Sicherheitslücke im GSM-Netz

Sicherheit in Bezug auf Handys ist ein großes Thema, das leider immer noch zu wenig Beachtung findet – bei Nutzern genauso wie bei den Netzbetreibern. Auf der 28C3-Konferenz des Chaos Computer Club, die derzeit in Berlin stattfindet hat Karsten Nohl, Chef der Sicherheitsfirma Security Research Labs, auf eine gravierende Lücke im GSM-Netz hingewiesen.

GSM steht für Global System for Mobile Communication und ist der am weitesten verbreitete Mobilfunk-Standard. Für Hacker sei es ein Leichtes, sich über das GSM-Netz die Kontrolle über ein fremdes Handy zu verschaffen. Durch die Sicherheitslücke kann sich ein Angreifer die Identifikationsmerkmale eines Mobilfunkteilnehmers zu Eigen zu machen und sich dann selbst als dieser Teilnehmer auszugeben. So können auf die Kosten des gehackten Mobilfunkteilnehmers gebührenpflichtige Anrufe getätigt und SMS verschickt werden. Ruft der Hacker auf diese Art und Weise Premium-Dienste an oder schreibt an diese eine SMS, kann er damit sogar Geld verdienen.

35 Kilometer beträgt die Reichweite dieser Methode. Vor allem in der Großstadt sollte es also kein Problem sein, innerhalb kürzester Zeit eine Menge Handys zu knacken. Von der Sicherheitslücke sind alle Handys bedroht, nicht nur Smartphones. Besonders einfach ist ein solcher Hacker-Angriff im O2-Netz durchzuführen, doch auch bei den anderen Netzbetreibern ist es möglich. Das in dieser Hinsicht sicherste Netz hat in Deutschland T Mobile. Wie Karsten Nohl erläutert, gehen die Netzbetreiber noch immer viel zu wenig auf diese Schwachstelle ein, denn sie setzen viel zu wenige der Verbesserungsvorschläge um, die Nohl schon vor einem Jahr eingereicht hat.

Karsten Nohl stellte auch die GSM Security Map vor, eine Weltkarte, die weltweit die Sicherheit der GSM-Netze aufzeigt. Darauf ist auch zu erkennen, dass es in Deutschland zwar Schwachstellen gibt, im Vergleich zu den meisten anderen Ländern die GSM-Netze jedoch relativ sicher sind. Allerdings sollte das kein Grund für die Netzbetreiber werden, in Zukunft nicht noch mehr auf die Sicherheit der Netze und damit der Nutzer zu setzen.