Smartphones sind ein beliebtes Angriffsziel für Hacker und anfällig für Viren. Zudem kann prinzipiell jeder mithören oder -lesen. Eins ist sicher: Nichts ist sicher. Ausser vielleicht BlackBerry.
Läuft ein Smartphone auf Symbian, Android, iPhone OS oder Windows Mobile, eines haben die Geräte und ihre Betriebssysteme gemeinsam: Sie sind grundsätzlich abhörbar, auch der E-Mail-Verkehr kann mitgelesen werden. Das Problem: Viele Smartphone-User kopieren vertrauliche Daten kurzerhand aus dem Unternehmensnetz und bearbeiten diese unterwegs – das ist ja gerade der grosse Vorteil von Smartphones. Die Geräte werden aber oft nicht automatisch in die Firmen-IT-Infrastruktur eingebunden und profitieren daher auch nicht von einer sicheren zentralen Authentisierung und Autorisierung. Auch vorhandene Sicherheitsmechanismen, zum Beispiel die Firewall, greifen dann nicht mehr (mehr dazu, wie Smartphones sicher ins Firmennetz eingebunden werden, im nächsten Beitrag). Die Kommunikation in unsicheren und fremden Netzwerken birgt aber nicht nur Gefahren durch Viren, Trojaner und Hackerattacken, sondern öffnet auch Spionen und staatlichen Ermittlern Tür und Tor. Der Mailverkehr ist auf den Smartphones ähnlich unsicher wie im drahtgebundenen Internet. «E-Mail als solches ist nicht als sicherer Kommunikationskanal zu betrachten», erklärt Sevgi Gezici, Mediensprecherin bei Sunrise, gegenüber Computerworld. Einen einigermassen wirksamen Schutz gegen allfällige Lauschangriffe bietet daher nur eine vollständige End-to-End-Verschlüsselung. Hier kommen Protokolle wie IMAP und SMTP über TLS oder SSL respektive S/MIME- und PGP-Verschlüsselungen für die Mailfunktion oder Virtual Private Networks (VPN) zum Einsatz. Was die Vertrauenswürdigkeit der Geräte beziehungsweise der darauf installierten Apps betrifft, muss jeder Anwender für sich überlegen, ob bereits auf Betriebssystemebene eine entsprechende Nachprüfbarkeit (Quellcode) oder zumindest ausreichendes Vertrauen in den Hersteller vorhanden ist. Gegen die behördliche Überwachung der Daten ist jedoch kein Kraut gewachsen. Zwar sind dem Bund von Gesetzes wegen Grenzen gesetzt, technisch gesehen, ist die Totalüberwachung jedoch ein Kinderspiel. «Es ist ein offenes Geheimnis, dass der Bund Zugang zu verschlüsselten Diensten hat und darüber hinaus auch die notwendigen Kompetenzen besitzt, diese Informationen zu entschlüsseln», erklärt Netstream-CEO Alexis Caceda.
Blackberry: Viel zu sicher ...
Als quasi abhörsichere Alternative gilt nur das BlackBerry des kanadischen Herstellers Research in Motion (RIM). Dank starker Verschlüsselung (siehe Grafik) sind, so RIM, unerwünschte Mitleser so gut wie ausgeschlossen. Gerade das finden nun etliche Staaten bedenklich. Saudi-Arabien, die Vereinigten Arabischen Emirate, Kuwait und Bahrain verlangen einen Zugang zum Datenverkehr ihrer BlackBerry-Nutzer. Auch Indien und der Libanon wollen nicht mehr dulden, dass sich die Kommunikation ihrer Bürger der staatlichen Kontrolle entzieht. Als Grund für einen Lauschzugang wird oft der Terrorismus ins Feld geführt. Die BlackBerry-Technik sei auch für Finsterlinge verlockend. So sollen beispielsweise die Attentäter von Mumbai, die vor zwei Jahren 166 Menschen in den Tod rissen, mit BlackBerrys kommuniziert haben. Der Subkontinent droht nun dem BlackBerry-Hersteller RIM mit Blockade, wenn der Staat nicht den Mailverkehr überwachen darf. Auch die Vereinigten Arabischen Emirate kündigten an, ab Oktober mobile E-Mails und andere Funktionen der BlackBerrys zu verbieten. Saudi-Arabien hatte im August bereits den Messenger-Dienst vorübergehend stillgelegt. Rund 700000 Nutzer waren davon betroffen. RIM wird zudem aufgefordert, Server im jeweiligen Land zu betreiben, um gegebenenfalls Zugriff auf Daten zu bekommen.
Doch die Kanadier blieben bislang standhaft. Denn gerade die Abhörsicherheit ihrer Geräte macht den Erfolg des BlackBerrys aus, besonders bei Unternehmenskunden. Pressemeldungen, RIM sei im Falle Indien bereits eingeknickt oder kooperiere schon länger mit Russland und China, dementiert der Konzern vehement. «Es gibt lediglich eine einzige BlackBerry-Enterprise-Lösung, die unseren Kunden weltweit zur Verfügung steht. Diese Lösung wird nicht an die verschiedenen Märkte, in denen wir operieren, angepasst», betont Arno Glompner, Corporate Communications Manager bei RIM, gegenüber Computerworld. «Alle Aussagen, wir würden Ausnahmen speziell für Regierungen einzelner Länder in Betracht ziehen oder wir hätten solche Ausnahmen bereits gemacht, sind gegenstandslos», so Glompner. Die BlackBerry-Enterprise-Lösung wurde entwickelt, um RIM oder jedwede dritte Partei unter allen Umständen daran zu hindern, verschlüsselte Informationen lesen zu können. Das tut sie nun auch: Verschlüsselte Daten werden von RIM weder gespeichert noch können diese Daten eingesehen werden. Der Hersteller ist nach eigenen Angaben gar nicht in der Lage, Forderungen nach einer Kopie des Verschlüsselungsschlüssels eines Unternehmens nachzukommen. Ein Zugang zu verschlüsselten E-Mails auf BlackBerry-Mobiltelefonen sei technisch überhaupt nicht möglich. Um den Code zu knacken, brauche es einige Milliarden von Jahren, hält der Konzern fest. Die Spionagesicherheit wurde RIM sogar vom deutschen Fraunhofer-Institut bestätigt. Für potenzielle Mithörer – ob berechtigt oder unberechtigt – ist die Hochsicherheitstechnik fatal. Selbst wenn die Rohdaten irgendwo unterwegs abgesaugt werden könnten, wären am Ende nur rätselhafte Zahlenfolgen zu sehen.
... Aber nicht sicher genug
RIM ist jedoch inzwischen selbst in die Schusslinie europäischer Behörden geraten: Aufgrund der zentralen Speicherung der Daten in den Rechenzentren in Kanada und Grossbritannien wird befürchtet, dass die dortigen Regierungen Zugriff auf die Daten haben. Also doch nicht so hundertprozentig sicher, wie der Hersteller behauptet? Einige Experten gehen davon aus, dass sich – wenn der Handlungsdruck nur gross genug ist – Strafverfolgungsbehörden wie etwa die der USA mit richterlicher Anordnung doch irgendwie Zugriff auf den Mailverkehr und andere Kommunikationsdienste des BlackBerry verschaffen könnten. Die deutsche Regierung rät beispielsweise vom BlackBerry-Gebrauch ab, in der dortigen Bundesverwaltung dürfen die RIM-Geräte aus Sicherheitsgründen schon nicht mehr genutzt werden. Es darf darüber spekuliert werden, ob man RIM nicht über den Weg traut oder ob es darum geht, dass der Dienst für eigene Zwecke nicht abhörbar ist. Für die Schweizer Bundesverwaltung steht der Entscheid bezüglich BlackBerry noch aus. Die verschlüsselte E-Mail-Technik, die RIM für Unternehmen und Behörden entwickelt hat, ist einer der wenigen Kanäle, der gegen Abhöraktionen so gut wie gefeit ist. Daneben gibt es allerdings eine Infrastruktur für Privatkunden, die kostengünstig E-Mails versenden können, die dann praktisch unverschlüsselt durch die Leitungen sausen. Diese Variante bietet nicht viel mehr Sicherheit als gewöhnlicher E-Mail-Verkehr, es ist nur einiges aufwendiger, sie zu knacken. RIM betont aber, auch bei Privatkundenmails Zugeständnisse an Regierungen auszuschliessen. Anders sieht es beim Mobilfunk aus. Per richterlicher Anordnung können Telefonate beim Mobilfunkanbieter abgehört werden.
Alles gesetzeskonform
Auf Nachfrage von Computerworld unter den grossen Schweizer Providern und Smartphone-Herstellern, inwieweit sie Daten ihrer Nutzer sammeln oder diese an Dritte weitergeben, halten sich die Unternehmen weitestgehend bedeckt, verweisen auf die gesetzlichen Richtlinien und die firmeneigenen Datenschutzbestimmungen. «Swisscom lagert keine E-Mails von Kunden und hat auch keinen Einblick in diese», erklärt Mediensprecher Olaf Schulze. Man sei lediglich Transporteur der Daten und erfasse nur Verbindungsdaten, die für die Verrechnung von Diensten nötig sind. «In begründeten Fällen und auf Anfrage geben wir Verbindungsdaten an Strafverfolgungsbehörden weiter», so Schulze. E-Mails und andere Inhalte von Kunden könne Swisscom mangels Zugriff nicht weitergeben. «Orange bearbeitet persönliche Daten der Kunden, so weit diese zum Erbringen der Mobilfunkdienstleistungen sowie der Rechnungsstellung dienen und zur Erteilung von Auskünften gemäss des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) erforderlich ist», fügt Therese Wenger, Director Media und PR bei Orange, an. Auch bei Sunrise würden Daten nur für den bei der Erhebung deklarierten Zweck verwendet, man leite von sich aus keine Informationen an staatliche Behörden weiter. Man habe schon Regierungsanfragen zur Aushändigung von Daten erhalten, bestätigt Mediensprecherin Sevgi Gezici. Die Begründung liege dabei in Form einer Verfügung im Rahmen des Telekommunikationsnetzes vor. Sunrise verfahre dabei nach den geltenden Richtlinien. Auf die Frage, wie man sich am besten schütze, antwortet Gezici: «Wir dürfen keine Anleitung liefern, wie die Überwachung des Bundes behindert oder verhindert werden kann. Gegen das Abhören durch Private erachten wir unser Netz als ausreichend geschützt.»
Hart bleiben
Netstream-CEO Caceda sieht nur eine Lösung: «Um sich vor Eingriffen durch den eigenen Staat zu schützen, können Unternehmen nur einen ausländischen Maildienst in Anspruch nehmen.» Allerdings fielen sie damit unter die gesetzlichen Bestimmungen des entsprechenden Landes. Im Fall der USA zum Beispiel wäre damit nichts gewonnen. Die Frage, ob es moralisch korrekt ist, in die Privatsphäre der Bürger einzudringen, müssten von den entsprechenden Stellen geklärt werden. Egal, welches Ergebnis diese Diskussion habe, am Ende dürften die Kosten der Überwachungsaktionen nicht zulasten der Provider gehen, konstatiert Caceda: «Die Telekommunikationsbranche ist nicht der verlängerte Arm des Bundes und kann nicht dessen Aufgaben übernehmen.» Für Unternehmen ist es verlockend, Regierungsbehörden durch örtliche Server einen leichteren Zugang zu Daten zu verschaffen. Schliesslich wollen sie nicht mangels Kooperationsbereitschaft aus neuen, lukrativen Märkten wie beispielsweise China ausgeschlossen werden. IT-Konzerne, die wie Google, Apple oder auch RIM Mobilfunk-Software und -Dienste anbieten, sind bereits heute theoretisch im Besitz einer Unmenge von Daten und Informationen über das Privatleben ihrer Nutzer. Auf den Servern lagern Kundenadressen und Telefonnummern, Informationen über deren Freunde, auf welchen Webseiten sie surfen, was sie wo im Netz einkaufen und welche Vorlieben und Gewohnheiten sie haben. Die auf die Interessen der Nutzer ausgerichtete Werbung ist das eine. Sollten sich solche Unternehmen jedoch dem Willen von Regierungen beugen und Daten einfach herausgeben, dann ist es um die Privatsphäre und Firmengeheimnisse schlecht bestellt.
Elektronische Überwachung in der Schweiz
Gestützt auf das Bundesgesetz betreffend Überwachung des Post- und Fernmeldeverkehrs (BÜPF) haben Untersuchungsbehörden in der Schweiz im Rahmen eines Strafverfahrens die Möglichkeit, die elektronischen Randdaten der letzten sechs Monate einzusehen und Gespräche aufzuzeichnen. Gemäss BÜPF darf dies nur bei schweren Straftaten geschehen. Die Anordnung muss vom zuständigen Richter ergehen und einer Genehmigungsbehörde zum Entscheid unterbreitet werden. Erst dann dürfen Gespräche mitgehört werden. Spionage durch Viren und Trojaner, die über die Betriebs-Software und Applikationen Eingang finden, sind in der Schweiz verboten. Strafrechtlich geahndet werden in der Schweiz verbotener Nachrichtendienst wirtschaftlicher, militärischer oder politischer Natur sowie das Abhören und Aufnehmen fremder Gespräche (siehe Art. 272-274 sowie 179 bis des Stgb). Schweizer Provider müssen für den Bund ab sofort die Realtime-Überwachung des Datenverkehrs ermöglichen. Eine entsprechende schriftliche Anweisung ging den Providern erst vor Kurzem zu.
