Microsoft presst Webserver auf Smart-Card

Forschern der britischen Microsoft-Labors der Wireless Telephony Group Europe in Cambridge ist es gelungen, einen Mini-Webserver auf eine Smart-Card für GSM-Mobiltelefone zu pressen. Dies biete interessante Anwendungsmöglichkeiten beispielsweise im Rahmen sichererer Zahlungsmethoden fürs mobile Internet, meinen die Microsoft-Forscher. Der kleine Server namens "WebCamSIM" basiert auf der MS-SmartCard-Plattform und ermöglicht einem normalen GSM-Mobiltelefon, über das Internet Text an andere Rechner zu übertragen. Die Messages werden über ein SMS-Gateway versandt, das sie in eine für andere Rechner lesbare Form übersetzt.

Aber auch eine Nutzung als "normaler" Webserver für Textseiten ist nach Angaben der Microsoft-Forscher mit dem WebCamSIM möglich. Allerdings sei ein Mobiltelefon nicht sonderlich gut dazu geeignet, als Webserver zu fungieren. Hierzu trage der geringe Speicher der Geräte bei, der derzeit üblicherweise bei 64 KByte liege, außerdem können Kurzmitteilungen über das GSM-Netz nur 160 Zeichen lang sein und der Benutzer muss für jede SMS einzeln bezahlen.

Kai Rannenberg, Mitglied der Microsoft Security Group, sagte, die Technik mache Gebrauch von der Verschlüsselung und Sicherheitstechnik, die das GSM-Netzwerk biete. Ein auf der SIM-Card gespeicherter digitaler und über ein Passwort geschützter Schlüssel könne zum Bestätigen von Zahlungen oder für Bestellungen genutzt werden. Ein Dieb habe daher im Missbrauchsfall nicht nur das Handy zu stehlen, sondern auch das Passwort zu knacken, um die Sicherheitsbarriere zu überwinden. Aus diesen Gründen repräsentiere das Verfahren einen preiswerten und einfachen Weg, sichere Bezahlmethoden übers Internet anzubieten.

Unabhängige Sicherheitsfachleute sehen das kritischer. Der britische Experte John Everitt gab zu bedenken, dass die Sicherheit des WebCamSIM-Systems nur so hoch sein könne wie ihr schwächstes Glied. Das Hauptproblem hierbei sei, dass das System in dieser Hinsicht von der Infrastruktur der Mobilfunkanbieter abhängig sei, denn dies bestimme, wie sicher der Datentransfer von Punkt zu Punkt sein kann. Ein Schwachpunkt könne beispielsweise an der Stelle liegen, wo die Messages aus dem SMS-Format übersetzt werden. Auch die Verschlüsselungstechnik des GSM-Systems sei nicht perfekt, machte Everitt deutlich. GSM-SIM-Cards generierten einen 40-bit Verschlüsselungs-Key für jedes Mobiltelefon, das sich am Netz anmelde. Bereits im Jahre 1999 sei es Forschern am Weismann Institute in Israel gelungen, über eine Schwachstelle des zugrundeliegenden Verschlüsselungs-Algorithmus GSM-Telefonverbindungen zu dekodieren. (klp)