GPRS-Datensicherheit hätte längst verbessert werden können

Die Netzbetreiber könnten Nohl zufolge sehr schnell die Sicherheit in ihren Datennetzen verbessern. Genauer gesagt, hätten sie das schon vor Jahren tun können. Deswegen sieht Nohl auch keine Notwendigkeit von Responsible Disclosure. Die Netzbetreiber hätten genug Zeit gehabt und brauchen keine weitere, um die Sicherheitslücken zu schließen. Die Werkzeuge, die benötigt werden, um offene Netzwerke abzuhören, sollen noch während das Chaos Communication Camp 2011 veröffentlicht werden. Laut Nohl müssen betroffene Netzbetreiber die längst implementierte Sicherheitstechnik einfach nur anschalten, um die Sicherheit der Nutzer zu gewährleisten.

Ein bisschen Responsible Disclosure betreibt Nohl dennoch. Er verschweigt beispielsweise, welche an Deutschland angrenzenden Mobilfunknetzwerke vom Netzbetreiber als offene Netzwerke betrieben werden. Davon soll es mindestens zwei geben. In Deutschland besteht dieses Problem nicht. Hier wird einer der höheren GEA-Modi benutzt. Aber auch hier gibt es keinen Netzbetreiber, der GEA/4 verwendet und die niedrigeren GEA-Modi, die in Deutschland verwendet werden, hat Nohl bereits geknackt, wie er der New York Times sagte. Die entdeckten Schlüssel wird er allerdings nicht veröffentlichen und tat dies auch nicht auf dem Chaos Communication Camp.

GPRS-Produkte sind der Informations-Backbone mobiler Gesellschaften und decken ganze Länder ab, wie Nohl betont. Dementsprechend muss die Technik auch abgesichert werden. Er schloss seinen Vortrag mit der Aufforderung: "Schaltet die Skype-Überwachung aus und schaltet die Verschlüsselung an."

Nachtrag vom 11. August 2011, 23:58 Uhr:

Karsten Nohl hatte es zuvor in Deutschland geschafft, auch das geschlossene GPRS-Netz abzuhören. Eine entsprechende Passage wurde im Artikel ergänzt.