Abo
  • IT-Karriere:

Spionage: Geheimdienste klauten SIM-Karten-Schlüssel

Bei einem gemeinsamen Einbruch bei SIM-Karten-Hersteller Gemalto haben die britischen GCHQ und die NSA offenbar Millionen geheime Schlüssel erbeutet. Gemalto liefert SIM-Karten weltweit - auch nach Deutschland.

Artikel veröffentlicht am ,
Die GCHQ und die NSA haben beim SIM-Kartenhersteller Gemalto das Netzwerk infiltriert, um Schlüssel zu entwenden.
Die GCHQ und die NSA haben beim SIM-Kartenhersteller Gemalto das Netzwerk infiltriert, um Schlüssel zu entwenden. (Bild: NSA/The Intercept)

Was sie nicht knacken können, stehlen sie: Die britischen GCHQ sind gemeinsam mit der NSA in die IT-Systeme des niederländischen SIM-Karten-Herstellers Gemalto eingebrochen und haben dabei Millionen Schlüssel erbeutet. Sie werden zur Absicherung der SIM-Karten verwendet und sind normalerweise nur dem Telekommunikationsunternehmen bekannt. Dazu wurden einzelne Gemalto-Angestellte regelrecht gestalkt. The Intercept beruft sich in seinem Bericht auf Dokumente aus dem Jahr 2010, die der Informant Edward Snowden überreicht hat.

Stellenmarkt
  1. igefa IT-Service GmbH & Co. KG, Ahrensfelde bei Berlin, Dresden
  2. Bietigheimer Mediengesellschaft mbH, Bietigheim-Bissingen

Um den Diebstahl zu begehen, haben sich die Mitglieder der gemeinsamen Taskforce aus Agenten der NSA und der GCHQ zunächst Zugriff auf die Rechnersysteme von Gemalto verschafft. "Wir glauben, Zugriff auf das gesamte Netzwerk zu haben," heißt es in einem Dokument. Dort fingen sie die Schlüssel ab, die per FTP oder sogar per E-Mail an die Fabriken versendet wurden, die die SIM-Karten herstellen. Auch die Übertragung der Schlüssel an diverse Provider sollte abgegriffen werden. Sie würden mit schwacher Verschlüsselungen und sogar manchmal vollkommen ungeschützt übertragen, notierten die Agenten. Unklar ist, ob die Geheimdienste weiterhin Zugriff auf die Systeme oder den Datenverkehr haben.

SIM-Karten-Lieferungen weltweit

Gemalto zeigte sich überrascht von dem Bericht und werde alle notwendigen Ressourcen aufwenden, um den Vorwürfen in dem Bericht nachzugehen, sagte ein Sprecher zu The Intercept. Der SIM-Karten-Hersteller beliefert unter anderem auch die Deutsche Telekom, Vodafone, die französische Télécom, KPN in den Niederlanden, aber auch große Provider in Asien. Außerdem stellt Gemalto seine Sicherheitssysteme für Kreditkartenunternehmen wie Visa oder Mastercard zur Verfügung, etwa für sogenannte Hardware-Sicherheitsmodule. Aus den veröffentlichten Dokumenten geht aber nicht hervor, ob sich die Dienste auch dafür die Schlüssel verschafft haben.

Die Agenten zielten darauf ab, sich Zugriff auf die zahlreichen Gemalto-Zweigstellen weltweit zu verschaffen. Explizit ist beispielsweise die Rede von Gemaltos Dependance in Frankreich, die in den Dokumenten als zentrale Datenquelle bezeichnet wird. Ähnliche Angriffe sollten auch gegen Gemaltos Konkurrenzunternehmen Giesecke und Devrient in Deutschland gefahren werden.

IMSI und Schlüssel erlauben Vollzugriff

Zusammen mit der IMSI-Nummer können die gestohlenen Schlüssel später eingesetzt und den jeweiligen Benutzern zugeordnet werden. Sie erlauben, Telefonate oder Nachrichten, die von einem Mobiltelefon aus versendet wurden, auch nachträglich zu entschlüsseln. Dabei können die Geheimdienste auch auf bisher bekannte Angriffe etwa über IMSI-Catcher verzichten, die Verbindungen zwangsweise auf schwächere Übertragungsprotokolle wie 2G herabstufen. Denn solche Angriffe können inzwischen registriert werden. Sie müssten nur die gesamte Verbindung abgreifen und dann später entschlüsseln.

Laut The Intercept berichtete die NSA bereits 2009, sie sei in der Lage, zwischen 12 und 22 Millionen solcher Schlüssel pro Sekunde zu verarbeiten, um sie später gegen ausgewählte Ziele zu verwenden. Später sollten es 50 Millionen werden. Wie viele Schlüssel tatsächlich damals verarbeitet wurden, geht aus den Unterlagen nicht hervor. Fest steht, dass die Geheimdienste bereits Infrastrukturen für die Verwendung von Schlüsseln haben.

Die einzige Schutzmöglichkeit für Nutzer besteht demnach weiterhin darin, selbst für eine Verschlüsselung zu sorgen, etwa mit dem Einsatz entsprechender Apps wie Signal, Redphone oder Silent Phone beziehungsweise Textsecure oder Whatsapp für Textnachrichten.



Anzeige
Spiele-Angebote
  1. (-77%) 11,50€
  2. (-70%) 23,99€
  3. (-67%) 29,99€

__destruct() 23. Feb 2015

Sie scannen automatisiert Nachrichten von jedem und verdächtige Nachrichten werden ohne...

Nibbels 21. Feb 2015

Ruft mal bei eurem Mobilfunkanbieter an und fragt dort, ob ihr erfahren könnt, ob eure...

Anonymer Nutzer 21. Feb 2015

Dann hast du ganz einfach seinen beitrag nicht verstanden wenn du meinst er wollte mit...

drmccoy 20. Feb 2015

Ist doch völlig egal, ob die Chinesen und/oder Russen so etwas auch getan haben. Es geht...

Qbit42 20. Feb 2015

Ja, vielleicht. Aber spätestens in den USA wäre das doch dann vermutlich nicht mehr...


Folgen Sie uns
       


Ghost Recon Breakpoint Gameplay

Elitesoldaten auf einer Insel? Dabei kommt zumindest in Ghost Recon Breakpoint kein Urlaub heraus, sondern ein Kampf zwischen zwei letztlich gleich starken Fraktionen - unser Können entscheidet!

Ghost Recon Breakpoint Gameplay Video aufrufen
Kryptomining: Wie Bitcoin die Klimakrise anheizt
Kryptomining
Wie Bitcoin die Klimakrise anheizt

Die Kryptowährung Bitcoin baut darauf, dass Miner darum konkurrieren, wer Rechenaufgaben am schnellsten löst. Das braucht viel Strom - und führt dazu, dass Bitcoin mindestens so viel Kohlendioxid produziert wie ein kleines Land. Besserung ist derzeit nicht in Sicht.
Von Hanno Böck

  1. Kryptowährungen China will Bitcoin, Ethereum und Co. komplett verbieten
  2. Quadrigacx 137 Millionen US-Dollar in Bitcoins verschwunden
  3. Landkreis Zwickau Krypto-Mining illegal am Stromzähler vorbei

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

    •  /