28C3: GSM-Schwachstelle ermöglicht Angriff auf Handys

Der CCC veranstaltet in Berlin seinen Jahreskongress 28C3.
Logo: CCC Derzeit findet im Berliner Kongresszentrum am Alexanderplatz der Jahreskongress des Chaos Computer Clubs 28C3 statt. Der größte Hackerverein in Europa diskutiert bis Freitag über Netzpolitik, Datenschutz und Überwachungstechnologie und stellt dabei technische Systeme wie Handys und Websites, aber auch Industrieanlagen auf den Prüfstand.

Der CCC veranstaltet in Berlin seinen Jahreskongress 28C3.
Logo: CCC Dabei fehlt es auch nicht an Kritik: Mit dem Verkauf von Spionage-Software würden westliche Staaten die Repressionen autoritärer Regime unterstützen. Wie Netzexperte Evgeny Morozov bei der Auftaktveranstaltung des Kongresses erklärte, scheuten die Hersteller von Überwachungs-Systemen keineswegs den Verkauf an Länder wie Syrien oder Iran. Diktatoren und westliche Technologie-Unternehmen hätten eine "heimliche Liebesaffäre", wie Morozov es formulierte. Morozov verglich die Überwachungs-Software mit Waffen: Ein Exportverbot funktioniere nur, wenn es global gelte, sagte der Weißrusse, der an der amerikanischen Stanford-Universität forscht. Er plädierte für eine Außenpolitik, die den Einsatz von Überwachungs-Programmen berücksichtigt.

Der CCC sieht sich selbst in einer wichtigen gesellschaftlichen Rolle: CCC-Sprecher Frank Rieger betonte die exponentiell wachsende Bedeutung von Technologie in der heutigen Zeit. Die Aktivitäten der Hacker-Community seien daher mehr als eine Spielerei - "wir sind im Zentrum der gesellschaftlichen Entwicklung".

Forderungskatalog zum Umgang mit dem Bundestrojaner

Staatliche Spionage-Software wird auf dem Kongress auch sonst eine große Rolle spielen. Der CCC hatte in den vergangenen Monaten mehrere Versionen des in Deutschland eingesetzten Bundestrojaners analysiert und hatte dabei festgestellt, dass diese nicht nur gesetzeswidrige Funktionen enthielten, sondern auch Dritten ermöglichten, Schadsoftware auf die betroffenen Computer aufzuspielen. Der Club werde einen Forderungskatalog für den Umgang mit staatlicher Schnüffel-Software aufstellen, sagte CCC-Sprecherin Constanze Kurz der Nachrichtenagentur dpa im Vorfeld des Kongresses.

Das Motto des CCC-Kongresses lautet "Behind enemy lines" (Hinter feindlichen Linien). Es beziehe sich auf die zunehmende Diskussion über "Cyberwar", erklärte CCC-Sprecherin Kurz. Cyberwar bezeichnet die Fortsetzung kriegerischer Auseinandersetzungen im Internet. Dazu gehören unter anderem Angriffe auf Server von Regierungsorganisationen, Datenbanken, sensible Infrastruktur wie Kraftwerke oder Verkehrszentren und so weiter. Zudem spiele das Motto auch darauf an, dass viele Hacker sich in einem rechtlichen Graubereich bewegten.

Karsten Nohl: GSM ist veraltet und unsicher

Auch Handys gerieten ins Visier der Hacker: Eine neu entdeckte Schwachstelle im Mobilfunk-Standard GSM ermöglicht es Angreifern laut einem Experten, die Kontrolle über Mobiltelefone zu übernehmen. Sie könnten so Premium-SMS verschicken oder teure Telefonnummern anrufen, erklärte Karsten Nohl. Die dafür nötige Ausrüstung sei einfach zu beschaffen. Das Angriffsszenario könnte einen Großteil der Handynutzer bedrohen.

Nohl ist Geschäftsführer der Berliner Firma Security Research Labs. Er demonstrierte, wie Angreifer sich die Identifikationsmerkmale eines Mobiltelefons beschaffen und das Gerät so imitieren können - etwa um teure Telefonnummern anzurufen. Unter bestimmten Umständen sei es auch möglich, die Mailbox eines Nutzers abzuhören, ohne dessen PIN zu kennen.

Dieses Angriffsszenario bedrohe potenziell sehr viele Handynutzer, betonte Nohl: Von einer erhöhten Position sei es möglich, Daten von Mobiltelefonen in 35 Kilometern Entfernung abzufangen. "Das sollte als Motivation dienen, um mehr Schutz des Netzwerks zu fordern." Die GSM-Technologie, die nach wie vor auf einem Großteil aller Handys zum Einsatz kommt, sei veraltert und müsse nachgerüstet werden. Der Experte forderte die Mobilfunk-Provider und Gerätehersteller auf, bereits bekannte Möglichkeiten zur Verbesserung der Sicherheit umzusetzen.

Nohl hatte in der Vergangenheit bereits mehrfach auf Sicherheitslücken in der Mobilfunk-Technologie hingewiesen. So zeigte er, dass Angreifer die GSM-Verschlüsselung knacken und so Gespräche entschlüsseln und mitschneiden können. Erst im Sommer demonstrierte er, dass auch die Datenübertragung über den GPRS-Standard nicht sicher ist - im Gegensatz zu UMTS.

Die Tickets für den Kongress waren bereits im Vorfeld ausverkauft, für Tagesbesucher sollen noch einige Restkarten vorhanden sein. Ein großer Teil der 100 Vorträge wird aber per Livestream im Internet [Link entfernt] zu sehen sein. Eine Übersicht über die geplanten Veranstaltungen befindet sich auf der Internet-Seite des CCC. Außerdem organisieren Hackergruppen in 26 deutschen Städten Live-Übertragungen.