Sicherheitslücken : Der Verräter in der Tasche

Smartphones sind längst vollwertige Computer – nur viel unsicherer. Fünf wichtige Schwachstellen

Der Gabentisch, er ist in diesem Jahr voller Elektronik: Rund jeder Sechste will ein neues Handy, jeder Achte ein Tablet kaufen oder verschenken. So ermittelte es vor dem Fest der IT-Branchenverband Bitkom in einer repräsentativen Umfrage. TNS-Infratest fand im Auftrag der Deutschen Telekom heraus, dass sich mehr als jeder Zweite unter 30 über ein Smartphone oder ein Tablet freuen würde. Die digitalen Begleiter sind längst im Alltag angekommen. Das Bewusstsein für Risiken und Schwachstellen mobiler Kommunikation indes nicht. So können sich die Geräte bei allzu sorglosem Umgang schnell als gefährliche Gaben entpuppen – eine Annäherung in fünf Schritten:

Es dauert knapp 20 Minuten, bis Luca Melette das fremde Telefon gekapert hat. Der Hacker mit orange-gelb gefärbtem Haarschopf und Kapuzenpulli beugt sich über seinen Laptop, an den ein manipuliertes Handy angeschlossen ist. Es wird betrieben von einer leicht veränderten Software, wie sie jedermann aus dem Internet laden kann. So wird Melette zum Mitwisser: Die improvisierte Abhörstation fängt im Umkreis mehrerer Kilometer die Datenpakete aus dem Handynetz ein. Kryptische Zahlenreihen rattern über den Bildschirm. Aus diesem Wust pickt Melette jene Nummern heraus, mit denen sich ein anderes Telefon im Netz identifiziert. Binnen Sekunden knackt er den Code, der für die Verschlüsselung der Gespräche zugewiesen wurde.

Das reicht. Nun kann Melette in der Mobilfunksphäre die fremde Identität benutzen. Er kann Anrufe tätigen, Textnachrichten versenden – alles unter falscher Flagge und ohne Spuren zu hinterlassen. Er könnte auch kostenpflichtige Telefon- oder SMS-Dienste nutzen. Damit hätte er Zugriff auf den fremden Geldbeutel. »So ein Angriff kann jeden treffen und handfeste finanzielle Schäden mit sich bringen«, sagt Melette. – Lehre Nummer eins: Identitäten sind chronisch unsicher.

Der Besitzer des gekaperten Telefons, Karsten Nohl, hat nur deshalb nichts zu befürchten, weil Melette sein Kollege ist und keinerlei kriminelle Energie besitzt. Die beiden sind Auftragshacker. Nohl hat das Security Research Lab in Berlin gegründet, er berät Dax-Konzerne und große Organisationen in Sachen Datensicherheit. In seiner Freizeit zerlegt der Kryptografie-Experte gerne Bit für Bit jene Sicherheitsmechanismen, die im Mobilfunk Datensicherheit gewährleisten sollen.

»In der Szene ist schon seit Jahren bekannt, dass die Verschlüsselung von Handy-Gesprächen und mobilem Datenverkehr über den veralteten Mobilfunkstandard GSM leicht zu knacken ist«, sagt Nohl. Weltweit telefonieren mehr als drei Milliarden Menschen über GSM-Netze, die Technik stammt aus den frühen 1990er Jahren. Auch in Deutschland bildet sie trotz des rasanten UMTS-Ausbaus immer noch die Grundlage mobiler Kommunikation. Vor 20 Jahren war der 64 Zeichen lange GSM-Schlüssel noch ein wirksamer Schutz, heute knacken ihn Nohl und sein Team binnen drei Sekunden. So rechenstark sind die Prozessoren. Mehrfach haben die Auftragshacker vorgeführt, wie leicht das geht – auch um Daten abzufangen, die über den neueren GPRS-Standard verschickt werden.

Gerade feilt Nohl an einer Vorführung für den Chaos Communication Congress. Bei dem Hacker-Treffen, das zwischen Weihnachten und Neujahr in Berlin stattfindet, will er einen Angriff wie den von Melette demonstrieren. Solche impersonation attacks, so der Experte, ließen sich auch problemlos automatisch ausführen – und damit massenhaft. – Lehre Nummer zwei: GSM-Netze sind unzureichend verschlüsselt, obwohl sie immer noch das Rückgrat der mobilen Kommunikation bilden.

 Verdoppelung der Schadsoftware innerhalb von zwei Jahren

Dabei spielen mobile Geräte längst eine zentrale Rolle im Alltag. Das Volumen ihres Datenverkehrs wächst rasant. Neben Gesprächen, Mails oder YouTube-Videos finden zunehmend berufliche und vertrauliche Daten ihren Weg in die Mobilfunksphäre: Passwörter für alle möglichen Webseiten werden auch auf dem Handy gespeichert, Firmenpräsentationen oder Steuererklärungen auf das iPad geladen. Zusätzlich vermischen viele Nutzer privaten und beruflichen Einsatz auf Smartphones und Tablets. – Lehre Nummer drei: Die digitalen Alltagsbegleiter enthalten so sensible Daten wie PCs.

Bösewichte haben längst die Mobilen für sich entdeckt: Die Zahl entdeckter Schadprogramme, manipulierter Anwendungen und gezielter Angriffe nimmt zu. Der Anbieter von Sicherheitssoftware McAfee geht von einer Verdopplung der Schadsoftware für mobile Geräte in den vergangenen zwei Jahren aus. Praktisch alle Plattformen sind betroffen, wie aktuelle Beispiele zeigen: Ein vermeintliches Update des Opera-Browsers für die Symbian-Plattform (Nokia) stellte sich als Trojaner heraus, der teure SMS an russische Premium-Nummern schickte. Für das Betriebssystem Android (Google) sind seit Anfang 2011 zahlreiche manipulierte Apps im Umlauf, die per Hintertür Kriminellen Zugriff auf private Daten ermöglichen. Sogar normales Surfen birgt Gefahr: Auf für Smartphones optimierten Seiten wird der Datenverkehr bislang oft unverschlüsselt übertragen. Facebook stand deswegen schon häufiger in der Kritik, so im vergangenen Frühjahr. Mitte 2011 wurde sogar das erste Virus gefunden, das sich unbemerkt und ohne jegliches Zutun des Nutzers auf dem Smartphone installiert, sozusagen im Vorbeisurfen (Drive-by-Download). – Lehre Nummer vier: Viren und Co. bedrohen längst auch Smartphones und Tablets.

Die Nutzer jedoch sind sich der Sicherheitslücken bislang kaum bewusst. Laut einer im Februar 2011 veröffentlichten repräsentativen Emnid-Umfrage im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiß ein Drittel der Befragten nicht einmal, dass ein Smartphone dieselben Schutzmaßnahmen wie ein PC benötigt. Beinahe jeder zweite Besitzer eines solchen Geräts hatte noch nie ein Sicherheits-Update aufgespielt. Ähnliche Ergebnisse lieferte auch eine Infratest-Umfrage für die Deutsche Telekom unter rund 1.600 Nutzern: Nicht einmal jeder Fünfte hatte eine Firewall installiert, nur jeder Vierte nutzt einen Virenschutz. Das Fazit der Studie: »Mobile Surfer verhalten sich besonders fahrlässig.«

»Die Unternehmen installieren Alarmsysteme und Firewalls, sorgen für extrem hohe IT-Standards auf den stationären Rechnern – und dann spaziert der Vorstandsvorsitzende mit sensiblen Unternehmensdaten auf seinem neuesten Tablet-PC zur Tür hinaus«, sagt Tobias Schrödel, der Unternehmen in Sachen IT-Sicherheit schult. Während PCs in den allermeisten Firmen ständig aktualisiert würden, sei dies bei Smartphones und Tablets die Ausnahme. – Lehre Nummer fünf: Nutzer ignorieren oft selbst die simpelsten Vorsichtsmaßnahmen.

Technische Schwachstellen plus laxer Umgang: eine Zeitbombe. »Die Anreize steigen, weil sich immer mehr interessante Daten auf den Geräten befinden«, sagt Ulrike Meyer, Professorin für IT-Sicherheit in mobilen Netzen an der RHTW Aachen. »Für Angriffe ausnutzbare Sicherheitslücken sind verhältnismäßig einfach zu finden.« Auch der »Bundeslagebericht Cybercrime 2010« des Bundeskriminalamts warnte im Sommer, »mobile Endsysteme« gerieten immer mehr ins Visier von Digitaltätern.

Sicherheitskonzepte von stationären Computern nur begrenzt übertragbar

Unterdessen wächst die Zahl der Plattformen, Geräte und Anwendungen in atemberaubendem Tempo. »Die von stationären Systemen bekannten Sicherheitskonzepte und -maßnahmen sind nur begrenzt übertragbar«, sagt Ulrike Meyer, die an einem großen Forschungsprojekt zum Thema teilnimmt. Der Aufbau der Betriebssysteme sei anders, die Rechenleistung vergleichsweise gering. Und übertrage man einen klassischen Virenscanner auf Smartphones, so sei der Akku schnell leer. Die Forscher entwickeln deshalb gerade neue, sparsame Programme, die Schadsoftware identifizieren und vor Angriffen auf mobile Geräten warnen soll. Im Jahr 2013 rechnet Meyer mit den ersten konkreten Ergebnissen.

Schon heute können Nutzer sich durchaus schützen, indem sie einfache Sicherheitsregeln einhalten. Ausgeliefert sind sie allerdings Angriffen auf die Netze selbst. »Der UMTS-Standard ist zwar sicherer, aber die Provider schieben Gespräche regelmäßig auf die GSM-Frequenzen, um das UMTS-Netz für datenintensivere Anwendungen freizuhalten«, sagt Karsten Nohl. Wo das UMTS-Netz nicht hinreicht, fallen die Nutzer in das GSM-Netz zurück (Fallback). Schon haben Bösewichte gelernt, mithilfe von Störsendern oder besonders signalstarken Antennen gezielt solche Fallbacks ins unsichere Altnetz zu provozieren – der Nutzer merkt davon in der Regel nichts.

Um die Privatsphäre und Datensicherheit zu schützen, müssten die Mobilfunkbetreiber folglich die bestehenden GSM-Netze besser sichern. »Das wäre technisch problemlos möglich«, sagt Karsten Nohl. Auf Anfrage räumen die vier großen deutschen Mobilfunknetzbetreiber ein, das Abhören von GSM-Netzen sei theoretisch möglich – nur um dann zu beschwichtigen: Dies sei mit hohem finanziellem und technischem Aufwand verbunden.

Tatsächlich hat die improvisierte Abhörstation von Karsten Nohl rund 1.000 Euro gekostet, eine Bauanleitung findet sich leicht im Internet. Da kann sich kein Nutzer ganz sicher sein, dass nicht irgendwo jemand mit orangefarbenem Haarschopf und Kapuzenpulli sitzt, der seine Gespräche mithört, SMS mitliest oder für Ausflüge in die Mobilfunksphäre seine Identität kapert. Und lange nicht jeder, der über dasselbe Wissen verfügt wie Luca Melette, setzt es so gewissenhaft ein.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

25 Kommentare Seite 1 von 3 Kommentieren

Nun, das wäre doch zum Beispiel mal ein Thema,

das die öffentlich-unrechtlichen Fernsehanstalten ihren ab dem Jahr 2013 mit krimineller Energie zwangsbeglückten Zuschauern nahe bringen könnten. Zur besten Sendezeit, nach der Tagesschau zum Beispiel.
Damit könnten sie dann auch ihrem angeblichen "Bildungsauftrag" endlich einmal nachkommen, der beim Abzocken so dahergelogen wird.

Schlechter Artikel, irreführend

1. Der Titel spricht von Smartphones. Die altbekannten GSM Lücken betreffen aber alle Handys.

2. Der Titel zeigt ein iPhone. Schadsoftware gibt es aber nur für Android.

3. Die Zahlen und Warnungen zu Schadsoftware kommen von McAfee, als Hersteller von sicherheitssoftware keine geeignete Quelle.

4. Wieso sollten Nutzer auf Handys und Tablets Firewalls installieren? Im WLAN arbeitet der Router als Firewall, im Mobilfunknetz der Router des Netzbetreibers. Den Rest muss das Betriebssystem des Mobilgeräts erledigen, nicht der Nutzer.

5. Vor welchem hier beschrieben Angriff sollte eine Firewall schützen? (Tipp: vor keinem)

6. Sollen meine Eltern wirklich auf Handys ihrem Handy Norton Antivirus installieren? Das kann nur Symantec gut finden. Auch hier liegt die Verantwortung beim Hersteller und bitte nicht wieder beim Nutzer.

Der beste Tipp sind regelmäßige Updates. Bei welcher Plattform klappt das momentan am besten?

Fanboy?

Mit den Punkten 1 und 3-6 haben Sie ja Recht, aber Punkt 2 ist absoluter Blödsinn. Erstens funktioniert die App-Überprüfung durch Apple nicht immer (es waren schon Jailbreak-Apps im App Store), zweitens heißt ein sicherer App Store noch lange nicht, dass es keine Schadsoftware gibt.
(Darauf, dass die App-Store-Regeln von Apple aus mehreren Gründen bedenklich sind, möchte ich jetzt gar nicht näher eingehen.)

Re: fanboy?

Sind Sie ein Fanboy? Es ging doch darum, dass das Titelbild irreführend ist. Wenn man schon von mobiler Schadsoftware schreibt wäre ein Bild mit Zeus auf Symbian oder Android wenigstens ein richtiges Beispiel. Stattdessen wird das iPhone genommen, weil es jeder kennt. Das ist kein solider Journalismus, sondern Klickfängerei. Oder können Sie eine aktuelle Schadsoftware benennen, die iOS (ohne Jailbreak) befällt?

Re: fanboy?

Symbolbilder, die nur (oder nicht einmal) auf den ersten Blick etwas mit dem Artikelthema zu tun haben, sind ja nun nichts Ungewöhnliches, oder? ;)

Dass Sie sich über das Bild beschweren, leuchtet mir ein. Und Sie haben Recht damit, dass es momentan keine weit verbreitete Schadsoftware für iOS gibt. Ihre ursprüngliche Behauptung ging aber noch weiter (oder hörte sich zumindest so an).

Auch das iphone ist anfällig!

Charlie Miller dürfte einigen bekannt sein. Der Computersicherheitsexperte hat in den letzten Jahren immer wieder zahlreiche Apple-Systeme geknackt und Lücken aufgedeckt. Wie er nun bekanntgab, hat er wieder einen Weg gefunden, bösartige Software auf das iPhone zu bringen. Das Opfer muss hierzu nur eine App aus dem App-Store laden, die vordergründig irgendetwas machen kann, was sinnvoll erscheint, Börsenkurse anzeigen zum Beispiel...
...Miller hatte es auch schon geschafft, eine solche App im App Store zu platzieren...
http://www.apfeltalk.de/f...

Wichtiges Thema - falsch Präsentiert:

Während es ein wichtiges Thema ist, ist die Präsentation - ehm, miserabel.

Das GSM Problem ist bekannt, aber da kann man nichts gegen tun. Auch alte Geräte oder die einfachsten Geräte sind anfällig.
Es sind die Mobilfunkbetreiber und eventuell Hersteller in der Pflicht.

Bleibt die Schadsoftware:
Da sind die Nutzer daran Schuld dass sie Spielzeug kaufen.
Würden die Leute ein echtes Smartphone kaufen (BlackBerry) wären Sicherheitslücken ein kleineres Problem.

Und Updates:
Updates sind so eine Sache... mein erstes BlackBerry hat in seinem ganzen Leben 3 Updates... mein aktuelles hatte schon 2, allerdings bleiben die Kernkomponenten identisch. Ich vermute mich will eher O2 zumüllen... (jedes Mal Twitter, facebook etc. entfernen....)

Blackberry zukunftssicher ?

Gerade für Firmen dürfte die Frage der Zukunftsicherheit ihrer neu zu kaufenden Geräte sehr wichtig sein . Deshalb gibt es bei den Blackberries mindestens 3 Probleme , die in naher Zukunft einzeln und vielleicht auch zusammen einen kritisch Zustand erreichen könnnen :

- Aushebelung der bei den Firmen-Kunden so geschätzten Verschlüsselung der Daten ( ich glaube , das waren unter anderem Quatar und Indien , kein gerade kleiner Mobil-Markt ) .

- wie kürzlich bewiesen die fehlende Ausfallsicherheit des Blackberry-Servers , der für 3 Tage (!) alle (!) Blackberries dieser Welt funtionsunfähig gemacht hat , weil der eigentliche Vorteil eines zentralen geschlossenen System ad absurdum geführt wurde . Drei Tage Serverausfall des Rechenzentrums sind eine verdammt lange Zeit , das erhöht nicht das Vertrauen der Firmen-Kunden .

- die wirtschaftliche Situation des Herstelers "Research in Motion" , der nicht nur vor dem finaniellen Ende steht , sondern auch seine potentielen Kunden durch Chaos bei der Soft - und Hardware der neueren Geräte vergrault , von ihrem Tab mal gar nicht zu reden ! Es ist eigentlich unverständlich , dass eine Firma , die auf jeden Kunden angewesen ist , eine Modell-und Informations-Politik betreibt , bei der niemand ( angeblich auch intern ) weiss , welche Gräte wann mit welchem Betriebssystem und welchen Diensten kommen !

Aber nur für kleine Unternehmen:

Während Sie mit Ihren ersten zwei Punkten Recht haben, gilt dies vor allem für kleine Unternehmen und Privatkunden.

Als großes Unternehmen kauft man einen BlackBerry Enterprise Server (BES) und dann können die Regierungen quängeln wie sie wollen, die Daten bleiben verschlüsselt. In dieser Hinsicht, Firme-E-Mails wurden während des BlackBerry-Server-Ausfall weiterhin zugestellt wenn man seinen eigenen BES betreibt. Allerdings gibt es wohl Kritik an der Exchangeserverlast durch BES.

Der Ausfall selbst.. ja, er hätte nicht passieren sollen, aber es passiert (leider), das Backup funktionierte nicht...
A propos Back-Up, meiner Uni ist das gleiche passiert. Eine Platte des Servers welcher den Netzwerkplatz bereitstellte ging kaputt und das System war nicht so ausfallsicher wie es sein sollte... Backups von Magnetband mussten aufgespielt werden...

Zum Thema wirtschaftliche Situation: Ich vermute die so-genannten "Investoren" richten viel Schaden an, weil sie Rendite wollen, welche man am besten mit neuen "hippen" Geräten erwirtschaftet...
Nur ist dies nicht BlackBerrys Stärke - ihre Stärke besteht darin solide Geräte zu entwerfen, das braucht Zeit und ist dann nach der Testphase nicht mehr das neueste... da liegt das Problem.

Mit Modellnummern und Betriebssystemversionen sehe ich kein direktes Problem - zumindest die Modellnummern finde ich doch recht verständlich. Und Weiß man bei einem anderen Hersteller auf die schnelle welches Gerät welches OS hat?

Dieser Artikel nützt wenig schürt nur Unsicherheit

Was hilft es, wenn wir auf die Gefahren des mobilen Datenverkehrs hingewiesen werden aber keine Lösungen angeboten bekommen sondern Ratschläge wie: na dann lädt man die app eben nicht runter.
Bruacht man aber vielleicht.
Wie wäre es mit Vorschlägen wie, der smartphone Verkäufer oder der app Markt Betreiber muss sicher stellen, dass die installierbaren apps eben nicht Zugriffe verlangen, die für das Funktionieren der apps unnötig sind. Die Netzbetreiber müssen in die Pflicht genommen werden, die Verschlüsselung zu verbessern.
Im Internet aber pflegt man die Verantwortung immer auf andere zu schieben.
Natürlich ist auch der Nutzer selbst verantwortlich; aber wieviele Nutzer können denn überschauen, was für sie gefährlich ist und wieviel Nutzer können Einfluss nehmen, dass die Datensicherheit steigt???? Keiner
Aber smartphone Hersteller, Netzbetreiber und die apps Marktbetreiber können gezielten Einfluss nehmen und gezielt Entwicklungen vorantreiben, die die Sicherheit erhöhen.
Anfangen sollte man mit Zeritfizierungen der apps.
Das den smartphones zugrunde liegende OS basiert auf Linux: das z.B. erlaubt, Sicherheitszonen einzubauen, sodass ein App nur einen klar zugewiesenen Bereich in der Datenbasis und im Memory benutzen darf. Das muss strikt angewendet werden.
Und sensible Daten wie Telephonenummern, Passwörter etc müssen eben höher verschlüsselt werden. Geht alles. Aber leider sind die App Märkte schlampig und fühlen sich nicht zuständig.
Das muss sich ändern.