Hickhack um Test für Handyverschlüsselung

Der Vorwurf wiegt schwer: Der deutsche Hersteller Securstar soll bei einem vermeintlich unabhängigen Test von Verschlüsselungslösungen für Handys, in dem sein Produkt als eines der wenigen als sicher abschneidet, seine Finger im Spiel gehabt haben. Der Test soll von einem bislang unbekannten Hacker mit dem Pseudonym Notrax durchgeführt worden sein. Notrax hat nach eigenen Angaben 16 Lösungen daraufhin untersucht, ob sie sich gegen Lauschangriffe gegen lokal installierte Trojaner wie Flexispy wehren können.

Notrax hat seine Ergebnisse auf der Webseite infosecurityguard.com veröffentlicht. Recherchen von Fabio Pietrosanti, dem Gründer des Securstar-Konkurrenten KHAMSA, sollen allerdings ergeben haben, dass Notrax' Internetverbindungen direkt aus dem Securstar-Firmennetzwerk herrühren. Darauf war Pietrosanti bei der Analyse seiner Server-Logs gestoßen, nachdem er auf infosecurityguard.com einen Kommentar zu dem Test hinterlassen hatte. Offenbar war Notrax einem Link im Kommentar später gefolgt, sodass sich in den Server-Logs von Pietrosanti nun eine IP-Adresse von Notrax fand – die offiziell Securstar gehören soll.

Die IP-Adresse allein beweist zwar den Zusammenhang nicht. Der Logeintrag enthielt jedoch zusätzlich den Referrer http://infosecurityguard.com/wp-admin/edit-comments.php, also den Link zur Kommentarverwaltung des Wordpress-Blogs, von dem Notrax kam. Da üblicherweise nur Administratoren auf dieses Wordpress-Modul Zugriff haben, liegt der Schluss nahe, dass jemand aus dem Securstar-Netz administrativen Zugriff auf das Blog auf infosecurityguard.com hat. Bemerkenswerterweise hatte Pietrosanti über die IP-Adresse sogar Zugriff auf die TK-Anlage von Securstar, die offenbar ohne weitere Sicherung im Netz hängt. Aktuell sind die Webserver von Securstar gestört; auch der Mailserver nimmt keine Mails entgegen.

Securstars Geschäftsführer Wilfried Hafner hat einen Zusammenhang mit Notrax gegenüber britischen Medien abgestritten. Notrax müsse zufälligerweise die Anonymisierungslösung SurfSolo von Securstar benutzt haben, bei der der Anwender nach außen sichtbar mit der Securstar-IP-Adresse unterwegs ist. Allerdings nutzen die SurfSolo-Proxys eigentlich einen anderen IP-Adressraum.

Der umstrittene Test datiert zwar auf Anfang Januar, ins Gerede kam der Test aber erst Ende vergangener Woche, als Securstar über seine Media-Agentur Sprengel und Partner eine Pressemitteilung dazu veröffentlichte. Darin heißt es, "dass nahezu alle namhaften Programme unsicher sind" – darunter auch die Secusmart-Lösung, die demnächst bei 5000 Handys von Mitarbeitern der deutschen Bundesregierung und der Kanzlerin zum Einsatz kommen sollen. Als unknackbar hätten sich von den bisher getesteten Lösungen nur sehr wenige erwiesen. Unter den Testsiegern sei auch die Software PhoneCrypt von Securstar.

Sprengel und Partner hat sich unterdessen von der Pressemitteilung distanziert und mit sofortiger Wirkung die Zusammenarbeit mit SecurStar gekündigt. Man sei anscheinend gezielt mit Fehlinformationen versorgt worden. Aber nicht nur Sprengel hat die Zusammenarbeit beendet, bereits im September des vergangenen Jahres hatte der Anonymisierungsdienstleister privat.li Verträge mit Securstar wegen "unethischen Verhaltens" gekündigt .

Hafner brachte sich und Securstar in der Vergangenheit schon mit dem obskuren Handy-Trojaner RexSpy ins Gerede, der in der Lage sein sollte, Geräte mit einer simplen SMS infizieren zu können. Demonstrationen der Lücke fanden aber statt unter kontrollierten Bedingungen nur bei dubiosen Treffen mit Journalisten statt. Auch damals lautete der Vorwurf (PDF) von Kritikern, dass es sich um eine Marketingaktion gehandelt habe. (dab)