Der beim Berliner Sicherheitsunternehmen Security Research Labs arbeitende Forscher Karsten Nohl hat gravierende Schwachstellen in SIM-Karten entdeckt, die für die Verbindung zwischen einem Handy und dem GSM-Netz zuständig sind. Auf älteren Modellen wird zum Teil noch das relativ leicht knackbare Verschlüsselungsverfahren DES eingesetzt. Mit Hilfe einer Service-SMS, die der Benutzer nie zu Gesicht bekommt, kann ein Angreifer den privaten Schlüssel ermitteln. So kann er die volle Kontrolle über das Handy erlangen. Nohl hatte seine Entdeckung bereits vor geraumer Zeit an Mobilfunkbetreiber und Kartenhersteller gemeldet. Die Mobilfunk-Provider haben in der Zwischenzeit reagiert und damit begonnen die fraglichen Wartungs-SMS heraus zu filtern. Das kann ohne nennenswerte Nebenwirkungen geschehen, da es keinen legitimen Grund gibt, warum ein normales Handy oder Smartphone eine solche SMS an ein anderes Gerät senden sollte. Wer das dennoch macht, riskiert eine Sperrung seiner eigenen SIM-Karte. Zudem erklären die vier in Deutschland tätigen Netzbetreiber, SIM-Karten mit DES-Verschlüsselung seien in Deutschland kaum noch im Einsatz. Lediglich bei mehr als zehn Jahre alten Karten könne ein Risiko nicht ganz ausgeschlossen werden, meint O2/Telefonica. Die Deutsche Telekom gibt an, sie verwende auch bei älteren SIM-Karten das stärkere Verschlüsselungsverfahren 3DES (Triple DES). Marc Rogers, leitender Sicherheitsforscher bei Lookout , vertritt die Auffassung, man solle SIM-Karten nicht länger als Hardware-Problem, sondern als Software-Problem behandeln. Dann könnten SIM-Karten per Update auf neuere Sicherheitsverfahren umgestellt werden und müssten nicht ausgetauscht werden. Rogers ist zudem der Ansicht, eine reale Gefahr bestehe durch die bekannt gewordene Angreifbarkeit nicht. Es gebe keiner Hinweise darauf, dass es sich um mehr als ein theoretisches Szenario handele. Ein Grund für die geringe Verbreitung älterer SIM-Karten mag auch darin liegen, dass es vor einigen Jahren eine Änderung der Spannungsversorgung für die SIM-Karten gegeben hat. Während ältere Modelle noch mit 5 Volt versorgt werden müssen, werden neuere Karten mit 3 V oder sogar nur 1,8 V betrieben. Moderne Mobiltelefone unterstützen die alte 5-V-Technik oft nicht mehr, weshalb eine neue SIM-Karte fällig wird. Gleiches gilt, wenn man das UMTS-Netz für schnelles mobiles Internet nutzen will, was mit den uralten SIM-Karten nicht möglich ist.
News
SIM-Karten deutscher Nutzer kaum gefährdet
Ältere SIM-Karten, die noch mit DES-Verschlüsselung arbeiten, können mit einer Service-SMS gehackt werden. Doch in Deutschland sei diese Gefahr relativ gering, meinen die Mobilfunk-Provider.

Image: fz