Blackberry DTEK60 im (Sicherheits-)Test: Sicher, weil isso!
Mit dem Blackberry DTEK60 hat der kanadische Hersteller ein Smartphone auf Android-Basis entwickelt, das vor allem Nutzer mit Sicherheitsbedenken ansprechen soll. Blackberry verrät allerdings auch auf Nachfrage nur wenig zu den Änderungen unter der Haube von Android, die mehr Sicherheit garantieren sollen. Letztlich ist es Blackberry zwar gelungen, ein gutes Smartphone zu bauen – doch der Sicherheitsgewinn dürfte relativ bescheiden ausfallen.
Bei dem Gerät handelt es sich um ein Smartphone mit 5,5 Zoll großem Display mit einer Auflösung von 2.560 x 1.440 Pixeln. Nicht zufällig erinnert es an das Alcatel Idol 4S, denn bei der Hardware setzt Blackberry auf einen Auftragsfertiger. Einige Änderungen gibt es jedoch, zum Beispiel verbaut Blackberry einen stärkeren SoC: statt des Snapdragon 652 von Qualcomm einen Snapdragon 820 mit 64 Bit und vier Prozessorkernen. Nutzer bekommen 4 GByte Arbeitsspeicher. Der interne Speicher ist 32 GByte groß.
Eine Kamera ist für die angepeilte Zielgruppe sicher nicht das wichtigste Kaufargument, aber auch hier rüstet Blackberry im Vergleich zum Alcatel 4S auf und verbaut einen Sensor mit 21 statt mit 16 Megapixeln. Geladen wird der Akku im Gerät per USB Typ C, der Ladevorgang ist subjektiv sehr flott. Verzichten müssen Nutzer im Vergleich mit dem Alcatel-Gerät auf die Dual-SIM-Funktion.
Blackberry gibt sich zugeknöpft
Was wir nicht ganz verstehen: Blackberry ist mit Informationen zu den Sicherheitsfunktionen des DTEK60 nicht sehr freigiebig. Eine mehrfache Anfrage nach einem Sicherheits-Whitepaper mit detaillierten Informationen zu etwaigen Anpassungen des Android-Unterbaus stellte Blackberry uns nicht zur Verfügung. So wäre es interessant zu wissen, ob etwa die Grsecurity-Patches, verbessertes ASLR (Adress Space Layout Randomization) oder andere Sicherheitspatches implementiert wurden, wie es etwa in Copperhead OS der Fall ist.
Forenbeiträge deuten darauf hin, dass Blackberry zumindest beim ebenfalls auf Android basierenden Priv die Grsecurity-Patches verwendet. Was wir von Blackberry schließlich als Antwort auf unsere Anfrage bekamen: ein allgemeines Papier zum Thema "Sollte ich mein Android-Telefon rooten, oder nicht?"
Software mit merkwürdigen Warnungen
Größeren Wert dürften erfahrene Blackberry-Nutzer auf die Softwarebeigaben legen. So ist Blackberrys eigener Messaging-Dienst dabei, außerdem die Blackberry-DTEK-App, die Nutzer vor Sicherheitsrisiken warnen soll. Dies geschieht mittels eines in drei Stufen unterteilten Indikators – von schlecht bis optimal.
Dabei gibt es durchaus einige fragwürdige Einstufungen. So warnte uns Blackberry im Test mit einer roten Warnbotschaft, weil wir noch kein Google-Konto eingerichtet hatten. Auch wenn in diesem Zustand natürlich keine automatischen Backups von Kontakten und anderen Informationen gemacht werden können, finden wir das irreführend.
Blackberry begründet die Warnung in der App damit, dass ohne Google-Konto keine Löschung des Gerätespeichers aus der Ferne möglich sei. Doch weil Nutzer bei der Einrichtung des Gerätes aufgefordert werden, den Gerätespeicher zu verschlüsseln und auch gewarnt wird, wenn keine Passwortsperre eingerichtet ist, finden wir die Warnung deutlich übertrieben – denn mit einem guten Passcode sind die privaten Daten ja vor fremden Zugriff geschützt.
Kann die DTEK-App wirklich vor Malware warnen
Nach Angaben von Blackberry soll die DTEK-App auch davor warnen, wenn Apps unerlaubt Zugriff auf die Kamera oder andere Sensoren erlangen wollen. Bei normalen Apps ist diese Warnung aber dank der neuen Berechtigungsverwaltung von Android 6 nicht notwendig, weil die Berechtigungen individuell abgefragt werden, wenn eine App auf entsprechende Dienste oder Hardwarekomponenten zugreifen will. Ob Blackberrys eigene App tatsächlich entdeckt, wenn Malware auf entsprechende Komponenten zugreifen will, darf bezweifelt werden.
Blackberry hat sich dennoch einige gute Gedanken gemacht, um die Sicherheit des Smartphones zu verbessern. Mit Hilfe eines bei der Produktion erzeugten Hardwareschlüssels im Prozessor soll sichergestellt werden, dass die "Authentizität und Integrität der Daten" jederzeit gewährleistet wird, wie es auf der Webseite heißt.
Geheime Schlüssel gegen Manipulationen
Diese Schlüssel werden vermutlich in der Secure Enclave des Snapdragon-Prozessors gespeichert. Einschränkend muss daher gesagt werden, dass es in der Vergangenheit gelang, eigentlich vertrauliche Daten aus dem Keystore zu extrahieren und damit zum Beispiel die Android-Verschlüsselung anzugreifen. Auch wenn Qualcomm den entsprechenden Fehler mit einem Patch korrigiert hat und mittlerweile ein Bug-Bounty-Programm aufgelegt hat, sind auch die DTEK-Smartphones grundsätzlich anfällig für solche Sicherheitsprobleme.
Sind die Schlüssel nicht kompromittiert, bringen sie tatsächlich einen Gewinn. Damit abgesichert wird zum Beispiel der Bootloader. Bei jedem Startvorgang wird geprüft, ob alle Komponenten die korrekte Signatur ausgeben. Erst dann wird der Bootvorgang abgeschlossen. Auch Android selbst wird erst geladen, wenn sichergestellt ist, dass das System von Blackberry selbst signiert wurde. Blackberry bezeichnet das System als Hardware Root of Trust.
Updates: Gut, aber
Sehr gut gefallen hat uns bei unserem Testgerät, dass die monatlichen Sicherheitsupdates von Google sehr schnell, oft nur mit wenigen Tagen Verzögerung, eingespielt wurden. Damit werden auch die im vergangenen Jahr recht häufig auftretenden Fehler in den Firmware- und Treiberkomponenten schnell behoben.
Das gute Update-Verhalten gilt aber leider nicht für alle Geräte der DTEK-Serie. Leser berichten uns, dass besonders im freien Handel erworbene DTEK-50-Geräte bei den Updates deutlich hinterherhinken, teils um mehrere Monate.
Zufriedenstellende Antworten auf diesen Umstand liefern weder der Support von Blackberry noch die Pressestelle. In der eigenen PR wird auf die problematische Situation übrigens nicht hingewiesen, dort heißt es: " BlackBerry setzt Maßstäbe in puncto IT-Sicherheit und Patch-Verwaltung und hat speziell für das DTEK50 renommierte Experten zusammengeführt und Testverfahren entwickelt."
Das Problem mit dem Datenschutz
Wer auf die Sicherheit und Vertraulichkeit der eigenen Informationen angewiesen ist, sollte bei einer Kaufentscheidung zusätzlich zu den Gerätefunktionen selbst berücksichtigen, dass Blackberry in der Vergangenheit recht freigiebig mit Strafverfolgungsbehörden in aller Welt zusammengearbeitet hat.
Bei Protesten in London stellte das Unternehmen den Behörden sogar proaktiv Chatverläufe und andere Metadaten von Blackberry-Nutzern bereit, die sich während gewaltsamer Ausschreitungen in einem bestimmten Gebiet befanden. Die Einschränkung gilt nach Angaben des Unternehmens nicht für Firmenkunden, die professionelle Enterprise-Server von Blackberry für das Messaging nutzt.
Verfügbarkeit und Fazit
Das DTEK60 gibt es direkt bei Blackberry oder bei freien Händlern zu bestellen. Mit 580 Euro ist das Gerät relativ teuer, zu diesem Preis kann es auch bei Blackberry selbst erworben werden.
Bei einzelnen Händlern wird es abweichend von Blackberrys Preis mit rund 520 Euro gelistet, die uns bekannten Probleme mit der mangelhaften Update-Versorgung traten aber vermehrt bei frei im Laden gekauften Geräten auf. Wer das Gerät unbedingt haben will, sollte also vorher genau überlegen, ob er das Risiko ausbleibender Updates eingehen will.
Fazit: selber basteln oder zu Apple
Das Blackberry DTEK60 ist nach unserer Erfahrung ein vernünftiges Gerät zu einem hohen Preis. Auch wenn es als Sicherheitssmartphone vermarktet wird, erbt es natürlich die Sicherheitsprobleme von Android. Hilfreich sind die schnellen Updates – jedenfalls bei dem Testgerät. Der Umgang mit dem DTEK50 seitens Blackberry stimmt uns jedoch nicht gerade zuversichtlich, dass das auch so weitergeht.
Gefallen hat uns, dass Blackberry den Bootloader absichert und so gegen verschiedene Bedrohungsszenarien schützt – oder die Probleme zumindest offenlegt, wenn eine Infektion vorliegt.
Etwas übertrieben sind die optisch nett gestalteten Warnungen in der DTEK-App. Vor allem die Warnung vor der fehlenden Remote-Löschung bei einem nicht eingetragenen Google-Konto erscheint uns deutlich übertrieben.
Zielgruppe für das Gerät sind unserer Ansicht nach vor allem Nutzer, die in Firmen mit Blackberry-Umgebung arbeiten, aber nicht auf Geräte mit Blackberrys eigenem Betriebssystem, sondern eben auf Android zurückgreifen wollen. Verzichten müssen sie damit natürlich auf die für Blackberry fast schon ikonische Tastatur.
Für Privatnutzer ohne Zugriff auf Blackberrys umfangreiche Enterprise-Infrastruktur bietet das Gerät deutlich weniger spezifische Vorteile. Wer etwas Lust am Basteln hat, ein kompatibles Smartphone sein Eigen nennt und dabei ohne Google-Dienste auskommt, dem sei ein Blick auf Copperhead OS empfohlen.
Sicherheitsaffine Nutzer, die auf Basteleien verzichten wollen und die offiziellen Support durch Gerätehersteller und einen vollwertigen App Store haben wollen, haben leider nicht so viel Auswahl. Sie sind mit dem iOS-Ökosystem am besten bedient – dafür spricht vor allem die Robustheit der iOS-Plattform selbst. Etwas Wettbewerb in diesem Bereich wäre für Nutzer und den Markt sicher hilfreich.