Verschlüsselung
Kein Angriff unter dieser Nummer
Fortsetzung des Artikels von Teil 1
Knackpunkt Hardware
Kryptohandys sind speziell auf abhörsicheres Telefonieren hin entwickelt. Dazu härten Anbieter das Mobiltelefon durch das funktionale „Abspecken“ oder das Einspielen eines von Grund auf neu entwickelten Handy-Betriebssystems. Diese Variante bietet ein sehr hohes Maß an Sicherheit, erfordert aber Abstriche beim Funktionsumfang: meist können nur noch explizit freigegebene Apps damit genutzt werden. Sie erfordert auch enormen Entwicklungsaufwand und kann somit nicht für beliebige Handy-Modelle angeboten werden. Mit dieser Lösung werden Gespräche, Emails und Messages vor Viren, Trojanern und anderer Spyware geschützt. Zur weiteren Erhöhung der Sicherheit erfolgen die Schlüsselerzeugung, Speicherung und Sprachverschlüsselung oft über eine anspruchsvollere Variante der durch Kreditkarten bekannten Smartcard, die in den Flash-Kartenschlitz des Telefons eingesteckt wird. Damit stellt ein abhanden gekommenes Gerät keine Gefahr mehr da. Für Anhänger des beliebten „iPhones“ kommt diese Sicherungsvariante jedoch nicht in Frage – es verfügt über keinen eingebauten Smartcard-Steckplatz im Micro-SD-Format.
Letztlich folgen hardware-basierte Lösungen dem Prinzip, die Verschlüsselung in einer kontrollierten Umgebung durchzuführen. Die für jedes Gespräch erzeugten Einmal-Schlüssel werden auf einer vom Standard-Betriebssystem unabhängigen Hardware generiert. Dadurch sind sie absolut zufällig und bei geeigneter Schlüssellänge (beispielweise 256 bit) für Angreifer auf absehbare Zeit nicht durch Durchprobieren („brute-force“) zu ermitteln.
„APPsolute“ Sicherheit?
Eine beliebte, weil buchstäblich im Handumdrehen umsetzbare Verschlüsselungsmöglichkeit sind Verschlüsselungs-Apps, etwa VoIP-Clients mit integriertem AES- oder Twofish-Algorithmus. Diese werden auf dem eigenen Smartphone mit handelsüblichem Betriebssystem installiert. Die Kosten dafür können deutlich geringer sein – die Bandbreite reicht jedoch von kostenlosen Apps bis hin zu deutlich über 1000 Euro pro Lizenz. Es besteht jedoch die Gefahr, dass auf dem gleichen Smartphone installierte, bösartige Apps diese Verschlüsselung unterlaufen, da sich beide die gleichen Prozessoren, Arbeitsspeicher, Tastatur und Mikrofon teilen. Die wenigsten offiziellen Betriebssysteme garantieren heutzutage absolute Exklusivität dieser Komponenten. Auch kann ein Handy, das sich nur für wenige Minuten in der Hand eines professionellen Angreifers befand, durch „rooten“ oder „jailbreaken“ derart manipuliert werden, dass die Gespräche noch vor der Verschlüsselung direkt am Mikrofon oder Lautsprecher im Klartext abgegriffen und per Datenverbindung an den weit entfernten Angreifer weitergeleitet werden können. Das Handy am Ohr wird damit zur ferngesteuerten Wanze.
Gleiches gilt für eingetippte oder am Bildschirm abgelesene „sichere“ Daten. Ein eigentlich sicherer VPN-Client schützt nur dann wirksam vor Data-Leakage, wenn es gleichzeitig keinen weiteren Datenkanal ins Internet im Handy gibt. Selbst für IT-Spezialisten ist dies fast unmöglich zu beurteilen. Fazit: Software-Lösungen sind zwar bequem, schützen aber nur vor ungezielten, breit gestreuten Massenangriffen. Ein Sicherheitsniveau, das auch gegen professionelle Angreifer wie etwa Industriespione schützt, wird damit nicht erreicht.
- Kein Angriff unter dieser Nummer
- Knackpunkt Hardware
- Keine Kompromisse: der Kryptohörer
- Expertenkommentar: Blackberry
- Expertenkommentar: Check Point Software Technologies
- Expertenkommentar: Cisco
- Expertenkommentar: Norman
Lesen Sie mehr zum Thema
