SIM-Karten-Hack: Hersteller und Provider setzen auf 3DES
(Bild: Justin Ormont/CC-BY 3.0)

SIM-Karten-Hack: Hersteller und Provider setzen auf 3DES

Der SIM-Karten-Hersteller Giesecke & Devrient versichert, dass kommerzielle SIM-Karten mit dem G&D-eigenen Betriebssystem sicher sind. Selbst im Ausland seien deutsche Nutzer sicher, teilte Vodafone mit.

Anzeige

SIM-Karten von Giesecke & Devrient können nicht mit dem von Karsten Nohl entdeckten Hack manipuliert werden, sagt Bernd Müller, der beim Münchner Hersteller Giesecke & Devrient verantwortlich für die SIM-Karten ist. G&D nutze bei SIM-Karten eine spezielle Implementierung, die den Angriff abblockt. Der niederländische Hersteller Gemalto hingegen bestätigte, dass ältere Karten betroffen sein könnten. Vodafone teilte Golem.de mit, dass sich seine Kunden keine Sorgen machen müssten und bestätigte die Zusammenarbeit mit Nohl.

G&D verwende auch bei SIM-Karten mit der Single-DES-Verschlüsselungstechnologie eine spezielle Implementierung im Betriebssystem der SIM-Karten, sagte Müller. Gilt der Absender als nicht vertrauenswürdig, erhalte er entweder gar keine Antwort oder in der Antwort werde auf das Plaintext-Cyphertext-Pair verzichtet. Es wird nur eine reine Klartextantwort gesendet. Nur wenn die Antwortnachricht aus einem Klartext und einem Kryptogramm besteht, funktioniert der von Nohl beschriebene Angriff. Das gelte für alle SIM-Karten mit G&D-Betriebssystem.

Netzbetreiber wählen Verschlüsselung

Die aktuellen SIM-Karten von Giesecke & Devrient unterstützen auch 3DES und AES. 3DES verwendet das Unternehmen seit über zehn Jahren. Die Entscheidung, welche Verschlüsselung in seinen SIM-Karten eingesetzt werden soll, trifft der Netzbetreiber.

Giesecke & Devrient gilt als einer der größten SIM-Karten-Hersteller weltweit, direkt nach dem niederländischen Unternehmen Gemalto. Laut Giesecke & Devrient stammt etwa jede vierte SIM-Karte, die bei einem der zehn größten Netzbetreiber weltweit eingesetzt ist, aus dem Unternehmen. Angaben zur Verbreitung in Deutschland wollte das Unternehmen aber nicht machen.

Ältere Karten betroffen

Gemalto bestätigte in einer E-Mail an Golem.de, dass Nohls SIM-Karten-Hack unter Umständen bei älteren Gemalto-Karten mit veralteten Standards eine Gefahr darstelle. Es gebe aber keine Hinweise, dass aktuelle Karten angegriffen werden können. Das Unternehmen richte sich nach den Vorgaben des internationalen Verbandes GSMA. Die GSM Association hatte die Schwachstellen bestätigt und mitgeteilt, der Verband arbeite mit Netzbtreibern zusammen, um das Problem zu lösen. Gemalto wolle aber auch Nohls Vortrag auf der Black Hat 2013 in Las Vegas genau verfolgen.

Vodafone sagte auf Anfrage von Golem.de, dass Vodafone-Kunden in Deutschland vor dem Angriff sicher seien. Buche sich ein Gerät mit einer älteren SIM-Karte erstmals nach längerer Zeit ins Netz ein, erhalte es automatisch ein Firmwareupdate mit der aktuelleren 3DES-Verschlüsselung. Das gelte auch im Ausland, wenn sich dort ein Kunde einbucht. Vodafone bestätigte auch die enge Zusammenarbeit mit Nohl. Der Konzern setze Filterregeln ein, um die Übertragung von präparierten SMS zu verhindern. Das sei ein zusätzlicher Schutz, den der Netzbetreiber anbiete. Auch die Telekom versichert: "Selbst bei älteren SIM-Karten nutzen wir einen stärkeren Algorithmus, 3DES und nicht DES."

Nohl hatte bei der Präsentation des SIM-Karten-Hacks betont, dass Anwender in Deutschland solche Angriffe kaum zu befürchten haben. Meist seien Karten betroffen, die älter als vier bis fünf Jahre sind. Micro- und Nano-SIMs seien sicher. Nohl sagte aber auch, dass das modernere 3DES nicht sicher sei. Denn einige Karten senden bei der Fehlermeldung nur den ersten von drei DES-Schlüsseln. Ist der erstmal geknackt, lassen sich die beiden anderen ebenfalls schnell auslesen. Wird der Schlüssel aber gar nicht erst gesendet, sei die Karte sicher.


MESH 23. Jul 2013

Wie ich Leute liebe die Zeug erklären von dem sie nichts verstehen.

Kommentieren



Anzeige

  1. Fachinformatiker (m/w)
    Clemens Kleine Dienstleistungen GmbH & Co. KG, Düsseldorf
  2. Mitarbeiter SAP Support (m/w)
    Novotechnik Messwertaufnehmer OHG, Ostfildern
  3. IT-Architektur Enterprise Architecture Management
    Daimler AG, Stuttgart
  4. Sachbearbeiter/in IT-Anwenderservice
    LeasePlan Deutschland GmbH, Neuss

 

Detailsuche


Folgen Sie uns
       


  1. IMHO

    Microsoft kauft sich einen Markt mit Klötzchen

  2. AVMs neuer VDSL-Router

    Fritzbox 3490 hat sechs Antennen für ein schnelles WLAN

  3. Infoseite

    So wird man Apples U2-Geschenk wieder los

  4. Luxuslimousine

    S-Klasse als Plug-in Hybrid mit 2,8 Litern Verbrauch

  5. Streaming-Dienst

    Netflix startet mit kostenlosem Probemonat

  6. FBI

    US-Biometriedatenbank ist betriebsbereit

  7. Huawei Cloud Congress

    Huawei will weltweit der führende IT-Konzern werden

  8. VESA-Standard

    Displayport 1.3 A/V für 5K-Displays ist fertig

  9. Panasonic

    Lumix GM5 ist ein Systemkamera-Winzling

  10. Panasonic CM1

    Android-Smartphone mit 1 Zoll großem Bildsensor



Haben wir etwas übersehen?

E-Mail an news@golem.de



Typ C: Neuer USB-Stecker mit Klick und USB 3.1 ausprobiert
Typ C
Neuer USB-Stecker mit Klick und USB 3.1 ausprobiert
  1. HD Graphics 5300 Broadwell-GPU mit 24 oder 48 EUs, sparsamer und schneller
  2. NUC und Co. Intel will die Mini-PCs halbieren
  3. IMHO USB Typ C lieber heute als morgen

NFC: Apple Pay könnte sich auszahlen
NFC
Apple Pay könnte sich auszahlen
  1. Visa Europe Verhandlungen für Apple Pay in Europa laufen
  2. Apple Smartwatch soll eigenen App Store bekommen
  3. Apple Digitale Geldbörse in iPhone 6 macht offenbar Fortschritte

Smartphone-Diebstahl: Sicher ist nur, wer schnell reagiert
Smartphone-Diebstahl
Sicher ist nur, wer schnell reagiert
  1. Android-Versionen Kitkat verbreitet sich langsamer als Jelly Bean
  2. Googles VoIP-Dienst Kostenlos telefonieren mit Hangouts für Android und iOS
  3. Android Wear Google will die Smartwatch klüger machen

    •  / 
    Zum Artikel