Wer mit der Beschreibung "weltweit führend in digitaler Sicherheit" für sich wirbt, gibt natürlich ungern zu, massiv gehackt worden zu sein. Der SIM-Karten-Produzent Gemalto jedenfalls weist einen Bericht von The Intercept im Kern zurück, nachdem das Unternehmen von NSA und GCHQ ausspioniert und bestohlen worden sei.

Die beiden Geheimdienste sind dem Bericht zufolge tief in die Netzwerke von Gemalto eingedrungen, haben Mitarbeiter gezielt ausspioniert und kryptografische Schlüssel entwendet, mit denen Verbindungen zwischen SIM-Karten und Funkzellen verschlüsselt werden. Mithilfe dieser Schlüssel könnten NSA und GCHQ abgefangene Handygespräche und SMS nachträglich entschlüsseln.

Zwar räumt Gemalto in einer Pressemitteilung ein, dass es die Angriffe der Geheimdienste wahrscheinlich gab. Man habe 2010 und 2011 zwei sehr ausgefeilte Attacken festgestellt, deren Urheber man nicht habe identifizieren können. Aber GCHQ und NSA seien allenfalls ins Büronetz des Unternehmens eingedrungen, was jedoch "nicht zu einem massiven Diebstahl von SIM-Karten-Schlüsseln geführt haben kann". Denn die Infrastruktur für SIM-Karten-Schlüssel und andere Produkte von Gemalto seien isoliert und nicht mit externen Netzwerken verbunden. Einbrüche in diese Infrastruktur habe Gemalto nicht feststellen können.

Im Artikel von The Intercept heißt es weiter, GCHQ und NSA würden mitunter gezielt den Moment abpassen, in dem SIM-Karten-Hersteller wie Gemalto die Krypto-Schlüssel an ihre Kunden – die Mobilfunkanbieter – übertragen, um sie dann abzufangen. Das sei zum Teil per E-Mail oder FTP geschehen, und die Geheimdienste hätten sich problemlos in diese Art der Übertragung hacken können. Gemalto aber teilte mit, es habe zu der fraglichen Zeit längst ein sicheres System zur Übergabe der Schlüssel genutzt. Nur in wenigen Fällen sei das nicht geschehen, weil einige Provider noch nicht bereit dazu gewesen seien.

Und selbst wenn es den Geheimdiensten gelungen wäre, die Schlüssel zu stehlen, schreibt Gemalto, hätten sie damit allenfalls Gespräche und SMS entschlüsseln können, die über das technisch veraltete, aber immer noch viel genutzte GSM-Netz laufen. Modernere 3G- und 4G-Verbindungen wären nicht betroffen. Das allerdings stimmt so nicht. Karsten Nohl, Kryptografie-Experte und Chef der Berliner Security Research Labs, sagt: "Die 3G-Verschlüsselung ist in der Tat etwas komplexer als die von GSM, aber immer noch leicht zu überwinden, sobald man den SIM-Schlüssel besitzt." Wie das praktisch funktioniert, hatte Nohl auf dem 31. Chaos Communication Congress in Hamburg gezeigt.

Ist der Bericht von The Interceptfür manche immerhin eine der bedeutendsten Snowden-Enthüllungen überhaupt – trotzdem in weiten Teilen überzogen oder schlicht falsch? Zumindest eines muss sich das Onlinemagazin vorwerfen lassen: Die Dokumente, die es veröffentlichte, belegen nicht eindeutig, ob und wie viele SIM-Karten-Schlüssel von Gemalto wirklich von den Geheimdiensten abgefischt wurden. 

Gemalto-Aktie verlor an Wert

Zwar heißt es in einer GCHQ-Folie wörtlich "Gemalto – erfolgreich mehrere Maschinen implantiert und glauben, wir haben das gesamte Netzwerk". Es könnte sich dabei allerdings um ein Beispiel für einen erfolgreichen Teilangriff handeln. Auf der gleichen Folie heißt es nämlich auch, man habe Zugang zu Servern für die SIM-Karten- und andere Schlüssel sowie zu Rechnern von Firmenmitarbeitern – hier fehlt aber der Name des betroffenen Unternehmens.

Auch ein anderes Dokument belegt allenfalls, dass Gemalto-Mitarbeiter gezielt überwacht wurden. Präzise Angaben zu entwendeten Schlüsseln aber fehlen. Ob The Intercept entsprechende Unterlagen nicht veröffentlicht oder doch die falschen Schlüsse aus dem Material gezogen hat, ist damit unklar. 

Ebenso ist aber denkbar, dass die Journalisten weitere Informationen und Belege haben und dass Gemalto schlicht versucht, seinen Ruf zu retten. Nachdem der Artikel von The Intercept veröffentlicht wurde, war der Börsenkurs von Gemalto um rund sieben Prozent gefallen. Das Unternehmen hat also ein großes Interesse daran, nicht als leichtes Opfer von Geheimdiensten dazustehen.