Suchen

Sicheres Android-Smartphone von T-Systems Wie sicher ist das neue SiMKo3?

Autor / Redakteur: Dr. Markus a Campo / Stephan Augsten

T-Systems hat eine neue Generation des sicheren SiMKo-Smartphones entwickelt – ausgerechnet auf Basis des als unsicher geltenden Android-Betriebssystems. Ob das wohl funktioniert? Wir werfen einen Blick hinter die Kulissen und prüfen, ob dieses Konzept Erfolg verspricht.

Firma zum Thema

Das SiMKo3 von T-Systems trennt Privates und Geschäftliches sauber voneinander.
Das SiMKo3 von T-Systems trennt Privates und Geschäftliches sauber voneinander.
(Bild: T-Systems)

Deutsche Geheimnisträger wurden bisher mit dem SiMKo2-Telefon („Sichere Mobile Kommunikation“) von T-Systems ausgestattet. Dieses bot zwar Sicherheit durch starke Authentifizierung und Verschlüsselung, der Spaßfaktor war aber gering.

SiMKo2 wurde auf Basis eines stark abgespeckten und mittlerweile in die Jahre gekommenen Windows Mobile 6.5 entwickelt. Kamera, GPS-Ortungssystem, Bluetooth und WLAN waren deaktiviert. Man konnte mit dem Telefon also tatsächlich nicht viel mehr anfangen, als zu telefonieren und Mails oder SMS zu verschicken.

Bildergalerie

Das soll sich jetzt ändern. Neben der Firma SecuSmart, die ein sicheres Mobiltelefon auf Basis des neuen BlackBerry-Betriebssystems entwickelt hat, wurde auch T-Systems damit beauftragt, SiMKo weiterzuentwickeln.

Im Vordergrund steht dabei die Verschlüsselung von Daten und nicht die Verschlüsselung von Gesprächen. T-Systems hat sich für Android als Plattform entschieden, was unter Sicherheitsaspekten eine besondere Herausforderung ist.

Problem Datentrennung

Eines der größten Probleme beim Einsatz von Smartphones ist die Trennung von dienstlichen und privaten Daten. Diese Schwierigkeit ergibt sich nicht nur bei hochsicheren Geräten, sondern immer dann, wenn private Geräte dienstlich und umgekehrt eingesetzt werden.

Private und dienstliche Daten vermischen sich ununterscheidbar. Es besteht das Risiko, dass privat genutzte Apps auf dienstliche Daten zugreifen und diese ins Internet entführen. Umgekehrt verhindern dienstliche Restriktionen (etwa ein WLAN-Verbot) eine uneingeschränkte private Nutzung.

Diese fehlende Trennung ist eines der Haupthindernisse bei BYOD und steht deshalb im Mittelpunkt der Forschungs- und Entwicklungsabteilungen von Smartphone-Herstellern und Kommunikationsanbietern.

Zauberwort Virtualisierung

Unter dem Schlagwort „Trust2Core“ hat die T-Systems ein in der IT längst bekanntes Prinzip auf Android portiert. Ein Android-Smartphone wird zu einem System, auf dem zwei virtuelle Maschinen ablaufen. Eine davon ist stark reglementiert und für dienstliche Apps und Daten vorgesehen, die andere hat weniger Einschränkungen und ist privaten Dingen vorbehalten.

Dabei wird zwischen die Hardware und die beiden Android-Systeme eine Zwischenschicht eingeschoben, die als Secure Microkernel bezeichnet wird. Diese Schicht ist im Prinzip nichts anderes als der von anderen Virtualisierungslösungen bekannte Hypervisor.

Die Virtualisierung eines Smartphone-Betriebssystems ist eine große Herausforderung, die aber erklärt, warum sich die T-Systems auf das nicht übermäßig sichere Android-System eingelassen hat. Android ist quelloffen und kann in einer Weise adaptiert werden, wie es bei anderen Systemen wie Apples iOS, Windows Phone oder BlackBerry niemals möglich gewesen wäre.

Bei der Programmierung des Hypervisors haben sich die Entwickler für einen Hypervisor vom Typ 1 entschieden. Dabei greift der Hypervisor über eigene Treiber direkt auf die Hardware der Geräte zu. Im Gegensatz dazu nutzt ein Hypervisor vom Typ 2 die Hardware-Treiber des jeweiligen Betriebssystems.

Diese Entscheidung hat einen großen Vorteil. Alle Treiber werden von T-Systems-Entwicklern programmiert und können auf Fehlerfreiheit und Robustheit gegenüber Angriffen hin entwickelt werden.

Allerdings hat dieses System einen gravierenden Nachteil: Der Hypervisor und die virtuellen Android-Systeme laufen nicht mehr auf jedem Android-Smartphone, sondern nur auf denjenigen Geräten, für die spezielle Treiber entwickelt wurden. Und das sind im Falle von SiMKo gerade mal zwei Samsung-Telefone.

Sandbox für Apps

Jedes der beiden virtualisierten Android-Systeme arbeitet ohne Einschränkungen und kann mit Apps und Daten versorgt werden. Durch die Virtualisierung laufen die beiden Systeme völlig unabhängig voneinander. Eine bösartige App im privaten System hat keine Auswirkungen auf das dienstliche System und umgekehrt. Dazu kommt, dass die beiden Android-Systeme gehärtet und von unsicheren Komponenten befreit wurden.

Wie schon beim SiMKo2 unterliegt die dienstliche Sandbox strengen Restriktionen. Hier können keine beliebigen Apps installiert werden, und der Zugriff auf die Hardware ist nur eingeschränkt möglich. Für den privaten Bereich gibt es weniger Restriktionen.

Natürlich darf auch hier nicht jede App installiert und jede Hardware-Funktion genutzt werden. So wäre es beispielsweise bei einem Diebstahl von Fotos mit GPS-Kennung gleichgültig, ob diese aus dem privaten oder dem dienstlichen Bereich stammen. Ein Bewegungsprofil des Besitzers ließe sich in jedem Fall erstellen.

Nachteilig am Sandbox-System ist die fehlende gemeinsame Schnittstelle hin zum Benutzer. Dienstliches und privates Adressbuch sind getrennt und bleiben es auch beim Zugriff durch die Apps.

Eine gemeinsame Suchfunktion, beispielsweise über beide Adressbücher hinweg, ist nicht möglich und aus Sicherheitsgründen auch gar nicht zulässig. Denn eine bösartig programmierte App im privaten Bereich könnten dann über eine solche gemeinsame Sicht auch die geheimen dienstlichen Daten lesen und im Internet verschwinden lassen.

Authentifizierung und Verschlüsselung

In Sachen Authentifizierung und Verschlüsselung gibt es keine spektakulären Neuerungen. Hier setzt man auf bereits bewährte Konzepte aus SiMKo2. Die Nutzdaten des Flash-Speichers sind verschlüsselt und lassen sich erst nach Eingabe der PIN des Benutzers entschlüsseln.

Mails und andere Nachrichten werden mit dem öffentlichen Schlüssel des Benutzers verschlüsselt. Der private Schlüssel zur Entschlüsselung steht wie im vorherigen Fall erst nach der Anmeldung zur Verfügung.

Die Kommunikation mit dem Firmen- oder Behördennetzwerk erfolgt ebenfalls verschlüsselt nach bewährtem System. Sichere Kommunikation wird über VPN-Verbindungen möglich, die über spezielle Zugangspunkte (APNs) oder fest konfigurierte Netzwerkverbindungen möglich sind.

Restrisiken beim SiMKo-Konzept

Das neue SiMKo-System sieht in der Theorie bestechend aus, doch was ist in der Praxis zu erwarten? Wie bei Android üblich werden auch in den T-Systems-Varianten früher oder später Sicherheitslücken gefunden, über die Angriffe möglich sind. Hier hängt es von der T-Systems ab, wie schnell solche Sicherheitslücken geschlossen und Software-Updates an die Kunden verteilt werden.

Allerdings sind Sicherheitslücken und daraus resultierende Angriffe weniger dramatisch als bei konventionellen Android-Smartphones. Immerhin schützt ja noch die gehärtete Sandbox von Unheil. Da diese proprietär programmiert ist, laufen viele der üblichen Attacken gegen Android ins Leere.

Allerdings gibt es ein Szenario, bei dem die Sicherheit von SiMKo völlig ausgehebelt wird: Wenn es einer App gelingt, aus ihrer Sandbox auszubrechen und auf Daten in der anderen Sandbox oder sogar den Hypervisor zuzugreifen, kann für die Sicherheit des Systems nicht mehr garantiert werden.

Fazit

Die neuen SiMKo-Smartphones der T-Systems nutzen die Vorteile einer Virtualisierungstechnik zusammen mit dem quelloffenen, leicht adaptierbaren Android-Telefon. So lassen sich private und dienstliche Welten voneinander abschotten, ohne dass selbst bei Sicherheitslücken im Android-System nennenswerte Gefahr droht.

Allerdings ist SiMKo nach wie vor ein proprietäres System, bei dem die Auswahl an Telefonen mehr als bescheiden ist. Zudem ist eine sichere Nutzung nur über das Netz der T-Systems möglich. Weitere Informationen finden sich unter anderem im SiMKo3-Factsheet von T-Systems (PDF, 430 KB).

(ID:42222692)