benutzer aufgefordert, ein neues Kennwort einzugeben, insofern das Gerät nicht bereits ein Kennwort hat.

Die Geräte können ebenfalls alle Dateien verschlüsseln, die auf in den Geräten steckenden Medienkarten gespeichert sind. Benutzer können ausschließlich persönliche Daten auf den Medienkarten speichern.

Die Dateiverschlüsselungsschlüssel, der persönliche Domänenschlüssel, der persönliche Hauptschlüssel und der Systemhauptschlüssel werden mithilfe von BlackBerry OS Cryptographic Kernel erstellt, der für das BlackBerry 10 OS die FIPS 140-2-Zertifizierung erhalten hat.

Wie Daten auf Medienkarten von BlackBerry 10-Geräten geschützt werdenDie Medienkartenverschlüsselung verschlüsselt auf Medienkarten in BlackBerry 10-Geräten gespeicherte Dateien. Ein Gerät erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte von Dateien auf der Medienkarte zu verschlüsseln. Der Schlüssel für die Verschlüsselung wird wie folgt geschützt:

• Das Gerät verknüpft die persönliche Domäne mit einem nach dem Zufallsprinzip generierten Schlüssel und erzeugt einen Hashwert zum Erstellen eines Schlüssels für die Medienkarte. Wenn das Gerät nur über einen geschäftlichen Bereich verfügt oder wenn die Verschlüsselung für den persönlichen Bereich nicht eingeschaltet wurde, generiert das Gerät zunächst einen Domänenschlüssel für den persönlichen Bereich.

• Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem Schlüssel der Medienkarte und speichert den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei.


31

• Ein Hashwert des Medienkartenschlüssels wird auf dem Gerät im Replay-geschützten Speicherblock gespeichert, damit der Medienkartenschlüssel überprüft werden kann.


Auf BlackBerry Balance-Geräten können nur persönliche Daten auf Medienkarten gespeichert werden. Die Medienkartenverschlüsselung ist optional. Sie können die Medienkartenverschlüsselung in der IT-Richtlinie erzwingen. Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, wird die Einrichtung der Medienkartenverschlüsselung dringend empfohlen, da Benutzer geschäftliche Daten auf Medienkarten speichern können. Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen geschäftlichen Bereich verfügen, können Sie den Einsatz von Medienkarten auch in der IT-Richtlinie verbieten. Benutzer können die Medienkartenverschlüsselung auch in den Geräteeinstellungen einschalten.

Der Verschlüsselungsschlüssel der Medienkartenverschlüsselung wird vom kryptografischen Kernel des BlackBerryOS generiert, welcher in BlackBerry 10 OS nach FIPS 140-2 zertifiziert ist.

Erweiterter Schutz von Daten im Ruhezustand auf BlackBerry 10-GerätenErweiterter Schutz von Daten im Ruhezustand ist ein Verschlüsselungsmodell für Daten im Ruhezustand, das Sie verwenden können, um Daten im geschäftlichen Bereich auf gesperrten regulierten BlackBerry Balance-Geräten und Geräten, auf denen BlackBerry 10 OS Version 10.3.1 und höher ausgeführt wird und die nur über einen geschäftlichen Bereich verfügen, zu schützen. Es hilft bei der Sicherung vertraulicher Daten durch die Beschränkung des Zugriffs auf bestimmte Dateien im geschäftlichen Bereich des Geräts, wenn der geschäftliche Bereich gesperrt ist. Wenn der geschäftliche Bereich gesperrt ist, können nur Apps, die speziell dafür entwickelt wurden, erweiterten Schutz von Daten im Ruhezustand zu unterstützen, weiter im geschäftlichen Bereich ausgeführt werden, und sie sind darauf beschränkt, nur auf bestimmte Teile des Dateisystems des geschäftlichen Bereichs zuzugreifen.

Zusätzlich zur Einschränkung des Zugriffs auf vertrauliche Daten bei gesperrtem geschäftlichen Bereich verschlüsselt der erweiterte Schutz von Daten im Ruhezustand auch Daten, die das Gerät empfängt, wenn der geschäftliche Bereich gesperrt ist. Sowohl die Daten, die im geschäftlichen Bereich auf Geräten gespeichert sind, als auch Geschäftsdaten, die gesperrte Geräte empfangen, werden verschlüsselt. Die Domänenschlüssel für die Verschlüsselung von Dateien des geschäftlichen Bereichs werden ebenfalls verschlüsselt. Die Dateien werden mithilfe von Schlüsseln verschlüsselt, die an Informationen gebunden sind, die nicht auf dem Gerät gespeichert sind, wie z. B. das Kennwort für den geschäftlichen Bereich oder die Smartcard eines Benutzers.

Erweiterter Schutz von Daten im Ruhezustand stellt verschiedene Domänen für die Speicherung der folgenden Datenklassifizierungen bereit:

Domänenname Beschreibung

Gesperrt Diese Domäne speichert vertrauliche Daten. Die Daten in dieser Domäne sind verschlüsselt und können nur aufgerufen werden, während der geschäftliche Bereich nicht gesperrt ist. Der Domänenschlüssel kann nur entschlüsselt werden, nachdem der Benutzer den geschäftlichen Bereich entsperrt hat.

Betriebsbereit Diese Domäne speichert vertrauliche Daten, die verfügbar sein müssen, wenn der geschäftliche Bereich gesperrt oder nicht gesperrt ist. Wenn das Gerät zum ersten Mal


32

Domänenname Beschreibung

gestartet wurde oder neu gestartet wurde, sind die Daten nicht verfügbar, bis der Benutzer den geschäftlichen Bereich entsperrt. Die Daten sind dann verfügbar, bis das Gerät ausgeschaltet oder neu gestartet wird. Der Domänenschlüssel kann nur entschlüsselt werden, nachdem der Benutzer den geschäftlichen Bereich zum ersten Mal nach dem Start des Geräts entsperrt hat.

Start Diese Domäne speichert Daten, die verschlüsselt werden müssen, aber während des Starts verfügbar sein müssen, ohne dass der Benutzer den geschäftlichen Bereich zuerst entsperren muss. Alle Daten, die für den Gerätestart erforderlich sind oder verfügbar sein müssen, bevor der Benutzer den geschäftlichen Bereich entsperrt, müssen in dieser Domäne gespeichert werden. Der Domänenschlüssel kann abgerufen und entschlüsselt werden, ohne dass der Benutzer den geschäftlichen Bereich zuerst entsperren muss.

Wenn die IT-Richtlinienregel "Zeitüberschreitung des erweiterten Schutzes von Daten im Ruhezustand" auf einen Wert größer als 0 gesetzt wird, kann auf die Daten in der Sperrdomäne normal zugegriffen werden, bis der erweiterte Schutz von Daten im Ruhezustand ausgeschaltet wird.

Sie können den erweiterten Schutz von Daten im Ruhezustand auf regulierten BlackBerry Balance-Geräten und auf Geräten, die nur über einen geschäftlichen Bereich verfügen, verwenden. Auf regulierten BlackBerry Balance-Geräten beeinträchtigt der erweiterte Schutz von Daten im Ruhezustand persönliche Apps nicht. Sie werden weiterhin ausgeführt und können normal auf das persönliche Dateisystem des Geräts zugreifen.

Erweiterten Schutz von Daten im Ruhezustand verwaltenSie können die IT-Richtlinienregel "erweiterten Schutz von Daten im Ruhezustand erzwingen" verwenden, um den erweiterten Schutz von Daten im Ruhezustand auf Geräten zu aktivieren. Benutzer können den erweiterten Schutz von Daten im Ruhezustand auf ihren Geräten nicht aktivieren bzw. deaktivieren.

Möglicherweise möchten Sie nicht, dass der erweiterte Schutz von Daten im Ruhezustand aktiviert wird, sobald der geschäftliche Bereich gesperrt wird, und Sie würden bevorzugen, dass es zwischen der Sperrung des geschäftlichen Bereichs und der Aktivierung des erweiterten Schutzes von Daten im Ruhezustand eine Verzögerung gibt. Wenn dies der Fall ist, können Sie die IT-Richtlinienregel "Zeitüberschreitung des erweiterten Schutzes von Daten im Ruhezustand" verwenden, um eine Verzögerung von bis zu 24 Stunden einzurichten. Wenn der erweiterte Schutz von Daten im Ruhezustand nicht aktiviert ist, kann auf die Daten in der Sperrdomäne normal zugegriffen werden.

Sie können verlangen, dass die Zwei-Faktor-Authentifizierung verwendet wird, um die Verschlüsselungsschlüssel für den erweiterten Schutz von Daten im Ruhezustand zu schützen, indem Sie die IT-Richtlinienregel "Zwei-Faktor-Authentifizierung für den erweiterten Schutz von Daten im Ruhezustand" verwenden. Die Zwei-Faktor-Authentifizierung schützt die Verschlüsselungsschlüssel für den erweiterten Schutz von Daten im Ruhezustand sowohl mit einem privaten Schlüssel, der auf einer Smart Card gespeichert ist, als auch mit dem Kennwort des geschäftlichen Bereichs.

Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.


33



Sie können auswählen, wo Wi-Fi- und VPN-Profile im geschäftlichen Bereich auf Geräten, die den erweiterten Schutz von Daten im Ruhezustand verwenden, gespeichert werden. Unter Verwendung der Profileinstellung "Datensicherheitsebene" in Wi-Fi- und VPN-Profilen können Sie festlegen, ob Wi-Fi- und VPN-Profile "immer verfügbar", "nach Authentifizierung verfügbar" oder "nur verfügbar, wenn der geschäftliche Bereich entsperrt wird" sein sollen. Wenn Sie festlegen, dass die Profile immer verfügbar sind, wird das Profil in der Startdomäne gespeichert und steht zur Verfügung, wenn der geschäftliche Bereich gesperrt ist. Wenn Sie festlegen, dass das Profil "nach Authentifizierung verfügbar" ist, wird das Profil in der Betriebsdomäne gespeichert und ist nach dem Entsperren des geschäftlichen Bereichs so lange verfügbar, bis das Gerät erneut gestartet wird. Wenn Sie festlegen, dass das Profil "Nur verfügbar, wenn der geschäftliche Bereich entsperrt ist", wird das Profil in der Sperrdomäne gespeichert und kann nur dann für Wi-Fi- oder VPN-Verbindungen verwendet werden, wenn der geschäftliche Bereich entsperrt ist.

Weitere Informationen über diese Profileinstellungen finden Sie in der Dokumentation für Administratoren.

Verschlüsseln von Daten in Secure Work SpaceIm geschäftlichen Bereich werden die von gesicherten Apps gespeicherten Daten mithilfe von AES-256-Verschlüsselung verschlüsselt. Der geschäftliche Bereich erzeugt zufällig einen separaten Verschlüsselungsschlüssel für jede gesicherte App und verschlüsselt die Schlüssel mit dem Kennwort des Benutzers für den geschäftlichen Bereich. Im geschäftlichen Bereich werden alle von einer gesicherten App gespeicherten Daten direkt verschlüsselt und der Schreibvorgang in Dateien erfolgt indirekt. Die Verschlüsselungsbibliotheken (OpenSSL-FIIPTS oder iOS-Crypto unter iOS und OpenSSL-FIPS unter Android OS) sind Komponenten der FIPS-zertifizierten kryptografischen Bibliothek von BlackBerry für Secure Work Space.

Gesicherte Apps können Daten nur für andere gesicherte Apps freigeben. Wenn eine gesicherte App anfordert, Daten für eine andere App freizugeben, fängt der geschäftliche Bereich die Anforderung ab und lässt zu, dass die App fortfährt, wenn beide Apps gesichert sind. Wenn keine der beiden Apps gesichert sind, lehnt der geschäftliche Bereich die Anforderung ab. Der geschäftliche Bereich erlaubt es einem Benutzer, Daten von einer gesicherten App in eine andere gesicherte App zu kopieren und einzufügen, jedoch nicht in eine geschäftliche oder persönliche App.

Bei der Verwendung des geschäftlichen Browsers werden keine Internet- oder Intranetkennwörter gespeichert. Der Cookie-Speicher wird genau wie andere Daten des geschäftlichen Bereichs durch das sichere Dateisystem geschützt.

Secure Work Space-Verschlüsselung


34


Für Android-Geräte weist das Android OS eine UID zu einer App zu, wenn die App installiert wird. Die UID ist für jede App eindeutig, es sei denn, die App fordert die Freigabe einer UID für eine andere App an. Die zwei Apps müssen in diesem Fall mit dem gleichen Zertifikat des gleichen Entwicklers signiert sein.

Jeder UID wird ein zufälliger Verschlüsselungsschlüssel zugewiesen, wenn die UID das erste Mal ausgeführt wird und die UID den Schlüssel für die Datenverschlüsselung verwendet. Diese Schlüssel werden in einem getrennten sicheren Dateisystem im geschäftlichen Bereich gespeichert, und das Dateisystem ist zwischen gesicherten Apps freigegeben. Wenn die App mit der UID zum ersten Mal ausgeführt wird, fordert sie von der Work Space Manager-App den Verschlüsselungsschlüssel an, der mit der UID verknüpft ist. Das gesamte sichere Dateisystem, mit Ausnahme des ersten Blocks, wird mithilfe von AES-256 im CBC-Modus mit 128-Bit-Blöcken verschlüsselt. Der Schlüssel zum Dateisystem wird im ersten Block gespeichert. Anschließend wird der erste Block mit einem aus dem Kennwort des geschäftlichen Bereichs abgeleiteten Schlüssel verschlüsselt.

Bei iOS-Geräten weist Secure Work Space jeder gesicherten App einen zufälligen Verschlüsselungsschlüssel zu, wenn die App zum ersten Mal ausgeführt wird. Die App verwendet den Schlüssel, um die Daten zu verschlüsseln. Diese Schlüssel werden in einem vollständig segmentierten virtuellen und sicheren Dateisystem gespeichert, das von den Apps gemeinsam benutzt wird. Die zugrunde liegende Blockstruktur des sicheren Dateisystems ist proprietär. Das virtuelle Dateisystem ist über einem NAND-ähnlichen Block mit einer virtuellen Geräteschnittstelle gelagert.

Sowohl auf Android- als auch auf iOS-Geräten ist das gesamte virtuelle Dateisystem, außer der erste Block, mithilfe von AES-256 im CBC-Modus mit 128-Bitblöcken verschlüsselt. Der Schlüssel zum virtuellen Dateisystem wird im ersten Block gespeichert. Der erste Block wird anschließend mit einem aus dem Kennwort des geschäftlichen Bereichs abgeleiteten Schlüssel verschlüsselt. Das Kennwort des geschäftlichen Bereichs wird unter Verwendung von PBKDF2 als Schlüsselableitungsfunktion mit HMAC-SHA1 abgeleitet.

Speichern von Secure Work Space-Daten auf MedienkartenBei Android-Geräten sind auf Medienkarten gespeicherte Daten im geschäftlichen Bereich Teil des sicheren Dateisystems, genau wie Daten im geschäftlichen Bereich, die auf dem Gerät selbst gespeichert werden. Die Daten auf der Medienkarte können nur entschlüsselt werden, wenn die Karte an das ursprüngliche Gerät angeschlossen wird und der Benutzer das Kennwort für den geschäftlichen Bereich eingegeben hat. Auf die Daten auf der Medienkarte kann nicht auf kryptografische Weise zugegriffen werden, wenn die Karte in ein anderes Gerät eingeführt wird, da die Verschlüsselungsschlüssel nicht verfügbar sind.

Verwalten von Apps auf GerätenSie können BES12 verwenden, um Apps, die Ihr Unternehmen auf Geräten verfügbar machen will, zu verwalten und zu überwachen. Sie können die auf Geräten erforderlichen Apps und Maßnahmen in den Kompatibilitätsprofilen festlegen, die ausgeführt werden, wenn der Benutzer die Anwendung nicht installiert. Sie können auch optionale Apps angeben, die die Benutzer im geschäftlichen Bereich installieren dürfen. Ebenso können Sie beschränkte Apps angeben, die Benutzer nicht installieren dürfen. Je nach Typ des Geräts und Aktivierungsart können Sie auf einigen Geräten auch steuern, welche Apps Benutzer im persönlichen Bereich installieren dürfen.

Weitere Informationen zum Angeben erforderlicher, optionaler und eingeschränkter Apps und zum Verhalten dieser Apps auf verschiedenen Geräten finden Sie in der Dokumentation für Administratoren.


35


Kontrolle von persönlichen Apps auf GerätenJe nach Typ des Geräts und Aktivierungsart können Sie das Installieren von persönlichen Apps auf den Geräten einschränken.

Für iOS-, Android- und Windows Phone 8.x-Geräte können Sie eine Liste der eingeschränkten Apps erstellen, die Ihre Benutzer nicht installieren sollen. Zum Beispiel können Sie Benutzer daran hindern, schädliche Apps oder Apps, die viele Ressourcen verbrauchen, zu installieren.

Für BlackBerry 10- und Android-Geräte mit Samsung KNOX Workspace oder Android for Work müssen Sie keine Liste mit gesperrten Apps erstellen. Auf diesen Geräten können Benutzer nur Apps im geschäftlichen Bereich installieren, die Sie ausdrücklich zugelassen haben.

Verwandte InformationenVerhindern der Installation spezifischer Apps durch die Benutzer, auf Seite 66

Installieren von persönlichen Apps auf BlackBerry 10-GerätenAuf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Benutzer im persönlichen Bereich Apps aus verschiedenen Quellen wie z. B. BlackBerry World, dem Amazon Appstore, E-Mail-Anhängen, Downloads über den Browser, Medienkarten und mithilfe des Entwicklungsmodus installieren (wenn der Entwicklungsmodus nicht beschränkt ist).

Auf regulierten BlackBerry Balance-Geräten können Sie eine IT-Richtlinienregel verwenden, um Benutzer im persönlichen Bereich an der Installation von Apps aus anderen Quellen als BlackBerry World oder mithilfe des Entwicklungsmodus zu hindern. Wenn Sie den Entwicklungsmodus jedoch mit IT-Richtlinienregeln eingeschränkt haben, können Benutzer auch im persönlichen Bereich keine Apps im Entwicklungsmodus installieren.

BlackBerry Balance- und regulierte BlackBerry Balance-Geräte klassifizieren alle Android-Apps als persönliche Apps, sodass sie nur im persönlichen Bereich der Geräte installiert werden können. Sie können Android-Apps nicht für die Installation im geschäftlichen Bereich bereitstellen oder genehmigen. Android-Apps können nur auf persönliche Daten im persönlichen Bereich zugreifen.

Verwalten geschäftlicher Apps auf BlackBerry 10-GerätenSie können BES12 verwenden, um Apps, die Ihr Unternehmen als geschäftliche Apps auf BlackBerry 10-Geräten verfügbar machen will, zu verwalten und zu überwachen.

Geschäftliche Apps werden zum geschäftlichen Bereich auf Geräten hinzugefügt, und geschäftliche Apps können nur auf Geschäftsdaten zugreifen und mit anderen geschäftlichen Apps interagieren. Auf Geräten kann dieselbe App getrennt voneinander im geschäftlichen Bereich und im persönlichen Bereich installiert sein. Jede Instanz der App wird von der anderen getrennt gehalten und jede arbeitet gemäß den Regeln und Beschränkungen, die für den Bereich gelten, in dem sie installiert ist. Die Apps können konfiguriert, aktualisiert oder unabhängig voneinander entfernt werden, und die Veränderungen an der einen Instanz haben keine Auswirkungen auf die andere Instanz. Beispielsweise kann eine im persönlichen Bereich installierte Instant Messaging-App gegen das Hinzufügen von geschäftlichen Kontakten beschränkt sein, während die gleiche, im geschäftlichen Bereich installierte Instant Messaging-App nicht dieser Beschränkung unterliegt.

Hinweis: Der geschäftliche Bereich unterstützt BlackBerry Runtime für Android-Apps nicht.


36

Weitere Informationen finden Sie in der Dokumentation für Administratoren.

BlackBerry World for WorkDie App BlackBerry World for Work wird während der Aktivierung im geschäftlichen Bereich auf BlackBerry 10-Geräten installiert.

BlackBerry World for Work enthält eine Registerkarte "Geschäftliche Apps" und eine Registerkarte "Öffentliche Apps", auf denen optionale Apps aufgelistet werden. Die Registerkarte "Geschäftliche Apps" bietet eine Liste optionaler Apps, die von Ihrem Unternehmen gehostet und mit BES12 bereitgestellt werden. Die Registerkarte "Öffentliche Apps" enthält eine Liste der Apps aus der öffentlichen BlackBerry World-App, die Sie als optionale Apps für den geschäftlichen Bereich angegeben haben.

Wenn eine der Apps, die Sie als optionale Apps angeben, nicht bestimmten Kriterien für Geräte (z. B. Dienstanbieter, Land oder Geräteversion) entspricht, erscheinen die Apps auf diesen Geräten nicht in BlackBerry World for Work. Wenn Sie eine Android-App aus dem öffentlichen BlackBerry World als eine optionale App bestimmen, erscheint diese auf Geräten nicht in BlackBerry World for Work.

Weitere Informationen zum Hinzufügen von Apps zu BlackBerry World for Work: Siehe Dokumentation für Administratoren .

Nutzer mithilfe von Entwicklungstools von der Installation von Apps abhaltenApp-Entwickler können Entwicklungstools verwenden, um Apps, die sie entwickeln, zu testen, indem sie die Apps auf BlackBerry 10-Geräten mithilfe einer USB- oder Wi-Fi-Verbindung installieren. Sie können mit IT-Richtlinienregeln verhindern, dass Benutzer über die Entwicklertools Apps auf dem Gerät oder in dessen geschäftlichem Bereich installieren.

Wenn der Entwicklungsmodus auf Geräten nicht erlaubt ist:

• Benutzer können Apps im geschäftlichen Bereich nur von der Verkaufsplattform BlackBerry World for Work aus installieren.

• Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Benutzer im persönlichen Bereich Apps aus allen verfügbaren Quellen (wie z. B. BlackBerry World und App-Downloads aus dem Browser) installieren, sie können jedoch den Entwicklungsmodus nicht nutzen.

Verwalten der von Apps geöffneten Links in geschäftlichen und persönlichen Bereichen eines BlackBerry 10 GerätsIm Allgemeinen können geschäftliche Apps nur andere geschäftliche Apps öffnen und persönliche Apps nur andere persönliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten öffnen. Zum Beispiel öffnet sich beim Klicken auf Links in persönlichen E-Mail-Nachrichten der Browser im persönlichen Bereich. In einigen Fällen öffnen die geschäftlichen Apps solche, die als persönliche Apps klassifiziert wurden, wie Telefon, BBM oder SMS. Für solche Fälle haben Geräte Beschränkungen, die gegen Datenverlust schützen und sicherstellen, dass nur die minimal erforderliche Datenmenge bei der Initiierung der persönlichen Apps zwischen geschäftlichen und persönlichen Apps übertragen wird.

Standardmäßig können Benutzer den Browser im persönlichen Bereich verwenden, um Links sowohl in persönlichen als auch in geschäftlichen E-Mail-Nachrichten zu öffnen. Links in geschäftlichen E-Mail-Nachrichten öffnen den Browser im persönlichen Bereich, und die Geräte zeigen eine Nachricht an, die stattdessen das Öffnen des Links im Browser des


37



geschäftlichen Bereichs zulässt. Sie können eine IT-Richtlinienregel benutzen, die es erforderlich macht, dass Links in geschäftlichen E-Mails immer im Browser des geschäftlichen Bereichs geöffnet werden.

Vorinstallierte Apps auf Geräten unverfügbar machenSie können IT-Richtlinienregeln verwenden, um einige vorinstallierte Apps unverfügbar zu machen. Dies funktioniert auf Geräten, die nur über einen geschäftlichen Bereich verfügen, sowie auf regulierten BlackBerry Balance-Geräten im persönlichen sowie im geschäftlichen Bereich. Sie können die Verwendung folgender Apps verhindern:

• BBM

• BlackBerry Blend

• BlackBerry Maps

• BlackBerry Protect

• YouTube für BlackBerry-Geräte

• Von Mobilfunkanbietern installierte Apps

Sie können Benutzern auch das Erstellen von Konten für Dienste wie Facebook, Twitter, LinkedIn und Evernote auf dem Gerät untersagen.

Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.

Kontrolle der Netzwerkverbindung von Apps auf BlackBerry 10-GerätenSie können IT-Richtlinienregeln anwenden, um festzulegen, wie geschäftliche und persönliche Apps mit Netzwerken verbunden werden.

Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten wird der geschäftliche und der persönliche Datenverkehr unabhängig voneinander weitergeleitet. Da Geräte, die nur über einen geschäftlichen Bereich verfügen, vollständig von Ihrem Unternehmen gesteuert werden, gelten alle Apps und Daten auf diesen Geräten als geschäftliche Apps und geschäftliche Daten.

Steuern, wie geschäftliche Apps eine Verbindung zu Geschäftsnetzwerken herstellenMit IT-Richtlinienregeln können Sie steuern, welche Verbindungsarten geschäftliche Apps auf BlackBerry 10-Geräten zum Herstellen einer Verbindung zu Ihrem Unternehmensnetzwerk verwenden können. Geschäftliche Apps können über mehrere Kommunikationsmethoden auf Ihr Unternehmensnetzwerk zugreifen. Diese Verbindungen werden priorisiert und geschäftliche Apps verwenden normalerweise die Standardroute.

Die IT-Richtlinie "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" steuert, welche Verbindungen für geschäftliche Apps verfügbar sind. Wenn die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" nicht aktiviert ist, versuchen geschäftliche Apps in dieser Reihenfolge über die folgenden Kommunikationsmethoden eine Verbindung zu Ihrem Unternehmensnetzwerk herzustellen:

1. Geschäftliche VPN-Profile über ein Wi-Fi-Netzwerk


38



2. Geschäftliche VPN-Profile über ein mobiles Netzwerk

3. Geschäftliche Wi-Fi-Profile

4. BlackBerry Infrastructure über ein Wi-Fi-Netzwerk

5. BlackBerry Infrastructure über ein Mobilfunknetz

Geschäftliche Apps können standardmäßig Wi-Fi-Profile, VPN-Profile oder BES12 für die Verbindung mit Ihrem Unternehmensnetzwerk verwenden. Wenn Sie den gesamten Datenverkehr auf Geräten steuern oder filtern möchten, können Sie die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" verwenden. Wenn Sie diese Regel wählen, deaktivieren Sie Wi-Fi- und VPN-Verbindungen für geschäftliche Apps und beschränken die Konnektivität ausschließlich auf BES12 (dabei kommen der BlackBerry MDS Connection Service und die BlackBerry Infrastructure zum Einsatz).

Wenn die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" aktiviert ist, versuchen geschäftliche Apps in dieser Reihenfolge über die folgenden Kommunikationsmethoden eine Verbindung zu Ihrem Unternehmensnetzwerk herzustellen:

1. BlackBerry Infrastructure über ein Wi-Fi-Netzwerk

2. BlackBerry Infrastructure über ein Mobilfunknetz


39

Verhindern, dass sich persönliche Apps mit Netzwerken verbindenStandardmäßig können persönliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten das VPN- oder Wi-Fi-Netzwerk Ihres Unternehmens verwenden, um eine Verbindung mit dem Internet herzustellen.

Sie können mit einer IT-Richtlinienregel alle Apps im persönlichen Bereich daran hindern, dass sie Ihre Unternehmensnetzwerke zur Verbindung mit dem Internet nutzen. Wenn Sie verhindern, dass persönliche Apps das Netzwerk Ihres Unternehmens verwenden, um eine Verbindung mit dem Internet herzustellen, wenn kein persönliches Netzwerk verfügbar ist, ist es möglich, dass persönliche Apps, die eine Internetverbindung erfordern, nicht funktionieren.

BBM Video wird als eine persönliche App auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten klassifiziert. Wenn Sie persönlichen Apps gestatten, die Netzwerke Ihres Unternehmens zur Internetverbindung zu nutzen, können Sie mit einer IT-Richtlinienregel BBM Video daran hindern, die Netzwerke Ihrer Organisation für eingehende und ausgehende Video-Chats zu benutzen.

Geschäftlichen Apps erlauben, eine Verbindung zu persönlichen Netzwerken herzustellenStandardmäßig können geschäftliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten keine persönlichen Netzwerke nutzen, um eine Verbindung zum Internet herzustellen. Sie können mit einer IT-Richtlinienregel bestimmen, dass geschäftliche Apps, einschließlich Terminplaner-Apps, Verbindungen mithilfe von persönlichen Netzwerken herstellen, wenn das geschäftliche Wi-Fi-Netzwerk oder VPN nicht verfügbar ist.

Die meisten Apps auf Geräten, die nur über einen geschäftlichen Bereich verfügen, senden alle Daten über das Netzwerk Ihres Unternehmens. Die folgenden Apps und Funktionen auf Geräten, die nur über einen geschäftlichen Bereich verfügen, leiten keinen Datenverkehr durch das Netzwerk Ihres Unternehmens und können Daten durch jede persönliche Wi-Fi-Verbindung oder über das mobile Netzwerk senden:

• Softwareupdates

• BBM, einschließlich BBM Voice und BBM Video

• Hotspot-Browser


40

• Mobile Bezahl-Kommunikation mit einem Zahlungsdienst

• Ersteinrichtung persönlicher E-Mail-Konten (persönliche E-Mail-Nachrichten werden durch das Netzwerk Ihres Unternehmens geleitet)

Good Dynamics-ProduktivitätsanwendungenSie können BES12 verwenden, um iOS- und Android-Geräten den Zugriff auf Good Dynamics-Produktivität-Apps, wie Good Work, Good Access und Good Connect, zu ermöglichen.

DieGood Work-App bietet sicheren Zugriff auf geschäftliche E-Mails und ermöglicht Benutzern das Anzeigen und Senden von Anlagen, Erstellen benutzerdefinierter Benachrichtigungen und das Verwalten ihrer Nachrichten. Good Access ist ein sicherer Browser, der Benutzern den sicheren Zugriff auf das Unternehmens-Intranet und Webanwendungen ermöglicht. Er ermöglicht Ihnen zudem den Zugang zu Ressourcen an Ihrem Arbeitsplatz oder das Erstellen und Bereitstellen von HTML5-Apps, während gleichzeitig ein hohes Maß an Sicherheit und Richtlinientreue gewährleistet ist. Good Connect unterstützt Kommunikation und Zusammenarbeit mit sicherem Instant Messaging, Suchanfragen im Unternehmensverzeichnis und Anwesenheitsbenachrichtigungen über eine benutzerfreundliche Schnittstelle auf dem Gerät des Benutzers.


Gesicherte Apps auf Geräten mit Secure Work Space Gesicherte Apps werden speziell zur Ausführung im geschäftlichen Bereich von iOS- und Android-Geräten mit Secure Work Space entwickelt. Gesicherte Apps bieten die gleiche Sicherheitsstufe wie Apps, die im geschäftlichen Bereich auf BlackBerry 10-Geräten installiert sind. Sichere Anwendungen sind gewrappt und verfügen über einen "Fingerabdruck". Zusätzlich zu gesicherten Standard-Apps können Sie die internen Apps Ihres Unternehmens in gesicherte Apps konvertieren und sie im geschäftlichen Bereich installieren. Alternativ können Sie sichere Apps vom App Store oder Google Play verteilen, die der App-Anbieter speziell für die Ausführung im geschäftlichen Bereich vorbereitet hat.

Typen von Apps für Secure Work Space Geräte mit Secure Work Space können drei verschiedene Arten von Apps ausführen:

Art von App Beschreibung

Persönliche App Eine App, die der Benutzer auf dem Gerät installiert, oder eine App, die der Hersteller oder der Mobilfunkanbieter auf dem Gerät installiert. BES12 behandelt diese Apps und die von diesen Apps gespeicherten Daten als persönliche Daten.

Geschäftliche App Eine App, die Sie auf dem Gerät eines Benutzers installieren und verwalten. BES12 behandelt diese Apps und die von diesen Apps gespeicherten Daten als geschäftliche Daten.


41



Gesicherte App Eine geschäftliche App, die der geschäftliche Bereich mit zusätzlichen Schutzmaßnahmen sichert. BES12 behandelt diese Apps und die von diesen Apps gespeicherten Daten als Daten im geschäftlichen Bereich.

Es gibt verschiedene Typen gesicherter Apps:


Standardmäßig gesicherte App

Eine gesicherte App, die auf jedem Gerät mit Secure Work Space angezeigt wird.

Intern gesicherte App Eine App, die von Ihrem Unternehmen entwickelt und speziell vorbereitet wird, um im geschäftlichen Bereich ausgeführt zu werden.

Extern gesicherte App Eine App, die von einem Drittanbieter entwickelt wird und vom App-Anbieter speziell vorbereitet wird, um im geschäftlichen Bereich ausgeführt zu werden.

Verwalten der Verfügbarkeit von gesicherten Apps auf GerätenSie können BES12 verwenden, um gesicherte Apps auf Geräten mit Secure Work Space zu installieren und zu verwalten. Gesicherte Apps können nur auf Daten im geschäftlichen Bereich zugreifen und mit anderen gesicherten Apps interagieren.

Standardmäßig gesicherte Apps werden auf jedem Gerät mit Secure Work Space angezeigt. Bei den folgenden Apps handelt es sich um standardmäßig gesicherte Apps:

Gerätetyp Name

iOS • Work Connect – für E-Mail, Kalender, Kontakte, Notizen und Aufgaben

• Work Browser – für Internet-Browsing

• Documents To Go – für die Anzeige und Bearbeitung von Microsoft Office-Dateien

Android • Work Space Manager – für das Ausführen der sonstigen gesicherten Apps auf dem Gerät erforderlich

• Secure Work Space – für E-Mail, Kalender, Kontakte und Internet-Browsing

• Documents To Go – für die Anzeige und Bearbeitung von Microsoft Office-Dateien

Sie haben auch die Möglichkeit, die internen Apps Ihres Unternehmens in gesicherte Apps zu konvertieren. Sie müssen die binäre App-Datei (.apk oder .ipa) mithilfe der Verwaltungskonsole sichern. Daraufhin muss der Entwickler der App die App neu signieren (und bei Bedarf eine Berechtigungsdatei erstellen). Schließlich können Sie die App im geschäftlichen Bereich auf Geräten installieren.


42

Weitere Informationen zur Installation einer App im geschäftlichen Bereich finden Sie in der Dokumentation für Administratoren.

Anbieter von Drittanbieter-Apps können gesicherte Apps erstellen, die speziell für die Ausführung im geschäftlichen Bereich konzipiert wurden, und im App Store oder dem Google Play verfügbar machen. Sie können diese Apps im geschäftlichen Bereich auf Benutzergeräten installieren. Apps aus dem App Store oder aus Google Play, die nicht den gesicherten Apps zugewiesen sind, können im geschäftlichen Bereich weder installiert noch ausgeführt werden. Nur der App-Anbieter kann Apps sichern und neu signieren, sodass sie im geschäftlichen Bereich installiert werden können.

Sie können die gesicherten Anwendungen festlegen, die Sie installieren, aktualisieren oder entfernen möchten, und Sie können festlegen, welche Apps erforderlich oder optional sind. Sie können auch die Gerätemodelle bestimmen, die eine App unterstützen, sodass sie nur auf kompatiblen Geräten installiert wird. Wenn Sie bestimmen, dass eine App erforderlich ist, wird diese App automatisch auf dem Gerät installiert. Wenn Benutzer die App entfernen, können Sie das Profil für die Vorschrifteneinhaltung verwenden, um eine Benachrichtigung an die Benutzer zu senden und sie aufzufordern, die Anforderungen Ihres Unternehmens zu erfüllen. Sie können auch den Zugriff von Benutzern auf die Ressourcen und Anwendungen Ihres Unternehmens beschränken und geschäftliche Daten oder alle Daten vom Gerät löschen.

Auf Geräten mit Secure Work Space kann die gleiche App separat als gesicherte App und entweder als geschäftliche oder persönliche App installiert werden. Alle Instanzen der App sind voneinander getrennt und jede App arbeitet gemäß den Regeln und Beschränkungen, die für den Bereich gelten, in dem die App installiert wurde. Die Apps können konfiguriert, aktualisiert oder unabhängig voneinander entfernt werden, und die Veränderungen an der einen Instanz haben keine Auswirkungen auf die andere Instanz. Zum Beispiel ist es möglich, dass eine als persönliche App installierte Instant Messaging-App bei der Hinzufügung von geschäftlichen Kontakten eingeschränkt ist, während diese Einschränkung nicht gilt, wenn die gleiche Instant Messaging-App als gesicherte App installiert wird.

So umschließt ein geschäftlicher Bereich gesicherte AppsEin geschäftlicher Bereich schützt gesicherte Apps durch das Wrapping von Apps davor, dass andere Apps auf dem Gerät ausgeführt werden. Das Wrapping von Apps ist ein Vorgang, bei dem einer bestehenden App eine Sicherheitsschicht und Kontrolle hinzugefügt werden. Der Quellcode der App wird nicht verändert. Stattdessen übernimmt der Wrapping-Vorgang die Anforderungen der App an die Systemdienste und leitet diese an eine Bibliothek von Mechanismen und Richtlinien um. BES12 umschließt Apps automatisch für iOS- und Android-Geräte, wenn Sie die Apps als gesichert festlegen. Der App-Wrapping-Vorgang ist voll mit den Richtlinien kompatibel, die Apple für iOS-Geräte erzwingt.

Der App-Wrapping-Vorgang schaltet System-API-Aufrufe zwischen, damit der geschäftliche Bereich die Anforderungen einer gesicherten App an Systemdienste weiterleiten kann. Bei Apps, die unter Android OS auf der virtuellen Maschine Dalvik ausgeführt werden, führt der geschäftliche Bereich die Zwischenschaltung auf zwei Schichten durch: Ersetzen von Dalvik-Byte-Code-API-Aufrufen durch eigene Abschnitte und Verknüpfen von Aufrufen für nativen Objektcode. Bei Apps, die unter iOS nicht auf einer virtuellen Maschine ausgeführt werden, verknüpft der geschäftliche Bereich nur Aufrufe für nativen Objektcode.

Der App-Wrapping-Vorgang packt dann die App um, sodass der Sicherheitscode und der ursprüngliche Code physisch nicht getrennt werden können. Dieses Umpacken stellt sicher, dass bei nachfolgenden Änderungen an einer gesicherten App durch Dritte die Ausführung der gesicherten App auf dem Gerät verhindert wird.


43



App-Wrapping in der BlackBerry InfrastructureIst das Wrapping einer App erfolgreich, wird die App 72 Stunden in der BlackBerry Infrastructure gespeichert, nachdem das Wrapping abgeschlossen ist. Schlägt das Wrapping einer App fehl, dann gibt die BlackBerry Infrastructure einen Fehlerstatus an BES12 aus, bevor die BlackBerry Infrastructure die App aus ihren Datensätzen löscht.

Wenn BES12 eine App an die BlackBerry Infrastructure zum Wrapping sendet, wird ein eindeutiger Mandantenbezeichner gesendet. Die BlackBerry Infrastructure bezieht den Mandantenbezeichner im Wrapping mit ein und erfasst die Zuordnung zwischen dem Mandantenbezeichner und der gewrappten App. Wenn die App nach der Weiterleitung an ein Gerät einen Zusammenschluss mit anderen gesicherten Apps versucht, sendet das Gerät zunächst eine Anforderung an die BlackBerry Infrastructure, um zu überprüfen, ob Benutzer, Gerät und App mit dem Mandantenbezeichner verknüpft sind. Durch diese Überprüfung wird verhindert, dass die App im geschäftlichen Bereich anderer Besitzer von BES12 ausgeführt wird. Die BlackBerry Infrastructure untersucht während der Überprüfung auch App-Metadaten wie die Signatur und den Paketnamen. Wenn die Überprüfung erfolgreich ist, wird die App für den Zusammenschluss auf dem Gerät zugelassen.

Externe gesicherte Apps, die öffentlich in einem App Store verfügbar sind, enthalten keinen Mandantenbezeichner und können im geschäftlichen Bereich aller BES12-Besitzer ausgeführt werden.

Austausch von Informationen zwischen gesicherten AppsDurch den Zusammenschluss können gesicherte Apps Informationen auf kontrollierte Weise austauschen. App-Wrapping stellt eine definierte Schnittstelle bereit, mit der eingeschränkt wird, was Apps tun können, wenn sie mithilfe des verschlüsselten Dateisystems kommunizieren.

Wenn eine gesicherte App in der BlackBerry Infrastructure gewrappt wird, wird ein Hash des App-Codes erzeugt. Dieser Hashwert ist auch als Fingerabdruck bekannt, und die BlackBerry Infrastructure zeichnet den Fingerabdruck und die Metadaten der App auf.

Wenn eine gesicherte App zum ersten Mal auf einem Gerät ausgeführt wird, wird von dem Gerät eine Laufzeitversion des Fingerabdrucks und der Metadaten der App erstellt und an die BlackBerry Infrastructure gesendet. Die BlackBerry Infrastructure vergleicht den gespeicherten Fingerabdruck und die gespeicherten Metadaten mit den Laufzeitversionen des Fingerabdrucks und der Metadaten. Bei einer Übereinstimmung benachrichtigt die BlackBerry Infrastructure das Gerät, das es eine Zusammenführung durchführen und die App ausführen kann. Stimmen die beiden Versionen der Fingerabdrücke und Metadaten nicht überein, benachrichtigt die BlackBerry Infrastructure das Gerät, dass die App nicht zusammengeführt und ausgeführt werden kann. Der Benutzer sieht eine Fehlermeldung.

Über eine dynamische Zusammenführungsliste auf dem Gerät wird identifiziert, welche gesicherten Apps zusammengeführt werden können. Wenn die BlackBerry Infrastructure das Gerät benachrichtigt, dass es eine Zusammenführung durchführen und die App ausführen kann, fügt das Gerät die App zur Zusammenführungsliste hinzu. Bei jeder folgenden Ausführung der App vergleicht das Gerät den Laufzeit-Fingerabdruck der App mit dem in der Zusammenführungsliste zwischengespeicherten Fingerabdruck. Die BlackBerry Infrastructure kann die Zusammenführungsliste jederzeit widerrufen und das Gerät dazu zwingen, die Liste zu rekonstruieren. Netzwerkkonnektivität wird benötigt, um zu überprüfen, ob eine App für die Zusammenführung zugelassen werden kann.

Wenn die Zusammenführung erfolgreich ist, können die zusammengeführten Apps einen Schlüsselaustausch mit Einschränkungen durchführen, sodass sie Zugriff auf die gleichen Daten im verschlüsselten Dateisystem haben.


44

So fertigt ein geschäftlicher Bereich Fingerabdrücke gesicherter Apps anEin geschäftlicher Bereich schützt gesicherte Apps mithilfe von Fingerabdrücken vor Trojanern und Schadsoftware. Fingerabdrücke verwenden einen Algorithmus, um eine App einer kurzen Bitfolge zuzuweisen. Diese Bitfolge ist der Fingerabdruck der App und dient als eindeutiger Datensatz der App. Die Überprüfung eines Fingerabdrucks ist effizienter als die Übertragung und der Vergleich der ursprünglichen App mit der App auf dem Gerät, wobei viel größere Dateien als bei einem Fingerabdruck benötigt werden.

Bevor eine gesicherte App zu einem Gerät mit Secure Work Space hinzugefügt wird, erstellt die BlackBerry Infrastructure einen Fingerabdruck der gesicherten App. Die BlackBerry Infrastructure sendet die gesicherte App und den Fingerabdruck an das Gerät. Bevor die gesicherte App auf dem Gerät hinzugefügt wird, berechnet der geschäftliche Bereich den Fingerabdruck der gesicherten App und vergleicht ihn mit dem Fingerabdruck, der von der BlackBerry Infrastructure gesendet wurde. Jedes Mal, wenn die gesicherte App ausgeführt wird, berechnet der geschäftliche Bereich den Fingerabdruck der gesicherten App und vergleicht ihn mit dem Fingerabdruck, der von der BlackBerry Infrastructure gesendet wurde. Wenn die verglichenen Fingerabdrücke nicht übereinstimmen, führt das Gerät die gesicherte App nicht aus.

Anlagen für gesicherte Drittanbieter-AppsStandardmäßig können Anlagen für eine gesicherte Drittanbieter-App nicht außerhalb der UID geöffnet werden, es sei denn, die App erlaubt den Datenaustausch mit anderen Apps. Beispiele für Anlagen einer gesicherten Drittanbieter-App sind u. a. E-Mail, MMS und Browser-Downloads. Das Wrapping der App fängt die Standard-APIs ab, die iOS und Android verwenden und verhindert, dass die App Daten in eine andere App überträgt. Private APIs sind in iOS oder Android nicht erlaubt. Das Wrapping stellt auch sicher, dass Anlagen vor dem Speichern verschlüsselt werden.

KennwörterGerätekennwörter und Kennwörter für den geschäftlichen Bereich schützen die Daten Ihres Unternehmens und die Benutzerinformationen, die auf den Geräten gespeichert sind. Sie können BES12 verwenden, um den Kennwortschutz auf Geräten zu erzwingen.

Anforderungen für Gerätekennwörter können mithilfe von IT-Richtlinienregeln eingerichtet werden. Jeder Gerätetyp unterstützt verschiedene IT-Richtlinienregeln zur Kontrolle der Passwortanforderungen für das Gerät und den geschäftlichen Bereich. Sie können Anforderungen an die Kennwortlänge und -komplexität, die Gültigkeitsdauer, die Dauer der Inaktivität, bis das Gerät oder der geschäftliche Bereich zur Kennworteingabe auffordert und die Anzahl der möglichen Eingabeversuche festlegen.

Weitere Informationen über Kennwortregeln für IT-Richtlinien finden Sie in der Dokumentation für Administratoren.

Ändern von KennwörternIn Abhängigkeit von den unterstützen Gerätefunktionen können Sie BES12-Verwaltungsbefehle nutzen, um Geräte aus der Entfernung zu sperren und die Kennwörter zu ändern. Sie können dies beispielsweise tun, wenn ein Gerät verloren gegangen ist


45


oder ein Benutzer das Kennwort vergessen hat. Wenn ein Gerät über einen geschäftlichen Bereich verfügt, können Sie auch das Kennwort für den geschäftlichen Bereich ändern.

Die folgenden Optionen stehen für den jeweiligen Gerätetyp zur Verfügung:

BlackBerry 10

IT-Administrationsbefehl Beschreibung

Gerätekennwort festlegen, Gerät sperren und Nachricht einrichten

Dieser Befehl erzeugt ein neues Gerätekennwort, legt eine Mitteilung auf der Startseite fest (zum Beispiel Informationen darüber, wo ein gefundenes Gerät abgegeben werden soll) und sperrt dann das Gerät. Sie müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.

Wenn eine IT-Richtlinie erfordert, dass das Gerät das gleiche Kennwort für das Gerät und den geschäftlichen Bereich nutzen muss, ändert dieser Befehl zudem das Kennwort für den geschäftlichen Bereich.

Geschäftlichen Bereich sperren und Kennwort festlegen

Mit diesem Befehl können Sie ein neues Kennwort für den geschäftlichen Bereich auf BlackBerry Balance-Geräten oder regulierten BlackBerry Balance-Geräten festlegen und den geschäftlichen Bereich sperren. Sie müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Um den geschäftlichen Bereich zu entsperren, muss der Benutzer das neue von Ihnen erstellte Kennwort eingeben.

Wenn eine IT-Richtlinie erfordert, dass das Gerät das gleiche Kennwort für das Gerät und den geschäftlichen Bereich nutzen muss, ändert dieser Befehl zudem das Gerätekennwort.

iOS


Gerät sperren Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können Sie diesen Befehl verwenden.

Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt.

Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-Datenschutz-Aktivierungen nicht verfügbar.

Kennwort entsperren und löschen

Dieser Befehl entsperrt ein Gerät und löscht das bestehende Kennwort. Der Benutzer wird zur Eingabe eines Gerätekennworts aufgefordert. Sie können diesen Befehl verwenden, wenn der Benutzer das Gerätekennwort vergessen hat.


46



Geschäftlichen Bereich sperren

Dieser Befehl sperrt den geschäftlichen Bereich auf einem Gerät, sodass der Benutzer das bestehende Kennwort für den geschäftlichen Bereich eingeben muss, um das Gerät zu entsperren.

Kennwort für geschäftlichen Bereich zurücksetzen

Dieser Befehl löscht das aktuelle Kennwort für den geschäftlichen Bereich vom Gerät. Wenn der Benutzer den geschäftlichen Bereich öffnet, fordert das Gerät ihn auf, ein neues Kennwort für den geschäftlichen Bereich festzulegen.

OS X


Desktop sperren Mit diesem Befehl können Sie eine PIN festlegen und das Gerät sperren.

Android




Kennwort entsperren und löschen

Dieser Befehl entsperrt ein Gerät und löscht das bestehende Kennwort. Der Benutzer wird zur Eingabe eines Gerätekennworts aufgefordert. Sie können diesen Befehl verwenden, wenn der Benutzer das Gerätekennwort vergessen hat.


Geschäftlichen Bereich sperren

Dieser Befehl sperrt den geschäftlichen Bereich auf einem Gerät, sodass der Benutzer das bestehende Kennwort für den geschäftlichen Bereich eingeben muss, um das Gerät zu entsperren.

Dieser Befehl ist nur für Geräte mit Secure Work Space verfügbar.


47


Kennwort für geschäftlichen Bereich zurücksetzen

Dieser Befehl löscht das aktuelle Kennwort für den geschäftlichen Bereich vom Gerät. Wenn der Benutzer den geschäftlichen Bereich öffnet, fordert das Gerät ihn auf, ein neues Kennwort für den geschäftlichen Bereich festzulegen.

Dieser Befehl ist nur für Geräte mit Secure Work Space oder Samsung KNOX Workspace verfügbar.

Gerätekennwort festlegen und sperren

Mit diesem Befehl erstellen Sie ein Gerätekennwort. Anschließend wird das Gerät gesperrt. Sie müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.


Windows




Dieser Befehl wird nur auf Geräten unterstützt, auf denen Windows 10 Mobile und Windows Phone 8.1 oder höher ausgeführt wird.

Gerätekennwort erstellen und Gerät sperren

Mit diesem Befehl wird ein neues Kennwort generiert und das Gerät gesperrt. Das generierte Kennwort wird dem Benutzer per E-Mail gesendet. Sie können die vorgewählte E-Mail-Adresse verwenden oder eine E-Mail-Adresse angeben. Das generierte Kennwort erfüllt alle bestehenden Kennwortregeln.

Dieser Befehl wird auf nur Geräten mit Windows 10 Mobile und Windows Phone OS Version 8.10.14176 oder höher unterstützt.

Kennwörter für BlackBerry 10-GeräteBlackBerry 10-Geräte verwenden die gleichen Kennwortregeln für das Gerät und den geschäftlichen Bereich. Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, sind Kennwörter nicht optional. Da nur ein geschäftlicher Bereich auf diesen Geräten verfügbar ist, müssen Benutzer ein Kennwort festlegen; die Kennwortanforderungen und -optionen gelten für das gesamte Gerät.


48

Bei BlackBerry Balance-Geräten und regulierten BlackBerry Balance-Geräten bestimmt die Richtlinienregel "Kennwort für geschäftlichen Bereich erforderlich", ob der geschäftliche Bereich ein Kennwort benötigt. Wenn diese Regel ausgewählt wurde, wird das geschäftliche Kennwort (in den "BlackBerry Balance"-Einstellungen des Geräts) als das Kennwort für den geschäftlichen Bereich verwendet.

Wenn die IT-Richtlinienregel "Kennwort für geschäftlichen Bereich erforderlich" ausgewählt wurde, können Sie außerdem mithilfe der Regel "Kennwort für das gesamte Gerät anfordern" verlangen, dass Benutzer ein Kennwort für das gesamte Gerät festlegen. Wenn Sie dies tun, können Sie für Geräte mit BlackBerry 10 OS Version 10.3.1 oder höher die IT-Richtlinienregel "Verhalten der Kennwörter des geschäftlichen Bereichs und Gerätekennwort definieren" anwenden, um festzulegen, ob das Kennwort des geschäftlichen Bereiches und das Gerätekennwort gleich oder verschieden sein müssen, oder Sie können den Benutzer wählen lassen. Wenn Sie den Benutzer wählen lassen, kann dieser sein Kennwort des geschäftlichen Bereichs als sein Gerätekennwort verwenden, indem er die Option "Als mein Gerätekennwort verwenden" in den "BlackBerry Balance"-Einstellungen auswählt. Wenn das Kennwort des geschäftlichen Bereichs und das Gerätekennwort gleich sind, wird das geschäftliche Kennwort als das Kennwort für das gesamte Gerät verwendet und die IT-Richtlinienregeln in der Regelgruppe "Kennwort" gelten für das Kennwort des gesamten Geräts. Wenn ein Benutzer das Gerät entsperrt, wird gleichzeitig der geschäftliche Bereich entsperrt. Benutzer können den geschäftlichen Bereich manuell sperren, wenn sie den persönlichen Bereich der Geräte nutzen.

Wenn Sie nicht verlangen, dass Benutzer ein geschäftliches Kennwort festlegen, können Sie weder das Kennwort für das gesamte Gerät anfordern, noch das Verhalten des Kennworts des geschäftlichen Bereichs und des Gerätekennworts definieren oder zusätzliche Kennwortanforderungen an Geräte durchsetzen.

Benutzer können Gerätekennworteinstellungen mit der Option "Gerätekennwort" in den Einstellungen unter "Sicherheit und Datenschutz" auf den Geräten konfigurieren. Wenn ein Benutzer die persönliche Datenverschlüsselung mithilfe der Option "Verschlüsselung" auf den Geräten aktiviert, muss er ein Gerätekennwort festlegen. Geräte ermöglichen den Benutzern die Definition stärker eingeschränkter, aber niemals weniger eingeschränkter Kennworteinstellungen als die von Ihnen angegebenen Kennwortregeln. Wenn die IT-Richtlinienregel "Mindestkomplexität des Kennworts" auf "Keine Einschränkung" festgelegt ist, können Benutzer eine einfache Kennwortoption einstellen, um ein numerisches Kennwort des geschäftlichen Bereichs oder ein numerisches Gerätekennwort anstatt eines alphanumerischen Kennworts festzulegen.

Weitere Informationen über Kennwortregeln für IT-Richtlinien finden Sie in der Dokumentation für Administratoren. Sie können auch die Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/ herunterladen.

Ändern von BlackBerry 10-GerätekennwörternSie können BES12 verwenden, um den IT-Administrationsbefehl "Gerätekennwort festlegen, sperren und Nachricht einrichten" an ein Gerät zu senden, um das Gerätekennwort zu ändern.

Dieser Befehl führt auf Geräten je nach deren Kennwörtern und Einstellungen zu verschiedenen Ergebnissen. In der folgenden Tabelle werden die Gerätebedingungen und die Ergebnisse, die dieser Befehl für diese hat, aufgeführt:

Bedingungen Ergebnis

• Das Gerät verfügt über ein Kennwort für den geschäftlichen Bereich

• Dieser Befehl erzeugt ein Kennwort für das gesamte Gerät

• Das Kennwort für den geschäftlichen Bereich ist nicht betroffen


49






• Das Gerät verfügt über kein Kennwort für das gesamte Gerät

• Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das Gerätekennwort


• Das Gerät verfügt über ein Kennwort für das gesamte Gerät

• Die Kennwörter sind nicht durch die IT-Richtlinienregel "Kennwort für das gesamte Gerät anfordern" oder die Geräteoption "Als mein Gerätekennwort verwenden" verknüpft

• Das Kennwort für das gesamte Gerät wird durch den Befehl geändert




• Das Kennwort für den geschäftlichen Bereich wird als das Kennwort für das gesamte Gerät mithilfe der IT-Richtlinienregel "Kennwort für das gesamte Gerät anfordern" durchgesetzt

• Das Kennwort für den geschäftlichen Bereich wird durch den Befehl geändert


• Das gesamte Gerät wird gesperrt, beide Kennwörter werden synchronisiert und das neue Kennwort ist das Kennwort für das gesamte Gerät


• Der Benutzer bestimmt das Kennwort für den geschäftlichen Bereich als das Kennwort für das gesamte Gerät mithilfe der Option "Als mein Gerätekennwort verwenden"




• Die Kennwörter sind nicht verknüpft

Der IT-Administrationsbefehl "Gerätekennwort festlegen, sperren und Nachricht einrichten" kann auch verwendet werden, um eine Nachricht einzurichten, die auf der Startseite des Geräts erscheint. Zum Beispiel können Kontaktinformationen angezeigt werden, die verwendet werden können, um das Gerät zum Besitzer zurückzubringen.

Wenn BES12 keine Verbindung mit einem Gerät herstellen kann, weil das Gerät ausgeschaltet oder nicht mit einem Netzwerk verbunden ist, wird der Befehl gesendet, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Das neue Kennwort kann dem Benutzer verbal mitgeteilt werden, wenn das Gerät lokalisiert wird. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.

Weitere Informationen zum Senden des IT-Administrationsbefehls „Gerätekennwort angeben, Gerät sperren und Nachricht einrichten“ an ein Gerät finden Sie in der Dokumentation für Administratoren.


50


Ändern von BlackBerry 10-Kennwörtern für den geschäftlichen BereichSie können BES12 verwenden, um den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an ein Gerät zu senden, um das Kennwort für den geschäftlichen Bereich zu ändern.

Geräte, die nur über einen geschäftlichen Bereich verfügen, verfügen nur über ein Gerätekennwort. Obwohl Sie diesen Befehl an Geräte, die nur über einen geschäftlichen Bereich verfügen, senden können, führt dies zu demselben Ergebnis wie das Senden des IT-Administrationsbefehls "Gerätekennwort festlegen, sperren und Nachricht einrichten".

Wenn Sie den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an BlackBerry Balance- oder regulierte BlackBerry Balance-Geräte senden, führt dieser Befehl auf Geräten je nach deren Kennwörtern und Einstellungen zu verschiedenen Ergebnissen. In der folgenden Tabelle werden die Gerätebedingungen und die Ergebnisse, die dieser Befehl für diese hat, aufgeführt:


• Das Gerät verfügt über kein Kennwort für den geschäftlichen Bereich


• Der Befehl erzeugt ein Kennwort für den geschäftlichen Bereich

• Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das Kennwort für den geschäftlichen Bereich

• Das Gerät verfügt weiterhin nicht über ein Kennwort für das gesamte Gerät





• Das Gerät verfügt weiterhin nicht über ein Kennwort für das gesamte Gerät


• Das Gerät verfügt über ein Kennwort für das gesamte Gerät

• Die Kennwörter werden von Ihnen oder vom Benutzer (über die IT-Richtlinienregel "Kennwort für das gesamte Gerät ist erforderlich" oder die Option "Als mein Gerätekennwort verwenden" auf dem Gerät) nicht verknüpft.



• Das Kennwort für das gesamte Gerät ist nicht betroffen




51


• Sie können das Kennwort für den geschäftlichen Bereich als das Kennwort für das gesamte Gerät mithilfe der IT-Richtlinienregel "Kennwort für das gesamte Gerät anfordern" durchsetzen


• Das gesamte Gerät wird gesperrt, beide Kennwörter werden synchronisiert und das neue Kennwort ist das Kennwort für das gesamte Gerät


• Der Benutzer bestimmt das Kennwort für den geschäftlichen Bereich als das Kennwort für das gesamte Gerät mithilfe der Option "Als mein Gerätekennwort verwenden"



• Das Kennwort für das gesamte Gerät ist nicht betroffen

• Die Kennwörter sind nicht verknüpft

Wenn BES12 keine Verbindung mit einem Gerät herstellen kann, weil das Gerät ausgeschaltet oder nicht mit einem Netzwerk verbunden ist, wird der Befehl gesendet, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Das neue Kennwort kann dem Benutzer verbal mitgeteilt werden, wenn das Gerät lokalisiert wird. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen.

Weitere Informationen zum Senden des IT-Administrationsbefehls „Neues Kennwort für den geschäftlichen Bereich angeben und geschäftlichen Bereich sperren“ an ein Gerät finden Sie in der Dokumentation für Administratoren.

Datenfluss: Wenn Sie das Kennwort für den geschäftlichen Bereich auf einem BlackBerry Balance- oder einem regulierten BlackBerry Balance-Gerät ändern

1. Sie senden den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an das Gerät.

2. Das Gerät sendet den verschlüsselten Zwischenschlüssel an BES12.

3. BES12 verwendet den privaten Schlüssel, der mit dem Gerät verknüpft ist, um den Zwischenschlüssel zu entschlüsseln, und sendet den Zwischenschlüssel zurück an das Gerät.

BES12 speichert einen eindeutigen privaten Schlüssel für jedes aktivierte Gerät.

4. Das Gerät führt die folgenden Aktionen aus:


52


• Verwendet den Zwischenschlüssel, um den geschäftlichen Hauptschlüssel erneut abzuleiten, und entschlüsselt den geschäftlichen Domänenschlüssel

• Berechnet einen SHA-512-Hashwert des neuen Kennworts und einen zufälligen 64-Bit-Saltwert und speichert ihn auf dem Gerät

• Generiert einen neuen Zwischenschlüssel

• Verwendet den neuen Zwischenschlüssel, um einen neuen geschäftlichen Hauptschlüssel zu generieren, und verwendet diesen, um den geschäftlichen Domänenschlüssel zu verschlüsseln

• Verschlüsselt den neuen Zwischenschlüssel mithilfe des öffentlichen Schlüssels, den BES12 mit dem Gerät verknüpft, und speichert den verschlüsselten Schlüssel auf dem Gerät

Da nur BES12 den zugehörigen privaten Schlüssel hat, kann nur BES12 den verschlüsselten Zwischenschlüssel entschlüsseln. Der Zwischenschlüssel wird nie dauerhaft in unverschlüsselter Form auf dem Gerät gespeichert.

Das Kennwort für den geschäftlichen Bereich wurde zurückgesetzt.

Datenfluss: Wenn ein Benutzer das Kennwort für den geschäftlichen Bereich auf einem BlackBerry Balance- oder einem regulierten BlackBerry Balance-Gerät ändert1. In den BlackBerry Balance-Einstellungen auf dem Gerät gibt der Benutzer das aktuelle Kennwort und das neue Kennwort

ein.

2. Das Gerät authentifiziert den Benutzer durch Berechnung eines SHA-512-Hashwerts des aktuellen Kennworts und eines gespeicherten 64-Bit-Saltwerts und vergleicht das Ergebnis mit dem gespeicherten Hashwert des aktuellen Kennworts.

Wenn die zwei Hashwerte übereinstimmen, wird der geschäftliche Bereich entsperrt und das Zurücksetzen des Kennworts fortgesetzt.


• Berechnet einen SHA-512-Hashwert des neuen Kennworts und einen zufälligen 64-Bit-Saltwert und speichert ihn auf dem Gerät

• Leitet den aktuellen Zwischenschlüssel ab

• Verwendet den aktuellen Zwischenschlüssel, um den aktuellen geschäftlichen Hauptschlüssel abzuleiten, und entschlüsselt den geschäftlichen Domänenschlüssel

• Leitet einen neuen Zwischenschlüssel ab

• Verwendet den neuen Zwischenschlüssel, um einen neuen geschäftlichen Hauptschlüssel abzuleiten, den es verwendet, um den geschäftlichen Domänenschlüssel zu verschlüsseln

• Verschlüsselt den neuen Zwischenschlüssel mithilfe des öffentlichen Schlüssels, den der BES12 Core mit dem Gerät verknüpft, und speichert den verschlüsselten Schlüssel auf dem Gerät

Da nur der BES12 Core über den entsprechenden eindeutigen privaten Schlüssel für jedes Gerät verfügt, der auf dem BES12 Coreaktiviert wird, kann nur der BES12 Core den verschlüsselten Zwischenschlüssel entschlüsseln. Der Zwischenschlüssel wird nicht dauerhaft in unverschlüsselter Form auf dem Gerät gespeichert.

Das Kennwort für den geschäftlichen Bereich wurde zurückgesetzt.


53

Steuern des Sicherheits-TimeoutSie können die IT-Richtlinienregel "Sicherheits-Timeout" verwenden, um zu verlangen, dass ein BlackBerry 10-Gerät den geschäftlichen Bereich oder das gesamte Gerät nach einem bestimmten Zeitraum der Inaktivität wie folgt sperrt:

Gerätetyp Beschreibung

• BlackBerry Balance

• Reguliertes BlackBerry Balance

• Bei Geräten, die unterschiedliche Kennwörter für den geschäftlichen und persönlichen Bereich eingestellt haben, kann die IT-Richtlinienregel "Sicherheits-Timeout" zur Kontrolle von Zeitüberschreitungen im geschäftlichen Bereich verwendet werden.

• Bei Geräten, deren geschäftliches Kennwort für das gesamte Gerät gültig ist, kann die IT-Richtlinienregel "Sicherheits-Timeout" zur Kontrolle von Zeitüberschreitungen auf dem gesamten Gerät verwendet werden.

Nur geschäftlicher Bereich Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, steuert die IT-Richtlinienregel "Sicherheits-Timeout" die Handhabung von Zeitüberschreitungen auf dem gesamten Gerät, da es nur einen Bereich gibt.

Geschäftliche Apps (einschließlich Apps, die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen) folgen dem Sicherheits-Timeout für den geschäftlichen Bereich. Wenn es in der festgelegten Zeit keine Benutzeraktivität im geschäftlichen Bereich gibt, sperrt sich der geschäftliche Bereich automatisch, auch wenn der Benutzer zu der Zeit persönliche Apps verwendet (keine Apps, die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen).

Bestimmte Apps wie beispielsweise Apps, die Navigationsinformationen, Diashows und Videos anzeigen, können das Sicherheits-Timeout verlängern. Standardmäßig können diese Apps den Sicherheitstimer zurücksetzen und so das Gerät daran hindern, die Sperre nach der festgelegten Inaktivitätsperiode zu aktivieren. Wenn Sie diese Funktion von Apps verhindern möchten, stellen Sie sicher, dass die IT-Richtlinienregel "Zurücksetzen des Sicherheits-Timer durch Apps zulassen" nicht ausgewählt ist.


Secure Work Space-KennwörterZum Schutz von Daten im geschäftlichen Bereich und gesicherten Apps muss bei Geräten mit Secure Work Space ein Kennwort für den geschäftlichen Bereich eingerichtet werden. Sie können IT-Richtlinienregeln zur Kontrolle von Kennwortanforderungen wie Komplexität und Länge verwenden.

Im geschäftlichen Bereich wird nicht das Kennwort des geschäftlichen Bereichs gespeichert. Stattdessen verschlüsselt er Daten mithilfe eines Hashs, der vom Kennwort als Verschlüsselungsschlüssel abgeleitet wird. Nachdem das Kennwort festgelegt wurde, versucht der geschäftliche Bereich Daten mit dem aus dem Kennwort, das der Benutzer eingegeben hat, abgeleiteten Hash zu entschlüsseln, wenn der Benutzer das Kennwort eingibt, um auf den geschäftlichen Bereich zuzugreifen. Können die Daten nicht entschlüsselt werden, wird das Kennwort des Benutzers als falsch abgelehnt.


54



Um das Zurücksetzen von Kennwörtern zu ermöglichen, generiert das Gerät einen öffentlichen und einen privaten Schlüssel, verschlüsselt den abgeleiteten Schlüssel für den geschäftlichen Bereich mit dem privaten Schlüssel und speichert den verschlüsselten Block unabhängig vom geschäftlichen Bereich. Das Gerät sendet den öffentlichen Schlüssel an BES12 und löscht lokale Kopien der öffentlichen und privaten Schlüssel.

Wenn der Benutzer das Kennwort für den geschäftlichen Bereich ändert, generiert das Gerät den abgeleiteten Schlüssel erneut. Ein Benutzer kann das Kennwort für den geschäftlichen Bereich jederzeit ändern, und ein Administrator das Kennwort für den geschäftlichen Bereich mithilfe eines IT-Administrationsbefehls zurücksetzen und den Benutzer dazu veranlassen, es zu ändern.

Wenn ein Administrator den IT-Administrationsbefehl zum Zurücksetzen des Kennworts für den geschäftlichen Bereich verwendet, sendet BES12 den öffentlichen Schlüssel zurück an das Gerät. Das Gerät verwendet den öffentlichen Schlüssel, um den abgeleiteten Schlüssel zu entschlüsseln. Außerdem muss der Benutzer ein neues Kennwort für den geschäftlichen Bereich eingeben.

BES12 und die BlackBerry Infrastructure speichern nicht die Verschlüsselungsschlüssel des Benutzers.

Weitere Informationen über IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.

Timeout nach Inaktivität im geschäftlichen BereichWenn eine gesicherte App von einem Nutzer in den Hintergrund geschickt wird, startet diese den Timer der Inaktivitätsübergangsfrist für den geschäftlichen Bereich. Wenn der Benutzer während der Übergangsfrist eine andere gesicherte App startet, muss der Benutzer das Kennwort für den geschäftlichen Bereich nicht eingeben. Sie können das Timeout nach Inaktivität mittels der IT-Richtlinienregel "Zeitraum der Inaktivität vor dem Sperren" konfigurieren.

Weitere Informationen über diese IT-Richtlinienregel finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.

DatenlöschungZum Schutz der Daten Ihres Unternehmens und der Benutzerinformationen auf dem Gerät können Sie mithilfe von BES12 geschäftliche Daten oder alle Daten von einem Gerät löschen.

Auch Benutzer können geschäftliche Daten oder alle Daten von ihren Geräten löschen.

Löschen aller Daten auf BlackBerry 10-GerätenBlackBerry 10-Geräte löschen alle Daten im Gerätespeicher, wenn eines der folgenden Ereignisse eintritt:


55





Ereignis Gerätetyp Beschreibung

Sie senden den IT-Administrationsbefehl „Alle Gerätedaten löschen“ an ein Gerät.




Sie können BES12 verwenden, um alle Daten von den Geräten mithilfe des IT-Administrationsbefehls „Alle Gerätedaten löschen“ zu löschen. Sie können diesen Befehl beispielsweise an ein Gerät senden, um ein zuvor verwendetes Gerät erneut einem Benutzer in Ihrem Unternehmen zuzuteilen oder an ein verloren gegangenes Gerät, das wahrscheinlich nicht wiedergefunden wird.

Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf dem Gerät gespeichert sind, einschließlich Informationen im geschäftlichen Bereich und Informationen auf der Medienkarte. Er setzt das Gerät auf die Werkseinstellungen zurück und löscht das Gerät aus BES12.

Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des Geräts aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12 herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es entfernt wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.

Weitere Informationen zum Senden dieses Befehls finden Sie in der Dokumentation für Administratoren.

Sie senden den IT-Administrationsbefehl „Nur Geschäftsdaten löschen“ an ein Gerät.

Nur geschäftlicher Bereich

Sie können den IT-Administrationsbefehl „Nur Geschäftsdaten löschen“ an ein Gerät, das nur über einen geschäftlichen Bereich verfügt, senden, um alle Daten auf diesem zu löschen. Da diese Geräte nur über einen geschäftlichen Bereich verfügen, können Sie entweder den IT-Administrationsbefehle „Alle Gerätedaten löschen“ oder „Nur Geschäftsdaten löschen“ verwenden, um Daten von diesen Geräten zu löschen.

Wenn BES12 keine Verbindung mit dem Gerät herstellen kann, weil es ausgeschaltet oder nicht mit einem Netzwerk verbunden ist, sendet BES12 den Befehl, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt.

Weitere Informationen zum Senden dieses Befehls finden Sie in der Dokumentation für Administratoren.


56




Es verstreicht mehr Zeit, ohne dass das Gerät eine Verbindung zum Netzwerk Ihres Unternehmens herstellt, als die IT-Richtlinienregel „Daten ohne Netzwerkverbindung vom Gerät löschen“ erlaubt.



Das Gerät löscht alle Benutzerinformationen und App-Daten, die auf dem Gerät gespeichert sind, einschließlich der Informationen im geschäftlichen Bereich, und setzt das Gerät auf die Werkseinstellungen zurück.

Sie können diese Regel verwenden, um das Gerät zu veranlassen, alle Daten zu löschen, wenn es keine Updates oder Befehle erhält.

Ein Gerät sendet einen Integritätsalarm an BES12, und als Erzwingungsaktion wird „Alle Gerätedaten löschen“ eingestellt.



Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt, warnt es BES12. Wenn ein Integritätsalarm auftritt und „Alle Gerätedaten löschen“ als Erzwingungsaktion eingestellt wird, werden alle Daten vom Gerät gelöscht.

Ein Gerät sendet einen Integritätsalarm an BES12, und als Erzwingungsaktion wird „Nur Geschäftsdaten löschen“ eingestellt.

Nur geschäftlicher Bereich

Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt, warnt es BES12.

Weil diese Geräte nur über einen geschäftlichen Bereich verfügen, werden alle Daten vom Gerät gelöscht, wenn ein Integritätsalarm auftritt und „Nur Geschäftsdaten löschen“ als Erzwingungsaktion eingestellt wird.

Ein Benutzer gibt das Gerätekennwort öfter falsch ein, als in der IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen ist.





Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten werden alle Daten vom Gerät gelöscht, wenn ein Gerät über ein Kennwort für das gesamte Gerät verfügt und ein Benutzer das Gerätekennwort öfter falsch eingibt, als in der IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen ist.

Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, werden alle Daten vom Gerät gelöscht, wenn ein Benutzer das Gerätekennwort öfter falsch eingibt, als in der IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen ist.

Ein Benutzer verwendet die Option „Sicherheitslöschung“ auf dem Gerät.


Ein Benutzer kann alle Daten auf Geräten mithilfe der Option „Sicherheitslöschung“ in den Einstellungen „Sicherheit und Datenschutz“ auf dem Gerät löschen.


57




Ein Benutzer verwendet BlackBerry Protect, um alle Gerätedaten zu löschen.




Ein Benutzer kann auch BlackBerry Protect verwenden, um Daten von einem Gerät zu löschen.

Benutzer können BlackBerry Protect nur dann verwenden, wenn die IT-Richtlinienregel „BlackBerry Protect zulassen“ ausgewählt ist.

Weitere Informationen zu BlackBerry Protect finden Sie in der BlackBerry Protect-Hilfe.

BlackBerry 10-Geräte löschen alle Daten aus den geschäftlichen und persönlichen Bereichen, wenn ein Löschen aller Daten eines Geräts stattfindet.

Datenfluss: Löschen aller DatenWenn alle Daten von einem BlackBerry 10-Gerät gelöscht werden, führt das Gerät die folgenden Aktionen aus:

1. Das BlackBerry 10 OS überschreibt den Gerätespeicher mit Nullen.

2. Das BlackBerry 10 OS führt einen sicheren TRIM-Vorgang für einen Abschnitt des Gerätespeichers aus. Aufgrund des sicheren TRIM-Vorgangs löscht der Flash-Speicherchip den gesamten Speicher.

Vollständiges Löschen von Gerätedaten auf Geräten mit iOS, OS X, Android oder WindowsDie Geräte löschen alle Daten im Gerätespeicher, wenn eines der folgenden Ereignisse eintritt:

Ereignis Beschreibung

Sie senden den IT-Administrationsbefehl „Alle Gerätedaten löschen“ (iOS-, Android- oder Windows-Geräte) oder „Alle Desktopdaten löschen“ (OS X-Geräte) an ein Gerät.

Sie können BES12 verwenden, um alle Daten von den Geräten mithilfe des IT-Administrationsbefehls „Alle Gerätedaten löschen“ oder „Alle Desktopdaten löschen“ zu löschen. Sie können diesen Befehl beispielsweise an ein Gerät senden, um ein zuvor verwendetes Gerät erneut einem Benutzer in Ihrem Unternehmen zuzuteilen oder an ein verloren gegangenes Gerät, das wahrscheinlich nicht wiedergefunden wird.

Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf dem Gerät gespeichert sind (einschließlich Informationen im geschäftlichen Bereich, falls


58

http://help.blackberry.com/en/blackberry-protect



zutreffend), das Gerät auf die Werkseinstellungen zurückgesetzt und das Gerät aus BES12 entfernt.


Weitere Informationen zum Senden dieses Befehls an Geräte: Siehe Dokumentation für Administratoren .

Ein Benutzer gibt häufiger das falsche Gerätekennwort ein, als es die IT-Richtlinienregeln zulassen.


Bei Geräten mit den Aktivierungsarten „Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work)“ und „Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work – Premium)“ wird nur das geschäftliche Profil entfernt.

Ein Benutzer verwendet die Option „Alle Inhalte und Einstellungen löschen“ auf einem Gerät mit iOS.

Ein Benutzer kann alle Daten auf Geräten mit iOS oder höher mithilfe der Option „Alle Inhalte und Einstellungen löschen“ auf dem Gerät löschen.

Vollständiges Löschen geschäftlicher Daten von BlackBerry 10-GerätenUm die Daten Ihres Unternehmens auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten zu schützen, löschen diese Geräte nur Geschäftsdaten, wenn eines der folgenden Ereignisse eintritt:


Sie senden den IT-Administrationsbefehl „Nur Geschäftsdaten löschen“ an ein Gerät.

Sie können BES12 verwenden, um alle geschäftlichen Daten von den Geräten mithilfe des IT-Administrationsbefehls „Nur Geschäftsdaten löschen“ zu löschen. Sie können diesen Befehl beispielsweise an ein persönliches Gerät senden, wenn ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet, oder wenn das Gerät verloren geht oder gestohlen wird.

Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät aus BES12 entfernt.

Die Informationen im geschäftlichen Bereich werden gelöscht und der geschäftliche Bereich wird vom Gerät entfernt.


59





Ein Benutzer kann das Gerät immer noch benutzen, obwohl Daten im geschäftlichen Bereich gelöscht wurden.

Weitere Informationen zum Senden dieses IT-Verwaltungsbefehls finden Sie in der Dokumentation für Administratoren.

Ein Benutzer gibt das Kennwort für den geschäftlichen Bereich öfter falsch ein, als in der IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen ist.

Die Informationen im geschäftlichen Bereich werden gelöscht und der geschäftliche Bereich wird vom Gerät entfernt.

Wenn das Kennwort für den geschäftlichen Bereich und das Gerätekennwort eines Gerätes unterschiedlich sind, werden alle Daten, einschließlich des geschäftlichen Bereichs, vom Gerät gelöscht, wenn ein Benutzer das Gerätekennwort öfter falsch eingibt, als in der IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen ist.

Ein Gerät stellt über einen längeren Zeitraum keine Verbindung zum Netzwerk Ihres Unternehmens her, als in der IT-Richtlinienregel „Geschäftlichen Bereich ohne Netzwerkverbindung löschen“ zugelassen ist.

Sie können die IT-Richtlinienregel „Geschäftlichen Bereich ohne Netzwerkverbindung löschen“ verwenden, um die Anzahl der Stunden festzulegen, die vergehen müssen, ohne dass ein Gerät keine Verbindung zum Netzwerk Ihres Unternehmens herstellt, bevor das Gerät alle Daten im geschäftlichen Bereich löscht.

Sie können diese Regel verwenden, um das Gerät zu veranlassen, die Daten im geschäftlichen Bereich zu löschen, wenn das Gerät keine Updates oder Befehle von BES12 enthält.

Ein Gerät sendet einen Integritätsalarm an BES12, und als Erzwingungsaktion wird „Nur Geschäftsdaten löschen“ eingestellt.

Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt, warnt es BES12. Wenn ein Integritätsalarm auftritt und „Nur Geschäftsdaten löschen“ als Erzwingungsaktion eingestellt wird, wird der geschäftliche Bereich gelöscht.

Ein BlackBerry Balance-Gerät senden einen Integritätsalarm an BES12, und als Erzwingungsaktion wird „Alle Gerätedaten löschen“ eingestellt.

Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt, warnt es BES12. Wenn ein Integritätsalarm auf einem BlackBerry Balance-Gerät auftritt und „Alle Gerätedaten löschen“ als Erzwingungsaktion eingestellt wird, wird nur der geschäftliche Bereich gelöscht.

Ein Benutzer verwendet die Option „Geschäftlichen Bereich löschen“ in den

Benutzer können den geschäftlichen Bereich auch mithilfe der Option „Geschäftlichen Bereich löschen“ in den „BlackBerry Balance“-Einstellungen von ihren Geräten löschen.


60



Einstellungen „BlackBerry Balance“ auf dem Gerät.

Wenn Sie oder ein Benutzer alle Daten aus dem geschäftlichen Bereich auf einem Gerät löschen, weist das BlackBerry 10 OS das Dateisystem an, alle Verzeichnisse und Dateien im geschäftlichen Dateisystem zu löschen. Alle Dateien, die im Dateisystem verbleiben, bleiben verschlüsselt. Die Entschlüsselungsschlüssel sind für das Dateisystem nicht zugänglich.

Geschäftliche Daten wurden vollständig von BlackBerry 10-Geräten gelöschtWenn nur die geschäftlichen Daten von einem BlackBerry Balance-Gerät oder einem regulierten BlackBerry Balance-Gerät gelöscht wurden, verbleiben die gesamten persönlichen Daten auf dem Gerät. Sie können dies beispielsweise tun, wenn ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet.

In der folgenden Tabelle werden Beispiele von Daten aufgelistet, die entfernt werden, wenn alle Daten aus dem geschäftlichen Bereich eines Geräts gelöscht werden:

Objekt Beschreibung

Geschäftliche E-Mail-Nachrichten • E-Mail-Nachrichten, die an das geschäftliche E-Mail-Konto des Benutzers gesendet werden, und E-Mail-Nachrichten, die der Benutzer von seinem geschäftlichen E-Mail-Konto sendet

• Entwürfe von E-Mail-Nachrichten, die der Benutzer mit seinem geschäftlichen E-Mail-Konto erstellt

Anlagen • Anlagen, die an das geschäftliche E-Mail-Konto des Benutzers gesendet werden, und Anlagen, die der Benutzer von seinem geschäftlichen E-Mail-Konto sendet

• Anlagen, die der Benutzer im geschäftlichen Bereich speichert

Kalendereinträge Kalendereinträge, die der Benutzer mithilfe seines Geschäftskalenders erstellt

Kontakte Kontakte, die BES12 mit dem geschäftlichen E-Mail-Konto des Benutzers synchronisiert

BlackBerry Remember Alle Aufgaben und Notizen, die BES12 mit dem geschäftlichen E-Mail-Konto des Benutzers synchronisiert

Browser Alle geschäftlichen Browserdaten

Dateien Dateien, auf die der Benutzer aus dem Netzwerk Ihres Unternehmens aus zugegriffen und die er heruntergeladen hat

IT-Richtlinie IT-Richtlinie, die Ihrem Unternehmen zugewiesen ist


61

Objekt Beschreibung

Schlüssel zum Gerätetransport Verweise auf den Schlüssel zum Gerätetransport, der das Gerät von der Kommunikation mit BES12 abhält

Geschäftliche Apps Geschäftliche Apps, die ein Benutzer heruntergeladen und auf einem Gerät installiert hat

Daten geschäftlicher Apps Geschäftliche Daten sind mit den geschäftlichen Apps auf dem Gerät verknüpft

Geschäftliche Wi-Fi-Profile Geschäftliche Wi-Fi-Profile auf dem Gerät

Geschäftliche VPN-Profile Geschäftliche VPN-Profile auf dem Gerät

Geschäftliche Daten vollständig von iOS-, OS X-, Android- und Windows-Geräten löschenUm die Daten Ihres Unternehmens auf Geräten zu schützen, löschen die Geräte alle geschäftlichen Daten, wenn Sie den IT-Verwaltungsbefehl "Nur geschäftliche Daten löschen" an ein Gerät senden. Sie können diesen Befehl beispielsweise an ein persönliches Gerät senden, wenn ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet, oder wenn das Gerät verloren geht oder gestohlen wird.

Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät wird bei Bedarf aus BES12 entfernt.

Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des Geräts aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12 herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem Sie es entfernen, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt.

Ein Benutzer kann das Gerät immer noch benutzen, obwohl Daten im geschäftlichen Bereich gelöscht wurden.

Weitere Informationen zum Senden dieses Befehls an Geräte finden Sie in der Dokumentation für Administratoren.

Secure Work Space von Geräten mit iOS und Android löschenWenn Sie Secure Work Space von einem Gerät löschen, müssen Sie keine zusätzlichen Schritte vornehmen, um die Wiederherstellung von Daten zu verhindern. Ohne Verschlüsselungsschlüssel ist der Zugriff auf wiederhergestellte Daten kryptografisch unmöglich.

Wenn der geschäftliche Bereich gelöscht wird und das Gerät zum Zeitpunkt der Löschung verbunden war, werden auch Daten des geschäftlichen Bereichs von Medienkarten gelöscht.

Beim Löschen von Secure Work Space werden geschäftliche Daten vollständig gelöscht.Wenn Sie Secure Work Space von einem iOS- und Android-Gerät löschen, werden alle geschäftlichen Daten gelöscht.


62


In der folgenden Tabelle werden Beispiele für Daten aufgeführt, die entfernt werden, wenn der geschäftliche Bereich auf Geräten gelöscht wird:

Objekt Beschreibung

Geschäftliche E-Mail-Nachrichten • E-Mail-Nachrichten, die an die E-Mail-App des Benutzers im geschäftlichen Bereich gesendet werden

• E-Mail-Nachrichten, die der Benutzer von der E-Mail-App im geschäftlichen Bereich sendet

• Entwürfe von E-Mail-Nachrichten, die der Benutzer mithilfe der E-Mail-App im geschäftlichen Bereich erstellt

Anlagen • Anlagen, die an die E-Mail-App des Benutzers im geschäftlichen Bereich gesendet werden

• Anlagen, die der Benutzer von der E-Mail-App im geschäftlichen Bereich sendet

• Anlagen, die der Benutzer im geschäftlichen Bereich speichert

Kalendereinträge Kalendereinträge, die der Benutzer mithilfe der Kalender-App im geschäftlichen Bereich erstellt

Kontakte Kontakte, die BES12 mit der Kontakte-App des Benutzers im geschäftlichen Bereich synchronisiert

Aufgaben und Notizen Alle Aufgaben und Notizen, die BES12 mit der Aufgaben- und Notizen-App des Benutzers im geschäftlichen Bereich synchronisiert

Browser Alle Work Browser-Daten

Dateien Dateien, auf die der Benutzer aus dem Netzwerk Ihres Unternehmens aus zugegriffen und die er heruntergeladen hat

IT-Richtlinie IT-Richtlinie, die dem Gerät zugeordnet ist

Geschäftliche Apps Bei einem iOS-Gerät: geschäftliche Apps, die der Administrator an ein Gerät gesendet hat

Daten geschäftlicher Apps Bei einem iOS-Gerät: geschäftliche Daten, die im Zusammenhang mit geschäftlichen Apps auf dem Gerät stehen (z. B. gespeicherte Einstellungen)

Gesicherte Apps Bei einem iOS-Gerät: gesicherte Apps, die ein Benutzer heruntergeladen und auf einem Gerät installiert hat.

Bei einem Android-Gerät wird der Benutzer aufgefordert, die gesicherten Apps zu entfernen. Wenn der Benutzer die gesicherten Apps nicht entfernt, bleiben diese auf dem Gerät, der Benutzer kann sie aber nicht ausführen.


63

Objekt Beschreibung

Daten im geschäftlichen Bereich Bei einem iOS-Gerät: Daten im geschäftlichen Bereich, die im Zusammenhang mit gesicherten Apps auf dem Gerät stehen.

Bei einem Android-Gerät wird der Benutzer aufgefordert, die Daten im geschäftlichen Bereich zu entfernen (z. B. gespeicherte Einstellungen). Wenn der Benutzer die Daten im geschäftlichen Bereich nicht entfernt, bleiben diese auf dem Gerät, der Benutzer kann aber nicht auf die Daten zugreifen.

Profile Bei einem iOS-Gerät: VPN, Wi-Fi, E-Mail, SCEP, Zertifizierungsstellenzertifikat, freigegebenes Zertifikat, einmalige Anmeldung und Profile für verwaltete Domänen.

Bei einem Android-Gerät: Wi-Fi, E-Mail, Zertifizierungsstellenzertifikat und Profile für freigegebene Zertifikate.

Sicherstellen der Kompatibilität auf GerätenSie können Kompatibilitätsprofile verwenden, um Gerätebenutzer bei der Einhaltung der in Ihrer Organisation in Bezug auf die Verwendung von BlackBerry 10-, iOS-, Android- und Windows Phone-Geräten festgelegten Standards zu unterstützen. Ein Kompatibilitätsprofil definiert die Gerätebedingungen, die in Ihrer Organisation nicht akzeptabel sind.

Abhängig vom Betriebssystem und der Version können Sie festlegen, ob folgende Bedingungen zulässig sind:

• Entsperrte oder gehackte Geräte

• Eingeschränkte Version der Gerätesoftware ist installiert

• Nicht zugewiesene oder eingeschränkte App ist installiert

• Eine erforderliche App wurde nicht installiert

Ein Kompatibilitätsprofil legt die folgenden Informationen fest:

• Bedingungen, aufgrund derer ein Gerät mit BES12 nicht kompatibel ist

• Benachrichtigungen, die die Benutzer erhalten, wenn ein Gerät die Kompatibilitätsbedingungen verletzt und die Zeitdauer, die Benutzern zur Behebung des Problems zur Verfügung steht

• Eine Aktion, die vorgenommen wird, wenn der Benutzer das Problem nicht behebt, einschließlich der Einschränkung des Benutzerzugriffs auf die Ressourcen der Organisation, Löschen geschäftlicher Daten auf dem Gerät oder Löschen aller Daten auf dem Gerät

Weitere Informationen über Kompatibilitätsprofile finden Sie in der Dokumentation für Administratoren.


64


Sicherstellen der BlackBerry 10-GeräteintegritätDas BlackBerry 10 OS überprüft die Integrität des Kernels und des Dateisystems. Wenn BlackBerry 10 OS ein Problem feststellt, sendet es eine Warnmeldung an BES12. Sie können die Integritätsalarm-Einstellungen im Kompatibilitätsprofil festlegen, um die Aktionen zu steuern, die BES12 ausführen würde, wenn eine der Integritätsprüfungen fehlschlägt.

Mögliche Aktionen sind z. B. das Gerät unter Quarantäne zu stellen, sodass es nicht auf geschäftliche Ressourcen zugreifen kann, den Benutzer per E-Mail oder Gerätebenachrichtigung zu benachrichtigen und Geschäftsdaten oder alle Daten des Geräts zu löschen.


Geräte mit Secure Work Space vor dem Entsperren und Hacken schützeniOS

Bei iOS-Geräten schützt Secure Work Space gegen Jailbreaking. Secure Work Space führt Standardprüfungen an Pfadnamen und gemeinsamen Dateien durch sowie zusätzliche Überprüfungen, z. B. Tests, ob Privilegien eskaliert werden können, indem Prozesse verzweigt und Systemaufrufe ausgeführt werden.

Gesicherte Apps führen Überprüfungen des in Verarbeitung befindlichen Speichers durch, um Jailbreak-Signaturen in Echtzeit zu identifizieren und eine robuste Verteidigung gegen alle Entsperrformen bereitzustellen. Überprüfungen des in Verarbeitung befindlichen Speichers werden durch verschiedene Mechanismen geschützt, damit verhindert wird, dass die Algorithmen nicht eingehalten werden. Zum Beispiel werden Überprüfungen über den ganzen Code verteilt und schließen Ablenkungsmanöver und sonstige Verteidigungstaktiken ein.

Jailbreak-Überprüfungen werden während der Ausführung gesicherter Apps durchgeführt. Verliert ein Benutzer ein Gerät und ein Angreifer entsperrt das Gerät, schützt die Verschlüsselung des geschäftlichen Bereichs die Daten im geschäftlichen Bereich, sodass Angriffe, bei denen z. B. Bit-Kopien von persistentem Speicher erstellt werden, nicht möglich sind.

Zum Ausführen von Secure Work Space auf einem entsperrten iOS-Gerät müssen Sie den Zustand des Geräts vor dem Jailbreak-Angriff wiederherstellen.

Android Betriebssystem

Bei Android-Geräten verwendet der Secure Work Space die MDM-APIs des Geräteherstellers, um herauszufinden, ob das Gerät gehackt wurde, sowie weitere Nachweismethoden, die für Secure Work Space spezifisch sind. Die Überprüfungen werden in der Reihenfolge der Wahrscheinlichkeit ausgeführt und stoppen, wenn erkannt wird, dass das Gerät gehackt wurde. Die Nachweismethoden des Geräteherstellers werden über ein Partnerprogramm lizenziert und stehen nicht öffentlich zur Verfügung.

Zum Ausführen von Secure Work Space auf einem gehackten Android-Gerät müssen Sie den Zustand des Geräts vor dem Hacking-Angriff wiederherstellen.


65


Verhindern der Installation spezifischer Apps durch die BenutzerSie können eine Liste von iOS-, Android- und Windows Phone-Apps erstellen, die von Benutzern nicht auf ihren Geräten installiert werden sollen. Zum Beispiel können Sie Benutzer daran hindern, schädliche Apps oder Apps, die viele Ressourcen verbrauchen, zu installieren.

Um eine bestimmte Aktion zu erzwingen, wenn eine gesperrte App auf einem iOS- oder Android-Gerät installiert wird, das Samsung KNOX nicht verwendet, müssen Sie ein Kompatibilitätsprofil erstellen und dieses Benutzern oder Benutzergruppen zuweisen. Das Kompatibilitätsprofil gibt an, welche Aktionen ausgeführt werden, wenn der Benutzer die gesperrte App nicht vom Gerät löscht. Wenn der Benutzer eine gesperrte App installiert, meldet das Gerät des Benutzers, dass diese App nicht kompatibel ist, und der Name der gesperrten App sowie die Aktionen, die ausgeführt werden, wenn die App nicht deinstalliert wird, werden im Kompatibilitätsbericht angezeigt.

Bei Windows Phone 8.1-Geräten oder höher sowie Geräten mit Samsung KNOX müssen Sie die App lediglich dem Kompatibilitätsprofil hinzufügen und keine Kompatibilitätsaktionen festlegen. Grund dafür ist, dass der Benutzer daran gehindert wird, Apps zu installieren, die Sie dem Kompatibilitätsprofil hinzufügen. Wenn ein Benutzer versucht, eine gesperrte App zu installieren, wird eine Meldung auf dem Gerät angezeigt, dass diese App gesperrt ist und nicht installiert werden kann. Wenn eine gesperrte App bereits installiert wurde, wird diese deaktiviert.

Sie müssen keine Liste mit gesperrten Apps für BlackBerry 10- und Android-Geräte mit Android for Work erstellen, da Benutzer nur von Ihnen zugelassene Apps im geschäftlichen Bereich installieren können. Wenn eine gesperrte App bereits auf einem Gerät installiert wurde, wird diese nicht deaktiviert.


Verwandte InformationenKontrolle von persönlichen Apps auf Geräten, auf Seite 36

Bestimmen des Standorts von GerätenSie können ein Standortdienst-Profil zum Auffinden von verlorenen oder gestohlenen iOS-, Android- und Windows 10 Mobile-Geräten erstellen. Sie können die aktuellen Standorte von Geräten auf einer Karte in der Verwaltungskonsole anzeigen und Benutzern ermöglichen, ihre eigenen Geräte auf einer Karte in BES12 Self-Service anzuzeigen. Bei iOS- und Android-Geräten können Sie auch den Verlauf des Gerätestandorts protokollieren. Weitere Informationen zur Standortbestimmung von Geräten finden Sie in der Dokumentation für Administratoren.

Benutzer von BlackBerry 10 Geräten können auch BlackBerry Protect zum Auffinden der Geräte verwenden. Weitere Informationen zu BlackBerry Protect finden Sie in der BlackBerry Protect-Hilfe. Sie können eine IT-Richtlinienregel erstellen, die BlackBerry Protect deaktiviert.


66




Verwenden von IT-Richtlinien für die GeräteverwaltungEine IT-Richtlinie ist ein Regelsatz, mit dem Funktionen und die Funktionalität von Geräten eingeschränkt oder zugelassen werden. Mithilfe von IT-Richtlinienregeln können die Sicherheit und das Verhalten von Geräten verwaltet werden. Das Betriebssystem des Geräts bestimmt über die Liste der Funktionen, die mit IT-Richtlinien gesteuert werden können, und die Aktivierungsart des Geräts bestimmt, welche Regeln einer IT-Richtlinie für ein bestimmtes Gerät gelten.

Es kann einem Benutzerkonto nur eine IT-Richtlinie zugewiesen werden, und die zugewiesene IT-Richtlinie wird an alle Geräte des Benutzers gesendet. Wenn Sie einem Benutzerkonto oder einer Gruppe, der ein Benutzer oder ein Gerät angehört, keine IT-Richtlinie zuweisen, sendet BES12 die standardmäßige IT-Richtlinie an die Geräte des Benutzers.

Sie können den IT-Richtlinien einen Rang zuweisen, um anzugeben, welche Richtlinie an die Geräte gesendet werden soll, wenn ein Benutzer oder ein Gerät Mitglied von zwei oder mehr Gruppen ist, die unterschiedliche IT-Richtlinien aufweisen, und keine der IT-Richtlinien dem Benutzerkonto direkt zugewiesen ist.Der BES12 sendet die ranghöchste IT-Richtlinie an die Geräte des Benutzers.

BES12 sendet IT-Richtlinien automatisch an Geräte, wenn ein Benutzer ein Gerät aktiviert, eine zugewiesene IT-Richtlinie aktualisiert wird und wenn einem Benutzer oder einer Benutzergruppe eine andere IT-Richtlinie zugewiesen wird. Wenn ein Gerät eine neue oder aktualisierte IT-Richtlinie empfängt, wendet das Gerät die Konfigurationsänderungen nahezu in Echtzeit an.

Geräte ignorieren Regeln einer IT-Richtlinie, die nicht für sie gelten. Zum Beispiel ignorieren BlackBerry 10-Geräte, die nur über einen geschäftlichen Bereich verfügen, Regeln, die nur für BlackBerry Balance-Geräte oder Geräte mit anderen Betriebssystemen gelten.

Weitere Informationen über die Zuweisung und Priorisierung von IT-Richtlinien finden Sie in der Dokumentation für Administratoren.

Weitere Informationen über spezifische IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.

Einschränken und Zulassen von GerätefunktionenIndem Sie IT-Richtlinienregeln konfigurieren, können Sie Gerätefunktionen oder Funktionen des geschäftlichen Bereichs einschränken oder zulassen. Die für jeden Gerätetyp zur Verfügung stehenden IT-Richtlinienregeln sind von Betriebssystem und Version des Gerätes sowie von zusätzlichen Optionen von Secure Work Space, Samsung KNOX und Android for Work abhängig. Je nach Betriebssystem des Geräts und Aktivierungsart können Sie mit IT-Richtlinienregeln Folgendes kontrollieren:

• Kennwortanforderungen des Geräts und des geschäftlichen Bereichs

• Gerätefunktionen wie Kamera oder Standortdienste

• Verbindungen über die drahtlose Bluetooth-Technologie oder NFC

• Verfügbarkeit bestimmter Apps


67





Weitere Informationen über spezifische IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/.

Steuern von BlackBerry 10-GerätefunktionenBlackBerry 10-Geräte unterstützen eine umfangreiche Liste von IT-Richtlinienregeln zur Kontrolle der Gerätefunktionen. Zum Beispiel können folgende Funktionen auf allen BlackBerry 10-Geräten durch IT-Richtlinienregeln deaktiviert werden:

• Roaming

• Sprachsteuerung

• Tethering und mobiler Hotspot

• Rechnungen des Mobilfunkanbieters für Käufe in der BlackBerry World

Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen geschäftlichen Bereich verfügen, können Sie eine Vielzahl von Funktionen aktivieren oder deaktivieren. Beispiel:

• Standortbestimmung

• Medienkarte

• Kamera

• UKW-Radio

• Mobile Netzwerkverbindungen

• Freisprechen

• Sprachaufzeichnung

• Wi-Fi

• HDMI

• NFC

• Bluetooth

• SMS/MMS

• BBM

• BlackBerry Protect

Weitere Informationen über die IT-Richtlinienregeln, die diese Funktionen steuern, finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/

Steuern von BlackBerry 10 OS-Software-UpdatesBenutzer können ihre Gerätesoftware standardmäßig durch das Herunterladen von BlackBerry 10 OS-Updates über das drahtlose Netzwerk aktualisieren. Benutzer können alle Softwareupdates herunterladen, die durch BlackBerry oder einen Dienstanbieter bereitgestellt werden.


68





Für reglementierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können Sie eine IT-Richtlinienregel verwenden, um Benutzer auf das ausschließliche Herunterladen von sicherheitsrelevanten Software-Updates über das WLAN-Netzwerk, das von BlackBerry oder dem Mobilfunkanbieter zur Verfügung gestellt wird, zu beschränken oder zu verhindern, dass Benutzer Software-Updates über das drahtlose Netzwerk herunterladen.


Steuerung der BlackBerry 10-Protokollsynchronisierung mit BES12Standardmäßig synchronisieren regulierte BlackBerry Balance-Geräte und Geräte nur mit geschäftlichem Bereich Protokolldateien für BBM, Telefon, SMS, MMS, PIN und BBM Video-Chatfunktionen nicht mit dem BES12.

Wenn Sie einen oder mehrere dieser Kommunikationspfade protokollieren müssen, können Sie dies mithilfe der folgenden IT-Richtlinienregeln tun:

• BBM-Protokolle synchronisieren

• Telefonprotokolle synchronisieren

• PIN-zu-PIN-Protokolle synchronisieren

• SMS/MMS-Protokolle synchronisieren

• Videochat-Protokolle synchronisieren

Wenn Sie diese Kommunikationspfade für regulierte BlackBerry Balance-Geräte protokollieren, enthalten die Protokolldateien sowohl Geschäfts- als auch private Daten.


Kontrolle von Verbindungen auf BlackBerry 10-GerätenRegulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können standardmäßig verschiedene Verbindungen herstellen. Sie können die folgenden IT-Richtlinienregeln verwenden, um Verbindungen zu steuern:

• Bluetooth zulassen

• Hotspot-Browser zulassen

• Miracast zulassen

• NFC zulassen

• Vom Benutzer erstelle VPN-Profile zulassen

• Wi-Fi zulassen

Wenn Sie eine dieser Verbindungen auf regulierten BlackBerry Balance-Geräten nicht zulassen, wird diese sowohl für den persönlichen als auch für den geschäftlichen Bereich nicht zugelassen.



69







Übertragen von geschäftlichen Dateien von Geräten mit BluetoothMithilfe der drahtlosen Bluetooth-Technologie können Benutzer drahtlose Verbindungen zwischen einem BlackBerry Balance- oder einem regulierten BlackBerry Balance-Gerät und anderen Bluetooth-fähigen Geräten herstellen. Benutzer müssen eine Kopplung mit einem anderen Bluetooth-Gerät anfordern und einen Kennschlüssel verwenden, um die Kopplung einzurichten. Das Gerät zeigt den Benutzern jedes Mal eine Aufforderung an, wenn ein Bluetooth-fähiges Gerät versucht, eine Verbindung mit den Geräten herzustellen.

Standardmäßig können Benutzer Dateien, Kontakte und Nachrichten aus dem geschäftlichen Bereich auf Geräten an Bluetooth-fähige Geräte, die sie erfolgreich gekoppelt haben, übertragen.

Sie können die folgenden IT-Richtlinienregeln anwenden, um zu verhindern, dass Benutzer geschäftliche Dateien an andere Bluetooth-fähige Geräte übertragen:

IT-Richtlinienregel Beschreibung

Das Übertragen geschäftlicher Dateien mithilfe von Bluetooth-OPP oder einer Wi-Fi Direct-Verbindung zulassen

Geräte verwenden das Bluetooth-OPP, um andere Objekte an andere Bluetooth-fähige Geräte zu senden. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien über Bluetooth-OPP oder einer Wi-Fi Direct-Verbindung zulassen" anwenden, um zu verhindern, dass Benutzer das Bluetooth-OPP anwenden, um geschäftliche Dateien und Objekte wie Kontakte an andere Bluetooth-fähige Geräte zu senden. Geräte verwenden außerdem das Bluetooth-OPP, um geschäftliche Dateien in einem Dateiformat (zum Beispiel Bilder oder Dokumente) mithilfe von NFC zu teilen. Wenn die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien mithilfe einer Bluetooth-OPP oder einer Wi-Fi Direct-Verbindung zulassen" nicht aktiviert ist, können Benutzer keine geschäftlichen Dateien in einem Dateiformat teilen. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien über NFC zulassen" auch anwenden, um zu verhindern, dass Benutzer geschäftliche Dateien an andere NFC-fähige Geräte über NFC senden.

Übertragen von Geschäftskontakten mit Bluetooth-PBAP oder -HFP zulassen

Geräte verwenden das Bluetooth-PBAP und das Bluetooth-HFP, um Kontakte an ein anderes Bluetooth-fähige Gerät zu senden. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Kontakten über Bluetooth PBAP HFP zulassen" anwenden, um zu verhindern, dass Benutzer Bluetooth-PBAP und Bluetooth-HFP anwenden, um geschäftliche Kontakte an ein anderes Bluetooth-fähiges Gerät zu senden. Wenn Sie diese Regel nicht auswählen, können Geräte das Bluetooth-MAP auch nicht verwenden, um geschäftliche Nachrichten an ein anderes Bluetooth-fähiges Gerät zu senden.

Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP zulassen

Geräte verwenden Bluetooth-MAP, um Nachrichten an andere Bluetooth-fähige Geräte zu senden. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" anwenden, um zu verhindern, dass Benutzer Bluetooth-MAP verwenden, um Nachrichten vom geschäftlichen Bereich (zum Beispiel E-Mail-Nachrichten und Sofortnachrichten) an ein anderes Bluetooth-fähiges Gerät senden. Wenn Sie nicht die IT-Richtlinienregel "Übertragen von geschäftlichen Kontakten


70

IT-Richtlinienregel Beschreibung

mit Bluetooth-PBAP oder HFP zulassen" anwenden, können Benutzer keine geschäftlichen Nachrichten an ein anderes Bluetooth-fähiges Gerät mithilfe von Bluetooth-MAP senden, unabhängig davon, ob die IT-Richtlinienregel "Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" ausgewählt ist oder nicht.

Standardmäßig kann der Benutzer bei Auswahl der IT-Richtlinienregel "Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" geschäftliche Nachrichten an ein Bluetooth-fähiges Gerät mithilfe von Bluetooth-MAP übertragen, nachdem er einmal das Kennwort für den Eintritt in den geschäftlichen Bereich eingegeben hat. Wenn ein Benutzer den geschäftlichen Bereich jedes Mal wieder neu entsperren soll, wenn das Gerät eine Verbindung zum Bluetooth-fähigen Gerät aufbaut und bevor es geschäftliche Nachrichten mithilfe von Bluetooth-MAP übertragen kann, so wählen Sie die IT-Richtlinienregel "Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" nicht aus.

Sie können auch verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit Bluetooth aufbauen.

Steuern von Bluetooth auf GerätenRegulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können standardmäßig Bluetooth-Verbindungen herstellen. Sie verfügen über eine Reihe von Optionen zum Steuern von Bluetooth-Verbindungen und zum Steuern einiger der Kriterien, die ein Gerät verwenden muss, wenn es sich mit einem anderen Gerät verbindet.

Option IT-Richtlinienregel Beschreibung

Verhindern, dass ein Gerät Bluetooth-Verbindungen herstellt

Bluetooth zulassen Wenn Sie Bluetooth-Verbindungen auf einem Gerät zulassen, kann der Benutzer Bluetooth dennoch mithilfe der Geräteeinstellungen ausschalten.

Verhindern, dass ein Gerät den erkennbaren Bluetooth-Modus verwendet

Erkennbaren Bluetooth-Modus zulassen Ein erkennbares Gerät kann von anderen Bluetooth-fähigen Geräten im Bereich des Geräts aufgefunden werden. Wenn Sie den erkennbaren Modus auf einem Gerät zulassen, kann der Benutzer diesen dennoch mithilfe der Geräteeinstellungen ausschalten.

Verhindern, dass ein Gerät mit Bluetooth und aktiviertem erkennbaren Modus neue Verbindungen mit anderen Geräten herstellt

Bluetooth-Kopplung zulassen Wenn ein Gerät eine Verbindung zu anderen Geräten hergestellt hat, können Sie diese Regel verwenden, um zu


71

Option IT-Richtlinienregel Beschreibung

verhindern, dass es eine Verbindung zu weiteren Geräten herstellt.

Verhindern, dass ein Gerät kurze Kennschlüssel annimmt

Eine Mindestlänge für den Bluetooth-Kennschlüssel durchsetzen

Standardmäßig kann ein Gerät eine Verbindung zu einem anderen Gerät herstellen, wenn der Kennschlüssel, den das andere Gerät anfordert oder bereitstellt, weniger als 8 Ziffern beträgt.

Die Mindestlänge des Verschlüsselungsschlüssels steuern, den Geräte zur Verschlüsselung von Bluetooth-Verbindungen verwenden

Mindestlänge des Bluetooth-Verschlüsselungsschlüssels

Standardmäßig muss ein Gerät eine Mindestlänge des Verschlüsselungsschlüssels von 1 Byte verwenden.

Voraussetzen, dass Geräte den Modus für den numerischen Vergleich nutzen, um eine Verbindung zu einem anderen Gerät herzustellen

Numerischen Bluetooth-SSP-Vergleich erzwingen

Wenn Geräte Bluetooth-SSP verwenden, um eine Verbindung zu einem anderen Gerät herzustellen, auf dem Bluetooth-Version 2.1 und höher ausgeführt wird, können Sie voraussetzen, dass Geräte den numerischen Vergleich für die Verbindung verwenden.

Standardmäßig müssen Geräte den Modus für den numerischen Vergleich nicht verwenden.

Steuern, welche Bluetooth-Profile verfügbar sind

• Bluetooth A2DP zulassen

• Bluetooth AVRCP zulassen

• Bluetooth-Kontaktübertragung über PBAP zulassen

• Bluetooth-Dateiübertragung über OBEX zulassen

• Bluetooth-HFP zulassen

• Bluetooth-MAP zulassen

• Bluetooth-PAN-Profil zulassen

• Bluetooth-SPP zulassen

Geräte nutzen Bluetooth-Profile, um mit anderen Bluetooth-fähigen Geräten zu kommunizieren, und führen Aufgaben aus, wie z. B. Audio-Dateien auf andere Geräte streamen oder anderen Geräten erlauben, auf bestimmte Datentypen zuzugreifen.



72



Verwalten von Datentransfer auf ein Gerät/von einem Gerät mithilfe von NFSDateien, die BlackBerry Balance- und regulierte BlackBerry Balance-Geräte von anderen Geräten mithilfe von NFS empfangen, werden im Allgemeinen als persönliche Daten klassifiziert. Wenn jedoch eine geschäftliche App ein für die geschäftliche APP spezifisches NFC-Tagformat unterstützt, werden die von einem Gerät empfangenen Dateien mit diesem NFC-Tag als geschäftliche Daten klassifiziert.

Standardmäßig können Geräte NFC verwenden, um geschäftliche Dateien zu anderen NFC-fähigen Geräten zu übertragen. Sie können zulassen oder verhindern, dass Benutzer geschäftliche Dateien in einem Dateiformat (zum Beispiel Bilder oder Dokumente) mithilfe von NFC teilen, indem Sie die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien mit Bluetooth OPP zulassen" anwenden. Unabhängig davon, wie diese IT-Richtlinienregel festgelegt wurde, können Geräte NFC verwenden, um bestimmte MIME- oder URI-Dateitypen zu senden, wie zum Beispiel Webadressen und Telefonnummern an andere NFC-fähige Geräte. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien über NFC zulassen" auch anwenden, um zu verhindern, dass Benutzer geschäftliche Dateien an andere NFC-fähige Geräte über NFC senden.

Sie können auch verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit NFC aufbauen.

Verwalten, wie Geräte Smartcards verwendenSie können die folgenden IT-Richtlinienregeln verwenden, um zu steuern, wie Geräte Smartcards verwenden. Die verfügbaren IT-Richtlinienregeln hängen von der Aktivierungsart ab:

IT-Richtlinienregel Anforderungen Beschreibung

Zwei-Faktor-Authentifizierung • Reguliertes BlackBerry Balance-Gerät

• Gerät, das nur über einen geschäftlichen Bereich verfügt

• BlackBerry 10 OS (Version 10.3 und höher)

Sie können diese Regel verwenden, um zu bestimmen, ob Zwei-Faktor-Authentifizierung erforderlich, zugelassen oder nicht zugelassen sein soll.

Zwei-Faktor-Authentifizierung nur für geschäftlichen Bereich

• Reguliertes BlackBerry Balance-Gerät



Über diese IT-Richtlinienregel können Sie angeben, ob Benutzer auch das Kennwort für den geschäftlichen Bereich eingeben müssen, um den geschäftlichen Bereich zu entsperren, oder ob dafür nur die Smartcard und das Smartcard-Kennwort erforderlich sind.

Zwei-Faktor-Authentifizierung für geschäftliche Zwecke zuweisen


Wenn Zwei-Faktor-Authentifizierung eingeschaltet wird, können Sie diese Regel verwenden, um zu bestimmen, ob Zwei-


73

IT-Richtlinienregel Anforderungen Beschreibung


Faktor-Authentifizierung verwendet werden kann, um den geschäftlichen Bereich, das Gerät oder beides zu entsperren.

Caching von Smartcard-Kennwörtern

• BlackBerry Balance-Geräte




Sie können diese Regel verwenden, um zu bestimmen, ob ein Gerät das Smartcard-Kennwort im Cache-Speicher speichern kann. Das zwischengespeicherte Kennwort wird im Geräte-RAM gespeichert.

Kennworteingabe für Smartcard





Sie können diese Regel verwenden, um zu bestimmen, ob ein Gerät die Kennworteingabe für Smartcard mit Zwei-Faktor-Authentifizierung verwenden kann. Die Kennworteingabe für Smartcard ermöglicht einem Benutzer, numerische Kennwörter auf dem Gerät einzugeben, ohne die Alt-Taste zu drücken, und vervollständigt das Feld für das Gerätekennwort oder für das Kennwort für den geschäftlichen Bereich automatisch, wenn das Gerätekennwort oder das Kennwort für den geschäftlichen Bereich und das Smartcard-Kennwort identisch sind.

Sperren beim Entfernen der Smartcard





Sie können diese Regel verwenden, um zu bestimmen, ob ein Gerät oder der geschäftliche Bereich auf einem Gerät gesperrt wird, wenn ein Benutzer die Smartcard aus einem unterstützen Smart Card Reader entfernt oder einen unterstützten Smart Card Reader vom Gerät trennt.



74



Steuern des BlackBerry Link-Zugriffs auf GeräteDie Benutzer von BlackBerry 10-Geräten können Apps und Daten mithilfe von BlackBerry Link auf einem Computer sichern und wiederherstellen. Benutzer können die gesicherten Daten auf Geräten wiederherstellen, nachdem die Gerätesoftware aktualisiert wurde oder wenn Probleme auftreten, die eine Wiederherstellung der Informationen erforderlich machen. Benutzer können die Daten auf dem gleichen Gerät wiederherstellen oder an ein anderes Gerät übertragen. Die Daten werden verschlüsselt und auf den Computern der Benutzer gespeichert. Sie können die erforderliche Verschlüsselungsschlüssel in BES12 generieren, undBES12 übermittelt die Schlüssel an die Geräte.

Auf BlackBerry Balance-Geräten und regulierten BlackBerry Balance-Geräten können der geschäftliche Bereich und der persönliche Bereich gesichert und wiederhergestellt werden. Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, kann der geschäftliche Bereich gesichert werden (da es nur den einen Bericht gibt).

Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Sie mit der IT-Richtlinienregel „Sichern und Wiederherstellen des geschäftlichen Bereichs zulassen“ verhindern, dass Benutzer Apps und Daten im geschäftlichen Bereich der Geräte sichern und wiederherstellen. Wenn diese Regel nicht aktiviert ist, wird die Option zum Sichern und Wiederherstellen der Inhalte des geschäftlichen Bereichs in BlackBerry Link deaktiviert.

Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, und regulierten BlackBerry Balance-Geräten können Sie mit der IT-Richtlinienregel „Sichern und Wiederherstellen des geschäftlichen Bereichs zulassen“ verhindern, dass Benutzer Apps und Daten auf dem Gerät sichern und wiederherstellen. Wenn diese Regel nicht aktiviert ist, wird die Option zum Sichern und Wiederherstellen der Inhalte des Geräts in BlackBerry Link deaktiviert.

Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, und regulierten BlackBerry Balance-Geräten, können Sie mit der IT-Richtlinienregel „Zulassen, dass Computer auf Gerät zugreift“ verhindern, dass Computer auf Inhalte von Geräten über eine USB-Verbindung zugreifen oder die Option zur Freigabe von Dateien mit einer Wi-Fi-Verbindung verwenden können. Wenn Sie diese Regel auf „Nicht zulassen“ setzen, können Benutzer mit ihren Geräten keine Verbindung zu BlackBerry Link herstellen.

Weitere Informationen über die Verwendung von BES12 zum Generieren von Verschlüsselungsschlüsseln finden Sie in der Dokumentation für Administratoren. Weitere Informationen über BlackBerry Link- und BlackBerry 10-Geräte finden Sie im Sicherheitshandbuch für BlackBerry 10-Geräte.


75


Wie BES12 Ihre Daten während der Übertragung schützt

Daten, die zwischen Geräten und den Ressourcen Ihres Unternehmens hin- und hergesendet werden, werden je nach Datenpfad mit verschiedenen Methoden geschützt.

Zwischen den Mail-, Web- und Inhaltsservern Ihres Unternehmens und Geräten übertragene Daten können direkt über ein geschäftliches VPN, ein geschäftliches Wi-Fi-Netzwerk oder in Abhängigkeit von der Aktivierungsart und den gewählten Optionen des Geräts auch über BES12 und die BlackBerry Infrastructure gesendet werden.

Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile oder IT-Administrationsbefehle und erforderliche Apps aus Ihrem Unternehmensnetzwerk an Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure gesendet, selbst wenn das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist.

Unabhängig vom Typ und Pfad der Daten werden die Daten verschlüsselt und über gegenseitig authentifizierte Verbindungen geleitet. Die Daten können nicht von der BlackBerry Infrastructure oder an einem anderen Punkt auf dem Übertragungsweg entschlüsselt werden.

Schutz von Daten während der Übertragung über die BlackBerry InfrastructureDaten, die zwischen Geräten und Ihren Ressourcen übertragen werden, durchlaufen die BlackBerry Infrastructure unter den folgenden Umständen:

• BES12 sendet interne Apps und alle Geräteverwaltungsdaten, wie IT-Richtlinien, Profile und IT-Administrationsbefehle, durch die BlackBerry Infrastructure an die Geräte, selbst wenn diese mit einem geschäftlichen VPN oder einem Wi-Fi-Geschäftsnetzwerk verbunden sind.

• Die zwischen einem Gerät und dem Mail-, Web- oder Inhaltsserver Ihres Unternehmens übertragenen Daten durchlaufen BES12 und die BlackBerry Infrastructure nur dann, wenn BlackBerry Secure Connect Plus oder die Enterprise-Konnektivität eingeschaltet sind und das Gerät nicht mit einem geschäftlichen VPN oder einem Wi-Fi-Geschäftsnetzwerk verbunden ist.

Enterprise-Konnektivität ist für BlackBerry 10-Geräte immer aktiviert und kann für Geräte mit Secure Work Space konfiguriert werden.Geräte mit BlackBerry 10, iOS 9 und höher mit „MDM-Steuerelemente“-Aktivierungen, Samsung KNOX Workspace- und Android for Work-Geräte mit „Android for Work – Premium“-Aktivierungen können BlackBerry Secure Connect Plus verwenden.

4


76

Schützen von Geräteverwaltungsdaten, die zwischen BES12 und Geräten gesendet werdenWenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile, IT-Administrationsbefehle und interne Apps aus Ihrem Unternehmensnetzwerk an Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure gesendet, selbst wenn das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist.

Während des Aktivierungsvorgangs wird eine TLS-Verbindung mit gegenseitiger Authentifizierung zwischen BES12 und den BlackBerry 10-, Windows 10- sowie OS X-Geräten hergestellt. BES12 baut die gegenseitig authentifizierte TLS-Verbindung mit der Good for BES12-App auf den iOS-Geräten oder dem BES12 Client auf Android- oder Windows Phone 8.x-Geräten auf. Wenn BES12 Konfigurationsinformationen an ein Gerät senden muss und BES12 und das Gerät eine TLS-Verbindung zum Schützen der Daten verwenden.

Senden von Geräteverwaltungsdaten zwischen Geräten und BES12Wenn BES12 Geräteverwaltungsdaten an Geräte sendet und Geräte Daten an BES12 zurücksenden, werden die Daten stets über die BlackBerry Infrastructure übermittelt.


77

Verwendete Verschlüsselungsarten zum Senden von Geräteverwaltungsdaten an GeräteFür das Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 werden verschiedene Verschlüsselungsarten verwendet.

Authentifizierung von BES12 bei der BlackBerry InfrastructureZum Schutz der Daten während der Übertragung zwischen BES12 und der BlackBerry Infrastructure ist eine gegenseitige Authentifizierung von BES12 und BlackBerry Infrastructure vor der Übertragung der Daten erforderlich.Je nach den gewählten Verbindungsoptionen verwenden BES12 und die BlackBerry Infrastructure je nach Typ der gesendeten Daten unterschiedliche Authentifizierungsmethoden:

• Wenn BES12 Geräteverwaltungsdaten an ein beliebiges Gerät sendet oder geschäftliche Daten von Mail-, Web-, oder Inhaltsservern Ihres Unternehmens über Enterprise-Konnektivität an Secure Work Space-Geräte sendet, nutzen BES12 und BlackBerry Infrastructure eine gegenseitig authentifizierte TLS-Verbindung, die AES-256 zum Schutz der Daten beim Transport verwendet.

• Wenn BES12 Geschäftsdaten vom Mail-, Web- oder Inhaltsserver Ihres Unternehmens an BlackBerry 10-Geräte mittels Enterprise-Konnektivität über die BlackBerry Infrastructure sendet, verwendet BES12 SRP zur Authentifizierung bei und Verbindung mit der BlackBerry Infrastructure.

• Wenn BES12 geschäftliche Daten von Mail-, Web-, oder Inhaltsservern Ihres Unternehmens über BlackBerry Secure Connect Plus an BlackBerry 10-, iOS-, Samsung KNOX Workspace- oder Android for Work-Geräte sendet, verwendet BES12 SRP für die Authentifizierung mit der BlackBerry Infrastructure und stellt dann einen sicheren IP-Tunnel mit DTLS zwischen BES12 und dem Gerät her.


78

Nachdem BES12 und die BlackBerry Infrastructure eine SRP-Verbindung hergestellt haben, baut BES12 eine permanente TCP/IP-Verbindung über TCP-Port 3101 auf, über die Daten an die BlackBerry Infrastructure gesendet werden können.

SRP ist ein proprietäres Punkt-zu-Punkt-Protokoll, das über TCP/IP ausgeführt wird. BES12 verwendet SRP zum Kontaktieren der BlackBerry Infrastructure und zum Herstellen einer Verbindung. Wenn BES12 und die BlackBerry Infrastructure eine Verbindung herstellen, führen sie die folgenden Aktionen aus:

• Gegenseitige Authentifizierung

• Austausch von Konfigurationsinformationen

• Senden und Empfangen von Daten

Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von GeräteverwaltungsdatenDieser Datenfluss gilt auch für das Senden von geschäftlichen Daten mithilfe der Enterprise-Konnektivität an Secure Work Space-Geräte.

1. BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung.

2. Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12.

3. BES12 führt die folgenden Aktionen aus:

• Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde

• Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung

• Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern

4. Die BlackBerry Infrastructure überprüft den von BES12 gesendeten SRP-Bezeichner und -Authentifizierungsschlüssel und führt eine der folgenden Aktionen aus:

• Wenn die Anmeldeinformationen gültig sind, wird eine Bestätigung an BES12 gesendet, um den Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren

• Wenn die Anmeldedaten nicht gültig sind, wird der Authentifizierungsvorgang gestoppt und die SRP-Verbindung geschlossen.

Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von Geschäftsdaten an Geräte


79

1. BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung.

2. Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12.


• Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde

• Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung

• Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern

4. Die BlackBerry Infrastructure sendet eine zufällige Challenge-Zeichenfolge an BES12.

5. BES12 sendet eine Challenge-Zeichenfolge an die BlackBerry Infrastructure.

6. Die BlackBerry Infrastructure hashcodiert die von BES12 empfangene Challenge-Zeichenfolge mit dem SRP-Authentifizierungsschlüssel mittels HMAC und dem SHA-1-Algorithmus. Die BlackBerry Infrastructure sendet den resultierenden 20-Byte-Wert als Challenge-Antwort an BES12.

7. BES12 hashcodiert die von der BlackBerry Infrastructure empfangene Challenge-Zeichenfolge mit dem SRP-Authentifizierungsschlüssel und sendet das Ergebnis als Challenge-Antwort an die BlackBerry Infrastructure.

8. Die BlackBerry Infrastructure führt eine der folgenden Aktionen durch:

• Akzeptiert die Challenge-Antwort und sendet eine Bestätigung an den BES12, um den Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren

• Lehnt die Challenge-Antwort ab

Wenn die BlackBerry Infrastructure die Challenge-Antwort ablehnt, ist der Authentifizierungsprozess nicht erfolgreich. Die BlackBerry Infrastructure und der BES12 schließen die SRP-Verbindung.

Wenn BES12 fünfmal innerhalb einer Minute den gleichen SRP-Authentifizierungsschlüssel und die gleiche SRP-ID zum Herstellen (und anschließenden Trennen) einer Verbindung mit der BlackBerry Infrastructure verwendet, deaktiviert die BlackBerry Infrastructure die SRP ID, um zu verhindern, dass sie von einem Angreifer zur Schaffung von Bedingungen für einen Denial-of-Service (DoS)-Angriff missbraucht werden kann.


80

Wie Geräte eine Verbindung zur BlackBerry Infrastructure herstellenGeräte und die BlackBerry Infrastructure senden sich gegenseitig alle Daten über eine TLS-Verbindung zu. Die TLS-Verbindung verschlüsselt die Daten, die von den Geräten und der BlackBerry Infrastructure hin und her gesendet werden.

Wenn ein Angreifer versucht, sich als die BlackBerry Infrastructure auszugeben, verhindern die Geräte den Aufbau der Verbindung. Die Geräte verifizieren, ob der öffentliche Schlüssel des TLS-Zertifikats für die BlackBerry Infrastructure mit dem privaten Schlüssel des Stammzertifikats übereinstimmt, das während der Herstellung auf den BlackBerry 10-Geräten vorinstalliert wird und das auf anderen Geräten während des Aktivierungsprozesses installiert wird. Wenn ein Benutzer ein ungültiges Zertifikat akzeptiert, kann die Verbindung nur dann hergestellt werden, wenn das Gerät auch mit einer gültigen BES12-Instanz authentifiziert werden kann.

Verschlüsselung der BlackBerry Infrastructure-Verbindung

Bei einer BlackBerry Infrastructure-Verbindung stellt ein Gerät über einen beliebigen drahtlosen Zugriffspunkt, die BlackBerry Infrastructure, die Firewall Ihres Unternehmens und den BES12 eine Verbindung zu den Ressourcen Ihres Unternehmens her. Wi-Fi-Verschlüsselung wird nur verwendet, wenn der drahtlose Zugriffspunkt für die Verwendung der Verschlüsselung eingerichtet ist.

Datenfluss: Herstellen einer TLS-Verbindung zwischen der BlackBerry Infrastructure und einem Gerät1. Ein Gerät sendet eine Anforderung zum Herstellen einer TLS-Verbindung an die BlackBerry Infrastructure.

2. Die BlackBerry Infrastructure sendet ihr TLS-Zertifikat an das Gerät.


81

3. Das Gerät überprüft das TLS-Zertifikat mit einem Stammzertifikat, das auf dem Gerät während der Fertigung oder des Aktivierungsprozesses vorinstalliert wurde.

4. Das Gerät stellt die TLS-Verbindung her.

Verbinden von Geräten mit Ihren RessourcenBlackBerry 10-Geräte, Geräte mit Secure Work Space, bei denen Enterprise-Konnektivität aktiviert ist, und iOS-Geräte mit Samsung KNOX Workspace oder Android for Work können sich über BlackBerry Secure Connect Plus über mehrere Kommunikationsmethoden mit Ihren Unternehmensressourcen (z. B. Mail-Server, Web-Server und Inhaltsserver) verbinden. Standardmäßig versuchen die Geräte, mithilfe der folgenden Kommunikationsmethoden eine Verbindung zu den Ressourcen Ihres Unternehmens herzustellen. Der Reihe nach:

1. Geschäftliche VPN-Profile, die Sie konfigurieren

2. Geschäftliche Wi-Fi-Profile, die Sie konfigurieren

3. BlackBerry Infrastructure und BES12

4. Persönliche VPN- oder Wi-Fi-Einstellungen, die ein Benutzer auf dem Gerät konfiguriert

Standardmäßig können geschäftliche Apps auf den Geräten ebenfalls jede dieser Kommunikationsmethoden verwenden, um auf die Ressourcen in Ihrer Unternehmensumgebung zuzugreifen.


82

Schutz von Daten während der Übertragung zwischen BlackBerry 10 Geräten und Ihren RessourcenBevor BES12 oder ein BlackBerry 10-Gerät Daten über die BlackBerry Infrastructure zwischen dem Gerät und dem Mail-, Web- oder Inhaltsserver Ihres Unternehmens sendet, komprimiert er bzw. es die Daten, verschlüsselt sie mithilfe von Nachrichtenschlüsseln und verschlüsselt die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts. Wenn BES12 oder ein Gerät die Daten empfängt, entschlüsselt es die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts und entschlüsselt und dekomprimiert die Daten. Dieser Prozess wird als BlackBerry-Transportschichtverschlüsselung bezeichnet.

Daten, die zwischen Geräten und den Servern Ihres Unternehmens übertragen und über die TCP/IP-Verbindung zwischen BES12 und BlackBerry Infrastructure gesendet werden, sind sicher, da die Daten an keinem Zwischenpunkt zwischen BES12 und dem Gerät erneut entschlüsselt und verschlüsselt werden.

Kein Datenverkehr, der von Geräten über die BlackBerry Infrastructure gesendet wird, kann Ihre Unternehmensressourcen erreichen, solange BES12 die Daten nicht mit einem gültigen Transportschlüssel für das Gerät entschlüsseln kann.

BES12 und die Geräte verwenden AES-256 im CBC-Modus als symmetrischen Algorithmus für die BlackBerry-Transportschichtverschlüsselung.

Schlüssel zum GerätetransportDer Transportschlüssel des Geräts verschlüsselt die Nachrichtenschlüssel, durch die die Daten bei der Übertragung zwischen den Unternehmensressourcen und den BlackBerry 10-Geräten, die über BES12 und die BlackBerry Infrastructure gesendet werden, geschützt werden. BES12 und ein Gerät generieren den Transportschlüssel des Geräts, wenn ein Benutzer das Gerät aktiviert.

Der Wert des Transportschlüssels des Geräts ist nur BES12 und dem Gerät bekannt. Datenpakete, deren Format nicht erkannt wird, oder deren Gerätetransportschlüssel, durch den das Datenpaket geschützt wird, nicht erkannt wird, werden abgelehnt.

Geräte speichern ihre Transportschlüssel in einer Schlüsselspeicherdatenbank im Flash-Speicher. Die Schlüsselspeicherdatenbank verhindert, dass Angreifer die Gerätetransportschlüssel auf einen Computer kopieren können, indem sie versuchen, eine Sicherung davon abzulegen. Angreifer können keine Schlüsseldaten aus dem Flash-Speicher extrahieren.

Generieren des Gerätetransportschlüssels für ein GerätWenn ein Benutzer ein BlackBerry 10-Gerät aktiviert, sendet das Gerät eine CSR an BES12. BES12 erstellt anhand der CSR ein Client-Zertifikat, signiert das Client-Zertifikat mit seinem Verwaltungsstammzertifikat des Unternehmens und sendet das Client-Zertifikat und das Verwaltungsstammzertifikat des Unternehmens an das Gerät. Um die Verbindung zwischen dem Gerät und BES12 während des Zertifikataustauschs zu schützen, erstellen das Gerät und BES12 mithilfe des Aktivierungskennworts und der EC-SPEKE einen kurzlebigen symmetrischen Schlüssel.

Sobald der Zertifikataustausch abgeschlossen ist, stellen das Gerät und BES12 unter Verwendung des Client-Zertifikats und des Server-Zertifikats eine gegenseitig authentifizierte TLS-Verbindung her. Das Gerät verifiziert das Server-Zertifikat mithilfe des Verwaltungsstammzertifikats des Unternehmens.


83

Um den Transportschlüssel des Geräts zu generieren, verwenden das Gerät und BES12 die authentifizierten, langfristig geltenden öffentlichen Schlüssel, die mit dem Clientzertifikat und dem Serverzertifikat für BES12 verknüpft sind, sowie ECMQV. Das ECMQV-Protokoll wird über die gegenseitig authentifizierte TLS-Verbindung verwendet. Die in ECMQV verwendete elliptische Kurve entspricht der von NIST empfohlenen 521-Bit-Kurve.

BES12 und das Gerät senden den Transportschlüssel des Geräts nicht über das drahtlose Netzwerk, wenn der Transportschlüssel des Geräts generiert wird oder Daten ausgetauscht werden.

NachrichtenschlüsselDurch Nachrichtenschlüssel wird die Integrität der Daten geschützt, die zwischen den Ressourcen Ihres Unternehmens und den BlackBerry 10-Geräten über den BES12 und die BlackBerry Infrastructure übertragen werden.

BES12 und ein BlackBerry 10-Gerät generieren einen oder mehrere Nachrichtenschlüssel für alle Daten, die durch BES12 und die BlackBerry Infrastructure geleitet werden. Wenn die Daten 2 KB überschreiten und aus mehreren Datenpaketen bestehen, erstellen BES12 und das Gerät einen spezifischen Nachrichtenschlüssel für jedes Datenpaket.

Jeder Nachrichtenschlüssel besteht aus Zufallsdaten, so dass Dritte den Schlüssel nicht entschlüsseln, neu erstellen oder duplizieren können.

BES12 und das Gerät speichern die Nachrichtenschlüssel nicht im permanenten Speicher. Sie setzen den mit den Nachrichtenschlüsseln verknüpften Speicher frei, nachdem BES12 oder das Gerät die Daten mithilfe des Nachrichtenschlüssels entschlüsselt hat.

Das Gerät verwendet Bit, die aus einer zufällig angeordneten Quelle auf dem Gerät abgerufen werden, um einen pseudo-zufälligen, hoch entropischen Nachrichtenschlüssel zu generieren.

Datenfluss: Erstellen eines Nachrichtenschlüssels auf einem GerätEin BlackBerry 10-Gerät verwendet zum Generieren eines Nachrichtenschlüssels die DRBG-Funktion.

Zur Erstellung eines Nachrichtenschlüssels führt das Gerät die folgenden Aktionen aus:

1. Ruft Zufallsdaten von mehreren Quellen zur Erstellung des Ausgangswerts ab. Das entsprechende Verfahren leitet das Gerät aus der Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab

2. Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays

3. Fügt das 256-Byte-Zustandsarray in den ARC4-Verschlüsselungsalgorithmus ein, um das 256-Byte-Zustandsarray weiter zu randomisieren

4. Zieht 521 Byte aus dem ARC4-Byte-Zustandsarray

Das Gerät zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte (512 + 9 = 521), um sicherzustellen, dass die Zeiger vor und nach dem Aufruf nicht an derselben Stelle sind und für den Fall, dass die ersten paar Byte des ARC4-Zustandsarrays nicht zufällig sind.

5. Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren

6. Verwendet den 64-Byte-Wert als Ausgangswert für die DRBG-Funktion


84

Das Gerät speichert eine Kopie des Ausgangswerts in einer Datei. Wenn das Gerät neu gestartet wird, liest das Programm den Ausgangswert in der Datei und vergleicht den gespeicherten Ausgangswert mithilfe der XOR-Funktion mit dem neuen Ausgangswert.

7. Verwendet die DRBG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der AES-Verschlüsselung

8. Verwendet die Pseudo-Zufallsbits, um den Nachrichtenschlüssel zu erstellen

Weitere Informationen zur DRBG-Funktion finden Sie in NIST Special Publication 800-90.

Datenfluss: Generieren eines Nachrichtenschlüssels in BES12Der BES12 verwendet die DSA PRNG-Funktion zum Generieren eines Nachrichtenschlüssels.

Zum Generieren eines Nachrichtenschlüssels führt der BES12 die folgenden Aktionen aus:

1. Ruft Zufallsdaten von mehreren Quellen für den Ausgangswert ab. Das entsprechende Verfahren leitet der BES12 aus der Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab

2. Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays

BES12 fordert 512 Bit Zufallsdaten aus der Microsoft Cryptographic API an, um die Zufälligkeit der Daten zu erhöhen.

3. Fügt das 256-Byte-Zustandsarray in den ARC4-Algorithmus ein, um das 256-Byte-Zustandsarray weiter zu randomisieren

4. Zieht 521 Byte aus dem 256-Byte-Zustandsarray

BES12 zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte (512 + 9 = 521), um sicherzustellen, dass die Zeiger vor und nach dem Generierungsvorgang nicht an derselben Stelle sind und für den Fall, dass die ersten paar Byte des 256-Byte-Zustandsarrays nicht zufällig sind.

5. Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren

6. Verwendet den 64-Byte-Wert als Ausgangswert für die DSA PRNG-Funktion

7. Verwendet die DSA PRNG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der AES-Verschlüsselung

8. Verwendet die Pseudo-Zufallsbits mit AES-Verschlüsselung zum Generieren des Nachrichtenschlüssels

Weitere Informationen zur DSA PRNG-Funktion erhalten Sie unter Federal Information Processing Standard – FIPS PUB 186-2.

Datenfluss: Senden von Daten von BlackBerry 10-Geräten über die BlackBerry Infrastructure an Ihre Server


85

1. Das BlackBerry 10-Gerät führt die folgenden Aktionen aus:

a Komprimiert die Daten

b Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln

c Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts

d Sendet die Daten über eine TCP-Verbindung an die BlackBerry Infrastructure

2. Die BlackBerry Infrastructure sendet die Daten über eine permanente TCP/IP-Verbindung an BES12.


a Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts

b Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln

c Dekomprimiert die Daten

d Sendet die Daten an den Zielserver innerhalb der Firewall

Datenfluss: Senden von Daten von Ihren Servern an die BlackBerry 10-Geräte über die BlackBerry Infrastructure

1. Ein Mail-, Web- oder Inhaltsserver innerhalb der Firewall sendet die Daten an BES12.


86


a Komprimiert die Daten

b Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln

c Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts

d Sendet die Daten über eine permanente TCP/IP-Verbindung an die BlackBerry Infrastructure

3. Die BlackBerry Infrastructure sendet die Daten über eine TCP-Verbindung an das BlackBerry 10-Gerät.

4. Das BlackBerry 10-Gerät führt die folgenden Aktionen aus:

a Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts

b Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln

c Dekomprimiert die Daten

Beschränkungen für Cipher Suites auf BlackBerry 10-GerätenMit BES12 können Sie einschränken, welche Cipher Suites der SSL-Bibliothek von BlackBerry 10-Geräten unterstützt werden. Sie können dies tun, wenn eine Cipher Suite entfernt werden soll, die ein Sicherheitsrisiko darstellt, und die Ressourcen Ihrer Organisation diese Cipher Suite für die Kommunikation nicht benötigen.

Die standardmäßigen SSL-Konfigurationswerte sind in den meisten Bereitstellungen akzeptabel. Die Übertragung einer benutzerdefinierten SSL-Konfiguration kann eine erhebliche Auswirkung auf die Systeme haben, zu denen die Geräte der Benutzer eine Verbindung herstellen müssen. Wenn Sie planen, eine benutzerdefinierten SSL-Konfiguration auf Geräte zu übertragen, sollten Sie diese zuvor auf ein paar Geräten testen.

Weitere Informationen über Enterprise-Konnektivitäts-Profile finden Sie in der Dokumentation für Administratoren.

NIAP Common Criteria-Funktionalität auf BlackBerry 10-GerätenNIAP ist eine Initiative der US-amerikanischen Regierung zur Einhaltung von IT-Sicherheitsanforderungen.

BES12- und BlackBerry 10-Geräte (BlackBerry 10 OS Version 10.3.3 und höher) unterstützen NIAP Common Criteria-Funktionalität. Wenn die IT-Richtlinienregel „NIAP Common Criteria-Funktionalität aktivieren“ ausgewählt ist, verhandeln regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, alle TLS-Verbindungen gemäß dem in RFC 6460 definierten „Suite B Profile“ und unterstützen die folgenden Cipher-Suites:

• TLS_RSA_WITH_AES_128_CBC_SHA

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

Schützen der Kommunikation zwischen Apps auf Ihren BlackBerry 10-Geräten und Ihrem UnternehmensnetzwerkBlackBerry 10-Geräte lassen geschäftliche Apps und persönliche Apps (auf Geräten mit einem persönlichen Bereich) zu, um unter Verwendung eines verfügbaren Wi-Fi-Profils oder VPN-Profils eine Verbindung zu Ihrem Unternehmensnetzwerk


87


herzustellen. Wenn Sie Wi-Fi-Profile oder VPN-Profile mit dem BES12 konfigurieren, erlauben Sie persönlichen Apps, auf das Netzwerk Ihres Unternehmens zuzugreifen.

Wenn die Sicherheitsanforderungen Ihres Unternehmens nicht zulassen, dass persönliche Apps auf das Unternehmensnetzwerk zugreifen, können Sie die Verbindungsoptionen einschränken. Mithilfe der IT-Richtlinienregel "Zulassen, dass persönliche Apps geschäftliche Netzwerke verwenden" können Sie verhindern, dass persönliche Apps das Netzwerk Ihres Unternehmens verwenden, indem sie über Ihre geschäftliche Wi-Fi- oder VPN-Netzwerkverbindung auf das Internet zugreifen.

Außerdem können Sie die Kommunikationsmethoden einschränken, über die Geräte über BES12 eine Verbindung mit Ihrem Unternehmensnetzwerk herstellen können. Beschränken Sie dazu die Verbindungsoptionen auf den BlackBerry MDS Connection Service und die BlackBerry Infrastructure. Persönliche Apps können über den BlackBerry MDS Connection Service und die BlackBerry Infrastructure keine Verbindung zum Netzwerk Ihres Unternehmens herstellen.

Schützen von Daten, die mittels Push an Apps auf BlackBerry 10-Geräten übertragen wurden

Der BlackBerry MDS Connection Service verbindet Push-Anwendungen, die auf den Anwendungsservern oder Webservern Ihres Unternehmens gehostet werden, mit Apps auf BlackBerry 10-Geräten. Der BlackBerry MDS Connection Service sendet von Push-Anwendungen empfangene Push-Anforderungen über die BlackBerry Infrastructure an Apps auf BlackBerry 10-Geräten.

Bei Bedarf können Sie nur bestimmten Push-Anwendungen erlauben, Daten mittels Push an BlackBerry 10-Geräte zu übertragen, und Sie können die Authentifizierung aktivieren, um zu verhindern, dass der BlackBerry MDS Connection Service Daten von nicht autorisierten Push-Anwendungen sendet.

Zum Schutz der Verbindung zwischen Push-Anwendungen und dem BlackBerry MDS Connection Service können Sie TLS verwenden. Push-Anwendungen können das selbstsignierte Zertifikat verwenden, das generiert wird, wenn Sie den BlackBerry MDS Connection Service-Schlüsselspeicher konfigurieren, oder Sie können dem Schlüsselspeicher ein signiertes Zertifikat von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle hinzufügen.

Weitere Informationen zum BlackBerry MDS Connection Service finden Sie in der Dokumentation zur Konfiguration.


88

http://help.blackberry.com/detectLang/bes12/12.4/configuration/

Schutz von Daten während der Übertragung zwischen Secure Work Space Geräten und Ihren RessourcenSie können für die Daten eines Geräts während der Übertragung einen zusätzlichen Schutz bereitstellen, unter anderem für Authentifizierungsverbindungen und -sitzungen, und die Daten verschlüsseln, indem die Enterprise-Konnektivität bei einem Gerät mit Secure Work Space aktiviert wird. Mit der Enterprise-Konnektivität vermeiden Sie, dass innerhalb der Firewall Ihres Unternehmens eine direkte Verbindung mit dem Internet für die Geräteverwaltung und Drittanbieteranwendungen, bspw. den Mailserver, die Zertifizierungsstelle und andere Web- oder Inhaltsserver, geöffnet wird. Die Enterprise-Konnektivität sendet den gesamten Datenverkehr über die BlackBerry Infrastructure an BES12.

Weitere Informationen über Enterprise-Konnektivitäts-Profile finden Sie in der Dokumentation für Administratoren.

Verbindung eines Geräts mit Secure Work Space mit Enterprise-Konnektivität mit BES12

Beim Zugriff auf Ihr Unternehmensnetzwerk stellt ein Gerät mit Enterprise-Konnektivität die Verbindung über einen Wi-Fi-Zugriffspunkt oder ein Mobilfunknetz, die BlackBerry Infrastructure, die Firewall Ihres Unternehmens und BES12 her.

Die Geräte und die Ressourcen Ihres Unternehmens verwenden Tunneling für die Einkapselung verschiedener Verschlüsselungsarten in der End-to-End-Verbindung. Man spricht von Tunneling (Tunneln), wenn Daten mit mehr als einer Verschlüsselungsschicht verschlüsselt werden. Welche Art der Verschlüsselung verwendet wird, hängt von der Art der Verbindung zwischen dem Gerät und der Ressource ab.

Die Daten, die das Gerät und BES12 untereinander austauschen, werden mithilfe der TLS-Verschlüsselung verschlüsselt. Wurde der drahtlose Zugriffspunkt eingerichtet, um Wi-Fi-Verschlüsselung zu verwenden, verwenden die Daten, die das Gerät und der drahtlose Zugriffspunkt austauschen, dieWi-Fi-Verschlüsselung. Da auf dem Gerät Tunneling verwendet wird, werden die Daten, die das Gerät an BES12 sendet, während der Übertragung zwischen dem Gerät und dem drahtlosen Zugriffspunkt zuerst durch TSL-Verschlüsselung und anschließend durch Wi-Fi-Verschlüsselung verschlüsselt.


89


Verschlüsselungstyp Beschreibung

Wi-Fi-Verschlüsselung (IEEE 802.11) Verschlüsselung wird für Daten verwendet, die bei der Verbindung zwischen einem Gerät und einem drahtlosen Zugriffspunkt übertragen werden, wenn der drahtlose Zugriffspunkt für die Verwendung der Wi-Fi-Verschlüsselung eingerichtet wurde.

TLS-Verschlüsselung Verschlüsselt die Daten für die Verbindung zwischen einem Gerät und BES12 mithilfe des TLS-Protokolls mit dem Algorithmus AES-256.

SSL/TLS-Verschlüsselung Verschlüsselt die Daten für die Sitzung zwischen einem Gerät und einem Inhalts-, Web- oder E-Mail-Server, der Exchange ActiveSync verwendet. Die Verschlüsselung für diese Sitzung muss separat auf jedem Server eingerichtet werden. Hierbei wird für jeden Server ein separates Zertifikat verwendet. Auf dem Server kann je nach Einrichtung SSL oder TLS verwendet werden.

Benutzerauthentifizierung mit der Good for BES12-App oder dem BES12 ClientDie Good for BES12-App oder der BES12 Client authentifiziert den Gerätebenutzer bei BES12 und verwendet hierzu ein von BES12 signiertes Zertifikat. Diese Authentifizierung erfolgt, bevor BES12 gesicherte Apps per Push auf das Gerät überträgt. Wenn die Authentifizierung erfolgreich ist, sendet BES12 die Bereitstellungsdaten an die Good for BES12-App oder den BES12 Client.

Wenn die gesicherten Apps auf das Gerät übertragen werden und eine gesicherte App geöffnet wird, sendet die Good for BES12-App oder der BES12 Client die Bereitstellungsdaten an Secure Work Space. Secure Work Space verwendet die Bereitstellungsdaten zum Herstellen einer Verbindung an BES12.

Verschlüsselung und Sicherheit für geschäftliche Daten bei der ÜbertragungDie Übertragung gesicherter Apps (z. B. E-Mail- und Kalenderdaten) erfolgt über TLS-authentifizierte Sitzungen für die Datenverschlüsselung zwischen dem Gerät und BES12. Für diesen Datenverkehr werden SSL- oder TLS-Verschlüsselung zum Verschlüsseln der Sitzung zwischen dem Gerät und dem Inhaltsserver, Web- oder E-Mail-Server eingesetzt, der Exchange ActiveSync verwendet.

Für gesicherte Apps mit Enterprise-Konnektivität werden zudem eine API-seitige Authentifizierung und die Validierung per Sitzungs-Token bereitgestellt. Bei der API-Authentifizierung verwendet jede API-Kommunikationsmethode eine eindeutige Methode für den Aufbau einer vertrauenswürdigen Beziehung. Wenn die Sicherheit einer der Methoden beeinträchtigt werden sollte, sind andere Methoden weiterhin sicher. Die Validierung per Sitzungs-Token wird für die Identifizierung des Geräts bei der Bereitstellung verwendet. Einige APIs nutzen das Sitzungs-Token, abhängig vom Sicherheitskontext.

Speichern und Schützen von AuthentifizierungszertifikatenBES12 und die Good for BES12-App oder der BES12 Client auf dem Gerät mit Secure Work Space sichern den Kanal und speichern jeweils eine Kopie des Authentifizierungszertifikats. Die Good for BES12-App oder der BES12 Client speichert das


90

Zertifikat im sicheren Dateisystem. Gesicherte Apps verwenden die Verwendung des Zertifikats für die Kommunikation mit BES12 über den sicheren Kanal.

Innerhalb des sicheren Kanals kann eine gesicherte App von Dritten einen zweiten sicheren Kanal für die Authentifizierung mit Webseiten einrichten. Hierfür verwendet die App den zugrundeliegenden Schlüsselspeicher des Geräts (z. B. den iOS-Schlüsselspeicher).

Schutz von Daten während der Übertragung mit BlackBerry Secure Connect PlusBlackBerry Secure Connect Plus ist eine BES12-Komponente, die einen sicheren IP-Tunnel zwischen Apps und dem Netzwerk des Unternehmens bereitstellt:

• Auf BlackBerry 10-, Samsung KNOX Workspace und Android for Work-Geräten verwenden alle Apps des geschäftlichen Bereichs den sicheren Tunnel.

• Für Geräte mit iOS 9 und höher mit der Aktivierungsart „MDM-Steuerelemente“ können Sie zulassen, dass alle Apps den Tunnel nutzen oder festlegen, welche Apps „Per App VPN“ verwenden.

Über diesen Tunnel haben Benutzer Zugriff auf Ressourcen hinter der Firewall Ihres Unternehmens, wobei die Sicherheit der Daten mithilfe von Standardprotokollen und durchgehender Verschlüsselung sichergestellt wird.

BlackBerry Secure Connect Plus und ein unterstütztes Gerät stellen einen sicheren IP-Tunnel her, wenn eine Verbindung zu Ihrem geschäftlichen Wi-Fi-Netzwerk oder VPN nicht verfügbar ist.

Wenn Sie auf iOS-Geräten „Per App VPN“ für BlackBerry Secure Connect Plus konfigurieren, verwenden die konfigurierten Apps immer eine sicher Tunnelverbindung über BlackBerry Secure Connect Plus, auch wenn die App eine Verbindung zum geschäftlichen Wi-Fi Netzwerk oder VPN herstellen kann, das in einem Wi-Fi- oder VPN-Profil festgelegt ist.

Unterstützte Geräte kommunizieren mit BES12 über die BlackBerry Infrastructure, um den sicheren Tunnel herzustellen. Solange der Tunnel geöffnet ist, haben die Apps Zugriff auf Netzwerkressourcen. Sobald der Tunnel nicht mehr benötigt wird (zum Beispiel, wenn der Benutzer in den Empfangsbereich des geschäftlichen Wi-Fi-Netzwerks zurückkehrt), wird er von BlackBerry Secure Connect Plus geschlossen.

Wie BlackBerry Secure Connect Plus einen sicheren IP-Tunnel herstelltNachdem BES12 und das Gerät ermittelt haben, dass ein sicherer IP-Tunnel die beste verfügbare Methode zur Verbindung geschäftlicher Apps mit dem Netzwerk des Unternehmens ist, verhandeln das Gerät und BES12 die Tunnelparameter über die BlackBerry Infrastructure.

Der hergestellte Tunnel ist authentifiziert und durchgehend mit DTLS verschlüsselt. Er unterstützt Standard-IPv4-Protokolle (TCP und UDP). BlackBerry Secure Connect Plus verschlüsselt und entschlüsselt Datenverkehr mit FIPS-140-zertifizierten Certicom-Bibliotheken mit Cipher Suites für RSA und ECC-Schlüsseln.


91

Datenfluss: Erstellung eines sicheren IP-Tunnels durch BlackBerry Secure Connect Plus

1. BES12 und das Gerät erkennen, dass ein sicherer IP-Tunnel die beste verfügbare Methode zur Verbindung zwischen Apps und dem Netzwerk Ihres Unternehmens ist.

2. Das Gerät sendet ein Signal über TLS an die BlackBerry Infrastructure, um einen sicheren Tunnel zum Netzwerk des Unternehmens anzufordern.

3. BlackBerry Secure Connect Plus empfängt das Signal über Port 3101 von der BlackBerry Infrastructure.

4. Das Gerät und BlackBerry Secure Connect Plus handeln die Tunnelparameter aus und erstellen einen sicheren Tunnel durch die BlackBerry Infrastructure. Der Tunnel ist authentifiziert und durchgehend mit DTLS verschlüsselt.

Verbinden mit einem VPNVPN-Profile werden nur auf Geräten mit BlackBerry 10, iOS, OS X, Samsung KNOX MDM, KNOX Workspace und Windows 10unterstützt.

Wenn Ihre Unternehmensumgebung VPNs umfasst, z. B. IPSec- oder SSL-VPNs, können Sie Geräte zur Authentifizierung bei einem VPN für den Zugriff auf das Netzwerk des Unternehmens konfigurieren. Ein VPN stellt einen verschlüsselten Tunnel zwischen einem Gerät und dem Netzwerk bereit.

Eine VPN-Lösung besteht aus einem VPN-Client auf einem Gerät und einem VPN-Konzentrator. Das Gerät kann den VPN-Client zur Authentifizierung mit dem VPN-Konzentrator verwenden, der als Gateway zum Unternehmensnetzwerk fungiert. Jedes Gerät enthält einen integrierten VPN-Client, der mehrere VPN-Konzentratoren unterstützt. Je nach VPN-Lösung ist es möglicherweise erforderlich, dass auf dem Gerät eine Client-App installiert wird. Der VPN-Client auf dem Gerät unterstützt zur Authentifizierung mit dem VPN-Konzentrator die Verwendung einer starken Verschlüsselung. Er erstellt einen verschlüsselten Tunnel zwischen dem Gerät und dem VPN-Konzentrator, über den das Gerät und das Unternehmensnetzwerk kommunizieren können.


92

Verschlüsselung einer VPN-Verbindung

Bei einer VPN-Verbindung stellen Geräte über einen drahtlosen Zugriffspunkt oder ein Mobilfunknetz, die Firewall und den VPN-Server des Unternehmens eine Verbindung mit den Ressourcen des Unternehmens her. Wi-Fi-Verschlüsselung wird verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet ist.

Das Gerät kann für die Verbindung die Authentifizierung auf Kennwort- oder Zertifikatbasis verwenden.

VPN auf Abruf für iOS- oder OS X-GeräteMit VPN auf Abruf können Sie festlegen, ob ein iOS- oder OS X-Gerät automatisch eine Verbindung zu einem VPN in einer bestimmten Domäne aufbaut. Client-Zertifikate liefern dem Benutzergerät die Authentifizierung, wenn auf diese bestimmte Domäne zugegriffen wird. Sie können z. B. die Domäne Ihres Unternehmens angeben, um Benutzern den Zugriff auf den Inhalt Ihres Intranets mithilfe von VPN bei Bedarf zu gestatten.

Per App VPN für Apps und App-GruppenSie können Per App VPN auf iOS- und Windows 10-Geräten verwenden, um zu bestimmen, welche geschäftlichen Apps und gesicherten Apps auf Geräten ein VPN für die Datenübertragung verwenden müssen. Per App VPN trägt zur Senkung der Belastung Ihres Unternehmens-VPN bei, indem nur bestimmter geschäftlicher Datenverkehr für die Verwendung des VPN freigegeben wird (bspw. Zugriff auf Anwendungsserver oder Webseiten hinter der Firewall). Diese Funktion unterstützt auch die Privatsphäre des Benutzers und erhöht die Verbindungsgeschwindigkeit für persönliche Apps, indem der persönliche Datenverkehr nicht über das VPN gesendet wird.

Weitere Informationen über Per App VPN finden Sie in der Dokumentation für Administratoren.


93


Schützen der Kommunikation mit Geräten mithilfe von ZertifikatenEin Zertifikat ist ein digitales Dokument, das die Identität und den öffentlichen Schlüssel eines Zertifikatempfängers miteinander verknüpft. Für jedes Zertifikat ist ein entsprechender privater Schlüssel vorhanden, der getrennt gespeichert wird. Eine Zertifizierungsstelle signiert die Zertifikate und bescheinigt so ihre Glaubwürdigkeit.

Je nach Gerätefunktionen und Aktivierungsart können Zertifikate auf Geräten für Folgendes verwendet werden:

• Authentifizieren mittels SSL/TLS, wenn die Geräte eine Verbindung zu Webseiten herstellen, die HTTPS verwenden

• Authentifizieren mit einem geschäftlichen Mailserver

• Authentifizieren bei einem geschäftlichen Wi-Fi-Netzwerk und, sofern die Geräte dies unterstützen, bei einem VPN

• Verschlüsseln und Signieren von E-Mail-Nachrichten mittels S/MIME-Schutz (nur unterstützte Geräte)

Bereitstellen von Client-Zertifikaten für GeräteViele Zertifikate, die für verschiedene Zwecke verwendet werden, können auf einem Gerät gespeichert werden. Sie können Client-Zertifikate auf verschiedene Arten auf Geräten bereitstellen.

So wird das Zertifikat hinzugefügt

Beschreibung Unterstützte Geräte

Während der Geräteaktivierung

BES12 sendet während des Aktivierungsprozesses Zertifikate an Geräte. Die Geräte verwenden diese Zertifikate, um sichere Verbindungen zwischen dem Gerät und BES12 herzustellen.

Alle

SCEP-Profile Sie können SCEP-Profile erstellen, mit denen Geräte Verbindungen zu Clientzertifikaten herstellen und diese von der Zertifizierungsstelle Ihres Unternehmens mithilfe eines SCEP-Diensts abrufen. Die Geräte können diese Zertifikate für die zertifikatsbasierte Authentifizierung im Browser und für die Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver verwenden.

• BlackBerry 10

• iOS

• OS X

• Secure Work Space

• Samsung KNOX Workspace

• Android for Work

• Windows 10

Profile für Benutzeranmelde-informationen

Wenn Ihr Unternehmen Entrust- oder OpenTrust-Softwareprodukte verwendet, um Zertifikate auszustellen und zu verwalten, können Sie Profile für Benutzeranmeldeinformationen erstellen, die von Geräten

• BlackBerry 10

• iOS

• OS X


94

So wird das Zertifikat hinzugefügt

Beschreibung Unterstützte Geräte

verwendet werden, um Zertifikate von der Zertifizierungsstelle Ihres Unternehmens zu erhalten. Die Geräte verwenden diese Zertifikate für die zertifikatsbasierte Authentifizierung im Browser und für die Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver.

• Android

Profile für freigegebenes Zertifikat

Ein Profil für ein freigegebenes Zertifikat legt ein Clientzertifikat fest, das BES12 an iOS-, OS X- und Android-Geräte sendet. BES12 sendet das gleiche Clientzertifikat an jeden Benutzer, dem das Profil zugewiesen ist.

Der Administrator muss Zugriff auf das Zertifikat und den privaten Schlüssel haben, um ein Profil für ein freigegebenes Zertifikat zu erstellen.

• iOS

• OS X

• Android

Senden von Client-Zertifikaten an einzelne Benutzerkonten

Zum Senden eines Client-Zertifikats an die Geräte einzelner Benutzer können Sie einem Benutzerkonto ein Client-Zertifikat hinzufügen. BES12 sendet das Zertifikat an die iOS- und Android-Geräte des Benutzers.

Der Administrator muss Zugriff auf das Zertifikat und den privaten Schlüssel haben, um das Client-Zertifikat an den Benutzer zu senden.

• iOS

• Android

Benutzerimport Benutzer können Clientzertifikate in den Zertifikatsspeicher des Geräts im Abschnitt "Sicherheit und Datenschutz" der "Systemeinstellungen" importieren. Zertifikate für die Verwendung durch den geschäftlichen Browser oder zum Senden von S/MIME-geschützten Nachrichten vom geschäftlichen E-Mail-Konto können aus dem Dateisystem auf dem Gerät oder aus einem Netzwerkpfad, der vom geschäftlichen Bereich zugänglich ist, importiert werden.

BlackBerry 10

Smartcards Benutzer können S/MIME- und SSL-Zertifikate von einer Smartcard auf ihre Geräte importieren.

BlackBerry 10

Weitere Informationen zum Senden von Client-Zertifikaten an Geräte finden Sie in der Dokumentation für Administratoren.


95


Verwenden von SCEP für die Anmeldung von Client-Zertifikaten auf GerätenSCEP wird von BlackBerry 10-Geräten, iOS-Geräten, OS X-Geräten, Android-Geräten mit Samsung KNOX Workspace, Android for Work oder Secure Work Space sowie von Geräten mit Windows 10 unterstützt.

SCEP ist ein IETF-Protokoll, das das Anmelden von Zertifikaten auf vielen Geräten vereinfacht, indem zur Ausstellung der einzelnen Zertifikate weder ein Eingriff vonseiten des Administrators noch eine Genehmigung erforderlich ist. Geräte können Verbindungen zu Clientzertifikaten herstellen und diese von der Zertifizierungsstelle Ihres Unternehmens mithilfe eines SCEP-Diensts abrufen. Sie können SCEP verwenden, um Clientzertifikate auf Geräten anzumelden, damit die Geräte zertifikatsbasierte Authentifizierung im Browser verwenden können, und um eine Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver herzustellen.

Die Zertifikatsanmeldung startet, nachdem ein Gerät ein SCEP-Profil empfangen hat, das dem Benutzer zugewiesen ist oder mit einem zugewiesenen Wi-Fi-, VPN- oder E-Mail-Profil verknüpft ist. Geräte können ein SCEP-Profil von BES12 während des Aktivierungsprozesses empfangen, wenn Sie ein SCEP-Profil ändern oder wenn Sie ein anderes Profil ändern, dem ein SCEP-Profil zugewiesen ist. Nachdem die Zertifikatsanmeldung abgeschlossen ist, werden das Client-Zertifikat und dessen Zertifikatskette sowie der private Schlüssel im geschäftlichen Schlüsselspeicher auf dem Gerät gespeichert.

Wenn Sie eine Microsoft-Zertifizierungsstelle verwenden, muss die Zertifizierungsstelle Abfragekennwörter unterstützen. Die Zertifizierungsstelle verifiziert mithilfe von Abfragekennwörtern, dass das Gerät zum Senden einer Zertifikatsanforderungen autorisiert ist. Wenn die Zertifizierungsstelle NDES umgesetzt hat, können Sie dynamische Abfragekennwörter verwenden. Das statische Abfragekennwort oder die Einstellungen zum Erhalt eines dynamisch generierten Abfragekennworts vom SCEP-Dienst werden im SCEP-Profil bestimmt. Um das Kennwort zu schützen, wird es auf BlackBerry 10-Geräten nicht an die Geräte gesendet. Auf anderen Geräten wird das Kennwort an die Geräte gesendet, um den Geräten die Ausführung der Zertifikatsanforderungen zu ermöglichen. Wenn Sie ein statisches Abfragekennwort verwenden, wird für alle SCEP-Anforderungen von Geräten das gleiche Abfragekennwort verwendet.

Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12 entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt.

Weitere Informationen zum SCEP-Internet-Draft finden Sie unter www.ietf.org.

Verwalten von Zertifikaten, die mithilfe von SCEP an einem Gerät angemeldet werdenNachdem ein Gerät ein Zertifikat mithilfe von SCEP angemeldet hat, überwacht die SCEP-Komponente das Ablaufdatum des Zertifikats. Wenn sich das Ablaufdatum eines Zertifikats nähert, startet die SCEP-Komponente den Anmeldungsprozess für ein neues Zertifikat. Mithilfe der SCEP-Profileinstellung "Automatische Erneuerung" können Sie einstellen, wie viele Tage vor Ablauf eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll.

Das Verfahren der Zertifikatregistrierung kann zudem neu beginnen, wenn Sie Änderungen an SCEP-Profileinstellungen für Zertifizierungsstelle, Verbindung oder Verschlüsselungsschlüssel vornehmen, z. B. URL, SCEP-Challenge-Typ, Schlüsselalgorithmus oder Schlüsselgröße.


96

http://www.ietf.org

Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12 entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt.

Datenfluss: Anmelden eines Zertifikats bei einem BlackBerry 10-Gerät mithilfe von SCEP

1. BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder E-Mail-Profil verknüpft ist.


a Erstellen eines Schlüsselpaares mithilfe des Schlüsselalgorithmus und der Schlüsselstärke, die im SCEP-Profil angegeben ist

b Erstellen eines PKCS#10 CSR mit allen erforderlichen Attributen für die Anfrage, abgesehen vom Abfragekennwort

c Senden des SCEP-Profilnamens, des PKCS#10 CSR und des Hashtyps an BES12


a Überprüfen der Übereinstimmung des definierten Antragsstellernamens, des alternativen Antragsstellernamens und der E-Mail-Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank

b Hinzufügen des Abfragekennworts zum PKCS#10 CSR

c Verwenden der Hashfunktion für PKCS#10 CSR

d Senden des PKCS#10 CSR-Hash an das Gerät

4. Das Gerät berechnet die Signatur auf dem PKCS#10 CSR-Hash und sendet den SCEP-Profilnamen, das ursprüngliche PKCS#10 CSR, die Signaturanfrage, die berechnete Signaturantwort, das Zertifizierungsstellenzertifikat (zum Verschlüsseln der SCEP-Anfrage), den Hashtyp und die Art der Verschlüsselung an BES12.


a Überprüfen des empfangenen Zertifizierungsstellenzertifikats

b Überprüfen der Übereinstimmung des definierten Antragsstellernamens, des alternativen Antragsstellernamens und der E-Mail-Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank

c Hinzufügen des Abfragekennworts zum PKCS#10 CSR

d Hinzufügen der berechneten Signaturantwort zum PKCS#10 CSR

e Verschlüsseln des PKCS#10 CSR mithilfe des verpackten PKCS#7- Dateiformats und des öffentlichen Zertifizierungsstellenschlüssels


97

f Senden der verpackten PKCS#7-Daten an das Gerät

6. Das Gerät schließt die SCEP-Anfrage durch Signieren der verpackten PKCS#7-Daten mithilfe des signierten PKCS#7-Dateiformats und sendet die SCEP-Anfrage durch BES12 an die Zertifizierungsstelle.

7. Die Zertifizierungsstelle stellt das Zertifikat aus und sendet es über BES12 das Gerät.

8. Der Enterprise Management Agent auf dem Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum Schlüsselspeicher auf dem Gerät hinzu und macht das Zertifikat für die angegebene Verbindung verfügbar, wenn das SCEP-Profil einem zugewiesenen Wi-Fi-, VPN- oder E-Mail-Profil zugeordnet ist.

Datenfluss: Anmelden eines Client-Zertifikats auf einem Gerät, das BES12 als Proxy für die SCEP-Anforderung verwendetSie können BES12 als Proxy für SCEP-Anforderungen verwenden, die von iOS- und Android-Geräten an die Zertifizierungsstelle gesendet werden. Wenn die Zertifizierungsstelle sich hinter Ihrer Firewall befindet, können Sie mithilfe von BES12 als Proxy Client Zertifikate auf Geräten anmelden, ohne die Zertifizierungsstelle außerhalb der Firewall sichtbar zu machen.

1. BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder E-Mail-Profil verknüpft ist.

2. Das Gerät erstellt eine SCEP-Anforderung und sendet sie an die BlackBerry Infrastructure.

3. Die BlackBerry Infrastructure sendet die SCEP-Anforderung an BES12.

4. BES12 aktualisiert die URL für die SCEP-Anforderung und sendet die SCEP-Anforderung an die Zertifizierungsstelle.

5. Die Zertifizierungsstelle gibt das Zertifikat aus und sendet es an BES12.

6. BES12 sendet die SCEP-Anforderung an die BlackBerry Infrastructure.

7. Die BlackBerry Infrastructure sendet die SCEP-Anforderung an das Gerät.

8. Das Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum Schlüsselspeicher hinzu.

Senden von Zertifizierungsstellenzertifikaten an GeräteSie müssen möglicherweise Zertifizierungsstellenzertifikate an Geräte verteilen, wenn Ihr Unternehmen S/MIME verwendet oder wenn Geräte eine zertifikatsbasierte Authentifizierung für die Verbindung mit einem Netzwerk oder einem Server in Ihrer Unternehmensumgebung verwenden.


98

Wenn die von den Zertifizierungsstellen ausgegebenen Netzwerk- und Serverzertifikate Ihres Unternehmens auf Geräten gespeichert werden, ist die Vertrauenswürdigkeit beim Aufbau sicherer Verbindungen zu Ihren Netzwerken und Servern gewährleistet. Wenn die Zertifikate der Zertifizierungsstellen, von denen die S/MIME-Zertifikate Ihres Unternehmens ausgestellt wurden, auf Geräten gespeichert werden, können die Geräte beim Empfang einer mit S/MIME geschützten E-Mail-Nachricht das Zertifikat des Absenders als vertrauenswürdig behandeln.

Mithilfe von Profilen mit Zertifizierungsstellenzertifikat können Sie Zertifizierungsstellenzertifikate an Geräte senden. Weitere Informationen finden Sie in der Dokumentation für Administratoren.

Schutz von E-Mail-NachrichtenAlle Geräte unterstützen Exchange ActiveSync zum Synchronisieren von E-Mail-Nachrichten, Kalendereinträgen, Kontakten und anderen Terminplanerdaten mit dem E-Mail-Server Ihres Unternehmens.Geräte mit BlackBerry 10, Windows und Secure Work Space unterstützen auch IBM Notes Traveler. BES12 kann es ermöglichen, dass Geräte, die nicht mit dem internen Netzwerk des Unternehmens verbunden sind oder die keine VPN-Verbindung haben, mit dem E-Mail-Server synchronisiert werden, ohne dass Sie Verbindungen mit dem E-Mail-Server von außerhalb der Firewall verfügbar machen müssen.

BES12 ermöglicht Geräten eine sichere Synchronisierung mit dem E-Mail-Server über die BlackBerry Infrastructure mithilfe der gleichen Verschlüsselungsmethoden, die für alle anderen Geschäftsdaten verwendet werden. Wenn BES12 die Verbindung zwischen Ihrem E-Mail-Server und den Geräten bereitstellt, haben die BES12-IT-Richtlinien Vorrang vor allen Richtlinien, die für die Geräte auf dem E-Mail-Server festgelegt wurden.

Wenn Ihr Unternehmen zum Anmelden von Zertifikaten bei Geräten SCEP verwendet, können Sie ein SCEP-Profil mit einem E-Mail-Profil verknüpfen, um eine zertifikatsbasierte Authentifizierung zu erzwingen und somit zum Schutz der Verbindungen zwischen den Geräten und dem E-Mail-Server beizutragen.

Steuern, welche Geräte Exchange ActiveSync verwenden könnenMicrosoft Exchange kann so konfiguriert werden, dass Geräte für die Nutzung von Exchange ActiveSync blockiert sind, es sei denn, die Geräte wurden ausdrücklich einer Positivliste hinzugefügt. Geräte, die nicht auf dieser Liste stehen, können nicht auf geschäftliche E-Mail und Terminplanerdaten zugreifen. Im BES12 können Sie Microsoft Exchange-Gatekeeping einrichten, um zu steuern, welche Geräte automatisch zur Liste der zulässigen Geräte auf Ihrem Microsoft Exchange Server hinzugefügt werden.

Wenn Sie Microsoft Exchange Gatekeeping verwenden und ein Benutzer, dem ein E-Mail-Profil zugewiesen ist, ein BlackBerry 10-, Secure Work Space- Android for Work- oderKNOX Workspace-Gerät aktiviert, wird das Gerät automatisch in die Liste der zulässigen Geräte in Microsoft Exchange aufgenommen. Ein Gerät wird dann automatisch von der Liste der zulässigen Geräte entfernt, wenn Sie das E-Mail-Profil aus dem Benutzerkonto entfernen, wenn das Gerät die Einstellungen im zugewiesenen Einhaltungsprofi verletzt oder wenn das Gerät deaktiviert wird. Sie müssen Android MDM-Geräte der Positivliste manuell hinzufügen bzw. sie manuell aus dieser entfernen.


99


Weitere Informationen zum Aktivieren von Microsoft Exchange-Gatekeeping und zum Hinzufügen und Entfernen von Geräten zur bzw. aus der Liste der zulässigen Geräte finden Sie in der Dokumentation für Administratoren.

Erweitern der E-Mail-SicherheitDurch sichere E-Mail wird die Sicherheit von E-Mail-Nachrichten zusätzlich erhöht. E-Mail-Standards wie S/MIME ermöglichen Benutzern digitales Signieren oder Verschlüsseln von E-Mail-Nachrichten, die sie von ihren Geräten senden oder empfangen:

• Über digitale Signaturen können Empfänger die Authentizität und Integrität von Nachrichten überprüfen, die von Benutzern gesendet wurden. Wenn ein Benutzer eine Nachricht mit seinem privaten Schlüssel digital signiert, verwenden die Empfänger den öffentlichen Schlüssel des Absenders, um zu überprüfen, dass die Nachricht vom Absender stammt und die Nachricht nicht geändert wurde.

• Durch Verschlüsselung kann die Vertraulichkeit von Nachrichten gewährleistet werden. Wenn ein Benutzer eine Nachricht verschlüsselt, verwendet das Gerät den öffentlichen Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Der Empfänger verwendet seinen privaten Schlüssel, um die Nachricht zu entschlüsseln.

BES12- und Geräte unterstützen die folgenden sicheren E-Mail-Services: S/MIME, PGP und IBM Notes E-Mail-Verschlüsselung.

S/MIMESie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass Benutzer von BlackBerry 10-, iOS- und Secure Work Space-Geräten E-Mail-Nachrichten mit S/MIME signieren, verschlüsseln oder signieren und verschlüsseln, sofern sie ein geschäftliches E-Mail-Konto verwenden, das auf den Geräten S/MIME-geschützte Nachrichten unterstützt. BES12 ermöglicht die Steuerung der S/MIME-Optionen auf Geräten. Sie können beispielsweise festlegen, ob Geräte S/MIME-geschützte E-Mail-Nachrichten senden können. Sie können die Benutzer von BlackBerry 10-Geräten zum Einsatz von S/MIME zwingen, aber nicht die Benutzer von iOS- oder Secure Work Space-Geräten. Wenn S/MIME optional verwendet wird, kann ein Benutzer S/MIME-Einstellungen mithilfe der Geräteeinstellungen aktivieren und konfigurieren.

BlackBerry 10-Geräte unterstützen Schlüssel und Zertifikate mit den Dateiformaten und Dateinamenserweiterungen PEM (.pem, .cer), DER (.der, .cer) und PXF (.pfx, .p12). BlackBerry 10-Geräte unterstützen auch Nachrichten mit Signatur (clear-signed)n Nachrichten mit einer undurchsichtigen Signatur (opaque-signed) und Anlagen in S/MIME-geschützten E-Mail-Nachrichten. iOS- und Secure Work Space-Geräte unterstützen Schlüssel und Zertifikate im PFX-Dateiformat entweder mit der Dateinamenerweiterung .pfx oder .p12.

Benutzer müssen für jeden Empfänger, dem sie eine verschlüsselte E-Mail-Nachricht senden möchten, ein Zertifikat auf ihren Geräten speichern. Benutzer müssen ihre privaten Schlüssel auf ihren Geräten oder einer Smart Card speichern, ansonsten können sie keine S/MIME-verschlüsselten Nachrichten auf den Geräten lesen.

BES12 ermöglicht Ihnen das Konfigurieren von LDAP-Servereinstellungen und das Senden der Einstellungen an BlackBerry 10- und Secure Work Space-Geräte, damit Benutzer S/MIME-Zertifikate nicht manuell importieren müssen. Benutzer können nach S/MIME-Zertifikaten von Empfängern suchen und diese von LDAP-Servern über das drahtlose Netzwerk abrufen. Sie können verlangen, dass BlackBerry 10-Geräte entweder die einfache Authentifizierung oder Kerberos-Authentifizierung verwenden, um sich bei LDAP-Zertifikatservern zu authentifizieren. Geräte mit Secure Work Space verwenden für die Authentifizierung beim LDAP-Zertifikatserver die Kennwortauthentifizierung.


100


Im Falle von BlackBerry 10-Geräten ermöglicht BES12 auch das Konfigurieren von Einstellungen zum Ermitteln des Status von S/MIME-Zertifikaten mittels OCSP, HTTP, HTTPS oder LDAP. Sie können OCSP-Respondereinstellungen konfigurieren und diese an BlackBerry 10-Geräte senden; Geräte können dann den jeweiligen OCSP-Responder durchsuchen und den Status des Zertifikats abzurufen. Sie haben die Möglichkeit, BES12 für die Suche nach dem Status von S/MIME-Zertifikaten über HTTP, HTTPS oder LDAP zu konfigurieren; Geräte können dann Zertifikat-Statusabfragen an BES12 senden.

Wenn Ihr Unternehmen Exchange ActiveSync für den Zertifikatabruf verwendet, verwenden iOS- und Secure Work Space-Geräte Exchange ActiveSync, um den Status von S/MIME-Zertifikaten zu prüfen. Wenn Ihr Unternehmen LDAP für den Zertifikatabruf verwendet, verwenden iOS- und Secure Work Space-Geräte OCSP, um den Status von Zertifikaten zu prüfen.

S/MIME-VerschlüsselungsalgorithmenWenn Sie oder ein Benutzer die S/MIME-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, legt die Einstellung „Verschlüsselungsalgorithmen“ fest, dass ein Gerät jeden der folgenden Verschlüsselungsalgorithmen verwenden kann, um Nachrichten zu verschlüsseln: AES-256, AES-192, AES-128, RC2 und Triple DES. Sie können den Wert der Einstellung „Verschlüsselungsalgorithmen“ ändern, um nur eine Teilmenge der Verschlüsselungsalgorithmen zu verwenden, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern.

Wenn ein Benutzer eine S/MIME-geschützte Nachricht empfängt, speichert das Gerät die Verschlüsselungsalgorithmen, die die E-Mail-Anwendung des Senders unterstützt. Wenn der Benutzer eine verschlüsselte Nachricht an einen Empfänger sendet, für den das Gerät Verschlüsselungsalgorithmus-Informationen gespeichert hat, verwendet das Gerät einen Algorithmus, der von dem Empfänger unterstützt wird. Wenn das Gerät die Verschlüsselungsalgorithmen der E-Mail-Anwendung des Empfängers nicht bestimmen kann, verschlüsselt das Gerät die E-Mail-Nachricht mit Triple DES.

Datenfluss: Senden einer E-Mail-Nachricht von einem BlackBerry 10-Gerät mit S/MIME-Verschlüsselung

1. Ein Benutzer sendet eine E-Mail-Nachricht von einem BlackBerry 10-Gerät mit S/MIME-Verschlüsselung. Das Gerät führt die folgenden Aktionen aus:

a Prüft den Schlüsselspeicher des BlackBerry-Geräts auf das S/MIME-Zertifikat des Empfängers

b Wenn der Schlüsselspeicher des Geräts das S/MIME-Zertifikat des Empfängers nicht enthält, verwendet das Gerät zum Abrufen das S/MIME-Zertifikat des Empfängers vom LDAP-Server und überprüft den Zertifikatsstatus

c Verschlüsselt die E-Mail-Nachricht mit dem S/MIME-Zertifikat des Empfängers

d Wenn das Gerät mit BlackBerry Infrastructure verbunden ist, verwendet BlackBerry eine Transportschichtverschlüsselung zur Verschlüsselung der S/MIME-verschlüsselten Nachricht

e Sendet die verschlüsselte Nachricht an BES12

2. Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerry-Transportschichtverschlüsselung.

3. BES12 sendet die S/MIME-verschlüsselte Nachricht an den E-Mail-Server.

4. Der E-Mail-Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger.

5. Der Empfänger entschlüsselt die S/MIME-verschlüsselte Nachricht mit seinem privaten S/MIME-Schlüssel.


101

Datenfluss: Senden einer E-Mail-Nachricht von einem iOS- oder Android-Gerät mit S/MIME-Verschlüsselung

1. Ein Benutzer sendet eine E-Mail-Nachricht von einem iOS- oder Android-Gerät. Das Gerät führt die folgenden Aktionen aus:

a Prüft den Schlüsselspeicher des Geräts auf das S/MIME-Zertifikat des Empfängers.

b Verschlüsselt die E-Mail-Nachricht mit dem S/MIME-Zertifikat des Empfängers.

c Sendet die verschlüsselte Nachricht an den E-Mail-Server.

2. Der E-Mail-Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger.

3. Der Empfänger entschlüsselt die mit S/MIME verschlüsselte Nachricht mit dem privaten S/MIME-Schlüssel des Empfängers.

PGPSie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass BlackBerry 10-Geräte (mit BlackBerry 10 OS Version 10.3.1 oder höher) Nachrichten mit dem PGP-Schutz signieren, verschlüsseln oder signieren und verschlüsseln, wenn die Benutzer E-Mail-Nachrichten über ein geschäftliches E-Mail-Konto senden, das auf den Geräten PGP-geschützte Nachrichten unterstützt. BES12 ermöglicht die Steuerung der PGP-Optionen auf Geräten. Sie können beispielsweise festlegen, ob Geräte PGP-geschützte E-Mail-Nachrichten senden können. Sie können veranlassen, dass Benutzer PGP verwenden müssen. Wenn PGP optional ist, können Benutzer PGP-Einstellungen mithilfe der Geräteeinstellungen aktivieren und konfigurieren.

BES12 unterstützt das OpenPGP-Format auf den Geräten. Weitere Informationen zum OpenPGP-Format finden Sie unter RFC 4880. BlackBerry 10-Geräte unterstützen Schlüssel und Zertifikate mit den Dateiformaten und Dateinamenserweiterungen PEM (.pem, .cer) und ASC (.asc, .cer). BlackBerry 10-Geräte unterstützen zudem Anlagen in PGP-geschützten E-Mail-Nachrichten.

Benutzer müssen ihre privaten PGP-Schlüssel auf ihren Geräten speichern, sonst können Geräte PGP-geschützte E-Mail-Nachrichten nicht lesen.

PGP-VerschlüsselungsalgorithmenWenn Sie oder ein Benutzer die PGP-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, können die Geräte jeden der folgenden Algorithmen verwenden, um E-Mail-Nachrichten zu verschlüsseln: AES-256, AES-192, AES-128, Triple DES-168 und CAST-128.

Der öffentliche PGP-Schlüssel des Empfängers zeigt an, welche Verschlüsselungsalgorithmen von der E-Mail-Anwendung des Empfängers unterstützt werden. Das Gerät ist dazu konzipiert, den stärksten verfügbaren Verschlüsselungsalgorithmus zu verwenden. Wenn der öffentliche PGP-Schlüssel des Empfängers keine Liste von Verschlüsselungsalgorithmen enthält, verschlüsselt das Gerät die E-Mail-Nachricht standardmäßig mithilfe eines der Algorithmen in der folgenden Prioritätenfolge: AES-256, AES-192, AES-128, Triple DES-168 und CAST-128.


102

Datenfluss: Senden einer E-Mail-Nachricht von einem BlackBerry 10-Gerät mithilfe von PGP-Verschlüsselung

1. Ein Benutzer sendet eine E-Mail-Nachricht von einem BlackBerry 10-Gerät mithilfe von PGP-Verschlüsselung aus. Das Gerät führt die folgenden Aktionen aus:

a Das Gerät überprüft den Schlüsselspeicher des Geräts für den öffentlichen PGP-Schlüssel des Empfängers.

b Wenn der Schlüsselspeicher des Geräts den öffentlichen PGP-Schlüssel des Empfängers nicht enthält, ruft das Gerät den öffentlichen PGP-Schlüssel des Empfängers vom Symantec Encryption Management Server ab.

c Das Gerät verschlüsselt die E-Mail-Nachricht mithilfe des öffentlichen PGP-Schlüssels des Empfängers.

d Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, verwendet das Gerät BlackBerry-Transportschichtverschlüsselung zur Verschlüsselung der PGP-verschlüsselten Nachricht.

e Das Gerät sendet die verschlüsselte Nachricht an BES12.

2. Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerry-Transportschichtverschlüsselung.

3. BES12 sendet die PGP-verschlüsselte Nachricht an den E-Mail-Server.

4. Der E-Mail-Server sendet die PGP-verschlüsselte Nachricht an den Empfänger.

5. Das Gerät des Empfängers entschlüsselt die PGP-verschlüsselte Nachricht mithilfe des privaten PGP-Schlüssels des Empfängers.

Abrufen von PGP-Schlüsseln von einem Symantec Encryption Management ServerWenn Ihre Unternehmensumgebung einen Symantec Encryption Management Server umfasst, können Sie mithilfe der Einstellung "Symantec Encryption Management Server-Adresse" im E-Mail-Profil voraussetzen, dass Benutzer von BlackBerry 10-Geräten ihre Geräte mit diesem Server anmelden. Sie können außerdem festlegen, ob Benutzer ihre geschäftliche E-Mail-Adresse oder ihre Microsoft Active Directory-Anmeldeinformationen verwenden müssen, um Geräte mit diesem Server anzumelden. Die Benutzer müssen ihre Anmeldedaten übermitteln, und anschließend müssen sich die Geräte mit dem angegebenen Server anmelden, authentifizieren und in Verbindung setzen, bevor Benutzer PGP-Schutz auf ihren Geräten nutzen können.

Nachdem Benutzer ihre Geräte mit dem Server angemeldet haben, können Geräte sowohl auf PGP-Schlüssel und den PGP-Schlüsselstatus zugreifen als auch die E-Mail-Richtlinie des Symantec Encryption Management Server für alle vom Benutzer gesendeten E-Mail-Nachrichten abrufen und durchsetzen.

Weitere Informationen über Symantec Encryption Management Server-Profileinstellungen finden Sie in der Dokumentation für Administratoren.

IBM Notes-E-Mail Verschlüsselung für GeräteWenn Ihre Unternehmensumgebung über IBM Notes oder IBM Domino verfügt, können BlackBerry 10-Geräte, auf denen IBM Notes Traveler installiert ist, mithilfe der IBM Notes-E-Mail-Verschlüsselung E-Mail-Nachrichten senden und empfangen.


103



Wenn Benutzer Nachrichten erstellen, weiterleiten oder beantworten, können sie angeben, ob der Notes Traveler-Server die Nachricht vor dem Senden an Empfänger verschlüsseln muss. Geräte und der Notes Traveler-Server senden einander alle Daten über eine TLS-Verbindung.

Benutzer können die IBM Notes-E-Mail-Verschlüsselung auf dem Gerät mithilfe der Geräteeinstellungen aktivieren.

Mehr Informationen zu den unterstützten Versionen von Notes Traveler finden Sie in der Kompatibilitätsmatrix.

Klassifizieren von Meldungen für BlackBerry 10-GeräteDie Nachrichtenklassifizierung ermöglicht es Ihrem Unternehmen, auf BlackBerry 10-Geräten sichere E-Mail-Richtlinien festzulegen und durchzusetzen sowie visuelle Markierungen zu E-Mail-Nachrichten hinzuzufügen. Sie können BES12 verwenden, um Benutzern von BlackBerry 10-Geräten die gleichen Optionen zur Nachrichtenklassifizierung zu bieten, die ihnen auch bei den E-Mail-Anwendungen auf ihrem Computer zur Verfügung stehen. Sie können die folgenden Regeln für ausgehende Nachrichten definieren, basierend auf den Nachrichtenklassifizierungen:

• Ein Etikett hinzufügen, um die Nachrichtenklassifizierung zu markieren (z. B. vertraulich)

• Eine optische Markierung am Ende der Betreffzeile hinzufügen (z. B. [C])

• Text am Anfang oder am Ende des E-Mail-Textkörpers hinzufügen (z. B. "Diese Nachricht wurde als vertraulich eingestuft")

• S/MIME oder PGP-Optionen einstellen (z. B. signieren und verschlüsseln)

• Eine Standardklassifizierung einstellen

Auf Geräten, auf denen BlackBerry 10 OS-Version 10.3.1 und höher ausgeführt wird, können Sie mithilfe der Nachrichtenklassifizierung festlegen, dass Benutzer E-Mail-Nachrichten signieren, verschlüsseln oder signieren und verschlüsseln müssen oder visuelle Markierungen zu E-Mail-Nachrichten, die sie von ihren Geräten senden, hinzufügen. Sie können BES12 verwenden, um eine Nachrichtenklassifizierungs-Konfigurationsdatei zu bestimmen, die an das Gerät eines Benutzers gesendet wird. Das Gerät interpretiert und implementiert dann den Inhalt der Nachrichtenklassifizierungs-Konfigurationsdatei. Wenn der Benutzer entweder auf eine E-Mail-Nachricht antwortet, für die die Nachrichtenklassifizierung festgelegt ist, oder eine gesicherte E-Mail-Nachricht erstellt, bestimmt die Nachrichtenklassifizierungskonfiguration die Klassifikationsregeln, die das Gerät für die ausgehende Nachricht durchsetzen muss.

Benutzer können die Stufe der Nachrichtenklassifizierung auf ihren Geräten anheben, aber nicht absenken. Die Stufen der Nachrichtenklassifizierung werden von Regeln für sichere E-Mails in jeder Klassifizierung festgelegt.

Weitere Informationen zum Konfigurieren der Nachrichtenklassifizierung finden Sie in der Dokumentation für Administratoren und im Artikel KB36736 unter http://support.blackberry.com/kb.


104

http://help.blackberry.com/detectLang/bes-compatibility-matrix/latest/


http://support.blackberry.com/kb

Bereitstellen von Geräten mit Zugriff per einmaligem Anmelden im Netzwerk Ihres UnternehmensSie können die automatische Authentifizierung von Domänen und Webdiensten Ihres Unternehmensnetzwerks im Browser und in anderen Apps auf Geräten mit iOS 7 und höher und im geschäftlichen Bereich auf BlackBerry 10-Geräten automatisch zulassen.

Die Authentifizierung für die einmalige Anmeldung kann die Anmeldeinformationen des Benutzers oder das Zertifikat verwenden. Zertifikatsbasierte Authentifizierung wird für BlackBerry 10-Geräte und Geräte mit iOS 8.0 und höher unterstützt. Wenn Sie einem Benutzer ein Profil für die einmalige Anmeldung zuweisen, werden die Anmeldeinformationen des Benutzers auf dem Gerät gespeichert, wenn er zum ersten Mal eine im Profil angegebene Domäne aufruft. Die gespeicherten Anmeldeinformationen des Benutzers werden automatisch verwendet, wenn er versucht, auf die im Profil angegebenen Domänen zuzugreifen. Der Benutzer wird nicht weiter zur Eingabe der Anmeldeinformationen aufgefordert, bis das Kennwort des Benutzers sich ändert oder das Zertifikat abläuft.

BES12 unterstützt die folgenden Authentifizierungstypen für die einmalige Anmeldung:

Authentifizierungstyp Gilt für

Kerberos • BlackBerry 10

• iOS Version 7 und höher

NTLM • BlackBerry 10

Zertifikatsbasierte Authentifizierung • BlackBerry 10

• iOS Version 8 und höher

Weitere Informationen zum Erstellen von Profilen für die einmalige Anmeldung finden Sie in der Dokumentation für Administratoren.

Verwenden von Kerberos für die einmalige Anmeldung auf GerätenWenn Ihr Unternehmen Kerberos für den Zugriff per einmaliger Anmeldung verwendet, können Benutzer den Zugriff per einmaliger Anmeldung auf die Ressourcen Ihres Unternehmens mithilfe des Browsers und der Apps im geschäftlichen Bereich auf ihren BlackBerry 10-Geräten oder Geräten mit iOS 7 oder höher nutzen.


105



Bei der Verwendung von Kerberos mit Geräten, wenn eine gültige TGT auf den Geräten verfügbar ist, werden Benutzer nicht zur Eingabe der Anmeldeinformationen aufgefordert, wenn sie mithilfe des Browsers und der Apps im geschäftlichen Bereich auf die internen Ressourcen Ihres Unternehmens zugreifen. Wenn die Benutzer über eine VPN-Verbindung mit Ihrem Unternehmen verbunden sind, muss das VPN-Gateway die Übertragung an das KDC zulassen, sodass Benutzer ohne Angabe von Anmeldeinformationen Zugriff haben.

Für die Verwendung von Kerberos mit Geräten geben Sie die Kerberos-Konfigurationsdatei Ihres Unternehmens in einem Profil für die einmalige Anmeldung an.


Schützen von Verbindungen zur BES12 mithilfe des BlackBerry RouterDer BlackBerry Router ist eine optionale Komponente, die eine Verbindung zu Ihrem Netzwerk herstellt, und für die BlackBerry Infrastructure Daten an BES12 sendet und von dieser empfängt. Der BlackBerry Router agiert als Proxy-Server für Verbindungen über die BlackBerry Infrastructure zwischen BES12 und allen Geräten.

Sie können eine Instanz des BlackBerry Router für alle BES5-, BES10 und BES12-Domänen in Ihrer Unternehmensumgebung verwenden.

Wenn BES12 einen BlackBerry Router erkennt, ermittelt sie die IP-Adresse des Computers, der den BlackBerry Router hostet und schreibt die IP-Adresse in die BES12-Datenbank.

Verwenden eines BlackBerry Router oder eines Proxy-Servers mit BES12Wenn Sie einen Proxy-Server mit BES12 verwenden möchten, können Sie den BlackBerry Router als Proxy-Server installieren oder einen bereits in der Umgebung installierten TCP-Proxy-Server verwenden. Die Installation des BlackBerry Router oder des Proxy-Servers muss außerhalb der Unternehmens-Firewall in der DMZ erfolgen.

Durch die Installation des BlackBerry Router oder eines TCP-Proxy-Server in der DMZ wird die Sicherheit für BES12 zusätzlich erhöht. Nur der BlackBerry Router oder der Proxy-Server stellen von außerhalb der Firewall eine Verbindung zu BES12 her.

Alle Verbindungen über die BlackBerry Infrastructure zwischen BES12 und den Geräten werden über den BlackBerry Router oder den Proxy-Server geleitet.


106


Wenn Sie einen TCP-Proxy-Server verwenden möchten, muss es sich um einen transparenten TCP-Proxy-Server handeln, oder die Verwendung von SOCKS v5 (keine Authentifizierung) ist erforderlich.

Weitere Informationen zur Planung des Installationsorts für den BlackBerry Router finden Sie in der Dokumentation zu Installation und Upgrade.

Weitere Informationen zum Konfigurieren des BlackBerry Router oder eines Proxy-Servers finden Sie in der Dokumentation zur Konfiguration.

Installieren von BES12 in einer DMZWenn die Sicherheitsrichtlinien Ihres Unternehmens eine detailliertere Kontrolle über die für BES12 zugänglichen Ressourcen erfordern, können Sie BES12 in einer eigenen DMZ installieren.

Beispielsweise können Sie den BlackBerry Router oder einen TCP-Proxy-Server in der DMZ Ihres Unternehmens installieren und BES12 in einer separaten DMZ.


107

http://help.blackberry.com/detectLang/bes12/12.4/installation-and-upgrade/

http://help.blackberry.com/detectLang/bes12/12.4/installation-and-upgrade/



Weitere Informationen zum Konfigurieren von BES12 bei Installation in einer DMZ finden Sie in der Dokumentation zur Konfiguration.


108



BlackBerry OS-Gerätesicherheit

Wenn die BES12-Domäne Ihres Unternehmens BlackBerry OS-Geräte (Version 5.0 bis 7.1) unterstützt, informieren Sie sich in der folgenden Tabelle über weiterführende Informationen zur Sicherheit von BlackBerry OS-Geräten.

Besuchen Sie http://help.blackberry.com/en/bes5-for-exchange/ und lesen Sie BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit.

Weitere Informationen Ressource

Aktivieren und Verwalten der Geräte

BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit

• Aktivieren eines Geräts

• Verwalten der Sicherheit der BlackBerry Enterprise Solution

BES12-Dokumentation für Administratoren

• IT-Administrationsbefehle

Daten während der Übertragung BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit

• Verschlüsseln der zwischen dem BlackBerry Enterprise Server und einem Gerät gesendeten Daten

• Schützen der Kommunikation mit einem Gerät

• Schützen der Kommunikation in Ihrer Unternehmensumgebung

• Wi-Fi-fähige Geräte

• IEEE 802.1X-Standard

• Verwenden eines VPN mit einem Gerät

• Verwalten von Zertifikaten auf einem Gerät

• Schützen von BlackBerry Device Software-Updates

• Erweitern der Nachrichtensicherheit für ein Gerät

Daten im Ruhezustand BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit

• Schlüssel auf einem Gerät

• Gerätespeicher

• Schützen von Geräten in Ihrer Unternehmensumgebung für den privaten und geschäftlichen Gebrauch

• Schützen von Daten auf einem Gerät

5


109

http://help.blackberry.com/en/bes5-for-exchange/

Weitere Informationen Ressource

• Schützen der vom BlackBerry Enterprise Server in Ihrer Unternehmensumgebung gespeicherten Daten

• Konfigurieren der Zwei-Faktor-Authentifizierung und Schützen von Bluetooth-Verbindungen

• Wi-Fi-fähige Geräte

• IEEE 802.1X-Standard

Apps BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit

• Steuern von Anwendungen auf einem Gerät

Kryptografie BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit

• RIM-Kryptografie-API


110

Glossar

A2DP Advanced Audio Distribution Profile (erweitertes Audioverteilungsprofil)

AES Advanced Encryption Standard (erweiterter Verschlüsselungsstandard)

API Application Programming Interface (Anwendungsprogrammierschnittstelle)

ARC4 Alleged Rivest's Cipher 4 (Verschlüsselungsverfahren)

AVRCP Audio/Video Remote Control Profile (Bluetooth-Profil zur Fernsteuerung von Audio- oder Videogeräten)

BES5 BlackBerry Enterprise Server 5

BES10 BlackBerry Enterprise Service 10

BES12 BlackBerry Enterprise Service 12

BES12-Instanz BES12-Instanz bezieht sich auf alle BES12-Komponenten, die auf einem Computer installiert sind, mit Ausnahme des BlackBerry Router, bei dem es sich um eine separat installierte optionale Komponente handelt. Eine BES12-Instanz wird auch manchmal als „Einheit“ bezeichnet.

CA Zertifizierungsstelle

CAST Carlisle Adams Stafford Tavares (Verschlüsselungsverfahren)

CBC Cipher Block Chaining (Geheimtextblockverkettung)

CCM Client Certificate Management

CRL Certificate Revocation List (Zertifikatwiderrufliste)

CSR Certificate Signing Request (Anforderung für die Zertifikatssignatur)

DER Distinguished Encoding Rules

DES Data Encryption Standard (Datenverschlüsselungsstandard)

DISA Defense Information Systems Agency

DMZ Eine demilitarisierte Zone (DMZ) ist ein neutrales Subnetzwerk außerhalb der Firewall eines Unternehmens. Sie besteht zwischen dem vertrauenswürdigen Unternehmens-LAN und dem nicht vertrauenswürdigen externen drahtlosen Netzwerk und dem öffentlichen Internet.

DoS Denial of Service (Dienstverweigerung)

DRBG Deterministischer Zufallsbitgenerator

DSA Digital Signature Algorithm (Digitaler Signaturalgorithmus)

DTLS Datagram Transport Layer Security

ECC Elliptic Curve Cryptography (Kryptographieverfahren basierend auf elliptischer Kurve)

6

Glossar

111

ECDH Elliptic Curve Diffie-Hellman (elliptische Kurve nach Diffie-Hellman)

ECDSA Elliptic Curve Digital Signature Algorithm (digitaler Signaturalgorithmus basierend auf elliptischer Kurve)

ECMQV Elliptic Curve Menezes-Qu-Vanstone (Kryptographieverfahren basierend auf elliptischer Kurve)

EC-SPEKE Elliptic Curve – Simple Password Exponential Key Exchange (einfacher Kennwortexponential-Schlüsselaustausch)

FIPS Federal Information Processing Standards (US-Standard für die Informationsverarbeitung)

GCM Galois/Counter Mode

GPS Global Positioning System (Satellitengestütztes Navigations- und Positionsbestimmungssystem)

HDMI High-Definition Multimedia Interface

HFP Hands-Free Profile (Freisprechprofil)

HMAC Keyed-Hash Message Authentication Code (verschlüsselter Hash-Nachrichtenauthentifizierungscode)

HTTP Hypertext Transfer Protocol (Hypertextübertragungsprotokoll)

HTTPS Hypertext Transfer Protocol over Secure Sockets Layer (HTTP über SSL)

IEEE Institute of Electrical and Electronics Engineers

IETF Internet Engineering Task Force

IP Internet Protocol (Internetprotokoll)

IPSec Internet Protocol Security (Internetprotokollsicherheit)

IT-Richtlinie Eine IT-Richtlinie besteht aus verschiedenen Regeln, die die Sicherheitsmerkmale und das Verhalten von Geräten steuern.

KDC Ein Schlüsselverteilungscenter (KDC) ist ein Server, der die vertrauenswürdige Vermittlerrolle für das Kerberos™-Protokoll ausführt. Der KDC veröffentlicht Diensttickets und verwaltet eine Liste von Tickets, die es veröffentlicht hat. Domänencontroller sind KDCs.

LAN Local Area Network (lokales Netzwerk)

LDAP Lightweight Directory Access Protocol (Anwendungsprotokoll)

MAP Message Access Profile (Nachrichtenzugriffsprofil)

MDM Mobile Geräteverwaltung (Mobile Device Management)

MIME Multipurpose Internet Mail Extensions (Protokoll für den Austausch von E-Mails über das Internet)

MMS Multimedia Messaging Service (Multimedia-Dienst für mobile Geräte)

MOS Mobiles Betriebssystem

NDES Network Device Enrollment Service (Registrierungsdienst für Netzwerkgeräte)

NFC Near Field Communication (Nahfeldkommunikation)

Glossar

112

NIAP National Information Assurance Partnership

NIST National Institute of Standards and Technology (US-Standardisierungsinstitut)

NTLM NT LAN Manager (Authentifizierungsverfahren für Rechnernetze)

NVRAM Nonvolatile Random Access Memory

OBEX Object Exchange (Objektaustausch)

OCSP Online Certificate Status Protocol (Internetprotokoll zur Statusabfrage)

OPP Object Push Profile

PAN Personal Area Networking

PBAP Phone Book Access Profile (Telefonbuch-Zugriffsprofil)

PEM Privacy Enhanced Mail

PFX Personal Information Exchange (Austausch persönlicher Informationen)

PIN Personal Identification Number (Persönliche Identifikationsnummer)

PKCS Public Key Cryptography Standards (kryptographische Verschlüsselungsstandards)

PKI Public Key Infrastructure (Infrastruktur öffentlicher Schlüssel)

PRNG pseudo-zufälliger Zahlengenerator

RC Rivest's Cipher (Verschlüsselungsverfahren)

RFC Request For Comments (Kommentaranforderungen)

S/MIME Secure Multipurpose Internet Mail Extensions (Protokoll für den Austausch sicherer E-Mails über das Internet)

SCEP Simple Certificate Enrollment-Protokoll

SHA Secure Hash Algorithm (Sicherer Hash-Algorithmus)

SMS Short Message Service (Kurznachrichtendienst)

SOCKS Socket Secure

Bereich Ein Bereich ist eine bestimmte Gerätezone, in der verschiedene Arten von Daten, Anwendungen und Netzwerkverbindungen getrennt und verwaltet werden können. Unterschiedliche Bereiche verfügen über unterschiedliche Regeln zur Datenspeicherung, für Anwendungsberechtigungen und Netzwerkroutings. Bereiche wurden bisher auch als Perimeter bezeichnet.

SPP Serial Port Profile

SRP Server Routing Protocol

SSL Secure Sockets Layer (Netzwerkprotokoll zur sicheren Übertragung von Daten)

SSP Secure Simple Pairing

TCP Transmission Control Protocol (Übertragungssteuerungsprotokoll)

Glossar

113

TCP/IP Transmission Control Protocol/Internet Protocol (Transmission Control-Protokoll/Internetprotokoll) bezeichnet einen Satz von Kommunikationsprotokollen, der für die Datenübertragung über Netzwerke wie das Internet verwendet wird.

TGT Das Ticket Granting Ticket (TGT) ist ein Dienstticket, das ein Client eines Kerberos-fähigen Diensts an den TGS sendet, um das Dienstticket für den Kerberos-fähigen Dienst anzufordern.

TLS Transport Layer Security (Netzwerkprotokoll zur sicheren Datenübertragung)

Triple DES Triple Data Encryption Standard (Verschlüsselungsstandard 3DES)

UDP User Datagram Protocol (User Datagram-Protokoll)

UID Unique Identifier (eindeutiger Bezeichner)

URI Uniform Resource Identifier

VPN Virtual Private Network (Virtuelles privates Netzwerk)

XTS Auf XEX basierender Tweaked CodeBook Mode (TCB) mit CipherText Stealing (CTS)

Glossar

114

Rechtliche Hinweise

©2016 BlackBerry Limited. Marken, einschließlich, aber nicht beschränkt auf BLACKBERRY, BES, EMBLEM Design, GOOD, GOOD WORK, LOCK Design, MANYME, MOVIRTU, SECUSMART, SECUSMART & Design, SECUSUITE, SECUVOICE, VIRTUAL SIM PLATFORM, WATCHDOX und WORKLIFE sind Marken oder eingetragene Marken von BlackBerry Limited, seinen Tochtergesellschaften und/oder angegliederten Unternehmen, die unter Lizenz verwendet werden. Das exklusive Recht an diesen Marken wird ausdrücklich vorbehalten. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.

Adobe und Reader sind Marken oder eingetragene Marken der Adobe Systems Incorporated in den USA und/oder anderen Ländern. Android, Google, Dalvik und Google Play sind Marken von Google Inc. Apple, App Store, Mac und OS X sind Marken von Apple Inc. Bluetooth ist eine Marke von Bluetooth SIG. Documents To Go ist eine Marke von Dataviz, Inc. DISA ist eine Marke von Defense Information Systems Agency. Entrust ist eine Marke von Entrust, Inc. Evernote ist eine Marke von Evernote Corporation. Facebook ist eine Marke von Facebook, Inc. HDMI ist eine Marke der HDMI Licensing, LLC. IBM, Domino und Notizen sind eingetragene Marken der International Business Machines Corporation in vielen Ländern weltweit. IEEE, 802.11 und 802.1X sind Marken des Institute of Electrical and Electronics Engineers, Inc. iOS ist eine Marke von Cisco Systems, Inc. und/oder seiner angegliederten Unternehmen in den USA und einigen anderen Ländern. iOS® wird unter Lizenz von Apple Inc. verwendet. Kerberos ist eine Marke des Massachusetts Institute of Technology. LinkedIn ist eine Marke der LinkedIn Corporation. Microsoft, Active Directory, ActiveSync und Windows Phone sind Marken oder eingetragene Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Miracast ist eine Marke der Wi-Fi Alliance. NIAP ist eine Marke des National Institute of Standards and Technology. OpenSSL ist eine Marke der The OpenSSL Software Foundation, Inc. OpenTrust ist eine Marke von Open Trust. PGP ist eine Marke der PGP Corporation. RSA ist eine Marke von RSA Security. Samsung, Samsung KNOX und KNOX sind Marken von Samsung Electronics Co., Ltd. Symantec ist eine Marke oder eingetragene Marke der Symantec Corporation oder ihrer Tochtergesellschaften in den USA und anderen Ländern. Twitter ist eine Marke von Twitter, Inc. Wi-Fi ist eine Marke der Wi-Fi Alliance. Windows Phone ist eine Marke oder eine eingetragene Marke der Microsoft Corporation in den USA und/oder anderen Ländern. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.

Dieses Dokument und alle Dokumente, die per Verweis in dieses Dokument mit einbezogen werden, z. B. alle über die BlackBerry-Webseite erhältlichen Dokumente, werden ohne Mängelgewähr und je nach Verfügbarkeit bereitgestellt. Die entsprechenden Dokumente werden ohne ausdrückliche Billigung, Gewährleistung oder Garantie seitens BlackBerry Limited und seinen angegliederten Unternehmen („BlackBerry“) bereitgestellt. BlackBerry übernimmt keine Verantwortung für eventuelle typografische, technische oder anderweitige Ungenauigkeiten sowie für Fehler und Auslassungen in den genannten Dokumenten. Die BlackBerry-Technologie ist in dieser Dokumentation teilweise in verallgemeinerter Form beschrieben, um das Eigentum und die vertraulichen Informationen und/oder Geschäftsgeheimnisse von BlackBerry zu schützen. BlackBerry behält sich das Recht vor, die in diesem Dokument enthaltenen Informationen von Zeit zu Zeit zu ändern. BlackBerry ist jedoch nicht verpflichtet, die Benutzer über diese Änderungen, Updates, Verbesserungen oder Zusätze rechtzeitig bzw. überhaupt in Kenntnis zu setzen.

Diese Dokumentation enthält möglicherweise Verweise auf Informationsquellen, Hardware oder Software, Produkte oder Dienste, einschließlich Komponenten und Inhalte wie urheberrechtlich geschützte Inhalte und/oder Websites von Drittanbietern (nachfolgend "Drittprodukte und -dienste" genannt). BlackBerry hat keinen Einfluss auf und übernimmt keine Haftung für Drittprodukte und -dienste, dies gilt u. a. für Inhalt, Genauigkeit, Einhaltung der Urheberrechtsgesetze, Kompatibilität, Leistung, Zuverlässigkeit, Rechtmäßigkeit, Schicklichkeit, Links oder andere Aspekte der Drittprodukte und -

7

Rechtliche Hinweise

115

dienste. Der Einschluss eines Verweises auf Drittprodukte und -dienste in dieser Dokumentation impliziert in keiner Weise eine besondere Empfehlung der Drittprodukte und -dienste oder des Drittanbieters durch BlackBerry.

SOFERN ES NICHT DURCH DAS IN IHREM RECHTSGEBIET GELTENDE RECHT AUSDRÜCKLICH UNTERSAGT IST, WERDEN HIERMIT SÄMTLICHE AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN JEDER ART, EINSCHLIESSLICH, OHNE EINSCHRÄNKUNG, BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER HALTBARKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER VERWENDUNGSZWECK, MARKTGÄNGIGKEIT, MARKTGÄNGIGEN QUALITÄT, NICHTVERLETZUNG VON RECHTEN DRITTER, ZUFRIEDENSTELLENDEN QUALITÄT ODER DES EIGENTUMSRECHTS ABGELEHNT. DIES GILT AUCH FÜR ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DIE SICH AUS EINEM GESETZ, EINER GEPFLOGENHEIT, USANCEN BZW. HANDELSGEPFLOGENHEITEN ERGEBEN ODER IM ZUSAMMENHANG MIT DER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER MANGELNDEN LEISTUNG VON SOFTWARE, HARDWARE, DIENSTEN ODER DRITTANBIETER-PRODUKTEN UND -DIENSTEN STEHEN, AUF DIE HIER VERWIESEN WIRD. MÖGLICHERWEISE HABEN SIE ZUDEM ANDERE LANDESSPEZIFISCHE RECHTE. IN MANCHEN RECHTSGEBIETEN IST DER AUSSCHLUSS ODER DIE EINSCHRÄNKUNG KONKLUDENTER GEWÄHRLEISTUNGEN UND BEDINGUNGEN NICHT ZULÄSSIG. IN DEM GESETZLICH ZULÄSSIGEN UMFANG WERDEN SÄMTLICHE KONKLUDENTEN GEWÄHRLEISTUNGEN ODER BEDINGUNGEN IM ZUSAMMENHANG MIT DER DOKUMENTATION, DIE EINGESCHRÄNKT WERDEN KÖNNEN, SOFERN SIE NICHT WIE OBEN DARGELEGT AUSGESCHLOSSEN WERDEN KÖNNEN, HIERMIT AUF 90 TAGE AB DATUM DES ERWERBS DER DOKUMENTATION ODER DES ARTIKELS, AUF DEN SICH DIE FORDERUNG BEZIEHT, BESCHRÄNKT.

IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS HAFTET BLACKBERRY UNTER KEINEN UMSTÄNDEN FÜR SCHÄDEN JEGLICHER ART, DIE IM ZUSAMMENHANG MIT DIESER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER NICHTLEISTUNG JEGLICHER SOFTWARE, HARDWARE, DIENSTE ODER DRITTPRODUKTE UND -DIENSTE, AUF DIE HIER BEZUG GENOMMEN WIRD, STEHEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE FOLGENDEN SCHÄDEN: DIREKTE, VERSCHÄRFTEN SCHADENERSATZ NACH SICH ZIEHENDE, BEILÄUFIG ENTSTANDENE, INDIREKTE, KONKRETE, STRAFE EINSCHLIESSENDE SCHÄDEN, FOLGESCHÄDEN ODER SCHÄDEN, FÜR DIE ANSPRUCH AUF KOMPENSATORISCHEN SCHADENERSATZ BESTEHT, SCHÄDEN WEGEN ENTGANGENEN GEWINNEN ODER EINKOMMEN, NICHTREALISIERUNG ERWARTETER EINSPARUNGEN, BETRIEBSUNTERBRECHUNGEN, VERLUSTES GESCHÄFTLICHER DATEN, ENTGANGENER GESCHÄFTSCHANCEN ODER BESCHÄDIGUNG BZW. VERLUSTES VON DATEN, DES UNVERMÖGENS, DATEN ZU ÜBERTRAGEN ODER ZU EMPFANGEN, PROBLEMEN IM ZUSAMMENHANG MIT ANWENDUNGEN, DIE IN VERBINDUNG MIT BLACKBERRY-PRODUKTEN UND -DIENSTEN VERWENDET WERDEN, KOSTEN VON AUSFALLZEITEN, NICHTVERWENDBARKEIT VON BLACKBERRY-PRODUKTEN UND -DIENSTEN ODER TEILEN DAVON BZW. VON AIRTIME-DIENSTEN, KOSTEN VON ERSATZGÜTERN, DECKUNG, EINRICHTUNGEN ODER DIENSTEN, KAPITAL- ODER ANDERE VERMÖGENSSCHÄDEN, UNABHÄNGIG DAVON, OB SCHÄDEN DIESER ART ABZUSEHEN ODER NICHT ABZUSEHEN WAREN, UND AUCH DANN, WENN BLACKBERRY AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE.

IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS ÜBERNIMMT BLACKBERRY KEINERLEI VERANTWORTUNG, VERPFLICHTUNG ODER HAFTUNG, SEI SIE VERTRAGLICHER, DELIKTRECHTLICHER ODER ANDERWEITIGER NATUR, EINSCHLIESSLICH DER HAFTUNG FÜR FAHRLÄSSIGKEIT UND DER DELIKTSHAFTUNG.

DIE IN DIESEM DOKUMENT GENANNTEN EINSCHRÄNKUNGEN, AUSSCHLÜSSE UND HAFTUNGSAUSSCHLÜSSE GELTEN: (A) UNGEACHTET DER VON IHNEN ANGEFÜHRTEN KLAGEGRÜNDE, FORDERUNGEN ODER KLAGEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF VERTRAGSBRUCH, FAHRLÄSSIGKEIT, ZIVILRECHTLICHER DELIKTE, DELIKTSHAFTUNG ODER SONSTIGE RECHTSTHEORIE UND SIND AUCH NACH EINEM WESENTLICHEN VERSTOSS BZW. EINEM FEHLENDEN GRUNDLEGENDEN ZWECK DIESER VEREINBARUNG ODER EINES DARIN ENTHALTENEN RECHTSBEHELFS WIRKSAM; UND

Rechtliche Hinweise

116

GELTEN (B) FÜR BLACKBERRY UND DIE ZUGEHÖRIGEN UNTERNEHMEN, RECHTSNACHFOLGER, BEVOLLMÄCHTIGTEN, VERTRETER, LIEFERANTEN (EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN), AUTORISIERTE BLACKBERRY-DISTRIBUTOREN (EBENFALLS EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN) UND DIE JEWEILIGEN FÜHRUNGSKRÄFTE, ANGESTELLTEN UND UNABHÄNGIGEN AUFTRAGNEHMER.

ZUSÄTZLICH ZU DEN OBEN GENANNTEN EINSCHRÄNKUNGEN UND AUSSCHLÜSSEN HAFTEN DIE FÜHRUNGSKRÄFTE, ANGESTELLTEN, VERTRETER, DISTRIBUTOREN, LIEFERANTEN, UNABHÄNGIGEN AUFTRAGNEHMER VON BLACKBERRY ODER BLACKBERRY ANGEHÖRENDEN UNTERNEHMEN IN KEINER WEISE IM ZUSAMMENHANG MIT DER DOKUMENTATION.

Bevor Sie Drittprodukte bzw. -dienste abonnieren, installieren oder verwenden, müssen Sie sicherstellen, dass Ihr Mobilfunkanbieter sich mit der Unterstützung aller zugehörigen Funktionen einverstanden erklärt hat. Einige Mobilfunkanbieter bieten möglicherweise keine Internet-Browsing-Funktion in Zusammenhang mit einem Abonnement für BlackBerry® Internet Service an. Erkundigen Sie sich bei Ihrem Dienstanbieter bezüglich Verfügbarkeit, Roaming-Vereinbarungen, Service-Plänen und Funktionen. Für die Installation oder Verwendung von Drittprodukten und -diensten mit den Produkten und Diensten von BlackBerry sind u. U. Patent-, Marken-, Urheberrechts- oder sonstige Lizenzen erforderlich, damit die Rechte Dritter nicht verletzt werden. Es liegt in Ihrer Verantwortung, zu entscheiden, ob Sie Drittprodukte und -dienste verwenden möchten, und festzustellen, ob hierfür Lizenzen erforderlich sind. Für den Erwerb etwaiger Lizenzen sind Sie verantwortlich. Installieren oder verwenden Sie Drittprodukte und -dienste erst nach dem Erwerb aller erforderlichen Lizenzen. Alle Drittprodukte und -dienste, die Sie mit Produkten und Diensten von BlackBerry erhalten, werden lediglich zu Ihrem Vorteil, ohne Mängelgewähr und ohne ausdrückliche oder stillschweigende Bedingung, Billigung, Garantie, Zusicherung oder Gewährleistung jedweder Art von BlackBerry bereitgestellt. BlackBerry übernimmt in diesem Zusammenhang keinerlei Haftung. Die Verwendung von Drittprodukten und -diensten unterliegt Ihrer Zustimmung zu den Bedingungen separater Lizenzen und anderer geltender Vereinbarungen mit Dritten, sofern sie nicht ausdrücklich von einer Lizenz oder anderen Vereinbarung mit BlackBerry behandelt wird.

Die Nutzungsbedingungen für BlackBerry-Produkte und -Dienste werden in einer entsprechenden separaten Lizenz oder anderen Vereinbarung mit BlackBerry dargelegt. KEINE DER IN DIESER DOKUMENTATION DARGELEGTEN BESTIMMUNGEN SETZEN IRGENDWELCHE AUSDRÜCKLICHEN SCHRIFTLICHEN VEREINBARUNGEN ODER GEWÄHRLEISTUNGEN VON BLACKBERRY FÜR TEILE VON BLACKBERRY-PRODUKTEN ODER -DIENSTEN AUSSER KRAFT.

BlackBerry Enterprise Software umfasst spezifische Drittanbietersoftware. Die Lizenz und Copyright-Informationen für diese Software sind verfügbar unter: http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp.

BlackBerry Limited2200 University Avenue EastWaterloo, OntarioCanada N2K 0A7

BlackBerry UK Limited200 Bath RoadSlough, Berkshire SL1 3XEUnited Kingdom

Veröffentlicht in Kanada

Rechtliche Hinweise

117

http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp