Mehr Sicherheit auf Smartphones: Mobiltelefone müssen vertrauenswürdiger werden

Auch das neuere UMTS ist nach Meinung der Fachleute vom Fraunhofer SIT nicht ausreichend sicher

(19.05.08) - Moderne Mobiltelefone, auch Smartphones genannt, sind leistungsfähiger als Schreib-tischcomputer vor einigen Jahren. Technisch gesehen ist ein aktuelles Handy ein tragbarer Mikrocomputer mit Telefonfunktion und Internetzugang. Dementsprechend wird es für immer mehr Anwendungen genutzt, nicht zuletzt als allgegenwärtiges Internetportal. Online-Banking, E-Mail-Empfang und -Versand, Webshopping, Musikdownloads, Passwortverwaltung, Adressbücher, Notizen, Fotos - es gibt kaum etwas, das sich mit den kleinen, aber mächtigen Wunderwerkzeugen nicht bewerkstelligen ließe.

Bei allem technischen Fortschritt hinkt die Sicherheit aber hinterher. Dahinter steckt kein böser Wille der Gerätehersteller und Netzbetreiber, sondern einfach die Tatsache, dass sich bei der Konzeption der heutigen Mobilfunknetze vor rund fünfundzwanzig Jahren niemand vorstellen konnte, dass ein Mobiltelefon zu etwas anderem als zum Telefonieren benutzt werden würde. Das erste Seriengerät, mit dem sich SMS verschicken ließen, kam vor gerade einmal 13 Jahren auf den Markt. Auch das neuere UMTS ist nach Meinung der Fachleute vom Fraunhofer SIT nicht ausreichend sicher.

Preis für besten Konferenzbeitrag auf WCNC-Konferenz

Die Mobilfunkbranche scheint sich aber dessen bewusst zu werden, dass bei der Sicherheit nachgebessert werden muss. So haben die Forscher Andreas Schmidt, Nicolai Kuntze und Michael Kasper vom Darmstädter Fraunhofer-Institut für Sichere Informationstechnologie (SIT) jetzt für ihr Grundsatzreferat "On the deployment of mobile trusted modules" auf der IEEE-WCNC-Konferenz (Wireless Communications and Networking Conference des Institute of Electrical and Electronics Engineers, Las Vegas, USA, 31.3.-2.4.2008) den Preis für einen der besten Konferenzbeiträge erhalten.

"In unserer Veröffentlichung zeigen wir, wie eine Referenzarchitektur für mobile Endgeräte nach den Spezifikationen der Trusted Computing Group (TCG) und der Mobile Phone Working Group (MPWG) umgesetzt werden kann, wie das praktische Design und die Implementierung dieses Konzepts aussehen und wie es auf einem geeigneten Betriebssystem angewendet werden kann", fasst Kuntze zusammen. Er baut mit seinen Kollegen auf Überlegungen auf, die von der TCG für stationäre Computer schon seit Jahren diskutiert und fortentwickelt werden. "Eine vertrauens-würdige mobile Plattform besteht aus Bereichen, die jeweils unterschiedlichen Interessenvertretern wie z.B. Netzbetreiber und Dienstanbieter zugeordnet und durch einen physikalischen Sicher-heitsanker geschützt werden. Besonders wichtig ist die Inbesitznahme des Gerätes durch den Benutzer und die geheime Übertragung der Benutzeridentitäten zwischen verschiedenen Geräten und Netzkomponenten.

"In der Veröffentlichung werden die entsprechenden Konzepte der MPWG, also Trusted Engines und Mobile Trust Modules (MTM), beschrieben und gezeigt, wie diese auf der Basis der bereits verfügbaren Trusted Platform Modules (TPM) implementiert werden können. Ein solcher virtueller MTM (vMTM) kann beispielsweise die Daten und Funktionalität einer SIM-Karte beherbergen und so deren Einsatzzweck auf die Authentifikation und das Identitätsmanagement auch auf normalen PC-Plattformen ausdehnen. Das sichere Smartphone könnte damit langfristig auch die Sicherheit beim Einsatz normaler Computer erhöhen. (Fraunhofer SIT: ra)