„Jeder, der ein Mobiltelefon in der Tasche hat, kann abgehört und manipuliert werden“
„Du musst jemanden nicht kennen, nur seine Telefonnummer – dann kannst du ihn von der anderen Seite der Welt aus tracken“, sagte Tobias Engel bei seinem Vortrag „SS7: Locate. Track. Manipulate." beim Hackerkongress 31 C3 in Hamburg. Der deutsche Hacker und andere Sicherheitsforscher warnen vor einer Schwachstelle, die die gängigen Mobilfunkstandards zum Sicherheitsrisiko für Milliarden Menschen weltweit macht. „Jeder, der ein Mobiltelefon in der Tasche hat, kann abgehört und manipuliert werden“, so Engel.
Der Hacker hat in den vergangenen Monaten getestet, wie genau sich Bewegungsmuster aus der Ferne nachvollziehen lassen und Freiwillige getrackt: Auf einer Karte leuchten grüne Markierungen auf, bis auf die Straße genau kann die Position bestimmt werden. Mit den Abfragen der Handy-Position lässt sich etwa die Reise eines niederländischen Bekannten von Engel durch die ganze Welt verfolgen: Von Seattle, wo er arbeitet, bis in die Niederlande. Nur die letzte Markierung hat Engel wieder entfernt: Die Testperson wollte nicht öffentlich verraten, wo sie Weihnachten gefeiert hat.
Sicherheitsbehörden, die technisch weniger versiert sind als die NSA oder der britische Geheimdienst GCHQ kaufen sich den Zugriff auf die Mobiltelefone ihrer Zielpersonen einfach ein
Der Titel von Engels Vortrag leitet sich vom Werbeversprechen eines Unternehmens ab: „Lokalisieren, tracken, manipulieren“. Zahlreiche internationale Unternehmen bieten solche Überwachungsdienstleistungen an: Nutzer zu orten, deren Kommunikation dann auch mitgeschnitten werden kann, ist ein boomendes Geschäft. Die Kunden sind häufig Regierungen, Geheimdienste. Sicherheitsbehörden, die technisch weniger versiert sind als die NSA oder der britische Geheimdienst GCHQ kaufen sich den Zugriff auf die Mobiltelefone ihrer Zielpersonen einfach ein.
Für Kriminelle ist der Exploit eine Spielwiese
Hacker und Spione können mit Hilfe der von Sicherheitsexperten wie Engel angeprangerten SS7-Schwachstelle auch SMS mitlesen und kopieren, Anrufe mithören oder umleiten und Telefonfunktionen wie den Zugang zum Netz aktivieren oder blockieren. Für Kriminelle ist der Exploit eine Spielwiese: Zugangsdaten, die von Banken per SMS an den Bankkunden zugestellt werden, lassen sich etwa direkt auf das Handy der Angreifer senden, ohne dass der echte Kunde etwas davon merkt. Mit dem Fernzugriff auf Mobiltelefone könnten Angreifer sich bei Telefongesprächen dazuschalten, kostenlos Spam-SMS versenden oder Anrufe auf kostenpflichtige Premium-Nummern umleiten – und bei jedem Anruf abkassieren.
Einfallstor für Positionsbestimmung und andere Attacken ist das gängige Signalisierungssystem SS7, über das sich Netzbetreiber weltweit austauschen und das etwa die Weiterleitung von SMS und Telefonaten über verschiedene Netze und Ländergrenzen hinweg ermöglicht. Angreifer klinken sich wie ein ausländischer Netzbetreiber in den Datenaustausch ein und können dann Informationen wie die Position des Handynutzers oder Schlüssel abfragen. Die Zugriffsrechte werden Engel zufolge nicht ausreichend kontrolliert: Wenn ein deutscher User gerade ein Mobilfunknetz in Deutschland nutzt, sollte ein indonesisches Netzwerk eigentlich keine Anfragen an das deutsche Netz senden können – Plausibiliätschecks gebe es aber nicht.
Im Internet kostet ein Zugang zum SS7-Netz nur ein paar Hundert Euro.
Die Entwicklung des „Signalling System #7“ reicht bis 1975 zurück: „Als das Protokoll designed wurde, gab es nur ein paar Telekommunikationsanbieter, die entweder vom Staat kontrolliert wurden oder richtig große Unternehmen waren“, sagt Engel. „Sie haben sich vertraut – und deswegen keine Authentizifierung eingebaut.“ Ein Versäumnis, das verbreitete Mobilfunkstandards heute anfällig für Missbrauch macht.
Während früher nur wenige Unternehmen Zugang zu SS7 hatten, kann heute jeder etwa mit IP-Telefonie zum Netzbetreiber werden. Im Internet kostet ein Zugang zum SS7-Netz nur ein paar Hundert Euro. Dann fehlt nur noch Hackerexpertise und die Handynummer der Zielperson.
So lassen sich auch bisher als sicher geltende Verschlüsselungen gängiger Mobilfunkstandards aushebeln – sowohl des weltweit dominierenden Standards GSM („2G“), als auch des neueren UMTS („3G“), der mit einer schnelleren Datenübertragung mobiles Surfen und Downloads erleichtert, aber auch in GSM-Netzen funktioniert und automatisch umschaltet. Selbst der neueste Standard LTE („4 G“) ist betroffen – denn LTE überträgt nur Datenverbindungen, Anrufe und SMS werden weiterhin über GSM oder UMTS übertragen.
Nutzer sind machtlos gegen die Sicherheitslücke, weil das Problem im Netzwerk liegt. Nach den Hinweisen auf die Schwachstellen arbeiten Netzbetreiber an zusätzlichen Sicherheitsmaßnahmen „All die Maßnahmen einzelner Netzbetreiber können nur ein Pflaster sein“, schränkt die Telekom aber ein. Eine dauerhafte Lösung könne nur die gesamte Industrie entwickeln. Sicherheitsforscher Tobias Engel rät Handynutzern, sich bei ihrem Provider zu beschweren, damit der Handlungsdruck größer wird. Gegen mobile Überwachung helfe zur Zeit aber nur eines ganz sicher: das Handy wegzuwerfen.