Nach anfänglicher Unsicherheit hat es doch noch während der CeBIT 2009 geklappt: Wie T-Systems am Donnerstag bekannt gab, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) SiMKo geprüft und empfiehlt die Komplettlösung für den Einsatz für Geheimhaltungsstufe VS/NfD (Verschlusssache nur für den Dienstgebrauch). Dies entspricht den besonderen Anforderungen bestimmter Dienststellen der Bundesregierung - aber auch Industrieunternehmen, wie T-Systems betont. So wurde als erster Kunde ein "Hochtechnologieunternehmen aus dem Sicherheitsbereich" gewonnen.
Damit nimmt das bereits 2005 begonnene Projekt, eine Blackberry-Alternative für die sichere mobile Kommunikation zu entwickeln, nach erheblichen Anfangsschwierigkeiten doch noch einen guten Abschluss. So sei SiMKo nach intensiver Evaluierung und schließlich der BSI-Einsatzempfehlung einsatzfähig, erklärt der Projektverantwortliche bei T-Systems, Stephan Maihoff. Allerdings muss die Kunden-Infrastruktur den Anforderungen von SiMKo entsprechen. Als Beispiele nannte er das Upgraden der Exchange Server, um das Verfahren ActiveSync Direct Push zu unterstützen. Auch das Sicherheitskonzept müsse häufig serverseitig nachgerüstet werden. Ein genaues Datum für den Rollout im Behördenumfeld wollte Maihoff nicht nennen.
Spezialbehandlung für HTC-Geräte
Foto: HTC
SiMKo bietet Sicherheitsmaßnahmen, die sowohl Hardware, Software als auch den Betrieb der Smartphones umfassen. Bei Letzteren handelt es sich um Geräte, die einer speziellen Behandlung unterzogen wurden. So ermöglicht eine enge Kooperation mit dem Windows-Mobile-Spezialisten HTC, eventuelle, für System-Updates offen gelassene Backdoors zu schließen und das Extended-ROM zurückzubauen. Aktuell werden nur das "Touch HD" und "Touch Pro" von HTC unterstützt. Um mit den Entwicklungszyklen der Hersteller mithalten zu können, will T-Systems jedoch pro Jahr zwei neue Geräte zertifizieren lassen.
Während die Geschäftskundensparte der Telekom bei den aktuellen Smartphones zahlreiche unnötige Features entfernte, wurde die von HTC entwickelte 3D-Oberfläche Touchflo beibehalten. Sie enthält allerdings nur PIM-Anwendungen und den Zugang zum Web. Dieser erfolgt übrigens - wie bei sämtlichen Verbindungen - über einen VPN-Tunnel zur Infrastruktur des Unternehmens, beziehungsweise der Behörde. Auf diese Weise erspare man sich das Problem eines Virenscanner auf dem Gerät, erklärt T-Systems-Manager Maihoff: Da das Sicherheitssystem von SiMKo darauf basiere, den Auslieferungszustand des Geräts zu erhalten, könne man ohnehin keine neue Applikationen einspielen.
Schutzmantel um den Windows-CE-Kernel
Um das Smartphone vor allen möglichen Angriffen abzusichern, sind nicht nur die über die Verbindung transportierten Daten, sondern auch die Gerätesoftware selbst zusätzlich verschlüsselt - mit der vom BSI geforderten Schlüssellänge. Erzeugt wird dieser über einen in einer MicroSD-Card eingebauten Kryptoprozessor (mit EAL-5+Zertifizierung - Evaluation Assurance Level). Wird die von der Nürnberger Firma Certgate entwickelte Karte mit einem Zertifikat ausgestattet, in das Gerät gesteckt und vom Nutzer erstmalig aktiviert, startet außerdem der Kernel Protector. Dieser legt sich wie ein Schutzmantel um den Windows-CE-Kernel und verhindert Manipulationen.
Neben dem Web-Zugang und der - entgegen einiger Berichte nicht verschlüsselten - Telefonie unterstützt das Gerät die Synchronisation von E-Mails, Kalender und Kontakten. Auch der Versand und Empfang von Kurzmitteilungen ist gestattet, jedoch keine MMS. Um die Integrität der Daten zu sichern, können lediglich Web-Applikationen verwendet werden. Multimedia-Funktionen wie Kamera oder Audio-Player sind nicht installiert, potenziell gefährliche Schnittstellen wie Bluetooth, GPS oder WLAN deaktiviert.
Anders als bei der von Certgate in Eigenregie angebotenen Krypto-Lösung sind bei SiMKo die einzelnen Sicherheitsfunktionen nicht separat an- beziehungsweise abschaltbar. "Wer seinen Sicherheitsbedarf nicht ganz so hoch einschätzt, aber immer noch viel Sicherheit will, findet in unserer Produktpalette an anderer Stelle eine geeignete Lösung", erklärt Maihoff mit Verweis auf das modulare System Managed Mobility Services (MobiS). Die Bezeichnung Merkel-Phone im Zusammenhang mit SiMKo kommentiert Maihoff schmunzelnd: "T-Systems hat Interesse, mehr als nur ein Gerät zu verkaufen."