Es klingt zu einfach, um wahr zu sein: Mit einer simplen SMS, die von einem unbekannten Absender kommen kann, lässt sich eine
SIM-Karte im Mobiltelefon klonen. Mit den so erbeuteten Informationen kann die Identität der Originalkarte vorgetäuscht werden – einschließlich der Möglichkeit, Anrufe unter falscher Absenderkennung zu führen, Gespräche umzuleiten und auf fremde Kosten zu telefonieren. Da die SIM-Karte als zentrales Identifikationsmittel eines Mobilfunkendgeräts gegenüber dem Netzbetreiber gilt, wird durch den SIM-Hack die Sicherheit der Gerätenutzer kompromittiert. Schuld an der Misere soll ein veralteter Verschlüsselungsstandard sein, der die SIM-Kartendaten nur unzureichend schützt und sich leicht knacken lässt.
Zur Verschlüsselung der Daten kommt der
DES-Algorithmus zum Einsatz, der seine Geburtsstunde in den 1970er Jahren hatte und inzwischen als technisch überholt gilt. Der, so Kryptographieexperte Karsten Nohl, dessen Unternehmen
Security Research Labs die Sicherheitslücke in einem
Interview mit der Zeit bekannt gemacht hat, schützt die Daten nur mit einem „ziemlich billigen Schloss“. Die eigentliche Schwachstelle ist Schlüssellänge: Sie beträgt nur 56 Bit. DES mit 56 Bit soll noch bei rund einem Achtel aller in Umlauf befindlichen SIM-Karten Verwendung finden – geschätzt 500 Millionen Karten.
Das Klonen einer SIM-Karte per SMS erfolgt lautlos – der Betroffene bemerkt von dem Vorgang nichts. Auch von der Nutzung der geklonten Karte bekommt der Geschädigte zunächst nichts mit. Für die Durchführung des Hack-Angriffs ist zwar bislang Expertenwissen gefragt, doch es bleibt abzuwarten, wann sich Nachahmer finden.
Die Internationale Fernmeldeunion (ITU) sieht sich zum Handeln gezwungen und will Berichten zufolge Behörden, Provider und Netzbetreiber in rund 200 Ländern über die Sicherheitslücke alarmieren. Ob und wann Gegenmaßnahmen ergriffen werden, hängt von den einzelnen Behörden und Anbietern ab.
Ein schwerwiegendes Sicherheitsleck, vor dem sich Nutzer eines Mobiltelefons mit SIM-Karte nicht selbst schützen können.