taz.de -- Sicherheitsrisiko SIM-Karte: Zu alt ist gefährlich

Ältere SIM-Karten sollen sich binnen kurzer Zeit hacken lassen. Das ist ein Problem – vor allem für Nutzer in Entwicklungsländern.
Bild: Und wie alt ist die SIM-Karte, die drin steckt?

BERLIN taz | Eine halbe Milliarde SIM-Karten weltweit, davon mehrere Millionen deutschlandweit, sollen sich verhältnismäßig einfach, mit Hilfe einer unbemerkten SMS hacken lassen. Der Sicherheitsforscher Karsten Nohl von der Firma Security Research Labs hat das Verfahren [1][öffentlich gemacht] und gegenüber der [2][Zeit] und [3][Heise Security] demonstriert. Es handele sich dabei um SIM-Karten, die mit einem alten Verschlüsselungsstandard arbeiten.

Der Hack soll vereinfacht dargestellt folgendermaßen ablaufen: Der Angreifer versendet eine sogenannte stille SMS, deren Eingang der Nutzer nicht bemerkt. Diese SMS werden sonst etwa von den Providern für Wartungszwecke verwendet. Doch die SMS des Angreifers hat eine gefälschte Signatur.

Während neuere Karten die Nachricht in so einem Fall ignorieren, schickt das Handy mit der alten Karte eine Fehlermeldung mit der gültigen Signatur zurück. Daraus soll sich binnen kurzer Zeit ein Schlüssel erstellen lassen, mit Hilfe dessen das Telefon von außen manipuliert werden kann. Somit ließe sich über die Karte telefonieren und surfen, genau wie auf der Karte gespeicherte Daten zugreifen. Laut dem Bericht der Zeit soll das Problem auch vereinzelt bei neueren Karten auftreten. Von außen lässt sich nicht erkennen, welchen Standard eine Karte nutzt.

„Hier in Deutschland ist die Gefahr trotzdem gering“, sagt Jürgen Schmidt von Heise Security. Das liege vor allem daran, dass die Mobilfunkanbieter die schädlichen Nachrichten aus dem Netz filterten – und die Absender-Karte sperrten. Grundsätzlich liege die problematische Grenze für das Alter einer Karte bei etwa zwei Jahren – jüngere SIM-Karten nutzten in der Regel einen aktuelleren Verschlüsselungsstandard.

Das Telefon als Konto

Anders sieht das etwa in Entwicklungsländern aus. Dort seien häufig sehr viel mehr ältere Karten im Umlauf und würden auch noch ausgegeben. Und noch ein Problem kommt hinzu: Während in Deutschland das Bezahlen per Handy noch keine weitere Verbreitung gefunden hat, hat sich die Technik in Entwicklungs- und Schwellenländern deutlich schneller durchgesetzt.

Systeme wie das in Kenia eingesetzte M-Pesa erlauben einen kompletten bargeldlosen Zahlungsverkehr und Kontoführung nur über die SIM-Karte im Telefon. Wenn hier ein Dritter die Kontrolle über das Gerät bekommt, ist der potenzielle Schaden für den Nutzer entsprechend hoch.

In Deutschland sieht Karin Thomas-Martin von der Verbraucherzentrale Baden-Württemberg die Anbieter in der Pflicht. „Wenn alte SIM-Karten nicht mehr sicher sind, gehört es zu den vertraglichen Pflichten des Mobilfunkproviders, sie auszutauschen.“ Passiere das nicht und dem Nutzer entstehe ein nachweisbarer Schaden, müsse der Anbieter entsprechend dafür aufkommen. Die Telekom und E-Plus betonten bereits, dass ihre Kunden von der Lücke nicht betroffen seien.

22 Jul 2013

LINKS

[1] http://srlabs.de/rooting-sim-cards/
[2] http://www.zeit.de/digital/mobil/2013-07/sim-karte-hack-nohl
[3] http://www.heise.de/security/artikel/DES-Hack-exponiert-Millionen-SIM-Karten-1920898.html

AUTOREN

Svenja Bergt

TAGS

Mobilfunk
Uganda
Bewegungsprofile
Fusion
Telefonica
Mobilfunkanbieter
Hack
Hacker
USA

ARTIKEL ZUM THEMA

Uganda fürchtet um seinen Mobilfunk: Ein Mord und seine Folgen

Vom Polizeiskandal zum Technikskandal: Warum Millionen Ugander fürchten, dass sie demnächst zwangsweise ihren Handy-Anschluss verlieren.

Bundesbehörden spähen Bürger aus: Bewegungsprofile dank „stiller SMS“

Mit „stillen SMS“ können Bewegungsprofile erstellt und Handys geortet werden. Allein im ersten Halbjahr 2013 wurden von deutschen Behörden rund 125.000 verschickt.

Kommentar Fusion von E-Plus und O2: Allianz oder Untergang

Der Wettbewerb wird unter der Fusion von E-Plus und O2 nicht leiden. Für die Kunden könnte das mobile Internet in Zukunft schneller werden.

Telefónica übernimmt E-Plus: Dritter plus Vierter macht Erster

Der Mutterkonzern von O2, Telefónica, will E-Plus übernehmen. Damit wäre die Telekom nicht mehr der größte Mobilfunkanbieter in Deutschland.

O2 kauft E-Plus: Konkurrenz für Telekom und Vodafone

Durch die Fusion der Mobilfunkkonzerne O2 und E-Plus würde ein neuer Marktführer entstehen. Noch ist das Geschäft nicht abgeschlossen.

Webseite von Apple gehackt: Die Apps sind sicher

Nach dem Hack einer Entwickler-Webseite für App-Programmierer, versichert der Apple-Konzern Daten seien sicher. Zudem sollen Kunden nicht betroffen sein.

Angeblich US-Kongress gehackt: Verwirrspiel um Passwort-Konten

Nach eigenen Angaben ist es einer Hackergruppe gelungen die Passwörter von Mitarbeitern des US-Kongresses zu knacken. Die IT-Abteilung des Kapitols dementierte dies.

China schimpft über US-Spionage: „Größter Schurke unserer Zeit“

Lange beschuldigten die USA China der Internetspionage. Die Aussagen von NSA-Enthüller Snowden, der Asyl in Ecuador beantragt hat, könnten den Spieß nun umdrehen.