Dat betekent dat organisaties die smartphones willen inzetten met beveiliging die sterk genoeg is voor overheidsgebruik de Samsung Galaxy S7 of binnenkort de Galaxy S8 kunnen kopen in plaats van de oude BlackBerry's die populair zijn bij veel overheidsfunctionarissen als Merkel. Deze week wordt het nieuwe systeem gedemonstreerd op CeBIT.

IPsec VPN

Behalve het versleutelen van communicatie en de data op het apparaat, beschermt de SecuSuite ook de telefoongesprekken met de beveiligingsstandaard van de Duitse overheidsorganisatie BSI. App-verkeer van goedgekeurde apps wordt door een IPsec VPN gevoerd en versleutelde telefoongesprekken gaan door een andere gateway dan die VPN.

Waarschijnlijk gaat een S7 met SecuSuite voor Samsung Knox rond juli in de verkoop, met een prijskaartje van rond de € 1750, zo zegt BlackBerry Secusmart-directeur Christoph Erdmann. Dat is dezelfde prijs als voor de versie voor BlackBerry 10 en bevat de telefoon, een smartcard (microSD) om de sleutels te beveiligen en een jaarabonnement.

Smartcard en pincode

Dit is niet de eerste keer dat het bedrijf samenwerkt met Samsung. Twee jaar geleden werkte het samen met IBM om een ultrabeveiligde (en ultradure) versie van de Galaxy Tab S 10.5 te leveren. De Secutablet kostte zo'n tweeduizend euro.

Gebruikers herkennen applicaties die worden beheerd en beveiligd door de werkgever aan een hangslot-icoontje op het pictogram van de app. Bij het starten ervan vragen deze om een pincode om de sleutel op de microSD-kaart te kunnen gebruiken. Zonder de kaart en code kunnen de app en diens data niet worden gebruikt.

Whitelisting (of niet)

Andere applicaties, bijvoorbeeld WhatsApp, Facebook en Twitter kunnen onbeveiligd worden geïnstalleerd als het beveiligingsbeleid dat toestaat. Sommige organisaties, zoals de Duitse overheid, hanteren een whitelist zodat alleen goedgekeurde apps kunnen draaien, terwijl andere volledige toegang tot de Google Play Store bieden.

Hierna: De toestellen gebruiken secure boot om te garanderen dat er niet is gerommeld met het OS.

Het beheer wordt uitgevoerd via de MDM en MAM-servers van het bedrijf, doorgaans BES 12 en EASE. Zelfs als een gebruiker tegen een malafide app uit de Google Play Store aanloopt, is de versleutelde data in de zakelijke app nog steeds beschermd, zegt Erdmann.

Segmenten van processen

"Elk goede besturingssysteem heeft een manier om processen die het geheugen van een ander proces lezen te blokkeren", zegt hij, daarbij vermeldend dat Android een van die OS'en is. "Op een niet gemanipuleerd OS, zorgt het besturingssysteem ervoor dat een app die toegang probeert te verkrijgen tot het geheugen van een andere voor een crash. Het zou een schending van de segmentering zijn."

De crux is natuurlijk dat het OS niet gemanipuleerd is. Bij SecuSuite voor Samsung Knowx kunnen certificeringsautoriteiten de broncode bestuderen om zich ervan te verzekeren dat Androids geheugenbeveiliging niet is omzeild. Samsungs secure boot-systeem zorgt er vervolgens voor dat alleen een getekend image van het OS geladen kan worden.

BlackBerry Android

Tot nu toe bieden maar enkele Android-fabrikanten apparaten met secure boot: Samsung en TCL, het bedrijf dat nu ook BlackBerry's met Android produceert. Dat betekent dat de vervanging van de Blackberry van de Duitse bondskanselier eveneens een BlackBerry kan zijn.

Erdmann stelt dat er mogelijkheden zijn om de SecuSuite-software ook op toestellen te introduceren die geen Samsung Knowx hebben, maar dat dit niet meteen gebeurt. "Het kost veel tijd om de beveiliging op het niveau te krijgen van BSI en de hoogste overheidsniveaus", legt hij uit. "Toen we begonnen samen te werken met Samsung bestond BlackBerry Android nog niet. Nu dat er wel is, is dit een logische vervolgstap."