IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Sicheres SmartphoneMit der Verschlüsselungs-App Secure Call können nicht nur Politiker und Behörden, sondern auch Konzerne und Mittelständler ihr geistiges Eigentum besser schützen. Die App wurde gemeinsam von Vodafone und und dem Abhörschutz-Experten Secusmart entwickelt.

1) Wie ist eine providerunabhängige sichere Kommunikation international mit der Secure Call App möglich? Welchen Tarif benötige ich und in welchen Netzen kann ich sicher telefonieren?

Vodafone Secure Call verwendet für die Kommunikation Voice-over-IP Protokolle. Ende-zu-Ende-verschlüsselte Gespräche werden als Voice-over-IP-Daten übertragen. Verschlüsselte Gespräche können deshalb sowohl über die Datennetze internationaler Mobilfunkbetreiber, als auch über WLAN geführt werden. Über diese Datennetze werden die auf dem Smartphone des Nutzers verschlüsselten Inhalte zum Gesprächspartner transportiert und auf dessen Smartphone entschlüsselt.

Während der Übertragung ist die Kommunikation jederzeit vor Lauschangriffen geschützt – und das egal über welches Datennetz (Mobilfunk, WLAN plus Internetstrecke) telefoniert wird. Unternehmen und Nutzer müssen sich keine Gedanken darüber machen ob sie dem Netz vertrauen, über das sie zum Beispiel im Ausland telefonieren. 

Secure Call Rufaufbau

Bild 1: Sicherer Rufaufbau mit der Secure Call App, links mit einem Samsung Smartphone, rechts mit dem iPhone. 

2) Es gibt keine Laufzeiten, keine Kündigungsfristen etc. Damit gibt es für Vodafone auch keine Planbarkeit. Ist der Mehrwert Sicherheit so groß, dass die Konzerne das Angebot wählen werden?

Der Vodafone Secure Call Service ist unabhängig von anderen Verträgen, die ein Unternehmen möglicherweise mit Vodafone geschlossen hat. Er kann monatlich gekündigt werden, es gibt keine Mindestvertragsdauer. Falls aktuell kein Bedarf an Secure Call besteht, sich solcher aber für die Zukunft abzeichnet, kann der Secure Call Service für diese Zeit auch einfach „stillgelegt“ werden.

Auch die Verwaltung ist einfach: Nutzer können über das CAP (Customer Admin Portal) von Vodafone Deutschland „deaktiviert“ werden – mit sofortiger Wirkung oder erst zum Monatsende. Damit behält der Admin die vollständige Kontrolle über die Nutzung von Secure Call im Unternehmen.

Vodafone Secure Call räumt sowohl kommerzielle, administrative als auch Hürden bei der Nutzung von Sicherheitslösungen aus dem Weg. Gerade Konzerne investieren in erheblichem Umfang in IT- und Kommunikationssicherheit. Mit Secure Call können nun auch mobile Telefongespräche effektiv geschützt werden.

3) Kann garantiert werden, dass keine Server genutzt werden, die außerhalb Deutschlands stehen?

Vodafone betreibt mit dem Secure Call Server die erforderliche Infrastruktur im eigenen Rechenzentrum in Ratingen. Zu den wichtigsten Komponenten gehören das Kundenportal, ein Registrierungsserver sowie ein Kommunikationsserver der Gespräche vermittelt und den verschlüsselten Datenstrom transportiert. 

4) Der IT-Admin des Unternehmens ist zuständig für „das Anlegen“ der Nutzer. Wie viel Einblick erhält er ins System? Kann es da Missbrauch geben bzw. wie wird möglichem Missbrauch aus den eigenen Reihen vorgebeugt?

Der Administrator eines Unternehmens legt im Kundenportal (Customer Admin Portal) die gewünschten Secure Call-Nutzer an. Dazu erfasst er Name, Telefonnummer und E-Mail-Adresse des Nutzers, falls gewünscht auch eine Kostenstelle. Lädt der Admin einen Nutzer über das Portal ein, erhält dieser eine Einladungsmail mit einem Aktivierungscode und Links zu den für sein Smartphone passenden App-Stores. Von dort kann er die Secure Call App herunterladen. Innerhalb der Registrierung wird dem Nutzer nach der Eingabe des Aktivierungscodes eine Prüfziffer per SMS gesendet, welche dieser ebenfalls in die App eingibt. Nach der Registrierung kann der Nutzer die App sofort verwenden und mit allen anderen Nutzern von Secure Call sicher telefonieren.

Der Kunde definiert, welcher Mitarbeiter als Administrator autorisiert wird, Nutzer einzuladen oder auch zu deaktivieren. Der Admin erhält über das Portal keinerlei Zugriff auf sicherheitsrelevante Funktionen der Lösung.

Beenden eines sicheren Anrufs

Bild 2: Anruf mit der Secure Call App, links mit einem Samsung Smartphone, rechts mit dem iPhone.

5) Bei der SecuSUITE for BlackBerry 10 laufen Verschlüsselung und Authentifizierung in der Secusmart Security Card ab. Wie funktioniert das in der App? Wo genau wird verschlüsselt?

Die Sprachkommunikation wird auf den Smartphones der Gesprächsteilnehmer mit der Secure Call App verschlüsselt. Schlüsselmaterial wird in einem Secure Call-spezifischen Schlüsselspeicher vor unbefugten Zugriffen geschützt abgelegt. Der Schlüsselspeicher wird zusätzlich verschlüsselt.

Secure Call bindet den Nutzer in die Herstellung einer sicheren Kommunikationsbeziehung mit seinen Gesprächspartnern ein: Nachdem er zum ersten Mal mit einem Kontakt über die Secure Call App telefoniert hat, wird er aufgefordert, diesen Kontakt als sicher zu bestätigen. Ist der Nutzer sich sicher mit der richtigen Person verbunden gewesen zu sein, kann er nach dem Gespräch über eine Bestätigung im Menü der App diesem Kontakt für die Zukunft vertrauen. Als Resultat dieser Bestätigung findet er diesen Kontakt von nun an auch in der sicheren Kontaktliste der Secure Call App.

Außer den Nutzerdaten, die für die Registrierung benötigt werden, speichert Vodafone keine weiteren Daten dauerhaft. Die für die Verschlüsselung verwendeten Schlüssel werden ausschließlich im Schlüsselspeicher der App auf den Endgeräten gespeichert. Sie werden auch weder von Vodafone noch von Secusmart zur Verfügung gestellt, sondern während der Registrierung der Secure Call App direkt auf dem Gerät erzeugt. 

6) Wie sicher ist die Verschlüsselung der App Vodafone Secure Call bzw. wie schnell ist sie veraltet? Werden eventuell ständig Updates benötigt, um das Sicherheitsniveau zu halten?

Die Verschlüsselung der Sprachkommunikation beruht auf dem sogenannten SDES/SRTP-Prinzip, das den Austausch des Sitzungsschlüssels einleitet. Zur Schlüsseleinigung wird eine auf Elliptische-Kurven-Kryptographie basierende Variante des bekannten Diffie-Hellman-Protokolls verwendet. Elliptic-Curve-Diffie-Hellman (ECDH) garantiert höchste Sicherheit und eine besonders schnelle Schlüsseleinigung. Die Sitzungsschlüssel können dabei vom Server weder gelesen noch gespeichert werden. Die Sprachkommunikation wird mit 128-BIT AES verschlüsselt.

AES gilt derzeit als der sicherste und effizienteste Algorithmus für die Verschlüsselung von Daten und Sprache. Die Krypto-Funktionen der App benötigen keine regelmäßigen Updates. Vielmehr wird es Updates geben die den Funktionsumfang der App erweitern. Neue Versionen werden schnell und einfach aus den bekannten App-Stores für das jeweilige Betriebssystem heruntergeladen.

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet