Sicherheitsrisiko SIM-Karte: Zu alt ist gefährlich
Ältere SIM-Karten sollen sich binnen kurzer Zeit hacken lassen. Das ist ein Problem – vor allem für Nutzer in Entwicklungsländern.
BERLIN taz | Eine halbe Milliarde SIM-Karten weltweit, davon mehrere Millionen deutschlandweit, sollen sich verhältnismäßig einfach, mit Hilfe einer unbemerkten SMS hacken lassen. Der Sicherheitsforscher Karsten Nohl von der Firma Security Research Labs hat das Verfahren öffentlich gemacht und gegenüber der Zeit und Heise Security demonstriert. Es handele sich dabei um SIM-Karten, die mit einem alten Verschlüsselungsstandard arbeiten.
Der Hack soll vereinfacht dargestellt folgendermaßen ablaufen: Der Angreifer versendet eine sogenannte stille SMS, deren Eingang der Nutzer nicht bemerkt. Diese SMS werden sonst etwa von den Providern für Wartungszwecke verwendet. Doch die SMS des Angreifers hat eine gefälschte Signatur.
Während neuere Karten die Nachricht in so einem Fall ignorieren, schickt das Handy mit der alten Karte eine Fehlermeldung mit der gültigen Signatur zurück. Daraus soll sich binnen kurzer Zeit ein Schlüssel erstellen lassen, mit Hilfe dessen das Telefon von außen manipuliert werden kann. Somit ließe sich über die Karte telefonieren und surfen, genau wie auf der Karte gespeicherte Daten zugreifen. Laut dem Bericht der Zeit soll das Problem auch vereinzelt bei neueren Karten auftreten. Von außen lässt sich nicht erkennen, welchen Standard eine Karte nutzt.
„Hier in Deutschland ist die Gefahr trotzdem gering“, sagt Jürgen Schmidt von Heise Security. Das liege vor allem daran, dass die Mobilfunkanbieter die schädlichen Nachrichten aus dem Netz filterten – und die Absender-Karte sperrten. Grundsätzlich liege die problematische Grenze für das Alter einer Karte bei etwa zwei Jahren – jüngere SIM-Karten nutzten in der Regel einen aktuelleren Verschlüsselungsstandard.
Das Telefon als Konto
Anders sieht das etwa in Entwicklungsländern aus. Dort seien häufig sehr viel mehr ältere Karten im Umlauf und würden auch noch ausgegeben. Und noch ein Problem kommt hinzu: Während in Deutschland das Bezahlen per Handy noch keine weitere Verbreitung gefunden hat, hat sich die Technik in Entwicklungs- und Schwellenländern deutlich schneller durchgesetzt.
Systeme wie das in Kenia eingesetzte M-Pesa erlauben einen kompletten bargeldlosen Zahlungsverkehr und Kontoführung nur über die SIM-Karte im Telefon. Wenn hier ein Dritter die Kontrolle über das Gerät bekommt, ist der potenzielle Schaden für den Nutzer entsprechend hoch.
In Deutschland sieht Karin Thomas-Martin von der Verbraucherzentrale Baden-Württemberg die Anbieter in der Pflicht. „Wenn alte SIM-Karten nicht mehr sicher sind, gehört es zu den vertraglichen Pflichten des Mobilfunkproviders, sie auszutauschen.“ Passiere das nicht und dem Nutzer entstehe ein nachweisbarer Schaden, müsse der Anbieter entsprechend dafür aufkommen. Die Telekom und E-Plus betonten bereits, dass ihre Kunden von der Lücke nicht betroffen seien.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Nach dem Anschlag in Magdeburg
Rechtsextreme instrumentalisieren Gedenken
Bundestagswahl am 23. Februar
An der Wählerschaft vorbei
Erderwärmung und Donald Trump
Kipppunkt für unseren Klimaschutz
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“
EU-Gipfel zur Ukraine-Frage
Am Horizont droht Trump – und die EU ist leider planlos
Wirbel um KI von Apple
BBC kritisiert „Apple Intelligence“