SIMSme Powered by Deutsche Post

Über 500 Jahre Postgeheimnis verpflichten. SIMSme Business sorgt mit strengen Sicherheitsstandards und umfassenden Datenschutzmaßnahmen dafür, dass Ihre sensible Unternehmenskommunikation bestens geschützt ist.

Höchste Sicherheitsstandards

Erstklassige Ende-zu-Ende-Verschlüsselung

Bei SIMSme werden alle Nachrichten auf dem Smartphone des Senders nach AES-256 symmetrisch verschlüsselt und anschließend SSL-verschlüsselt über die SIMSme-Server an den Empfänger übertragen. Damit der Empfänger die Nachricht lesen kann, benötigt er den entsprechenden Schlüssel, der im RSA-2048-Verfahren asymmetrisch für jeden Empfänger der Nachricht einzeln verschlüsselt und verschickt wird.

Bei dieser Vorgehensweise kommt ein öffentlicher Schlüssel zum Verschlüsseln und ein privater Schlüssel zum Entschlüsseln zum Einsatz – wobei der private Schlüssel niemals das Smartphone des Besitzers verlässt und nur lokal gespeichert wird.

Der Schlüssel, der benötigt wird, um die Nachricht zu lesen, kann also nur auf dem Smartphone des jeweiligen Empfängers entschlüsselt werden. Andere Kommunikationspartner, die Deutsche Post als Betreiber von SIMSme und ggf. Angreifer, die den AES-Schlüssel abgreifen könnten, sind daher nicht in der Lage, die verschlüsselte Nachricht zu lesen.

Mehr Informationen zur SIMSme-Verschlüsselung finden Sie hier.

Starke Verschlüsselung auf dem Smartphone

Die Sicherheit von SIMSme geht über die reine Übertragung der Nachricht auf das Smartphone hinaus. Während bei manch anderen Messengern die Kommunikationsinhalte nach der Entschlüsselung ungeschützt auf dem Smartphone verbleiben, werden bei SIMSme alle Chats und Medien stark verschlüsselt.

Dazu wird jeder Chat individuell mit einem AES-265 Key gesichert. Dieser AES Key ist mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Zum Entschlüsseln des privaten Schlüssels wird ein AES-256-Key mit optionaler Passphrase verwendet. So sind Nachrichten auf dem Smartphone genauso geschützt wie auf dem Transport dahin.

Verschlüsselungs­technik nach BSI-Richtlinien

Die von SIMSme eingesetzten kryptographischen Verfahren nach dem derzeitigen Stand der Technik gewährleisten ein hohes Maß an Sicherheit und Vertraulichkeit. Wir bestätigen, dass die verwendeten kryptographischen Algorithmen und Verfahren der Technischen Richtlinie 02102-2 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in der Fassung vom 2016-01 (u. a. SHA2) genügen.

 

Das BSI veröffentlicht regelmäßig als neutrale Instanz eine Bewertung der Sicherheit ausgewählter kryptographischer Verfahren und ermöglicht damit auch eine Einschätzung, ob die verwendete Technologie eines Produktes auf den neusten Standards basiert.

Weitere Informationen zu den Empfehlungen des BSI für kryptografische Verfahren finden Sie hier.

Audits und Zertifizierungen

Externe Sicherheits-Audits

Unabhängige Sicherheits-Audits überprüfen jährlich alle sicherheitsrelevanten Bestandteile von SIMSme Business – von den Apps bis zum Backend. Hier ein Auszug aus dem Audit, das von den anerkannten IT-Spezialisten von Cure53 durchgeführt wurde. Dabei wurden keine kritischen Fehler gefunden.

Auszug aus dem Pentest-Bericht:

„As a result, this evaluation managed to reach excellent test coverage and a high degree of confidence regarding the state of security at SIMSme. From the beginning of the tests it was almost instantaneously clear that the platform must have been subject to considerable scrutiny and numerous security tests in the past…

Instead, succeeding with attack efforts required much creativity on the testers’ part. Still, it remained impossible to unveil an issue that could be deemed “Critical” in scope and severity, which further illuminates the general good impression of the suite. Conclusively, security appears to be ingrained in many tiers and layers of security conscious and appropriately conceived designs. The maintainers of the SIMSme platform security have made a tremendously good decision when embarking on security investments as these have clearly paid off.“

Externe Datenschutz-Prüfung

SIMSme steht für Datenschutz und Datensparsamkeit. Dies lassen wir uns bei jedem Update von externen Spezialisten bestätigen. MediaTest digital TüvIT überprüft die Einhaltung von Daten­sicherheits-Standards und deutschen Datenschutzbestimmungen. Die SIMSme Business-Apps werden dabei regelmäßig als „Trusted App“ empfohlen.

Darüber hinaus wird im Rahmen von Datensicherheits-Analysen, wie etwa der SSL-Analyse, auch festgestellt, ob „Man-in-the-Middle-Attacken“ möglich und erfolgreich wären. Die Einstufung von SIMSme Business ist dabei nach aktuellem Testbericht immer „unbedenklich“.

Mehr Informationen zur Prüfspezifikation von mediaTest digital finden Sie hier.

Trusted App Siegel TÜVIT mediaTest

ISO-zertifizierte Datenzentren

Die SIMSme-Datenzentren befinden sich in Deutschland und sind nach IT-Grundschutz auf Basis ISO 27001 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert. Die Zertifizierung ist auf Basis von jährlich durchzuführenden Überwachungsaudits bis April 2021 gültig. Die Verfügbarkeit (SLA) von SIMSme Business liegt bei 99,9 %.

Der Geltungsbereich umfasst den Service „Colocation“ und das „Management Netzwerk“, das zur Erbringung der Services „Hosting“ im Auftrag der Deutschen Post eingesetzt wird. Der aufgeführte Untersuchungsgegenstand wurde von einem zertifizierten Auditor für ISO 27001-Audits auf Basis der IT-Grundschutz in Übereinstimmung mit dem Zertifizierungsschema des Bundesamtes für Sicherheit in der Informationstechnik geprüft.

Eigene Hacker-Wettbewerbe

SIMSme hat im Rahmen des Deutsche Post IT-Security Cup 2015 bewiesen, dass es erfahrenen Hackern standhalten kann. Diese konnten nur marginale Schwachstellen an den äußeren Sicherheitssystemen nachweisen – ein Vordringen in die weiter im Inneren liegenden Sicherheitsbereiche war nicht möglich.

Zielsetzung des Hacker-Wettbewerbes ist es, das angekündigte Sicherheitsniveau regelmäßig durch die besten IT-Sicherheitsforscher prüfen und bestätigen zu lassen. Damit setzt die Deutsche Post neue Maßstäbe. Denn nur wenige Anbieter stellen das Sicherheitsniveau ihrer Lösungen so objektiv und überzeugend unter Beweis wie die Deutsche Post.

Mehr Informationen zum Deutsche Post IT-Security Cup finden Sie hier.

Umfassender Datenschutz

Datenschutz­konformität

Als deutsches Unternehmen ist die Deutsche Post AG mit SIMSme den strengen Bundesdatenschutzgesetzen unterworfen. Auf unseren Servern, die ihren Standort in Deutschland haben, werden keine Meta-Daten dauerhaft gespeichert, ausgewertet oder weitergegeben. Wir verfolgen hier den „Zero-Knowledge-Ansatz“.

  • Die SIMSme App speichert lokal verschlüsselt die Login-Daten (Nutzername, Telefonnummer und Passwort) und Kommunikationsdaten des Nutzers.
  • Auf unseren Servern werden die Mobilnummern gehasht und das Profilbild sowie der Nickname verschlüsselt gespeichert. Zum Abgleich und zur Herstellung des Kontakts zwischen Nutzern wird eine verschlüsselte Liste der Mobilnummern der Kontakte auf die Server geladen und abgeglichen. Die Mobilnummern der Kontakte, die keine registrierten Nutzer sind, werden nicht gespeichert.
  • Nachrichten werden Ende-zu-Ende-verschlüsselt nur zwischengespeichert. Versendete Nachrichten werden verschlüsselt auf den Servern gespeichert, bis der Empfänger sie empfangen und geöffnet hat.
  • Durch den Empfänger geöffnete Nachrichten werden am gleichen Tag von unseren Servern gelöscht. Wenn Nachrichten nicht zugestellt werden können, werden diese nach spätestens 30 Tagen unzugestellt gelöscht.
  • Ein Nutzerkonto kann inklusive aller Dateien vom Nutzer selbst unter den Profileinstellungen restlos von unseren Servern gelöscht werden.

Mehr Informationen zu unseren Datenschutz-Bestimmungen finden Sie hier.

Tele­kommuni­kations­gesetz­konformer Einsatz

Messenger-Dienste werden nach dem Telekommunikations­gesetz (TKG) inzwischen als „Telekommunikationsdienste“ angesehen und sind gemäß § 6 Abs. 1 Satz 1 TKG meldepflichtig.

Die Deutsche Post AG ist mit SIMSme – im Gegensatz zu einigen anderen Messenger-Diensten – ordnungsgemäß bei der Bundesnetzagentur (Registernummer 94/208) gemeldet. Unternehmen erfüllen daher mit SIMSme ihre Sorgfaltspflichten bei der Wahl der eingesetzten Dienste

Technische und organisatorische Maßnahmen

SIMSme zeichnet sich durch extreme Datensparsamkeit aus. Wir erfassen keine Daten, die für den Betrieb nicht unbedingt notwendig sind. Zur Erfüllung der Anforderungen an Datenschutz und Datensicherheit nach § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG haben wir umfangreiche technische und organisatorische Maßnahmen (TOMs) etabliert.

Die Maßnahmen umfassen nach Anlage zu § 9 Satz 1:
1. Zutrittskontrolle
2. Zugangskontrolle
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Trennungsgebot

Die einzelnen technischen und organisatorischen Maßnahmen von SIMSme finden Sie hier.

Compliance und Nutzerverwaltung

Management Cockpit

Das SIMSme Management Cockpit ermöglicht eine intuitiv einfache Nutzerverwaltung und Konfiguration der App entsprechend Ihrer Compliance-Anforderungen. Über ein Web-Interface kann Ihr IT-Administrator die App im Unternehmen verteilen und zentral steuern. Neben einer möglichen Anpassung der App-Funktionen besteht die Option, das Design zu individualisieren und Nachrichten zu versenden.

Das Management Cockpit verfügt außerdem über folgende weitere Funktionen:
– Reporting Dashboard
– Nutzer- und Lizenzverwaltung
– Kanäle- und Gruppenverwaltung
– Sicherheits- und Compliance-Einstellungen

Mehr Informationen zum Management Cockpit finden Sie hier.

Mobile Device Management

SIMSme Business ist mit Mobile-Device-Managementsystemen (MDM) kompatibel und lässt sich so besonders einfach im Unternehmen verteilen und verwalten. Die App kann zentral über das MDM an Ihre Sicherheits-Anforderungen angepasst werden. So können Sie sicher sein, dass die Messenger-App im Rahmen Ihrer Richtlinien genutzt wird.

SIMSme Business unterstützt Android for Work (ab Android 5.0) und Managed App Configuration (ab iOS 8.0) und ist u. a. mit den u. g. MDM-Systemen kompatibel.

Support-Dokumentationen zur Verwendung mit „MobileIron“ und „Airwatch“ erhalten Sie hier.

Sicherheits-Kooperationen

Allianz für Cyber-Sicherheit

Die Deutsche Post engagiert sich mit SIMSme in der Allianz für Cyber-Sicherheit für eine sichere Kommunikation in Deutschland. Wertvolle Erkenntnisse aus dem Informations- und Erfahrungsaustausch fließen dabei in die Entwicklung des Messengers ein.

Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde. Als Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland hat die Allianz das Ziel, aktuelle und valide Informationen zu Gefährdungen im Cyber-Raum bereitzustellen.

Mehr Informationen zur Allianz für Cyber-Sicherheit finden Sie hier.

Vom Datenschutz der Kirchen für gut befunden

Dank des hohen Sicherheitsstandards und des deutschen Datenschutzes hat sich die Wirtschaftsgesellschaft der Kirchen in Deutschland mbH (WGKD) entschieden, ihren Mitgliedern SIMSme Business zu empfehlen. Hierzu wurde ein entsprechender Rahmenvertrag geschlossen.

 

„Die Kirchen stehen in der Mitte unserer Gesellschaft. Natürlich chatten die Mitarbeiter in Kindergärten, Pflegeheimen oder Krankenhäusern via Messenger. Mit SIMSme Business bieten wir all diesen Menschen jetzt die Möglichkeit, Messenger auch sicher für ihre Arbeit zu nutzen“, sagt Rainer Gritzka, Geschäftsführer der WGKD.

Mehr Informationen zum Einsatz von SIMSme bei der Kirche finden Sie hier.