Verschlüsselung unsicher: Auch UMTS ist geknackt

Israelischen Wissenschaftlern ist es erstmals gelungen, die Verschlüsselung von UMTS-Mobiltelefonen zu knacken. Die Kryptologen Orr Dunkelman, Nathan Keller und Adi Shamir schufen einen so genannten "Sandwich"-Angriff, der die bislang als unknackbar geltende Technik in einer Simulation in weniger als zwei Stunden aushebelte. Aus einem nicht zu verstehenden Gespräch wird so Klartext.

Noch sind die Erkenntnisse eher theoretischer Natur, muss ein potenzieller Lauscher doch zunächst einmal große Mengen bestimmter Datenpakete abfangen, bevor er mit der Entschlüsselung überhaupt beginnen kann. Beobachter rechnen allerdings damit, dass die nun gefundene Methode in nicht all zu ferner Zeit praktikable Angriffe erlauben könnte, sollten die Netzbetreiber die Technik nicht bald austauschen. Der so genannte A5/3-Standard müsse ersetzt werden.

Die erfolgreiche Attacke auf UMTS folgt wenige Wochen nach ähnlichen Meldungen zum Vorgängerstandard GSM und seiner Verschlüsselungstechnik A5/1, die in Milliarden von Handys auf der ganzen Welt eingesetzt wird. Der Sicherheitsexperte Karsten Nohl von der University of Virginia hatte demonstriert, wie sich mit einer wenige Tausend Dollar teuren Ausrüstung Gespräche abfangen ließen, die dann innerhalb weniger Wochen in Klartext umgewandelt werden konnten. Ähnlich wie bei den Erkenntnissen der Israelis könnten diese Forschungsergebnisse die Entwicklung wesentlich schnellerer Entschlüsselungsmethoden einleiten, die auch Laien verwenden können.

Dass sowohl UMTS als auch GSM unsicher sein könnten, darüber wurde in Wissenschaftlerkreisen schon seit langem debattiert. Die verwendete Verschlüsselungstechnik ist in die Jahre gekommen, geht auf teilweise über 20 Jahre alte Ideen zurück. Um eine weltweite Nutzung zu garantieren, einigten sich die Netzbetreiber auf den kleinsten gemeinsamen Nenner.

Neben der potenziell unsicheren Verschlüsselung plagen die Handy-Standards aber noch ganz andere Probleme, wie im Dezember von Experten auf dem Hackerkongress des Chaos Computer Clubs in Berlin ausführlich zu hören war. So ist die Absicherung der Gespräche in den Netzen gar nicht zwingend vorgegeben: Ein Netzbetreiber kann die Verschlüsselung abschalten, ohne dass der Nutzer das überhaupt bemerkt. Außerdem gibt es beim UMTS-Vorgänger GSM, der immer noch in der Mehrzahl der Geräte funkt, keine zweifelsfreie Authentifizierung der Netze gegenüber den Geräten.

Das kann fatale Folgen haben: Käme ein Ganove auf die Idee, eine eigene Basisstation zu betreiben (deren Einzelteile man inzwischen erstaunlich kostengünstig auf eBay erstehen kann), verbindet sich jedes GSM-Gerät ganz automatisch mit ihr, wenn sie nur stark genug funkt. Es reicht aus, die Kennung eines der lokalen Netze zu verwenden, damit es dem Nutzer nicht weiter auffällt. Dieses so genannte "IMSI-Catching" wird von Polizeibehörden und Geheimdiensten seit längerem bei Abhörmaßnahmen eingesetzt, es demokratisiert sich gerade.

Security-Profis erschaudern auch aus anderen Gründen: Das Handy wird zunehmend nicht nur zum Telefonieren und für SMS eingesetzt, sondern auch für diverse andere sicherheitskritische Anwendungen. Banken verschicken so genannte "Mobile TANs" zur Autorisierung von Überweisungen, die potenziell abgehört und missbraucht werden könnten. Noch haben die Netzbetreiber Zeit, sich auf die neue Situation einzustellen. Ob und wie sie es tun, ist derzeit noch unklar.

Lange Jahre lang war das Mobilfunkgeschäft nämlich eine "Blackbox": Im Gegensatz zum Internet, wo alle Standards und Programme weitgehend offen liegen, fehlte es in den Handy-Netzen an einfachsten Werkzeugen, mit denen externe Experten ihre Sicherheit überprüfen konnten. Der Berliner Mobilfunkexperte Harald Welte fordert denn auch mehr Offenheit: "Schlimm ist, dass diese Information bis heute nicht weiter Verbreitung gefunden hat, und es dank des Oligopols der GSM-Industrie keine sichereren Produkte gibt." Nur die Kenntnis der Sicherheitsprobleme könne zur Nachfrage nach sichereren Produkten führen.