Österreichische Provider reagieren auf 3G-Sicherheitslücke

Experten haben eine schwerwiegende Sicherheitslücke im Mobilfunk-Netz entdeckt, durch die 3G unsicher wird. Über die Schwachstelle gelingt es, die als sicher geltende Verschlüsselung im UMTS-Netz zu umgehen und SMS zum Beispiel aus dem Netz der Deutschen Telekom abzufangen und auszulesen, wie WDR und „Süddeutsche Zeitung“ am Donnerstag berichten. Möglich sei auch das Ausspähen des E-Mail-Verkehrs und das Mithören von Telefonaten.

SS7-Netz betroffen

Die Schwachstelle ist dabei das so genannte SS7-Netz ("Signalling System #7"). Über dieses Netz tauschen sich Mobilfunkunternehmen automatisiert weltweit aus. Das müssen sie, damit man zum Beispiel im Ausland telefonieren kann, SMS über Ländergrenzen zugestellt werden und sie auch zwischen verschiedenen Netzbetreibern fließen können. Über die Schwachstelle können die Daten aber abgefangen werden. Das Dramatische: Es gilt für das gesamte 3G-Netz, alle Handybetreiber weltweit sind gleichermaßen davon betroffen. Und alle müssen die Lücke einzeln patchen.

Die Mobilfunkbetreiber versuchen deshalb ein wenig zu beschwichtigen: "Es handelt sich bei dem geschilderten Szenario um einen neuen Aspekt der bekannten Problematik mit dem sogenannten SS7-Protokoll, diese betrifft alle Netzbetreiber weltweit", erklärt Helmut Spudich, Pressesprecher von T-Mobile, gegenüber der futurezone.

"Das geschilderte Missbrauchsszenario erfordert ein hohes Expertenwissen und kriminelle Energie in der Umsetzung. Konkret geht es um das gezielte Ausspionieren von Einzelpersonen. Dazu muss man sich in der Nähe des Teilnehmers aufhalten, über einen speziellen Empfänger verfügen, der nicht am Markt erhältlich ist und sich Zugang zum internen Signalisierungsnetz der Mobilfunkbetreiber verschaffen. Der Angreifer muss dem Netz des Betroffenen quasi vorgaukeln, er sei ein ausländischer Netzbetreiber", erklärt Spudich dieses Szenario.

AT-Betreiber reagieren

Die Deutsche Telekom (DT) und Vodafone erklärten noch am Abend, dass die Sicherheitslücke in ihren Netzen bereits geschlossen worden sei. Auch beim neuen deutschen Marktführer Telefónica Deutschland mit den Marken O2 und E-Plus hieß es, man habe Maßnahmen ergriffen, um die Schwachstelle zu stopfen. In Deutschland waren die Betreiber allerdings laut einem Bericht der "Süddeutschen Zeitung" vor Monaten über die Schwachstelle in Kenntnis gesetzt worden.

Österreichische Betreiber arbeiten noch daran die Schwachstelle zu patchen. Man gehe der Sache nach und wir nehmen sie sehr ernst, sagt Tom Tesch von Drei zur futurezone. "Es ist allerdings kein Massenthema." Bei T-Mobile, zur DT gehörend, reagiert man folgermaßen: "Aufgrund der uns vorgelegten Informationen, haben wir jetzt zusätzliche Sicherheitsmaßnahmen ergriffen, um unberechtigte Anfragen auf die Verschlüsselungsparameter zu verhindern. Damit wird das dargestellte Angriffsszenario nicht mehr möglich." Der Patch sei allerdings gerade erst in Entwicklung.

A1 antwortete auf futurezone-Anfrage, dass die Ergebnisse der Sicherheitsexperten bezüglich des SS7 Netzwerks bekannt seien. "Der gezeigte Angriff setzt einen Zugriff in dieses geschlossene Netzwerk voraus und missbraucht gezielt die regulären Netzwerk-Funktionalitäten. Die Telekom Austria Group/A1 verbessert kontinuierlich die Sicherheit der Services. Schon früher aufgetauchte Sicherheitslücken im SS7 Netzwerk wurden bereits erfolgreich geschlossen. In gleicher Weise wird A1/TAG auch jetzt und in Zukunft Maßnahmen gegen neue Formen dieses SS7-Mißbrauchs implementieren. "

Offene Verschlüsselung

Die Experten um den Berliner IT-Spezialisten Karsten Nohl demonstrierten die Sicherheitslücke in einem Protokoll mit dem Namen SS7 am Donnerstag vor Journalisten in Deutschland. Den Experten gelang es demnach, die Verschlüsselungsdaten für die Kommunikation des CDU-Bundestagsabgeordneten Thomas Jarzombek abzufragen, die die Telekom automatisiert geliefert habe. Dafür hätten sie sich als eine ausländische Vermittlungsstelle ausgegeben. Die Telekom schränkte bereits am Donnerstag ein, das geschilderte Missbrauchsszenario erfordere ein hohes Expertenwissen.

Allerdings verwiesen die IT-Experten darauf, dass sich Bundestag und Regierung in unmittelbarer Nähe der amerikanischen und russischen Botschaften befinden. Im vergangenen Herbst hatten Medienberichte, wonach der US-Geheimdienst NSA ein ungesichertes Handy von Bundeskanzlerin Angela Merkel abgehört habe, für einen Eklat gesorgt. Die Möglichkeit dafür war damals auf die bekannten Schwächen der Verschlüsselung beim alten Mobilfunk-Standard GSM zurückgeführt worden. Doch jetzt gibt es eben auch im weit verbreiteten UMTS-Netz diese Lücke.

Programmierfehler

Unterdessen wurde unabhängig davon eine Sicherheitslücke in schätzungsweise zwölf Millionen DSL- und Kabel-Routern von bekannten Herstellern wie D-Link, ZTE und Huawei bekannt. Die israelische IT-Sicherheitsfirma Check Point, die die Schwachstelle entdeckte, gab ihr den Namen „Misfortune Cookie“ (etwa: Unglückskeks). Laut Check Point können über die Sicherheitslücke unter Umständen Passwörter und Daten von unangeschlossenen Geräten abgegriffen werden.

Das Problem gehe auf einen Programmierfehler aus dem Jahr 2002 zurück, sagte ein Experte der Firma dem Technologieblog „Recode“. Dieser sei zwar inzwischen eigentlich korrigiert worden - aber in vielen Routern sei noch die alte Version der Software im Einsatz. Router sind Geräte für den Zugang zum Internet.