Größter Hersteller von SIM-Karten von NSA gehackt

Wie „The Intercept“ berichtet, sind NSA und GCHQ, also der amerikanische und britische Geheimdienst, völlig unbemerkt ins interne Computernetzwerk des größten Herstellers von SIM-Karten eingedrungen und haben die Verschlüsselung von SIM-Karten ausgelesen. Die Enthüllungen gehen auf Dokumente des Whistleblowers Edward Snowden zurück. Der niederländische Konzern Gemalto gibt an, von dem Eindringen ins Computernetzwerk zum Zeitpunkt des Angriffs nichts bemerkt zu haben. Bisher habe das Security-Team auch keine Hinweise auf den unerwünschten Zugriff entdeckt.

Paul Beverly, Vorsitzender von Gemalto, erklärt gegenüber „The Intercept“, dass es für das Unternehmen jetzt in erster Linie wichtig sei, nachzuvollziehen, wie das Eindringen der Geheimdienste unbemerkt vonstatten gehen konnte, damit Ähnliches nicht mehr passieren könne. Gemalto ist in 85 Ländern der Welt tätig, hat 40 Standorte, an denen SIM-Karten produziert werden. Das Unternehmen produziert jährlich rund zwei Milliarden SIM-Karten.

Online-Banking-Kunden in Österreich

Zu den Mobilfunk-Clienten von Gemalto zählen unter anderem AT&T, T-Mobile und die Deutsche Telekom, Verizon und Sprint. In Österreich hat Gemalto, wie die futurezone herausfand, auch abseits von Mobilfunkanbietern zahlreiche Kunden, unter anderem hat das Unternehmen hier seine Finger beim „Online-Banking“ einiger heimischen Banken im Spiel oder auch bei der österreichischen Bürgerkarte.

Der Angriff auf die Computernetzwerke von Gemalto durch NSA und GCHQ haben daher weitreichende globale Auswirkungen. Das niederländische Unternehmen ist Weltmarktführer im Bereich digitale Sicherheit. Neben der Herstellung von SIM-Karten liefert es auch Online-Banking-Systeme, Hardware Tokens für Gebäude sowie Identifikationskarten wie die Bürgerkarte.

Zugriff auf Mobilfunkkommunikation

Durch den Zugriff auf die internen Daten von Gemalto, der bereits im Jahr 2010 erfolgt ist, waren NSA und GCHQ einfach und bequem in der Lage, einen großen Anteil der Mobilfunkkommunikation mitzulesen – sowohl Gespräche als auch Daten. „Wenn man die Schlüssel hat, ist die Entschlüsselung von Datenverkehr einfach“, sagt Christopher Soghoian, Technik-Experte bei der American Civil Liberties Union, dem Online-Magazin.

Mobilfunkanbieter erhalten von Gemalto zu jeder SIM-Karte einen passenden elektronischen Schlüssel (auch "Ki" genannt). Diese Schlüssel sind auf jeder SIM-Karte fixiert und so können die Verbindungen zwischen SIM-Karte und Mobilfunknetz verschlüsselt und authentifiziert werden. Wenn die NSA und das GCHQ also die Schlüssel kennen, können sie mitlesen, ohne dass der Netzbetreiber etwas davon mitbekommt.

Der Verschlüsselungsexperte Micah Lee empfiehlt Nutzern, die nicht möchten, dass ihre Mobilfunkkommunikation mitgelesen oder mitgehört wird, via Twitter-Nachricht den Einsatz von verschlüsselten Apps zum Telefonieren. Die Geheimdienste haben etwa keinen Zugriff auf verschlüsselte Gespräche via Signal (erhältlich fürs iPhone) oder RedPhone (erhältlich für Android).

Wie die Spionage lief

Dokumente aus dem Fundus von Snowden zeigen, dass die Geheimdienste E-Mails von Gemalto-Mitarbeitern sowie deren Facebook-Accounts auf der Suche nach Personen ausspioniert haben, die Zugriff auf Informationen rund um die Verschlüsselung von SIM-Karten haben. Dazu haben sie das Programm X-Keyscore der NSA eingesetzt. Laut „The Intercept“ wurden dabei auch zahlreiche private Gespräche der Zielpersonen mitgelesen, die entscheidenden Hinweise konnten aus der Kommunikation dennoch herausgefiltert werden.

Im Jahr 2010 gingen rund 45 Prozent der SIM-Karten von Gemalto nach China. China Mobile, China Unicom und China Telecom zählten dort zu den Kunden des europäischen Unternehmens.

In den Niederlanden ist das Hacken von Geheimdiensten übrigens verboten, wie Gerard Schouw, Mitglied des niederländischen Parlaments, gegenüber „The Intercept“ erklärt. Für ihn ist der Vorfall „unglaublich“. Aufgrund der Weltmarktführer-Position von Gemalto wird er auf jeden Fall weitreichende Wellen schlagen. Gemaltos SIM-Karten kommen etwa auch bei zahlreichen M2M-Anwendungen zum Einsatz.