Heise berichtet heute über "Wanzen auf dem BlackBerry":
http://www.heise.de/security/meldung/Warnung-vor-Wanzensoftware-fuer-BlackBerry-843512.html

Dabei geht es darum, dass auf dem Gerät Anwendungen installiert werden können, die die geräteeigenen Funktionen nutzen, um die Umgebung abzuhören und an ein beliebiges Ziel zu übermitteln. Dazu muss diese Anwendung natürlich erst einmal auf das Gerät gelangen und dafür muss der "Spion" entweder direkten/physischen Zugriff auf das Gerät bekommen oder aber den Nutzer dazu bringen, die fragliche Software zu installieren (zum Beispiel, indem er glaubt, etwas anderes zu installieren).

Die Schwachstelle ist hier also der Nutzer und nicht die Technik. Lösen lässt sich das Problem zumindest teilweise, indem der Nutzer aus seinem Gerät ein Passwort vergibt und keine unbekannten Anwendungen installiert.
Aber Sie als Administrator müssen sich nicht darauf verlassen, sondern können selbst Vorkehrungen treffen.
Und bei allen Vorkehrungen, die Sie treffen, kann ein Verlust oder Diebstahl immer vorkommen, daher kann es nicht schaden, wenn Ihre Nutzer darüber informiert sind, dass Sie in der Lage sind, bei Verlust des Gerätes selbiges von zentraler Stelle aus zu löschen.

Was können Sie tun?

Zum Beispiel können Sie Ihre Nutzer zwingen ein Passwort einzurichten und außerdem einen automatische Logout einstellen, um zu verhindern, dass jemand durch längere Unaufmerksamkeit des Besitzers Zugriff auf das Gerät bekommt.
Das erreichen Sie über die IT-Policy:

Nach dem nächsten Timeout, dessen Dauer Sie in der "Password Policy Group" festlegen können, wird der Nutzer aufgefordert, ein Passwort festzulegen.
Sie sehen da auch noch einige andere Einstellungen zum Thema Passwort, so dass Sie hier Ihre Phantasie und Erfahrung mit derlei Funktionen spielen lassen können.

Aber mit dem Passwort ist natürlich nur der direkte Zugriff auf das Gerät verhindert bzw. erschwert.
Darüber hinaus kann man verhindern, dass Nutzer selbst Applicationen über den Desktop-Manager oder die BlackBerry-App World installieren.

Damit verhindern Sie die Installation über die App World bzw. die Installation der App World selbst.
Um zu verhindern, dass der Nutzer Anwendungen über den Desktop-Manager installiert, können Sie zum Beispiel den Apploader deaktivieren:

Aber selbst wenn Sie Anwendungen installieren oder installieren lassen, können Sie immer noch steuern, welche Berechtigungen eine Anwendung auf dem Endgerät hat. Sie können dann zum Beispiel die Interprozess-Kommunikation (Cross Application Communication) unterbinden, die hier dafür verantwortlich ist, dass die Anwendung auf das Mikrophon der Gerätes Zugriff hat. Unter Umständen sollten Sie für hier auch noch den "Phone Access" deaktivieren - je nachdem wie die angesprochene Anwendung funktioniert.

Dazu passen Sie die Software-Konfiguration an und weisen ihr eine Application Control Policy zu.


Kurz gesagt, Sie können jede Einstellung, die Sie auf dem Gerät vornehmen können, auch von Server-Seite unveränderlich festlegen und damit jedes Endgerät regelrecht zunageln, um die Nutzer vor Angriffen und sich selbst zu schützen.

Kann das iPhone das auch?