Telefon-Verschlüsselung

Abhörsichere Smartphone-Gespräche

| Autor / Redakteur: Dr. Jochen Haller* / Stephan Augsten

Eine abhörsichere Kommunikation über Mobilfunknetze ist heutzutage nicht mehr schwer zu realisieren.
Eine abhörsichere Kommunikation über Mobilfunknetze ist heutzutage nicht mehr schwer zu realisieren. (Bild: Archiv)

Bei der Absicherung ihrer Kommunikation vergessen Unternehmen oft die Telefonie über unsichere Netze. Dabei ist sogar mit handelsüblichen iOS- und Android-Smartphones eine abhörsichere Kommunikation möglich.

Vorratsdatenspeicherung und Geheimdienst-Aktivitäten haben in den letzten Jahren dafür gesorgt, dass die Sicherheit in der Kommunikation zu einem Top-Thema geworden ist. Nicht mehr nur die Experten beschäftigen sich damit, sondern auch eine breite Öffentlichkeit.

Dass die Kommunikation prinzipiell immer gefährdet ist, dass es, von Cyber-Kriminellen über Konkurrenten bis zu in- und ausländischen staatlichen Organen alle möglichen „Interessenten“ gibt, das ist heute fast schon ein Gemeinplatz. Und natürlich weiß auch nahezu jeder, Privatleute wie Unternehmen, dass man sich dagegen wappnen muss – wenngleich es noch einmal eine andere Sache ist, ob man aus diesem Wissen tatsächlich auch praktische Konsequenzen zieht.

Allerdings beschränkt sich die Diskussion dieses Themas meist nur auf den Aspekt der Daten-Kommunikation: über die Absicherung und Verschlüsselung von Web-Seiten oder von E-Mails machen sich Unternehmen in der Regel viele Gedanken, während die „Urform“ der modernen Kommunikation, das Telefon, außen vor bleibt.

Verschlüsselte Telefonie wird nur in relativ wenigen Unternehmen und Behörden eingesetzt, meist nur da, wo es um „hoch“-kritische Bereiche geht, etwa beim Militär, bei der Polizei oder im Kanzleramt. Unternehmen begnügen sich meist damit, ihren Datenverkehr zu schützen, während man parallel völlig ungeschützt über unsichere Netze telefoniert.

Dabei liegt es auf der Hand, dass die Informationen, die hier ausgetauscht werden, nicht weniger "interessant" sind. Auch Informationen, die auf den ersten Blick nicht kritisch wirken, sind wichtige Bausteine für gezielte Angriffe. Spricht beispielsweise ein Geschäftsführer über eine unsichere Leitung über seinen geplanten Urlaub, gibt er Details preis, die für einen komplexen Angriff kostbar sind.

Lücke Sprachkommunikation

Offenbar haben die Betroffenen das Gefühl, das gesprochene Wort sei ohnehin flüchtig und damit per se weniger angreifbar als ein Dokument. Diese Annahme war eigentlich immer schon falsch, jedenfalls seit der Erfindung der Tonaufzeichnung.

Doch mit dem Übergang zur IP-Telefonie verwenden Daten- und Sprachkommunikation sogar dieselbe technische Basis. Dennoch zögert kaum jemand beispielsweise wichtige Details von Verhandlungen via Smartphone ans Office durchzugeben – gern auch im ICE-Abteil, aber das ist ein anderes Thema.

Dabei ist es ganz einfach, Mobiltelefone abzuhören. Wo bei klassischer Telefonie umständlich Leitungen im wörtlichen Sinne einzeln „angezapft“ werden mussten, lassen sich Gespräche nun recht problemlos mitschneiden und auswerten. Die dafür notwendigen Tools sind einfach zu organisieren; ein IMSI-Catcher gaukelt dem Smartphone dann beispielsweise vor, er sei eine Basisstation, und schneidet den kompletten, über ihn abgewickelten Gesprächsverlauf mit.

Auf diese Weise kann ein technisch halbwegs versierter Angreifer nicht nur ein Bewegungsprofil einer Zielperson erstellen, sondern auch fast ungehindert Telefongespräche abhören und mit den so gewonnenen Informationen Schaden anrichten. In vielen Unternehmen und öffentlichen Einrichtungen stellt das eine gefährliche Lücke in den Sicherheitskonzepten dar.

In solchen Konzepten wird diese Gefahr regelmäßig unterschätzt; wenn andere Angriffe durch Sicherheitsmaßnahmen erschwert werden, gewinnt diese Lücke für Angreifer zudem an Attraktivität. Diese Einstellung ist umso weniger verständlich, als man sich mit relativ geringem Aufwand sehr gut schützen kann.

Abhörsicheres Telefonieren für mobile Endgeräte ist ohne weiteres möglich und keineswegs kompliziert; fortgeschrittene Lösungen unterstützen dabei sogar den normalen Telefon-Komfort mit Anrufbeantworter, Chat- und Konferenzfunktion, sowie der Einbindung in Telefonanlagen.

Grundsätzlich sind beim abhörsicheren Telefonieren zwei Ebenen und damit technische Ansatzpunkte zu unterscheiden:

  • das Mobiltelefon selbst, das durch Viren, Trojaner oder auch durch ab Werk verbaute Chips kompromittiert sein kann;
  • die Übertragung der Sprachdaten durch das Netz, also die Transportschicht.

Das "Härten" eines Telefons – Stichwort Kanzler-Handy oder „Merkelphone“ – erfordert in der Regel einen hohen Aufwand, der letztlich nur durch das Niveau des gewünschten Schutzes begrenzt wird; in äußerster Konsequenz müsste man die Chips selbst herstellen und auch selbst ein Betriebssystem schreiben.

Es mag Anwender geben, die dafür in Frage kommen, ansonsten führen überzogene Ansprüche dazu, dass am Ende gar nichts unternommen wird. Für normale Anwendungen reicht ein Virenschutz aus; auch das Wegwerf-Handy ist eine brauchbare Lösung.

Ende-zu-Ende-Verschlüsselung

Auf der Transportschicht kann man die Kommunikation durch Ende-zu-Ende-Verschlüsselung sichern. Moderne Lösungen wie die etaSuite von Ethon arbeiten dabei rein Software-basiert. Man kann jedes handelsübliche iOS- und Android-Smartphone verwenden, benötigt also keine teure Spezial-Hardware oder separate Geräte zum sicheren Telefonieren.

Auf den Endgeräten wird jeweils eine App installiert, die die Kommunikation im 256-Bit-starken AES-Standard verschlüsselt. Interessant ist dabei, wie der Schlüsselaustausch geregelt wird. Da sich die Gesprächspartner nicht immer zur Übergabe der Schlüssel persönlich treffen können, kommt das vom PGP-Er-finder Phil Zimmermann entwickelte ZRTP-Protokoll mit Diffie-Hellman-Schlüsselaustausch zur Anwendung.

Hier erzeugen die Kommunikationspartner einen geheimen Schlüssel, den nur sie kennen und mit dem dann die Gespräche symmetrisch verschlüsselt werden. Zur Einleitung des ersten sicheren Gesprächs werden auf den beiden Smartphones Schlüsselwörter angezeigt, die sich die Gesprächspartner gegenseitig vorlesen, um sicherzustellen, dass die Verbindung nicht kompromittiert ist.

Um die Prozedur der Schlüsselübergabe nicht bei jedem Gespräch wiederholen zu müssen, wird der Schlüssel fortgeschrieben, das heißt, es werden immer Teile des Schlüssels für die nächsten Verbindungen verwendet, andere neu generiert. Dieses Verfahren ist sehr sicher; in zahlreichen Analysen durch unabhängige Krypto-Experten konnte bisher kein einziger erfolgreicher Angriff auf diese Verschlüsselungstechnologien durchgeführt werden.

Ergänzendes zum Thema
 
Anforderungen an abhörsichere Telefonie in Unternehmen

Ein wichtiger Punkt dabei ist, dass offene Standards verwendet werden. In jedem Verschlüsselungssystem muss die Sicherheit durch die Schlüsseltechnologie hergestellt werden, nicht durch Verschleierung der dabei verwendeten Verfahren (Kerkhoffs’ Prinzip). Nur so lässt sich nämlich die Sicherheit dieser Verfahren tatsächlich durch Außenstehende und die wissenschaftliche Community überprüfen und nur so können Anwender sicher gehen, dass dabei keine Backdoors implementiert wurden.

Die Ver- und Entschlüsselung erfolgt direkt auf den Endgeräten, nicht auf einem Server (sog. Ende-zu-Ende-Verschlüsselung). Der notwendige Server verwaltet lediglich die Nutzer und deren Berechtigungen, nicht aber Schlüssel oder Verbindungsdaten. Diese Technologie wird derzeit beispielsweise bei Ethon, aber auch in Signal von OpenWhisperSystems eingesetzt.

Für den Erfolg von Verschlüsselungslösungen ist entscheidend, dass sie nicht nur sicher sind, sondern auch nutzerfreundlich. Komplizierte Verfahren führen dazu, dass die Anwender, die normalerweise anderes zu tun haben, als Sicherheitssysteme zu bedienen, diese auf Dauer einfach nicht mehr verwenden oder versuchen sie zu umgehen. Dies gilt besonders für die Verschlüsselung von Telefongesprächen, die bislang nur wenig praktiziert wird und die daher für den Nutzer eine Neuerung darstellt.

Umso wichtiger ist es, dass sich die vorliegenden Lösungen nahtlos in den Alltagsbetreib einfügen. Erst die Kombination von technischer Sicherheit und Komfort macht das Telefonieren wirklich sicher – jedenfalls solange man nicht lauthals im ICE-Abteil telefoniert; denn dies ist eine der Todsünden der Informationssicherheit und dann hilft auch keine Technologie mehr.

* Dr. Jochen Haller ist Geschäftsführer der Ethon GmbH

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44106720 / Mobile Security)