Sicherheit

Ausspionieren leicht gemacht

Schwere Sicherheitslücke im deutschen UMTS-Netz entdeckt. Auch Merkels Handy betroffen

Berliner Sicherheitsexperten der Firma SRlabs haben herausgefunden, wie die NSA relativ einfach das UMTS-Handy von Bundeskanzlerin Angela Merkel abhören konnte. „Die vier deutschen Mobilfunkbetreiber haben bislang den UMTS-Mobilfunkstandard allesamt unsicher umgesetzt“, erklärt Carsten Nohl von SRLabs im Gespräch mit der Berliner Morgenpost. Die Berliner Firma hatte Reportern der ARD und der „Süddeutschen Zeitung“ demonstriert, wie sie eine Schwachstelle in dem meistgenutzten Mobilfunkstandard weltweit ausnützt, um jede Verschlüsselung der Funkübertragung auszuhebeln. Der UMTS-Standard gilt als hochsicher, da seine Verschlüsselung bislang nicht geknackt wurde.

Doch Nohl und seine Kollegen umgingen das Problem elegant: Sie fragten im internen Netzwerk der Mobilfunkbetreiber einfach automatisiert nach dem digitalen Schlüssel für die jeweils abzuhörende Funkübertragung – und bekamen ihn von den Servern der Mobilfunkbetreiber tatsächlich frei Haus geliefert. „Dass alle vier deutschen Mobilfunkbetreiber eine so offensichtliche Schwachstelle fast 20 Jahre lang übersehen haben, hat uns dann doch schockiert.“ Die Lücke ermöglicht es Nohl zunächst, SMS mitzulesen sowie Trackingdaten auszulesen – er kann also auch den Standort oder die Gesprächspartner eines UMTS-Telefons ausspionieren. Audiodaten von Telefongesprächen hat Nohl ebenfalls testweise mitgeschnitten, aber noch nicht die passende Abspielsoftware dafür gefunden.

Doch schon das Ausspionieren von SMS bietet ungeahnte Möglichkeiten: Banken verschicken beim SMS-Tan-Verfahren Onlinebanking-Transaktionscodes über das UMTS-Netz. Mailprovider wie Googlemail nutzen per SMS geschickte Codes zur Verifizierung der Nutzer, und Servicedienstleister wie Amazon verraten per Handy-Kurznachricht, wann Pakete ankommen – mit jeder dieser Informationen könnten Hacker böses Spiel treiben.

Nohl geht davon aus, dass er nicht der erste ist, der die Lücke gefunden hat: „Potenziell sind alle per UMTS gesendeten Informationen kompromittiert“, erklärt er. Den Standard-Smartphone-Nutzer interessiert das vermutlich eher weniger – doch Bundeskanzlerin Merkel etwa war bis zum Bekanntwerden der NSA-Abhöraffäre dafür bekannt, dass sie aktuelle Debatten im Kabinett gerne per SMS regelte.

Der Trick von Nohl ist so offensichtlich, dass er selbst verblüfft war, dass der Hack funktionierte: Mobilfunkbetreiber teilen sich gegenseitig mit, in welchem Netz und in welcher Funkzelle ein UMTS-Handy gerade sendet. Dazu nutzen sie ein gemeinsames internes Netzwerk sowie Standard-Protokolle namens SS7. Wenn nun ein Handy von einer Region in eine andere wechselt – etwa weil der Nutzer mit dem Zug fährt – und dabei eine Datenverbindung aufrecht erhalten werden soll, muss die neue Vermittlungsstelle die alte um den passenden Schlüssel für die laufende Übertragung bitten, um das Gespräch oder die Verbindung nicht abreißen zu lassen.

Jeder bekommt den Schlüssel

„Diese Anfrage wird nicht ausreichend verifiziert“, sagt Nohl. „Im Wesentlichen weise ich mich einfach als Vermittlungsstelle aus und schicke das Kommando zur Übergabe des Schlüssels an die andere. Geprüft wird dabei nichts. Jeder, der fragt, bekommt auch den Schlüssel“, so der IT-Spezialist. Früher war der Zugang zu SS7 streng beschränkt. Doch mittlerweile haben auch kleinere Internet-Provider oder sogar Webseiten einen Zugang, da sie SMS ins Mobilfunknetz verschicken. Nohl hatte einen dieser kleineren Provider dazu überredet, ihm den Zugang zu SS7 zu gewähren. Auch Geheimdiensten oder Konzernen dürfte es nicht sonderlich schwerfallen, den Zugang zu erlangen.

Nohl hatte seinen Hack zunächst den deutschen Mobilfunkbetreibern vorgestellt, die haben mittlerweile reagiert: Vodafone und die Telekom haben nach eigenen Angaben die Lücke in ihren Netzen bereits geschlossen. Auch beim neuen deutschen Marktführer Telefónica Deutschland mit den Marken O2 und E-Plus hieß es, man habe Maßnahmen ergriffen, um die Schwachstelle zu stopfen. Fraglich ist jedoch, was bislang bereits über die Lücke abgeschöpft wurde. Die Telekom warnte zudem, alle Schritte einzelner Anbieter könnten aber nur ein Pflaster sein. Eine dauerhafte Lösung könne nur die gesamte Industrie entwickeln. Dazu gehörten neben den Netzbetreibern auch die Hersteller von Netzinfrastruktur und Endgeräten, die Branchenverbände sowie Standardisierungsgremien. Die Telekom werde auch weiterhin mit externen Experten wie etwa dem Chaos Computer Club zusammenarbeiten und Erfahrungen austauschen.

Unabhängig davon wurde eine Sicherheitslücke in rund zwölf Millionen DSL- und Kabel-Routern von bekannten Herstellern wie D-Link, ZTE und Huawei bekannt. Die israelische IT-Sicherheitsfirma Check Point, die die Schwachstelle entdeckte, fand heraus, dass über die Sicherheitslücke Passwörter und Daten von unangeschlossenen Geräten abgegriffen werden können. Mit ihren aktuellen Software-Versionen hätten die Hersteller die Lücke aber in der Regel bereits geschlossen.