Dank der NSA wird Deutschlands Mobilfunknetz endlich ein wenig sicherer. Die Deutsche Telekom will als erster Anbieter hierzulande ihr Netz besser gegen Schnüffler schützen, mit einem Verschlüsselungsstandard namens A5/3. Man kann das durchaus als Reaktion auf die Enthüllungen über das abgehörte Kanzlerinnen-Handy ansehen.

Die Technik dazu ist seit Jahren bekannt, nun aber soll alles ganz schnell gehen: Noch bis Ende des Jahres sollen alle Basisstationen umgerüstet werden, verspricht die Telekom. Das Bonner Unternehmen ist damit nach eigenen Angaben Vorreiter in Deutschland. Die Konkurrenten werden A5/3 flächendeckend voraussichtlich erst in den kommenden Jahren einführen.

Es geht dabei um die Funkverbindung zwischen den Handys der Kunden und den Antennenmasten der Mobilfunkanbieter. Die Übertragung wird verschlüsselt, damit Telefonate, SMS und so weiter nicht einfach abgehört werden können. Bisher werden für die Verschlüsselung die Standards A5/1 und A5/2 eingesetzt. Spätestens seit 2009 ist jedoch klar, dass diese sogar von Amateuren gebrochen werden können. Alles, was über das GSM-Netz läuft, ist also abhörbar. 

Zwar ist der Funkstandard GSM technisch veraltet und längst durch schnellere abgelöst, doch wird er noch immer überall dort benutzt, wo kein UMTS- oder LTE-Netz vorhanden ist. 

Diese dritte und vierte Mobilfunkgeneration ist besser abgesichert, aber eben längst nicht überall verfügbar. Und da, wo sie verfügbar ist, können Geheimdienste und Strafverfolgungsbehörden sie stören. Dann verbinden sich alle Handys in dem betroffenen Gebiet eben automatisch mit dem GSM-Netz – und sind wieder leichte Beute. 

Thomas Kremer, Vorstand Datenschutz, Recht und Compliance bei der Telekom, preist deswegen die Qualität des neuen Standards A5/3. "Wir bieten unseren Kunden nicht nur das beste, sondern auch das sicherste Netz", sagt er.

Das am wenigsten unsichere Netz

Aber statt "das sicherste" hätte er besser sagen sollen: "das am wenigsten unsichere". Denn A5/3 hat dieselbe Schwachstelle wie A5/1 – der verwendete kryptografische Schlüssel ist zu kurz und damit nicht sicher genug.

Diese Schwachstelle, so lautet eine weit verbreitete These, hat historische Gründe. Der Standard A5/1, entstand zu Zeiten des Kalten Kriegs, er soll bewusst unsicher gestaltet worden sein, damit zum Beispiel russische Spione nicht ohne weiteres abhörsicher telefonieren konnten. Als "Sollbruchstelle" in A5/1 wurde demnach die Länge des verwendeten kryptografischen Schlüssels auf nur 64 Bit begrenzt. Eine Schlüssellänge, die mit genügend Rechenkraft knackbar ist. A5/3 benutzt für das GSM-Netz ebenfalls einen 64 Bit kurzen Schlüssel.

Der Sicherheitsforscher Karsten Nohl von den Security Research Labs in Berlin hält A5/3 zwar insgesamt für deutlich besser als A5/1. Aber für abhörsicher hält er es nicht, eben aufgrund der Schlüssellänge. Nohl weiß, wovon er redet. Er war es, der den von jedermann durchführbaren Angriff auf das GSM-Netz präsentierte, und seine Firma hat auch Schwachstellen in Millionen von SIM-Karten aufgedeckt.

Es gibt bessere Verschlüsselung, aber keiner führt sie ein

Auch gegen A5/3 kann man nach Aussage von Nohl mit purer Rechengewalt vorgehen. Für eine solche sogenannte Brute-Force-Attacke brauche man zwar ungefähr 100.000 Mal so viel Rechenkraft wie im Fall von A5/1. Aber für schätzungsweise eine Million Dollar könne man eine Maschine mit der nötigen Leistung bauen, sagt Nohl. Für eine Behörde wie die NSA wäre das kein Problem. 

Dennoch sei die Umstellung auf A5/3 sinnvoll, sagt Nohl. "Ist die NSA die einzige Organisation, vor der wir uns fürchten müssen? Nein." Der neuere Standard sei zumindest geeignet, um weniger mächtige Angreifer vom Mithören abzuhalten. Und selbst die NSA könne dann nicht mehr einfach Tausende oder gar Millionen von Handynutzern abhören, sondern müsste ihre Rechenkapazitäten auf besonders vielversprechende Ziele konzentrieren.

Aber warum setzen die Mobilfunkbetreiber nur auf die zweitbeste aller möglichen Lösungen? Schließlich gibt es bereits seit September 2009 den noch einmal besseren Standard A5/4. Sein Schlüssel ist mit 128 Bit doppelt so lang wie der von A5/3. Die Verdoppelung der Schlüssellänge hat zur Folge, dass die Zeit für einen erfolgreichen Brute-Force-Angriff exponentiell steigt. Anders gesagt: An A5/4 dürfte sich sogar die NSA derzeit noch die Zähne ausbeißen.

Adrian Scrase, CTO des Europäischen Instituts für Telekommunikationsnormen (Etsi), schiebt die Schuld auf die Wirtschaft. Er sagt: "A5/4 steht zur Verfügung, wann immer die Industrie ihn einführen möchte." Die ist jedoch von diesem Schritt noch weit entfernt. Nach Angaben der GSM Association (GSMA), die weltweit 800 Mobilfunkanbieter vertritt, plant bisher nur ein einziger Anbieter die Einrichtung von Basisstationen mit A5/4. Die anderen ziehen frühestens in ein bis zwei Jahren nach, bei manchen dürfte es noch deutlich länger dauern. 

Der US-Sicherheitsberater Christopher Soghoian von der US-Bürgerrechtsorganisation ACLU weiß um die Trägheit der Industrie und vor allem auch der Politik. Er rief das Europäische Parlament am Mittwoch dazu auf, sich für eine gesetzliche Pflicht zur besseren Verschlüsselung der Mobilfunknetze einzusetzen.

Softwarelösungen für ältere Handys

Doch genügt es nicht einmal, wenn die Mobilfunkanbieter ihre Masten mit der neuen Verschlüsselung ausrüsten. Auch Smartphones und Handys müssen den neuen Standard unterstützen, damit die Verbindung sicherer wird. Die Hersteller müssten also mitziehen. Nach Kenntnis der Deutschen Telekom ist das bisher nicht der Fall. Ein Netzbetreiber könne einen neuen Sicherheitsstandard nicht im Alleingang einführen, sagt ein Sprecher des Konzerns. Denn Kunden erwarteten, dass ihr Handy weltweit funktioniere.

Sogar für die Umstellung auf A5/3 mussten schon Umwege gegangen werden. Die Telekom habe für ältere Geräte eine eigene Softwarelösung entwickeln müssen, so das Unternehmen.

Die Notwendigkeit, den nächsten Schritt zu gehen und bald A5/4 einzuführen, sehen weder das deutsche Unternehmen noch die GSMA. "A5/3 ist ein Sicherheitsprotokoll, das beim Mobilfunknetz der zweiten Generation mindestens so gut die Privatsphäre schützt, wie es das traditionelle Festnetz tut", sagt eine Sprecherin der Industrie-Vereinigung. Brute-Force-Attacken richteten sich gegen einen bestimmten Nutzer und benötigten viel Zeit und Rechenkraft. Personen, die es für möglich hielten, Ziel eines solchen Angriffs zu sein, sollten erwägen, ihre Kommunikation über das Festnetz und über das Mobilfunknetz Ende-zu-Ende zu verschlüsseln.

Das ist ein teurer Rat. Wer seine Gespräche selbst verschlüsseln will, muss sich dazu ein abhörsicheres Handy kaufen, das jede Kommunikation auf dem Gerät selbst verschlüsselt. Beziehungsweise zwei davon – eines für sich, eines für seinen Gesprächspartner. Stückpreis um die 2.000 Euro.