Sicherheitsrisiko SIM-Karte: Zu alt ist gefährlich
Ältere SIM-Karten sollen sich binnen kurzer Zeit hacken lassen. Das ist ein Problem – vor allem für Nutzer in Entwicklungsländern.
BERLIN taz | Eine halbe Milliarde SIM-Karten weltweit, davon mehrere Millionen deutschlandweit, sollen sich verhältnismäßig einfach, mit Hilfe einer unbemerkten SMS hacken lassen. Der Sicherheitsforscher Karsten Nohl von der Firma Security Research Labs hat das Verfahren öffentlich gemacht und gegenüber der Zeit und Heise Security demonstriert. Es handele sich dabei um SIM-Karten, die mit einem alten Verschlüsselungsstandard arbeiten.
Der Hack soll vereinfacht dargestellt folgendermaßen ablaufen: Der Angreifer versendet eine sogenannte stille SMS, deren Eingang der Nutzer nicht bemerkt. Diese SMS werden sonst etwa von den Providern für Wartungszwecke verwendet. Doch die SMS des Angreifers hat eine gefälschte Signatur.
Während neuere Karten die Nachricht in so einem Fall ignorieren, schickt das Handy mit der alten Karte eine Fehlermeldung mit der gültigen Signatur zurück. Daraus soll sich binnen kurzer Zeit ein Schlüssel erstellen lassen, mit Hilfe dessen das Telefon von außen manipuliert werden kann. Somit ließe sich über die Karte telefonieren und surfen, genau wie auf der Karte gespeicherte Daten zugreifen. Laut dem Bericht der Zeit soll das Problem auch vereinzelt bei neueren Karten auftreten. Von außen lässt sich nicht erkennen, welchen Standard eine Karte nutzt.
„Hier in Deutschland ist die Gefahr trotzdem gering“, sagt Jürgen Schmidt von Heise Security. Das liege vor allem daran, dass die Mobilfunkanbieter die schädlichen Nachrichten aus dem Netz filterten – und die Absender-Karte sperrten. Grundsätzlich liege die problematische Grenze für das Alter einer Karte bei etwa zwei Jahren – jüngere SIM-Karten nutzten in der Regel einen aktuelleren Verschlüsselungsstandard.
Das Telefon als Konto
Anders sieht das etwa in Entwicklungsländern aus. Dort seien häufig sehr viel mehr ältere Karten im Umlauf und würden auch noch ausgegeben. Und noch ein Problem kommt hinzu: Während in Deutschland das Bezahlen per Handy noch keine weitere Verbreitung gefunden hat, hat sich die Technik in Entwicklungs- und Schwellenländern deutlich schneller durchgesetzt.
Systeme wie das in Kenia eingesetzte M-Pesa erlauben einen kompletten bargeldlosen Zahlungsverkehr und Kontoführung nur über die SIM-Karte im Telefon. Wenn hier ein Dritter die Kontrolle über das Gerät bekommt, ist der potenzielle Schaden für den Nutzer entsprechend hoch.
In Deutschland sieht Karin Thomas-Martin von der Verbraucherzentrale Baden-Württemberg die Anbieter in der Pflicht. „Wenn alte SIM-Karten nicht mehr sicher sind, gehört es zu den vertraglichen Pflichten des Mobilfunkproviders, sie auszutauschen.“ Passiere das nicht und dem Nutzer entstehe ein nachweisbarer Schaden, müsse der Anbieter entsprechend dafür aufkommen. Die Telekom und E-Plus betonten bereits, dass ihre Kunden von der Lücke nicht betroffen seien.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Nahost-Konflikt
Alternative Narrative
Nach der Gewalt in Amsterdam
Eine Stadt in Aufruhr
IStGH erlässt Haftbefehl gegen Netanjahu
Wanted wegen mutmaßlicher Kriegsverbrechen
+++ Nachrichten im Nahost-Krieg +++
IStGH erlässt Haftbefehl gegen Netanjahu und Hamas-Anführer
Die Wahrheit
Der erste Schnee
Putins Atomdrohungen
Angst auf allen Seiten