Eine Abteilung der Vereinten Nationen, deren Aufgabe es ist, Staaten über Cybersicherheit zu informieren, wird demnächst eine Warnung über eine beachtliche Schwachstelle in SIM-Karten von mindestens einer halben Milliarde Mobiltelefonen herausgeben.

Der Bug, welcher von einem deutschen Software-Sicherheitsunternehmen entdeckt wurde, erlaubt Hackern die Kontrolle über die SIM-Karten und auch die Möglichkeit, diese zu klonen. Die Methode hinterlässt keinerlei Spuren und es gibt keine Möglichkeit, es zu verhindern oder es überhaupt zu bemerken, so Karsten Nohl von Security Research Labs. Nohl ist ein sogenannter White Hat-Hacker, der im Auftrag von Firmen Softwarelücken aufdeckt und so Kriminellen zuvorkommt. Sein Spezialgebiet ist Telefonsicherheit.

Die potenziellen kriminellen Missbräuche sind unvorstellbar groß. Finanzkriminalität steht dabei an oberster Stelle. Die Firma hat die Problematik auf der „Black Hat Hacking Konferenz“ Ende Juli in Las Vegas ausführlich erläutert. Außerdem wären etwa 200 internationale Telekommunikations-Unternehmen, Geheimdienste und IT-Experten informiert worden.

Das Hacken funktioniere nur mit solchen SIM-Karten, die mit der alten Verschlüsselungstechnologie, bekannt als DES, arbeiten. Demnach würden schätzungsweise weltweit etwa 500 Millionen Mobiltelefone betroffen sein. Etwa sechs Milliarden Geräte könnten jedoch ähnlichen Gefahren ausgesetzt sein. Hat ein Hacker einmal eine SIM-Karte kopiert, kann er nach Belieben telefonieren, SMSen oder gar Mastercard- oder PayPal-Daten missbrauchen – sofern diese Informationen auf der SIM-Karte gespeichert sind.

User in Afrika sind besonders gefährdet, da Internet-Banking via Mobiltelefon dort weit verbreitet ist. Sowohl iPhone als auch Android- und BlackBerry-Telefone sind der Gefahr ausgesetzt. Adrian Stone, Leiter einer BlackBerry-Sicherheitsabteilung, gab bekannt, dass seine Firma bereits letztes Jahr neue SIM-Karten-Standards zum Schutz vor Angreifern vorgeschlagen hätte.

Fast alle Mobilfunkunternehmen haben sehr schnell reagiert und werden die gravierende Sicherheitslücke, die Millionen von SIM-Karten ihrer Kunden betreffen, beheben. Die SIM-Karte muss dafür ausgetauscht werden.

Auf der in Las Vegas jährlich stattfindenden „Black Hat Konferenz“ diskutierte der Sicherheitsexperte Karsten Nohl die lang erwarteten Ergebnisse aus der dreijährigen Forschungsarbeit seines Teams mit den etwa 7.000 teilnehmenden Sicherheitsexperten. Er erläuterte, dass eine Schwachstelle Außenstehenden erlauben würde, Zugriff zum 56-stelligen digitalen Code der SIM-Karten zu erlangen und sie so zu manipulieren. Er und sein Team hatten hierzu zwei Jahre lang an über 1.000 SIM-Karten Untersuchungen durchgeführt.

Hacker würden damit beginnen, Text-Mitteilungen an die SIM-Karte zu senden, die der User selbst nicht einmal bemerkt. Die SIM-Karte jedoch antwortet auf diese Mitteilung mit Daten, die entschlüsselt werden können. Danach schickt der Angreifer Java-Software an die SIM-Karten und öffnet damit Tür und Tor für alle möglichen Angriffsszenarien.

Der Bug war in einem vier Jahrzehnte alten Verschlüsselungsverfahren, bekannt als DES (Data Encryption Standard), verankert. Die meisten der sechs Milliarden Mobiltelefone benutzen diese Methode, obwohl es mit Triple-DES bereits eine neuere und sicherere Methode gibt.

Artikel von reuters.com, 21.07.2013: U.N. warns on mobile cybersecurity bugs in bid to prevent attacks
Artikel von theregister.co.uk, 22.07.2013: Mobe SIM crypto hijack threatens millions: Here’s HOW IT WORKS
Artikel von nbcnews.com, 31.07.2013: Hacking expert says mobile firms moved fast to fix security flaw
Artikel von theguardian.com, 01.08.2013: Sim card flaws leave millions of mobile phones open to attack, hacker finds