Hochsicherheitshandys

Das können die neuen "Merkel-Phones"

27.05.2013 von Manfred Bremmer
Die kommende Generation an verschlüsselten Smartphones für den Behördeneinsatz demonstriert, dass sich Hochsicherheit und Bedienbarkeit nicht komplett ausschließen müssen.
Bundeskanzlerin Merkel bekam auf ihrem CeBit-Rundgang ein Hochsicherheits-Handy in die Hand gedrückt.
Foto: Deutsche Messe

Aktuell fahren die Bundesbehörden, was die Ausstattung mit sicheren mobilen Endgeräte angeht, noch zweigleisig: Für abhörsichere Handy-Telefonate kommt ein Krypto-Handy von Secusmart (Secuvoice) oder ein spezielles Verschlüsselungsgerät von Rohde & Schwarz (TopSec Mobile) zum Einsatz, das per Bluetooth mit einem Smartphone verbunden wird. T-Systems wiederum stellt in Zusammenarbeit mit Certgate und NCP ein weiteres - nicht Bluetooth-fähiges – und vor allem komplett spaßbefreites, veraltetes Smartphone (SiMKo 2), das den sicheren Zugriff auf Daten wie Kalender, E-Mails, Kontakte oder Aufgaben ermöglicht - in der Presse gerne als „Merkel-Phone“ betitelt.

Damit ausgestattet, wird den behördlichen Geheimnisträgern zwar Kommunikationssicherheit beim Telefonieren und bei der Datenübertragung gewährleistet. Zusammen mit dem privaten Handy müssen sie jedoch insgesamt drei Geräte mit sich herumschleppen – ein Zustand, der in der freien Wirtschaft schon länger bemängelt und mit Konzepten wie ByoD (Bring your own Device) oder – besser- Cope (Corporate owned, privately enabled) ausgehebelt wird. Der Grund: Im Zweifelsfall wird wohl eher das beruflich genutzte als das private Device im Taxi oder Flugzeug vergessen. Außerdem soll vermieden werden, dass Mitarbeiter mangels ausreichender Usability ihr Dienst-Handy links liegen lassen und versuchen, die gewünschten Informationen über unsichere Wege auf ihre eigenen Geräte zu bringen.

Inzwischen hat auch das Beschaffungsamt des Bundesinnenministeriums (BMI) die Zeichen der Zeit erkannt und Ende 2012 eine neue Ausschreibung gestartet: Gesucht wurde eine Ein-Geräte-Lösung mit einem privaten und einem sicheren Bereich, das verschlüsselte VoIP-Telefonie per SNS (Sichere Netzübergreifende Sprachkommunikation) und verschlüsselte Daten unterstützt.

Einen ersten Eindruck, wie sich das neue „Merkel-Phone“ anfühlen könnte, verschaffte sich die Bundeskanzlerin bereits Anfang März auf der CeBit in Hannover. Am Stand von Secusmart bekam sie ein angepasstes Blackberry Z 10 in die Hand gedrückt, auf dem rückwärtig der Bundesadler und Deutschland-Flagge angebracht war. Neben dem Düsseldorfer Verschlüsselungsspezialisten hat allerdings auch die Telekom-Tochter T-Systems mit Sichere Mobile Kommunikation 3 (SiMKo 3) den Zuschlag für ein neues Behördengerät erhalten.

Welche Lösung letztendlich zum Zug kommt - Secusuite for Blackberry 10, SiMKo 3 oder beide - steht noch nicht fest. Der Auftrag wurde nämlich in zwei Losen mit unterschiedlicher Gewichtung ausgeschrieben, wobei gemäß der Historie bei T-Systems die Priorität auf die Absicherung der Daten, bei Secusmart auf die Sicherheit der Telefonie liegt. In einem ersten Schritt müssen sie nun bis Ende Juni für diesen Bereich die Einsatzempfehlung des Bundesamts für Sicherheit in der Informationstechnik BSI (Verschlusssache – Nur für den Dienstgebrauch VS-NfD) sowie möglichst ein fertig bestellbares Gerät vorweisen, das dann in den nächsten 18 Monaten weiterentwickelt wird. Was die BSI-Zulassung anbelangt, meldet T-Systems bereits Vollzug, bei Secusmart hies es, man werde aller Voraussicht nach bis dahin eine vorläufige Zulassung des BSI für VS-NfD vorweisen. Wichtiger ist auf jeden Fall der 30. Juni 2014, also 18 Monate nach dem Zuschlag für den Rahmenvertrag, bis zu diesem Zeitpunkt muss die Lösung dann komplett fertig sein, müssen beide Prioritäten das Okay des BSI erhalten haben.

Signalwirkung für Wirtschaftkunden

Obwohl der Auftrag mit mehreren tausend Geräten plus Infrastruktur nicht unerheblich ist, versprechen sich beide Bewerber darüber hinaus Folgeaufträge aus dem Ausland und der Industrie. Große Unternehmen hielten sich an die Empfehlungen des BSI, verriet etwa Secusmart-Chef Hans Christoph Quelle im Gespräch mit der COMPUTERWOCHE. Ganz konkret haben die Düsseldorfer wie auch der Wettbewerber T-Systems bereits eine Broschüre für die Lösung herausgebracht. SiMKo 3 wird im Rahmen eines Basisvertrags über 24 Monate ab 1700 Euro angeboten – einschließlich Hardware, aber ohne Sprachverschlüsselung.

Aber auch für den um ein Comeback kämpfende Smartphone-Veteran Blackberry ist die Zulassung von enormer Bedeutung, stellt sie doch den lange Zeit verweigerten Ritterschlag durch das BSI dar. Die Behörde hatte sich früher gegen den Einsatz von Blackberry-Geräten im Firmen- und Behördenumfeld ausgesprochen, weil hochgeheime Daten – wenngleich verschlüsselt – über das für Europa zuständige Network Operating Center (NOC) des Herstellers in Großbritannien transportiert werden. Um solche Bedenken zu entkräften, legte Blackberry bei der Entwicklung von Blackberry 10 besonderen Wert darauf, dass das neue Betriebssystem auch ohne NOCs funktioniert. Da Blackberry 10 wahlweise NOC oder Advanced VPN unterstützt, sei es nun gelungen, den „Policies der 70er Jahre“ zu entsprechen, so Sinisha Patkovic, Vice President Blackberry Security Advisory Service, dazu zynisch in einem Gespräch auf der CeBit.

Als weiteren Beitrag zur Datensicherheit kommt die Blackberry-10-eigene Dua-Persona-Lösung Blackberry Balance zum Einsatz, bei der persönliche und geschäftliche Inhalte auf dem Gerät in zwei getrennten Bereichen untergebracht sind und der Nutzer mit nur einem Wisch von einem in den anderen Modus wechseln kann. Bei Secusuite for Blackberry 10 wird der geschäftliche Bereich des Blackberry-Balance-Systems mithilfe der Secusmart Security Card zusätzlich abgesichert. Die Karte wird in den MicroSD-Card-Slot gesteckt und sorgt über einen integrierten Krypto-Controller von NXP mit PKI-Coprozessor für die Authentifizierung. Ein zusätzlicher Highspeed-Coprozessor verschlüsselt Daten und Sprache mit 128 Bit AES.

BB10 Blackberry Balance
Blackberry Balance auf dem Blackberry Z10
Mit Blackberry Balance kann der Anwender auf dem Gerät mit einem einfachen Wisch zwischen zwei Icons wählen, ob er vom privaten...
Blackberry Balance auf dem Blackberry Z10
...in den beruflichen Modus wechselt – und umgekehrt.
Blackberry Balance auf dem Blackberry Z10
Entscheidet er sich für den geschäftlichen Bereich, werden die private Inhalte nach dem Einloggen komplett ausgeblendet.
Blackberry Balance auf dem Blackberry Z10
Im Privat-Modus sind zuletzt geöffnete Business-Apps zwar noch sichtbar, aber passwortgesichert.
Blackberry Balance auf dem Blackberry Z10
Zusätzliche Programme findet der Nutzer in der geschäftlichen Blackberry World – einer Art Corporate AppStore. Hier können Unternehmen ihren Anwendern Enterprise-Anwendungen...
Blackberry Balance auf dem Blackberry Z10
...oder erwünschte oder zumindest geduldete öffentliche Apps bereitstellen.
Blackberry Balance auf dem Blackberry Z10
My World wiederum ist eine Sektion mit bereits geladenen Apps.
Blackberry Balance auf dem Blackberry Z10
Mit der App Blackberry Work Drives ist sogar der sichere Zugriff auf File-Systeme innerhalb des Unternehmens möglich.

Apropòs Sprache: Die Lösung unterstützt den digitalen Behördenfunk Tetra und SNS over IP. Dabei lassen sich aber vertrauliche Gespräche nicht nur innerhalb des jeweiligen Netzes führen, sondern auch zwischen GSM- und Tetra-Teilnehmern. Wie Secusmart-Chef Quelle im COMPUTERWOCHE-Gespräch ausführte, wird die sichere mobile Kommunikation aktuell noch in einer separaten App im Business-Modus gelöst. Secusmart und Blackberry arbeiteten aber daran, die Funktion in die normale Telefonieanzeige zu integrieren. Bei einem Anruf werde dann angezeigt, dass eine verschlüsselte Verbindung aufgebaut wurde. SNS over IP funktioniert ab Edge (GPRS hat keine Quality of Service), genutzt wird nicht das in der Smartcard generierte Zertifikat, sondern PKI (Public Key Infrastructure).

SiMKo 3 setzt auf eigenen Mikrokernel

Ein etwas anderes Sicherheitskonstrukt nutzt T-Systems bei SiMKo 3. Als Basis setzt die Telekom-Tochter auf handelsübliche Android-Smartphones von Samsung, deren Software jedoch komplett entfernt wird. Stattdessen wird ein von Trust2Core (ehemals T-Labs) entwickelter Mikrokernel als Virtualisierungsschicht eingesetzt. Diese erlaubt es, gleich mehrere Betriebssysteme in den sogenannten Compartments parallel und unter Echtzeitbedingungen auf dem Smartphone laufen zu lassen: Zum Einsatz kommen jeweils eine offene und eine gesicherte Android-Umgebung sowie ein Mini-BSD und einen Linux-Kern für Verschlüsselungsaufgaben. Auf diese Weise werden auf dem Gerät eine private und eine sichere geschäftliche Welt abgebildet. Der Mikrokernel fungiert dabei als Wächtersoftware, die den Datenaustausch und den Zugriff auf Hardware und Speicher einer strengen Kontrolle unterwirft.

SiMKo 3: Sichere Smartphone-Architektur durch Virtualisierung
Foto: T-Systems

Als wichtigen Nebeneffekt soll der Mikrokernel außerdem den Entwicklungs- und Freigabeprozess erleichtern und beschleunigen. Mit 50.000 Zeilen Quellcode sei er so zusammengeschrumpft worden, dass er anders als handelsübliche Software überhaupt noch evaluierbar sei, erklärte Stephan Maihoff, Leiter Sichere Mobile Kommunikation bei T-Systems, gegenüber der COMPUTERWOCHE.

Dennoch hat T-Systems auch bei SiMKo 3 noch mit langen Entwickungs- und Freigabeprozeduren sowie dem schnellen Innovationszyklus in der Mobile-Industrie zu kämpfen – zumindest anfänglich. So erhielt die Telekom-Tochter nun erst die Einsatzempfehlung für das Samsung Galaxy S2, das vor über zwei Jahren - Mitte Februar 2011 – auf dem Mobile World Congress vorgestellt wurde. Parallel arbeitet T-Systems jetzt aber immerhin schon an der Freigabe für das Galaxy S3, was dann aber einfacher sein soll, da hier nur das Delta überprüft werden müsste.

SIMKo 3: Work-Life-Balance auf dem Galaxy S3 von Samsung - aktuell aber erst als Simulation...
Foto: T-Systems

Mit dem Generationswechsel soll sich dann auch die Performance verbessern. So kommt ein mit SiMKo3 ausgestattetes Galaxy S2 mit dem kleinen Original-Akku laut T-Systems auf lediglich sieben Stunden Laufzeit. Auch die Reaktionszeit des Geräts bei Eingaben lässt etwas zu wünschen übrig – wenig überraschend, wenn man sich bewusst macht, dass unter der Haube vier Betriebssysteme am Werk sind. Die auf dem Galaxy S3 basierende Folgeversion verfügt nicht nur über einen stärkeren Quad-Core-Prozessor, außerdem werden laut T-Systems die im Krypto-Kompartment abgelegten Treiber für Modem oder Audio nicht mehr virtualisiert, sondern es kommen Original-Treiber von Samsung zum Einsatz, was Vorteile beim Power-Management bringen soll.

Bei der Sprachverschlüsselung peilt T-Systems eine Neuentwicklung an. Maihoff wies in diesem Zusammenhang aber darauf hin, dass sichere Telefonie bei dem zugeteilten Los nicht erste Priorität habe. Mit Blick auf die Wirtschaft sei es der Telekom-Tochter ganz genehm, wenn Kunden alternativ zu dem vom BSI geforderten SNS over IP noch verschiedene andere Systeme oder Sicherheitsebenen nutzen könnten, etwa über den CSD-Kanal (Circuit Switched Data), einfaches VoIP, SRTP oder ZRTP. Die Verbindung wäre dabei umschaltbar und ließe sich in den Kontakten steuern.

Die Sicherheits-Infrastruktur von SiMKo 3
Foto: T-Systems

Zum Thema Management: Policies und Updates werden per OTA (Over The Air) auf die SiMKo-3-Geräte aufgespielt, zusätzlich gibt es noch einen sicheren AppStore für optionale Business-Anwendungen. Die normale Verwaltung, etwa Inventarisierung über IMEI und IMSI, kann laut T-Systems über herkömmliche MDM-Systeme erfolgen.

Auch SiMKo-Tablets und -Notebooks in Arbeit

Bei Notebooks soll die Genucard eine sichere Kommunikation gewährleisten.
Foto: Genua

Ebenfalls mit Blick auf mögliche Aufträge aus der Industrie hat T-Systems in Anlehnung an ihre hochsicheren Smartphones auch ein SiMKo3-Tablet entwickelt. Basis ist ein Samsung Galaxy Tab 10.1, bei dem weitgehend die gleichen Komponenten wie beim Galaxy S3 verbaut sind. Dies ermögliche eine sehr schnelle Portierung, erklärte Maihoff.

Ganz andere Technik kommt bei einem ebenfalls ausgestellten Notebook zum Einsatz: Der Rechner läuft mit normalem Windows XP (Stichwort: Evaluierungsprozess), während die angeschlossene Genucard eine sichere Kommunikation gewährleisten soll. Dabei handelt es sich um eine kleine Appliance, die das BSI für VS-NfD, Nato Restricted und Restreint UE zugelassen hat und unter anderem eine integrierte Firewall beherbergt. Die kleine Box wird via USB an den Rechner angeschlossen und ermöglicht sicheres VPN, Authentisierung und Key Handling übernimmt dabei eine Smartcard. (Computerwoche)