Die SIM-Karte sorgt nicht einfach für die Verbindung des Mobiltelefons mit dem Mobilfunknetz. Sie dient der Identifizierung und der sicheren Übertragung im Mobilfunknetz und ist ein Speicher, etwa für Kontakte, für Anmelde- und Zahlungsinformationen, für Passwörter. Derzeit sind rund sieben Milliarden Handykarten im Einsatz. Ein großer Teil von ihnen weist Sicherheitslücken auf und ist dadurch unzureichend vor Hackerangriffen geschützt, stellte das deutsche Sicherheitsunternehmen Security Research Labs fest. Die Internationale Fernmeldeunion (International Telecommunications Union, ITU) warnt davor und teilte mit, die Regulierungsbehörden in rund 200 Ländern und Hunderte Mobilfunkanbieter würden alarmiert werden.
Viele, wenn nicht die meisten SIM-Karten seien mit dem veralteten Verschlüsselungsstandard DES gesichert, teilte Security Research Labs mit. Die Technologie stammt aus den 1970er Jahren und nutzt lediglich Schlüssel von nur 56 Bit Länge, die deshalb ohne viel Aufwand und in kurzer Zeit geknackt werden können. Angreifer können dann lediglich durch den Versand einer Steuerungs-SMS an die Mobilfunknummer die Kontrolle über das Gerät übernehmen.
Den Eingang dieser SMS bemerkt der Nutzer nicht. Das Mobilfunkgerät führt aber den darin enthaltenen Befehl aus. Unter Ausnutzung der unsicheren Verschlüsselung kann mithilfe von Java-Applets auch auf nicht dafür vorgesehene Bereiche der SIM-Karten-Software zugegriffen werden, was wiederum die Steuerung des Mobilfunkgeräts und das Auslesen von Daten ermöglicht. Die Ausnutzung der Sicherheitslücke hat also ähnliche Auswirkungen wie ein Virusbefall. Mindestens ein Achtel der ausgegebenen SIM-Karten sind nach Informationen von Zeit online betroffen.
Abhilfe können nur die SIM-Karten-Hersteller und Netzbetreiber schaffen. Sie können sicherere Verschlüsselungsmethoden anwenden und nicht autorisierte Steuerungs-SMS ausfiltern. Der Mobilfunkkunde kann lediglich seine alte SIM-Karte gegen eine neue tauschen lassen. Doch auch das ist kein Garant dafür, dass die SIM-Karte ausreichend geschützt ist.
Update vom 23.07.2013
Den Informationen von heise zufolge, prüft o2 derzeit, ob Kunden betroffen sind. Bei SIM-Karten, die älter als 11 Jahre sind, sei das nicht auszuschließen. Vodafone sagte, die SIM-Karten ihrer Kunden würden automatisch aktualisiert. Außerdem filtere man Wartungs-SMS im eigenen Netz. E-Plus erklärte, die „überwiegenden Zahl der Kunden” sei nicht betroffen. Zudem seien sie vor derartigen SMS geschützt. Die Telekom sagte, ihre Kunden seien nicht betroffen. Auch bei älteren SIM-Karten würde die Verschlüsselungstechniken 3DES genutzt, die einen längeren Sicherheitsschlüssel verwendet. Der besteht aus einem 56 Bit langen Sicherheitsschlüssel, der sich dreimal wiederholt.
Nohl hatte die betroffenen Hersteller und Mobilfunknetzbetreiber bereits vor einigen Monaten informiert.
Hinterlasse jetzt einen Kommentar