Behörden und staatliche Institutionen stehen vor der Herausforderung, mobile Kommunikation absolut sicher zu gestalten – selbst über 5G oder Satellit. Das Guardian-Projekt des Schweizer Rüstungsunternehmens Ruag zeigt, wie moderne Smartphones speziell angepasst werden, um vertrauliche Daten zu schützen, unkontrollierte Verbindungen zu verhindern und die Kommunikation auch in kritischen Situationen zuverlässig zu halten.
Das Projekt „Guardian“
In der Schweiz wird derzeit an einem besonders abgesicherten Smartphone für staatliche Institutionen gearbeitet. Ziel ist ein mobiles Kommunikationsgerät, das explizit für den Einsatz durch Armee, Behörden und Blaulichtorganisationen konzipiert ist – also für Umgebungen, in denen Verfügbarkeit, Vertraulichkeit und Kontrolle über Daten oberste Priorität haben.
Technische Grundlagen und Anpassungen
Das Gerät basiert auf handelsüblicher Smartphone-Hardware, wird aber auf Betriebssystem-Ebene stark angepasst. Im Fokus steht nicht maximale Funktionalität für Endnutzer:innen, sondern ein möglichst vollständig kontrollierbares System.
Klassische Bestandteile moderner Smartphones – herstellerseitige Dienste, App-Ökosysteme, Cloud-Anbindungen – werden bewusst entfernt oder ersetzt.
Sichere mobile Kommunikation über mehrere Wege
Ein zentrales Ziel des Projekts ist die sichere Kommunikation über mehrere Übertragungswege. Neben klassischen Mobilfunknetzen wie 5G soll perspektivisch auch eine satellitengestützte Anbindung möglich sein. Das Gerät bliebe damit kommunikationsfähig, selbst wenn terrestrische Netze eingeschränkt oder ausgefallen sind.
Für die Kommunikation kommen gezielt ausgewählte, sicherheitsorientierte Technologien zum Einsatz: ein datensparsamer Messenger mit Ende-zu-Ende-Verschlüsselung und eine alternative Internet-Architektur, die auf kontrollierte Datenpfade und erhöhte Resilienz ausgelegt ist.
Das Projekt befindet sich noch in der Pilot- und Evaluationsphase. Es gibt kein offiziell eingeführtes Standardgerät – Guardian ist Teil einer breiteren Diskussion darüber, wie staatliche Kommunikation technisch abgesichert werden kann.
Sichere mobile Kommunikation: 5G vs. Satellit
| Aspekt | 5G | Satellit |
|---|---|---|
| Infrastruktur | Zivil, verteilt | Potenziell staatlich |
| Ausfallsicherheit | Mittel | Hoch |
| Abhörgefahr | Niedrig–mittel | Mittel |
| Kontrolle | Begrenzt | Hoch (bei eigener Konstellation) |
| Militärischer Einsatz | Ergänzend | Strategisch |
5G bietet moderne Verschlüsselung, hohe Bandbreite und geringe Latenz – damit ist es besonders für koordinierte Einsätze geeignet. Behörden können eigene logische Netze einrichten, die vom öffentlichen Datenverkehr getrennt sind.
Zugleich bleibt 5G abhängig von ziviler Infrastruktur, Netzbetreibern und deren Updates. Metadaten lassen weiterhin Rückschlüsse auf Kommunikationsmuster zu. Technisch solide, organisatorisch aber angreifbar.
Satellitenkommunikation arbeitet unabhängig von terrestrischen Netzen und hält die Verbindung auch bei eingeschränkter Infrastruktur aufrecht. Eigene Satelliten erlauben volle Kontrolle über Routing und reduzieren Abhängigkeiten von externen Anbietern.
Der Haken: Funkstrecken strahlen physisch breit ab, die Schlüsselverwaltung ist komplex, Signale anfällig für Störungen. Robust also – aber nur wirklich sicher, wenn Verschlüsselung und Routing vollständig unter eigener Kontrolle stehen.
Threema als Messenger im Guardian-Projekt
Im Guardian-Projekt spielt Threema eine zentrale Rolle als Messenger für sichere mobile Kommunikation. Da das Smartphone speziell für Behörden und staatliche Institutionen entwickelt wird, müssen Nachrichten, Anrufe und Dateien zuverlässig verschlüsselt und Datenströme vollständig kontrollierbar sein – genau hier setzt Threema an.
- Ende-zu-Ende-Verschlüsselung für Nachrichten, Anrufe und Dateien
- Keine Telefonnummer oder E-Mail nötig → stark reduzierte Metadaten
- Serverstandort Schweiz (relevant für Datenschutz & Rechtsrahmen)
- Open-Source-Kernkomponenten, regelmässige externe Audits
- Kein Cloud-Backup-Zwang
Besonders relevant für Behörden:
- Threema Work / On-Premise: eigene Server möglich
- Kein Werbe- oder Trackingmodell
- Minimale Datenspeicherung: Threema weiss praktisch nichts über Kommunikationsbeziehungen
Einordnung: Threema ist nicht „magisch sicher“, aber konsequent auf Datenminimierung ausgelegt – und genau das ist für staatliche Kommunikation zentral.
Datensicherheit beim Guardian-Smartphone: Grundprinzipien
Ein zentrales Merkmal des Guardian-Projekts ist die konsequente Kontrolle über Software, Funktionen und Datenflüsse. Damit das Smartphone für Behörden wirklich sicher ist, muss klar festgelegt sein, welche Komponenten installiert werden, welche Funktionen aktiv sind und mit welchen Gegenstellen das Gerät kommuniziert.
Die folgenden Punkte erläutern, wie Ruag diese Prinzipien technisch umsetzen will.
Verifizierbare Software-Komponenten
Alle Software-Komponenten des Guardian-Smartphones müssen überprüfbar sein. Komponenten mit nicht einsehbarem Code, Systemdienste mit unbekanntem Verhalten oder vorinstallierte Hersteller-Frameworks können Risiken einbringen – und das ist das Problem.
Typische Beispiele: Google Play Services, proprietäre Telemetrie-Module, OEM-Diagnose-Tools. Man kann nicht prüfen, was sie tun, und kann deshalb nicht garantieren, dass keine unkontrollierten Datenflüsse entstehen.
Im Guardian-Projekt kommen daher nur Komponenten zum Einsatz, deren Verhalten überprüfbar und nachvollziehbar ist.
Funktionen mit Produktivitätsanforderungen
Viele Smartphone-Funktionen, die im Alltag nützlich sind, werden in einer Hochsicherheitsumgebung zum Risiko: Cloud-basierte Kalender, automatische Synchronisation, Sprachassistenten, Texterkennung, Autokorrektur, KI-Funktionen.
All diese Features laufen im Hintergrund, erzeugen Metadaten und kommunizieren regelmässig nach aussen. Für ein militärisches oder behördliches Gerät wie Guardian gilt: Vorhersagbarkeit vor Produktivität.
Derartige Funktionen werden daher bewusst entfernt oder durch kontrollierte Alternativen ersetzt.
Kontrolle über Verbindungen zu Dritten
Das Guardian-Gerät stellt nur explizit erlaubte Verbindungen her. Gewollte Kommunikation – etwa eine Threema-Nachricht an eine bekannte Gegenstelle – ist erlaubt. Ein Systemdienst, der im Hintergrund Server in anderen Ländern kontaktiert, nicht.
Technisch umgesetzt wird das durch: Entfernen aller Hintergrunddienste, Whitelisting statt Blacklisting, eigene App-Stores, eigene Update-Server, eigene Root-Zertifikate sowie vollständige Kontrolle über DNS und Routing – zum Beispiel über SCION.
So stellt Ruag sicher, dass die Kommunikation des Guardian-Smartphones ausschliesslich dort stattfindet, wo sie explizit erlaubt ist.