Bestimmte SS7-interne Kommandos ermöglichen es, Handynutzer überall auf der Welt zu orten, in Städten auf wenige Hundert Meter genau. © Sean Gallup/Getty Images

Handygespräche und SMS können abgefangen und mitgelesen werden, von praktisch jedem Ort auf der Welt und jederzeit. Nicht einmal die eigentlich starke Verschlüsselung, wie die des UMTS, schützt davor. Das haben beim 31. Chaos Communication Congress in Hamburg (31C3) gleich drei Forschergruppen dargelegt.  

Schuld daran sind die Mobilfunkanbieter. Viele von ihnen haben es jahrelang versäumt, ihre Netze gegen Angriffe über SS7 abzusichern. SS7 steht für eine Sammlung von Signalisierungsprotokollen, über die Provider die Vermittlung von Anrufen, SMS und Daten von einem Netz ins nächste oder von einer Vermittlungsstelle zur nächsten regeln. Benötigt wird SS7 zum Beispiel für Roaming.  

Die Schwächen in SS7 sind historisch bedingt. Das "Netzwerk der Netzanbieter" wurde entworfen, als es praktisch nur Festnetztelefonie gab und nur wenige, meist staatlich kontrollierte Provider. Es war ein System, das auf gegenseitiges Vertrauen setzte und abgeschottet war gegen den Zugriff durch Unbefugte. Sicherheitsvorkehrungen wurden deshalb gar nicht erst implementiert. Heute aber haben Tausende Firmen diesen Zugriff, als Mitglied der Industrievereinigung GSMA kann man ihn schon für ein paar Hundert Euro im Monat kaufen. Auf diese Entwicklung aber haben viele Provider nur unzureichend reagiert. Sie beantworten SS7-interne Anfragen und Kommandos immer noch so, als könnten sie jedem im Netzwerk blind vertrauen. Welches Netz wie unsicher ist, verdeutlicht die am Samstagabend veröffentlichte SS7-Weltkarte der französischen Forscher von P1 Security.  

Bestimmte SS7-interne Kommandos ermöglichen es, Handynutzer überall auf der Welt zu orten, in Städten auf wenige Hundert Meter genau. Neben dem SS7-Zugang braucht man dafür nur die Handynummer des Opfers. Der Sicherheitsexperte Tobias Engel zeigte das am Beispiel mehrerer Menschen, die er mit deren Einverständnis für einige Tage aus der Ferne lokalisierte. Die Ergebnisse waren so genau, dass einer der Probanden darum bat, seinen letzten Standort nicht beim Kongress zu zeigen – "weil der Standort seinem Haus zu nahe war", sagt Engel.  

Screenshot aus SnoopSnitch © Security Research Labs

Andere SS7-Kommandos verlangen einfach die Übergabe von Schlüsseln, mit denen UMTS-Verbindungen gesichert werden. Bis vor Kurzem haben neben vielen anderen auch die vier deutschen Mobilfunkbetreiber diese Anfragen automatisch und ungeprüft beantwortet – egal, wer die Anfrage gestellt hat und ob sie einen plausiblen Grund haben könnte. "Manche Provider in anderen Ländern stellen sich dumm, wenn sie auf diese Sicherheitslücken aufmerksam gemacht werden", sagt Engel. Er vermutet staatliche Interventionen: Die Strafverfolgungsbehörden und Geheimdienste mancher Länder wollen sich die einfache Überwachungsmöglichkeit offenbar nicht wegnehmen lassen.

Die Liste der Angriffsszenarien ist lang, wie nach Engel auch der Sicherheitsforscher und Kryptografie-Experte Karsten Nohl beim 31C3 ausführte. So ermöglicht SS7 zum Beispiel auch Denial-of-service-Attacken, mit denen jemand einfach daran gehindert werden kann, SMS zu versenden oder Anrufe zu empfangen. Sowohl Nohl als auch Engel demonstrierten darüber hinaus, wie sie Anrufe erst auf ihre eigenen Rechner umleiteten und die Anrufe dann von dort zum eigentlichen Empfänger weiterleiteten. Mit diesem Man-in-the-middle-Angriff können sie Gespräche von überall auf der Welt belauschen – unbemerkt und ganz ohne kryptografische Schlüssel.  

Auch mit LTE wird das alles nicht unbedingt besser. Denn LTE setzt zwar nicht auf SS7, sondern einen Diameter genannten Standard. Doch der hat viele Designschwächen von SS7 einfach übernommen.