Wie gut schützt mich mein Mobilfunkanbieter vor Betrügern? Wie hoch ist die Chance, dass ich mit gefälschten SMS abgezockt werde, ohne es zu merken? Als normaler Handybesitzer hat man davon keine Ahnung, man kann nur blind vertrauen. Karsten Nohl will das ändern. Der Sicherheitsforscher hat zusammen mit seinem Kollegen Luca Melette auf dem 30. Chaos Communication Congress in Hamburg zwei Programme vorgestellt, mit denen nun jeder nachschauen kann, wie gut die Sicherheitsvorkehrungen seines Mobilfunkproviders sind.

Das ist auch dringend notwendig, denn die traurige Antwort auf die obige Frage lautet: nicht sonderlich gut. Die meisten Mobilfunkanbieter auf der Welt schützen ihre Kunden wenig bis gar nicht, nur einige wenige geben sich mäßige Mühe, ihrer Nutzer vor teurem Schaden zu bewahren. Wie gut der Schutz wo ist, haben Nohl und Melette auf einer Weltkarte visualisiert.

Dort werden die Daten gesammelt, die möglichst viele Nutzer von Nohls Scannerprogrammen einschicken. So will der Sicherheitsforscher mehr Druck auf die Mobilfunkunternehmen ausüben, damit sie Lücken künftig schneller beseitigen.

Nohl sähe gern, dass Mobilfunk sicherer würde. Er weiß, wovon er redet, er beschäftigt sich seit vielen Jahren mit dem Thema und hat schon mehrmals Mobilfunksysteme gehackt und so auf große Sicherheitsprobleme hingewiesen. Das aber brachte nicht viel, sagt er durchaus frustriert. Die Industrie beseitige nur immer genau die Lücke, auf die hingewiesen werde, das zugrunde liegende Problem aber werde nicht angerührt. "Ich bin es leid." 

Gemeinsam Schwachstellen finden

Daher sucht er nun die Hilfe aller. "Wir wollen andere in die Lage versetzen, Schwachstellen in den Netzen zu finden in dem Vertrauen, dass diese Schwachstellen dann geschlossen werden", sagt Nohl. Schließlich sei dieses Prinzip bei Computern durchaus erfolgreich.

Worum geht es? Zum einen sind die SIM-Karten, die in Mobiltelefonen stecken, nicht sicher. Viele lassen es zu, dass Dienste auf sie zugreifen, die eine schlechte oder gar keine Verschlüsselung nutzen. Kurz: Es ist möglich, einen großen Teil der weltweit verfügbaren SIM-Karten mit nur einer SMS zu hacken und so das Telefon zu übernehmen, in dem sie stecken. Nicht nur, dass damit die persönlichen Daten des Besitzers kopiert werden können, es öffnet auch Betrügern eine große Tür. Die können die Lücke nutzen, um über den Anschluss teure, kostenpflichtige SMS zu verschicken und so auf Kosten des Betroffenen Geld zu verdienen.

Zum anderen sind längst nicht alle Verbindungen zwischen einem Mobiltelefon und seinem Funkmast verschlüsselt. Gerade erst war zu beobachten, welche Probleme dadurch entstehen – als klar wurde, dass in der britischen und in der amerikanischen Botschaft in Berlin Überwachungstechnik installiert ist, um alle Gespräche in der Nähe zu belauschen, auch das Handy der Bundeskanzlerin. Trotzdem verlassen sich die meisten Mobilfunkanbieter noch immer auf längst veraltete Verschlüsselung oder nutzen sogar gar keine – und setzen ihre Kunden einer Überwachung schutzlos aus.

Auf entsprechende Hinweise von Hackern wie Nohl reagieren die Anbieter langsam bis gar nicht. "Es ist erstaunlich, wie wenig Netze gut konfiguriert sind", sagt Nohl.