EncroChat: Blackberry-PGP-Smartphone weniger sicher als gehärtetes Android-Gerät

Der holländische Sicherheitsanbieter EncroChat setzt auf ein sicherheitstechnisch aufgerüstetes Android-Smartphone als Ersatz für Blackberry-PGP-Smartphones, die er für inzwischen weniger sicher hält. Er verweist dazu darauf, dass das Netherlands Forensics Institute (NFI), die Forensikabteilung der niederländischen Polizei, nach eigenen Angaben Nachrichten lesen kann, die per PGP verschlüsselt auf einem Blackberry-Smartphone gespeichert sind.

Bei den geknackten Geräten handelte es sich um Blackberry-Geräte, die um von Blackberry und PGP entwickelte Verschlüsselungstools erweitert wurden und von Drittanbietern verkauft werden. Sie seien zudem mit BES-Servern von Dritten verbunden. Weitere Details hielt die Behörde zurück.

In einem Fall konnte das NFI angeblich 279 von 325 verschlüsselten Nachrichten auf einem Blackberry-PGP-Gerät wiederherstellen. Laut Motherboard wird das vom NFI eingesetzte Entschlüsselungstool Universal Forensic Extraction Device (UFED) auch von Polizeibehörden in Großbritannien und den USA eingesetzt. Sein Hersteller Cellebrite hat nach eigenen Angaben Kunden in mehr als 100 Ländern weltweit.

EncroChat verweist nun auf einen holländischen Drittanbieter namens Eccom, der aufgrund dieser Entwicklung die Blackberry-PGP-Smartphones aus dem Programm nimmt. „Kürzliche Ereignisse haben die Vertrauenswürdigkeit von Blackberry-PGP-Geräten in Frage gestellt“, lässt sich der Eccom-Chef in einer Presseaussendung zitieren. „Wir können unseren Kunden einfach keine unsicheren Geräte verkaufen. Die Bürger sollten eine gewahrte Privatsphäre erwarten können, insbesondere nach den im letzten Jahr erfolgten Enthüllungen über die flächendeckende NSA-Spionage in Europa.“ Eine gründliche Erprobung von EncroChat habe ergeben, dass es den striktesten Methoden sicherheitstechnischer und forensischer Untersuchung standhalte.

EncroChat verweist auf zahlreiche Sicherheitsfeatures wie sein Messaging-Protokoll als „elektronisches Äquivalent einer regulären Konversation in einem leeren Raum“. Anonymität sei garantiert, da sich kein EncroChat-Gerät oder eine eingesetzte SIM-Karte mit einem Kundenkonto in Verbindung bringen lasse. Dem Nutzer soll möglich sein, über einen Countdown-Zähler für die Löschung der versandten Nachrichten auf dem Empfangsgerät zu sorgen. Mit einem geheimen PIN-Code kann außerdem die sofortige „Paniklöschung“ aller auf einem Gerät gespeicherten Daten ausgelöst werden.

Die Lösung basiert auf einem Android-Smartphone mit angepasster Hardware und Software, wobei aber auch im Dual-OS-Betrieb die parallele Nutzung einer regulären Android-Version möglich ist. EncroChat bewirbt die Kombination des Endnutzergeräts und der Software mit einer sicheren Infrastruktur. Weiterhin verspricht der Anbieter sichere Over-The-Air-Updates (OTA), einfache Verifizierung von Kontakten, Secure Boot, Schutz vor Manipulationen und mehr.

Tipp: Was wissen Sie über Blackberry? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de