Sicherheitsrisiko SIM-Karte: Zu alt ist gefährlich

Ältere SIM-Karten sollen sich binnen kurzer Zeit hacken lassen. Das ist ein Problem – vor allem für Nutzer in Entwicklungsländern.

Und wie alt ist die SIM-Karte, die drin steckt? Bild: reuters

BERLIN taz | Eine halbe Milliarde SIM-Karten weltweit, davon mehrere Millionen deutschlandweit, sollen sich verhältnismäßig einfach, mit Hilfe einer unbemerkten SMS hacken lassen. Der Sicherheitsforscher Karsten Nohl von der Firma Security Research Labs hat das Verfahren öffentlich gemacht und gegenüber der Zeit und Heise Security demonstriert. Es handele sich dabei um SIM-Karten, die mit einem alten Verschlüsselungsstandard arbeiten.

Der Hack soll vereinfacht dargestellt folgendermaßen ablaufen: Der Angreifer versendet eine sogenannte stille SMS, deren Eingang der Nutzer nicht bemerkt. Diese SMS werden sonst etwa von den Providern für Wartungszwecke verwendet. Doch die SMS des Angreifers hat eine gefälschte Signatur.

Während neuere Karten die Nachricht in so einem Fall ignorieren, schickt das Handy mit der alten Karte eine Fehlermeldung mit der gültigen Signatur zurück. Daraus soll sich binnen kurzer Zeit ein Schlüssel erstellen lassen, mit Hilfe dessen das Telefon von außen manipuliert werden kann. Somit ließe sich über die Karte telefonieren und surfen, genau wie auf der Karte gespeicherte Daten zugreifen. Laut dem Bericht der Zeit soll das Problem auch vereinzelt bei neueren Karten auftreten. Von außen lässt sich nicht erkennen, welchen Standard eine Karte nutzt.

„Hier in Deutschland ist die Gefahr trotzdem gering“, sagt Jürgen Schmidt von Heise Security. Das liege vor allem daran, dass die Mobilfunkanbieter die schädlichen Nachrichten aus dem Netz filterten – und die Absender-Karte sperrten. Grundsätzlich liege die problematische Grenze für das Alter einer Karte bei etwa zwei Jahren – jüngere SIM-Karten nutzten in der Regel einen aktuelleren Verschlüsselungsstandard.

Das Telefon als Konto

Anders sieht das etwa in Entwicklungsländern aus. Dort seien häufig sehr viel mehr ältere Karten im Umlauf und würden auch noch ausgegeben. Und noch ein Problem kommt hinzu: Während in Deutschland das Bezahlen per Handy noch keine weitere Verbreitung gefunden hat, hat sich die Technik in Entwicklungs- und Schwellenländern deutlich schneller durchgesetzt.

Systeme wie das in Kenia eingesetzte M-Pesa erlauben einen kompletten bargeldlosen Zahlungsverkehr und Kontoführung nur über die SIM-Karte im Telefon. Wenn hier ein Dritter die Kontrolle über das Gerät bekommt, ist der potenzielle Schaden für den Nutzer entsprechend hoch.

In Deutschland sieht Karin Thomas-Martin von der Verbraucherzentrale Baden-Württemberg die Anbieter in der Pflicht. „Wenn alte SIM-Karten nicht mehr sicher sind, gehört es zu den vertraglichen Pflichten des Mobilfunkproviders, sie auszutauschen.“ Passiere das nicht und dem Nutzer entstehe ein nachweisbarer Schaden, müsse der Anbieter entsprechend dafür aufkommen. Die Telekom und E-Plus betonten bereits, dass ihre Kunden von der Lücke nicht betroffen seien.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.