BlackBerry 10, Balance und ein weiteres geschäftliches Konto

Es gibt einen Umstand der mit den aktuellen Softwareständen auf den BlackBerry 10 Geräten und dem BES 10.1 nicht lösbar ist: BlackBerry Balance ist eingerichtet und nun soll ein weiteres Email Konto aus dem Firmenumfeld auf dem Gerät abgerufen werden. Dies ist unter Umständen notwendig wenn der Administrator sich ein Konto für Servicemitteilungen auf dem Mailserver eingerichtet hat, oder ein Mitarbeiter ein weiteres Konto abrufen soll. Über den BES und damit über die Balance, lässt sich z.Z. aber nur ein Konto mit dem Gerät Synchronisieren.

Es gibt einige Dinge über die ich schreiben möchte bevor ich eine Lösung anbiete:

  1. Es wird eine Lösung von BlackBerry dazu geben! Auf dem BlackBerry Experience Forum in Frankfurt wurde dies für einen „späteren BES“ angekündigt. Vielleicht schon mit 10.2? Der Entwicklungschef aus Atlanta war auf dem Forum und berichtete das schon einige Kunden diese Anforderung in den Raum gestellt haben. Hier spricht man wohl von der Chef / Sekretärinnen Funktion. Es soll möglich sein, mehrere Email Adressen bzw. Email Konten vom eigenen Mailserver einem Benutzer zuzuweisen und die Verbindung über die Balance abzuwickeln. Da dies aber umfangreiche Änderungen bedarf, erfordert die Umsetzung weitere Updates des Servers wie auch der Gerätesoftware
  2. Diese Anleitung soll nicht nur für diejenigen sein die eine Lösung für dies Anforderung suchen, sondern auch ein Hinweis für den Administrator sein, wie Benutzer die Sicherheit des BES 10 umgehen können.
  3. Für die hier beschrieben Lösung muss der eigene Mailserver aus dem Internet erreichbar sein. Welches Protokoll der Server dann spricht, ist im Grunde egal. Beschrieben wird hier eine Anbindung über ActiveSync.

Hat man im Unternehmen einen BES 10.1 und sind die Geräte über diesen angebunden, dann beschränkt sich die Anzahl der nutzbaren Email Konten – über diesen Weg – auf genau 1 Stück. Das ist für einige Fälle zu wenig. Ist der eigene Server aus dem Internet erreichbar, können weitere Konten eingerichtet werden indem man einfach ein zusätzliches ActiveSync Konto einrichtet. Das ist aber einfacher gesagt als getan, denn auch BlackBerry ist dieser Umstand bewusst und man versucht dies – verständlicher Weise – zu unterbinden. Warum verständlicher Weise? Über die „Balance“-Funktion verbinden sich die Geräte mit dem eigenen BlackBerry Enterprise Services Server über die Infrastruktur von BlackBerry. Dabei ist die Verbindung End-zu-End mit AES verschlüsselt. Das bedeutet, dass nur der eigene Server und das entsprechende Gerät den Schlüssel kennen. Ein weiteres Gerät benutzt einen anderen Schlüssel. Bei der Aktivierung eines BlackBerry Handys an den eigenen Server, wird dieser Schlüssel ausgehandelt. Aktiviert man seine Endgeräte im eigenen WLAN, dann bleibt selbst die erste Schlüsselaushandlung im eigenen LAN. Durch diese End-zu-End Verschlüsselung, können auch unsichere Verbindungen, z.B. ein Offenes WLAN im Café, genutzt werden. Die Daten sind beim Verlassen des Gerätes bzw. des Servers schon verschlüsselt. Selbst die NOC von BlackBerry überträgt nur die verschlüsselten Daten und hat keinen Zugriff darauf. Exakt das benötigen Firmenkunden! Es passt also nicht ins Konzept wenn der Benutzer einfach „mal eben so“ ein neues Konto im Privaten Bereich seines Gerätes einrichten kann um damit auf Firmendaten zuzugreifen. Auch würden dadurch viele nützliche Mechanismen von Balance ausgehebelt. So könnte z.B. das „tolle“, ach so vertrauenswürdige, WhatsApp auf das Telefonbuch eines zusätzlichen (geschäftlichen) Kontos zugreifen, weil sich dieses im Privaten Bereich befindet. Termine wären für jede APP zugänglich – z.B. auch Terminbesprechungen inkl. aller Teilnehmer. Die Nachrichten dieses Kontos sind privat. Hat eine installierte APP die Berechtigung auf die Nachrichten zuzugreifen, dann beinhaltet das auch dieses Konto. BlackBerry hat sich also schon etwas einfallen lassen um dies zu unterbinden – scheitert aber leider an der eigenen Inkonsequent Umsetzung!

Der erste Versuch – Ein neues Konto anlegen.

Wir wollen ein neues Konto einrichten und dies per ActiveSync mit unseren Exchange synchronisieren. Das Email Adresse des Kontos ist webmaster@xyz.de. Im Exchange sind alle entsprechenden Protokolle freigeschaltet. Der Exchange ist aus dem Internet erreichbar. Geht man nun einfach in Einstellungen – Konten und versucht ein neues Konto anzulegen, sieht im ersten Moment auch alles gut aus und man steht kurz vor dem Abschluss der Einrichtung, bis folgende Meldung angezeigt wird:

Diese E-Mail-Konten können nicht hinzugefügt werden, weil Ihr Unternehmen alle Konten verwaltet, die eine Verbindung mit XYZ.de herstellt.

Diese E-Mail-Konten können nicht hinzugefügt werden, weil Ihr Unternehmen alle Konten verwaltet, die eine Verbindung mit XYZ.de herstellt.

Dieses Verhalten wird auch durch BlackBerry selbst im Knowledge Base KB34326 beschrieben.

Warum ist das so?

Bei der Einrichtung der Balance wird dem Gerät mitgeteilt, dass die Firma für die Mail Adressen einer bestimmten Domäne (z.B. XYZ.de) zuständig ist. Diese Domäne wird dann als Unternehmensdomäne eintragen und im Gerät verankert. Wenn man nun versucht ein neues Konto über ActiveSync für diese Domäne einzurichten, würde man – in unserem Beispiel – in den Einstellungen webmaster@xyz.de eintragen. Bevor die Einrichtung abgeschlossen ist, merkt das Handy das diese Adresse zur Unternehmensdomäne xyz.de gehört und bricht die Einrichtung ab. Konten für diese Domäne dürfen NUR über die vorhanden Balance synchronisiert werden und hier ist nun schon ein anderes Konto eingerichtet.

Dann tricksen wir eben ein wenig.

Wir machen uns nun einen Umstand des Windows/Exchange zu nutze. Das schöne ist nämlich, das man im AD/Exchange einem User mehrere E-Mails Adressen zuweisen kann. Diese E-Mail Adressen können dann auch zur Autorisierung des Users über ActiveSync an das Active Directory genutzt werden. Genau diese Möglichkeit nutzen wir nun aus. Wir legen also für den User eine weitere E-Mail Adresse im Exchange an – wenn dies nicht schon geschehen ist – z.B. @xyz.local. In unserem Fall ist diese Domäne die Interne AD Domäne und wird vom Exchange akzeptiert. In unserem Beispiel also webmaster@xyz.local. Wichtig ist nur noch zu kontrollieren, das die eigentliche Adresse webmaster@xyz.de weiterhin als Hauptadresse („Als Antwortadresse verwenden“) eingerichtet ist.

Exchange_1

Schönen Dank an den Exchange!

Bildlich gesprochen passiert nun folgendes: Der Benutzer / das Gerät autorisiert sich gegenüber dem Exchange mit webmaster@xyz.local und seinem AD-Passwort. Diese Adresse benutzt er auch als Absendeadresse für E-Mails die er versendet – also an den Exchange sendet. Der Exchange ersetzt nun die webmaster@xyz.local mit der „Hauptadresse“ webmaster@xyz.net und versendet diese Mail. Wichtig ist dieses Verfahren für E-Mail die an externe Empfänger gerichtet sind, denn diese könnten zwar E-Mails von webmaster@xyz.local empfangen, aber nicht darauf antworten.

Wie richte man das am Gerät ein?

Am Gerät richtet man unter Einstellungen – Konten ein neues Konto über Konto hinzufügen ein.

Zusaetliches_Konto_2

Unten „Erweitert“ auswählen und NICHT E-Mail, Kalender und Kontakte. Anschließen „Microsoft Exchange ActiveSync“ wählen

Zusaetliches_Konto_3 Zusaetliches_Konto_4png

Jetzt füllen wir die Felder entsprechend aus. Der Benutzername ist der gleiche Benutzer wie im ActiveDirectory. Als E-Mail-Adresse geben wir nun aber die webmaster@xyz.local und nicht die webmaster@xyz.de ein. Das Passwort ist wieder das ActiveDirectory-Passwort des Benutzers. Als Server geben wir hier noch die Adresse ein unter welcher der Exchange aus dem Internet erreichbar ist. SSL wird eingeschaltet – Push ist optional.

Zusaetliches_Konto_5 Zusaetliches_Konto_6

Nachdem alles eingegeben wurde, fragt das Gerät noch was alles Synchronisiert werden soll (Nachrichten, Kontakte, Aufgaben, Kalender). Anschließend ist das Konto eingerichtet und das Gerät ruft ein zweites Konto ab. Einfach einmal einen Test durchführen und eine Mail über dieses Konto versenden.

Noch einige Gedanken dazu.

  1. Wie sich der geschickte Administrator denken kann, kann ein geschickter Benutzer so ein weiteres Konto auf seinem Gerät einrichten. Dieses Konto wird nicht über die Balance Verbindung getunnelt und man muss sich ernsthaft fragen ob dies mit den Sicherheitsrichtlinien der Firma in Einklang steht. Die Verbindung ist zwar SSL verschlüsselt, nur sagt dies letztendlich wenig über die wirkliche Sicherheit der Verbindung aus. Ich denke einem geschickten Hacker ist es schon einmal wichtig zu wissen, an welcher IP Adresse der Exchange lauscht….
  2. Ich denke mir das dies nur eine Lücke im BES ist die bald geschlossen wird. Warum: Im BES gibt man unter IT-Policies unter anderem auch seine „Work Domains“ an. Laut den Unterlagen spezifiziert sowohl das Gerät als auch der BES darüber den „Geschäftlichen Teil“. Auch wenn hier xyz.local eingetragen ist, führt der hier beschriebene Weg zum Erfolg. Scheinbar ziehen hier nicht die Sicherheitsregeln. Da dies nur schwer erklärbar ist, bin ich der Meinung das es sich hier nur um einen Fehler handeln kann der in einem kommenden Update behoben wird.
  3. Das neu angelegte Konto befindet sich im Privaten Bereich des Gerätes und damit aus Firmensicht auf der „Dunklen Seite der Macht“. Kontakte, Kalendereinträge, Daten die über dieses Konto verschickt werden, sind als Privat gekennzeichnet. Damit haben Programme wie WhatsApp Zugriff auf alle Kontakte dieses Kontos – ob das gewollte ist?
  4. Wie schon zu BIS (BlackBerry Internet Service) Zeiten sollte der Admin die Kreativität seiner Benutzer nie unterschätzen. Schon im guten alten BIS konnte man ein Konto eingerichtet welches per ActiveSync ganz einfach auf den Firmen Email Server zugreift. Beim BlackBerry 10 geht es jetzt noch einfacher. Als Zuständiger für die Sicherheit der Daten, sollte der Administrator in irgendeiner Art und Weise Vorkehrungen schaffen, um dies zu unterbinden!

2 Gedanken zu „BlackBerry 10, Balance und ein weiteres geschäftliches Konto

  1. Hallo,

    wir planen z.Z. die Beschreibung für die Einrichtung des Secure Workspace für Android / iOS. Aus unserer Sicht geht hier BlackBerry den richtigen Weg indem es den gesamte Verkehr über seine Infrastruktur leitet. Das bedeutet – als wichtigster Punkt für uns – das der Datenverkehr von INNEN initialisiert wird und der eigene Mailserver bzw. UDS Server nicht mehr aus dem Internet erreichbar sein muss. Desweiteren vereinfacht dies die Sache mit den SSL Zertifikaten. Eine Anbindung über UDS erfordert öffentlich gültige Zertifikate. Secure Workspace arbeite hier ein wenig anders. Falls Ihnen dies weiterhelfen würde, wird da etwas kommen, nur leider dauert dies wohl noch ein wenig. Wir bitten um Verständnis.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.