Achtung, Handyfänger – Seite 1

Wenn Björn Rupp merkt, dass sein Smartphone in seiner Tasche brummt, weiß er: Jemand versucht gerade, ihn abzuhören. Rupp arbeitet bei GSMK, einer kleinen Berliner Firma, die abhörsichere Telefone entwickelt und vertreibt. Diese sogenannten Cryptophones verschlüsseln aber nicht nur die Kommunikation ihrer Besitzer, sie beobachten auch, ob jemand versucht, sie anzugreifen.

Ein Beispiel: Polizei, Geheimdienste und inzwischen auch Hacker und Kriminelle nutzen sogenannte IMSI-Catcher. IMSI ist die Abkürzung für die eindeutige Kennung jedes mobilen Gerätes, catcher ist Englisch und heißt Fänger. Handyfänger also. Diese Geräte tun so, als wären sie ein Mobilfunkmast. Bucht sich ein in der Nähe befindliches mobiles Gerät bei einem IMSI-Catcher ein, spähen sie es aus, indem sie alle von dem Smartphone verwendeten Daten zwar ins richtige Netz weiterleiten, dabei aber kopieren und analysieren.

Lange war das ein eher theoretisches Szenario, weil diese Handyfänger extrem teuer waren. Inzwischen aber kann die Geräte jeder, der das will, für wenig Geld selber bauen. Und auch Polizei und Geheimdienste nutzen sie.

Egal, werden manche denken, inzwischen wird doch sowieso alles abgehört. Stimmt, aber deswegen alle Türen offen stehen zu lassen und das Abhören damit leicht zu machen, ist trotzdem eine schlechte Idee. Wer sich beispielsweise ohne Virenscanner und Firewall mit seinem Rechner im Internet herumtreibt, gilt als verrückt oder zumindest leichtsinnig. Die Gefahr, dass der Computer dabei angegriffen wird, ist allgegenwärtig und die Folgen sind unter Umständen teuer. Bei Mobiltelefonen hat sich diese Erkenntnis bislang nicht so richtig durchgesetzt. Trotz solcher Debatten wie die um die Vorratsdatenspeicherung oder um die NSA. Und das meint nicht nur die Handykunden. Auch die Hersteller der Geräte und die Netzbetreiber sind längst nicht sensibel genug für das Problem.

Dieser Text soll keine Werbung für GSMK machen. Deren aktuelles Cryptophone kostet 2.200 Euro und ist damit viel zu teuer für normale Menschen, die sich ein wenig Privatsphäre sichern wollen. Es geht vielmehr um das, was die meisten der heute üblichen Mobiltelefone gerade nicht können, aber dringend können müssten. Denn die kleine Berliner Firma, die vor mehr als zehn Jahren von Mitgliedern des Chaos Computer Clubs gegründet wurde, bietet bei ihren Geräten ein paar Funktionen, die angesichts der Gefahren längst in allen Mobiltelefonen Standard sein sollten.

Wenn sich die Funkzelle bewegt

Eine Firewall zum Beispiel. Die im Cryptophone überwacht, welche Daten von den Antennen des Gerätes empfangen und welche gesendet werden. Sie kontrolliert, was der sogenannte Baseband-Chip tut, der die Antennen steuert, und warnt, wenn dabei auffällige Dinge geschehen.

So können die Telefone auch IMSI-Catcher entdecken. Das sei eigentlich eher ein Abfallprodukt, sagt Rupp. Die Firewall im Telefon soll alle Angriffe finden, IMSI-Catcher aber sind besonders auffällig und daher leicht zu entdecken. Da taucht dann plötzlich eine Funkzelle auf, die sehr stark strahlt und dem Handy vormacht, dass sie keine Nachbarfunkzellen hat, damit es sich auch ja bei ihr einbucht. Oder die sich dabei auch noch bewegt. "Das sollten Funkzellen eigentlich nicht tun, weil es ja Antennen auf Dächern und an Masten sind", sagt Rupp. Manchmal aber sitzen die Angreifer eben im Auto.

Um die Spionage zu erleichtern, zwingen diese falschen Handymasten außerdem alle Geräte in ihrer Umgebung, die Verschlüsselung abzuschalten. Normalerweise werden alle Daten, die zwischen einem Mobiltelefon und einem Handymast hin- und hergehen, mit einem Standard namens A5 verschlüsselt. Diese Funktion kann aber unterdrückt werden. Das Hinterhältige: Der Handybesitzer bemerkt davon nichts, weil sein Handy es ihm nicht meldet.

Vor vielen Jahren gab es mal ein Telefon von Nokia, das in solchen Fällen ein gebrochenes Schloss auf dem Bildschirm zeigte. Aber das war eine Ausnahme, heute meldet kein Gerät mehr, wenn seine kryptografischen Schlüssel abgeschaltet werden. Einige Modelle können das zwar immer noch, allerdings müssen Nutzer dafür umständlich in Untermenüs herumfummeln. Die ausgeworfenen Daten sind außerdem nicht leicht zu verstehen.

Beim Cryptophone braucht es nur zwei Klicks, dann ist die Firewall aktiviert. Sie zeigt dann jedes Mal mit einem farbigen Strich an, wenn die Antenne Daten verarbeitet. Ein weißer Strich ist harmlos, ein roter schon interessanter. Sind es viele rote Striche nacheinander, wird das Telefon mit hoher Wahrscheinlichkeit angegriffen. Wird gar die Verschlüsselung unterdrückt, oder gibt es angeblich nur eine einzige Funkzelle in der Gegend, erscheint eine entsprechende Warnmeldung auf dem Display.  

IMSI-Catcher für 1.500 Euro

IMSI-Catcher waren, wie gesagt, lange sehr teuer und nur Geheimdiensten zugänglich, inzwischen gibt es die Technik als fertiges System zu kaufen. Ein Koffer, in dem sich ein Laptop befindet und eine Antenne, die aussieht wie die für den DVBT-Empfang – mehr ist es nicht. Auch Geräte, die kaum größer sind als die Mobiltelefone selbst, sind auf dem Markt. IMSI-Catcher kann man sogar selbst bauen. Die dafür notwendige Software OpenBTS ist umsonst, die technischen Komponenten kosten nicht mehr als 1.500 Euro.

Dass Angriffe damit gar nicht mehr so selten sind, zeigen Warnungen wie diese hier – der Besitzer des Telefons befand sich zu diesem Zeitpunkt beim Internet Governance Forum Anfang September in der Türkei.

Ein Mitarbeiter der GSMK habe mal auf einem diplomatischen Empfang gestanden, als sein Handy sehr viele dieser roten Striche gezeigt habe, erzählt Rupp. Kaum war der Empfang vorbei, sei alles wieder grün gewesen. "Da fragt man sich schon, worüber man noch reden kann. Denn selbst wenn das eigene Handy nicht betroffen ist, wird das Gerät in der Tasche des Gegenüber bestimmt abgehört."

BSI: IMSI-Catcher sind ein Risiko

Viele Jahre lang gab es nur ein paar große Anbieter, die Mobilfunkmasten – sogenannte Basisstationen – bauen und an die Straße stellen konnten. Der Verdacht, dass eine solche Basisstation Schindluder treibt, war daher lange unbegründet. "Mittlerweile ist die Bedrohung aber eine ganz andere", sagt Rupp.

Das bestätigt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Durch die Verringerung der Kosten für solche Geräte sei die Gefahr gewachsen, sagt Matthias Gärtner, Sprecher der Behörde. Für Normalbürger sei das vielleicht noch nicht unbedingt ein Problem, aber Menschen, die für andere ein "Zielobjekt" sein könnten, sollten IMSI-Catcher durchaus in ihre "Risikoanalyse miteinbeziehen", sagt er.

Offensichtlich passiert das bereits. Zum Beispiel im Bundestag. In dessen Gebäuden hat das BSI eigene Mobilfunkzellen installieren lassen, wie der Spiegel kürzlich berichtete. Ziel ist es, Angriffe durch IMSI-Catcher abzuwehren. Weil die Bundestagsfunkzellen stärker strahlen als die eines Angreifers außerhalb der Gebäude, buchen sich die Handys der Abgeordneten nicht beim IMSI-Catcher ein. Die Technik schützt nicht vor passiven Systemen, die es auch gibt und die nur lauschen, aber zumindest zeigt die BSI-Maßnahme, dass die Bedrohung inzwischen ernst genommen wird.

Wie oft deutsche Behörden die Technik nutzen, ist unklar

Zielobjekte meint aber nicht nur Politiker. Jeder Mittelständler kann für seine Konkurrenz so interessant sein, dass sie versucht, sein Handy zu "fangen" und abzuhören. Dank den Enthüllungen von Edward Snowden ist das Bewusstsein um diese Gefahr nun zumindest etwas gewachsen. "Das BSI bezieht in seine Aktivitäten zum Thema Mobilfunksicherheit alle sicherheitsrelevanten Aspekte mit ein. Der Einsatz sogenannter IMSI-Catcher gehört seit mehr als zehn Jahren zu den Angriffsszenarien, die vom BSI in seinen Untersuchungen betrachtet werden", heißt es in einer schriftlichen Antwort auf entsprechende Frage von ZEIT ONLINE.

Natürlich nutzen auch deutsche Geheimdienste und die Polizei hierzulande diese Technik. Wie oft, ist nicht leicht zu ermitteln. Es ist nicht einmal bekannt, wie viele dieser Geräte bei deutschen Polizeibehörden und Geheimdiensten überhaupt vorhanden sind. Ihre Zahl bei Bundesbehörden ist nach Meinung der Bundesregierung geheim, wie sie als Antwort auf entsprechende Anfragen im Parlament mitteilte. Aus einigen Bundesländern ist nur bekannt, wie oft es entsprechende Einsätze gab. Nordrhein-Westfalen beispielsweise meldete für 2013 insgesamt 154 Einsätze eines IMSI-Catchers bei der Polizei, in Bayern waren es 121. Der Bund verzeichnete 2014 bei seinen Polizeibehörden 108 Einsätze. Wie viele Mobilfunkgeräte, wie viele Daten und wie viele Menschen betroffen waren? Darüber gibt es keine Statistik. Wie viele dieser Geräte hierzulande außerdem von fremden Geheimdiensten und von Kriminellen genutzt werden, weiß niemand.

"Beim Mobilfunk ist ganz viel kaputt"

Baseband-Firewall eines Cryptophone 500 © ZEIT ONLINE /​ Kai Biermann

Nicht nur hierzulande liegt das Thema IMSI-Catcher weitgehend im Dunkeln. In den USA erregte das Cryptophone von GSMK damit gerade ziemlich viel Aufmerksamkeit. Der dortige Weiterverkäufer der Geräte hatte seine Kunden gebeten, Meldungen der Firewall des Telefons über Abhörangriffe an ihn zu schicken. Damit erstellte er eine Karte, auf der zu sehen ist, wo mutmaßlich stationäre IMSI-Catcher stehen – viele davon in Einrichtungen der amerikanischen Armee.

GSMK ist nicht das einzige Unternehmen, das sich dem Thema widmet. Ein kleines Team um den Sicherheitsanalysten Karsten Nohl hat das Problem schon vor längerer Zeit untersucht. Es nutzte dafür eine offene Software für den Baseband-Prozessor. Die Software sucht nach den gleichen Parametern, beispielsweise einem erzwungenen Abschalten der sonst üblichen Verschlüsselung. Nur ihr Einsatz ist etwas umständlicher, da sie einen Linuxrechner und ein Handy braucht, das mit der offenen Mobilfunksoftware Osmocom läuft.

Inzwischen gibt es auch den Versuch, das Ganze als App für Jedermann zu bauen, im Projekt Android IMSI-Catcher Detector.

IMSI-Catcher-Catcher

All diese IMSI-Catcher-Catcher weisen vor allem auf eines hin: Weil zu der Luftschnittstelle, also zu der Antennentechnik, außer den Mobilfunkanbietern lange kaum jemand Zugang hatte, ist auch die Software auf den Antennenchips, den sogenannten Baseband-Prozessoren von Mobilgeräten, veraltet. "Da sind viele Features drin, die nie jemand nach modernen Kriterien der Softwaresicherheit getestet hat", sagt Rupp. Man könne sie leicht angreifen und übernehmen, und das komplett unabhängig von der Application-CPU, dem Chip also, der die eigentlichen Programme steuert. Was bedeutet, dass der Handybesitzer nichts davon mitbekommt.

Noch ein Beispiel zu den Mängeln heutiger Mobiltelefone – eines das für Alltagsnutzer sogar noch wichtiger ist: Apps verlangen gern Zugriff auf diverse Daten, ob sie die für ihren Aufgaben nun unbedingt brauchen oder nicht. Ihre Entwickler wollen die Kontakte des Nutzers kennen, wollen erfahren, wo er sich aufhält, was er im Internet treibt, wen er anruft. Bei Android lässt sich zumindest detailliert erkennen, welche dieser Rechte eine App fordert. Nur ändern kann man das nicht. Man kann lediglich entscheiden, ob man die Spionage in Kauf nimmt und die App installiert – oder auf sie verzichten.

Das Betriebssystem der Cryptophones gibt dem Besitzer mehr Macht. Bei jeder App kann für jede einzelne Datenanfrage festgelegt werden, ob das Programm die Daten wirklich bekommen soll oder nicht. Da manche Apps nicht funktionieren, wenn ihnen geforderte Informationen nicht geliefert werden, erzeugt das System bei Bedarf erfundene Daten oder schickt die Meldung, dass eben keine da seien.

Mobilfunk hat konzeptuelle Schwächen

In Teilen können das auch weniger teure Geräte, zum Beispiel das sogenannte Blackphone. Wie das Cryptophone basiert es auf einem umgebauten Android als Betriebssystem. Das Gerät verschlüsselt ebenfalls alle Botschaften seines Nutzers und lässt ihn kontrollieren, was die Apps erfahren dürfen. Mit einem Preis von 629 Dollar ist es erheblich billiger und richtet sich eher an private Kunden. Und auch im Betriebssystem CyanogenMod, einem weiteren Android-Abkömmling, gibt es die Möglichkeit, Apps einzelne Berechtigungen nachträglich zu entziehen.

In der überwältigenden Mehrheit aller Mobiltelefone aber fehlen so sinnvolle Funktionen wie die Steuerung der App-Berechtigungen, die Warnungen vor deaktivierter Verschlüsselung oder gar vor IMSI-Catchern. "Beim Mobilfunk ist ganz viel kaputt", sagt Björn Rupp. "Es gibt viele konzeptuelle Schwächen."