Sicherheitslücke im Mobilfunk: UMTS-Verschlüsselung mittels SS7 umgangen

Inhaltsverzeichnis

Experten rund um den Sicherheitsforscher Karsten Nohl haben eine schwerwiegende Sicherheitslücke im UMTS-Netz entdeckt; deutsche Telecom-Firmen reagierten immerhin recht schnell auf die ihnen zur Verfügung gestellten Informationen über die Lücke. Durch die Schwachstelle gelang es, die als sicher geltende Verschlüsselung im UMTS-Netz zu umgehen und SMS zum Beispiel aus dem Netz der Deutschen Telekom abzufangen und auszulesen, wie WDR und Süddeutsche Zeitung berichteten. Möglich sei es auch, den E-Mail-Verkehr auszuspähen und Telefonate mitzuhören.

Signalling System 7

Karsten Nohl und seine Leute, die bereits vor einigen Jahren die Schwächen in der GSM-Verschlüsselung zeigten, demonstrierten nun einen Seitenangriff auf die UMTS-Kommunikation, der über das SS7 (Signalling System 7) funktioniert. Das SS7 dient den Carriern zur Signalisierung in Telekommunikationsnetzen, also um die Netze und das Call-Routing zu steuern, netz- und länderübergreifende Kommunikation zu ermöglichen und das Roaming zu organisieren. Auch werden SMS über SS7 abgewickelt – sie waren ursprünglich als reine Nachrichten zur Verwaltung der Netze gedacht.

Bewegt sich ein Teilnehmer während des Gesprächs von Zelle zu Zelle, müssen unter Umständen Verschlüsselungsdaten für Gespräche von einer Vermittlungsstelle zur nächsten übertragen werden. Das passiert in vielen Netzen jedoch grundsätzlich und automatisiert und sogar mit Telefongesellschaften in der ganzen Welt, fanden Nohl und Co. heraus. Wer also Zugriff auf das SS7 eines Carriers hat, gelangt unter Umständen in den Besitz des Schlüssels, mit dem die Kommunikation verschlüsselt wird.

Es gelang nun, die Verschlüsselungsdaten für die Kommunikation des CDU-Bundestagsabgeordneten Thomas Jarzombek abzufragen, die die Telekom automatisiert geliefert habe. Dafür hätten sie sich als eine ausländische Vermittlungsstelle ausgegeben. Generell gelte: "Unternehmen, die zum SS7-Netz Zugang haben, können diese Kommunikationsschüssel abgreifen. Darunter sind inzwischen auch zwielichtige Konzerne und Privatpersonen, die Zugänge zu dem Netz gegen Geld untervermieten."

Entschlüsselt

"Mit dieser Methode lassen sich neben SMS auch Telefonate entschlüsseln und abhören," erklärte Nohl. "Weshalb die deutschen Netzbetreiber diese Informationen mit der ganzen Welt teilen, ergibt keinen Sinn, denn ich beginne mein Telefonat ja nicht in Berlin und führe es in New York weiter."

Die Telekom schränkte ein, das geschilderte Missbrauchsszenario erfordere ein hohes Expertenwissen. "Dazu muss man sich in der Nähe des Teilnehmers aufhalten, über einen speziellen Empfänger verfügen, der nicht am Markt erhältlich ist und sich Zugang zum internen Signalisierungsnetz der Mobilfunkbetreiber verschaffen."

Bundestag und Regierung befinden sich jedoch in unmittelbarer Nähe der amerikanischen und russischen Botschaften, die kaum Schwierigkeiten haben dürften, an die notwendige Technik zu kommen. Dass der US-Geheimdienst NSA ein ungesichertes Handy von Bundeskanzlerin Angela Merkel abgehört habe, hatte für einen Eklat gesorgt. Die Erkenntnisse von Nohl und seinen Mitarbeitern zeigen nun, dass dies nicht nur über bekannte Schwächen der Verschlüsselung beim alten Mobilfunk-Standard GSM möglich gewesen ist.

Abwehrmaßnahmen

Die Deutsche Telekom und Vodafone erklärten auch, dass die Sicherheitslücke in ihren Netzen bereits geschlossen worden sei. Auch bei Telefónica Deutschland (O2 und E-Plus) hieß es, man habe Maßnahmen ergriffen, um die Schwachstelle zu stopfen.

Die Telekom betonte zugleich, es "handele sich um ein weltweites Branchenproblem": Alle Maßnahmen einzelner Netzbetreiber könnten "nur ein Pflaster" sein und eine dauerhafte Lösung müsse von der gesamten Industrie entwickelt werden. Man selbst habe schon in den letzten Monaten Maßnahmen zur Steigerung der Sicherheit bei UMTS ergriffen, etwa das SMS Home Routing eingeführt. Außerdem verhindere man mittlerweile unter anderem unberechtigte Anfragen auf die Verschlüsselungsparameter. (jk)