Mithören

17. Juni 2021 09:50; Akt: 17.06.2021 09:56 Print

Sicherheitslücke absichtlich in Handys verbaut

Ein Algorithmus, der Smartphones beim Surfen eigentlich vor fremden Augen hätte schützen sollen, tat genau das Gegenteil, wie ein Bericht zeigt.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Wer mit dem Handy ohne Wifi im Netz surfen möchte, muss auf das mobile Netzwerk zurückgreifen. Dabei machen sich wohl nur die wenigsten Sorgen um ihre Privatsphäre und die Sicherheit ihrer Daten. Dass dies aber nicht verkehrt wäre, zeigt ein neuer Bericht von IT-Sicherheitsexperten der Ruhr-Uni Bochum, der Forschungsstelle Simula UiB aus Norwegen, der französischen Forschungsinstitute Irisa und Inria sowie der Uni Paris-Saclay. Darin wird aufgezeigt, dass das Surfen mit älteren Mobilfunkstandards alles andere als sicher ist.

Konkret geht es um den Verschlüsselungsalgorithmus, der GEA-1 genannt wird. Ein solcher Algorithmus ist eigentlich dazu gedacht, Daten, die verschickt werden, für Außenstehende so zu verschlüsseln, dass sie nicht geknackt werden können. Wie die «Süddeutsche» nun aber berichtet, war diese Verschlüsselung absichtlich viel leichter zu knacken als bisher angenommen.

«Seit Jahrzehnten nicht mehr zeitgemäß»

Bei der GEA-1-Verschlüsselung handelt es sich um eine Technologie, die für 2G-Mobilfunk verwendet wird. Dabei handelt es sich zwar um eine ältere Technologie wie bei 3G, 4G oder 5G, die momentan hauptsächlich verwendet werden, gänzlich obsolet ist 2G aber noch nicht.

Wie die Sicherheitsforschenden nun berichten, steckt hinter GEA-1 nicht etwa wie versprochen ein 64-Bit-Schlüssel sondern nur ein 40-Bit-Schlüssel. Damit ist es für Angreifer viel einfacher, die Sicherheitsbarriere zu durchbrechen. «Solche Verschlüsselungen gelten bereits seit Jahrzehnten nicht mehr als zeitgemäß», erklärt IT-Sicherheitsexperte Marc Ruef von der Scip AG. Tatsächlich ist es laut dem Bericht der Forschenden kein Zufall, dass auf diese einfacher zu knackende Verschlüsselung zurückgegriffen worden sei.

Für Laien unbrauchbar

Viel eher sei es wahrscheinlich, dass in den Gremien der Branche bewusst entschieden wurde, eine Hintertür in die Handynetze einzubauen. So habe man offensichtlich versucht, GEA-1 stark aussehen zu lassen, bei näherer Betrachtung sei dies aber nicht der Fall. Dies bestätigt auch das Europäische Institut für Telekommunikationsnormen (ETSI) gegenüber der «Süddeutschen»: «GEA-1 wurde 1998 entwickelt, als wir Exportkontroll-Regeln hatten, die die Stärke begrenzten», heißt es. Das Resultat war, dass Millionen von Nutzerinnen und Nutzern über Jahre hinweg beim Surfen schlecht geschützt waren.

Tatsächlich sei es nicht unüblich, dass Verschlüsselungsmechanismen bei ihrer Ausarbeitung oder Implementierung geschwächt werden, sagt Ruef. «Manche Länder setzten dies gar offiziell voraus. Das Mithören erfordert aber spezielle Hardware und Know-how. Zusätzlich die Verschlüsselung aufzubrechen ist trotz der Schwächung für Laien also nicht möglich.» Ruef vermutet, dass damals wie auch heute in erster Linie Nachrichtendienste um gezielte Abhöraktionen bemüht waren.

Augenmerk auf moderne Verfahren

Für einzelne Nutzerinnen und Nutzer relativiert Ruef das Risiko allerdings: «Bei schwachen Verbindungen oder auf alten Geräten kann es vorkommen, dass auf ältere Technologien zurückgeschaltet wird. Dadurch kann die Angriffsfläche konkret erhöht sein. Heutzutage sind aber die wenigsten Nutzerinnen und Nutzer, und wenn dann auch nur relativ kurzzeitig, dem konkreten Risiko von GEA-1 ausgesetzt.»

Daher macht es laut Ruef auch wenig Sinn, nun große Investitionen in das Stopfen dieser alten Sicherheitslücke zu tätigen. «Im Zuge der Diskussion sollte das kritische Augenmerk eher primär auf die Robustheit und Sicherheit der modernen Verfahren gerichtet werden. Auch da wird die Zukunft zeigen, ob Ungereimtheiten vorhanden sind», so der Sicherheitsexperte.

(L'essentiel/Dominique Zeier)

Fragen und Antworten rund um die Kommentar-Funktion
«Warum dauert es manchmal so lange, bis mein Kommentar sichtbar wird?»

Unsere Leser kommentieren fleißig – Tag für Tag gehen Hunderte Meinungen zu allen möglichen Themen ein. Da die Verantwortung für alle Inhalte auf der Website bei der Redaktion liegt, werden die Beiträge vorab gesichtet. Das dauert manchmal eben einige Zeit.

«Warum wurde mein Kommentar gelöscht?»

Womöglich wurde der Beitrag in einer Fremdsprache verfasst. Wir geben nur Kommentare in den Landessprachen Luxemburgisch, Deutsch und Französisch frei. Beiträge, die Beleidigungen, Verleumdungen oder Diffamierungen enthalten, werden sofort gelöscht. Auch Kommentare, die aufgrund mangelnder Orthografie quasi unlesbar oder in Versalien geschrieben sind, werden das Licht der Öffentlichkeit nie erblicken.

«Habe ich ein Recht darauf, dass meine Kommentare freigeschaltet werden?»

«L'essentiel» ist nicht dazu verpflichtet, eingehende Kommentare zu veröffentlichen. Ebenso haben die kommentierenden Leser keinen Anspruch darauf, dass ihre verfassten Beiträge auf der Seite erscheinen.

Haben Sie allgemeine Fragen zur Kommentarfunktion?

Schreiben Sie an feedback@lessentiel.lu
Hinweis: Wir beantworten keine Fragen, die sich auf einzelne Kommentare beziehen.

Die beliebtesten Leser-Kommentare

  • Valchen am 17.06.2021 11:47 via via Mobile Report Diesen Beitrag melden

    Covid huet Mäer d’Aan opgemaach. Ausser mol an den lokalen Super Marché (300m ewech)! Bléiwwt den Äppelchen, Doheem. Länger Strécken, gin mam pre-pay zréck geluecht, wann Dann mol eppes As! An Deen get regelmässeg Ensuergt! An mein 1967 Oldtimer as herrlech frei vun Allem Tracking.

    einklappen einklappen

Die neusten Leser-Kommentare

  • Valchen am 17.06.2021 11:47 via via Mobile Report Diesen Beitrag melden

    Covid huet Mäer d’Aan opgemaach. Ausser mol an den lokalen Super Marché (300m ewech)! Bléiwwt den Äppelchen, Doheem. Länger Strécken, gin mam pre-pay zréck geluecht, wann Dann mol eppes As! An Deen get regelmässeg Ensuergt! An mein 1967 Oldtimer as herrlech frei vun Allem Tracking.

    • Phil am 25.06.2021 09:09 Report Diesen Beitrag melden

      Recht hutt dir... sin och frou, dass ech mein alen Nokia nach gehalen hun.

    einklappen einklappen