Mobilfunk 28.10.2011, 12:05 Uhr

Sichere Mobilfunkstandards nur zögerlich in Netze implementiert

Der klassische Mobilfunkstandard GSM ist in die Jahre gekommen – seine Verschlüsselung längst geknackt. Einen sichereren Standard führen die Mobilfunkunternehmen jedoch nicht oder nur zögernd ein, obwohl er schon lange zur Verfügung steht.

Das Telefonieren mit dem Handy ist nicht sicher. Wiederholt zeigte der Sicherheitsexperte Karsten Nohl in diesem Jahr, wie er mit umgebauten Telefonen im Wert von 20 € Gespräche abhören und SMS-Nachrichten abfangen kann. Experten ist die Unsicherheit schon lange bekannt, sagt Nohl: „Schwachstellen in der Verschlüsselung von GSM wurden bereits vor über zehn Jahren gefunden und vor sechs Jahren praktisch vorgeführt.“

In der Praxis bleiben die Angriffe jedoch unentdeckt, da sie keine Spuren im Netzwerk hinterlassen. Tatsächlich war die Verschlüsselung von Anfang an bewusst schwach gewählt. Nohl: „Die GSM-Verschlüsselung wurde unter Anleitung der Geheimdienste entwickelt.“ Das Argument lautete damals: „Zivilisten haben die beste Sicherheit nicht verdient.“

Auch als man den Nachfolgestandard GPRS für mittelschnelle Datenverbindungen entwickelte, wurde das entsprechende Gremium nicht von den Unternehmen, sondern von den Regierungen dominiert, die darauf beharrten, die aus GSM bekannte Verschlüsselung in den neuen Standard zu übernehmen.

Nur UMTS gilt bei Mobilfunkstandards noch als sicher

Den Markt für Abhörequipment, das die Soll-Schwachstellen ausnützt, schätzt Nohl auf einen Multimillionenmarkt. Auch GPRS wurde dieses Jahr geknackt – durch Nohl. Allein UMTS für schnelle Verbindungen gilt noch als sicher.

Der Dachverband der Mobilfunkindustrie GSMA hat deshalb längst einen sicheren Algorithmus namens A5/3 entwickelt, mit dem sich GSM sicherer machen ließe. Jedes Mobilfunkunternehmen hat damit die Wahl zwischen dem alten, kompromittierten und dem neuen, sichereren Standard. Wenn ein Nutzer sich mit einem modernen Handy in diese Netze einwählt, wird sein Gerät automatisch den besten Sicherheitsstandard wählen.

Bislang war eine solche Wahl nicht möglich, doch schon bald werden zumindest Kunden der Deutschen Telekom von dem neueren Standard A5/3 profitieren können: Auf Nachfrage teilte ein Sprecher der Deutschen Telekom mit, dass das Unternehmen im Zuge des Netzausbaus und der Erneuerung der Basisstationen „intensiv an der flächendeckenden Umsetzung des neuen Algorithmus A5/3“ in ihren Netzen arbeite.

Neuer Mobilfunkstandard A5/3: Aktivierungszeitpunkt ist noch offen

Der Ausbau schreitet stufenweise voran, einen genauen Zeitpunkt, wann die Technik aktiviert wird, gibt es noch nicht. Auch zwei große europäische Mobilfunkunternehmen, die noch nicht genannt werden dürfen, modernisieren zurzeit ihre GSM-Netze und rüsten sie mit dem neuen Kryptostandard A5/3 auf.

Dank extrem hoher Investitionskosten für Lizenzen von UMTS-Frequenzen könnte es jedoch etwas dauern, bis auch andere Betreiber bereit sind, wieder in das alte GSM-Netz zu investieren.

Ein Sprecher von Telefónica nennt einen weiteren Grund für die Zurückhaltung: „Die Anzahl der Endgeräte im Markt, die den A5/3-Algorithmus sicher implementieren können, ist sehr gering.“ Außerdem nehme mit der zunehmenden Nutzung von Smartphones, einem gut ausgebautem UMTS-Netz, der neuen LTE-Technologie und der zunehmenden Nachfrage mobiler Datendienste die Zahl der GSM-Nutzer ab.

Nohl hält dem entgegen, dass noch immer rund zwei Drittel des Sprachaufkommens in Deutschland über das GSM-System laufen. Außerdem könnten neue Geräte mit dem jüngeren Kryptostandard umgehen.

Die GSMA entwickelte übrigens mit A5/2 auch einen deutlich schlechteren Kryptostandard, wohl speziell für Länder, die Telefonate ihrer Bürger leicht abhören wollen. Telefoniert man mit seinem Handy in einem solchen Land, erkennt das Gerät automatisch diesen Standard und stellt auf schlechtere Verschlüsselung um. Mit einem durchschnittlichen PC sollen verschlüsselte Inhalte in weniger als 1 s gebrochen werden können. Inzwischen ist der Einbau dieses Standards in neue Handys verboten. Doch bis sich die Standardisierungsgremien zu diesem Schritt durchringen konnten, dauerte es ganze vier Jahre.   

Ein Beitrag von:

  • Christiane Schulzki-Haddouti

    Freie Journalistin und Buchautorin in Bonn. Scherpunktthemen: Bürgerrechte, Informationsfreiheit, Datenschutz und Medienethik.

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

Northrop Grumman LITEF GmbH-Firmenlogo
Northrop Grumman LITEF GmbH Entwicklungsingenieur Software (m/w/d) Freiburg
Fachhochschule Nordwestschweiz FHNW-Firmenlogo
Fachhochschule Nordwestschweiz FHNW Projektingenieur*in / Hardware- und Softwareentwickler*in Medizintechnik Muttenz (Schweiz)
FERCHAU GmbH-Firmenlogo
FERCHAU GmbH DevOps Engineer (m/w/d) Berlin
FERCHAU GmbH-Firmenlogo
FERCHAU GmbH Ingenieur / Techniker / Informatiker (m/w/d) Dresden
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen-Firmenlogo
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen System and Requirements Engineer (m/w/d) Schwieberdingen bei Stuttgart
HUK-COBURG-Firmenlogo
HUK-COBURG Backend Entwickler:in / Softwareentwickler:in für modulare Lösungen Coburg
Airbus-Firmenlogo
Airbus Senior Unix/Linux/Solaris Services Specialist (d/f/m) München
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen-Firmenlogo
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen Director Software Development Embedded Systems (m/w/d) Schwieberdingen bei Stuttgart
SMR Automotive Mirrors Stuttgart GmbH-Firmenlogo
SMR Automotive Mirrors Stuttgart GmbH Algorithm Engineer (m/w/d) Stuttgart
MED-EL Medical Electronics-Firmenlogo
MED-EL Medical Electronics Development Engineer, Signal Processing (m/f) Innsbruck (Österreich)

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.