Die Verschlüsselung von wahrscheinlich Hunderten Millionen SIM-Karten weltweit ist veraltet und kann gehackt werden. Das belegt der Sicherheitsforscher und -berater Karsten Nohl mit einem Projekt, das er am 1. August auf der Hackerkonferenz Back Hat in Las Vegas vorstellen wird und das er zuvor ZEIT ONLINE demonstriert hat. Ohne dass der Inhaber des Mobiltelefons es bemerkt, kann seine SIM-Karte übernommen und kopiert werden. Nötig sind dazu lediglich einige wenige stille SMS mit einem Schadcode, die an das Mobiltelefon geschickt werden. Der Inhaber sieht diese SMS nicht. Anschließend kann der Hacker mit der fremden Karte telefonieren, ankommende Anrufe auf fremde Nummern umleiten, kostenpflichtige SMS verschicken und sogar Gespräche belauschen.
Möglich ist das, weil viele Mobilfunkanbieter SIM-Karten mit einem veralteten Verschlüsselungsstandard namens DES einsetzen. Moderne Karten haben stärkere Verschlüsselungen, aber die Betreiber scheuen aus Kostengründen den Austausch.
Nohl schätzt, dass ungefähr ein Achtel aller SIM-Karten auf diesem Weg angegriffen werden können. Das wären 900 Millionen SIM-Karten, geht doch der internationale Mobilfunkverband GSMA davon aus, dass es bis Ende 2013 mit 7,4 Milliarden Karten mehr SIMs auf der Welt gibt als Bewohner.
Die GSMA, in der mehr als 800 Netzbetreiber weltweit organisiert sind, bestätigte ZEIT ONLINE, dass ältere SIM-Karten betroffen sein können. Man sei von Nohl über die Probleme informiert worden und arbeite daran, Netzwerkbetreibern bei der Beseitigung des Problems zu helfen.
Die Telekom, als größter deutscher Betreiber, ist nach eigener Aussage nicht betroffen. Sie nutze auch bei älteren SIM-Karten einen stärkeren Algorithmus namens 3DES, sagte ein Sprecher ZEIT ONLINE.
Gleichwohl gibt es auch in Deutschland Mobilfunkkunden, deren SIM-Karten den alten Verschlüsselungsstandard verwenden.
Bild: Michael Grabscheit
