Sicherheitslücke macht SIM-Karten anfällig für Hacker-Angriffe
Von Thomas Prenner
Millionen Mobilfunkkunden weltweit sind einer neuartigen Gefahr ausgesetzt. Demnach können sich Angreifer unbemerkt Zugang zu fremden Handys verschaffen und anschließend Gespräche oder Nachrichten mithören beziehungsweise mitlesen oder auch massive Kosten durch das ungewollte Anrufen von Mehrwertnummern verursachen. Einfallstor ist in diesem Fall die SIM-Karte, wie Karsten Nohl, Forscher bei der Berliner Sicherheitsfirma Security Research Labs, aufgedeckt haben will.
Veraltet
Die betroffenen Chips sind mit einer veralteten Verschlüsselung ausgestattet und können laut Nohl mit modernen Computern in wenigen Minuten geknackt werden. In weiterer Folge soll es möglich sein, in der sogenannten JavaCard-Umgebung Code auf der SIM-Karte auszuführen. „Vereinfacht gesagt, kann man eine Art Virus auf die SIM-Karte laden“, erklärt René Mayrhofer, Experte für mobile Sicherheit der FH Oberösterreich, gegenüber dem KURIER. Ist einem Angreifer das gelungen, stehen ihm alle Türen offen. „Kosten zu verursachen ist so ganz leicht“, erklärt Mayrhofer. Da die Details der Sicherheitslücke von Nohl erst Ende Juli präsentiert werden, ist laut Mayrhofer nur schwer abschätzbar, wie groß die Gefahr tatsächlich ist. „Theoretisch wäre es auch denkbar, dass der Schad-Code selbst reproduzierend ist, sich also von SIM zu SIM alleine verbreitet“, so Mayrhofer. Eine Teilschuld trifft hier auch die SIM-Hersteller, die ihre Software in die Chips laut Nohl nur sehr schlampig implementiert haben. Ihm zufolge betrifft die Lücke weltweit rund 900 Millionen SIM-Karten, ein Achtel aller SIMs im Umlauf.
„Fahrlässig“
„Ich halte diese Zahl für nicht unrealistisch“, so Mayrhofer. Demnach setzen Mobilfunker immer noch auf SIM-Karten mit dem unsicheren Verschlüsselungssystem „Single DES“, obwohl jenes bereits seit dem Jahr 2000 als unsicher gilt. „Es ist fahrlässig“, so Mayrhofer. Die älteren SIM-Karten dürften demnach vor allem in Entwicklungs- und Schwellenländern noch im Umlauf sein. Österreichische Mobilfunker setzen laut eigenen Angaben nicht mehr auf die älteren SIM-Karten. Vereinzelt seien die gefährdeten Chips aber dennoch weiter im Einsatz. T-Mobile und A1 sprechen gegenüber dem KURIER von einem einstelligen Prozentsatz an Kunden, die möglicherweise betroffen sind. Ob sich die Sicherheitslücke aber wirklich auch bei den heimischen Handys anwenden lässt, wird untersucht. Bei T-Mobile bestehe lediglich bei älteren telering-SIM-Karten eine mögliche Gefahr. Drei hat laut eigenen Angaben keine der betroffenen SIMs mehr im Umlauf.
Schutz
„Schützen kann man sich als Endkunde nicht, es macht auch keinen Unterschied, ob man ein Smartphone oder ein altes Handy nutzt“, sagt Mayrhofer. Man könne nur hoffen, dass der Mobilfunker die Gefahr erkennt und die veraltete SIM-Karte rasch austauscht. Genau das will man laut den österreichischen Betreibern auch tun, wie es auf Anfrage des KURIER heißt.
Moderne Touchscreen-Handys sind laufend den gleichen Gefahren ausgesetzt wie konventionelle PCs. Die Möglichkeit, Millionen verschiedene Apps zu installieren, erlaubt es zwar, das Gerät mit zahlreichen Funktionen zu erweitern, stellt aber auch ein Einfallstor für schadhafte Software aller Art dar. Das wird auch rege ausgenutzt, alleine für das Google-Betriebssystem Android haben Experten der Sicherheitsfirma Trend Micro im Jahr 2012 350.000 verschiedene Schädlinge entdeckt.
Kontrolle
Zwar werden die App-Stores der Marktführer Android, iOS, und Windows Phone überprüft, dennoch schaffen es immer wieder schadhafte Programme in die offizielle Auswahl und werden teilweise von Millionen Anwendern heruntergeladen. Die Auswahl an Daten, die über die Handys ausgelesen werden können, ist groß. Telefonnummern bis hin zu Adressen oder eMails sind auf den meisten Geräten genauso gespeichert, wie Passwörter für Facebook oder Zugangsdaten für die Bank. Um sich zu schützen, ist es ratsam, darauf zu achten, welche Apps man installiert. Programme mit wenig Bewertungen und wenig Downloads sollte man dabei immer besonders kritisch betrachten.