Kryptohandys und -smartphones als Schutz vor ungewollten Zuhörern: Das sollten Sie wissen

Die Kommunikation zwischen Smartphones (und natürlich Handys im Allgemeinen) kann niemals zu 100 Prozent sicher sein. Theoretisch haben Kriminelle diverse Möglichkeiten, Nachrichtenverläufe zwischen Handys abzufangen und mitzulesen. Gleiches gilt für das Mithören von Telefonaten. Neben Politiker:innen rücken besonders Unternehmen in den Fokus von Angreifer:innen, die an sensible Daten gelangen wollen. Sogenannte Kryptohandys bzw. -smartphones sollen das Abgreifen von Daten erschweren.

Was Kryptohandys sind, wie sie funktionieren und wie Sie Kriminellen das Mitlesen Ihrer mobilen (nicht nur Gesprächs-)Daten erschweren können, lesen Sie in diesem Beitrag.

 

Was ist ein Kryptohandy?

Kryptohandys sind Kommunikationsgeräte, die fortschrittliche Sicherheitsfunktionen nutzen, um das Abhören von Sprach- und Datenübertragungen während eines Live-Austauschs zu erschweren. Sie haben die Fähigkeit, viele Formen der elektronischen Überwachung zu umgehen und das Abhörpotenzial zu verringern. Dadurch sind Kryptohandys gut geeignet für den Einsatz in einer Reihe von Geschäftsumgebungen sowie in Politik und Geheimdiensten.

 

Wie funktioniert ein abhörsicheres Smartphone?

Der Einsatz von Kryptotechnologie setzt voraus, dass sowohl Ausgangs- als auch Endgerät den selben Verschlüsselungsgrad aufweisen. Um ein sicheres Gespräch zu führen, müssen also beide Parteien einen Telefontyp verwenden, der mit denselben Schutzprotokollen arbeitet.

Es ist möglich, einen gewissen Schutz bei einer Verbindung zu erreichen, bei der ein Kryptohandy auf der einen, aber nicht auf der anderen Seite verwendet wird. Allerdings besteht immer die Möglichkeit, dass das ungeschützte Ende überwacht wird und Daten beim Senden oder Empfangen abgefangen werden. Das Risiko bei dieser Konstellation ist demnach sehr hoch.

Die meisten Kryptohandys verschlüsseln ausgehende Signale mithilfe eines kryptografischen Chips. Dadurch wird es für Angreifende schwieriger, die abgefangenen Daten zu verwalten oder in verwertbare Daten zu „übersetzen“.

In den meisten aktuell verwendeten Kryptohandy-Systemen erfolgt die Verschlüsselung durch den Einsatz von zwei Verschlüsselungswerkzeugen anstelle einer einzigen Sicherung: Häufig wird mehr als ein Algorithmus verwendet, der die aus- und eingehenden Signale vor dem Erreichen des Empfangsgeräts zweimal verschlüsselt.

Auf diese Weise hindert das Kryptosystem des jeweiligen Smartphones mehrschichtige Überwachungstechniken, die zwar einen der Verschlüsselungscodes aushebeln können, aber nicht beide. Das Endergebnis: Nutzer:innen erschweren Kriminellen das Abhören und das Auslesen von beispielsweise übermittelten Dokumente mithilfe der sogenannten Punkt-zu-Punkt-Verbindung.

Ein Kryptohandy selbst machen? Darauf sollten Sie achten

Ein professionelles und für Politik und Geheimdienste zugelassenes Kryptohandy können Sie als Privatperson nicht einfach zu Hause „zusammenbauen“. Auch sollten Sie ein Kryptohandy darüber hinaus nicht einfach kaufen und sich dann auf die vermeintliche Abhörsicherheit des Geräts verlassen.

Fast alle aktuell in Politik und Wirtschaft verwendeten Kryptohandys erfordern, dass Ihr Gegenüber das gleiche Gerät verwendet. Darüber hinaus sind diese speziellen Smartphones sehr teuer; und der jeweilige Sicherheitsstandard kann nur wenige Monate aufrechterhalten werden.

Es gilt: Cyberkriminelle entwickeln ihre technischen Fähigkeiten rasch weiter. Sie suchen sprichwörtlich rund um die Uhr nach Schwachstellen in Telekommunikations- und IT-Systemen. Teure Kryptohandys, die gestern noch vermeintliche Abhörsicherheit boten, können heute bereits durch einen Hack nahezu nutzlos sein.

Jedoch existieren einige Möglichkeiten, wie Sie die Kommunikation mit Ihrem Smartphone sicherer gestalten und beispielsweise Angriffe durch Kriminelle erschweren können. Dazu gehört unter anderem die Verwendung möglichst sicherer Instant-Messenger, die durch eine überdurchschnittliche Verschlüsselung das Abgreifen von Daten erschweren.

Zwei Messenger-Apps, die von Expert:innen aktuell zu den sichersten gezählt werden, stellen wir Ihnen im folgenden Abschnitt vor.

 

Threema

Threema ist eine Mobile-Messaging-App, die Kurznachrichten und Telefonate Ende-zu-Ende (E2E) verschlüsselt. Im Gegensatz zu anderen Instant-Messengern müssen Sie bei dieser App keine E-Mail-Adresse oder Telefonnummer hinterlegen, um ein Konto zu erstellen. Dadurch können Sie den Dienst mit einem hohen Maß an Anonymität nutzen, was Threema zu einem der „privatesten“ Messenger auf dem Markt macht.

Mit Threema verschicken Sie Text- und Sprachnachrichten und können Sprach- und Videoanrufe initialisieren und Dateien übertragen. Die App erfährt regelmäßige Updates. Sowohl für iOS als auch für Android ist die App kostenpflichtig.

Ebenso befindet sich Ihr persönlicher sogenannter Threema-Schlüssel auf dem Gerät und nicht auf den zentralen Servern. Selbst, wenn sich jemand Zugang zu allen Daten auf den Servern verschaffen würde, hätten die Angreifer:innen kaum einen Nutzen davon.

 

Wer betreibt Threema?

Threema ist ein Produkt der Threema GmbH, einem in der Schweiz ansässigen Unternehmen. Das Team veröffentlichte seine erste Version der App im Dezember 2012 und gründete das Unternehmen offiziell im Jahr 2014. Das Unternehmen brachte im Jahr 2016 Threema.Work auf den Markt, eine spezielle Version des Messengers für den Einsatz in Unternehmen.

 

Wo werden Threema-Kundendaten gespeichert?

Die Nutzerdaten werden so weit wie möglich nur auf den entsprechenden Geräten gespeichert. Threema speichert nur die minimale Menge an Metadaten, die erforderlich ist, um Nachrichten an ihre richtigen Ziele zu leiten; und das auf den Servern von Threema laut Hersteller nur so lange, wie es für die Erfüllung ihrer Aufgabe erforderlich sei.

Die Server des Unternehmens befinden sich laut Threema in zwei Züricher Rechenzentren eines nach ISO 27001-zertifizierten Partners.

 

Signal

Signal ist eine Ende-zu-Ende-verschlüsselte Instant-Messaging- und SMS-App. Nutzer:innen können Direkt- oder Gruppennachrichten, Fotos und Sprachnachrichten senden. Der Vorteil von Signal ist der starke Fokus der App auf Sicherheit und Datenschutz.

So arbeitet Signal etwa auf Basis von Open-Source-Code. Dadurch können Sicherheitsanalyst:innen auf der ganzen Welt das Innenleben der App testen und untersuchen, ob sie sicher ist. Außerdem können sie den Entwickler:innen von Signal Fehler melden, damit diese die App verbessern.

Darüber hinaus tauscht die App im Hintergrund kontinuierlich einen Schlüssel aus, der bei jedem Dialog neu generiert und ständig durch einen Algorithmus kontrolliert wird. Kriminellen soll es dadurch schwer gemacht werden, verschlüsselte Nachrichten zu einem späteren Zeitpunkt zu dekodieren.

 

Wer betreibt Signal?

Signal Messenger LLC ist ein US-amerikanisches Non-Profit-Tochterunternehmen der Signal Technology Foundation, die der Kryptograph Moxie Marlinspike im Jahr 2018 zusammen mit dem WhatsApp-Mitgründer Brian Acton gegründet hat. Signal ist nicht gewinnorientiert und finanziert sich als Stiftung aus Spenden.

 

Wo speichert Signal die Daten der Nutzer:innen?

Signal speichert Daten laut eigenen Angaben auf einer Server-Infrastruktur von Google, Amazon und Microsoft. Die Server stehen in den USA. Signal speichert Daten daher außerhalb des Gebietes, das seit Mai 2018 von der Europäischen Datenschutz-Grundverordnung (DSGVO) geschützt ist.

Da das Unternehmen jedoch nicht gewinnbringend wirtschaftet, muss es auch keine Daten seiner Nutzer:innen für einen eventuellen Weiterverkauf an Werbekunden ermitteln. Darüber hinaus speichert Signal nach eigenen Angaben keine Gesprächsverläufe auf den Servern.

Signal speichert auf den Servern hingegen die zufällig generierten Authentifizierungstoken, Keys und Push-Token. Diese sind für den Anrufaufbau und die Nachrichtenübertragung wichtig. Sie können jedoch nicht den persönlichen Daten der Nutzer:innen zugeordnet werden.

Kryptohandys: Die aktuelle Rechtslage

Auch wenn in Deutschland der Besitz von nicht strafbar ist, können Strafverfolgungsbehörden codierte Daten aus Gesprächen zwischen zwei Kryptohandys unter bestimmten Umständen sammeln, dekodieren und im Fall einer Straftat gegen die Besitzer:innen der Smartphones verwenden.

Kriminelle haben in der Vergangenheit immer wieder versucht, sich mithilfe von Kryptohandys den Strafverfolgungsbehörden zu entziehen und ihre Kommunikation zu verschleiern. Warum sie damit längerfristig keinen Erfolg haben, zeigt exemplarisch der Fall EncroChat.

 

Der Fall EncroChat

Der niederländische Kommunikationsanbieter EncroChat verkaufte an seine Kund:innen vermeintlich abhörsichere Handys. Strafermittler in Frankreich und den Niederlanden vermuteten, dass Kriminelle über die EnchroChat-Handys miteinander kommunizieren würden, um ihre Kommunikation vor der Polizei zu verbergen.

Von Anfang April bis Ende Juni 2020 fingen die Fahnder:innen Gespräche von 32.477 EncroChat-Kund:innen in 122 Ländern ab. Dazu infiltrierte die Polizei den EncroChat-Server und erhielt dadurch Daten zu 66.134 eingetragenen SIM-Karten. Mithilfe der Daten konnten die Ermittler:innen fortan Gesprächsdaten dekodieren.

Bei der Auswertung einiger Daten in Frankreich stellte sich heraus, dass knapp über 60 Prozent der Nutzer:innen als Mitglieder organisierte Drogenbanden und/oder bereits durch Waffenhandel, Geldwäsche oder Gewaltverbrechen bekannt waren und in den abgefangenen Gesprächen weitere Taten planten.

Europol übermittelte zahlreiche Daten an das Bundeskriminalamt. In Folge der Datenauswertungen kam es deutschlandweit zu Hausdurchsuchungen, bei denen die Beamt:innen Drogen, Schusswaffen und Munition sicherstellten. 750 Haftbefehle wurden vollstreckt und 360 Ermittlungsverfahren eingeleitet.

Mehrere Verdächtige klagten in Deutschland gegen die Verwendung ihrer Kommunikationsdaten im Zuge einer Strafverfolgung. Mehrere Oberlandesgerichte entschieden, dass die Daten bei den Ermittlungen der französischen Behörden rechtmäßig erhoben wurden. Das OLG Berlin jedoch stimmte dieser Rechtsauffassung nicht zu.

Der Fall ging schließlich vor den Bundesgerichtshof (BGH), der Anfang 2022 bestätigte, dass die Verwendung der EncroChat-Daten gegen Verdächtige zur Aufklärung schwerer Straftaten zulässig sei.

Das Wichtigste zu Kryptohandys in Kürze

  • Kryptohandys nutzen spezielle Sicherheitsfunktionen, um Kriminellen das Abfangen von Kommunikationsdaten bei Smartphones zu erschweren.
  • Beim Einsatz von Kryptophontechnologie müssen Ausgangs- und Endpunkt gleiche Geräte verwenden, bzw. Technologien, die den gleichen Verschlüsselungsgrad aufweisen.
  • Vermeintlich sichere Kryptohandys bieten häufig innerhalb eines zeitlich begrenzten Rahmens Schutz vor kriminellen Angriffen.
  • In Deutschland ist der Besitz von Kryptohandys nicht strafbar. Doch Behörden können codierte Daten unter bestimmten Umständen sammeln, auswerten und im Rahmen polizeilicher Ermittlungen verwenden.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/kryptohandys-und-smartphones-als-schutz-vor-ungewollten-zuhoerern-das-sollten-sie-wissen/