Verschlüsselte Kommunikation

Mobile Kommunikation vor Lauschangriffen schützen

Mit dem allgemeinen Sicherheitsbedürfnis wächst die Nachfrage nach Lösungen zur Verschlüsselung der mobilen Kommunikation. Worauf in Unternehmen bei der Auswahl geachtet werden sollte, erläutern Anngret Podschelni, bei T-Systems verantwortlich für mobile Geschäftskundenlösungen, und Björn Rupp, Geschäftsführer des Berliner Sicherheitsspezialisten GSMK, im Interview.

  • „Krypto-Telefonie galt bisher als teuer und umständlich. Zum einen konnte immer nur ein bestimmter Personenkreis miteinander telefonieren, der über exakt dieselbe Technik verfügte, zum anderen hat die Sprachqualität häufig nicht gestimmt", so Anngret Podschelni, T-Systems.

  • „Viele der angebotenen Lösungen nutzen nur einen Algorithmus zur Verschlüsselung der mobilen Kommunikation. Echte Sicherheit ist jedoch nur von einer Lösung zu erwarten, die parallel zwei – möglichst lange – Algorithmen einsetzt", so Björn Rupp, GSMK.

Frau Podschelni, welche Daten sind in der mobilen Kommunikation besonders gefährdet, interessant oder schützenswert?
Anngret Podschelni:
Prinzipiell sollten Anwender darauf achten, dass eine Verschlüsselungslösung nicht nur das gesprochene und geschriebene Wort „Ende-zu-Ende“ vor Lausch- und Spähangriffen schützt, sondern ebenso die Metadaten. Dies bedeutet, dass auch die Verbindungsdaten, Ortsangaben und Kontakte nicht von Unbefugten ausgewertet werden können.

Solche Kommunikationsprofile sind in bestimmten Zusammenhängen genauso aufschlussreich wie die Inhalte der Gespräche selbst. Denken Sie nur an die Situation, wenn zwei Vorstandsmitglieder verschiedener Unternehmen plötzlich beginnen, regelmäßig unter Einbindung eines Bankenvertreters miteinander zu telefonieren. Selbst wenn man nicht weiß, worüber gesprochen wird, liegt doch der Schluss nahe, dass möglicherweise eine Übernahme bevorsteht.

Herr Rupp, ab wann würden Sie eine Verschlüsselung als „sicher“ einstufen?
Björn Rupp:
Viele der angebotenen Lösungen nutzen nur einen Algorithmus zur Verschlüsselung der mobilen Kommunikation. Echte Sicherheit ist jedoch nur von einer Lösung zu erwarten, die parallel zwei – möglichst lange – Algorithmen einsetzt. Wir haben diese und andere Sicherheitsanforderungen in einer eigenen Lösung implementiert, die wir gemeinsam mit T-Systems anbieten. Ist diese Mobile-Encryption-App auf dem Smartphone installiert, lässt sie sich so intuitiv bedienen wie jede andere App. Das heißt: Will man verschlüsselt telefonieren, klickt man auf die App und startet einen sicheren Anruf. Sobald der Angerufene das Gespräch annimmt, erfolgt automatisch ein Schlüsselaustausch. Dabei wird ein Einmal-Schlüssel generiert, der nur für dieses eine Telefonat gilt.

Zusätzlich wird auf beiden Smartphones eine Buchstabenkombination – quasi ein mathematischer Fingerabdruck des Schlüssels – eingeblendet. Diese Buchstaben können sich die Gesprächsteilnehmer gegenseitig vorlesen, um sicherzustellen, dass nur sie beide über ihre Apps miteinander verbunden sind und keiner mithört. Sobald einer der beiden auflegt, wird der Einmal-Schlüssel unwiderruflich zerstört. Da die Schlüssel nirgendwo sonst hinterlegt oder verwaltet werden, sondern auf den Geräten direkt generiert und gelöscht werden, kann niemand von außen zugreifen.

Wen adressieren Sie mit dieser Lösung?
Podschelni:
Im ersten Schritt sprechen wir unsere multinationalen Großkunden an, weil wir dort aktuell den größten Bedarf an sicherer mobiler Sprachverschlüsselung festgestellt haben. Selbstverständlich planen wir aber auch ein erweitertes Angebot für unsere Mittelstandskunden und beobachten, wie sich die Nachfrage bei den Privatkunden entwickelt.

Wie stellt sich die Nachfrage bislang dar?
Podschelni:
Im Großkundensegment stellen wir bereits heute fest, dass die Nachfrage unsere Erwartungen übertrifft, und zwar quer über alle Branchen hinweg: Die Zahl der interessierten Kunden liegt im dreistelligen Bereich, darunter viele namhafte DAX-Unternehmen.
Wichtig ist: Für die Nutzung der App muss man kein Telekom-Kunde sein, sondern kann auch über andere Provider, über WLAN oder Satellit damit kommunizieren.

Welchen Stellenwert hat die App aus Ihrer Sicht in der gesamten Sicherheitsstrategie eines Unternehmens?
Podschelni:
Krypto-Telefonie galt bisher als teuer und umständlich. Zum einen konnte immer nur ein bestimmter Personenkreis miteinander telefonieren, der über exakt dieselbe Technik verfügte, zum anderen hat die Sprachqualität häufig nicht gestimmt. Hinzu kam, dass man ständig zwei Telefone mit sich herumtragen musste, wenn man neben dem verschlüsselten Handy auch ein gewöhnliches Smartphone nutzen wollte. Mit unserer App brauchen Nutzer diese Nachteile nicht mehr in Kauf zu nehmen.

Allerdings muss man einräumen, dass die App nicht vor jeder Bedrohung schützt. Denn das eigentliche Sicherheitsproblem liegt in den Smartphones selbst, etwa wenn sie von Schadsoftware angegriffen werden. Grundsätzlich raten wir unseren Kunden daher, ihr Sicherheitskonzept modular auf einer Kombination verschiedener Maßnahmen aufzubauen, wie z.B. einem Mobile-Device-Management-System  (MDM) als Grundlage, um kontrollieren zu können, welche Apps auf dem Gerät tatsächlich laufen.

Welche Rolle spielt das Qualitätssiegel „Made in Germany“, um Smartphones vor Lausch- und Spähangriffen zu schützen?
Podschelni:
Wir empfehlen dringend, darauf zu achten, dass die erforderliche Backend-Infrastruktur für ihre mobile Verschlüsselungslösung in Rechenzentren am Standort Deutschland betrieben wird, denn hier gelten die strengsten Datenschutz- und Sicherheitsvorschriften der Welt.

Rupp: Weitere Sicherheitsvorteile bietet es, wenn die App von einem deutschen Unternehmen entwickelt wurde. Denn es gibt weltweit Länder, in denen die Softwarehersteller durch juristische Rahmenbedingungen gezwungen werden können, mit staatlichen Akteuren zusammenzuarbeiten und damit die eigentliche Sicherheit der Produkte zu kompromittieren. Dies ist in Deutschland definitiv nicht der Fall. Hier bewegen wir uns in einem verlässlichen Rechtsrahmen für die geschützte Kommunikation.

Wenn dann noch der Anbieter den Quellcode der Verschlüsselungs-App zur Verfügung stellt, muss ihm der Kunde nicht blind vertrauen, sondern kann sich selbst davon überzeugen, dass die Algorithmen korrekt implementiert und zudem keine „Hintertürchen“ für mögliche nationale Bedarfsträger geschaffen wurden, wie es beim NSA-Skandal offenbar geschah.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok