Sicherheitslücke bei Handys:Ferngesteuert per SMS

Das eigene Mobiltelefon wird fremdgesteuert, ohne dass der Besitzer davon weiß. Hunderte Millionen Handys weltweit könnten anfällig für eine Hackerattacke sein. Für den Angriff reicht eine SMS - die der Nutzer nicht einmal bemerkt.

Von Jakob Schulz

Das Herzstück ihres Handys haben viele Menschen exakt ein einziges Mal in der Hand. Dann nämlich, wenn sie die SIM-Karte ihres Mobilfunkanbieters in ihr neues Telefon einsetzen. Es folgen der Akku und die Abdeckung, und fortan gibt es eigentlich keinen Grund mehr, sich noch über die SIM-Karte Gedanken zu machen. Dabei sind in ihr die wichtigsten Daten des Besitzers gespeichert: das Adressbuch, Anruflisten, Kurznachrichten (SMS) und bei neuen Modellen sogar Zahlungsinformationen, wenn die Besitzer das Telefon zum mobilen Bezahlen verwenden.

Ebenjene nur fingernagelgroße SIM-Karte kann bei Mobiltelefonen aber zum Einfallstor für Angreifer werden. Der Berliner Sicherheitsexperte und Kryptospezialist Karsten Nohl hat herausgefunden, dass Unbefugte mittels simpler Textnachrichten die Kontrolle über fremde Handys übernehmen können. Nohl zufolge könnten bis zu einem Achtel aller SIM-Karten weltweit diese Sicherheitslücke aufweisen. Das wären insgesamt eine halbe Milliarde Telefone, allein in Deutschland möglicherweise mehrere Millionen Geräte.

Wie funktioniert die Sicherheitslücke?

Damit ein Angreifer ein Telefon erfolgreich kapern kann, muss die SIM-Karte einen veralteten Verschlüsselungsstandard namens Data Encryption Standard (DES) nutzen. Dieser Schlüssel wurde in den Siebzigerjahren entwickelt, wegen seiner kurzen Schlüssellänge von nur 56 Bit gilt er seit Längerem als nicht mehr sicher, heute werden 128 Bit oder auch mehr als sicher angesehen.

Viele Handys kommunizieren mit den jeweiligen Mobilfunkanbietern "over-the-air" (OTA), also drahtlos, ohne dass die Kunden es merken. Über OTA schicken die Anbieter sogenannte stille SMS an die SIM-Karte, um zum Beispiel eine aktuelle Version der Software aufzuspielen. Diese Schnittstelle können Hacker nutzen, um das Telefon zu übernehmen. Sie tarnen sich als Mobilfunkanbieter und schicken vorgebliche Wartungs-SMS mit einer gefälschten Signatur an ihre Opfer.

Die meisten SIM-Karten reagieren auf diese Nachricht gar nicht erst, weil die Signatur falsch ist. Ältere Kartentypen antworten allerdings zum Teil mit einer Fehlermeldung, ebenfalls per stiller SMS. Diese Antwort ermöglicht es dem Angreifer, den korrekten 56-Bit-Code zu berechnen und fortan schädliche Steuerungsbefehle an das gehackte Telefon zu erteilen. Per SMS kann der Angreifer sogar sogenannte Java-Applets auf das Telefon laden, die zum Beispiel Daten kopieren können.

Was kann passieren?

Hat ein Angreifer erst die Kontrolle über die SIM-Karte eines fremden Mobiltelefons übernommen, kann er nach Gutdünken agieren. Der arglose Besitzer des Geräts bemerkt davon nichts. Das unterscheidet den Angriff per SMS etwa von einem Virus. Um sich in einem Computer oder Handy einnisten zu können, braucht der Virus eine Aktion des Nutzers, zum Beispiel einen Klick auf den verseuchten Anhang einer E-Mail oder einen Link.

Im Fall der aktuellen SIM-Sicherheitslücke sei Betrug das wahrscheinlichste Szenario, sagte Kryptospezialist Karsten Nohl zu Süddeutsche.de. So könnte der Betreiber eines teuren Telefonservices mit einem Hacker zusammenarbeiten - und über ein gekapertes Handy massenhaft teure SMS senden oder Anrufe unter der eigenen, kostenpflichtigen Nummer machen. Eine andere Möglichkeit sei, über die Sicherheitslücke sogenannte Bezahl-Tokens zu stehlen, sagt Nohl. In vielen afrikanischen Ländern sind Handy-basierte Bezahlsysteme üblich. Dabei ersetzt das Mobiltelefon ein Bankkonto und Onlinebanking. Die Währung - sogenannte Tokens - ist dabei auf der SIM-Karte des Telefons. Die Tokens könnten durch Ausnutzen der Sicherheitslücke gestohlen werden.

Doch Nutzer müssen ihr Telefon gar nicht zum Bezahlen verwenden. Angreifer könnten nach einer erfolgreichen Attacke auch Anrufe mithören, eingehende Gespräche auf eine andere Nummer umleiten oder sogar den Inhalt der gekidnappten SIM-Karte komplett kopieren, die Karte quasi klonen.

Deutsche könnten verschont bleiben

Wie wurde die Schwachstelle gefunden?

Der Berliner Verschlüsselungsspezialist Karsten Nohl hat die Sicherheitslücke in SIM-Karten entdeckt. Gemeinsam mit seiner Firma Security Research Labs probierte der 32-Jährige, mithilfe der stillen SMS die Kontrolle über fremde Mobiltelefone zu erlangen. Den Angriff bereiteten die Spezialisten von langer Hand vor und berechneten im Vorhinein einen Großteil der Codes, mit denen die Nachrichten der SIM-Karten verschlüsselt werden. Anschließend gaben sie sich in ihrem Testaufbau als Mobilfunkanbieter aus und verschickten fingierte Nachrichten an die Nummern der Testgeräte. Enthalten waren in den falschen Nachrichten zwei Elemente: Einerseits ein Steuerungsbefehl mit einer konkreten Anweisung an das Gerät, andererseits eine digitale Signatur, mit der sich Mobilfunkanbieter normalerweise gegenüber den SIM-Karten in den Geräten ihrer Kunden legitimieren, sagt Nohl.

Die SIM-Karten in den attackierten Handys reagierten unterschiedlich auf die gefälschten Nachrichten. Manche antworteten vorsichtshalber gar nicht, andere sendeten zwar eine Fehlermeldung, aus welcher der richtige Schlüssel aber nicht rekonstruiert werden konnte. Manche SIM-Karten jedoch schickten eine Nachricht an den angeblichen Provider zurück, die eine Spur zum korrekten Schlüssel enthielt. Auf dieser Grundlage gelang es Nohl und seinem Team, den korrekten Schlüssel zu berechnen und das angegriffene Handy zu kapern.

Nohl machte daraufhin den internationalen Mobilfunkverband GSMA auf die Schwachstelle aufmerksam. In ihm sind auch deutsche Anbieter wie die Telekom, Vodafone oder E-Plus organisiert.

Wer ist von der Lücke betroffen?

Branchenkreisen zufolge sind Kunden in Deutschland von der potenziellen Sicherheitslücke vermutlich weniger betroffen, weil sie bereits neueste SIM-Karten in ihren Geräten haben. So gibt die Telekom als größter deutscher Anbieter für seine Kunden Entwarnung. Demnach seien die SIM-Karten ihrer deutschen Nutzer bereits besser verschlüsselt und daher nicht gefährdet. Dass Kunden von ausländischen Telekom-Tochterfirmen betroffen sind, will das Unternehmen allerdings nicht ausschließen.

Auch E-Plus sieht für seine Kunden kein Risiko. "Der Angriff auf unsere Karten ist nicht möglich", sagte ein Sprecher. Auf gefälschte Nachrichten antworteten SIM-Karten des Betreibers nicht, heißt es.

Telefónica Deutschland, hierzulande bekannter unter der Marke O2, äußert sich vorsichtiger. "Unsere Kunden sind größtenteils nicht betroffen", sagt eine Sprecherin. Das Unternehmen prüfe derzeit eine geringe Zahl älterer SIM-Karten, die mehr als elf Jahre alt sind. Selbst so alte Karten seien aber nicht automatisch gefährdet.

Der Anbieter Vodafone will sich nicht äußern und verweist auf den internationalen Mobilfunkverband GSMA. Der bestätigte gegenüber Süddeutsche.de die Sicherheitslücke. Ob auch deutsche Kunden gefährdet sind, sei aber noch nicht bekannt. Sicherheitsexperte Nohl fordert die Betreiber jetzt auf, die Verschlüsselung alter SIM-Karten schnellstmöglich zu aktualisieren. Das sei oftmals auch per stiller SMS möglich.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: