 |
# taz.de -- Sicherheitsrisiko SIM-Karte: Zu alt ist gefährlich |
|
|
|
> Ältere SIM-Karten sollen sich binnen kurzer Zeit hacken lassen. Das ist |
|
> ein Problem – vor allem für Nutzer in Entwicklungsländern. |
|
|
 |
Bild: Und wie alt ist die SIM-Karte, die drin steckt? |
|
|
|
BERLIN taz | Eine halbe Milliarde SIM-Karten weltweit, davon mehrere |
|
Millionen deutschlandweit, sollen sich verhältnismäßig einfach, mit Hilfe |
|
einer unbemerkten SMS hacken lassen. Der Sicherheitsforscher Karsten Nohl |
|
von der Firma Security Research Labs hat das Verfahren [1][öffentlich |
|
gemacht] und gegenüber der [2][Zeit] und [3][Heise Security] demonstriert. |
|
Es handele sich dabei um SIM-Karten, die mit einem alten |
|
Verschlüsselungsstandard arbeiten. |
|
|
|
Der Hack soll vereinfacht dargestellt folgendermaßen ablaufen: Der |
|
Angreifer versendet eine sogenannte stille SMS, deren Eingang der Nutzer |
|
nicht bemerkt. Diese SMS werden sonst etwa von den Providern für |
|
Wartungszwecke verwendet. Doch die SMS des Angreifers hat eine gefälschte |
|
Signatur. |
|
|
|
Während neuere Karten die Nachricht in so einem Fall ignorieren, schickt |
|
das Handy mit der alten Karte eine Fehlermeldung mit der gültigen Signatur |
|
zurück. Daraus soll sich binnen kurzer Zeit ein Schlüssel erstellen lassen, |
|
mit Hilfe dessen das Telefon von außen manipuliert werden kann. Somit ließe |
|
sich über die Karte telefonieren und surfen, genau wie auf der Karte |
|
gespeicherte Daten zugreifen. Laut dem Bericht der Zeit soll das Problem |
|
auch vereinzelt bei neueren Karten auftreten. Von außen lässt sich nicht |
|
erkennen, welchen Standard eine Karte nutzt. |
|
|
|
„Hier in Deutschland ist die Gefahr trotzdem gering“, sagt Jürgen Schmidt |
|
von Heise Security. Das liege vor allem daran, dass die Mobilfunkanbieter |
|
die schädlichen Nachrichten aus dem Netz filterten – und die Absender-Karte |
|
sperrten. Grundsätzlich liege die problematische Grenze für das Alter einer |
|
Karte bei etwa zwei Jahren – jüngere SIM-Karten nutzten in der Regel einen |
|
aktuelleren Verschlüsselungsstandard. |
|
|
|
## Das Telefon als Konto |
|
|
|
Anders sieht das etwa in Entwicklungsländern aus. Dort seien häufig sehr |
|
viel mehr ältere Karten im Umlauf und würden auch noch ausgegeben. Und noch |
|
ein Problem kommt hinzu: Während in Deutschland das Bezahlen per Handy noch |
|
keine weitere Verbreitung gefunden hat, hat sich die Technik in |
|
Entwicklungs- und Schwellenländern deutlich schneller durchgesetzt. |
|
|
|
Systeme wie das in Kenia eingesetzte M-Pesa erlauben einen kompletten |
|
bargeldlosen Zahlungsverkehr und Kontoführung nur über die SIM-Karte im |
|
Telefon. Wenn hier ein Dritter die Kontrolle über das Gerät bekommt, ist |
|
der potenzielle Schaden für den Nutzer entsprechend hoch. |
|
|
|
In Deutschland sieht Karin Thomas-Martin von der Verbraucherzentrale |
|
Baden-Württemberg die Anbieter in der Pflicht. „Wenn alte SIM-Karten nicht |
|
mehr sicher sind, gehört es zu den vertraglichen Pflichten des |
|
Mobilfunkproviders, sie auszutauschen.“ Passiere das nicht und dem Nutzer |
|
entstehe ein nachweisbarer Schaden, müsse der Anbieter entsprechend dafür |
|
aufkommen. Die Telekom und E-Plus betonten bereits, dass ihre Kunden von |
|
der Lücke nicht betroffen seien. |
|
|
|
22 Jul 2013 |
|
|
|
## LINKS |
|
|
 |
[1] http://srlabs.de/rooting-sim-cards/ |
|
[2] http://www.zeit.de/digital/mobil/2013-07/sim-karte-hack-nohl |
|
[3] http://www.heise.de/security/artikel/DES-Hack-exponiert-Millionen-SIM-Karte… |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Mobilfunk |
|
Uganda |
|
Bewegungsprofile |
|
Fusion |
|
Telefonica |
|
Mobilfunkanbieter |
|
Hack |
|
Hacker |
|
USA |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Uganda fürchtet um seinen Mobilfunk: Ein Mord und seine Folgen |
|
|
|
Vom Polizeiskandal zum Technikskandal: Warum Millionen Ugander fürchten, |
|
dass sie demnächst zwangsweise ihren Handy-Anschluss verlieren. |
|
|
|
Bundesbehörden spähen Bürger aus: Bewegungsprofile dank „stiller SMS“ |
|
|
|
Mit „stillen SMS“ können Bewegungsprofile erstellt und Handys geortet |
|
werden. Allein im ersten Halbjahr 2013 wurden von deutschen Behörden rund |
|
125.000 verschickt. |
|
|
|
Kommentar Fusion von E-Plus und O2: Allianz oder Untergang |
|
|
|
Der Wettbewerb wird unter der Fusion von E-Plus und O2 nicht leiden. Für |
|
die Kunden könnte das mobile Internet in Zukunft schneller werden. |
|
|
|
Telefónica übernimmt E-Plus: Dritter plus Vierter macht Erster |
|
|
|
Der Mutterkonzern von O2, Telefónica, will E-Plus übernehmen. Damit wäre |
|
die Telekom nicht mehr der größte Mobilfunkanbieter in Deutschland. |
|
|
|
O2 kauft E-Plus: Konkurrenz für Telekom und Vodafone |
|
|
|
Durch die Fusion der Mobilfunkkonzerne O2 und E-Plus würde ein neuer |
|
Marktführer entstehen. Noch ist das Geschäft nicht abgeschlossen. |
|
|
|
Webseite von Apple gehackt: Die Apps sind sicher |
|
|
|
Nach dem Hack einer Entwickler-Webseite für App-Programmierer, versichert |
|
der Apple-Konzern Daten seien sicher. Zudem sollen Kunden nicht betroffen |
|
sein. |
|
|
|
Angeblich US-Kongress gehackt: Verwirrspiel um Passwort-Konten |
|
|
|
Nach eigenen Angaben ist es einer Hackergruppe gelungen die Passwörter von |
|
Mitarbeitern des US-Kongresses zu knacken. Die IT-Abteilung des Kapitols |
|
dementierte dies. |
|
|
|
China schimpft über US-Spionage: „Größter Schurke unserer Zeit“ |
|
|
|
Lange beschuldigten die USA China der Internetspionage. Die Aussagen von |
|
NSA-Enthüller Snowden, der Asyl in Ecuador beantragt hat, könnten den Spieß |
|
nun umdrehen. |
