IMSI-Catcher: Überwachung auch in 5G-Netzen möglich

Trotz neuer Authentifizierungsverfahren und weiterer Maßnahmen in 5G-Netzen ist es für Dritte weiterhin möglich, die IMSI von Smartphones auszuspähen.

In Pocket speichern vorlesen Druckansicht 65 Kommentare lesen

(Bild: Jan Hrezik / Shutterstock.com)

Lesezeit: 6 Min.
Von
  • Erich Moechel
Inhaltsverzeichnis

Eine der wichtigsten Sicherheitsanforderungen der Telekom an den 5G-Übertragungsstandard war es, das Einschleusen von IMSI-Catchern in 5G-Netze unmöglich zu machen. Im 5G-Standard sind daher zusätzliche Authentifizierungs- und Verschlüsselungsverfahren verankert, um diese Art von Überwachungsequipment schachmatt zu setzen. Die Annahme, dass IMSI-Catcher deshalb im 5G-Zeitalter aussterben würden, erweist sich nun als falsch. Auf der weltgrößten Überwachungsmesse ISS World in Prag Anfang Juni stellte die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) ihre Methode vor, mit der sich die Sicherheitsmechanismen von 5G-Netzen aushebeln lassen.

Auch die Überwachungsfirmen Utimaco (Aachen) und Rohde & Schwarz (München) waren mit Vorträgen zum Einsatz von IMSI-Catchern unter 5G vertreten. Die Münchner Firma Trovicor bietet solche Geräte bereits an. In Deutschland wurden IMSI-Catcher von Polizeibehörden 2022 insgesamt 38 Mal eingesetzt, die Dauer dieser Einsätze ist allerdings ebenso unter Verschluss wie die Zugriffe der Geheimdienste.

IMSI-Catcher können alle Mobiltelefone in ihrer Umgebung nach ihrer Identität (IMSI) abfragen, indem sie eine Basisstation des jeweiligen Mobilfunknetzes simulieren. Sie werden beispielsweise von Polizeibehörden eingesetzt, um vor Ort festzustellen, ob ein bestimmtes Mobiltelefon in dieser Funkzelle eingebucht ist. Dieses Handy kann dann über die Funkzellen geortet werden. In der Mobilfunkbranche sind IMSI-Catcher äußerst unbeliebt, da sie Anomalien in den Netzen verursachen, deren Ursache nicht sofort erkennbar ist.

Auf der ISS World waren (6. bis 8. Juni) in Prag alle Präsentationen zu IMSI-Catchern in Track 8 versammelt. Akkreditierungen für Journalisten gibt es bei dieser Messe keine, die rund um das Jahr nacheinander in Prag, Singapur, Washington, Panama City und Dubai gastiert.

(Bild: Erich Moechel)

Wie der Titel der Vortragsreihe schon andeutet, sind Mitarbeiter von Behörden bereits in den praktischen Einsatz von IMSI-Catchern in 5G-Netzen eingeführt worden. Es muss also bereits Prototypen oder erste Kleinserien von Herstellern geben, die auch die 5G-Protokolle beherrschen. Angriffe auf Smartphones sind bei 5G nur während des Login-Prozesses möglich, der zu Beginn noch unverschlüsselt ist.

Die mit Abstand häufigste Angriffsart auf IMSI-Nummern sind bisher Downgrade-Attacken, das heißt, der IMSI-Catcher gibt gegenüber dem Smartphone vor, nur 2G zu beherrschen und greift dann die IMSI über die GSM-Protokolle ab. Die IMSI (International Mobile Subscriber Identity) setzt sich zusammen aus dem Mobilfunk-Ländercode, gefolgt vom Code des Providers und schließlich der Identifikationsnummer der jeweiligen SIM-Karte. Die neuen Geräte wurden in Prag ausschließlich Polizei- und Geheimdienstangehörigen vorgestellt. Zivile Messebesucher oder Mitarbeiter anderer Überwachungsfirmen waren daher nicht nur vom ersten Vortrag zum Thema "Das Überleben von IMSI-Catchern in 5G-Netzen" der Aachener Utimaco, sondern von allen Vorträgen zum Thema IMSI-Catcher ausgeschlossen.

Im Produktkatalog von Utimaco findet sich zwar kein IMSI-Catcher, aber ein Hardwaremodul namens Identity De-concealing für die Telekommunikationsindustrie, das sehr ähnliche Funktionen aufweist. Dieses Modul kann laut Utimaco die sogenannte SUCI-Nummer (Subscription Concealed Identifier) eines Smartphones abfangen. Damit lässt sich auch in 5G-Netzen die SUPI-Nummer (Subscriber Permanent Identifier) eines Smartphones ermitteln, wie die IMSI unter 5G genannt wird. Die SUCI entspricht der temporären TIMSI in 2G.

Aus der Beschreibung geht hervor, dass dieses Hardwaremodul an der Peripherie der Mobilfunknetze installiert wird, nämlich in Mobilfunkanlagen auf Flugplätzen und in Gefängnissen, in Sicherheitstrakten und exponierten Gebäuden von Behörden und Militär. Das Modul ist über einen gesicherten Server mit dem Netz des jeweiligen Mobilfunkbetreibers verbunden. Im Falle eines Falles ist es mit dieser Konfiguration möglich, die Person oder Firma, die eine bestimmte SIM/eSIM vor Ort registriert hat, nahezu in Echtzeit zu identifizieren. In diesem Fall handelt es sich wahrscheinlich um ein fest installiertes Gerät, das Alarm schlägt, wenn ein "Smartphone of Interest" in der betreffenden Funkzelle auftaucht.

Das ist das Angebot an IMSI-Catchern von Trovicor für 2/3/4/5G-Mobilfunknetze. Die Gerätschaften können die exakte Geolokation der eingebuchten Smartphones feststellen und eignen sich so auch für den operativen Einsatz, etwa in Autos. Interessanterweise lässt sich damit auch eruieren, ob andere IMSI-Catcher in derselben Funkzelle aktiv sind. Das Gerät von Trovicor kann also auch als IMSI-Catcher-Catcher eingesetzt werden.

(Bild: Erich Moechel)

Das Münchner Messtechnik- und Analyseunternehmen Rohde & Schwarz bietet – zumindest auf seiner Website – nur den passiven, ersten Teil des Angriffsszenarios auf die SUPI-Nummer an, kann aber "verdächtige Zellen" in einem Mobilfunknetz untersuchen. Damit können auch andere IMSI- bzw. SUPI-Catcher im Mobilfunknetz lokalisiert werden. Hardwareseitig wird einer der Funkscanner der Firma benötigt, auf dem die Funkzellenerfassungssoftware Nestor installiert ist. Für die Auswertung ist ein herkömmliches Tablet oder Notebook mit Windows 10 sowie eine App erforderlich. Das Gerät kann auch mobil eingesetzt werden.

Die niederländische Überwachungsfirma Group2000 hingegen präsentierte mit der Überwachungssuite LIMA CellPro das volle Programm, nämlich eine "strategische netzwerkbasierte Plattform, die temporäre und versteckte IDs aus der Luftschnittstelle abgreift" und mit einer bereits bekannten IMSI oder SUPI abgleicht. Das Set-up enthalte auch "die notwendigen Schnittstellen und Netzwerkprotokolle, um die permanente ID des Smartphones abzugreifen". Damit wird es "für viele Behörden möglich sein, weiterhin Nachrichtenaufklärung an den Luftschnittstellen durchzuführen".

Die Grafik stammt aus einer Studie der Ruhr-Universität Bochum von 2021 und zeigt wie ein zweiphasiger IMSI-Abfragevorgang durchin einem 5G-Netz funktioniert. Der Angriff erfolgt in zwei Phasen und um die Verwirrung komplett zu machen, wird das Überwachungsgerät hier SUCI-Catcher genannt.

(Bild: Ruhr-Universität Bochum)

Und so soll der Angriff funktionieren, wenn die IMSI/SUCI-Nummer eines gesuchten Smartphones bereits bekannt ist. In einem ersten Schritt werden die SUCIs aller aktuell in einer Funkzelle eingebuchten Geräte abgefangen. Anschließend wird auf Basis der bekannten IMSI/SUPI eine Reihe von true/false ID-Abfragen an alle eingebuchten Smartphones gesendet, wie in der Grafik dargestellt. Auf diese Weise kann ein gesuchtes Smartphone auch in 5G-Netzen identifiziert werden.

Ob damit tatsächlich alle in einer Funkzelle eingebuchten Smartphones abgefragt werden können, stellt das Autorenteam bereits im Titel dieser Studie in Frage: "5G SUCI-Catcher: "Kriegen sie wirklich noch alle?". Diese Frage kann in diesem Zusammenhang allein nicht beantwortet werden. Denn die Verschlüsselung von Teilen der SUCI/IMSI ist optional, eigenständige 5G-Netzabschnitte sind noch selten, da gemischte 4G/5G-Netze die Regel sind. Eine neue Studie über 5G-Deployments in spanischen Mobilfunknetzen von Mitte Mai ergab, dass die vier großen Mobilfunkbetreiber bis dahin weniger als ein Drittel der 5G-Sicherheitsmechanismen implementiert hatten.

Die Meldungen über den bevorstehenden Tod der IMSI-Catcher durch 5G sind also stark übertrieben, um den amerikanischen Schriftsteller Mark Twain zu paraphrasieren.

Lesen Sie im c't-Archiv über IMSI-Catcher für 2G, 3G und 4G:

(mki)