Alle Nachrichtensender berichten derzeit davon, ebenso viele Internetblogs. Es geht um etwas, das uns fast alle etwas angeht: die SIM-Karte. Es ist nun ein Problem mit der Verschlüsselung bei älteren SIM-Karten aufgetaucht, wodurch diese per SMS mit böswilligem Inhalt geknackt werden kann. Das alles, ohne dass der Besitzer Verdacht schöpft.
So ziemlich jeder hat heutzutage ein Handy oder Smartphone. Darauf ist in der Regel das gesamte Privatleben gespeichert, etwa Kontakte von Freunden, Arbeitskollegen, Bekannten, Bilder, Videos, SMS, Anrufe, Apps, Facebook-Nachrichten, Kalender-Einträge, Notizen und noch einiges mehr. Die SIM-Karte sorgt dafür, dass nur der Besitzer selbst mit seiner PIN telefonieren oder auf sonstige Art über das Mobilfunknetz kommunizieren kann. Leider sind SIM-Karten nicht so sicher, wie manch einer denkt.
Karsten Nohl ist Kryptograph und besitzt einen Doktortitel in Computer Engineering. Er beschäftigt sich schon jahrelang mit der Verschlüsselung von Mobilfunkverbindungen und hat den SIM-Karten Skandal aufgedeckt. Demnach besitzen Millionen von SIM-Karten auf der ganzen Welt einen uralten Verschlüsselungsstandard aus den siebziger Jahren namens DES. Der Schlüssel ist nur 56 Bit lang und kann vergleichsweise einfach geknackt werden. Dazu kommt, dass die Software auf vielen SIM-Karten so lückenbehaftet installiert ist, dass man die Sicherheitsmechanismen mit Leichtigkeit umgehen kann.
Nohl kann mit nur einer SMS ein Telefon kapern und komplett übernehmen. Er reicht die Handynummer und eine SIM-Karte der älteren Generation. Hat der Angreifer erst einmal die Verschlüsselung der SIM-Karte ausgehebelt, lassen sich dann auf Kosten des Handybesitzers SMS verschicken, Anrufe umleiten oder sogar Gespräche mithören. Selbst ein Klonen der SIM-Karte ist möglich, sodass man in einem anderen Gerät auf Kosten des rechtmäßigen Besitzers Telefonieren kann.
Eine Bestätigung des SIM-Nutzers benötigt der Hacker bei dieser Methode nicht. Man bemerkt nicht einmal, dass überhaupt jemand Zugriff auf die SIM erlangt hat. Erst wenn die Rechnung kommt oder plötzlich das Guthaben leer ist, könnte ein Verdacht aufkommen.
Eine einzige SMS mit gefälschte Signatur und bestimmten Steuerbefehlen reicht aus. Dass das Telefon diese SMS nicht anzeigt, liegt daran, dass Nohl den Server des Mobilfunkbetreibers nachahmt. Die SIM tauscht normalerweise viele Informationen mit dem Netzbetreiber aus, ohne dass der Benutzer es merkt. Dies ist jedoch völlig normal. In diesem Fall antworten ältere SIMs jedoch mit dem Hinweis, dass die Signatur falsch ist und die dabei verschickten Informationen reichen aus, um den Schlüssel der Karte zu errechnen. Neuere SIMs ignorieren generell falsche Signaturen.
Wirklich Sorgen muss man sich jetzt nicht um seine SIM-Karte machen, denn Nohl hat diese Aktion lange vorbereitet und einen großen Teil der 56-Bit Schlüssel ein Jahr im voraus berechnet. Nachahmer müssten also zunächst viel Zeit investieren.
Insgesamt soll jede achte SIM-Karte weltweit betroffen sein. Das wären insgesamt um die 900 Millionen SIMs. (via)
