Virtual SolutionNeue Sicherheit beim Telefonieren

[27.01.2020] Die fortschreitende Containertechnologie ermöglicht es mittlerweile, verschlüsselte Gespräche von jedem beliebigen Smartphone aus zu führen. Auch Geschäftsdaten wie E-Mails, Kalender oder Kontakte können damit sicher gespeichert werden.
Wer sensible Daten über ein handelsübliches Smartphone ohne entsprechende Schutzmechanismen weitergibt

Wer sensible Daten über ein handelsübliches Smartphone ohne entsprechende Schutzmechanismen weitergibt, riskiert abgehört oder gehackt zu werden.

(Bildquelle: Virtual Solution AG)

Behörden und Organisationen mit hohem Schutzbedarf benötigen sichere Telefonielösungen. Bisherige Spezialgeräte sind umständlich und teuer. Inzwischen bieten aber Smartphone-basierende Container verschlüsselte Telefonie in höchster Qualität.
Kann man sich sicher sein, dass das Telefon nicht abgehört wird? Die Meldungen über das Kanzlerinnen-Handy aus dem Jahr 2013 klingen noch in den Ohren. Zugegeben, es war nicht ihr abhörsicheres Geheimschutzgerät, das die NSA mutmaßlich jahrelang gehackt hatte. Der Fall zeigt aber, wie angreifbar Handys sind. Es muss nicht gleich das Kanzleramt sein. Der Schutzbedarf von Behörden und behördennahen Organisationen reicht weit in die Fläche. Ob Polizei, Feuerwehr, THW oder Sicherheitskräfte des Bundes: Nicht immer sind alle Einsatzinformationen für alle Ohren gedacht und geeignet. Teilweise sind Organisationen sogar zu einer geschützten Übertragung verpflichtet. Bisher ließ sich das allenfalls mit teuren Spezialgeräten für Funktelefonie und drahtgebundene Telefonie umsetzen. Die Geräte boten über eingebaute Codierungsbausteine einen relativ hohen Schutz, waren aber auch wenig flexibel in der Anwendung. Meist waren dafür auch parallele Netze zum öffentlichen Telefon- und Mobilfunknetz erforderlich – mit einem Aufwand, der heute nicht mehr zeitgemäß ist.

Wachsende Risiken

Wenn mit dem handelsüblichen Handy über ungesicherte Verbindungen kommuniziert wird, steigt die Gefahr, abgehört und gehackt zu werden jedenfalls deutlich, und kein Beteiligter kann sagen, ob die von ihm verwendeten Komponenten wirklich sicher sind.
Gleichzeitig steigt die Anzahl von Geräten und Kommunikationswegen, auf denen schutzwürdige Informationen übertragen werden. Aus dem Original mit zwei Durchschlägen, das in einer versiegelten Kuriertasche transportiert worden ist, wurden E-Mails, FTP-Transfer, Intranet-Verzeichnis, Cloud-Speicherung – und vor allem Handy-Telefonate und Nachrichten über Messenger-Dienste. Während es für Datenübertragungen schon ein gewisses Bewusstsein für die Verschlüsselung gibt, werden viele Anrufe, Kurznachrichten und Nachrichten über Web-Dienste völlig unverschlüsselt übertragen.

Wenige Lösungsansätze

Es gibt nur wenige Lösungsansätze für eine sichere Mobiltelefonie. Der klassische Ansatz war aufwändig, teuer und kompliziert. Die Einbindung handelsüblicher Smartphones in eine sichere Infrastruktur war bis vor Kurzem nicht möglich, obwohl sich Smartphones natürlich auch in Behörden verbreitet haben. Damit mussten die Mitarbeiter oft zwei Geräte benutzen: eines für die private und eines für die geschäftliche Kommunikation. Mittlerweile gibt es eine gute Nachricht: Mit fortschreitender Containertechnologie ist es möglich, sichere und verschlüsselte Gespräche von einem beliebigen Smartphone aus zu führen – und zwar parallel zu unverschlüsselten Telefonaten.

Container als Schutz

Im Container liegen nicht nur Geschäftsdaten wie E-Mails, Kalender oder Kontakte sicher ab und sind von den privaten Daten getrennt, auch die verschlüsselten Gespräche werden direkt im Container gestartet. Die Übertragung von sowohl Daten als auch Telefonaten ist zudem Ende-zu-Ende-verschlüsselt. Für eine Verschlüsselung gilt erfahrungsgemäß: Je länger der Schlüssel, desto sicherer der Schutz. Einen hohen Schutz bietet zum Beispiel der nur noch mit teuren Supercomputern und sehr viel Zeit zu knackende Diffie-Hellman-Algorithmus mit 4096-Bit-Schlüsseln. Nach dem Austausch der Schlüssel – ganz ähnlich wie beim Online-Banking – kann ein gesichertes Telefongespräch geführt werden. Die Ende-zu-Ende-Verschlüsselung findet mit der App zwischen den beteiligten Smartphones statt.

Sicherer Informationsaustausch

Besonders hoch ist der Schutzbedarf bei Auslandseinsätzen von Behörden und Ministerien. Jedoch sind die Dienste für die Mobiltelefonie dort nicht überall auf europäischem Niveau. Bislang mussten sichere Telefonate über teure Satellitenverbindungen mit aufwendiger Spezialtechnik geführt werden. Eine sichere Lösung für den Austausch von Informationen über das Mobiltelefon sollte aber provider-agnostisch sein, also unabhängig vom Telekommunikationsanbieter genutzt werden können. Für einen weltweiten Einsatz gibt es jedoch noch eine weitere Grundanforderung: Die Telefonie-Lösung muss schlank programmiert sein, damit sie auch in Regionen genutzt werden kann, wo nur GSM zur Verfügung steht.

Weitere Alternativen

Es gibt eine Vielzahl von Alternativen, wobei hier vor allem hardwareseitig abgesicherte Handys zu erwähnen sind, deren Sprachqualität allerdings nach wie vor nicht besonders gut ist. Auch unterschiedliche Apps bieten eine Absicherung durch den Provider, der die Sicherheit der Daten, Telefonate und Kontakte zusagt. In der Regel liegt hier aber die Steuerungs- und Kontrollfunktion nicht in den Händen der Benutzer: Sie müssen sich schlicht auf den App-Provider verlassen. Zudem wissen die Benutzer nicht immer genau, wo die Daten abgespeichert sind. Es gibt jedoch Momente, in denen auch Schutzmechanismen in Bedrängnis kommen, zum Beispiel wenn ein Gerät verloren geht, in falsche Hände fällt und eine Kompromittierung der dort befindlichen Daten droht. Hier gewinnen Unternehmen und Behörden durch die Verschlüsselung des Containers Zeit, um die Daten auf dem Gerät remote zu löschen.

Geschützte Smartphones

Auch neue Kommunikationswege sind mit geschützten Smartphones denkbar: Mitarbeiter von Behörden, Ämtern und Ministerien können miteinander kommunizieren, ohne die bisherigen separaten Schutzverfahren verknüpfen zu müssen. Zudem können Behörden mit vergleichsweise geringem Aufwand auch Unternehmen aus der freien Wirtschaft in ihre Kommunikationsketten einbinden. Das könnten zum Beispiel Banken oder die Verteidigungsindustrie sein, die im Behördenauftrag aktiv sind. Auch Unternehmen aus der privaten Wirtschaft und Organisationen, die nur indirekt mit Behörden zusammenarbeiten, dafür aber eine sichere Kommunikation nachweisen müssen, können eine solche Lösung implementieren.

Verschlüsselte Telefonate

SecureVoice ist ein Feature für die sichere Telefonie in der App SecurePIM Government SDS von Virtual Solution. In der gesicherten App liegen die Kontaktdaten, und aus der App heraus können die verschlüsselten Telefonate gestartet werden. Das Telefonie-Feature ist netzagnostisch und kann in allen Mobilfunknetzen genutzt werden. SecurePIM ist auch Bestandteil der Telefonielösung in Zusammenarbeit mit der Telekom und der Gesellschaft für Sichere Mobile Kommunikation (GSMK), dem Hersteller der MeCrypt App. Diese nutzt SecurePIM als sichere Kontaktdatenbank; die Telekom stellt hier die Infrastruktur zur Verfügung (wir berichteten). Die App ist für iOS verfügbar, eine Version für Android ist in Planung.

Sascha Wellershoff ist Vorstand des Münchner IT-Sicherheitsspezialisten Virtual Solution AG.




Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit
In Blautönen gehaltenes 3D-Rendering eines Vorhängeschlosses mit Schlüsselloch, überlagert von einer Schaltplan-Struktur.

Sachsen: Tausende Cyberattacken auf Landesbehörden

[02.12.2024] Der Jahresbericht Informationssicherheit bilanziert den Stand der Cybersicherheit in der sächsischen Verwaltung. Angriffe auf Behörden nehmen demnach zu – so wurde rund die Hälfte der eingehenden Mails blockiert. Maßnahmen wie die NIS2-Umsetzung und eine 24/7-Bereitschaft beim SAX.CERT stärken den Schutz. mehr...

Claudia Plattner (l.), Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), und Bundesinnenministerin Nancy Faeser präsentieren den Bericht zur Lage der IT-Sicherheit in Deutschland.

BSI: Bericht zur Lage der IT-Sicherheit

[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...

Ministerpräsident Michael Kretschmer und BSI-Präsidentin Claudia Plattner.

BSI: Sachsen testet Telefonie-Lösung für Verschlusssachen

[11.11.2024] Sachsens Ministerpräsident Kretschmer und Landes-CIO Popp informierten sich bei einem Besuch des BSI-Standorts Freital über hochsichere Kommunikationstechnik. Ein Testbetrieb für die Verschlusssachen-Telefonie-Lösung ist im Freistaat geplant. mehr...

Symbolbild: Blauer Hintergrund, davor Binärcode-Zahlenreihen und ein Ring aus gelben Sternen (EU-Flagge)

Niedersachsen: NIS2-Richtlinie umgesetzt

[04.11.2024] Niedersachsen setzt als eines der ersten Bundesländer die NIS2-Richtlinie der EU zur Cybersicherheit in der Verwaltung um. Die neue Verwaltungsvorschrift, die Benennung einer zuständigen Behörde für Cybersicherheit und die Einrichtung eines Notfallteams sollen die IT-Sicherheit in besonders kritischen Bereichen stärken. mehr...

Innenminister Roman Poseck eröffnete den Cybersicherheitsgipfel im Regierungspräsidium Gießen vor mehr als 100 Vertreterinnen und Vertretern südhessischer Kommunen.

Hessen: Höhere Cybersicherheit

[01.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...

Zwei Männer mittleren Alters sitzen einander zugewandt auf Sesseln, im Hintergrund ein modernes Gemälde.

Thüringen: Datenschutzbericht übergeben

[30.10.2024] Thüringens Ministerpräsident Bodo Ramelow traf sich am Dienstagnachmittag, den 24. September, mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit (TLfDI) des Freistaats Thüringen, Tino Melzer. Im Rahmen des Gesprächs überreichte Melzer seinen Tätigkeitsbericht für das Jahr 2023 an den Ministerpräsidenten. mehr...

Screenshot eines pixeligen Bildschirms. Zu sehen ist auf dunklem Grund die hellblaue Schrift "Security", eine Mauszeigerhand zeigt darauf.

Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen

[29.10.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt „SicherKommunal“. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...

Podium auf der Messe it-sa 2024

it-sa: So steht es um die Cybernation Deutschland

[25.10.2024] Zum Stand der Initiative „Cybernation Deutschland“, den BSI-Grundschutz der Zukunft und über die NIS2-Richtlinie informierte die BSI-Präsidentin Claudia Plattner auf der Kongressmesse it-sa in Nürnberg (22. bis 24. Oktober 2024). mehr...

Generisches Symbolbild für IT-Sicherheit: eine geöffnete Hand vor dunklem Hintergrund hält ein gerendertes, hell leuchtendes Vorhängeschloss, im Hintergrund noch Bokeh-ähnliche Strukturen.

Utimaco/genoa: Sichere Telearbeit für VS-NfD-Umgebungen

[23.10.2024] Utimaco und genua haben die genusecure-Suite entwickelt, um den Anforderungen an sicheres mobiles Arbeiten in VS-NfD-Umgebungen gerecht zu werden. Die Lösung kombiniert Festplattenverschlüsselung und VPN-Technologie, zugelassen vom BSI, um Behörden und Unternehmen datenschutzkonforme Telearbeitsplätze zu bieten. mehr...

In Blautönen gehaltenes 3D-Rendering eines Vorhängeschlosses mit Schlüsselloch, überlagert von einer Schaltplan-Struktur.

Bayern: Cyberabwehr gemeinsam stärken

[21.10.2024] Bei einer gemeinsamen Übung haben Bayerns Cybersicherheitsbehörden ihre Reaktionsfähigkeit auf komplexe Cyberangriffe getestet. Im Fokus standen übergreifende Kommunikation und die Entwicklung gemeinsamer Lösungen, um Kritische Infrastrukturen und Verwaltung besser zu schützen. mehr...

Bundesdruckerei: Cybersicherheit für das Quantenzeitalter

[18.10.2024] Die Bundesdruckerei erprobt neue kryptografische Methoden, um die Kommunikation der öffentlichen Verwaltung auch im Quantenzeitalter sicher zu gestalten. Unterstützt vom BSI testet sie eine quantensichere Public-Key-Infrastruktur, die künftig für sichere Identifikation und verschlüsselte Kommunikation sorgen soll. mehr...

Rheinland-Pfalz: Landesverwaltung setzt NIS2 um

[10.10.2024] Bis zum 17. Oktober müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Mit der Verabschiedung einer Verwaltungsvorschrift hat das Land Rheinland-Pfalz jetzt die entsprechenden rechtlichen Regelungen hierfür getroffen. mehr...

Das Bild zeigt die Titelseite des Cybersicherheitsberichts Bayern 2024.

Bayern: Gemeinsam gegen Cybercrime

[26.09.2024] Die Bedrohungslage im Bereich Cybersicherheit hat sich in Bayern weiter verschärft. Laut dem neuen Cybersicherheitsbericht 2024 des Freistaats werden immer mehr kleine und mittelständische Unternehmen sowie Behörden Opfer von Cyberangriffen. mehr...

Das Bild zeigt die niedersächsische Innenministerin Daniela Behrens.

Niedersachsen: Sicherheit im Cyberspace

[25.09.2024] Eine neue Cybersicherheitsstrategie soll das Land Niedersachsen besser vor digitalen Bedrohungen schützen. Das jetzt von der Landesregierung verabschiedete Konzept umfasst zwölf Handlungsfelder und bindet alle gesellschaftlichen Akteure ein. mehr...

Das Bild zeigt das Messegeschehen auf der it-sa 2023 in Nürnberg.

it-sa 2024: Sicheres mobiles Arbeiten für Behörden

[24.09.2024] Auf der it-sa 2024 präsentiert Materna Virtual Solution gemeinsam mit Rohde & Schwarz Cybersecurity und agilimo Consulting innovative Lösungen für das sichere Arbeiten mit Smartphones und Tablets. mehr...