SiMKo 3 setzt auf eigenen Mikrokernel

Ein etwas anderes Sicherheitskonstrukt nutzt T-Systems bei SiMKo 3. Als Basis setzt die Telekom-Tochter auf handelsübliche Android-Smartphones von Samsung, deren Software jedoch komplett entfernt wird. Stattdessen wird ein von Trust2Core (ehemals T-Labs) entwickelter Mikrokernel als Virtualisierungsschicht eingesetzt. Diese erlaubt es, gleich mehrere Betriebssysteme in den sogenannten Compartments parallel und unter Echtzeitbedingungen auf dem Smartphone laufen zu lassen: Zum Einsatz kommen jeweils eine offene und eine gesicherte Android-Umgebung sowie ein Mini-BSD und einen Linux-Kern für Verschlüsselungsaufgaben. Auf diese Weise werden auf dem Gerät eine private und eine sichere geschäftliche Welt abgebildet. Der Mikrokernel fungiert dabei als Wächtersoftware, die den Datenaustausch und den Zugriff auf Hardware und Speicher einer strengen Kontrolle unterwirft.

Als wichtigen Nebeneffekt soll der Mikrokernel außerdem den Entwicklungs- und Freigabeprozess erleichtern und beschleunigen. Mit 50.000 Zeilen Quellcode sei er so zusammengeschrumpft worden, dass er anders als handelsübliche Software überhaupt noch evaluierbar sei, erklärte Stephan Maihoff, Leiter Sichere Mobile Kommunikation bei T-Systems, gegenüber der COMPUTERWOCHE.

Dennoch hat T-Systems auch bei SiMKo 3 noch mit langen Entwickungs- und Freigabeprozeduren sowie dem schnellen Innovationszyklus in der Mobile-Industrie zu kämpfen – zumindest anfänglich. So erhielt die Telekom-Tochter nun erst die Einsatzempfehlung für das Samsung Galaxy S2, das vor über zwei Jahren - Mitte Februar 2011 – auf dem Mobile World Congress vorgestellt wurde. Parallel arbeitet T-Systems jetzt aber immerhin schon an der Freigabe für das Galaxy S3, was dann aber einfacher sein soll, da hier nur das Delta überprüft werden müsste.

Mit dem Generationswechsel soll sich dann auch die Performance verbessern. So kommt ein mit SiMKo3 ausgestattetes Galaxy S2 mit dem kleinen Original-Akku laut T-Systems auf lediglich sieben Stunden Laufzeit. Auch die Reaktionszeit des Geräts bei Eingaben lässt etwas zu wünschen übrig – wenig überraschend, wenn man sich bewusst macht, dass unter der Haube vier Betriebssysteme am Werk sind. Die auf dem Galaxy S3 basierende Folgeversion verfügt nicht nur über einen stärkeren Quad-Core-Prozessor, außerdem werden laut T-Systems die im Krypto-Kompartment abgelegten Treiber für Modem oder Audio nicht mehr virtualisiert, sondern es kommen Original-Treiber von Samsung zum Einsatz, was Vorteile beim Power-Management bringen soll.

Bei der Sprachverschlüsselung peilt T-Systems eine Neuentwicklung an. Maihoff wies in diesem Zusammenhang aber darauf hin, dass sichere Telefonie bei dem zugeteilten Los nicht erste Priorität habe. Mit Blick auf die Wirtschaft sei es der Telekom-Tochter ganz genehm, wenn Kunden alternativ zu dem vom BSI geforderten SNS over IP noch verschiedene andere Systeme oder Sicherheitsebenen nutzen könnten, etwa über den CSD-Kanal (Circuit Switched Data), einfaches VoIP, SRTP oder ZRTP. Die Verbindung wäre dabei umschaltbar und ließe sich in den Kontakten steuern.

Zum Thema Management: Policies und Updates werden per OTA (Over The Air) auf die SiMKo-3-Geräte aufgespielt, zusätzlich gibt es noch einen sicheren AppStore für optionale Business-Anwendungen. Die normale Verwaltung, etwa Inventarisierung über IMEI und IMSI, kann laut T-Systems über herkömmliche MDM-Systeme erfolgen.

Auch SiMKo-Tablets und -Notebooks in Arbeit

Ebenfalls mit Blick auf mögliche Aufträge aus der Industrie hat T-Systems in Anlehnung an ihre hochsicheren Smartphones auch ein SiMKo3-Tablet entwickelt. Basis ist ein Samsung Galaxy Tab 10.1, bei dem weitgehend die gleichen Komponenten wie beim Galaxy S3 verbaut sind. Dies ermögliche eine sehr schnelle Portierung, erklärte Maihoff.

Ganz andere Technik kommt bei einem ebenfalls ausgestellten Notebook zum Einsatz: Der Rechner läuft mit normalem Windows XP (Stichwort: Evaluierungsprozess), während die angeschlossene Genucard eine sichere Kommunikation gewährleisten soll. Dabei handelt es sich um eine kleine Appliance, die das BSI für VS-NfD, Nato Restricted und Restreint UE zugelassen hat und unter anderem eine integrierte Firewall beherbergt. Die kleine Box wird via USB an den Rechner angeschlossen und ermöglicht sicheres VPN, Authentisierung und Key Handling übernimmt dabei eine Smartcard.