Virtual SolutionNeue Sicherheit beim Telefonieren

[27.01.2020] Die fortschreitende Containertechnologie ermöglicht es mittlerweile, verschlüsselte Gespräche von jedem beliebigen Smartphone aus zu führen. Auch Geschäftsdaten wie E-Mails, Kalender oder Kontakte können damit sicher gespeichert werden.
Wer sensible Daten über ein handelsübliches Smartphone ohne entsprechende Schutzmechanismen weitergibt

Wer sensible Daten über ein handelsübliches Smartphone ohne entsprechende Schutzmechanismen weitergibt, riskiert abgehört oder gehackt zu werden.

(Bildquelle: Virtual Solution AG)

Behörden und Organisationen mit hohem Schutzbedarf benötigen sichere Telefonielösungen. Bisherige Spezialgeräte sind umständlich und teuer. Inzwischen bieten aber Smartphone-basierende Container verschlüsselte Telefonie in höchster Qualität.
Kann man sich sicher sein, dass das Telefon nicht abgehört wird? Die Meldungen über das Kanzlerinnen-Handy aus dem Jahr 2013 klingen noch in den Ohren. Zugegeben, es war nicht ihr abhörsicheres Geheimschutzgerät, das die NSA mutmaßlich jahrelang gehackt hatte. Der Fall zeigt aber, wie angreifbar Handys sind. Es muss nicht gleich das Kanzleramt sein. Der Schutzbedarf von Behörden und behördennahen Organisationen reicht weit in die Fläche. Ob Polizei, Feuerwehr, THW oder Sicherheitskräfte des Bundes: Nicht immer sind alle Einsatzinformationen für alle Ohren gedacht und geeignet. Teilweise sind Organisationen sogar zu einer geschützten Übertragung verpflichtet. Bisher ließ sich das allenfalls mit teuren Spezialgeräten für Funktelefonie und drahtgebundene Telefonie umsetzen. Die Geräte boten über eingebaute Codierungsbausteine einen relativ hohen Schutz, waren aber auch wenig flexibel in der Anwendung. Meist waren dafür auch parallele Netze zum öffentlichen Telefon- und Mobilfunknetz erforderlich – mit einem Aufwand, der heute nicht mehr zeitgemäß ist.

Wachsende Risiken

Wenn mit dem handelsüblichen Handy über ungesicherte Verbindungen kommuniziert wird, steigt die Gefahr, abgehört und gehackt zu werden jedenfalls deutlich, und kein Beteiligter kann sagen, ob die von ihm verwendeten Komponenten wirklich sicher sind.
Gleichzeitig steigt die Anzahl von Geräten und Kommunikationswegen, auf denen schutzwürdige Informationen übertragen werden. Aus dem Original mit zwei Durchschlägen, das in einer versiegelten Kuriertasche transportiert worden ist, wurden E-Mails, FTP-Transfer, Intranet-Verzeichnis, Cloud-Speicherung – und vor allem Handy-Telefonate und Nachrichten über Messenger-Dienste. Während es für Datenübertragungen schon ein gewisses Bewusstsein für die Verschlüsselung gibt, werden viele Anrufe, Kurznachrichten und Nachrichten über Web-Dienste völlig unverschlüsselt übertragen.

Wenige Lösungsansätze

Es gibt nur wenige Lösungsansätze für eine sichere Mobiltelefonie. Der klassische Ansatz war aufwändig, teuer und kompliziert. Die Einbindung handelsüblicher Smartphones in eine sichere Infrastruktur war bis vor Kurzem nicht möglich, obwohl sich Smartphones natürlich auch in Behörden verbreitet haben. Damit mussten die Mitarbeiter oft zwei Geräte benutzen: eines für die private und eines für die geschäftliche Kommunikation. Mittlerweile gibt es eine gute Nachricht: Mit fortschreitender Containertechnologie ist es möglich, sichere und verschlüsselte Gespräche von einem beliebigen Smartphone aus zu führen – und zwar parallel zu unverschlüsselten Telefonaten.

Container als Schutz

Im Container liegen nicht nur Geschäftsdaten wie E-Mails, Kalender oder Kontakte sicher ab und sind von den privaten Daten getrennt, auch die verschlüsselten Gespräche werden direkt im Container gestartet. Die Übertragung von sowohl Daten als auch Telefonaten ist zudem Ende-zu-Ende-verschlüsselt. Für eine Verschlüsselung gilt erfahrungsgemäß: Je länger der Schlüssel, desto sicherer der Schutz. Einen hohen Schutz bietet zum Beispiel der nur noch mit teuren Supercomputern und sehr viel Zeit zu knackende Diffie-Hellman-Algorithmus mit 4096-Bit-Schlüsseln. Nach dem Austausch der Schlüssel – ganz ähnlich wie beim Online-Banking – kann ein gesichertes Telefongespräch geführt werden. Die Ende-zu-Ende-Verschlüsselung findet mit der App zwischen den beteiligten Smartphones statt.

Sicherer Informationsaustausch

Besonders hoch ist der Schutzbedarf bei Auslandseinsätzen von Behörden und Ministerien. Jedoch sind die Dienste für die Mobiltelefonie dort nicht überall auf europäischem Niveau. Bislang mussten sichere Telefonate über teure Satellitenverbindungen mit aufwendiger Spezialtechnik geführt werden. Eine sichere Lösung für den Austausch von Informationen über das Mobiltelefon sollte aber provider-agnostisch sein, also unabhängig vom Telekommunikationsanbieter genutzt werden können. Für einen weltweiten Einsatz gibt es jedoch noch eine weitere Grundanforderung: Die Telefonie-Lösung muss schlank programmiert sein, damit sie auch in Regionen genutzt werden kann, wo nur GSM zur Verfügung steht.

Weitere Alternativen

Es gibt eine Vielzahl von Alternativen, wobei hier vor allem hardwareseitig abgesicherte Handys zu erwähnen sind, deren Sprachqualität allerdings nach wie vor nicht besonders gut ist. Auch unterschiedliche Apps bieten eine Absicherung durch den Provider, der die Sicherheit der Daten, Telefonate und Kontakte zusagt. In der Regel liegt hier aber die Steuerungs- und Kontrollfunktion nicht in den Händen der Benutzer: Sie müssen sich schlicht auf den App-Provider verlassen. Zudem wissen die Benutzer nicht immer genau, wo die Daten abgespeichert sind. Es gibt jedoch Momente, in denen auch Schutzmechanismen in Bedrängnis kommen, zum Beispiel wenn ein Gerät verloren geht, in falsche Hände fällt und eine Kompromittierung der dort befindlichen Daten droht. Hier gewinnen Unternehmen und Behörden durch die Verschlüsselung des Containers Zeit, um die Daten auf dem Gerät remote zu löschen.

Geschützte Smartphones

Auch neue Kommunikationswege sind mit geschützten Smartphones denkbar: Mitarbeiter von Behörden, Ämtern und Ministerien können miteinander kommunizieren, ohne die bisherigen separaten Schutzverfahren verknüpfen zu müssen. Zudem können Behörden mit vergleichsweise geringem Aufwand auch Unternehmen aus der freien Wirtschaft in ihre Kommunikationsketten einbinden. Das könnten zum Beispiel Banken oder die Verteidigungsindustrie sein, die im Behördenauftrag aktiv sind. Auch Unternehmen aus der privaten Wirtschaft und Organisationen, die nur indirekt mit Behörden zusammenarbeiten, dafür aber eine sichere Kommunikation nachweisen müssen, können eine solche Lösung implementieren.

Verschlüsselte Telefonate

SecureVoice ist ein Feature für die sichere Telefonie in der App SecurePIM Government SDS von Virtual Solution. In der gesicherten App liegen die Kontaktdaten, und aus der App heraus können die verschlüsselten Telefonate gestartet werden. Das Telefonie-Feature ist netzagnostisch und kann in allen Mobilfunknetzen genutzt werden. SecurePIM ist auch Bestandteil der Telefonielösung in Zusammenarbeit mit der Telekom und der Gesellschaft für Sichere Mobile Kommunikation (GSMK), dem Hersteller der MeCrypt App. Diese nutzt SecurePIM als sichere Kontaktdatenbank; die Telekom stellt hier die Infrastruktur zur Verfügung (wir berichteten). Die App ist für iOS verfügbar, eine Version für Android ist in Planung.

Sascha Wellershoff ist Vorstand des Münchner IT-Sicherheitsspezialisten Virtual Solution AG.




Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit

Bayern: Zero Trust im Behördennetz

[12.04.2024] Einen Fahrplan für die sukzessive Einführung einer Zero-Trust-Architektur im Bayerischen Behördennetz hat das Landesamt für Sicherheit in der Informationstechnik (LSI) gemeinsam mit dem Fraunhofer-Institut AISEC aufgestellt. mehr...

Porträtfoto des bayerischen Finanz- und Heimatministers Albert Füracker.

Cyber-Sicherheit: Dezentrale IT-Sicherheit als Schlüssel

[08.04.2024] Die deutschen Bundesländer sollen im Kampf gegen Cyber-Bedrohungen stärker zusammenarbeiten. Die dezentrale Struktur und die schnelle Kommunikation seien entscheidend für den Schutz Kritischer Infrastrukturen und staatlicher IT-Systeme, so Bayerns Finanz- und Heimatminister Albert Füracker. mehr...

Das Bild zeigt ein stilisiertes Vorhängeschloss mit Code-Zeilen im Hintergrund.

BSI: Schwachstellen im Exchange Server

[29.03.2024] Eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt, dass in Deutschland mindestens 17.000 Microsoft Exchange Server durch kritische Sicherheitslücken gefährdet sind. Das BSI ruft zur sofortigen Aktualisierung und sicheren Konfiguration der Systeme auf. mehr...

Das Bild zeigt Dr. Christian Schumer, CEO & Senior Vice President Sales von Materna Virtual Solution.
interview

Interview: Ultramobiles Arbeiten mit BSI-Siegel

[27.03.2024] Mit dem indigo-Konzept von Apple können auch Behörden iPhones und iPads sicher nutzen. Materna Virtual Solution unterstützt seine Kunden dabei mit einem eigenen Kompetenz-Center und speziell entwickelten Lösungen. move-online sprach darüber mit Christian Schumer, CEO & Senior Vice President Sales von Materna Virtual Solution. mehr...

BSI: Neuer Mindeststandard für Browser

[21.03.2024] Das BSI hat den Mindeststandard für Webbrowser aktualisiert, die in der Bundesverwaltung, aber auch in Ländern und Kommunen zum Einsatz kommen. In seiner aktuellen Fassung berücksichtigt der Mindeststandard nun auch Anforderungen für Browser, die mobil eingesetzt werden. mehr...

Das Bild zeigt einen Bildschrim mit geöffnetem Security-Programm.

Cybersecurity Report: Bedrohung auf Rekordniveau

[14.03.2024] Der aktuelle Cybersecurity Report von Trend Micro zeigt, dass Angriffe auf IT-Systeme immer raffinierter werden. Deutschland gehört zu den am stärksten betroffenen Ländern, insbesondere im Bereich Ransomware. Im Fokus der Angreifer stehen staatliche Einrichtungen und Kritische Infrastrukturen. mehr...

Nahaufnahme vom Dach eines roten Fahrzeuges mit einem Feuerwehr-Schild.

BSI/DFV: Mehr IT-Sicherheit für Feuerwehren

[08.03.2024] Um die Informationssicherheit bei Feuerwehren und in Leitstellen besser zu schützen, wollen der Deutsche Feuerwehrverband und das BSI ihre Zusammenarbeit intensivieren. Das BSI hat Checklisten veröffentlicht, die Feuerwehren den Weg in eine Basisabsicherung bahnen sollen. mehr...

Logo Nationales Cyber-Abwehrzentrum

Bayern/Nordrhein-Westfalen: Verstärkung für das Cyber-Abwehrzentrum

[27.02.2024] Das Nationale Cyber-Abwehrzentrum erhält nun dauerhaft Verstärkung durch die Länderstaatsanwaltschaften Bayerns und Nordrhein-Westfalens. Die Zusammenarbeit war bereits im Rahmen eines Pilotprojekts erprobt worden, nun wird sie verstetigt. mehr...

Das Bild zeigt die Hauptbühne des Mobile World Congress in Barcelona.

Mobile World Congress: Sicheres Arbeiten mit Apple-Geräten

[26.02.2024] Auf dem Mobile World Congress in Barcelona präsentieren Rohde & Schwarz Cybersecurity und agilimo Consulting die Lösung Indigo in a box. Diese Weltneuheit ermöglicht die einfache Aktivierung von Apple-Geräten für höchste Sicherheitsanforderungen in Behörden. mehr...

BSI: Diskussion zu KI und Cyber-Sicherheit

[26.02.2024] Auf der Münchner Sicherheitskonferenz hat sich BSI-Präsidentin Claudia Plattner mit Sicherheitsexpertinnen und -experten über Gefahren und Chancen von KI für die Cyber-Sicherheit ausgetauscht. mehr...

An einem großen Konferenztisch sitzen 26 europäische Cyber-Sicherheitsdirektoren beim Cyber Security Directors‘ Meeting.

Cyber-Sicherheit: EU-Experten diskutieren Herausforderungen

[23.02.2024] Beim vierten Cyber Security Directors‘ Meeting des Bundesamtes für Sicherheit in der Informationstechnik (BSI) diskutierten 26 europäische Cyber-Sicherheitsdirektoren über die Umsetzung neuer EU-Rechtsakte und gemeinsame Strategien gegen IT-Sicherheitsvorfälle. mehr...

Hände halten ein Mobiltelefon mit der AusweisApp und einen Personalausweis.

BSI: Mögliche Schwachstelle im eID-System?

[20.02.2024] Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist ein Hinweis auf eine mögliche Schwachstelle im eID-System eingegangen, dem nun nachgegangen wurde. Dabei kam das BSI zu dem Ergebnis, dass die Online-Ausweisfunktion weiterhin eine der sichersten Möglichkeiten des digitalen Identitätsnachweises ist. mehr...

Auf dem Bildschirm eines stilisiert dargestellten hellblauen Laptops wird ein ebenfalls stilisiert dargestelltes E-Learning-Video abgespielt, in dem eine Person etwas erklärt. Hellblau hinterlegte Sprechblasen zeigen ein Vorhängeschloss und einen Schlüssel.

Baden-Württemberg: Lernplattform für Cyber-Sicherheit

[15.02.2024] Mit einer neuen Lernplattform wendet sich die Cyber-Sicherheitsagentur Baden-Württemberg (CSBW) an die Mitarbeiterinnen und Mitarbeiter der Landes- und Kommunalverwaltungen. Sie finden hier kostenlose, vielfältig aufbereitete E-Learning-Angebote rund um das Thema Cyber-Sicherheit. mehr...

Das Bild zeigt NRW-Innenminister Herbert Reul und BSI-Präsidentin Claudia Plattner bei ihrem ersten persönlichen Treffen.

Cyber-Sicherheit: Kräfte bündeln

[09.02.2024] Bei einem Treffen zwischen NRW-Innenminister Herbert Reul und BSI-Präsidentin Claudia Plattner wurde die Bedeutung einer engen Zusammenarbeit für die nationale Cyber-Sicherheit betont. mehr...

Das Bild zeigt das Innere des IT-Lagezentrums mit Personen an Bildschirmen und großen Monitoren an den Wänden.

BSI: Nationales IT-Lagezentrum eingeweiht

[06.02.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein hochmodernes Nationales IT-Lagezentrum in Betrieb genommen und die Initiative „Cybernation Deutschland“ gestartet. Ziel ist es, die Cyber-Sicherheit des Landes zu stärken und Deutschland zum Vorreiter für eine sichere Digitalisierung zu machen. mehr...