SIM-Karten-Hack
Konken: Millionenfacher Schlüsseldiebstahl „Horrorvorstellung“
Berlin — Elektronische Reisepässe, Kredit- und Debitkarten, TAN-Generatoren, elektronische Autoschlüssel und Türöffner, verschlüsselte USB-Sticks und die Mobiltelefonie – alles unsicher, abhör- und manipulierbar? Der US-Geheimdienst NSA und sein britischer Partner GCHQ sollen im Besitz von Millionen Verschlüsselungscodes sein.
Der US-amerikanische Geheimdienst „National Security Agency (NSA)“ und der britische Geheimdienst „Government Communications Headquarters (GCHQ)“ sollen die elektronischen Schlüssel der Chiphersteller von Smartcards und SIM-Karten bereits vor Jahren ausgehebelt haben. Überall dort, wo diese Technologie zum Einsatz kommt, soll sie spätestens jetzt als unsicher gelten.
Smartcards sind Kunststoffkarten mit eingebautem Chip. Sie dienen entweder als Speicher, beispielsweise bei Krankenversichertenkarten, oder sie sind mit Mikroprozessor und Verschlüsselung versehen, etwa bei Geldkarten. Der auf dem Chip gespeicherte private Schlüssel galt bislang als sicher vor unbefugtem Zugriff.
SIM-Karten sind Chipkarten, die der Identifikation des Nutzers in einem Netzwerk dienen. Das „Subscriber Identity Module“ ist ein kleiner Prozessor mit Speicher. Der fixe, eingebrannte elektronische Schlüssel codiert und authentifiziert die Verbindung zwischen SIM-Karte und Kernnetz.
Geheimdienste wie die NSA und das GCHQ sind zuständig für Überwachung, Entschlüsselung und Auswertung elektronischer Kommunikation. Sie greifen in großem Umfang international den Datenstrom ab, spionieren gezielt staatliche Stellen und Unternehmen aus, observieren Mitarbeiter oder verpflichten Dienstleister im Geheimen zur Kooperation.
Ein Bericht der Investigativ-Website ⭱ „The Intercept“, der sich auf Dokumente des ehemaligen NSA-Analysten und späteren Whistleblowers Edward Snowden stützt, legt nahe, dass sich eine Einheit von NSA und GCHQ die elektronischen Schlüssel der Chiphersteller millionenfach, anlasslos und automatisiert beschafften.
Sind diese Zertifikate erst einmal bekannt, braucht eine elektronische Verbindung nicht mehr eigens geknackt zu werden: Ohne die Mitarbeit des Netzbetreibers oder eine gerichtliche Anordnung kann die übertragene Information mitgelesen, manipuliert und gefälscht werden. Obendrein kann eine identische SIM-Karte nachgebaut werden. Die mit ihr aufgebauten Verbindungen erscheinen wie jene mit der Originalkarte.
The news of this key theft will send
a shock wave through the security community.
Christopher Soghoian, principal technologist for the American Civil Liberties Union
Intercept berichtet speziell vom Datendiebstahl beim Großanbieter Gemalto, dem in Amsterdam ansässigen Weltmarktführer bei Chips für Kredit- und SIM-Karten. Gemalto, der jährlich über zwei Milliarden SIM-Karten herstellt, bemüht sich derweil, Bedenken um die Sicherheit seiner Schlüssel zu zerstreuen: Angriffe habe es gegeben, betrafen aber nur das äußere Firmennetzwerk, nicht die Infrastruktur der Produktion. Der ebenfalls von Intercept als Angriffsziel auserkorene Konkurrent Gemaltos, der Münchner Technologiekonzern Giesecke & Devrient, erkennt erst keine Anzeichen für einen Einbruch.
Unabhängig von Ziel und Dimension eines Schlüsseldiebstahls deuten die Indizien grundsätzlich auf eine Schwachstelle hin: Firmen wie Gemalto scheinen ein lohnendes Angriffsziel für Geheimdienste und Cyber-Spionage zu sein. Der Deutsche Journalisten-Verband nimmt die Angaben daher sehr ernst und dringt darauf, dass die Bundesregierung das Ausspähen von E-Mails und Telefonaten unterbinden solle. „Ein Telefonat, das ein Journalist per Smartphone mit seinem Informanten führt, gerät sonst ungewollt zur Konferenzschaltung mit den Geheimdiensten“, erklärt DJV-Bundesvorsitzender Michael Konken. Es sei eine „Horrorvorstellung, dass sich Journalisten und Whistleblower in der Demokratie immer stärker tarnen müssen“.
Fakt ist, dass unverschlüsselt übertragene Information generell als kompromittiert angesehen werden kann. In Gerichtsprozessen können elektronische Beweise wie Verbindungsdaten, abgeschöpfte Datenübertragungen und Bewegungshistorien nun ebenfalls als entwertet gelten. Schaden durch unsichere Mobil-Verbindungen lässt sich indessen nur durch zusätzliche Verschlüsselung durch den Nutzer eingrenzen. ✻
Erstveröffentlichung
Print: Rosenheimer blick, Inntaler blick, Mangfalltaler blick, Wasserburger blick, 28. Jg., Nr. 9/2015, Samstag, 28. Februar 2015, S. 1f., Kolumne „Leitartikel“; Inn-Salzach blick, 8. Jg., Nr. 9/2015, Samstag, 28. Februar 2015, S. 1f., Kolumne „Leitartikel“ [147/3/–/5; mit Karikatur].
Online: ⤉ blick-punkt.com, Mittwoch, 25. Februar 2015; ; ⤉ E-Paper Rosenheimer blick, ⤉ E-Paper Inntaler blick, ⤉ E-Paper Mangfalltaler blick, ⤉ E-Paper Wasserburger blick; ⤉ E-Paper Inn-Salzach blick, Samstag, 28. Februar 2015. Stand: Neujahr, 1. Januar 2025.