Die Verschlüsselungsexperten Karsten Nohl und Luca Melette haben auf dem Sicherheitstreffen Chaos Communication Camp erneut gezeigt, wie einfach der Mobilfunkstandart GPRS, der unter anderem zur Übermittlung von Sprache bei Handys dient, zu knacken ist. Dabei könnten Netzbetreiber das mit wenig Aufwand verhindern.
Das ist nicht neu – alle paar Monate demonstrieren Profis, wie leicht das Abhören herkömmlicher Mobilfunktelefonate ist. Dieses Mal wurde aber außerdem gezeigt, dass auch Daten, die über GPRS (General Packet Radio Service) übermittelt werden, leicht abgefangen werden können. Bisweilen sei GPRS so unsicher wie ein offenes, nicht geschütztes WlLAN-Netzwerk, so Nohl. Für ihren Test-Hack benutzten Nohl und Melette ein modifiziertes, sieben Jahre altes Motorola-Handy und frei verfügbare Software, um Datenverkehr in einem Umkreis von fünf Kilometern abzuhören. Damit schafften sie es, Informationen in den Netzen von T-Mobile, O2, Vodafone und E-Plus zu auszulesen.
Besonders ärgerlich ist der Umstand, dass die Netzbetreiber es Hackern mit minimalem Aufwand viel schwerer machen könnten. Denn GPRS sieht zwar grundsätzlich eine Verschlüsselung zum Schutz vor, allerdings haben einige Netzbetreiber diese Sicherheitsmaßnahem einfach abgeschaltet – etwa, um leichter herausfinden zu können, ob ihre Netze für Chat- oder VoIP-Programme wie Skype verwendet werden. Deren Nutzung ist bei einigen Anbietern verboten. Wer der Meinung ist, GPRS sei ein veralteter Standard für die Datenübertragung und würde daher ohnehin nicht mehr genutzt, irrt. Denn GPRS kommt immer dann zum Einsatz, wenn das UMTS-Netz gerade nicht verfügbar ist – auf dem Lande ist das immer noch sehr häufig der Fall.
Doch auch wenn der eigene Netzbetreiber eine Verschlüsselung verwendet, sind Datenübertragungen nicht zwangsläufig sicher. Wegen des inzwischen hohen Alters der Technik - GPRS wird seit etwa 10 Jahren verwendet – sei der Standard anfällig für Angriffe von außen. Außerdem verwendeten Netzbetreiber teilweise nur einfache Schlüssel, so Nohl. Neben der Aufforderung an die Netzbetreiber, grundsätzlich starke Verschlüsselungen zu verwenden, empfehlen die beiden Sicherheitsexperten den Netzbetreibern, SIM-Karten mit Sicherheits-Software einzuführen, die Verbindungen verifizieren könnten. powered by AreaMobile (bw)