Polizisten auf der ganzen Welt nutzen IMSI-Catcher. Die Geräte gaukeln Smartphones vor, sie seien ein Funkmast, an dem sie sich einbuchen können. Sobald das geschehen ist, schneiden IMSI-Catcher allerhand Daten mit, während sie die Signale an den echten Funkmast weiterleiten. Angefangen bei der International Mobile Subscriber Identity (IMSI), mit der sich ein Gerät dem Besitzer zuordnen lässt. Aber auch ganze Gespräche lassen sich mitunter mithören, besuchte Webseiten erkennen und SMS mitlesen.

Die Einsatzmöglichkeiten für Polizei und Geheimdienste sind entsprechend vielfältig. Sie können mithilfe von IMSI-Catchern Drogendealer abhören, die anonym gekaufte Prepaid-Handys benutzen. Sie können Abgeordnete, Regierungsbeamte oder Manager ausspionieren, gegnerischen Soldaten Propaganda-Nachrichten schicken oder protokollieren, wer eine Demonstration besucht. Aber auch Kriminelle könnten die Technik nutzen, um Bankkonten leerzuräumen.

Auch deutsche Behörden setzen IMSI-Catcher ein. Allein im ersten Halbjahr 2017 nutzten das Bundeskriminalamt IMSI-Catcher in 24 Fällen und die Bundespolizei in 37 Fällen, unter anderem während des G20-Gipfels in Hamburg

Fünf Apps gegen IMSI-Catcher, keine ist fehlerlos

Während iPhone-Nutzer dem schutzlos ausgeliefert sind, gibt es für Android-Smartphones einige Apps, die erkennen sollen, wenn sich das Gerät mit einem falschen Mobilfunkmast verbindet. Doch die Apps lassen sich zum Teil recht einfach austricksen, wie Wissenschaftler von der Technischen Universität Berlin und der Oxford University in einem gemeinsamen Projekt nachgewiesen haben.

Die Forscher haben einen eigenen IMSI-Catcher gebaut und die fünf am häufigsten genutzten Apps getestet: Snoopsnitch, Darshak, AIMSICD, Cell Spy Catcher und GSM Spyfinder. Dazu haben sie ihren falschen Mobilfunkmast innerhalb eines faradayschen Käfigs aufgebaut, um zu verhindern, dass sich Mobiltelefone von Unbeteiligten mit ihrem IMSI-Catcher verbinden. Dann haben sie verschiedene Szenarien durchgespielt.

Das zentrale Ergebnis: Es gelang ihnen in allen Fällen, die IMSI-Nummer abzufangen, ohne dass die Apps Alarm schlugen. "Es hat schon gereicht, nicht dem üblichen Funkprotokoll zu folgen", sagt Altaf Shaik, einer der beteiligten Forscher von der TU Berlin. "So konnten wir mit einer unüblichen Abfrage die entsprechenden Daten abfangen."

IMSI-Catcher können sich für Kriminelle lohnen

Wie viel sich mit der IMSI anfangen lässt, hängt stark von der Konfiguration des Mobilfunknetzes durch den jeweiligen Betreiber ab. In einigen Ländern reicht die IMSI unter Umständen aus, um über das Mobilfunkprotokoll der Netzbetreiber (SS7) Anrufe abzuhören oder SMS mitzulesen. Auch ist es damit möglich, kostenpflichtige Nummern anzurufen. Die dafür anfallenden Gebühren wandern dann auf die Konten der Kriminellen. Das kann sich schnell lohnen. Im Internet kann man einen IMSI-Catcher inklusive Software und Laptop für 1.500 US-Dollar bestellen. Polizei und Geheimdienste wiederum können anhand der abgefangenen IMSI-Nummern feststellen, ob sich eine bestimmte Person vor Ort aufhält oder ob das Mobiltelefon, das man bei einer Hausdurchsuchung sicherstellen will, auch wirklich dort ist.

Laut dem Kryptografie- und Mobilfunkspezialisten Karsten Nohl sind aber zumindest zwei der drei deutschen Mobilfunknetze zumindest vor den Attacken der Kriminellen einigermaßen gut geschützt. Die Arbeit der Forscher begrüßt er ausdrücklich, auch wenn eine der getesteten Apps von seiner eigenen Firma SRLabs entwickelt wurde: SnoopSnitch. Die hat im Test aber auch am besten abgeschnitten. "Wir wissen eben, was wir tun", sagt Nohl.