Der Verschlüsselungsexperte Karsten Nohl vom Berliner Unternehmen Security Research Labs hat enthüllt, dass SIM-Mobilfunkkarten eine schwerwiegende Sicherheitslücke haben und sorgt damit weltweit für Aufregung.
In einigen Berichten wird befürchtet, dass gar hunderte Millionen SIM-Karten betroffen sind. Angreifer können über SMS Updates einspielen und dann über spezielle Java Software das befallene Gerät kapern und alles Mögliche damit anstellen - beispielsweise unerwünscht teure SMS verschicken oder Daten im Gerät manipulieren. Im schlimmsten Fall sollen sich SMS-Karten sogar aus der Ferne einfach klonen lassen.
Besitzer der Geräte kriegen von so einem SMS-Hacking wohl nicht einmal etwas mit, es passiert ohne jegliches Zutun. Ein gewichtiger Grund für die Sicherheitslücke soll sein, dass alte SIM-Karten noch mit einem recht veralteten Verschlüsselungsmethode namens DES mit 56-Bit-Schlüssel aus den 70er Jahren arbeiten, das modernere AES nicht können.In seinem Bericht nennt Nohl vorab schon mal Möglichkeiten, wie sich das SMS-Hacking-Risiko jetzt schon minimieren lässt. Der Tipp Nummer 1 ist ganz einfach bessere SIM-Karten mit zeitgemäßer Verschlüsselungstechnik zu verwenden.
Als weitere Methode empfiehlt er SMS-Firewalls in Geräten. Nutzer sollten selbst entscheiden dürfen, welchen SMS-Quellen sie trauen, die Firewall sollte sogenannte "stille SMS" verhindern.
Die dritte Empfehlung basiert darauf, dass Angreifer darauf setzen, dass sie binäre SMS an befallene Geräte schicken und von ihnen verschicken können. Solche SMS sollten nur mit wenigen bekannten Quellen erlaubt werden.
Glück im Unglück: Laut Nohl wird die Sicherheitslücke bislang noch kaum ausgenutzt. Die Details will er bei einer "Hacking-Veranstaltung" am 3. August präsentieren. Spätestens dann werden die Provider eine Lösung parat haben müssen.
Viele wundern sich gewiss, weil sie denken, dass diese SIM-Kärtchen nur primitive Dinger mit ein bisschen Speicher sind. Tatsächlich sind sie allerdings praktisch komplette Rechner mit Speicher. Provider können das "Betriebssystem", die "Firmware" dieser Karten bei Bedarf via Mobilverbindung verändern.
Laut Wikipedia waren in Deutschland 2012 rund 115 Millionen SIM-Karten im Umlauf. Ich habe übrigens immer noch meine allererste SIM-Karte im Einsatz. Da steht "Viag Interkom" drauf (heute ist das O2) und die Karte ist glaub gut 15 Jahre alt, funzt immer noch. Wahrscheinlich bin ich einer der Ersten, die von der Sicherheitslücke zerbröselt werden.