© Mike Segar, reuters

Digital Life
08/25/2014

Software ortet Handys nur anhand der Telefonnummer

Durch einen Fehler im SS7-Standard ist es für nahezu jeden zahlenden Kunden möglich, nur anhand der Telefonnummer Mobiltelefone weltweit zu lokalisieren.

Wie die Washington Post berichtet, gibt es mehrere Unternehmen, die eine sehr einfache Form der Handylokalisierung anbieten. Die Software, die hauptsächlich Behörden und Regierungen angepriesen wird, kann ein Mobiltelefon weltweit orten – nur anhand der Telefonnummer. Die Washington Post ließ den Berliner IT-Sicherheitsforscher Tobias Engel eine Journalisten in Washington mit solch einer Software lokalisieren. Der Standort stimmte bis auf einen Häuserblock genau.

Möglich ist dies durch den SS7-Standard. Dieser Standard dient Providern, um weltweit Telefonanrufe und Datenverbindungen von Mobilgeräten aufzubauen. Die Überwachungs-Software nutzt SS7 um abzufragen, in welcher Funkzelle sich das Handy aktuell aufhält oder zuletzt aufgehalten hat. Je nach Netzabdeckung ist es damit möglich, den Standort auf einen Häuserblock genau (im Stadtgebiet) oder ein paar Kilometer genau (ländliches Gebiet) zu bestimmen.

Schlechte Sicherheitsmaßnahmen

Die Provider können ihre Systeme so konfigurieren, dass nur vertrauenswürdige Unternehmen die SS7-Funkzellenauskunft erhalten. Laut Engel könnte diese Sicherheitsmaßnahme aber leicht umgangen werden. Ein Unternehmen bewirbt seine Tracking-Software sogar damit, dass 70 Prozent der Anfragen erfolgreich sind. Das IT-Security-Unternehmen hat solch eine Software in Paris getestet und ist auf eine Erfolgsquote von 75 Prozent gekommen.

Experten zufolge ist es mit so einer Software möglich weltweite Bewegungsprofile von Personen zu erstellen, in dem einfach regelmäßige Abfragen geschickt werden. Da der technische Aufwand sehr gering ist, könnten auch Regierungen und Behörden kleiner Länder problemlos den Standort von Personen ausspionieren. Zudem kann nicht ausgeschlossen werden, dass die Software nicht auch in die Hände von privaten Personen oder Gruppen gerät.

Wie oft und an wen diese Software verkauft wurde, ist unbekannt. Ein Mitarbeiter eines Unternehmens, das solch eine Software verkauft, berichtet der Washington Post, dass mehrere Dutzend Länder in den vergangenen Jahren die Software gekauft oder geleast haben.