Wie sicher sind SIM-Karten?

Interview: "Deutschland ist ganz klar die Ausnahme"

Nachdem bekannt wurde, dass es gelungen ist, SIM-Karten zu hacken, haben die Netzbetreiber schnell abgewunken: Kein Problem bei uns! Doch wie glaubhaft ist das? Wir haben noch einmal bei Karsten Nohl nachgehakt, dem der Hack gelungen ist.

Karsten Nohl

© Karsten Nohl

Karsten Nohl

Anfang der Woche wurde bekannt, dass es gelungen ist, SIM-Karten aus der Ferne mit speziellen SMS zu hacken.  Die mediale Aufregung war groß, doch umgehend folgte das Dementi von Telekom, Vodafone, E-Plus und O2. Die Botschaft der deutschen Netzbetreiber: Unsere SIM-Karten sind sicher. Doch wie glaubhaft sind diese Aussagen? Zumal die Begründungen und Erklärungen doch recht unterschiedlich ausfielen.

Alles nur Beschwichtigung? Wir haben noch einmal mit dem Mann gesprochen, dem der Hack gelungen ist. Karsten Nohl hat drei Jahre gebraucht, um die kritische Sicherheitslücke, eine veraltete Verschlüsselungstechnik, ausnutzen zu können. Er glaubt, dass Kriminelle in sechs Monaten in der Lage sein könnten, das zu tun, was er kann: nämlich fremde SIM-Karten zu übernehmen, darüber SMS zu verschicken, Anrufe umzuleiten oder gleich abzuhören. Ohne dass der SIM-Karten-Besitzer davon irgendetwas mitbekommt.

Sicherheitslücke: Handy-SIM-Karten per SMS geknackt

Die Meldung, dass es Ihnen gelungen ist, die Verchlüsselung von SIM-Karten zu knacken, hat Anfang der Woche für einen kleinen Aufruhr gesorgt. Waren Sie von dem Feedback überrascht?

Karsten Nohl: Vom Feeback in der Presse war ich nicht überrascht. Ich bin aber beeindruckt, wie schnell die deutschen Netzbetreiber auf das Thema reagiert haben. Und wie schnell das Problem letztendlich jetzt aus der Welt  zu schaffen ist, ohne das es irgendwelche Opfer gab.

Das lief so, wie man sich das als Forscher wünscht: Wir haben die Netzbetreiber vor Monaten darauf hingewiesen, es jetzt öffentlich gemacht und schon ist alles mehr oder weniger gefixt. Oder zumindest gibt es die Perspektive, es letztlich überall zu fixen, bevor Kriminelle sich dieser Methoden bemächtigen.

Aber ist es nicht selbstverständlich, dass die Netzbetreiber so schnell reagieren? Allein aus Eigeninteresse. Wenn die SIM-Karte nicht mehr sicher wäre, hätten sie sicher ein großes Problem. Gerade wenn man in Zukunft auch immer mehr über die SIM-Karte abrechnen will.

Karsten Nohl: Ja, die Netzbetreiber haben sich sicher schon ausgerechnet, wie sie die SIM-Karte weiterverkaufen können. Man darf den Aktionismus nicht als Sorge um den Kunden missverstehen, sondern da geht es vor allem auch um Werterhaltung und den Schutz des Eigentums.

Wenn es nicht gelingen sollte, die Schwachstelle abzustellen, bevor ein Krimineller sie ausnützt, dann hätten die Netzbetreiber natürlich ein massives Problem.

Sie geben also für Deutschland Entwarnung. Kunden deutscher Netzbetreiber müssen sich keine Sorgen machen?

Karsten Nohl: Ja, ich würde es so formulieren: Kunden deutscher Netzbetreiber müssen sich keine Sorgen mehr machen.

Und die Aussagen der Netzbetreiber sind glaubhaft? Die gehen ja teilweise auseinander: Die Telekom sagt, dass man keine einfach verschlüsselten SIM-Karten habe. E-Plus sagt, dass auch die einfach verschlüsselten auf die von Ihnen verschickten SMS nicht reagieren würden. Und Vodafone sagt, dass die einfach verschlüsselten SIM-Karten per Update mit einer besseren Verschlüsselungstechnik ausgerüstet würden.

Karsten Nohl: Man muss ein bisschen zwischen den Zeilen lesen. Vodafone ist da wohl am ehrlichsten in der Kommunikation.  Und in diese Richtung sind auch die Aussagen der anderen zu interpretieren: "Unsere Karten sind sicher, weil wir einfach verschlüsselte SIM-Karten bereits per Update mit besseren Verschlüsselungstechniken ausgerüstet haben oder das in Kürze tun werden."

Und dass generell nur Karten betroffen sind, die älter als zehn oder elf Jahre sind? Kann das denn sein?

Karsten Nohl: Die Aussage würde ich so interpretieren, dass die Netzbetreiber festgestellt haben, dass ganz alte Karten noch keine Software-Updates per SMS "over the air" unterstützen.

Das bedeutet, dass deutsche Netzbetreiber auch innerhalb der letzten zehn Jahre noch einfach verschlüsselte SIM-Karten herausgegeben haben?

Karsten Nohl: Ich formuliere es mal so: Unsere Forschungen reichen keine zehn Jahre zurück.

Sie geben aber für deutsche Netzbetreiber trotzdem Entwarnung?

Karsten Nohl: Ja, die Zusammenarbeit mit den deutschen Netzbetreibern war sehr konstruktiv. Und genau das führt dazu, dass die Netzbetreiber jetzt sagen können: Das Problem betrifft uns nicht mehr.

Sehen Sie bei europäischen Netzbetreibern noch Gefahrenpotenzial?

Karsten Nohl: Ja, schon. Deutschland ist da ganz klar eine Ausnahme. Es gibt durchaus Länder, in denen Netzbetreibern nicht ganz klar ist, welche Karten man wann an wen rausgegeben hat, und denen nicht klar ist, wo man jetzt fixen muss.

Mehr zum Thema

LTE-Netz Vodafone Antenne
Voice over LTE

Vodafone startet zur CeBIT die Sprachübertragung über das LTE-Netz, Voice over LTE (VoLTE). Vorteile: schnellere Verbindungen und bessere…
Netztechnik Vodafone
Annex J

Vodafone will in Kürze seinen DSL-Kunden schnelleres Internet ermöglichen - und das ohne Aufpreis. Per Annex J kann die eigentlich fürs…
LG, Sony, Samsung
Gegen Google

Europäische Netzbetreiber planen eine Blockade von Werbung auf Phones und Tablets. Möglicherweise kommt die Werbeblockade bereits 2015.
Congstar-Logo
Prepaid-Tarif

Für Prepaid-Kunden gibt es bei Congstar eine neue Tarifstruktur. Interessant ist die kostenlose Messaging-Option mit 1 GB Datenvolumen - aber…
Netztest USA 2015
Netztest USA

P3 communications, Netztest-Partner von connect, hat in den USA den ersten unabhängigen Mobilfunknetztest von Voice-over-LTE-Diensten…
Alle Testberichte
Acer Switch Alpha 12
Detachable
75,4%
Das Acer Switch Alpha 12 ist das erste lüfterlose 2-in-1-Gerät mit Core-i-Prozessor. Im Test hinterlässt es einen…
Huawei P9 Plus
5,5-Zoll-Smartphone
88,0%
Huawei optimiert das P9 und heraus kommt ein echter Überflieger: Wir haben das Huawei P9 Plus getestet.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.