Nohl tut dafür so, als wäre er ein Server des Mobilfunkbetreibers. Von seinem Handy verschickt er eine bis maximal zehn SMS an eine beliebige Handynummer und beobachtet, wie das angegriffene Handy reagiert. Die SMS selbst sieht der Telefonbesitzer nicht, das Telefon meldet sie nicht als eingegangene Nachricht. Das ist kein Fehler: SIM-Karten tauschen mit ihren Heimatnetzen viele Daten über eine Wartungsschnittstelle aus, ohne dass es der Inhaber merkt. Nohl missbraucht diese Möglichkeit. 

Die Hacker-SMS enthalten dazu einerseits Steuerkommandos für die SIM-Karte und andererseits eine gefälschte Signatur. Die meisten modernen SIM ignorieren Meldungen, wenn die Signatur falsch ist. Ältere Karten aber antworten oft und weisen die Gegenseite darauf hin, dass eine falsche Signatur geschickt wurde. "Dieser Bug taucht immer wieder auf, teilweise auch auf ganz neuen Karten", sagt Nohl. Dieser Bug, englisch für Fehler, und die dabei verschickten Daten genügen ihm, um den von der Karte verwendeten Schlüssel zu errechnen und die SIM zu knacken.

Hat er das geschafft, kann er der SIM die Steuerkommandos unterjubeln und sie somit neu programmieren. Denn auch SIM-Karten sind letztlich nur Computer, auf denen Software läuft. Der ganze Vorgang dauert, wie Nohl ZEIT ONLINE in einer Demonstration zeigte, nur wenige Minuten.   

Ein Jahr lang die Schlüssel vorberechnet

Möglich ist das nur, weil Nohl und seine Kollegen zuvor einen großen Teil der 56-Bit-Schlüssel vorberechnet haben, mit denen die Kommunikation der SIM-Karten verschlüsselt wird. Das allein hat ein Jahr gedauert – Nohls Angriff ist kein Hack, den jedes script kid und jeder Kleinkriminelle schnell nachbauen kann. Es ist viel mehr ein gezieltes und lange vorbereitetes Projekt, um zu zeigen, dass die Verschlüsselung vieler noch gebräuchlicher SIM veraltet ist.

Der internationale Mobilfunkverband GSMA bestätigte in einer E-Mail, dass ältere Karten auf diesem Weg angegriffen werden können. Nohl hatte den Verband schon vor einiger Zeit über seinen Fund unterrichtet. Offensichtlich arbeitet die GSMA bereits daran, die Lücke zu schließen. Man helfe eventuell betroffenen Netzwerkbetreibern bei der Beseitigung des Problems, schrieb eine Sprecherin.

Wie viele Karten betroffen sind, könne man nicht sagen, heißt es beim Verband. Nohl schätzt, dass es ungefähr ein Achtel aller SIM-Karten weltweit sind. Das wären 900 Millionen Karten, denn der Mobilfunkverband GSMA geht davon aus, dass es bis Ende 2013 mit 7,4 Milliarden Karten mehr SIM-Karten auf der Welt geben wird als Bewohner.

Pfusch bei der Verschlüsselung

Gemalto, der weltweit größte Hersteller solcher Karten, schweigt zu dem Hack. Fragen dazu blieben unbeantwortet.

Die Telekom als größter deutscher Betreiber ist nach eigener Aussage nicht betroffen. "Selbst bei älteren SIM-Karten nutzen wir einen stärkeren Algorithmus, 3DES und nicht DES", sagte ein Sprecher.

Wobei Telekom-Kunden hoffen müssen, dass die Hersteller ihrer SIM diesen Verschlüsselungsstandard auch richtig angewendet haben. Denn Nohl und sein Team entdeckten Karten, die zwar den Standard 3DES nutzen, also einen mit 168 Bit dreimal so langen Schlüssel verwenden wie DES. Allerdings bestand der bei einigen SIM-Karten nur aus ein und demselben 56 Bit langen Schlüssel, der drei Mal hintereinander eingesetzt wurde. Wer den kennt, kennt damit auch den langen Schlüssel.

Austausch der SIM-Karten kostet Geld

Es war nicht die einzige Schlamperei. Auch die Java-Umgebung auf einigen SIM-Karten sei nicht sauber programmiert, sagt Nohl. "Das erlaubt uns einen Zugriff, der so nie gedacht war." Erst dadurch sei es ihnen gelungen, den Masterschlüssel der Karte auszulesen, den authentification key oder Ki, mit dem sich die Karte im Netzwerk des Anbieters authentifiziert.

"Damit geht das bestgehütete Geheimnis der SIM verloren", sagt er. Und das an einen Angreifer, der weit entfernt ist. Bei bisherigen Hacks musste der Angreifer die SIM mindestens einmal in der Hand haben, um sie manipulieren zu können.

Die von Nohl entdeckten Probleme wären schnell behoben, wenn die Betreiber die SIM-Karten regelmäßig aktualisieren würden. Das aber tun sie nicht. "Mobilfunkbetreiber treten nicht aktiv an Kunden heran, um deren Karten zu tauschen", sagt ein Mitarbeiter eines Mobilfunkbetreibers, der weder seinen Namen noch den seines Arbeitgebers hier lesen will. Ein solcher Tausch würde schließlich Geld kosten und die Betreiber scheuten den Aufwand. "Das passiert nur, wenn ein neuer Vertrag abgeschlossen wird." Viele Verträge aber werden immer wieder verlängert, die SIM-Karte bleibt dabei die alte, viele Jahre lang.

Doch selbst nagelneue Karten sind keine Garantie dafür, dass die Hersteller die Verschlüsselung darauf sauber umgesetzt haben. Nohl will daher auf das Problem des veralteten Standards aufmerksam machen. Am 1. August wird er seine Ergebnisse auf der internationalen Hackerkonferenz Black Hat in Las Vegas vorstellen.