Abhörsicheres telefonieren mit Krypto-Handys

Verschlüsselungssoftware bietet Schutz

Ein Großteil 
des Datenverkehrs im Internet 
wird von den Geheimdiensten abgehört. Wer nicht vollständig zum gläsernen Nutzer werden will, hat nur eine Chance: 
den Spionen mit 
Verschlüsselungstechniken die 
Arbeit erschweren.

Verschlüsselungssoftware in Form von Apps oder zusätzliche Hardware-Komponenten helfen Smartphone-Nutzern ihre Daten gegen Spionge abzusichern.

Datenschützer fordern mehr Kontrolle, die Außenpolitik muss sich mit einem gescheiterten „No Spy“-Abkommen mit den USA abfinden und die neue Koalition diskutiert über Vorratsdatenspeicherung – die Geheimdienstaktivitäten haben nicht nur hierzulande viel Staub aufgewirbelt. Doch der gemeine Bürger zeigt sich gelassen und bislang sind keine Veränderungen im Umgang mit Internetdiensten, der Datenspeicherung in der Cloud oder sozialen Medien zu beobachten. „Der Abhörskandal hat zwar viele Nutzer aufgeschreckt, dennoch haben sie ihr Verhalten im Internet und im Umgang mit Mobilgeräten kaum geändert. In sozialen Netzwerken werden weiterhin freimütig private Informationen preisgegeben und Apps werden auf Smartphones und Tablets installiert, ohne vorher einen kritischen Blick auf die angeforderten Berechtigungen zu werfen“, kritisiert Eddy Willems, Sicherheitsexperte bei G Data. Auch Frank Melber, Head of Business Development Security Solutions, TÜV Rheinland i-sec, schätzt das aktuelle Verhalten als bedenklich ein: „Es herrscht zumindest in vielen Fällen im privaten Bereich noch die Meinung vor, dass ‚man nichts zu verbergen hat‘. Tendenziell verfügen die meisten User nicht über das technische Hintergrundfachwissen, um die Möglichkeiten und daraus resultierenden Konsequenzen zu verstehen.“ Das kann Thomas Uhlemann, Security-Spezialist bei Eset, nur bestätigen: „Die täglichen Schreckensmeldungen spalten die Gesellschaft. Die eine Hälfte reagiert mit technischer Aufrüstung. Die andere Gruppe resigniert und antwortet mit Gleichgültigkeit. Wir beobachten zwar ein gestiegenes Interesse am Thema Datenschutz, aber aufgrund der Tragweite der Skandale hatten wir mit mehr Reaktion gerechnet.“

Natürlich kann man sich damit abfinden, dass inländische wie ausländische Geheim-/Nachrichtendienste und Unternehmen den vollständigen Datenverkehr im Internet sowie alle anderen Aktivitäten, die mit mobilen Geräten – aber auch stationären Rechnern – getätigt werden, ausspähen. Nicht ohne Grund kursieren jede Menge ironische Witze à la „Eine kaputte Festplatte ist nicht länger Grund zur Besorgnis, die NSA hält für jeden User eine Sicherungskopie seiner Daten bereit“.

Man kann sich aber auch wehren. Das fängt bei banalen Sicherheitsbarrieren wie der automatischen Bildschirmsperre und PIN-Abfrage an, führt über Virenscanner und mit Bedacht ausgewählte Apps bis hin zu anspruchsvollen Verschlüsselungstechniken. Denn die Mehrheit der Bevölkerung sieht die eigene private Korrespondenz – ganz zu schweigen von Fotos – nur ungern ausspioniert oder gar veröffentlicht. Privatsphäre gilt nach wie vor als hohes Gut unserer Gesellschaft, das es zu schützen gilt. Und trotzdem gleicht der Versuch einem Kampf gegen Windmühlen. „100prozentige Sicherheit gibt es nicht. Was wir tun können, ist die Zeit und den Aufwand zu erhöhen, der benötigt wird, um in ein System einzubrechen“, versucht Michael Goedeker, Security-Spezialist bei Sophos, Mut zu machen und gleichzeitig zu mahnen. Sicherheitsanbieter oder entsprechende Programme, die absolute Sicherheit versprechen, sollten daher genau unter die Lupe genommen werden. Wenn eine Sache in den letzten Monaten deutlich wurde, dann dass alles, was technisch möglich ist, seitens staatlicher Institutionen zur Überwachung und Manipulation der Kommunikation im Internet auch tatsächlich eingesetzt wird.

Der Spion in der App

Nicht erst seit dieser neuesten Erkenntnis wird empfohlen, Apps nur aus offiziellen und bekannten App-Stores zu laden. Doch leider ist auch dies schon lange keine Sicherheitsgarantie mehr. Erst kürzlich wurde bekannt, dass das Android-Spiel „Angry Brids“ als Datenlieferant für die NSA und den britischen Partnerdienst GCHQ dient und Informationen über Aufenthaltsort, Alter oder Geschlecht der Spieler preisgibt. Unvergessen ist auch die Taschenlampen-App, die den Smartphone-Blitz leuchten ließ und ganz nebenbei die Identifikationsnummer des Gerätes auslieferte. Zugleich gerät der beliebte Nachrichtendienst Whatsapp immer wieder in Verdacht, ein einziges Datenleck zu sein. Aus monetärer Sicht müsste jedem klar sein, dass gerade kostenlose Apps einen Haken haben. Denn wer kein Geld mit dem App-Verkauf verdient, wird sich auf anderem Wege bereichern (müssen) und seinen Dienst nicht aus reiner Nächstenliebe zur Verfügung stellen.

Viele Apps sammeln auch mit – mehr oder weniger ausdrücklichem – Einverständnis der Nutzer eifrig Daten, obwohl es App-Entwicklern offiziell untersagt ist, unnötige Berechtigungen einzuholen. Während der Installation müssen üblicherweise verschiedene Zugriffsberechtigungen eingeräumt werden. Manche sind wichtig, damit die App überhaupt funktioniert und ihren Zweck erfüllen kann. „Beispielsweise wird Zugriff auf den GPS-Location-Dienst von Android verwendet, um das Gerät im Falle eines Verlustes oder Diebstahls orten zu können“, erklärt Christian Funk, Senior Virus Analyst bei Kaspersky Lab. Rund 160 Berechtigungen kann eine Android-App einfordern, einige davon mögen unbedenklich sein, bei anderen liegt der Verdacht nahe, dass ihre Zweckmäßigkeit in der Spionage liegt. Bei jeder Installation gilt es also abzuwägen, welchen Nutzen die App hat und wie viel dafür preisgegeben werden soll. Dies gilt im besonderen für Sicherheits-Apps in ihren diversen Formen. „Man sollte genau hinsehen, wie diese Produkte arbeiten. Viele Anbieter bieten letztlich Produkte an, die auf unsicheren Plattformen laufen. Da hilft es wenig, wenn man ein Sicherheitsprodukt vermeintlich installiert, welches nach wie vor auf einer abhörfähigen Basistechnologie basiert“, warnt Rolf Haas, Principal Security Engineer bei McAfee. „Seriöse Sicherheitslösungen greifen nur auf Rechte zu, die für das korrekte Funktionieren erforderlich sind. So muss beispielsweise eine Anti-Theft-Funktion SMS versenden können, um dem Besitzer wichtige Informationen im Verlustfall zustellen zu können. Der Spamfilter (Anrufe, SMS, MMS) benötigt den Zugriff auf Kontakte, um Gutes vom Bösen unterscheiden zu 
können. Wichtig ist, dass der Hersteller dies transparent macht und so Vertrauen schafft“, gibt auch Thomas Uhlemann zu bedenken. Von Transparenz kann aber nicht die Rede sein, wenn bei der Installation direkt über das Smartphone nur eine eingeschränkte Liste aller erforderlichen Berechtigungen 
einsehbar ist. Und wer macht sich die Mühe, diese vollständig zu lesen?

„Krypto“ schafft Schutz

Eine zunehmend gefragte Möglichkeit, Daten in digitaler Form zumindest nicht ganz schutzlos auszutauschen, sind kryptologische Verschlüsselungsverfahren. Immer häufiger ist von „Krypto-Handys“ die Rede. Darunter fallen Geräte, die eine Ende-zu-
Ende-Verschlüsselung direkt vom Sender zum Empfänger ohne Umverschlüsselungsstation auf dem Übertragungsweg ermöglichen. Was sich einfach anhört, erweist sich im Alltag – zumindest für Privatpersonen – bisweilen als unpraktikabel. Denn zum einen funktioniert Verschlüsselung nur zweiseitig, das heißt: Um sicher kommunizieren zu können, sind also mindestens zwei Geräte notwendig. Zum anderen muss die verschlüsselte Nachricht vom Empfänger auch entschlüsselt werden können. Der Übermittlungsweg des entsprechenden Schlüssels setzt aber schon gesicherte Verfahren voraus, die bekanntermaßen inzwischen von der NSA unterwandert wurden. „Die Gefahr besteht darin, dass Geheimdienste hinter dem SSL/VPN-Kanal eingreifen und erst gar keine Decryption anwenden müssen“, erklärt Rolf Haas von McAfee.

Deshalb prüft das Bundesamt für Sicherheit in der Informationstechnologie (BSI) seit einigen Jahren Smartphones auf ihr Gefährdungspotential für IT-Infrastrukturen und gibt Empfehlungen beispielsweise für den Einsatz in Behörden und an Regierungsmitglieder. Da in der Vergangenheit sowohl Blackberry- als auch Apple-Geräte die notwendigen Sicherheitsanforderungen nicht erfüllen konnten, hat T-Systems – mit Unterstützung des BSI – 
eine eigene Lösung „Simko“ (Sicher Mobil Kommunizieren) entwickelt. Als Basis für die aktuelle „Simko 3“-
Version dient das Samsung Galaxy S 3, das dazu komplett entkernt und mit einer sicheren Software-Architektur ausgestattet wurde. Im September vergangenen Jahres hat das abhörsichere Handy die offizielle BSI-Zulassung für die Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“ erhalten.

Auch das Düsseldorfer Unternehmen Secusmart hat sich mit der Entwicklung des Kanzler-Handys einen Namen gemacht. Basierend auf einem Blackberry-Gerät sorgt die Software Secusuite für die Verschlüsselung von Sprache sowie Daten und wird an fast alle Ministerien und Behörden der Bundesregierung ausgeliefert. Frau Merkel muss dieses nun auch nutzen und auf ihr unsicheres Partei-Handy verzichten. Beide Krypto-Handys lassen sich in einen sicheren und einen offenen Bereich gliedern, ohne dass Daten vermischt werden. Durch die Wischfunktion auf dem Display lässt sich einfach zwischen beiden Bereichen hin und her wechseln. Andere Geräte machten es in der Vergangenheit notwendig, mehrere Geräte für verschiedene Vorgänge zu nutzen – nach dem Motto „Je eingeschränkter die Möglichkeiten, desto geringer das Risiko des Auslesens“. Nicht selten waren mindestens zwei Geräte im Einsatz etwa für das Telefonieren, den Datenversand und die private Nutzung mit gängigen Apps, der Kamera, WLAN oder Bluetooth. Bedenken gegenüber diesen Aktivitäten braucht es laut BSI nun nicht mehr zu geben. Einzig der Preis von 1.700 bis 2.500 Euro dürfte die Anschaffung für Privatnutzer nahezu unmöglich machen.

In Sachen Krypto-Handy machte zuletzt das „Blackphone“ von sich reden. Phil Zimmermann, Mitbegründer von Silent Circle und Entwickler der PGP-Verschlüsselungstechnik (pretty goog privacy), und das spanische Unternehmen Geeksphone haben ein Joint Venture gebildet, um ein abhörsicheres Mobiltelefon zu bauen. Details und technische Daten sind bei Redaktionsschluss nicht bekannt gewesen, nur so viel: als Betriebssystem soll eine Variante von Googles Android dienen. Welche besonderen Sicherheitsfunktionen vorgesehen, sind bleibt abzuwarten. Telefongespräche, Nachrichten- und Datenaustausch, Videochat und privates Websurfen sollen aber sicher möglich sein, hoffentlich auch bezahlbar!

Nicht nur das BSI, sondern auch die Regierung legt bei der Auswahl der Gerätelieferanten großen Wert darauf, die Marke „Sicherheit made in Germany“ zu etablieren. So sind ausschließlich deutsche Unternehmen an der Zusammensetzung der Hard- und Softwarekomponenten beteiligt. Dies hat einen entscheidenden Grund: Ausländische, vornehmlich amerikanische Anbieter, sind vor allem deshalb bedenklich, weil sie mittels des „National Security Letter“ (NSL) vom FBI zur Kooperation und gezielten Herausgabe von Daten gezwungen werden können. Gleichzeitig sind sie zur Geheimhaltung über diese Datenpreisgabe verpflichtet. Diese gängige Praxis ist im letzten Jahr durch Lavabit, einen Anbieter verschlüsselter E-Mail-Dienste, zu dessen Nutzern auch Edward Snowden gehörte, bekannt geworden. Gründer Ladar Levison hatte seinen Dienst eingestellt, um zu verhindern, sämtliche Metadaten und SSL-Verschlüsselungen aller Nutzer auf Anordnung eines NSL preisgeben zu müssen. Auch dem Suchmaschinenriesen Google wurden schon etliche NSLs zugestellt. Im Transparenzbericht, in dem aufgeführt wird, wer welche Nutzerdaten angefordert hat, tauchten im vergangenen Jahr auch die geheimen NSLs auf. Die genauen Anfragen bleiben allerdings nur sehr vage formuliert.

Hilfreiches Zubehör gegen Abhörfallen

Wer mangels nötigem Kleingeld für ein Krypto-Handy nicht auf ein Mindestmaß an Sicherheit verzichten möchte, dem stehen zusätzliche Hardwarekomponenten oder Software-Anwendungen zur Wahl. Der Elektrokonzern Rohde und Schwarz beispielsweise hat ein System im Stile eines MP3-Players entwickelt, das via Bluetooth an das Handy gekoppelt wird und die Sprache direkt auf dem Gerät verschlüsselt. Selbst wenn das Smartphone bereits mit einem Trojaner oder ähnlichem infiziert ist, werden nur verschlüsselte Sprachdateien vom Mithörenden empfangen. Schriftverkehr in Form vertraulicher E-Mails und SMS sowie anonymes Internetsurfen können mit diesem Prinzip allerdings nicht verschlüsselt werden. Dafür wiederum sollen sich zahlreiche Apps für Android- und iOS-Geräte eignen, die – wen wundert es – zum Teil kostenfrei zu haben sind. Auch hier „ist es sinnig, sich Gedanken darüber zu machen, wie und womit diese Unternehmen ihr Geld verdienen und wie hoch das Interesse ist, die sichere Ende-zu-Ende-Verschlüsselung zu integrieren“, warnt Frank Melber.

Zuverlässiger Schutz setzt jedoch voraus, dass beide Seiten – sowohl Sender als auch Empfänger – die jeweiligen Anwendungen nutzen, sonst ist die beste und teuerste Verschlüsselung zwecklos. „Die Qual der Wahl erweist sich als großes Vertrauensproblem. Wie sollen Anwender entscheiden können, welche Lösung von welchem Anbieter verlässlich arbeitet? Hinzu kommt die Frage, ob das darunter laufende Betriebssystem oder die Komponenten des Smartphones ‚sauber und verlässlich‘ arbeiten“, gibt Thomas Uhlemann zu bedenken. Einige Android-Anwendungen setzen genau wie beim Betriebssystem auf einen offenen, prüfbaren Quellcode, der angeblich der beste Schutz gegen versteckte Hintertüren sein soll.

Das Bedürfnis nach Schutzmaßnahmen für jedermann ist gestiegen – viele Sicherheitsanbieter machen sich diese Marktsituation zunutze und erweitern ihr Produktportfolio. So kann jeder Nutzer selbst entscheiden, wie einfach er es den Geheimdiensten dieser Welt beim Aushorchen seiner Daten machen will. Vielleicht haben umfangreiche Verschlüsselungen eine abschreckende Wirkung und lassen so die „Arbeit“ von NSA und Co. eingrenzen. „Trotzdem können auch Geheimdienste durch die Lokation der SIM-Karte in der Basisstation das Gerät orten und die Person identifizieren, wenngleich die Daten sicher (verschlüsselt) sind bei der Übertragung“, erklärt Rolf Haas. – Es bleibt ein Kampf gegen Windmühlen. 

Bildquelle: Thinkstock/ iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok