Lesedauer ca. 6 Minuten

Seit Edward Snowden und seinen Enthüllungen über die Geheimdienste NSA und GCHQ sind speziell die mobilen Applikationen in den Fokus der Datenschützer gerückt. WhatsApp, Platzhirsch unter den Smartphone-Apps, macht es allerdings vor: Nur wenige Entwickler forcieren eine sichere Kommunikation. Speziell im Business-Segment sind die Möglichkeiten daher eher überschaubar. Einige dieser stelle ich im Folgenden vor.

Keine Frage, es bewegt sich was auf dem Markt der verschlüsselten Kommunikation via Mobilfunk-Gerät. Zuletzt konnten Nutzer, sogar kostenlos oder für wenig Geld, Apps herunterladen um ihre persönliche Kommunikation „sicherer“ zu führen. Doch welcher Entwickler-Schmiede kann man tatsächlich vertrauen? Wer kümmert sich um die Belange seiner Kunden, wer schützt sie vor Ausspähungen? Die absolute Sicherheit vor Ausspähung kann natürlich niemand garantieren. Doch eine kleine Auswahl an Apps fördert zumindest etwas mehr Vertrauen, zumindest gefühlt. Von Business-Anwendungen bis hin zu kostenlosen Apps ist alles dabei und wird auf Anregungen gerne weitergeführt.

Telekom und Vodafone

Geschäftskunden aufgehorcht. Die Telekom hat gerade einmal sechs Monaten benötigt um ihre Gesprächs-Business-App auf den Markt zu werfen – zum Testen versteht sich. Sie soll aber spätestens bis Ende des Jahres ausgesuchten Unternehmen zur Verfügung gestellt werden. Der angestrebte Abo-Preis soll laut letzten Aussagen auf der CeBIT im niedrigen zweistelligen Bereich liegen. Dafür bietet der Netzbetreiber doppelte Verschlüsselung sowie die Offenlegung des Quellcodes an. Letzteres ist für Unternehmen nicht unwichtig.

Ebenfalls auf dem Zettel sollten Nutzer ein ähnliches Vorhaben von Vodafone haben. Dieses hat nur schon im Vorfeld einige Haken durchsickern lassen. So ist nämlich das Projekt der Telekom in Partnerschaft mit GSMK entwickelt worden und wie bereits erwähnt quelloffen. Hintertüren und Sicherheitslücken können so von Dritten in Eigenregie getesten werden. Vodafone dagegen hat andere Pläne. Laut der Zeit gibt SecuSmart seinen Code nur an Zertifizierungsstellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) frei. Zudem wird das Unternehmen wohl einen Behördenzugriff auf verschlüsselte Telefonate gewähren. Die Telekom will selbst diese Lücke Behörden nicht zur Verfügung stellen.

Silent Phone

Grundsätzlich: Telefonate, Videochats sowie Textnachrichten werden via App verschlüsselt. Das verspricht neben dem spanischen Smartphone-Hersteller Geeksphone kein geringerer als Verschlüsselungspapst Phil Zimmermann. Zimmermann hat Anfang 1990 die PGP-Verschlüsselung erfunden; sie gilt auch heute noch als einzige Möglichkeit, mit der Nutzer wirklich sicher kommunizieren können. Die asymmetrische Verschlüsselung ist bisher noch nie geknackt worden.

In der Praxis werden Anrufe, E-Mails oder die altbekannte SMS während des Sendevorgangs durch das hauseigene Netzwerk verschlüsselt. Selbst Videoübertragungen sollen so sicher vor fremden Blicken sein. Was gefällt: Silent Circle wirbt mit starkem Datenschutz-Gesetzen in Kanada. Dort stehen aus rechtlichen Gründen die Server. Wichtig: Wären sie nämlich in den USA installiert, würden die stärksten Verschlüsselungen wenig bringen. Die NSA hätte zu jeder Zeit Zugriff auf die Files. Auf der hauseigenen Homepage wird zudem erklärt , was für Daten erhoben werden, um der Technik die Verschlüsselung zu ermöglichen.

Der Austausch der Schlüssel erfolgt nicht über zentrale Server, sondern von Nutzer zu Nutzer – wie auch die gesamte Kommunikation. Der Haken: Der Nutzer muss ein Abo (drei – 24 Monate) eingehen. Die Preise dafür beginnen ab sieben Euro können in der Enterprise-Version auf über 100 Euro anwachsen – 3 Monate bis zu zwei Jahren, sprich mehrere Tausend Euro veranschlagen.

Threema

Günstiger soll es sein? Dann beginnen wir doch gleich bei der bekanntesten App im mobilen Bereich: WhatsApp. Ein nützliches Tool um mit Freunden und Kollegen Nachrichten auszutauschen. WhatsApp durchforstet allerdings auch das Telefonbuch seiner Nutzer und überträgt sämtliche Daten unverschlüsselt. Für Geschäftsleute nicht vertretbar.

Die bekannteste WhatsApp-Alternative ist Threema. Das Programm eines Schweizer Entwicklers arbeitet mit einer asymmetrischen Verschlüsselungstechnologie und kann dementsprechend als fast sicher eingestuft werden. Sämtliche Verschlüsselungen geschehen direkt auf dem Gerät, und die besagte asymmetrische Kryptografie garantiert, dass nur der vorgesehene Empfänger Nachrichten lesen kann. Im Gegensatz zu anderen Alternativen erlaubt Threema zwei wichtige Features: Zum einen darf der Nutzer Fotos, Videos und den eigenen Standort mit demselben Verschlüsselungsgrad, wie sie die Textnachrichten versenden. Zum anderen wird der Schlüsselaustausch nicht über einen Fremdanbieter angeboten. Der Nutzer darf die IDs seiner Kontakte direkt in der App scannen. Voraussetzung dafür ist ein persönliches Treffen in der realen Welt. Derzeit gibt es die App für Android und iOS. Nachteil: Der Quellcode liegt nicht offen.

SMS mit TextSecure

SMS bleibt die Kommunikationsplattform schlechthin. Denn besteht keine Internet-Verbindung, funktioniert der Short-Message-Service weiterhin. Dennoch, auch wenn der Dienst als sicher gilt, warum nicht auf Nummer sicher gehen und das Tool TextSecure nutzen? Die Applikation verschlüsselt sämtliche Nachrichten, die von App zu App versendet werden. Nutzt der Empfänger kein TextSecure, empfängt er die Nachricht als herkömmliche SMS – ein Umstieg auf die App ist für Arbeitskollegen und Freunde also nicht nötig. Nachdem Download von TextSecure muss der Nutzer lediglich ein Passwort vergeben. Damit wird verhindert, dass etwa im Falle eines Handy-Verlustes die Nachrichten von Dritten ausgelesen werden können.

Telefonieren über RedPhone

Über die Android-App RedPhone führt der Nutzer Telefonate via VoIP, sprich verschlüsselt von Smartphone zu Smartphone. Dank VoIP werden Gespräche nicht über GSM, sondern per Internet übertragen. Zur Verschlüsselung nutzt RedPhone das Secure-Real-Time-Transport-Protocol, dem AES als Kryptosystem zugrunde liegt. Es gilt derzeit als abhörsicher. Nach der Installation der App muss der Anwender nur die Rufnummer einmalig bei RedPhone registrieren, bestätigen und los gehts. Eine gute und kostengünstige Alternative, mit der beispielsweise Geschäftskunden Details ausschließlich unter zwei Ohren auszutauschen. Ach ja, TextSecure und RedPhone stammen vom selben Anbieter.

Windows-Phone und Windows 8.1

Für das Windows-Segment sieht es dagegen noch mager aus. Dennoch, für Windows-Phone und Windows 8.1 ist für verschlüsselte Kommunikation oPenGP die erste Wahl. Andere Apps und Dienste werden meines Erachtens bis spätestens 2015 auf dem Markt erscheinen. Zu jung sind beide Systeme. Wichtig: Windows-Phone und Windows 8.1 sind grundsätzlich beides von Beginn an sichere Systeme, weil beide stark gekapselte Systeme beschreiben: Im Boot-Prozess wird nur signierter Code ausgeführt, sodass Manipulationen an Firmware und Betriebssystem nicht möglich sind. Apps lassen sich nur aus offiziellen Quellen beziehen, dem Windows Phone Store und dem firmeneigenen App Store. Außerdem läuft jede App abgeschottet in einer Sandbox und hat nur Zugriff auf ihre eigenen Daten. Nutzt das Unternehmen Dienste aus Redmond, kommen Funktionen wie Verschlüsselung und Rechte Management automatisch hinzu. Letztere können aber auch als Hybridlösung eingebunden werden. Vorteil gegenüber anderen Betriebssystemen: In Zukunft werden auch Desktop-Applikationen auf mobilen Endgeräten laufen. Da Microsoft auf dem Business-Sektor spezialisiert ist, fallen meist Folgekosten für die genannten Zusatzdienste an.

VPN für PC, Notebook, Tablet und Smartphone

Unternehmen sollten von extern ausschließlich via VPN surfen. Diese Art Netzwerke werden dazu genutzt, um den Anwender im Netz zu anonymisieren. Dabei wird, vom Dienst abhängig, die IP-Adresse und andere personalisierte Daten verschleiert. Vereinfacht ausgedrückt handelt es sich dabei um eine Software, die über eine als Tunnel bezeichnete, verschlüsselte Verbindung den Kontakt zu einem Remote-Server herstellt, sodass der eigene Rechner Teil dieses Netzwerks wird und fortan über dessen IP-Adresse erreichbar ist. Ein Unternehmen ist so in der Lage, auch interne Daten im Unternehmen selbst über die sichere Leitung von außen abzurufen; verschlüsselt versteht sich. Interessierte sollten sich allerdings nicht auf jeden VPN-Anbieter einlassen. Der Standort der jeweiligen Server sowie der des Unternehmens selbst ist entscheidend. Server in den USA beispielsweise sollten aus Gründen der Wirtschaftsspionage und anfangs genannten Behörden gemieden werden.