Der Gabentisch, er ist in diesem Jahr voller Elektronik: Rund jeder Sechste will ein neues Handy, jeder Achte ein Tablet kaufen oder verschenken. So ermittelte es vor dem Fest der IT-Branchenverband Bitkom in einer repräsentativen Umfrage. TNS-Infratest fand im Auftrag der Deutschen Telekom heraus, dass sich mehr als jeder Zweite unter 30 über ein Smartphone oder ein Tablet freuen würde. Die digitalen Begleiter sind längst im Alltag angekommen. Das Bewusstsein für Risiken und Schwachstellen mobiler Kommunikation indes nicht. So können sich die Geräte bei allzu sorglosem Umgang schnell als gefährliche Gaben entpuppen – eine Annäherung in fünf Schritten:

Es dauert knapp 20 Minuten, bis Luca Melette das fremde Telefon gekapert hat. Der Hacker mit orange-gelb gefärbtem Haarschopf und Kapuzenpulli beugt sich über seinen Laptop, an den ein manipuliertes Handy angeschlossen ist. Es wird betrieben von einer leicht veränderten Software, wie sie jedermann aus dem Internet laden kann. So wird Melette zum Mitwisser: Die improvisierte Abhörstation fängt im Umkreis mehrerer Kilometer die Datenpakete aus dem Handynetz ein. Kryptische Zahlenreihen rattern über den Bildschirm. Aus diesem Wust pickt Melette jene Nummern heraus, mit denen sich ein anderes Telefon im Netz identifiziert. Binnen Sekunden knackt er den Code, der für die Verschlüsselung der Gespräche zugewiesen wurde.

Das reicht. Nun kann Melette in der Mobilfunksphäre die fremde Identität benutzen. Er kann Anrufe tätigen, Textnachrichten versenden – alles unter falscher Flagge und ohne Spuren zu hinterlassen. Er könnte auch kostenpflichtige Telefon- oder SMS-Dienste nutzen. Damit hätte er Zugriff auf den fremden Geldbeutel. »So ein Angriff kann jeden treffen und handfeste finanzielle Schäden mit sich bringen«, sagt Melette. – Lehre Nummer eins: Identitäten sind chronisch unsicher.

Der Besitzer des gekaperten Telefons, Karsten Nohl, hat nur deshalb nichts zu befürchten, weil Melette sein Kollege ist und keinerlei kriminelle Energie besitzt. Die beiden sind Auftragshacker. Nohl hat das Security Research Lab in Berlin gegründet, er berät Dax-Konzerne und große Organisationen in Sachen Datensicherheit. In seiner Freizeit zerlegt der Kryptografie-Experte gerne Bit für Bit jene Sicherheitsmechanismen, die im Mobilfunk Datensicherheit gewährleisten sollen.

»In der Szene ist schon seit Jahren bekannt, dass die Verschlüsselung von Handy-Gesprächen und mobilem Datenverkehr über den veralteten Mobilfunkstandard GSM leicht zu knacken ist«, sagt Nohl. Weltweit telefonieren mehr als drei Milliarden Menschen über GSM-Netze, die Technik stammt aus den frühen 1990er Jahren. Auch in Deutschland bildet sie trotz des rasanten UMTS-Ausbaus immer noch die Grundlage mobiler Kommunikation. Vor 20 Jahren war der 64 Zeichen lange GSM-Schlüssel noch ein wirksamer Schutz, heute knacken ihn Nohl und sein Team binnen drei Sekunden. So rechenstark sind die Prozessoren. Mehrfach haben die Auftragshacker vorgeführt, wie leicht das geht – auch um Daten abzufangen, die über den neueren GPRS-Standard verschickt werden.

Gerade feilt Nohl an einer Vorführung für den Chaos Communication Congress. Bei dem Hacker-Treffen, das zwischen Weihnachten und Neujahr in Berlin stattfindet, will er einen Angriff wie den von Melette demonstrieren. Solche impersonation attacks, so der Experte, ließen sich auch problemlos automatisch ausführen – und damit massenhaft. – Lehre Nummer zwei: GSM-Netze sind unzureichend verschlüsselt, obwohl sie immer noch das Rückgrat der mobilen Kommunikation bilden.

 Verdoppelung der Schadsoftware innerhalb von zwei Jahren

Dabei spielen mobile Geräte längst eine zentrale Rolle im Alltag. Das Volumen ihres Datenverkehrs wächst rasant. Neben Gesprächen, Mails oder YouTube-Videos finden zunehmend berufliche und vertrauliche Daten ihren Weg in die Mobilfunksphäre: Passwörter für alle möglichen Webseiten werden auch auf dem Handy gespeichert, Firmenpräsentationen oder Steuererklärungen auf das iPad geladen. Zusätzlich vermischen viele Nutzer privaten und beruflichen Einsatz auf Smartphones und Tablets. – Lehre Nummer drei: Die digitalen Alltagsbegleiter enthalten so sensible Daten wie PCs.

Bösewichte haben längst die Mobilen für sich entdeckt: Die Zahl entdeckter Schadprogramme, manipulierter Anwendungen und gezielter Angriffe nimmt zu. Der Anbieter von Sicherheitssoftware McAfee geht von einer Verdopplung der Schadsoftware für mobile Geräte in den vergangenen zwei Jahren aus. Praktisch alle Plattformen sind betroffen, wie aktuelle Beispiele zeigen: Ein vermeintliches Update des Opera-Browsers für die Symbian-Plattform (Nokia) stellte sich als Trojaner heraus, der teure SMS an russische Premium-Nummern schickte. Für das Betriebssystem Android (Google) sind seit Anfang 2011 zahlreiche manipulierte Apps im Umlauf, die per Hintertür Kriminellen Zugriff auf private Daten ermöglichen. Sogar normales Surfen birgt Gefahr: Auf für Smartphones optimierten Seiten wird der Datenverkehr bislang oft unverschlüsselt übertragen. Facebook stand deswegen schon häufiger in der Kritik, so im vergangenen Frühjahr. Mitte 2011 wurde sogar das erste Virus gefunden, das sich unbemerkt und ohne jegliches Zutun des Nutzers auf dem Smartphone installiert, sozusagen im Vorbeisurfen (Drive-by-Download). – Lehre Nummer vier: Viren und Co. bedrohen längst auch Smartphones und Tablets.

Die Nutzer jedoch sind sich der Sicherheitslücken bislang kaum bewusst. Laut einer im Februar 2011 veröffentlichten repräsentativen Emnid-Umfrage im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiß ein Drittel der Befragten nicht einmal, dass ein Smartphone dieselben Schutzmaßnahmen wie ein PC benötigt. Beinahe jeder zweite Besitzer eines solchen Geräts hatte noch nie ein Sicherheits-Update aufgespielt. Ähnliche Ergebnisse lieferte auch eine Infratest-Umfrage für die Deutsche Telekom unter rund 1.600 Nutzern: Nicht einmal jeder Fünfte hatte eine Firewall installiert, nur jeder Vierte nutzt einen Virenschutz. Das Fazit der Studie: »Mobile Surfer verhalten sich besonders fahrlässig.«

»Die Unternehmen installieren Alarmsysteme und Firewalls, sorgen für extrem hohe IT-Standards auf den stationären Rechnern – und dann spaziert der Vorstandsvorsitzende mit sensiblen Unternehmensdaten auf seinem neuesten Tablet-PC zur Tür hinaus«, sagt Tobias Schrödel, der Unternehmen in Sachen IT-Sicherheit schult. Während PCs in den allermeisten Firmen ständig aktualisiert würden, sei dies bei Smartphones und Tablets die Ausnahme. – Lehre Nummer fünf: Nutzer ignorieren oft selbst die simpelsten Vorsichtsmaßnahmen.

Technische Schwachstellen plus laxer Umgang: eine Zeitbombe. »Die Anreize steigen, weil sich immer mehr interessante Daten auf den Geräten befinden«, sagt Ulrike Meyer, Professorin für IT-Sicherheit in mobilen Netzen an der RHTW Aachen. »Für Angriffe ausnutzbare Sicherheitslücken sind verhältnismäßig einfach zu finden.« Auch der »Bundeslagebericht Cybercrime 2010« des Bundeskriminalamts warnte im Sommer, »mobile Endsysteme« gerieten immer mehr ins Visier von Digitaltätern.

Sicherheitskonzepte von stationären Computern nur begrenzt übertragbar

Unterdessen wächst die Zahl der Plattformen, Geräte und Anwendungen in atemberaubendem Tempo. »Die von stationären Systemen bekannten Sicherheitskonzepte und -maßnahmen sind nur begrenzt übertragbar«, sagt Ulrike Meyer, die an einem großen Forschungsprojekt zum Thema teilnimmt. Der Aufbau der Betriebssysteme sei anders, die Rechenleistung vergleichsweise gering. Und übertrage man einen klassischen Virenscanner auf Smartphones, so sei der Akku schnell leer. Die Forscher entwickeln deshalb gerade neue, sparsame Programme, die Schadsoftware identifizieren und vor Angriffen auf mobile Geräten warnen soll. Im Jahr 2013 rechnet Meyer mit den ersten konkreten Ergebnissen.

Schon heute können Nutzer sich durchaus schützen, indem sie einfache Sicherheitsregeln einhalten. Ausgeliefert sind sie allerdings Angriffen auf die Netze selbst. »Der UMTS-Standard ist zwar sicherer, aber die Provider schieben Gespräche regelmäßig auf die GSM-Frequenzen, um das UMTS-Netz für datenintensivere Anwendungen freizuhalten«, sagt Karsten Nohl. Wo das UMTS-Netz nicht hinreicht, fallen die Nutzer in das GSM-Netz zurück (Fallback). Schon haben Bösewichte gelernt, mithilfe von Störsendern oder besonders signalstarken Antennen gezielt solche Fallbacks ins unsichere Altnetz zu provozieren – der Nutzer merkt davon in der Regel nichts.

Um die Privatsphäre und Datensicherheit zu schützen, müssten die Mobilfunkbetreiber folglich die bestehenden GSM-Netze besser sichern. »Das wäre technisch problemlos möglich«, sagt Karsten Nohl. Auf Anfrage räumen die vier großen deutschen Mobilfunknetzbetreiber ein, das Abhören von GSM-Netzen sei theoretisch möglich – nur um dann zu beschwichtigen: Dies sei mit hohem finanziellem und technischem Aufwand verbunden.

Tatsächlich hat die improvisierte Abhörstation von Karsten Nohl rund 1.000 Euro gekostet, eine Bauanleitung findet sich leicht im Internet. Da kann sich kein Nutzer ganz sicher sein, dass nicht irgendwo jemand mit orangefarbenem Haarschopf und Kapuzenpulli sitzt, der seine Gespräche mithört, SMS mitliest oder für Ausflüge in die Mobilfunksphäre seine Identität kapert. Und lange nicht jeder, der über dasselbe Wissen verfügt wie Luca Melette, setzt es so gewissenhaft ein.