Interview mit Profihacker Nohl 17.08.2012, 11:00 Uhr

„Mobilfunksicherheit – ein trauriges Thema“

Profihacker Karsten Nohl ist der Mann, der in den letzten drei Jahren in Deutschland aufsehenerregende Hacks präsentierte. Vor Kurzem deckte seine Firma Security Research Labs schwere Lücken in einem hierzulande weit verbreiteten EC-Karten-Terminalsystem auf. Und er zeigte vor drei Jahren, dass die gängigen Mobilfunkstandards leicht zu knacken sind. Während viele betroffene Unternehmen auf die Hacks reagieren, ist gerade in deutschen Mobilfunknetzen nichts passiert.

Karsten Nohl: "Wir sind die Glaskugel."

Karsten Nohl: "Wir sind die Glaskugel."

Foto: Alexander Klink

VDI nachrichten: Vor drei Jahren haben Sie gezeigt, dass sich Handygespräche und SMS-Nachrichten ganz einfach abhören lassen. Seither hat sich wenig verbessert. Warum?

Nohl: Die Mobilfunksicherheit ist ein trauriges Thema. Es gibt nach wie vor keinen ausreichenden Bedarf, der gegenüber den Betreibern ausgedrückt wird, um Netze sicherer zu machen.

Wie aufwendig ist die Umstellung eines Mobilfunknetzes auf den sichereren GSM-Algorithmus A5/3?

In der Regel dauert eine Umstellung rund 18 Monate. In Europa haben Netzbetreiber in Dänemark, Tschechien und Slowenien den Standard jetzt implementiert. Die Dänen hatten sich technisch bereits vorbereitet und konnten relativ schnell aufrüsten. In den großen europäischen Ländern scheinen ältere Netze verbreitet zu sein, bei denen der Weg des einfachen Software-Upgrades verwehrt bleibt.

Wie sieht es hier in Deutschland aus?

Gerade in Deutschland haben wir mit den D-Netzen eine sehr alte Infrastruktur. Die Deutsche Telekom und Vodafone haben zwar Schritte in Richtung mehr Sicherheit gemacht, doch mehr auch nicht. Eine Umsetzung der wichtigsten Sicherheitsverfahren ist noch immer nicht erfolgt. Wir haben uns erst vor Kurzem wieder an Manager herangepirscht und – natürlich mit deren Erlaubnis – ihre Gespräche mitgehört und ihre Mailbox abgerufen. Das ging in allen deutschen Netzen. Anders als vor ein, zwei Jahren gehören jedoch die entsprechenden Hacktools inzwischen zur Werkzeugkiste jedes Hackers.

Wie viele Netzbetreiber haben denn inzwischen den A5/3-Standard implementiert?

Von ungefähr hundert untersuchten Netzen haben bislang nur sieben den Standard umgesetzt. A5/3 ist aber nicht das einzige Sicherheitsfeature. Auch bei den anderen Sicherheitsmerkmalen sieht es nicht besser aus. Kein einziges Netz setzt heute alle Features um.

Wer oder was könnte denn die Unternehmen überzeugen, dass mehr Sicherheit nötig ist?

Etliche Organisationen sind heute so aufgestellt, dass das derzeitige niedrige Sicherheitsniveau nicht mehr erlaubt ist. Ein Beispiel dafür ist die Bundesregierung, die inzwischen eigene Verschlüsselungstechniken nutzt. Aus dem Konjunkturpaket 2 wurden etliche Millionen Euro in die Anschaffung sicherer Telefonapparate investiert – ein Kryptophone kostet rund 2000 €. Besser wäre es gewesen, das Geld hätten die Betreiber in sicherere Netze investiert. Dann hätten mehr Kunden davon profitiert.

Sie demonstrierten kürzlich, dass man beim Kartenterminal von Veri-

fone per Internet EC-Kartendaten und PIN ausspionieren kann. Wie reagierte der Hersteller, als sie ihn auf die Lücke aufmerksam gemacht haben?

Wir durchlaufen mit dem Hersteller und anderen potenziellen Betroffenen ein „responsible disclosure“-Verfahren. Das heißt, wir veröffentlichen Informationen langsam und verantwortlich. Dazu gehört, dass man nicht öffentlich übereinander spricht.

Aber Sie haben den Hersteller ja in der Öffentlichkeit bereits bloß gestellt.

Sich an die Öffentlichkeit zu wenden, macht innerhalb des Verfahrens nur in zweierlei Hinsicht Sinn: entweder wenn eine Lösung für die Schwachstelle publiziert wurde und es darum geht, diese möglichst schnell umzusetzen, oder wenn es keine Aussicht gibt, dass zeitnah oder jemals eine Lösung für das Problem bereitgestellt wird. Letzteres war hier der Fall: Wir waren uns sicher, dass das Problem weder über Nacht oder in wenigen Monaten zu lösen ist.

Normalerweise decken Sicherheitsfirmen nicht so viele spektakuläre Sicherheitslücken auf. Warum ist das bei Ihnen anders?

Wir wollen die Diskussion um Sicherheit anheizen und anhaltend führen. Wir helfen Unternehmen, aus Fehlern zu lernen und neue Technik auf dem aktuellen Stand des Wissens sicherer zu gestalten. Auch diese Technik wird wieder gehackt werden, doch der Zeitraum, bis das passiert, lässt sich in die Länge strecken. Wenn sich Unternehmen entsprechend dynamisch entwickeln, sind ihre Produkte sicher genug.

Zielt ihr Geschäftsmodell darauf ab, beliebte Verbrauchertechnologien über Beratungsverträge mit betroffenen Unternehmen sicherer zu machen?

Wir helfen großen Firmen im Risikomanagement. Wir sind die Glaskugel, in die Firmen sehen, um zu erkennen, wie sicher künftige Technologien sein können, die sie selbst bauen oder für die sie sich entscheiden. Dabei kümmern wir uns um die schwer knackbaren Sicherheitskerne. In der Kryptografie etwa gibt es harte Kerne aus der Mathematik, die sich beweisen lassen. In allen anderen Bereichen versuchen wir ein ähnliches Verständnis zu finden: Wir suchen Bausteine, die selbst starkem Hacking-Interesse widerstanden haben.

Gibt es Firmen, die ihren konstruktiven Ansatz nicht verstehen und Ihnen eher Schwierigkeiten bereiten?

Generell erleben wir sehr positives Feedback mit der Ausnahme der Firmen, die gerade gehackt wurden. Die haben zunächst einen Stimmungshänger, kommen aber häufiger, als man denkt, als Phoenix aus der Asche zurück, um dann als Erste die nächste technische Evolutionsstufe anzugehen. Im Mittel führt das dazu, dass die Technik immer besser wird.

  • Christiane Schulzki-Haddouti

Stellenangebote im Bereich Softwareentwicklung

Caljan Rite-Hite GmbH-Firmenlogo
Caljan Rite-Hite GmbH SPS Programmierer – Softwareentwickler (m/w/d) Steinhagen
Porsche AG-Firmenlogo
Porsche AG Entwicklungsingenieur (m/w/d) Integration E2E – Kommunikationsschnittstellen Weissach
TECCON Consulting&Engineering GmbH-Firmenlogo
TECCON Consulting&Engineering GmbH Softwareentwickler (m/w/d) Java / Spring / Hibernate / Maven keine Angabe
XTRONIC GmbH-Firmenlogo
XTRONIC GmbH Requirements Engineer Bereich Kombiinstrumente (m/w/d) Böblingen
seleon gmbh-Firmenlogo
seleon gmbh Senior-Softwareentwickler (m/w/d) Heilbronn
A. Eberle GmbH & Co. KG-Firmenlogo
A. Eberle GmbH & Co. KG Techniker / Ingenieur im Bereich Power Quality (m/w/d) Nürnberg
DMK Deutsches Milchkontor GmbH-Firmenlogo
DMK Deutsches Milchkontor GmbH PLC Software Engineer (m/w/d) Anlagentechnik Lebensmittelproduktion Georgsmarienhütte
OHB Digital Connect GmbH-Firmenlogo
OHB Digital Connect GmbH Proposal Manager Satellite Ground Systems (m/f/d) Bremen
OHB Digital Connect GmbH-Firmenlogo
OHB Digital Connect GmbH DevOps Engineer (m/w/d) Bremen
HENSOLDT-Firmenlogo
HENSOLDT Systemingenieur Airborne SIGINT (w/m/d) Ulm

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.