Apps und ihre Funktionen

Lösungen für verschlüsselte Mobiltelefonie

17.05.2016
Dirk Kopp leitet das Marketing bei der QGroup GmbH, einem Spezialisten im IT-Security-Umfeld. Zuvor war er als IT-Consultant für die Prozessberatung und Umsetzung von IT-Infrastrukturprojekten für Kunden wie die Deutsche Bahn, Merck und Nestlé verantwortlich.
Seit WhatsApp eine Ende-zu-Ende-Verschlüsselung anbietet, fragen sich viele Anwender: Klappt es nach dem sicheren Simsen nun auch mit dem verschlüsselten Telefonieren? Hier kommt die Antwort.

Während die Verschlüsselung von E-Mails und Dateien mittlerweile in zahlreichen Unternehmen und Privathaushalten angekommen ist, steckt die verschlüsselte mobile Telefonie von ihrer Verbreitung her noch ein wenig in den Kinderschuhen. Doch es tut sich etwas. Mit der umfassenden Einführung von Ende-zu-Ende-Verschlüsselung durch WhatsApp für Android und IOS sind die mit dem - ursprünglich als reiner Messagingdienst gestarteten - Anbieter durchgeführten Anrufe automatisch verschlüsselt - mit Einschränkungen. Grund genug, einen Blick auf die Funktionsweise und Lösungen auf dem Markt für verschlüsselte Telefonie zu werfen.

Viele iPhone-Nutzer staunten Anfang April nicht schlecht, als beim Versenden von Nachrichten über WhatsApp die Meldung auftauchte, alle Nachrichten und Anrufe seien ab sofort durch Ende-zu-Ende-Verschlüsselung geschützt. Einen Hinweis darauf, dass dies auch für Metadaten gelte suchte man jedoch vergebens. So bleibt also erkennbar, wer mit wem in Kontakt tritt. Falls jemand im Gruppenchat eine alte Version benutzt, ist es ohnehin vorbei mit der Verschlüsselung, wie Heise kürzlich in einem Test festgestellt hat. Wie aber sehen "professionelle Lösungen" aus und wann macht verschlüsselte Telefonie Sinn?

Mobile Telefonate zu verschlüsseln, erfordert eine darauf angepasste IT-Infrastruktur im Unternehmen.
Mobile Telefonate zu verschlüsseln, erfordert eine darauf angepasste IT-Infrastruktur im Unternehmen.
Foto: Stuart Miles - www.shutterstock.com

Kinderleichte Mitschnitte

Vor Einführung von Schutzmaßnahmen stellt sich natürlich zuerst die Frage: Wie groß ist die tatsächliche Gefährdungslage? Bei VoIP-Telefonaten - bis 2018 nach Telekom-Planungen der neue Standard - zeigt sich, dass selbst Laien diese Gespräche ohne großen Aufwand mitschneiden können. So genügt ein einziger Befehl - den jedermann googeln kann -, um ein Gespräch im jeweiligen Unternehmensnetzwerk aufzuzeichnen. Benötigt wird hierfür lediglich eine Netzwerk-Überwachungssoftware wie "Tcpdump" - meist auf Linuxknoten vorinstalliert - und eine Software zur Datenanalyse, beispielsweise Wireshark.

Tcpdump arbeitet im Textmodus und wird über die Kommandozeile gesteuert. Der aufgezeichnete Datenverkehr lässt sich anschließend mit Wireshark gezielt nach VoIP-Streams durchsuchen. Achim Dölker, IT-Forensiker und Pentester bei der QGroup, einem Spezialisten im IT-Security-Umfeld, zeigt bei seinen Vorträgen meist einen Live-Hack per Tcpdump und erklärt: "Standard SIP-Telefonie ist nicht verschlüsselt. Auf jedem Knoten zwischen zwei Gesprächspartnern kann ein Telefonat mit einem einfachen Befehl in Tcpdump mitgeschnitten und abgehört werden. Insbesondere Telefonate, die über WLAN-Hotspots laufen, können theoretisch von jedem im Sendebereich befindlichen Nutzer abgehört werden."

VoIP-Telefonie ist deswegen so anfällig, weil das System nicht unterscheidet, um welche Daten es sich handelt. Im Netzwerkverkehr ist der Upload eines Handbuches genauso angreifbar wie ein Telefonat zu Unternehmensstrategien, Geschäftszahlen oder Prototypen. Die genannten Beispiele zeigen auch: Entscheidend ist, worum es in den Gesprächen geht. Nicht jede Kommunikation ist verschlüsselungsbedürftig. Hier gilt es entsprechendes Augenmaß walten zu lassen, bevor ganze Abteilungen nur noch verschlüsselt telefonieren. Schließlich bedeutet Verschlüsselung immer auch erhöhtes Datenaufkommen. Bei Edge-Verbindungen kann dies durchaus zu Problemen führen.

Die technischen Hintergründe

Verschlüsselte Telefonie funktioniert ähnlich wie E-Mail-Verschlüsselung. Dabei kommen in der Regel die beiden Verschlüsselungsverfahren AES (Advanced Encryption Standard) und RSA (benannt nach den Entwicklern Rivest, Shamir und Adleman) zum Einsatz. Zudem ist grundsätzlich zu unterscheiden zwischen Ende-zu-Ende-Verschlüsselung - also der vollständig verschlüsselten Kommunikation innerhalb einer App - und der Punkt-zu-Punkt-Verschlüsselung, beispielsweise über die Server von Anbietern wie Skype. Hierbei besteht ein Problem darin, dass bei Hintereinanderschaltung von verschlüsselten Leitungen alle Zwischenstationen auf dem Weg zwischen zwei Endgeräten Zugang zur unverschlüsselten Nachricht haben.

Implementierung von verschlüsselter Telefonie

Grundsätzlich funktioniert die verschlüsselte mobile Telefonie über Apps, die jedoch in der Regel nicht in den jeweiligen Stores für Apple- oder Androidgeräte heruntergeladen werden, sondern über einen Server des Anbieters beziehungsweise über einen firmeneigenen "Appstore", der im Rahmen des Grundsetups eingerichtet wird. Hier kann sich dann jeder zukünftige Nutzer - Mitarbeiter, Kunden, Kooperationspartner etc. - die App für die Kommunikation mit entsprechendem Passwort downloaden.

Die Einrichtung ist prinzipiell bei allen Anbietern ähnlich. Im Folgenden ist die Einrichtung exemplarisch am Beispiel von "Adeya" beschrieben. Zum Betrieb des Systems werden dabei zwei Server benötigt - ein Linux-Server (CentOS), auf dem die Hauptkomponente läuft, sowie ein Windows-Server, auf dem ein Key-Management-System (KMS) zur Verwaltung der Zugänge installiert wird. Die beiden Server werden in der Regel in die Infrastruktur des jeweiligen Unternehmens integriert, können aber auch vom entsprechenden Anbieter gehostet werden. Für die wenige Stunden dauernde Installation werden Linux-Grundkenntnisse benötigt. Nach der Grundinstallation - mit Hilfe des Anbieters oder Betreibers - muss ein Administrator die Benutzer anlegen. Hierfür benötigt man deren Name, Mobilnummer und bei Android- und Blackberry-Endgeräten IMEI-Nummer sowie eventuell deren E-Mail-Adresse. Die Benutzer erhalten außerdem ein Initialpasswort für den Download der App aus einem dezidierten App-Store des Betreibers sowie für den ersten Login.

Klassisches Vorgehen: Der Anwender loggt sich über einen firmeneigenen Store die entsprechend App herunter - wie hier am Beispiel Adeya.
Klassisches Vorgehen: Der Anwender loggt sich über einen firmeneigenen Store die entsprechend App herunter - wie hier am Beispiel Adeya.
Foto: adeya.ch / qgroup.de

Nach dem Anlegen und Aktivieren von Benutzern können diese in Gruppen eingeteilt werden, wobei jeder Benutzer in mehreren Gruppen Mitglied sein kann. Diese Zuordnung bestimmt, welche Kontakte der Benutzer auf seinem Telefon - ausschließlich innerhalb der Kontakte der App - sehen kann. Nach Anlegen aller Benutzer und Gruppenzugehörigkeiten sendet der Administrator die Daten an den Server. Bei Bedarf wird dadurch automatisch der Versand einer SMS-Nachricht an jeden neuen Benutzer getriggert, der dann mit dem darin enthaltenen Link auf den speziellen App-Store zugreifen und die App auf seinem Endgerät installieren kann. Dazu muss er sich mit dem oben genannten Passwort identifizieren. Nach der Installation kann er sich mit diesem Passwort wiederum bei der App anmelden, muss es aber sofort ändern. Eine weitergehende Konfiguration seitens des Benutzers ist nicht notwendig. Neben dem Aufwand für die Installation fallen bei Adeya für kleinere Firmeninstallationen Lizenzkosten von rund 50 Euro pro Nutzermonat an, bei umfangreicheren Nutzerzahlen sinken die Preise entsprechend gestaffelt.

Lösungen im Überblick

Bei den Lösungen zum verschlüsselten mobilen Telefonieren gibt es zum einen die Lösungen von Mobilfunkprovidern, die sich hauptsächlich an Großkunden wenden und zum Teil eine neue Telefonnummer erfordern, sowie providerunabhängige Lösungen wie beispielsweise Qnective, Cellcrypt, Skype for Business und Adeya, die wir in der folgenden Bilderstrecke vorstellen:

Funktionalitäten im Vergleich

Die Tabelle zeigt noch einmal übersichtlich, welche Funktionen und Features welche der vorgestellen Apps mitbringt und welche nicht - auch im Vergleich zum weit verbreiteten WhatsApp:

Skype, WhatsApp, Cellcrypt, Adey, Qtalk: Funktionalitäten im Vergleich
Skype, WhatsApp, Cellcrypt, Adey, Qtalk: Funktionalitäten im Vergleich
Foto: Achim Dölker, QGroup GmbH

Fazit

Es führt kein Weg daran vorbei: Wer verschlüsselt telefonieren möchte, muss sicherstellen, dass beide Gesprächspartner die selbe App nutzen. Bei einem großen Anbieter wie Skype ist das kein Problem, doch hier stellt sich die Frage nach etwaigen Hintertüren und gesetzlich vorgeschriebenen Sicherheitslücken wie beispielsweise bei Skype for Business. Ohnehin kann verschlüsselte Telefonie nur ein Baustein in der Sicherheitskette sein. Nach wie vor ist der Benutzer selbst die erste Verteidigungslinie, gefolgt von entsprechenden technischen Lösungen. Zu letzteren gehören etwa sichere Betriebssysteme, die Trennung von Daten auf Netz- und Betriebssystemen, um zu verhindern, dass Eindringlinge sofort universelle Rechte erhalten sowie der Schutz von Daten durch Verschlüsselung. (sh)