Gehärtetes Android sicherer als BlackBerry?

EncroChat nutzt inzwischen gehärtete Android-Smartphones als Ersatz für Blackberry-PGP-Smartphones. Der niederländische Anbieter hält diese für weniger sicher. Das Unternehmen verweist dazu darauf, dass das Netherlands Forensics Institute (NFI), die Forensikabteilung der niederländischen Polizei, nach eigenen Angaben Nachrichten lesen kann, die per PGP verschlüsselt auf einem Blackberry-Smartphone gespeichert sind.

Es soll sich dabei um die Geräte handeln, die mit Verschlüsselungstools von Blackberry und PGP erweitert wurden und von Drittanbietern verkauft werden. Die Geräte sollen zudem mit BES-Servern von Dritten verbunden sein. Weitere Details hielt die Behörde zurück.

In einem Fall konnte das NFI angeblich 279 von 325 verschlüsselten Nachrichten auf einem Blackberry-PGP-Gerät wiederherstellen. Wie der Blog Motherboard berichtet, wird das vom NFI eingesetzte Entschlüsselungstool Universal Forensic Extraction Device (UFED) auch von Polizeibehörden in Großbritannien und den USA eingesetzt. Sein Hersteller Cellebrite hat nach eigenen Angaben Kunden in mehr als 100 Ländern weltweit.

EncroChat verweist nun auf einen holländischen Drittanbieter namens Eccom, der aufgrund dieser Entwicklung die Blackberry-PGP-Smartphones aus dem Programm nimmt. “Jüngste Vorkommnisse haben die Vertrauenswürdigkeit von Blackberry-PGP-Geräten in Frage gestellt”, so der Eccom-Chef in einer Pressemitteilung.

“Wir können unseren Kunden einfach keine unsicheren Geräte verkaufen. Die Bürger sollten eine gewahrte Privatsphäre erwarten können, insbesondere nach den im letzten Jahr erfolgten Enthüllungen über die flächendeckende NSA-Spionage in Europa.” Eine gründliche Erprobung von EncroChat habe ergeben, dass es den striktesten Methoden sicherheitstechnischer und forensischer Untersuchung standhalte.

EncroChat verweist auf zahlreiche Sicherheitsfeatures wie sein Messaging-Protokoll als “elektronisches Äquivalent einer regulären Konversation in einem leeren Raum”. Anonymität sei garantiert, da sich kein EncroChat-Gerät oder eine eingesetzte SIM-Karte mit einem Kundenkonto in Verbindung bringen lasse. Dem Nutzer soll möglich sein, über einen Countdown-Zähler für die Löschung der versandten Nachrichten auf dem Empfangsgerät zu sorgen. Mit einem geheimen PIN-Code kann außerdem die sofortige “Paniklöschung” aller auf einem Gerät gespeicherten Daten ausgelöst werden.

Die Lösung basiert auf einem Android-Smartphone mit angepasster Hardware und Software, wobei aber auch im Dual-OS-Betrieb die parallele Nutzung einer regulären Android-Version möglich ist. EncroChat bewirbt die Kombination des Endnutzergeräts und der Software mit einer sicheren Infrastruktur. Weiterhin verspricht der Anbieter sichere Over-The-Air-Updates (OTA), einfache Verifizierung von Kontakten, Secure Boot, Schutz vor Manipulationen und mehr.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Was wissen Sie über Blackberry? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de