Das Security-Smartphone namens "SiMKo 3" ("sichere mobile Kommunikation") der Deutschen Telekom hat die Prüfung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgreich abgeschlossen. Das vermeldet die Deutsche Telekom. Damit erhält die neue Generation der auch "Merkelphone" genannten Hochsicherheitshandys offiziell die Zulassung für die Geheimhaltungsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch).
Mitgliedern der Bundesregierung sowie Mitarbeitern von Ministerien und Bundesbehörden steht für besonders vertrauliche Nachrichten damit künftig ein Mobilgerät zur Verfügung, das den neu entwickelten L4-Hochsicherheits-Mikrokern als Betriebssystem in sich trägt, so die Deutsche Telekom.
Wettbewerber Secusmart setzt auf BlackBerry Z10
Das Düsseldorfer Secusmart wird ebenfalls bald eine Hochsicherheits-Lösung vorstellen. Es basiert auf Secusuite und dem neuen BlackBerry Z10. Das Konsortium Secusmart, BlackBerry, Secunet und Sirrix, hatte das Los 2 gewonnen. Assoziierter Partner ist unter anderem Vodafone.
Secusmart-Chef Hans-Christoph Quelle sagte auf der CeBIT 2013: "Den geschäftlichen Bereich machen wir dabei so sicher, dass das Gerät für die deutschen Bundesbehörden zugelassen werden kann." Dokumente der Geheimhaltungsstufe VS-NfD können darüber ebenfalls gesendet und empfangen werden.
Auch die Deutsche Telekom hat das Betriebssystem völlig entkernt und neu geschrieben. "Der Kern hat nur wenige 10.000 Zeilen Programmcode, handelsübliche Smartphones haben dagegen Millionen Zeilen", sagt Stephan Maihoff, der bei der Telekom für SiMKo verantwortlich ist.
Der Grund: "So große Betriebssysteme, die sich auch noch sehr schnell weiterentwickeln, sind praktisch nicht prüfbar. Hintertüren lassen sich da nicht ausschließen. Gegen das Hacker-Risiko setzen wir einen transparenten Kern, der kein Versteck für Überraschungen und Sicherheit von innen bietet."
Man kann offenbar nicht vorsichtig genug sein: Bei Kern und Sicherheitstechnik des SiMKo 3 setzte die Telekom durchgängig auf Unternehmen aus Deutschland. So kommt die Kryptokarte vom Unternehmen Certgate, für verschlüsselte Verbindungen sorgt NCP – beides Unternehmen aus Nürnberg. Das L4-Mikrokern-System haben die TU Dresden, das Dresdener Startup Kernkonzept, die Telekom Innovation Laboratories sowie das Berliner Startup Trust2Core entwickelt.
Möglich wurde die Implementierung des Kerns, so die Deutsche Telekom weiter, nur durch eine besonders enge Zusammenarbeit mit Samsung. "Durch die tiefgreifende Kooperation des SiMKo 3- Projektteams und unserer Entwicklungsabteilung haben wir es gemeinsam geschafft, ein Hochsicherheits-Smartphone auf Basis des Galaxy S III auf den Markt zu bringen", sagte Dongmin Kim, Präsident Samsung Electronics Germany.
L4-Kern ermöglicht zwei Geräte in einem Gehäuse – strikt voneinander getrennt
Die Sicherheitstechnik des neuen SiMKo arbeitet bereits beim Einschalten und Hochfahren des Smartphones. Der L4-Kern übernimmt sofort die völlige Kontrolle über das Gerät und erlaubt nur noch, was sicher ist. Ein weiteres Novum der neuen SiMKos: Sie vereinigen ein sicheres und ein offenes Gerät in einem Gehäuse. Mit einem Wischen über den Bildschirm wechselt der Nutzer zwischen den Betriebsarten ‚secure’ und ‚open’ – etwa, um von einer vertraulichen Nachricht zu einer Zug- oder Fluginformation zu wechseln.
Dabei sorgt der L4-Kern dafür, dass der offene Smartphone-Teil nicht zum Sicherheitsrisiko wird. Er ermöglicht es, auf dem SiMKo 3 zwei separate Betriebssysteme laufen zu lassen, die sich wie zwei völlig autarke Geräte verhalten. Die Daten der offenen und der sicheren Seite sind aufgrund der hohen Isolationswirkung des Mikrokerns strikt getrennt. Anwendungen kann der Nutzer sowohl für den offenen als auch den sicheren Bereich installieren. Dabei können die Programme entweder aus einem besonders geschützten App-Store der Telekom oder von kundeneigenen Servern heruntergeladen werden.
SiMKo 3 kann dabei nicht nur für Datenanwendungen wie Mail, Kalender, Kontakte und Aufgaben genutzt werden. Schon heute lässt es sich, so die Telekom, ebenfalls als abhörsicheres Krypto-Telefon verwenden, das künftig verschlüsselte Telefonate auf Basis von Voice over IP mit hochsicheren Verschlüsselungsverfahren bieten soll. In den nächsten Monaten werde zusätzlich der Behörden-Standard SNS (Sichere Netzübergreifende Sprachverschlüsselung) entwickelt.
Nicht billig: Ein Gerät kostet mit Vertrag ab 1.700 Euro
Geht ein Gerät verloren, kann keiner erkennen, was darauf gespeichert ist. Die Certgate-Kryptokarte sorgt für die Benutzer-Authentisierung und verschlüsselt alle Daten auf dem Gerät. Zudem lässt sich der Inhalt des Geräts aus der Ferne löschen.
Die neuen SiMKos sind ab sofort verfügbar, sie sind allerdings nicht ganz billig. Bei einer Vertragszeit von zwei Jahren kostet ein Gerät ab 1.700 Euro. Mit den SiMKo-Geräten will die Telekom neben der öffentlichen Hand auch die Wirtschaft ausstatten.
Die Telekom arbeitet auch gerade an einer ganzen SiMKo-Produktfamilie mit Tablets oder Notebooks. Die Telekom will ebenfalls eine SiMKo 3-Version auf den Markt bringen, die den schnellen LTE-Funkstandard unterstützt.
Vier Geheimhaltungsstufen
Für Dokumente sind folgende Geheimhaltungsstufen definiert: streng geheim, geheim, Verschlusssache – Vertraulich (VS-Vertraulich, VS-Vertr.), Verschlusssache – nur für den Dienstgebrauch (VS-nur für den Dienstgebrauch, VS-NfD). (tö)
Autor: Johannes Klostermeier
- Die eingebaute Sicherheit
Seit Windows 200 ist es auf einem NTFS-Dateisystem möglich, mittels EFS (Encrypted File System) Dateien zu verschlüsseln, so dass ein anderer Anwender nicht mehr auf sie zugreifen kann. - Windows warnt den Anwender
Will er nur eine einzelne Datei mittels EFS absichern, so rät das Betriebssystem dazu, auch die darüber liegenden Ordner mit zu verschlüsseln. - Nur so ist die Wiederherstellung wieder möglich
Das Windows-System bietet bei der Verschlüsselung einer Datei mittels EFS an, Zertifikat und Schlüssel auf einem externen Speichermedium zu sichern. - Der Standard bei EFS
Eine Datei mit der Endung *.PFX dient dem sogenannten "privaten Informationsaustausch", ohne dass dabei eine Zertifizierungsstelle zum Einsatz kommen muss. - Das Zertifikat wurde erfolgreich erstellt
Mit seiner Hilfe kann dann eine verschlüsselte Datei auch ohne das Passwort wiederhergestellt werden. - Eigenschaften der Datei bringen es an den Tag
Diese Datei wurde mit dem verschlüsselten Dateisystem EFS gesichert. - Beim Dateizugriff bemerkt ein Anwender nicht, dass er auf eine verschlüsselte Datei zugreift
Hat er bei den Ordneroptionen die entsprechende Einstellung gewählt, so werden ihm diese Dateien aber in einer anderen Farbe angezeigt. - Vielfältige Möglichkeiten, aber nur bei bestimmten Windows-Versionen vorhanden
Die Verschlüsselungstechnik Bitlocker erlaubt es, ganze Partitionen mitsamt dem Betriebssystem zu verschlüsseln. - Der "Bitlocker To-Go"
Diese unter Windows 7 und Windows 8/8.1 zur Verfügung stehende Technik ermöglicht die Verschlüsselung von mobilen Laufwerken. Für den lesenden Zugriff auf diese Geräte kann eine entsprechende Software auch unter Windows XP zum Einsatz kommen. - Auch beim Bitlocker-Einsatz unbedingt wichtig
Der Wiederherstellungsschlüssel kann ausgedruckt oder auf einem externen Laufwerk gespeichert werden, so dass die Daten auch nach dem Verlust des Passwortes noch im Zugriff bleiben. - Mächtige freie Lösung
Eine Open-Source-Lösung, die ganze Partitionen und auch den Bereich des Betriebssystems komplett verschlüsseln kann: DiskCryptor. - VeraCrypt soll die Nachfolge von TrueCrypt antreten
Die Entwickler haben Teile des Source Codes von TrueCrypt übernommen, aber die Sicherheitslücken beseitigt. TrueCrypt-Container lassen sich auch mit diesem Programm öffnen. - Die Freeware Cryptainer LE
Sie ermöglicht es, Dateien, Verzeichnisse und E-Mail-Nachrichten einfach in Datei-Containern bis zu einer Größe von 100 MB abzulegen. - Die Protectorion Encryption Suite
Eine freie Lösung, die viele Funktionen in sich vereint, die Nutzer bereits von TrueCrypt her kennen. Sie steht auch in einer portablen Version bereit. - DirectAccess von Microsoft
Mit diesem Feature hat der Hersteller eine Zugriffstechnologie in das Betriebssystem integriert, die einen sicheren und verschlüsselten Zugriff auf das Unternehmensnetzwerk ohne zusätzliche Hardware und VPN-Software ermöglicht. - Scribbos von Stonebranch
Die Lösung erlaubt die verschlüsselte Kommunikation über das Internet in einer E-Mail-ähnlichen Form. Sie kann aber auch in Outlook integriert werden und bietet dem Anwender dort auch die entsprechende Verschlüsselung an (Quelle: Stonebranch).