Hochsicherheits-Smartphone

Secusmart: So funktioniert das sichere Merkel-Smartphone

Blackberry 10 mit zwei getrennten Bereichen für Beruf und Privat
Aus Berlin berichtet

Secusmart: So funktioniert das sichere Kanzler-Smartphone Secusmart: So funktioniert das sichere Kanzler-Smartphone
Bild: Secusmart Das neue Kanzler-Handy von Secusmart wird nun an erste Ministerien und Behörden ausgeliefert. Auf einer Veranstaltung in Berlin erläuterte Gesellschafter-Geschäftsführer Hans-Christoph Quelle, wie das auf einem Blackberry basierende System private und berufliche Nutzung trennt.

Datenblätter

Basis des Systems ist ein Blackberry Z10 mit Smartcard und einer speziellen Softwarelösung, der SecuSuite. Herzstück der Secusmart Security Card soll ein Krypto-Controller für die Authentifizierung sein. Ein weiterer Coprozessor ist für die Verschlüsselung von Sprache und Daten mit 128-Bit-AES zuständig.

Alternativ ist die Lösung auch auf den Blackberry-Modellen Q10 und Z30 nutzbar. Die Anforderungen an das System waren hoch: Das Smartphone sollte sowohl für die berufliche Nutzung als Politiker oder Angestellter einer Bundesbehörde als auch für private Zwecke zum Einsatz kommen. Auf der dienstlichen Seite gibt es da natürlich einen umfangreichen Katalog an Sicherheitsvorschriften, die das Smartphone erfüllen muss. Die meisten Politiker sind aber mittlerweile auch in der Internet-Realität angekommen und wollen - möglichst mit demselben Gerät - Facebook, Twitter, Cloud-Dienste und natürlich private Telefonie nutzen, was mit den bisherigen Hochsicherheits-Handys nicht gestattet war.

Bisher mussten viele Politiker drei Geräte schleppen

Secusmart: So funktioniert das sichere Kanzler-Smartphone Secusmart: So funktioniert das sichere Kanzler-Smartphone
Bild: Secusmart Die Misere zwischen beruflichen Vorgaben und den Wünschen an eine freie private Nutzung führte bisher dazu, dass viele Politiker sage und schreibe drei Mobiltelefone mit sich herumschleppen mussten: Eines davon für die berufliche (verschlüsselte) Telefonie, eines für die besonders sichere Datenübertragung und ein "normales" Smartphone für private Zwecke. Das Problem: Alle Sicherheitsvorkehrungen bringen nichts, wenn der Anwender sie nicht benutzt, weil das Gerät zu kompliziert zu bedienen ist. Eine (neue) Anforderung war daher auch, dass das Sicherheitskonzept tatsächlich sicher, einfach nutzbar und auch transparent sein muss.

Laut Hans-Christoph Quelle waren alle diese Anforderungen für Secusmart mit Blackberry 10 als System am besten umsetzbar. Auf dem Gerät findet eine strikte Trennung zwischen einem offenem Bereich für private Anwendungen und einem geschlossenen Bereich für berufliche Daten und Anwendungen statt. Die sichere Sprachtelefonie funktioniert IP-basiert per VoIP.

Bundeskanzlerin Angela Merkel mit dem Blackberry von Secusmart Bundeskanzlerin Angela Merkel mit dem Blackberry von Secusmart
Bild: Secusmart Nach einem Testbetrieb über mehrere Monate hat die Secusmart-Lösung nun die vorläufige Zulassung des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten. Schon wenige Tage nach dem Verkaufsstart hat das Unternehmen mehr als 1 200 Bestellungen von elf der dreizehn Bundesministerien und 23 Bundesbehörden erhalten.

Interessant war die Aussage von Hans-Christoph Quelle, dass das Bewusstsein für Sprachverschlüsselung in Behörden und bei Politikern deutlich höher als in der Industrie ist - hier wird bei der Kommunikation sensibler Unternehmensdaten weiterhin im großen Stil munter unverschlüsselt telefoniert. Dabei wäre die Blackberry-Secusmart-Lösung auch in der Industrie nutzbar.

Initiative "IT-Security made in Germany"

Vorgaben für Secure IT made in Germany Vorgaben für Secure IT made in Germany
Foto: teltarif.de / Alexander Kuch Die Veranstaltung in Berlin diente nicht nur der Verbreitung neuester Infos zum Secusmart-Handy, sondern war eingebettet in weitere Aktivitäten der Initiative "IT-Security made in Gemany". Diese setzt sich für qualifizierte IT-Sicherheitsstandards ein, beispielsweise für ein verbindliches Qualitätssiegel für sichere deutsche IT-Produkte.

Im Rahmen der PRISM-Affäre betonen die beteiligten deutschen Unternehmen, dass bei keinem ihrer Produkte ein Zugang für Ermittlungsbehörden weltweit zugelassen ist. Alle Unternehmen müssen deutsche Datenschutzstandards einhalten, und zwar an allen Standorten weltweit.

Die Berichterstattung über den PRISM-Skandal hat sich zwar eingehend mit dem Ausspähen von Politikern und Privatleuten beschäftigt, weniger beachtet wurde aber der Effekt für die Wirtschaft. Denn auch wenn sich die Aufregung um PRISM vielleicht irgendwann legt, bleibt die Cyberkriminalität weiterhin gefährlich, und sie wird wirtschaftlich immer bedeutender: Weltweit betrachtet wird mit Cyberkriminalität mittlerweile fast so viel wie mit Drogenhandel erwirtschaftet, schätzen Experten. Zukünftige Angriffsziele werden nicht nur Arbeitsabläufe in der wachsenden digitalen Verwaltung sein, sondern insbesondere Online-Banking und Mobile Payment.

Viele heutige Sicherheitskonzepte funktionieren immer noch nach dem Airbag-Modell: Wenn es zum Crash kommt, werden die Folgen abgemildert. Die deutsche Initiative geht davon aus, dass in Zukunft aber - um in der Sprache des Autos zu bleiben - eine Strategie wie ESP wichtig wird, also eine Verhinderung von Unfällen. Wichtige Bestandteile zukünftiger Sicherheitsstrategien werden Kryptographie, Ende-zu-Ende-Verschlüsselung (für E-Mail, Sprache...), zertifikatsbasierte Identifizierung (statt Passwort), Isolation, Virtualisierung (Sandbox-Sicherheit), Trusted Platform Modules, sichere netzübergreifende Sprachkommunikation (SNS), Smartcards und eine strikte Evaluierung von Regelwerken und Sicherheitsprüfungen in Prüflaboren sein.

Mehr zum Thema Sicherheit