Hochsicherheits-Handys der nächsten Generation

Das können die neuen „Merkel-Phones“

16.05.2013
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Die kommende Generation an verschlüsselten Smartphones für den Behördeneinsatz demonstriert, dass sich Hochsicherheit und Bedienbarkeit nicht komplett ausschließen müssen.
Bundeskanzlerin Merkel bekam auf ihrem CeBit-Rundgang ein Hochsicherheits-Handy in die Hand gedrückt.
Bundeskanzlerin Merkel bekam auf ihrem CeBit-Rundgang ein Hochsicherheits-Handy in die Hand gedrückt.
Foto: Deutsche Messe

Aktuell fahren die Bundesbehörden, was die Ausstattung mit sicheren mobilen Endgeräte angeht, noch zweigleisig: Für abhörsichere Handy-Telefonate kommt ein Krypto-Handy von Secusmart (Secuvoice) oder ein spezielles Verschlüsselungsgerät von Rohde & Schwarz (TopSec Mobile) zum Einsatz, das per Bluetooth mit einem Smartphone verbunden wird. T-Systems wiederum stellt in Zusammenarbeit mit Certgate und NCP ein weiteres - nicht Bluetooth-fähiges – und vor allem komplett spaßbefreites, veraltetes Smartphone (SiMKo 2), das den sicheren Zugriff auf Daten wie Kalender, E-Mails, Kontakte oder Aufgaben ermöglicht - in der Presse gerne als „Merkel-Phone“ betitelt.

Damit ausgestattet, wird den behördlichen Geheimnisträgern zwar Kommunikationssicherheit beim Telefonieren und bei der Datenübertragung gewährleistet. Zusammen mit dem privaten Handy müssen sie jedoch insgesamt drei Geräte mit sich herumschleppen – ein Zustand, der in der freien Wirtschaft schon länger bemängelt und mit Konzepten wie ByoD (Bring your own Device) oder – besser- Cope (Corporate owned, privately enabled) ausgehebelt wird. Der Grund: Im Zweifelsfall wird wohl eher das beruflich genutzte als das private Device im Taxi oder Flugzeug vergessen. Außerdem soll vermieden werden, dass Mitarbeiter mangels ausreichender Usability ihr Dienst-Handy links liegen lassen und versuchen, die gewünschten Informationen über unsichere Wege auf ihre eigenen Geräte zu bringen.

Inzwischen hat auch das Beschaffungsamt des Bundesinnenministeriums (BMI) die Zeichen der Zeit erkannt und Ende 2012 eine neue Ausschreibung gestartet: Gesucht wurde eine Ein-Geräte-Lösung mit einem privaten und einem sicheren Bereich, das verschlüsselte VoIP-Telefonie per SNS (Sichere Netzübergreifende Sprachkommunikation) und verschlüsselte Daten unterstützt.

Einen ersten Eindruck, wie sich das neue „Merkel-Phone“ anfühlen könnte, verschaffte sich die Bundeskanzlerin bereits Anfang März auf der CeBit in Hannover. Am Stand von Secusmart bekam sie ein angepasstes Blackberry Z 10 in die Hand gedrückt, auf dem rückwärtig der Bundesadler und Deutschland-Flagge angebracht war. Neben dem Düsseldorfer Verschlüsselungsspezialisten hat allerdings auch die Telekom-Tochter T-Systems mit Sichere Mobile Kommunikation 3 (SiMKo 3) den Zuschlag für ein neues Behördengerät erhalten.

Welche Lösung letztendlich zum Zug kommt - Secusuite for Blackberry 10, SiMKo 3 oder beide - steht noch nicht fest. Der Auftrag wurde nämlich in zwei Losen mit unterschiedlicher Gewichtung ausgeschrieben, wobei gemäß der Historie bei T-Systems die Priorität auf die Absicherung der Daten, bei Secusmart auf die Sicherheit der Telefonie liegt. In einem ersten Schritt müssen sie nun bis Ende Juni für diesen Bereich die Einsatzempfehlung des Bundesamts für Sicherheit in der Informationstechnik BSI (Verschlusssache – Nur für den Dienstgebrauch VS-NfD) sowie möglichst ein fertig bestellbares Gerät vorweisen, das dann in den nächsten 18 Monaten weiterentwickelt wird. Was die BSI-Zulassung anbelangt, meldet T-Systems bereits Vollzug, bei Secusmart hies es, man werde aller Voraussicht nach bis dahin eine vorläufige Zulassung des BSI für VS-NfD vorweisen. Wichtiger ist auf jeden Fall der 30. Juni 2014, also 18 Monate nach dem Zuschlag für den Rahmenvertrag, bis zu diesem Zeitpunkt muss die Lösung dann komplett fertig sein, müssen beide Prioritäten das Okay des BSI erhalten haben.

Signalwirkung für Wirtschaftkunden

Obwohl der Auftrag mit mehreren tausend Geräten plus Infrastruktur nicht unerheblich ist, versprechen sich beide Bewerber darüber hinaus Folgeaufträge aus dem Ausland und der Industrie. Große Unternehmen hielten sich an die Empfehlungen des BSI, verriet etwa Secusmart-Chef Hans Christoph Quelle im Gespräch mit der COMPUTERWOCHE. Ganz konkret haben die Düsseldorfer wie auch der Wettbewerber T-Systems bereits eine Broschüre für die Lösung herausgebracht. SiMKo 3 wird im Rahmen eines Basisvertrags über 24 Monate ab 1700 Euro angeboten – einschließlich Hardware, aber ohne Sprachverschlüsselung.

Aber auch für den um ein Comeback kämpfende Smartphone-Veteran Blackberry ist die Zulassung von enormer Bedeutung, stellt sie doch den lange Zeit verweigerten Ritterschlag durch das BSI dar. Die Behörde hatte sich früher gegen den Einsatz von Blackberry-Geräten im Firmen- und Behördenumfeld ausgesprochen, weil hochgeheime Daten – wenngleich verschlüsselt – über das für Europa zuständige Network Operating Center (NOC) des Herstellers in Großbritannien transportiert werden. Um solche Bedenken zu entkräften, legte Blackberry bei der Entwicklung von Blackberry 10 besonderen Wert darauf, dass das neue Betriebssystem auch ohne NOCs funktioniert. Da Blackberry 10 wahlweise NOC oder Advanced VPN unterstützt, sei es nun gelungen, den „Policies der 70er Jahre“ zu entsprechen, so Sinisha Patkovic, Vice President Blackberry Security Advisory Service, dazu zynisch in einem Gespräch auf der CeBit.

Als weiteren Beitrag zur Datensicherheit kommt die Blackberry-10-eigene Dua-Persona-Lösung Blackberry Balance zum Einsatz, bei der persönliche und geschäftliche Inhalte auf dem Gerät in zwei getrennten Bereichen untergebracht sind und der Nutzer mit nur einem Wisch von einem in den anderen Modus wechseln kann. Bei Secusuite for Blackberry 10 wird der geschäftliche Bereich des Blackberry-Balance-Systems mithilfe der Secusmart Security Card zusätzlich abgesichert. Die Karte wird in den MicroSD-Card-Slot gesteckt und sorgt über einen integrierten Krypto-Controller von NXP mit PKI-Coprozessor für die Authentifizierung. Ein zusätzlicher Highspeed-Coprozessor verschlüsselt Daten und Sprache mit 128 Bit AES.

Apropòs Sprache: Die Lösung unterstützt den digitalen Behördenfunk Tetra und SNS over IP. Dabei lassen sich aber vertrauliche Gespräche nicht nur innerhalb des jeweiligen Netzes führen, sondern auch zwischen GSM- und Tetra-Teilnehmern. Wie Secusmart-Chef Quelle im COMPUTERWOCHE-Gespräch ausführte, wird die sichere mobile Kommunikation aktuell noch in einer separaten App im Business-Modus gelöst. Secusmart und Blackberry arbeiteten aber daran, die Funktion in die normale Telefonieanzeige zu integrieren. Bei einem Anruf werde dann angezeigt, dass eine verschlüsselte Verbindung aufgebaut wurde. SNS over IP funktioniert ab Edge (GPRS hat keine Quality of Service), genutzt wird nicht das in der Smartcard generierte Zertifikat, sondern PKI (Public Key Infrastructure).