Kryptohandy

Als Kryptohandys werden abhörsichere Mobiltelefone bezeichnet.

Funktionsweise

Bei älteren Modellen musste der Benutzer den entsprechenden Modus aktivieren, damit seine Gesprächsdaten durch das Telefon vor der Übertragung verschlüsselt werden. Damit die so gewählte Verbindungsart funktioniert, muss der andere Teilnehmer des Telefonats allerdings gleichfalls über ein Kryptohandy verfügen, welches die Entschlüsselung vornimmt.[1] Anstelle einer Hardware-Lösung ist es bei vielen modernen Mobilgeräten möglich, eine entsprechende Verschlüsselung durch geeignete Software zu erreichen. Solche Varianten können in geringerem Maße modellspezifisch und dadurch preiswerter sein. Die Kommunikation wird entweder über die Server der kommerziellen Anbieter oder freie Alternativen abgewickelt,[2][3] anfallende Metadaten können zusätzlich mit Orbot über das Tor-Netzwerk verschleiert werden.[4][5][6]

Anbieter von Verschlüsselungstechnik

Freie Betriebssysteme

GrapheneOS

GrapheneOS ist ein freies und quelloffenes Android-Custom-ROM für ausgewählte Google-Pixel-Modelle. GrapheneOS verzichtet auf die Verwendung der proprietären Google-Play-Dienste wie auch der quelloffenen Alternative microG, da sie nicht Teil des Android Open Source Project (AOSP) sind. GrapheneOS enthält außerdem Datenschutz-Erweiterungen auf verschiedenen Ebenen des Betriebssystems und in den mitgelieferten Anwendungen, wie z. B. der Härtung von Kernel, Toolchain und Laufzeitumgebung und eine stark abgesicherte App-Sandbox.[7] Edward Snowden sagte im September 2019, „wenn ich heute ein Smartphone konfigurieren würde, würde ich Daniel Micays GrapheneOS als Basis-Betriebssystem verwenden“.[8][9] Diese Aussage bekräftigte er nochmals am 4. November 2022.[10]

CalyxOS

CalyxOS ist ein freies und quelloffenes Android-Custom-ROM für Google Pixel- und Xiaomi-Geräte. Es konzentriert sich auf Datenschutz, Sicherheit und Barrierefreiheit. Ähnlich wie die Linuxdistributionen Tails oder Whonix liefert CalyxOS eine Reihe auf Datenschutz ausgerichtete Standard-Software mit, wie z. B. F-Droid, K-9 Mail, Briar, Signal u. a. Datenschutz-Apps. Es bietet wie GrapheneOS Verified Boot-Unterstützung zur Wahrung der Systemintegrität. Verified Boot stellt nicht nur sicher, dass auf Geräten eine sichere Version von Android ausgeführt wird, sondern sucht auch nach der richtigen Version von Android mit Rollback-Schutz.[11]

Freie Kommunikation-Anbieter

Signal

Signal ist ein Ende-zu-Ende-verschlüsselter Instantmessanger der US-amerikanischen, gemeinnützigen Signal-Stiftung. Zur Umsetzung der Datensparsamkeit dient das „Zero-Knowledge-Prinzip“, bei dem der Betreiber keinerlei Zugriff auf Nutzerdaten hat, was u. a. auch eine FOIA-Anfrage an das FBI bestätigte.[12] Edward Snowden empfiehlt u. a. im Zusammenhang mit der NSA-Affäre, mehr auf freie Software wie Signal zu setzen.[13][14][15] Auch die EU-Kommission verpflichtet ihre Mitarbeiter, vornehmlich für die Kommunikation mit Personen außerhalb der Behörde auf Signal zu setzen.[16][17] In einer Untersuchung von 2022 der Stiftung Warentest erreichte Signal den ersten Platz der getesteten Messenger.[18] Jan Penfrat von der European Digital Rights (EDRi), einer internationalen Vereinigung von Bürgerrechtsorganisationen, die sich dem Datenschutz und der Freiheit der Bürger in der Informationsgesellschaft verschrieben hat, empfiehlt Signal.[19]

Matrix

Matrix ist ein offenes Kommunikationsprotokoll für Echtzeitkommunikation. Als Referenzimplementierung des Matrix-Protokolls wird Element als Einsteiger-Client für neue Matrix-Nutzer empfohlen.[20] Die deutsche Bundeswehr setzt Element unter dem Projekt „BwMessenger“ seit 2020 als offiziellen sicheren Kommunikationsclient ein.[21][22][23][24] Etwaige Änderungen sollen frei verfügbar gemacht werden.[25][26] Die Thales Group, ein auf Verteidigung und Sicherheit spezialisiertes Unternehmen, hat mit seinem Nachrichtensystem Citadel Team eine abgeleitete Version von Element entwickelt.[27][28] In Frankreich soll ein Messenger auf Matrix-Basis in allen Ministerien und Behörden auf nationaler Ebene (geschätzte 5,5 Millionen Benutzer) eingesetzt werden. Der eigens entwickelte Client ist eine Abspaltung des Element-Clients. Produktivtests starteten im Sommer 2018, eine landesweite Einführung startete im Frühjahr 2019. Zuvor wurden wesentliche Funktionen beim Projekt „Tchap“ weiterentwickelt oder ergänzt.[29][30] Die Behörde für Sicherheit in der Informationstechnik, ANSSI, überprüfte den Quellcode.[31] Jan Penfrat von der EDRi empfiehlt auch Matrix.[19]

Kommerzielle Kommunikation-Anbieter

Threema

Threema ist ein quelloffener[32] Ende-zu-Ende-verschlüsselter Schweizer Instant-Messaging-Dienst zur Nutzung auf Smartphones und Tablets. Die Software ist auf Datenschutz und Datenvermeidung ausgelegt und erfordert im Gegensatz zu den meisten Konkurrenzprodukten für die Nutzung weder eine Telefonnummer noch sonstige personenbezogenen Angaben.[33][34] Seit Ende 2016 veröffentlicht die Threema GmbH einen jährlichen Transparenzbericht, in dem sie Behördenanfragen offenlegt und die Art der in diesen Anfragen mitteilbare Daten erläutert.[35][36] Jan Penfrat von der EDRi empfiehlt auch Threema.[19]

Kommerzielle Anbieter von Fertiglösungen

Copperhead Ltd.

CopperheadOS ist ein quelloffenes[37] Android-Custom-ROM. Hersteller ist Copperhead Ltd., ein in Toronto ansässiges Unternehmen. Der Hersteller verkauft Kryptohandys auf Basis der Google-Pixel-Reihe mit bereits installierten und einsatzbereitem CopperheadOS.[38]

Nitrokey

Die in Teltow (Brandenburg) tätige Firma Nitrokey bietet mit dem Nitrophone 1 ein gehärtetes Google Pixel 4a mit GrapheneOS an. Optional werden Mikrofone und Sensoren entfernt, um das Abhören der Umgebung physikalisch unmöglich zu machen. Telefonate werden mit optionalem Headset geführt.[39][40][41] Das Nitrophone 2 und das Nitrophone 2 Pro basieren auf dem Google Pixel 6 und Pixel 6 Pro mit GrapheneOS.[42][43][7]

Omerta Digital Technologies

Omerta Digital Technologies, Dundee, GB vertreibt Kryptohandys der Google-Pixel-Reihe, die mit GrapheneOS und Signal ausgeliefert werden.[44][45][46]

Infolge behördlicher Ermittlungen geschlossene Anbieter

EncroChat

EncroChat war ein in Europa ansässiger Dienstleistungsanbieter, der primär von der internationalen organisierten Kriminalität zur Planung und Durchführung krimineller Aktivitäten genutzt wurde. Europol hackte die Kommunikation 2020 und nahm 1.800 Personen fest, darunter Schwerstkriminelle. Nach der Aktion stellte EncroChat den Geschäftsbetrieb ein.[46][47]

Sky Global

Sky Global war ein in Vancouver, Kanada ansässiger Dienstleistungsanbieter für den Vertrieb von Kryptosmartphones und verschlüsselten Kommunikationsdiensten. Justiz- und Strafverfolgungsbehörden in Belgien, Frankreich und den Niederlanden schafften es nach eigenen Angaben in enger Kooperation mit Europol und der europäischen Staatsanwaltschaft Eurojust den Kommunikationsdienst SkyECC im Februar 2021 zu unterwandern und 70.000 Benutzer abzuhören.[48][49][50][51] Der Datenbestand von Sky ECC soll bis zu viermal so groß sein wie der von Encrochat.[52]

Phantom Secure

Phantom Secure war ein in Kanada ansässiger Dienstleistungsanbieter für den Vertrieb von Kryptosmartphones und einem verschlüsselten Emaildienst. Die Nutzeranzahl der Handys betrug 10.000 bis 20.000 Nutzer, die vermutlich in kriminellen Netzwerken aktiv waren. Vince Ramos, der Geschäftsführer der Firma wurde am 7. März 2018 durch das FBI verhaftet, welches die Firma schloss.[53][54]

Honeypots

ANOM war eine gleichnamige Firma und ein Honeypot des FBI, die in Zusammenarbeit mit der australischen Bundespolizei ab 2019 eine App namens ANOM (Leetspeak An0m) entwickelte. Die Firma vertrieb von Panama aus mehr als 12.000 verschlüsselte Geräte an über 300 kriminelle Banden in mehr als 100 Ländern. Im Verlauf von 18 Monaten konnten während der Operation Trojan Shield 27 Millionen Nachrichten, die Kriminelle für abhörsicher hielten, von Ermittlern mitgelesen werden.[55][56][57]

Mobiltelefone der deutschen Bundesregierung

Als Kanzler-Handy, auch Merkelphone, wird umgangssprachlich das Mobiltelefon-Modell bezeichnet, das von den Mitgliedern der deutschen Bundesregierung und deren Mitarbeitern für sicherheitssensible Kommunikation genutzt wird.

Bislang standen den Regierungsmitgliedern die auf HTC-Smartphones basierenden Modelle SiMKo 1 und SiMKo 2, entwickelt von der Telekom-Tochter T-Systems, zur Verfügung. Die Geräte können aber lediglich Datenverkehr verschlüsseln. Zur Gesprächsverschlüsselung wird daher stets ein zweites Gerät benötigt, wobei auf Handys der Firma Nokia mit Symbian^3-Betriebssystem zurückgegriffen wird; diese können Gespräche verschlüsseln, aber wiederum keinen Datenverkehr. Dieser Zustand wird von den Nutzern als unbefriedigend angesehen, zumal die Geräte als unpraktisch und langsam beschrieben werden. Aus diesem Grund verwenden viele Regierungsmitglieder auch am Arbeitsplatz ein privates Gerät, obwohl dies per Verwaltungsvorschrift (Verschlusssachenanweisung) ausdrücklich untersagt ist.[58]

Abhilfe sollten daher ab 2014 die beiden folgenden Modelle schaffen:[59]

Beide Modelle sind vom Bundesamt für Sicherheit in der Informationstechnik geprüft und als abhörsicher eingestuft worden; dennoch sind sie nur für die Weitergabe von sicherheitsrelevanten Informationen der untersten Geheimhaltungsstufe Verschlusssache – nur für den Dienstgebrauch freigegeben.[62] Einige Fachleute halten Secusmart-Telefone für nicht sicher. Im Zufallszahlengenerator des Blackberry wurde schon kurz nach dessen Veröffentlichung eine mögliche Hintertür gefunden, nach der die Daten abgegriffen werden können, noch bevor sie verschlüsselt werden. Die Hintertür wurde zudem 2006 von der Firma Certicom, die von Blackberry übernommen wurde, zum Patent angemeldet.[63]

Während beim Modell von Secusmart ein Blackberry-10-Betriebssystem zum Einsatz kommt, das mit einer Smartcard eine erweiterte Hardware erhielt und das Basis-Betriebssystem von BlackBerry beibehält[64], wurde für das SiMKo 3 ein eigenes Betriebssystem für die dienstliche Kommunikation entwickelt. Das SiMKo 3 wurde bei einem behördlichen Test unter anderem wegen eines kleineren Arbeitsspeichers sowie fehlender Foto-, WLAN- und Bluetooth-Funktionalität kritisiert. Einem Sprecher der Telekom zufolge werden dienstliche und private Kommunikation beim SiMKo 3 strikt getrennt, während es sich beim Secusmart lediglich um „ein Gerät für Konsumenten mit einer zusätzlichen Sicherheitsstufe“ handelt.[65] Beide Geräte standen erst ab 2014 mit vollem Funktionsumfang zur Verfügung.[58] Im Oktober 2014 bestätigte die Deutsche Telekom, dass die Entwicklung des SiMKo 3 eingestellt wurde.[66]

Kontroversen löste infolge der Überwachungs- und Spionageaffäre 2013 die Ausspähung eines Mobiltelefons der Bundeskanzlerin Merkel aus. Bei dem betroffenen Handy handelt es sich um ein Vorgängermodell des finnischen Herstellers Nokia, welches ihr im Rahmen ihrer Tätigkeit als CDU-Vorsitzende von der Partei bereitgestellt wurde und keine Verschlüsselungstechniken bereitstellte. Der Bundesregierung liegen bisher keine Protokolle oder technischen Nachweise vor. Das BSI und der BND verfügen lediglich über Indizien, die einen „verdichteten Verdacht“ begründen.[67]

Historische Anbieter

Das bekannteste Gerät dieser Art ist das TopSec GSM, eine Weiterentwicklung des Siemens S35i, das seit 2001 von Rohde & Schwarz vertrieben wird und in Zusammenarbeit mit Siemens entwickelt wurde. Statt der beim Telefonieren mit einem Handy üblichen Sprachübertragung wird die Information bei diesem Gerät mittels Datenübertragung per GSM übermittelt.[68] Sichere mobile Kommunikation (meist als SiMKo abgekürzt) war eine vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Lösung[69] zur sicheren mobilen Kommunikation via Mobiltelefon.[2]

Weblinks

Wiktionary: Kryptohandy – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise

  1. BSI-Kryptohandys. www.golem.de.
  2. a b Sicheres mobiles Arbeiten. In: bsi.bund.de. Abgerufen am 17. Juni 2021.
  3. Stephan Augsten: Abhörsichere Smartphone-Gespräche. 20. Juni 2016, abgerufen am 18. Juni 2021.
  4. Frequently Asked Questions – GrapheneOS. Abgerufen am 18. Juni 2021.
  5. Tor Phone — Super Private And Secure Version Of Android By Tor Project. In: TechLog360. 29. November 2016, abgerufen am 18. Juni 2021 (englisch).
  6. J.M. Porup: Tor phone is antidote to Google “hostility” over Android, says developer. In: Ars Technica. 22. November 2016, abgerufen am 18. Juni 2021 (englisch).
  7. a b Ferdinand Thommes: NitroPhone 2a mit 5 Jahren Software-Updates. In: linuxnews.de. 5. August 2022, abgerufen am 13. November 2022.
  8. Abhörsicheres Handy: Die Tricks von Edward Snowden. In: futurezone.de. Abgerufen am 8. März 2020.
  9. Wie Edward Snowden sein Smartphone einrichten würde. In: derstandard.at. Abgerufen am 8. März 2020.
  10. Edward Snowden (@Snowden). In: nitter.net. Abgerufen am 7. November 2022 (englisch).
  11. Verified Boot. Abgerufen am 17. Juni 2021.
  12. Martin Holland: FBI über Messenger: An welche Daten von WhatsApp & Co. US-Strafverfolger kommen. In: heise.de. 2. Dezember 2021, abgerufen am 2. Dezember 2021.
  13. Edward Snowden: Edward Snowden auf Twitter (englisch) 13. Oktober 2015. Abgerufen am 15. November 2015.
  14. Edward Snowden empfiehlt Apps zur Verschlüsselung. Abgerufen am 3. Dezember 2020.
  15. Threema und Signal: Die besseren Whatsapp-Alternativen. In: sueddeutsche.de. 30. August 2016, abgerufen am 9. Juni 2021.
  16. Dieter Petereit: EU-Kommission: Behördenmitarbeiter sollen Signal verwenden. In: t3n Magazin. 26. Februar 2020, abgerufen am 16. Juni 2021.
  17. Laurens Cerulus: EU Commission to staff: Switch to Signal messaging app. In: POLITICO. 23. Februar 2020, abgerufen am 16. Juni 2021 (englisch).
  18. Eike Kühl: Messenger: Vier sind besser als WhatsApp. In: zeit.de. 23. Februar 2022, abgerufen am 25. Oktober 2022.
  19. a b c Alexander Fanta: Hacking und Spionage – Ist WhatsApp sicher genug für die Diplomatie? 24. Februar 2020, abgerufen am 21. Januar 2021.
  20. Try Matrix Now! | Matrix.org. Abgerufen am 4. November 2018 (amerikanisches Englisch).
  21. Sicher. Flexibel. Open Source. Der Messenger der Bundeswehr.. In: messenger.bwi.de.
  22. Drucksache 19/16190 - Schriftliche Fragen mit den in der Woche vom 16. Dezember 2019 eingegangenen Antworten der Bundesregierung. S. 63–64 (bundestag.de [PDF; abgerufen am 12. Mai 2020]).
  23. Bundeswehr setzt künftig auf Matrix als Messenger. (heise.de [abgerufen am 12. Mai 2020]).
  24. Stefan Krempl: Open Source: Bundeswehr baut eigene verschlüsselte Messenger-App. In: heise online. 24. Dezember 2019, abgerufen am 17. Juni 2021.
  25. Drucksache 19/17044 - Schriftliche Fragen mit den in der Woche vom 3. Februar 2020 eingegangenen Antworten der Bundesregierung. S. 57 (bundestag.de [PDF; abgerufen am 12. Mai 2020]).
  26. golem.de: Bwmessenger: Das "sichere Whatsapp" für die Bundeswehr
  27. LETTRE TRIMESTRIELLE DE L'OMC – Novembre 2018 (PDF-Datei)
  28. https://en.citadel.team/
  29. Element - Tchap - French government. In: element.io.
  30. French government launches in-house developed messaging service, Tchap - Joinup. In: joinup.ec.europa.eu.
  31. Statt Whatsapp: Frankreich wandert in die Matrix - Golem.de. Abgerufen am 11. Dezember 2019.
  32. Threema auf GitHub. Abgerufen am 21. Dezember 2020 (englisch).
  33. Diese Messenger sind sicherer als verschlüsselte E-Mails. 13. Mai 2018, abgerufen am 20. März 2020.
  34. SECURE MESSAGING APPS COMPARISON. Abgerufen am 23. März 2020 (englisch).
  35. Threema GmbH: Transparenzbericht – Threema. (Nicht mehr online verfügbar.) 25. Oktober 2016, ehemals im Original am 23. Juni 2018; abgerufen am 1. Februar 2017 (Version von 2018).@1@2Vorlage:Toter Link/threema.ch (Seite nicht mehr abrufbar, Suche in Webarchiven)
  36. Threema GmbH: Transparenzbericht – Threema. 11. Januar 2019, abgerufen am 10. Februar 2019.
  37. CopperheadOS. In: GitHub. 20. Mai 2021, abgerufen am 16. Juni 2021 (englisch).
  38. Secure Android – CopperheadOS – Copperhead. Abgerufen am 16. Juni 2021 (englisch).
  39. Ht Tech: NitroPhone 1 price: GUTTED Google Pixel 4a is the safest Android phone on Earth. In: tech.hindustantimes.com. 6. September 2021, abgerufen am 17. November 2021 (englisch).
  40. Nitrokey bietet Google-freies Smartphone an
  41. Smartlife: Nuevo NitroPhone, así es el móvil Android más seguro del mundo. In: cincodias.elpais.com. 6. September 2021, abgerufen am 17. November 2021 (spanisch).
  42. https://www.golem.de/news/nitrophone-2-google-freies-smartphone-mit-4-5-jahren-updates-2201-162172.html
  43. https://www.golem.de/news/nitrophone-2-im-test-das-sicherste-smartphone-hat-keine-mikrofone-2202-163283.html
  44. GrapheneOS: Security Centric Operating System. In: Omerta Digital Technologies. Abgerufen am 17. Juni 2021 (englisch).
  45. Signal Private Messaging - How secure is secure? In: Omerta Digital Technologies. Abgerufen am 17. Juni 2021 (englisch).
  46. a b EncroChat-Hack: Wie die Polizei ein Handynetzwerk für Drogengangs infiltrierte. Abgerufen am 8. Dezember 2020.
  47. Geknacktes Chat-Netzwerk EncroChat: 1800 Personen festgenommen. In: heise online. 16. April 2021, abgerufen am 10. Juni 2021.
  48. Stefan Krempl: Nach Encrochat: Europäische Ermittler wollen auch Sky ECC gehackt haben. In: heise online. 11. März 2021, abgerufen am 10. Juni 2021.
  49. New major interventions to block encrypted communications of criminal networks. In: Europol. 10. März 2021, abgerufen am 10. Juni 2021 (englisch).
  50. Encrypted Phone Firm 'Sky' Shuts Down. In: VICE. 17. März 2021, abgerufen am 18. Juni 2021 (englisch).
  51. Encrypted phones biz Sky Global shuts up shop after CEO indictment, police raids on users in Europe. In: The Register. 19. März 2021, abgerufen am 18. Juni 2021 (englisch).
  52. golem.de: Sky ECC: Polizei soll Millionen Chats von Kryptohandys bekommen
  53. Phantom Secure Takedown – Federal Bureau of Investigation. In: Federal Bureau of Investigation. 16. März 2018, abgerufen am 16. Juni 2021 (englisch).
  54. The Network: How a Secretive Phone Company Helped the Crime World Go Dark. 22. Oktober 2020, abgerufen am 16. Juni 2021 (englisch).
  55. 800 criminals arrested in biggest ever law enforcement operation against encrypted communication. Europol, 8. Juni 2021, abgerufen am 8. Juni 2021.
  56. tagesschau.de: "Operation Ironside": Polizei trickste Kriminelle mit App aus. In: tagesschau.de.
  57. FBI lockte Verbrecher in die Chatfalle – mit selbst entwickelten Kryptohandys. Der Spiegel, 8. Juni 2021, abgerufen am 8. Juni 2021.
  58. a b Stefan Tomik: Du sollst kein Handy haben neben mir. faz.net, 24. Oktober 2013, abgerufen am 24. Oktober 2013.
  59. Wirtschaftsminister nimmt lieber iPhone statt „Secusmart“ und „SiMKo 3“. heise.de, 5. Juli 2013, abgerufen am 24. Oktober 2013.
  60. Kanzler-Smartphone: Merkel bekommt neues Handy. chip.de, 3. April 2013, abgerufen am 24. Oktober 2013.
  61. Abhörattacken aufs Partei-Handy: SecuSUITE for BlackBerry 10 bleibt sicher. Presseerklärung der Fa. Secusmart vom 24. Oktober 2013. Abgerufen am 30. August 2016 (PDF; 87 kB).
  62. Neues „Kanzler-Handy“ der Telekom gilt als Abhörsicher. t-online.de, 10. September 2013, abgerufen am 24. Oktober 2013.
  63. Krypto-Handys mit vielen Fragezeichen. Abgerufen am 3. Dezember 2020.
  64. heise online: BlackBerry kauft Secusmart. Abgerufen am 3. Dezember 2020.
  65. SiMKO 3: Merkelphone angeblich nicht merkeltauglich. heise.de, 6. Oktober 2013, abgerufen am 24. Oktober 2013.
  66. Der hohe Preis der Sicherheit, Telekom stoppt Entwicklung von Kanzlerinnen-Handy. sz.de, 8. Oktober 2014, abgerufen am 7. Juli 2016.
  67. Merkels Handy-Nummer in Snowdens Dokumenten, Welt Online vom 24. Oktober 2013
  68. Gerard Ducasse: Handy verschlüsselt Gespräche auf Knopfdruck. In: heise online. 30. Mai 2001, abgerufen am 18. Juni 2021.
  69. SiMKo 2 – eine Lösung für die sichere mobile Kommunikation (Memento des Originals vom 29. Oktober 2013 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bsi.bund.de BSI.de