Telefonieren wird mit 5G unsicherer

Golem.de: Die 5G-Sicherheit bekommen wir also erst, wenn die Vorgänger-Generationen abgeschaltet werden. Aber selbst dann wird nicht automatisch alles sicherer?

Nohl: Ein großer Unterschied zwischen 3G und 4G/5G ist, dass keine Sprachkommunikation mehr unterstützt wird, sondern nur noch die Datenverbindung. Sprich Telefonie und SMS werden bei 4G und bei 5G über das Internet abgewickelt - mit eigenen Standards. Der ältere ist IMS (IP Multimedia Subsystem), der neuere RCS (Rich Communication Services).

Im Unterschied zu den Mobilfunknetzen, die mit jeder Generation sicherer geworden sind, geht es hier rückwärts. In RCS haben wir und andere Sicherheitslücken gefunden, die es beispielsweise in einem 3G-Netz nicht gab. Im Unterschied zu den Mobilfunkstandards, die sich Akademiker und Industrie aus der ganzen Welt angeschaut haben, wurde der RCS-Standard von einer kleinen Firma geschrieben. Entsprechend wahrscheinlicher sind Fehler in dem Standard.

Dieser wurde dann auch noch relativ hauruck in Hunderten Mobilfunknetzen eingeführt, ohne den Kunden Bescheid zu sagen, dass sie jetzt plötzlich über eine komplett andere Technologie kommunizieren.

Golem.de: 2019 haben Sie mit ihrer Firma SRLabs gezeigt, wie leicht sich SMS mitlesen lassen, wenn sie über RCS gesendet wurden. Sind die Probleme mittlerweile behoben?

Nohl: Die Schwachstellen von 2019 wurden in vielen Netzen adressiert, aber längst nicht in allen. Diejenigen Schwachstellen, die auf der Telefonseite entstehen, wurden in der Google-Implementierung gefixt, es gibt aber auch weitere Implementierungen.

Das mittelfristig größte Sicherheitsproblem bei RCS ist, dass der Standard unvollständig ist: Sicherheitsrelevante Implementierungsdetails sind nicht standardisiert. Somit implementiert jede Firma RCS leicht anders. Dadurch entstehen Lücken, die Hacker ausnutzen können.

Golem.de: Google möchte nun RCS mit der Ende-zu-Ende-Verschlüsselung des Messengers Signal ausstatten. Hilft das?

Nohl: Wenn zwei Geräte miteinander kommunizieren, die beide die Google-Implementierung von RCS verwenden, ist die Kommunikation geschützt. Aber sobald eine Implementierung von einem anderen Anbieter verwendet wird, nicht mehr. Das bedeutet, dass die Kommunikation mal Ende-zu-Ende verschlüsselt ist - und mal nicht.

Entsprechend leicht haben es Angreifer, weil sich niemand wundert, wenn eine Verbindung einmal nicht verschlüsselt ist. Hinzu kommt, dass die Metadaten - also beispielsweise wer mit wem telefoniert - nicht wie bei Signal geschützt werden. Ich will Google nicht dafür kritisieren, dass sie Verschlüsselung in RCS einbauen, aber es löst die Probleme eben nur teilweise.

Golem.de: Haben Sie noch weitere Probleme in RCS entdeckt?

Nohl: Als ein Beispiel haben wir RCS-Implementierungen gesehen, die Daten von beliebigen Servern runterladen, wenn man ihnen über RCS den entsprechenden Link schickt, wodurch Sicherheitslücken entstehen. Das schreibt der RCS-Standard nicht explizit vor, sagt aber auch nicht, wie man es besser lösen kann.

Bei einigen RCS-Implementierungen, die wir uns angeschaut haben, können wir die IP-Adresse des Gegenübers herausbekommen - und damit den ungefähren Standort. So kann man zum Beispiel rausfinden, ob sich eine Person wirklich in Berlin befindet.

Golem.de: Hat sich wenigstens auf Seite der Verschlüsselung etwas verbessert?

Nohl: Grundsätzlich ja: Verbindungen werden mit IMS und RCS immer bis ins Heimatnetz verschlüsselt. Telefoniere ich mit einer SIM-Karte der Telekom im Ausland, wird die Verbindung bis zur Telekom verschlüsselt. Der Telekommunikationsanbieter vor Ort reicht die Daten nur noch weiter und kann sie nicht mehr mithören.

Aber diese Verschlüsselung ist optional. Viele Telekommunikationsanbieter haben sie nicht implementiert. Das bedeutet, dass nur noch bis zum Mobilfunkmast und damit effektiv weniger als bei 3G verschlüsselt wird. Bei 3G wird immerhin bis zur Vermittlungsstelle verschlüsselt.

Golem.de: Wurde bei 5G keine Ende-zu-Ende-Verschlüsselung eingeführt?

Nohl: Die Mobilfunkbranche hat viele gute Ideen eingeführt, eine aber nicht: Ende-zu-Ende-Verschlüsselung. Die wurde nicht vergessen, sondern bewusst rausgelassen, weil viele Länder das partout nicht wollen. Das führt zu der absurden Situation, dass es eine gleichwertige Alternative über Whatsapp, Signal und andere Messenger mit einer Ende-zu-Ende-Verschlüsselung gibt.

Das bedeutet, dass wir alle potenziell mehr abgehört werden - auch durch Kriminelle und Auslandsgeheimdienste - weil die Ende-zu-Ende-Verschlüsselung nicht existiert, während Kriminelle selbstverständlich schlauer sind und eine bessere Technik einsetzen.

Golem.de: Warum wurde keine verpflichtende Verschlüsselung eingeführt?

Nohl: Letztlich mussten sich verschiedene Staaten der Welt auf einen Standard einigen. Entsprechend sind auch einige Sicherheitsfunktionen optional, weil diese in manchen Ländern schlicht illegal wären. Beispielsweise gibt es Länder, in denen nichts über die Luftschnittstelle verschlüsselt werden darf.

Das ist natürlich komplett absurd und geht auf eine Zeit zurück, in der kryptografisches Wissen ein Militärgeheimnis war und nur das Militär verschlüsseln durfte. Deshalb sind Mobilfunkstandards immer noch so geschrieben, dass man sie individuell konfigurieren kann.

Das führt dann allerdings zu der absurden Situation, dass selbst in Ländern, in denen die Verschlüsselung angeschaltet werden darf - was ja zum Glück die meisten Länder sind -, sie trotzdem nicht aktiviert wird, weil es für den Anbieter billiger ist, keine Verschlüsselung zu implementieren.