Sicher ist sicher: So muss mobile Kommunikation verschlüsselt werden
München, 27. Mai 2021 – Wenn Mitarbeiter über Smartphone und Tablet E-Mails verschicken, Nachrichten austauschen oder Dateien ins Intranet hochladen, spielt Verschlüsselung eine wichtige Rolle. Virtual Solution erklärt, welche Verfahren höchsten Sicherheitsanforderungen gerecht werden.
Verschlüsselung sorgt dafür, dass nur Befugte den Inhalt von Nachrichten oder Dokumenten zu Gesicht bekommen. Gleichzeitig bietet sie die Möglichkeit, in Form der digitalen Signatur, die Authentizität und den Ursprung von Informationen sicherzustellen. Allerdings gibt es große Unterschiede zwischen den einzelnen Verfahren und Standards – nicht alle zur Verfügung stehenden Methoden sind auch wirklich sicher.
Eine sicher eingesetzte Verschlüsselung zeichnen folgende Punkte aus:
- Die Verbindung von symmetrischen und asymmetrischen Verfahren. Eine geringe Latenz ist wesentlich für eine Kommunikation in Echtzeit, etwa bei Voice- und Videoinhalten per Messenger. Geschwindigkeit ist der große Pluspunkt einer symmetrischen Verschlüsselung, bei der Sender und Empfänger den gleichen Schlüssel nutzen. Der große Nachteil ist, dass dieser Schlüssel zwischen Sender und Empfänger übertragen werden muss und bei der Übertragung abgefangen werden könnte. Asymmetrische Verfahren, die mit einem Schlüsselpaar aus öffentlichem und privatem Schlüssel arbeiten, lösen dieses Problem: Der private Schlüssel („Private Key“) wird nie übertragen, sondern verbleibt beim Sender. Der öffentliche Schlüssel („Public Key“) kann jedem zugänglich gemacht werden, da er lediglich zum Verschlüsseln benutzt werden kann. Der große Nachteil hier: Aufgrund der komplexen Mathematik sind asymmetrische Verfahren sehr viel langsamer und bilden deshalb einen Performance-Flaschenhals bei Geräten mit begrenzter CPU-Leistung wie Smartcards oder Mobiltelefone. Eine praktische Lösung ist deshalb die Kombination von beidem: Bei dem hybriden Verfahren erfolgt der erste Aufbau der Verbindung über ein asymmetrisches Private- und Public-Key-Paar, danach wird ein symmetrischer Schlüssel zur Absicherung der Kommunikation genutzt.
- Die Ende-zu-Ende-Verschlüsselung. Ein anderer Aspekt ist die Unterscheidung zwischen Punkt-zu-Punkt- (P2P) und Ende-zu-Ende-Verschlüsselung (E2E). P2P sichert bei Versand und Empfang beispielsweise von E-Mails ausschließlich den Übertragungskanal zwischen Client und E-Mail-Server, nicht aber den Inhalt. Das heißt: Nur auf dem Weg zwischen zwei Netzknoten besteht ein Schutz, an unsicheren Übergangspunkten können Unbefugte mitlesen. Bei E2E dagegen können Nachrichten ausschließlich vom tatsächlichen Sender und Empfänger gelesen werden. Eine Nachricht wird vor dem Versand mit dem öffentlichen Schlüssel des Adressaten verschlüsselt und erst beim Entschlüsseln durch den Empfänger mittels dessen geheimen Schlüssels dekodiert. Dafür gibt es gängige E2E-Methoden wie S/MIME (Secure/Multipurpose Internet Mail Extensions) oder PGP (Pretty Good Privacy), die auch bei Chats, Voice- und Videocalls zwischen mehreren Teilnehmern eine wichtige Rolle spielen: Hier wird oft übersehen, dass ein zwischengeschalteter Server individuelle Streams eventuell entschlüsseln muss, um sie zusammenmischen zu können.
- Die Verschlüsselung der lokal gespeicherten Daten. Eine Verschlüsselung allein der Kommunikationsstrecke („data in transit“) verhindert nicht, dass die Daten auf dem mobilen Gerät („data at rest“) unverschlüsselt gespeichert werden. Spätestens sobald eine Anwendung die Daten zur Darstellung entschlüsselt, können diese auch von anderen Apps ausgelesen werden. Um die Daten vor Zugriffen zu schützen, hilft eine moderne Sicherheitslösung auf Basis einer Container-Technologie weiter. In einem abgeschotteten Bereich werden E-Mails, Kontakte, Kalender, Notizen oder auch Dokumente aus dem Intranet verschlüsselt gespeichert. Der Zugriff auf diese App bzw. diese Daten wird durch eine PIN, biometrische Verfahren wie Touch und Face ID oder per Smartcard abgesichert. Damit befinden sich die sensiblen Daten auf dem mobilen Gerät in einer sicheren Umgebung – egal, ob ein dienstliches oder privates Smartphone genutzt wird.
„Angreifer finden immer innovativere Wege, um Systeme zu kompromittieren und Daten zu stehlen. Damit die mobile Kommunikation höchsten Sicherheitsanforderungen gerecht wird, müssen die Daten sowohl bei der Übertragung als auch der Speicherung auf dem Endgerät verschlüsselt werden“, erklärt Dr. Hermann Granzer, CTO bei Virtual Solution in München. „Möglich wird das erst durch die Kombination aus hybrider Verschlüsselung, E2E-Verschlüsselung und der vollkommenen Abschottung der Daten auf dem Mobilgerät. Mit einer Lösung auf Basis der Container-Technologie sind Behörden und Unternehmen auf der sicheren Seite.“