Technisch machtlos gegen
Lauschangriffe
Iwona Wisniewska, 3. November 2013, 16:01
·
Abgehört wird schon beinahe so lange es Telefone gibt. Defizite im
GSM-Standard machen es dabei bis heute den Schnüfflern leicht.
·
Mobilfunk-Forscher und Sicherheitsexperten wünschen sich neue
Voraussetzungen, um systematisches Abhören von Telefonaten zu verhindern
Wien - Die Abhörmethoden des US-amerikanischen Geheimdienstes NSA haben
in den vergangenen Wochen nicht nur Angela Merkel beschäftigt. Auch
Sicherheitsexperten und Telekom-Forscher stellen sich die Frage, wie man
die Sicherheitsstandards heimischer und europäischer Mobilfunknetze
verbessern könnte, um Abhörskandale in dieser Größenordnung zu
verhindern.
·
Immer wieder haben GSM-Experten in den letzten Jahren betont, fehlende
Sicherheitsstandards im Mobilfunk und das langsame Aktualisieren von
Neuerungen in den Netzen führten dazu, dass mit wenig Aufwand gezielt
abgehört werden könne. Der Wiener Forscher Paul Fuxjaeger vom
Forschungszentrum Telekommunikation sieht das allerdings etwas
differenzierter. Für diese kolportierte einfache Methode müsste der
"Telefon-Spion" ziemlich in der Nähe der Zielperson sein.
"Die größte Schwachstelle des Mobilfunkstandards GSM ist, dass das Netz
sich gegenüber dem Handy nicht authentifizieren muss. So kann jemand
eine Mini-Mobilfunkzelle bauen, die dem Abgehörten ein Netz vortäuscht",
sagte Fuxjaeger dem Standard.
Der Schlüssel als Problem
Im Fall von Angela Merkel, wo ihr Parteihandy, nicht aber jenes des
Kanzleramtes dem Lauschangriff ausgesetzt war, wäre dies zu schwierig
gewesen. Man stelle sich vor, jemand wäre mit einer selbstgebauten
Mobilfunkzelle der deutschen Kanzlerin auf Schritt und Tritt gefolgt, um
ihre Gespräche abzuhören.
Viel wahrscheinlicher hingegen ist die
Anwendung der Methode, direkt auf Knotenpunkte im Netz zuzugreifen. Die
Geheimdienste bedienen sich
mit großer Wahrscheinlichkeit dieser
Praktik. Ungeklärt ist, ob dies mit oder ohne Wissen der
Mobilfunkbetreiber geschieht.
Technisch sei das kein Problem, so Fuxjaeger. "Mobilfunknetze sind
hierarchisch aufgebaut. Ein Anruf geht durch eine bestimmte Anzahl von
Knotenpunkten." An diesen Punkten liegen die Telefonate unverschlüsselt
im Klartext vor. Der GSM-Standard sieht eine Verschlüsselung nämlich nur
an Punkten vor, die über die Luft senden, bei Hardware-Leitungen sei das
nicht der Fall. An diesen Knotenpunkten kann ein Angreifer mitschneiden.
Kein Indikator fürs Lauschen
Als normaler Mobilfunknutzer kann man nicht erkennen, ob man abgehört
wird. Es gibt dafür laut Fuxjaeger keinen Indikator, der das anzeigen
könnte. Interessanterweise war in der frühen Konzeptionsphase des
GSM-Standards vorgesehen, dem Nutzer anzuzeigen, ob eine Verschlüsselung
gegeben ist oder nicht. Die Idee wurde später aber fallengelassen.
Derzeit stehen also alle Handynutzer dem Abhören der eigenen Telefonate
machtlos gegenüber. Um ein systematisches Abhören von Personen zu
verhindern, müsste über dem GSM-Standard eine Verschlüsselungsschicht
liegen. Dazu müssten sowohl Empfänger als auch Sender mit diesem Layer
ausgestattet sein.
Können Mobilfunker diese Schicht nicht einfach in ihre Netze
implementieren? Dies wäre mit großem Aufwand verbunden, denn das größte
Problem an dieser Verschlüsselung wäre es, zu klären, wie Schlüssel
ausgetauscht werden. Durch eine solche Attacke könnte ein Angreifer in
der Mitte die Schlüssel wortwörtlich "abfangen". Was also bleibt, ist
laut Fuxjaeger die Hoffnung, dass durch diesen Skandal technische
Voraussetzungen geschaffen werden, die ein sicheres Telefonieren
ermöglichen.
"Die NSA hat überall Zugänge, aber
Ende-zu-Ende-Verschlüsselung könnten sie wohl nicht so einfach knacken."
(Iwona Wisniewska, DER STANDARD, 31.10.2013)
Bemerkung:
Die "End - to End - Verschlüsselung" ist nur bei
einem Einsatz von Verschlüsselungsverfahren mit ausreichender
Schlüssellänge erfolgreich. Gleichzeitig darf der Schlüssel nur
einmal für die Verschlüsselung einer äquivalenten Datenmenge
verwendet werden. ( Die Verwendung von AES oder anderen
gleichartigen Verfahren wird wegen Verstoß gegen die
Todsünden
der Kryptologie nicht empfohlen.. |