Experience + Expertise: Innovation

Im Internet lauern jede Menge Gefahren. Dies weiß inzwischen fast jedes Kind. Wie steht es aber in puncto Sicherheit mit Handy & Co.?

Sie gehörten früher zur Standardausstattung jeder Aktentasche. Ihre Besitzer hüteten Filofax oder Time/system wie Geldbörse und Autoschlüssel. Verschwanden die praktischen Zeitplaner, war Panik angesagt. Schließlich bedeutete dies den Verlust von persönlichen Daten, wichtigen Adressen und wertvollen Informationen. Im schlimmsten Fall waren die Papierassistenten dankbare Beute von Wettbewerbern.

In Zeiten von Smartphone, Handy oder Personal Digital Assistant (PDA) gehen deren Besitzer dagegen seltsam sorglos mit ihren mobilen Helfern um. In Österreich beispielsweise landeten im vergangenen Jahr mehr als 20 000 Handys in den Händen von Dieben. In Großbritannien verschwinden 855 000 Mobilfunkgeräte in Toiletten, und Taxifahrer finden auf den Rücksitzen jährlich 315 000 Handys ihrer Kunden. Ein hohes Risiko, insbesondere für die Wirtschaft, tragen Smartphone-Besitzer doch eine Menge Wissen samt Bürokommunikation mit sich herum. Termine, Kundenkontakte, E-Mails oder Verträge: bedenkenlos sind Handys & Co. mit allem gefüllt, was bei deren Verlust nur schwer zu
ersetzen ist.

Dazu kommen Risiken durch die Vielfalt von Funktionen und Zusatzprogrammen der mobilen Geräte. Selbst die meisten Handy- und Smartphone-Hersteller räumen daher ein, dass sie ihren eigenen Produkten in Sachen Sicherheit nicht vollständig trauen – ein Befund des „Mobile Security Report 2009“, für den das Marktforschungsunternehmen Informa Telecoms & Media internationale Anbieter von Mobilfunkgeräten befragt hat. Der Studie zufolge stellen unter anderem WLAN- und Bluetooth-Schnittstellen ein mögliches Sicherheitsrisiko dar. Als theoretische Gefahrenquellen sind auch E-Mails, VoIP oder Text Messaging nicht ausgeschlossen.

„Umso mehr verwundert es, mit welcher Selbstverständlichkeit Smartphones auch für geschäftskritischste Entscheidungen genutzt werden. Dabei stellen nicht geschützte Geräte im geschäftlichen Umfeld ein echtes Unternehmensrisiko dar“, warnt Stephan Maihoff, der mit einem ausgesuchten Expertenteam von T-Systems, der IT-Sicherheitsfirma Certgate und dem VPN-Hersteller NCP auf Basis von HTC-Hardware mit Windows Mobile von Microsoft einen hochsicheren PDA mit der Lösung SiMKo 2 – „Sicherheit mobile Kommunikation“ – entwickelt hat. Das sichere SiMKo-Smartphone hat die „spezifische Einsatzempfehlung für den Geheimhaltungsgrad VSNfD“, ist also geeignet für Verschlusssachen nur für den Dienstgebrauch. Und über diese Einsatzempfehlung entscheidet in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Um das BSI zu überzeugen, haben die Sicherheitsexperten ein marktübliches Smartphone mit dem Betriebssystem Windows Mobile 6.1 analysiert und die Schlupflöcher Schritt für Schritt eliminiert. „Wir haben Sicherheit nicht einfach draufgepackt, sondern in das System integriert“, sagt Maihoff. Am Ende ist ein Stück Software samt hochsicherer Kryptocard von Certgate und digitaler Identität entstanden, das sicherheitsüberprüfte Personen nun im Bündel in der geschützten Umgebung eines Sicherheitszentrums in einem hochsicheren Raum auf die Geräte spielen.

„Wir sind an die Grenzen des technisch Machbaren gegangen“, sagt Maihoff. Das Geheimnis dieses Hochsicherheits-Smartphones liege in der Konzentration auf das Wesentliche. In der Praxis heißt das: Der Nutzer steuert nur sein persönliches Informationsmanagement (PIM) mobil – also E-Mail, Kontakte, Kalender. Und er geht dabei sicher über einen Tunnel sowie die Infrastruktur des Unternehmens ins Web. Dass auf Multimedia-Funktionen wie Kamera oder Audioplayer verzichtet wird und Schnittstellen wie Bluetooth, GPS oder WLAN deaktiviert sind, macht das Smartphone für technikverliebte Handybesitzer eher unspektakulär, für Unternehmen und Behörden hingegen hochinteressant.

Von der Stange wird dieser PDA nicht zu bekommen sein. Denn erstens beschränkt sich SiMKo derzeit auf ein Modell von HTC. Zweitens muss T-Systems jedes einzelne Gerät entsprechend präparieren, und drittens braucht es die direkte und sichere Verbindung über einen Tunnel (VPN = Virtual Private Network) mit einem hochsicheren Rechenzentrum des Unternehmens oder eines Dienstleisters wie T-Systems. Natürlich lässt sich mit dem Smartphone auch telefonieren. Allerdings muss der Nutzer genau darauf achten, dass er vorher die richtige PIN eingibt. „Dreimal falsche Kodeeingabe, dann geht nichts mehr, und die Kryptocard macht dicht“, sagt Maihoff. Damit ist das Smartphone bei Verlust für andere User unbrauchbar, alle Daten sind nicht lesbar verschlüsselt. Helfen können dann nur noch neue Software, neue PIN und neue digitale Identität.