Schwachstelle Handykarte – Millionen SIM-Karten unzureichend geschützt

SIM-Karte

Die SIM-Karte sorgt nicht einfach für die Verbindung des Mobiltelefons mit dem Mobilfunknetz. Sie dient der Identifizierung und der sicheren Übertragung im Mobilfunknetz und ist ein Speicher, etwa für Kontakte, für Anmelde- und Zahlungsinformationen, für Passwörter. Derzeit sind rund sieben Milliarden Handykarten im Einsatz. Ein großer Teil von ihnen weist Sicherheitslücken auf und ist dadurch unzureichend vor Hackerangriffen geschützt, stellte das deutsche Sicherheitsunternehmen Security Research Labs fest. Die Internationale Fernmeldeunion (International Telecommunications Union, ITU) warnt davor und teilte mit, die Regulierungsbehörden in rund 200 Ländern und Hunderte Mobilfunkanbieter würden alarmiert werden.

Viele, wenn nicht die meisten SIM-Karten seien mit dem veralteten Verschlüsselungsstandard DES gesichert, teilte Security Research Labs mit. Die Technologie stammt aus den 1970er Jahren und nutzt lediglich Schlüssel von nur 56 Bit Länge, die deshalb ohne viel Aufwand und in kurzer Zeit geknackt werden können. Angreifer können dann lediglich durch den Versand einer Steuerungs-SMS an die Mobilfunknummer die Kontrolle über das Gerät übernehmen.

Den Eingang dieser SMS bemerkt der Nutzer nicht. Das Mobilfunkgerät führt aber den darin enthaltenen Befehl aus. Unter Ausnutzung der unsicheren Verschlüsselung kann mithilfe von Java-Applets auch auf nicht dafür vorgesehene Bereiche der SIM-Karten-Software zugegriffen werden, was wiederum die Steuerung des Mobilfunkgeräts und das Auslesen von Daten ermöglicht. Die Ausnutzung der Sicherheitslücke hat also ähnliche Auswirkungen wie ein Virusbefall. Mindestens ein Achtel der ausgegebenen SIM-Karten sind nach Informationen von Zeit online betroffen.

Abhilfe können nur die SIM-Karten-Hersteller und Netzbetreiber schaffen. Sie können sicherere Verschlüsselungsmethoden anwenden und nicht autorisierte Steuerungs-SMS ausfiltern. Der Mobilfunkkunde kann lediglich seine alte SIM-Karte gegen eine neue tauschen lassen. Doch auch das ist kein Garant dafür, dass die SIM-Karte ausreichend geschützt ist.

Update vom 23.07.2013

Den Informationen von heise zufolge, prüft o2 derzeit, ob Kunden betroffen sind. Bei SIM-Karten, die älter als 11 Jahre sind, sei das nicht auszuschließen. Vodafone sagte, die SIM-Karten ihrer Kunden würden automatisch aktualisiert. Außerdem filtere man Wartungs-SMS im eigenen Netz. E-Plus erklärte, die „überwiegenden Zahl der Kunden” sei nicht betroffen. Zudem seien sie vor derartigen SMS geschützt. Die Telekom sagte, ihre Kunden seien nicht betroffen. Auch bei älteren SIM-Karten würde die Verschlüsselungstechniken 3DES genutzt, die einen längeren Sicherheitsschlüssel verwendet. Der besteht aus einem 56 Bit langen Sicherheitsschlüssel, der sich dreimal wiederholt.
Nohl hatte die betroffenen Hersteller und Mobilfunknetzbetreiber bereits vor einigen Monaten informiert.

Weitere Informationen

Hilfe bei Verlust des Mobiltelefons

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


achtzehn − zwei =

Die aktuellsten telespiegel Nachrichten
Dubioser Punkteklau - Payback-Kunden in Aufregung

Dubioser Punkteklau

Payback-Kunden in Aufregung

Die Aufregung unter Payback-Kunden ist groß. „Abzocke“, „Betrug“ und „Punkteklau“ lauten die Vorwürfe, die derzeit die Verbraucherzentrale NRW, Facebook und Bewertungsportale erreichen. Denn bei vielen Kunden sind plötzlich die Guthabenpunkte, oftmals im Wert von 50 oder 100 Euro, teilweise sogar weit darüber verschwunden. […]

Bundesgerichtshof verbietet überhöhte Pauschale für Inkassokosten

Bundesgerichtshof

Verbot überhöhter Pauschale für Inkassokosten

Energieversorger dürfen keine überhöhten Inkassokosten verlangen, wenn sie Zahlungen bei säumigen Kunden eintreiben lassen. Das hat der Bundesgerichtshof (BGH) nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) gegen die SWM Versorgungs GmbH entschieden. […]

BGH-Urteil – ist der Radiorecorder-Dienst ZeeZee urheberrechtswidrig?

BGH-Urteil

Ist der Radiorecorder-Dienst ZeeZee urheberrechtswidrig?

Der Bundesgerichtshof in Karlsruhe hat in einem Urteil klargestellt, dass der Internet-Radiorecorder ZeeZee nicht als Hersteller urheberrechtwidriger Vervielfältigungen anzusehen ist. Ein Plattenlabel hatte gegen ZeeZee auf Unterlassung geklagt. Nun muss erneut das Oberlandgericht über die Angelegenheit entscheiden. […]

Corona-Krise – Berufliche Weiterbildung Zuhause am eigenen Computer

Corona-Krise

Berufliche Weiterbildung Zuhause am eigenen Computer

Während der Corona-Krise finden viele Veranstaltungen nicht statt. Doch für eine berufliche Weiterbildung wird nicht mehr als ein PC und eine stabile Internetverbindung benötigt. Zahlreiche Weiterbildungsträger bieten mittlerweile ein breit gefächertes Programm verschiedener Online-Seminare an. […]

„Letzte Meile“ – Bundesnetzagentur legt Mustervertrag für Zugang fest

„Letzte Meile“

Bundesnetzagentur legt Mustervertrag für Zugang fest

Die Bundesnetzagentur hat der Telekom einen neuen Mustervertrag für den Zugang zur sogenannten „letzten Meile“ vorgelegt. Zuvor war es immer wieder zu Streitigkeiten zwischen den Wettbewerbern und der Telekom gekommen. Das vorgelegte Standardangebot ist bis Ende 2025 gültig. […]