Mobilfunk : Auf Nummer sicher

Das weltweite Mobilfunksystem ist veraltet, und wer telefoniert, dem kann jeder zuhören, zumindest im Prinzip. Das sagt Karsten Nohl, Kryptograf, Hacker, der Sperrcodes knackt und Fehler findet. Um Nutzer zu warnen – und Anbieter.

von
Gerätschafter. Bei seiner Arbeit helfen Karsten Nohl nicht nur sein Computer, sondern auch ein Lötkolben und ein hochauflösendes Mikroskop.
Gerätschafter. Bei seiner Arbeit helfen Karsten Nohl nicht nur sein Computer, sondern auch ein Lötkolben und ein hochauflösendes...Fotos: Doris Spiekermann-Klaas

Plötzlich wird es ganz still im Saal. Gebannt verfolgen etwa tausend Zuschauer, wie zwei junge Männer an einem Tisch sitzen, vor sich einen Laptoprechner und ein paar Mobiltelefone. Eine halbe Stunde lang haben sie ihr Vorhaben erklärt. Mehr als vier alte Handys, Stückpreis zehn Euro, und ein gängiger Computer mit frei zugänglicher Software sei nicht nötig, haben sie gesagt. Schon könne man sich eine eigene Sende- und Empfangsstation bauen und damit jedes Mobilfunkgespräch und jede SMS-Nachricht abhören und entschlüsseln.

Berlin, Kongresszentrum am Alexanderplatz, Ende Dezember. Der Computerwissenschaftler Karsten Nohl und sein belgischer Kollege Sylvain Munaut wollen demonstrieren, wie leicht sich über Handy geführte Telefongespräche abhören lassen. Sie haben die Arbeitsweise von „base stations“, „frequency hopping“ und all den anderen technischen Elementen, mit denen das Mobilfunksystem arbeitet, erklärt. Nun folgt der praktische Teil. Zunächst führen sie vom einen Ende der Bühne zum anderen ein kurzes Telefonat miteinander, dann schweigen sie. Nur auf der Leinwand hinter ihnen erscheinen Hunderte von Datenzeilen in rasender Folge, deren Bedeutung sich bei diesem „Chaos Communication Congress“, der jährlichen Versammlung der globalen Hackergemeinde, nur den Insidern erschließt. Die Spannung steigt. Dann kommt die Erlösung.

„Hello, Karsten here, how are you?“, tönt es durch die Lautsprecher, und eine weitere Stimme antwortet, „Hi, I am fine“, der Beginn des kurz zuvor geführten Gesprächs. Der Rest ist nicht mehr zu verstehen. Brausend erhebt sich der Applaus, minutenlang. Bescheiden senkt Nohl den Kopf und murmelt ein „thank you“ ins Mikrofon. Aber ein Lächeln kann er sich nicht verkneifen.

Denn er hat demonstriert, dass eines der wichtigsten technischen Systeme der Welt gravierende Schwächen hat und hoffnungslos veraltet ist: Das „Global System for Mobile Communications“, kurz GSM. Mehr als vier Milliarden Menschen weltweit kommunizieren mit ihren Handys über das System. Und jeder kann ihnen im Prinzip dabei zuhören. Ob bei Geschäftsleuten oder Politikern, Staatsanwälten oder Polizisten, die höchst vertrauliche Informationen über ihre Mobiltelefone austauschen. Sie alle mögen darauf vertrauen, dass ein Lauschangriff allenfalls von amtlichen Ermittlern mit staatlicher Erlaubnis über Anschlussstellen in den Netzwerkzentralen erfolgt. Doch das große Lauschen ist offenkundig auch ganz anderen Akteuren möglich: privaten Detekteien, Wettbewerbern und Kriminellen.

Zwar kritisieren Fachleute schon seit mehr als zehn Jahren, dass die GSM-Technik unsicher sei. Doch stets behaupteten Hersteller und Netzbetreiber, das sei übertrieben. So erklärte eine Sprecherin des Weltverbandes der Mobilfunkindustrie (GSMA) noch im Dezember 2009, das Entschlüsseln des Mobilfunkcodes sei nur „theoretisch möglich, aber praktisch unwahrscheinlich“. So war die Demonstration des Gegenteils beim Hackerkongress eine weitere Etappe in einem seit langem geführten Streit. Und sie zeigt, wozu „Hacken“ gut ist.

Während Computertechnologien im Alltag vieler Menschen immer wichtiger werden, sparen Hersteller und Betreiber bei der Sicherheit und operieren mit veralteter oder ungeprüfter Software, die für die Nutzer erhebliche Risiken birgt. Diese Praxis gerät jedoch immer stärker unter Druck. Denn die weltweit vernetzte Gemeinschaft aus unabhängigen Programmierern und Sicherheitsforschern, die dagegen vorgehen, wächst beständig. Sie begeistern sich für die Technik, aber sie wollen sich den Geschäftsstrategien der Konzerne nicht unterwerfen und fordern die Offenlegung und Prüfung von deren Software. Darum knacken sie geheime Sperrcodes, weisen Sicherheitslücken nach, schreiben bessere Software, die offen zugänglich und überprüfbar ist („open source“). So formieren sie eine Art Gegenkultur des Computerzeitalters.

Im Aufbruch. Handys sind für die Hacker längst kein Geheimnis mehr. Schon einfachste Telefone können mit Zusatzfunktionen ausgestattet werden.
Im Aufbruch. Handys sind für die Hacker längst kein Geheimnis mehr. Schon einfachste Telefone können mit Zusatzfunktionen...Foto: Doris Spiekermann-Klaas

Zu der zählt auch Karsten Nohl, der so hartnäckig gegen die Nachlässigkeit der Mobilfunkbetreiber zu Felde zieht. Gerade 29 Jahre alt und ausgestattet mit einem Diplom in Elektrotechnik sowie einem amerikanischen Doktortitel der Computerwissenschaft, ist Nohl ein gefragter Experte für die Sicherheit von chipgesteuerten Zugangskarten. Seine Wohnung in Prenzlauer Berg steht voll mit der nötigen Ausrüstung – vom hochauflösenden Mikroskop für die Analyse der Mikrochips bis zum Hochleistungsrechner für komplexe Verschlüsselungsmathematik.

Beim Beratungskonzern McKinsey hielt es ihn nur ein Jahr, bevor er sich selbstständig machte. Seitdem ist er gleich mit mehreren Dax-Konzernen im Geschäft, die für die Sicherheit ihrer Zugangssysteme lieber auf Berater vertrauen, die nicht von den Herstellern bezahlt werden. Es gelte, so beschreibt Nohl sein Motiv, die „Alltagstechnik“ sicher zu machen. Über deren Gefahren seien die meist „unbedarften Nutzer“ viel zu wenig informiert, „oft auch deshalb, weil die Produzenten oder Betreiber selbst nicht genau Bescheid“ wüssten. Daher verstehe er sich als „Botschafter zwischen den Welten“ der Wirtschaftslenker auf der einen und der Hackercommunity auf der anderen Seite.

Dieses Zusammenspiel ist bei der Entwicklung von Internet und den zugehörigen Rechnern schon seit vielen Jahren gang und gäbe. Auch dort sind es fast immer freie Programmierer, die Sicherheitslücken aufdecken und so dazu beitragen, das Netz sicherer zu machen. Über Smartphones und tragbare Rechner wird aber nun auch das Mobilfunksystem zusehends selbst zu einem Teil des World Wide Web. Darum ist es keineswegs Zufall, dass Hacker aller Länder jetzt auch diese Technologie mit aller Kraft genauer unter die Lupe nehmen.

Doch anders als bei den Programmen, mit denen das Internet läuft, hält die beteiligte Industrie von Apple bis Vodafone den Code für die im Mobilfunk angewandte Software bis heute unter Verschluss und verhindert so deren Fortentwicklung. Das halten Kritiker wie Nohl für unverantwortlich. Denn damit zementieren die Netzwerkbetreiber und ihre Lieferanten eine Struktur, die in den achtziger Jahren des vergangenen Jahrhunderts geschaffen wurde und die längst nicht mehr den heutigen Anforderungen entspricht.

Damals waren es noch die staatlichen Telefongesellschaften Europas, die miteinander den GSM-Standard vereinbarten, der später weltweite Verbreitung fand. Seinerzeit schien ausgeschlossen, dass irgendwer außerhalb dieser geschlossenen Gesellschaft mit eigenen Sendestationen in dieses Netz eindringen könnte. Zudem stand die Politik noch ganz im Bann des Kalten Krieges. Sichere Verschlüsselungsmethoden galten als militärisches Geheimnis und durften keinesfalls Anwendung im zivilen Leben finden. Doch was damals seine Logik hatte, macht das GSM-Netz heute höchst anfällig.

Nicht nur ist die Verschlüsselung leicht zu brechen. Als weitere Schwäche gilt der Umstand, dass die Sendestationen sich gegenüber den Handgeräten nicht „authentifizieren“, sich also nicht mit einem vorgegebenen Code „ausweisen“ müssen. Darum verbinden sich die Telefone auch mit „gefälschten“ Basisstationen, die gar nicht zum offiziellen Netz zählen. Auch die Software für das Versenden der Kurznachrichten ist primitiv und gefährlich manipulierbar. All das kritisieren Fachleute seit vielen Jahren. Und rein technisch wären alle diese Mängel auch leicht zu beheben. Doch die Mobilfunkindustrie scheut die Kosten und verschanzt sich hinter ihrem Softwaregeheimnis.

Aber das forderte die Gemeinde der freien Datenkundigen erst recht heraus. Und so entwickelte sich eine Revolte per Software, ähnlich jener, die einst auch schon dem Microsoft-Konzern erhebliche Umsatzverluste einbrachte, als die „Open-Source“-Bewegung das Betriebssystem Linux schrieb, und so eine frei zugängliche Alternative zum Windows-Programm schuf. Zum gleichen Mittel griffen dann vor rund drei Jahren auch die Mobilfunkkritiker und entwickelten in weltweiter Zusammenarbeit kurzerhand ihr eigenes GSM-System.

Einer der Organisatoren ist Harald Welte, auch er ein Wahlberliner und Aktivist im „Chaos Computer Club“. Welte, 31 Jahre jung, war maßgeblich an der Weiterentwicklung des Linux-Systems beteiligt und berät Unternehmen von der Schweiz bis nach Taiwan. Zugleich streitet er leidenschaftlich für die Idee der „Open Source“-Bewegung. Regelmäßig verklagt eine von ihm gegründete Initiative Unternehmen, die sich die frei entwickelte Software aneignen, ihre darauf basierenden Programme aber nicht teilen wollen. Es gehe, so erklärt Welte sein Engagement, um die „Demokratisierung“ der Technik. Da war es nur konsequent, dass er mit einigen Unterstützern vor gut einem Jahr das Programm „OpenBSC“ veröffentlichte, mit dem Forscher und Aktivisten eigene GSM-Netze aufbauen können. Während des jüngsten CCC-Kongresses konnten sich die Teilnehmer so über ein von Welte installiertes autonomes Netz verständigen – alles ganz legal selbstverständlich, die Netzbehörde hatte den Versuch genehmigt.

Vor allem aber eröffnete Weltes Erfindung unabhängigen Experten die Möglichkeit, die GSM-Technik im Labor selbst zu analysieren. Die Ergebnisse sind erschreckend, nicht nur beim Abhören von Gesprächen. Ralf-Philip Weinmann zum Beispiel, Forscher an der Universität Luxemburg, fand heraus, dass die allzu simpel gestrickten GSM-Chips Angreifern Tür und Tor zur Manipulation der Handygeräte selbst öffnen.

So demonstrierte er dem CCC-Publikum, wie sich an die beliebten iPhones von Apple oder andere Smartphones über eine simulierte Basisstation gezielt ein Signal senden lässt, mit dem sich die Geräte auf „automatisches Antworten“ schalten lassen. Damit genügt dann ein einfacher Anruf und das Handy wird zur Wanze. Der Anrufer kann alles hören, was in Reichweite des Mikrofons gesprochen wird – und der Nutzer bemerkt davon nichts. Dabei passt das notwendige Sendegerät in einen kleinen Rucksack. Man stelle sich nur vor, erklärte Weinmann unter dem Gelächter der Zuhörer, was sich da etwa in Sendereichweite „rund um die Gebäude der EU-Kommission“ alles erlauschen ließe.

Die „Auto-Antwort“-Funktion sei auch nur ein Beispiel. Mit der gleichen Methode könne man infizierte Smartphones auch alle Gespräche und SMS aufzeichnen lassen, um diese beim nächsten Mal, wenn der Nutzer eine Verbindung zum Internet aufbaut, an eine vorbestimmte Adresse zu schicken. „Die Leute speichern in den Geräten ihre vertraulichsten Daten und wickeln immer häufiger sogar ihre Bankgeschäfte darüber ab“, warnte Weinmann. Darum müssten „diese bugs unbedingt gefixt werden“, forderte er im Hackerjargon, will heißen: Die Hersteller und Netzbetreiber sollten ihren Kunden Programmergänzungen anbieten, um die Lücken zu schließen.

Das gilt nicht minder dringend für den Fehler, über den die beiden jungen Forscher Collin Mulliner und Nico Golde berichteten. In ihrem von der Telekom finanzierten Labor an der TU Berlin fanden sie heraus, dass jedes beliebige Handy einfach mittels einer SMS-Nachricht zum Absturz gebracht werden kann. Nötig waren nur einige Veränderungen an der Telefon-Software – eine Entdeckung mit Sprengkraft. Nicht nur könnten Angreifer damit gezielt einzelne Nutzer unerreichbar machen, was etwa bei eiligen Geschäftsvorgängen einem böswilligen Konkurrenten viel Geld einbringen kann. Zudem könnten über den Massenversand solcher „Killer-SMS“ auch viele tausend Handys gleichzeitig abgeschaltet werden. Wenn alle Nutzer sich dann nach dem Neustart binnen weniger Minuten wieder versuchen anzumelden, würde unweigerlich das Netz zusammenbrechen, ganze Regionen könnten damit abgekoppelt werden, fürchten die beiden Forscher.

Aber schaffen die Kritiker so nicht erst die Werkzeuge, vor deren Missbrauch durch Saboteure und Kriminelle sie so eindringlich warnen? Der Vorwurf liegt nahe, aber keiner der Aktivisten will ihn gelten lassen. Selbstverständlich würden sie die Details für die Angriffe nur den betroffenen Unternehmen mitteilen, versichern Mulliner und Weinmann. Außerdem sei davon auszugehen, dass im Geheimen längst vergleichbare Hackertechniken entwickelt wurden, von denen die Öffentlichkeit nur nie erfahre. „Entscheidend ist, dass die Nutzer über die Gefahren informiert werden und dass die Industrie endlich anfängt, diese technisch zu unterbinden“, sagt Kryptografie-Experte Karsten Nohl.

Dafür reicht der Druck aber offenbar noch nicht aus. Das T-Mobile-Netz entspreche „höchsten Sicherheitsanforderungen“, sagt ein Sprecher des Telekom-Konzerns lediglich, ansonsten gebe man keine Auskunft. Auch nicht zu den Killer-SMS der vom Konzern selbst bezahlten TU-Forscher Mulliner und Golde. Auch beim Netzbetreiber E-Plus wollte man dazu gar nichts sagen. Und der Sprecher des Unternehmens O2, der deutschen Tochter des spanischen Telekomriesen Telefonica, meint gar, die Unsicherheit der GSM-Technik sei nur „ein running gag“ der Hackergemeinde und die gezeigten Schwächen nur „ein theoretisches Problem“.

Einzig bei Marktführer Vodafone ist zumindest die Botschaft angekommen. Es sei „gut, dass die Kritiker die Sicherheitslücken aufzeigen“, sagt Thomas Ellerbeck, Sprecher der Geschäftsleitung. Darum werde Vodafone nun zumindest das Entschlüsseln der codierten Gesprächsdaten erschweren und auf den neuen Standard „A5/3“ umstellen. Der sei schon besser, kommentiert Nohl, aber eine Atempause will er den Mobilfunkern nicht gönnen. Auch dieser Standard sei noch zu schwach, „den knacken wir dann bis zum nächsten Jahr“.

Autor

Tagesspiegel - Debatten


Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

4 Kommentare

Neuester Kommentar