Behörden und staatliche Institutionen stehen vor der Herausforderung, mobile Kommunikation absolut sicher zu gestalten – selbst über 5G oder Satellit. Das Guardian-Projekt des Schweizer Rüstungsunternehmens Ruag zeigt, wie moderne Smartphones speziell angepasst werden, um vertrauliche Daten zu schützen, unkontrollierte Verbindungen zu verhindern und die Kommunikation auch in kritischen Situationen zuverlässig zu halten.
Das Projekt „Guardian“
In der Schweiz wird derzeit an einem besonders abgesicherten Smartphone für staatliche Institutionen gearbeitet. Ziel ist ein mobiles Kommunikationsgerät, das explizit für den Einsatz durch Armee, Behörden und Blaulichtorganisationen konzipiert ist – also für Umgebungen, in denen Verfügbarkeit, Vertraulichkeit und Kontrolle über Daten oberste Priorität haben.
Technische Grundlagen und Anpassungen
Das Gerät basiert auf handelsüblicher Smartphone-Hardware, wird jedoch auf Betriebssystem-Ebene stark angepasst. Im Fokus steht nicht maximale Funktionalität für Endnutzer:innen, sondern ein möglichst vollständig kontrollierbares System.
Klassische Bestandteile moderner Smartphones – etwa herstellerseitige Dienste, App-Ökosysteme oder Cloud-Anbindungen – werden bewusst entfernt oder ersetzt.
Sichere mobile Kommunikation über mehrere Wege
Ein zentrales Ziel des Projekts ist die sichere mobile Kommunikation über mehrere Übertragungswege. Neben klassischen Mobilfunknetzen wie 5G soll perspektivisch auch eine satellitengestützte Anbindung möglich sein. Damit würde das Gerät auch dann kommunikationsfähig bleiben, wenn terrestrische Netze eingeschränkt oder nicht verfügbar sind.
Für die Kommunikation selbst kommen gezielt ausgewählte, sicherheitsorientierte Technologien zum Einsatz. Dazu zählen ein datensparsamer Messenger mit Ende-zu-Ende-Verschlüsselung sowie eine alternative Internet-Architektur, die stärker auf kontrollierte Datenpfade und erhöhte Resilienz ausgelegt ist als das heutige öffentliche Internet.
Noch befindet sich das Projekt in einer Pilot- und Evaluationsphase. Es ist kein offiziell eingeführtes Standardgerät, sondern Teil einer übergeordneten Diskussion darüber, wie staatliche Kommunikation in Zukunft technisch abgesichert werden kann.
Sichere mobile Kommunikation: 5G vs. Satellit
| Aspekt | 5G | Satellit |
|---|---|---|
| Infrastruktur | Zivil, verteilt | Potenziell staatlich |
| Ausfallsicherheit | Mittel | Hoch |
| Abhörgefahr | Niedrig–mittel | Mittel |
| Kontrolle | Begrenzt | Hoch (bei eigener Konstellation) |
| Militärischer Einsatz | Ergänzend | Strategisch |
5G bietet moderne Verschlüsselung, hohe Bandbreite und geringe Latenz, wodurch es besonders für koordinierte Einsätze geeignet ist. Behörden können eigene logische Netze einrichten, die vom öffentlichen Verkehr getrennt sind.
Gleichzeitig bleibt 5G abhängig von zivilen Infrastrukturen, Netzbetreibern und Updates, und Metadaten können weiterhin Rückschlüsse auf Kommunikationsmuster zulassen. Technisch sicher, organisatorisch aber angreifbar, bietet 5G daher Vorteile und Risiken zugleich.
Satellitenkommunikation arbeitet unabhängig von terrestrischen Netzen und kann auch bei eingeschränkter Infrastruktur die Verbindung aufrechterhalten. Eigene Satelliten ermöglichen volle Kontrolle über Routing und reduzieren Abhängigkeiten von externen Anbietern.
Gleichzeitig sind Funkstrecken physisch breit abstrahlend, Schlüsselverwaltung komplex und Signale anfällig für Störungen. Satellitenkommunikation ist also robust, aber nur wirklich sicher, wenn Verschlüsselung und Routing vollständig unter eigener Kontrolle stehen.
Threema als Messenger im Guardian-Projekt
Im Guardian-Projekt spielt Threema eine zentrale Rolle als Messenger für die sichere mobile Kommunikation. Da das Smartphone speziell für Behörden und staatliche Institutionen entwickelt wird, müssen Nachrichten, Anrufe und Dateien zuverlässig verschlüsselt und die Datenströme vollständig kontrollierbar sein – genau hier setzt Threema an.
- Ende-zu-Ende-Verschlüsselung für Nachrichten, Anrufe und Dateien
- Keine Telefonnummer oder E-Mail nötig → stark reduzierte Metadaten
- Serverstandort Schweiz (relevant für Datenschutz & Rechtsrahmen)
- Open-Source-Kernkomponenten, regelmässige externe Audits
- Kein Cloud-Backup-Zwang
Besonders relevant für Behörden:
- Threema Work / On-Premise: Eigene Server möglich
- Kein Werbe- oder Trackingmodell
- Minimale Datenspeicherung: Threema weiss praktisch nichts über Kommunikationsbeziehungen
Einordnung: Threema ist nicht „magisch sicher“, aber konsequent auf Datenminimierung ausgelegt – und genau das ist für staatliche Kommunikation zentral.
Datensicherheit beim Guardian-Smartphone: Grundprinzipien
Ein zentrales Merkmal des Guardian-Projekts ist die konsequente Kontrolle über Software, Funktionen und Datenflüsse. Damit das Smartphone für Behörden wirklich sicher ist, muss genau festgelegt werden, welche Komponenten installiert werden, welche Funktionen aktiv sind und mit welchen Gegenstellen das Gerät kommuniziert.
Die folgenden Punkte erläutern, wie Ruag diese Prinzipien technisch umsetzen will.
Verifizierbare Software-Komponenten
Für die Sicherheit des Guardian-Smartphones ist entscheidend, dass alle Software-Komponenten überprüfbar sind. Komponenten, deren Code nicht einsehbar ist, Systemdienste mit unbekanntem Verhalten oder vorinstallierte Hersteller- bzw. Drittanbieter-Frameworks können Risiken bergen.
Typische Beispiele wären Google Play Services, proprietäre Telemetrie-Module oder OEM-Diagnose-Tools. Solche Elemente sind problematisch, weil man nicht prüfen kann, was sie genau tun – und folglich nicht garantieren kann, dass keine unkontrollierten Datenflüsse entstehen.
Im Guardian-Projekt werden daher nur Komponenten verwendet, deren Verhalten überprüfbar und nachvollziehbar ist.
Funktionen mit Produktivitätsanforderungen
Viele moderne Smartphone-Funktionen, die für den Alltag praktisch sind, stellen in einer Hochsicherheitsumgebung ein Risiko dar. Dazu zählen Cloud-basierte Kalender, automatische Synchronisation, Sprachassistenten oder intelligente Vorschläge wie Texterkennung, Autokorrektur oder KI-Funktionen.
All diese Features benötigen Hintergrundprozesse, erzeugen Metadaten und kommunizieren regelmässig nach aussen. Für ein militärisches oder behördliches Gerät wie Guardian ist Produktivität zweitrangig, Vorhersagbarkeit hingegen entscheidend.
Daher werden derartige Funktionen bewusst entfernt oder durch kontrollierte Alternativen ersetzt.
Kontrolle über Verbindungen zu Dritten
Ein weiterer Grundsatz der Datensicherheit beim Guardian-Projekt ist, dass das Gerät nur explizit erlaubte Verbindungen herstellt. Das bedeutet: Gewollte Kommunikation wie eine Threema-Nachricht an eine bekannte Gegenstelle ist erlaubt, unkontrollierte Verbindungen, beispielsweise ein Systemdienst, der regelmässig Server in anderen Ländern kontaktiert, werden ausgeschlossen.
Technisch wird dies umgesetzt durch das Entfernen aller Hintergrunddienste, Whitelisting statt Blacklisting, eigene App-Stores, eigene Update-Server, eigene Root-Zertifikate und vollständige Kontrolle über DNS und Routing (z. B. über SCION).
So stellt Ruag sicher, dass die Kommunikation des Guardian-Smartphones ausschliesslich dort stattfindet, wo sie explizit erlaubt ist.