Sicheres Telefonieren: Bahn frei für das Merkel-iPhone

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gehört nicht zu den Bundesbehörden, die den Webriesen aus dem kalifornischen Silicon Valley den roten Teppich ausrollen. Mancher Beamte hat eine fast schon notorische Aversion gegen die Mobilfunkinnovationen von der US-Westküste.

Egal, welches Betriebssystem ein Smartphone steuert, das BSI stuft sie alle als Sicherheitsrisiko für die Regierungsnetze ein: Google, Apple und Microsoft, so die verbreitete Meinung im BSI, tragen ihren Teil dazu bei, dass Angreifer so viele Einfallstore und Hintertüren auf Mobilgeräten finden – und dazu, dass selbst vorsichtige Nutzer jederzeit abgehört und ausspioniert werden können.

Noch vor wenigen Monaten galt diese Doktrin für alle Hersteller. Doch inzwischen bewegt sich ein Webriese erkennbar auf das BSI zu: Apple. Das ist vor allem Verdienst von Raoul-Thomas Herborg. Der Vorstandsvorsitzende und Gründer der Münchner Sicherheitsfirma Virtual Solution AG hat es geschafft, die höchst restriktiven Apple-Manager in Cupertino für ein neu entwickeltes Verschlüsselungsverfahren zu begeistern. iPhone-Nutzer können es seit dem vergangenen Jahr aus Apples App-Store herunterladen.

Sicherheitslösungen für Smartphone und Co.

1 / 4

SecurePIM
Anbieter: Virtual Solution
Leistung: Verschlüsselt mithilfe von App und Smartcard den Datenverkehr, E-Mails und Dokumente landen im Datentresor
Sicherheitsniveau: Zulassung bis zur Geheimhaltungsstufe „Verschlusssache – nur für den Dienstgebrauch“ (VS-NfD)
Preis: noch offen

Bild: PR

2 / 4

TopSec Mobile
Anbieter: Rhode & Schwarz
Leistung: Koppelt sich wie eine Bluetooth-Freisprecheinrichtung an gängige Smartphones und verschlüsselt Telefonate
Sicherheit: Zulassung für „Verschlusssache – vertraulich“ (VS-V) und die eine Stufe niedrigere VS-NfD
Preis: ab 2300 Euro

Bild: PR

3 / 4

Sina Tablet Lenovo Helix
Anbieter: Secunet Security Networks
Leistung: Verschlüsselt einen vollwertigen mobilen PC-Arbeitsplatz, geeignet bis zum Microsoft-Betriebssystem Windows 10
Sicherheit: Zulassung bis zur Geheimhaltungsstufe „Verschlusssache – nur für den Dienstgebrauch“ (VS-NfD)
Preis: rund 2400 Euro

Bild: PR

BlackBerry Classic mit SecuSuite Quelle: PR

4 / 4

Blackberry SecuSuite
Anbieter: Secusmart
Leistung: Verschlüsselt Sprache und Daten auf mehreren Smartphone-Typen des kanadischen Herstellers Blackberry

Sicherheit: Zulassung bis zur Geheimhaltungsstufe „Verschlusssache – nur für den Dienstgebrauch“ (VS-NfD)
Preis: rund 2500 Euro

Bild: PR

Gemeinsam überzeugten Manager von Apple und Virtual Solution kurz darauf die Bonner BSI-Beamten von den Vorzügen einer leicht zu bedienenden mobilen Sicherheitstechnik, die es so bisher nicht auf dem deutschen Markt gab: „Wir sichern die iPhones, indem wir sicherheitsrelevante Operationen vom amerikanischen iOS-Betriebssystem in die kontrollierte Umgebung einer deutscher Smartcard verlagern“, erklärt Herborg.

Smartcard funktioniert wie ein Tresor

Die sensibelsten Funktionen des Gerätes, die Authentifizierung des Nutzers und die Verschlüsselung des Datenverkehrs laufen über diese Smartcard, die wie ein Tresor funktioniert. Wertvolle Daten werden dort so eingeschlossen, dass nur der Besitzer sie herausholen kann.

Fünf Tipps, wie Sie Ihr Smartphone vor Schadsoftware schützen

1. Anti-Viren-Programme

Installieren Sie eine Anti-Viren-App für Ihr Smartphone – vor allem, wenn es ein Android-Handy ist.

2. Keine inoffiziellen Stores

Laden Sie Apps nur aus den App-Stores der Anbieter, auf vielen inoffiziellen Plattformen kursieren Programme, die Schadsoftware enthalten.

3. Apps checken

Egal woher die Apps stammen, checken sie neue Apps während oder spätestens nach der Installation mit der Schutzsoftware.

4. WLAN abschalten

Schalten Sie WLAN und Bluetooth ab, wann Sie immer die nicht benötigen. Das spart nicht nur Strom, sondern verhindert, dass Fremde über Funk aufs Handy zugreifen oder Ihnen Schadprogramme schicken.

5. Konto im Blick

Bleiben Sie aufmerksam. Schutzsoftware erschwert Angriffe, kann aber nicht alle verhindern. Halten Sie daher Konto- und Kreditkarten-Auszüge im Blick und widersprechen Sie zweifelhaften Abbuchungen.

In den vergangenen Wochen hat Herborg alle Hürden genommen, um mit der Bundesregierung und weiteren Bundesbehörden ins Geschäft zu kommen. Das BSI erteilte die vorläufige Zulassung für den Einsatz der Technik im besonders abgesicherten Regierungsnetz – dem Informationsverbund Berlin-Bonn (IVBB). Im „Kaufhaus des Bundes“ steht die „SecurePIM“, wie das Produkt offiziell heißt, nun im Regal. „Für uns ist das der erhoffte Ritterschlag“, sagt Herborg.

Ursprünglich hatte ihm der Siemens-Vorstand den Auftrag erteilt, iPhones und iPads der Siemens-Topmanager abzusichern. Jetzt hofft der Münchner Sicherheitsexperte, dass weitere Unternehmen die Apple-Geräte ihrer Manager nachrüsten. Einen Auftrag konnte Herborg schon gewinnen. Das ZDF setzt künftig von ihm abgesicherte iPhones in einigen Abteilungen ein.

Bundesregierung hat Hochsicherheits-iPhones bestellt

Und auch die Bundesregierung hat bereits 50 Hochsicherheits-iPhones geordert. Drei Bundesministerien – die Minister für Verkehr und Infrastruktur, für Arbeit und Soziales sowie für Bildung und Forschung – sollen in einem Pilotprojekt in den nächsten Wochen testen, ob das Gerät wirklich für den E-Mail-Versand geheimer Verschlusssachen in der Kategorie NfD (Nur für den Dienstgebrauch) geeignet ist.

Bestehen die von Virtual Solution mit zusätzlichen Sicherheitsfunktionen hochgerüsteten iPhones und iPads diesen letzten Test, könnte auch Bundeskanzlerin Angela Merkel ihr altes „Merkel-Handy“ gegen ein neues „Merkel-iPhone“ eintauschen.

Virtual Solution drängt in einen Markt, den bisher schon vier als besonders „vertrauenswürdig“ eingestufte deutsche Unternehmen mit teuren Speziallösungen quasi als Hoflieferanten besetzt halten.

Secusmart, eine in Düsseldorf ansässige Tochter des kanadischen Smartphone-Herstellers Blackberry, liefert abhörgeschützte Blackberrys, unter anderem das aktuelle Merkel-Telefon. Die Secunet Security Networks AG in Essen, ein Tochterunternehmen des Banknotendruckers Giesecke & Devrient, verkauft ihre für stationäre Computer entwickelte Verschlüsselungstechnik Sina inzwischen auch in Kombination mit zwei Laptops von Microsoft und Lenovo.

Die dümmsten Passwörter der Welt

1 / 19

"Dadada"

Nein, die Rede ist hier nicht von dem Neue-Deutsche-Welle-Song von Trio, sondern dem Passwort des Facebook-Gründers Mark Zuckerberg in Netzwerken wie Twitter, LinkedIn und Pinterest - zumindest wenn man den Hackern Glauben schenkt, die im Anfang Juni 2016 mehrere seiner Profile gehackt haben.

Beim Foto-Dienst Pinterest gelang es den Hackern mithilfe des Passworts, das sie nach eigener Auskunft in den gestohlenen des Karriere-Netzwerks LinkedIn gefunden haben, den Profiltext für kurze Zeit durch den Text „gehackt vom OurMine Team“ zu ersetzen. Bei Twitter gab es eine verdächtige Aktivität auf Zuckerbergs Account mit dem Namen „@finkd“, in dem er seit Januar 2012 nichts mehr veröffentlicht hatte. Und bei Pinterest wurde das angebliche Passwort sogar öffentlich gemacht: "dadada".

Damit wählte der Facebook-Entwickler scheinbar nicht nur ein ziemlich simples Passwort (übrigens nicht besser als "12345" oder "password"), sondern benutzte das Passwort gleich für mehrere Profile - ebenfalls absolute No-Gos, die aber immer wieder vorkommen, wie die folgenden Beispiele zeigen.

Bild: Screenshot

2 / 19

Simple Zahlen- oder Buchstabenfolgen

Sicherheitsforscher des Hasso-Plattner-Instituts (HPI) haben 2015 fast 35 Millionen geraubte Identitätsdaten aufgespürt. Wie die Potsdamer Sicherheitsforscher anhand der gesammelten Daten analysierten, stehen bei den Internetnutzern in aller Welt immer noch Zahlenreihen oder Zeichenfolgen auf der Tastatur (z.B. qwerty auf der amerikanischen Tastatur) an der Spitze der Beliebtheitsskala bei Passwörtern. Gern werden auch Vornamen oder andere simple Begriffe verwendet, etwa das Wort "password". "Unangefochten weltweit auf Platz 1 liegt leider nach wie vor die Zahlenreihe 123456, obwohl automatische Cracker solche simplen Passwörter als erstes und blitzschnell ermitteln", sagte HPI-Direktor Christoph Meinel.

Dass Passwörter dieser Art überhaupt nicht sicher sind, ändert nichts an ihrer Beliebtheit: Schon 2014 wurden mehr als 3,3 Millionen Passwörter geknackt, auf dem ersten Platz landet auch da schon "123456". Auch wenn die Länge variiert wird, hilft das nicht: Auf dem dritten und vierten Platz finden sich "12345" und "12345678". "123456789" landet auf Rang sechs, gefolgt von "1234" auf Platz sieben. Auf Rang elf liegt "1234567". Nachfolgend ein Überblick der meistgeknackten Passwörter 2014:

Bild: dpa

3 / 19

Passwort: "Password"

Wer sich für ganz schlau hält und einfach "password" als Zugangscode verwendet sei hiermit gewarnt: Die vermeintlich simple und sichere Lösung liegt auf Rang zwei der meistgeknackten Passwörter.

Bild: dpa

4 / 19

Fantasiewörter

Sie denken sich, kein Mensch weiß was "qwerty" ist? Falsch gedacht. Die Buchstabenfolge, die auf einer amerikanischen Tastatur nebeneinander liegt, landet auf Platz fünf. Auf deutschen Tastaturen wäre es übrigens "qwertz".

Bild: REUTERS

5 / 19

Das sportliche Passwort

Sport-Fans müssen sich etwas besseres einfallen lassen, als nur den Namen ihrer Lieblingssportart: Auf Platz acht der meistgeknackten Passwörter landet "baseball".

Bild: AP

6 / 19

Mystische Gestalten

Auch Drachen-Fans gibt es einfach zu viele. Das Passwort "dragon" ist jedenfalls alles andere als originell. Es findet sich auf Rang neun.

Bild: REUTERS

7 / 19

Sport, die zweite

Anhänger des Football sind auch nicht besser dran als Baseball-Freunde: Das Passwort "football" findet sich auf Rang zehn der gehackten Zugangsdaten.

Bild: AP

Und Rohde & Schwarz, ein in München ansässiger Spezialist für Mess- und Funktechnik, entwickelte mit dem Verschlüsselungsstick TopSec Mobile eine zusätzliche, externe Verschlüsselungshardware, die – über Bluetooth-Funk mit dem Handy gekoppelt – alle ein- und ausgehenden Telefonate chiffriert. Auch die Führungsriege der Deutschen Bundesbank in Frankfurt setzt 30 TopSec-Mobile-Sticks bei besonders vertraulichen Handytelefonaten ein.

Sicherheitssysteme sind teuer

Jedes dieser drei Sicherheitssysteme kostet 2300 bis 2500 Euro pro Gerät – und ist damit so teuer, dass die Budgets von Ministerien und Bundesbehörden nur für Technik für einen kleinen Kreis besonders gefährdeter Regierungsmitglieder und Spitzenbeamter reichen. Etwas mehr als 6000 Behördencomputer hat etwa Secunet bis heute mit ihrer Sina-Verschlüsselung ausgerüstet. 4600 Blackberrys konnte Secusmart inzwischen an Bundesbehörden verkaufen.

Wie mühsam dieses Geschäft ist, zeigt sich am Zickzackkurs der Deutschen Telekom, die dem Bund mit ihren Simko-Geräten auch ausgefeilten Abhörschutz bietet. Erst vor drei Jahren gründete der Exmonopolist die Tochter Trust2Core, um ein noch abhörsichereres Handy, quasi ein „Merkel-Smartphone“, zu entwickeln. Dazu kam es nicht, Trust2Core gibt es nicht mehr. Viele Mitarbeiter wechselten in den vergangenen Wochen zum Konkurrenten Virtual Solution.

Das vorläufig letzte Telekom-Gerät, das Simko3, steht zwar noch auf der Liste der für Verschlusssachen zugelassenen Technik. Das BSI aber empfiehlt die Anschaffung nicht mehr. „Läuft aus“, heißt es lapidar in den Unterlagen einer neuen Kampagne, mit der die Behörde bei den „Very Important Persons“ (VIP) in Berlin gerade für einen stärkeren Einsatz von Verschlüsselung wirbt.

Nach den Spionageangriffen auf Merkels Handy und den Deutschen Bundestag wächst die Bereitschaft, Verschlüsselungstechnik einzusetzen. Das BSI will es nicht mehr allein den Herstellern überlassen, den schleppenden Verkauf von Verschlüsselungsgeräten anzukurbeln. Für die Telekom allerdings kommt diese Offensive zu spät.

Sicheres Telefonieren: Bahn frei für das Merkel-iPhone