Bundesregierung setzt verstärkt auf Krypto-Handys

Die Bundesregierung hält die auf einem Kongress des Chaos Computer Clubs (CCC) vorgeführten Angriffe auf den Verschlüsselungscode für GSM-Netze für realistisch. Der aufgezeigte Hack des Verschlüsselungsalgorithmus A5/1 lasse "ein missbräuchliches Abhören nunmehr deutlich einfacher und erstmals ohne großen finanziellen/technischen Aufwand möglich" erscheinen, schreibt das federführende Innenministerium in einer jetzt veröffentlichten Antwort (PDF-Datei) auf eine Anfrage der Linksfraktion im Bundestag. Als Konsequenz verstärke die Bundesregierung "ihre bereits seit geraumer Zeit abgegebene Empfehlung, für die sensible mobile Kommunikation Krypto-Handys zu nutzen". Dies praktizierte das Bundeskabinett bereits.

Konkret setzt die Bundesregierung derzeit nach eigenen Angaben die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassenen Produkte TopSec Mobile von Rohde & Schwarz sowie Secuvoice der Firma Secusmart ein. Bisher seien mit Mitteln des IT-Investitionsprogramms 499 TopSec-Geräte und 1500 Secuvoice-Mobiltelefone angeschafft worden. Vorrangig im Einsatz befinden sich diese mit insgesamt 703 entsprechenden Handys im Innenministerium selbst. Ergänzend sollen aus der Maßnahme noch rund 3250 zusätzliche Geräte beschafft und auch weiteren Ministerien und Behörden bereitgestellt werden. Die Kosten pro Stück betrügen rund 1230 Euro netto.

Kenntnis von einer Meldung in einem anonymen Internetforum über angeblich erfolgreiche Schadinstallation auf einem Secuvoice-Handy hat die Bundesregierung laut dem Schreiben. Das BSI habe die IT-Sicherheitsbeauftragten der Regierung über den Beitrag sowie die "grundsätzlich notwendigen Sicherheitsmaßnahmen" informiert. Versuche und Analyse hätten die behaupteten Angriffe aber nicht bestätigen können. Das BSI bewerte die empfohlenen Krypto-Handys daher weiterhin als "sicher".

Der Forderung des CCC an die hinter dem weit verbreiteten Mobilfunkstandard stehende Industrievereinigung GSMA, den veralteten Verschlüsselungscode durch einen zeitgemäßeren zu ersetzen, will sich das Innenressort nicht direkt anschließen. Sie verweist dazu auf eine EU-Richtlinie, in deren Anwendungsbereich der Betrieb von GSM-Mobiltelefonen falle. Diese enthalte keine Anforderungen an die Verschlüsselung von Funkverbindungen. Die EU-Mitgliedsstaaten könnten daher keine nationalen Regelungen schaffen, die über die grundlegenden Bestimmungen der Direktive hinausgingen. Insofern habe die Bundesregierung keinen direkten Einfluss auf die Standardisierung. Das Bundeswirtschaftsministerium werde jedoch prüfen, "inwieweit auf EU-Ebene ein sichererer Standard gefördert werden kann". (jk)