Wie sicher sind unsere Handynetze?

Hinweis: Dieser Blogeintrag erschien ursprünglich bei der Sendung mit dem Internet als Online-Begleitung zur Sendung vom 14. März 2011:

Das Mobiltelefon ist bei vielen mittlerweile ein ständiger Begleiter, immer mehr Menschen telefonieren sogar nur noch per Handy und haben gar keinen Festnetzanschluss mehr. Dazu laufen immer größere Teile unserer Kommunikation über SMS und andere mobile Dienste, wie zum Beispiel auch das mobile Internet, ab. Doch wie sicher sind unsere Netze eigentlich?

Der Netzstandard GSM


Unsere Mobilfunknetze funktionieren über den Standard GSM. | Foto: Clive Darr (CC BY-SA 2.0)

Unsere Mobilfunknetze funktionieren ganz grundsätzlich über den Netzstandard GSM, was für „Global System for Mobile Communications“ steht. Dabei werden die Daten während des Telefonierens oder dem Senden und Empfangen einer SMS jedoch nicht ungeschützt verschickt, sondern sie werden verschlüsselt. Dies geschieht ebenfalls nach einem bestimmten Standard, in diesem Fall heißt er A5/1.

Das Problem dabei: Dieses Verschlüsselungssystem stammt aus den späten 1980ern, und ist daher nach heutigen Standards völlig veraltet. Die Sicherung der Datenpakete ist heute längst nicht mehr gewährleistet. Schon vor über einem Jahr zeigte der deutsche IT-Fachmann Karsten Nohl, wie einfach Gespräche über das Handy sowie SMS abgefangen und entschlüsselt werden können. Die Anschaffungskosten für die Technologie, die potentielle Angreifer dafür benötigen, liegen bei unter 50 Euro.

Die Brisanz von SMS

Doch sind die Nachrichten von Privatleuten überhaupt interessant? Ja, sagen Sicherheitsfachleute. Gerade die Bankkonten der Nutzer sind so sehr leicht angreifbar, da der aktuelle Sicherheitsstandard der meisten Banken beim Online-Banking von Zuhause das sogenannte „Mobile TAN“-Verfahren ist. Dabei erhält der Kunde, nachdem er den „digitalen Überweisungsschein“ ausgefüllt hat, eine SMS mit der Transaktionsnummer (TAN) auf sein Handy. Diese trägt er online ein, und bestätigt so die Überweisung. Ein Angreifer könnte nun diese SMS abfangen, und würde so Zugriff auf die Zahlungsdaten erhalten. Das heißt letztlich, dass nicht nur der Betrag der Überweisung, sondern auch das Zielkonto geändert werden kann – ohne, dass die Bank oder der Verbraucher etwas davon merken.

Ein so einfaches und alltagsnahes Beispiel macht deutlich, wie brisant die Informationen, die per SMS verschickt werden, manchmal sind. Und es zeigt auch, wie bedenklich die Sicherheitslücke in unseren Mobilfunknetzen eigentlich ist.

Die Bemühungen der Mobilfunkanbieter

Das Problem ist, wie beschrieben, schon länger bekannt. Eigentlich wäre die logische Reaktion, die wir als Nutzer erwarten würden, dass die Mobilfunkanbieter neue Sicherheitsstandards einführen. Doch das ist bis heute nicht geschehen. Weder wurde eine neue Verschlüsselung eingeführt, noch der Sicherheitsstandard gewechselt.

Warum das so ist, erklärt Marco Di Filippo von der Schweizer Compass Security AG und Fachmann auf dem Gebiet der IT- und Mobilfunk-Sicherheit anhand eines Fallbeispiels, und nimmt die Mobilfunkanbieter zu einem gewissen Grad in Schutz.

„Gehen wir davon aus, T-Mobile würde heute sein Netz sehr sicher machen wollen, und sagt, ‚Ja, wir verschlüsseln die komplette Sprachkommunikation, wir verschlüsseln alle SMS-Nachrichten, und dabei setzen wir einen sehr starken Schlüssel ein.‘ Das würde so sehr einfach machbar sein, doch die Kosten dafür müssten Sie als Verbraucher tragen: Sie könnten dann natürlich nicht mehr netzübergreifend telefonieren, denn die Sicherheitsstandards der einzelnen Netze wären nicht mehr kompatibel. Das heißt, Sie könnten nur noch innerhalb des T-Mobile-Netzes telefonieren, auch nicht ins Ausland – weil Sie ja nicht mehr international kompatibel sind – nicht mehr per Voice over IP, und nicht mehr ins Festnetz. Jetzt ist die Frage: Wie würden Sie als Kunde darauf reagieren, wenn ein Provider sehr sicher ist, aber nur eine begrenzte Gruppe an Usern erreichen kann?“

Es wird also schnell klar, dass das Problem der Sicherheitslücke in unseren Netzen nicht ganz einfach zu lösen ist. Natürlich wäre technisch gesehen sehr schnell eine Erhöhung der Sicherheit machbar, doch das würde das Telefonieren wesentlich komplizierter machen, und den Komfort für die Nutzer stark einschränken.


Neue Technologien wie UMTS machen das Surfen unterwegs möglich – und die Netze sicherer.

Zudem haben die Mobilfunkanbieter über die letzten Jahre durchaus immer wieder neue Sicherheitsstandards eingeführt, beispielsweise bei den neuen Breitband-Handynetzen UMTS/HSDPA, und zuletzt LTE, das sich gerade in der Einführung in Deutschland befindet. Diese neue Netzgeneration ist nicht nur einfach viel schneller und ermöglicht Surfen in DSL-Qualität (und teilweise sogar noch schneller) von überall aus, sondern erlaubt auch ganz neue Sicherungsmöglicheiten, da die hier eingesetzten Technologien wesentlich neuer sind.

Doch auch hier tritt ein Problem auf: Für diese neuen Technologien werden auch neue Geräte, sprich Mobiltelefone, benötigt. Ein großer Teil der Nutzer hat jedoch immer noch alte Geräte, die nur den rudimentären und unsicheren GSM-Standard unterstützen. Die Mobilfunkanbieter können also nicht einfach das alte unsichere Netz abschalten – denn so würden sie viele Kunden aussperren, und zwar auch, weil gerade im Ausland (wohin die Kompatibilität ja auch gewahrt werden muss) ein noch viel größerer Teil der Kommunikation über das alte GSM-Netz läuft.

Was für Schutzmaßnahmen kann ich selbst ergreifen?

Das Problem, das die Mobilfunkanbieter in ihren Sicherheitsbemühungen haben, trifft letztlich auch auf uns Endnutzer zu. Technisch gesehen wäre es sehr einfach möglich, die komplette Sprach-, Nachrichten- und Datenkommunikation eines Mobiltelefons mit modernsten Standards zu verschlüsseln. Selbst E-Mails auf dem heimischen Computer können verschlüsselt und so gegen Angreifer abgesichert werden. Doch eine Verschlüsselung auf der einen Seite erfordert auch eine Entschlüsselung auf der anderen Seite. Daher müsste jeder Kunde mit seinen Kollegen, Freunden und Familienmitgliedern einen eigenen Sicherungsschlüssel festlegen – ein riesiger Aufwand, den wohl nur sehr wenige betreiben werden.

Die Hoffnung, die Experten an dieser Stelle hegen, ist also, dass sich durch die zunehmende Erneuerung der Netze, und auch der Geräte der Endverbraucher, irgendwann der alte GSM-Standard ablösen lässt. Bis dahin werden wohl unsere Telefonate und SMS allerdings erst einmal weiterhin weitgehend ungeschützt bleiben.