This story appeared in Der Spiegel - this is a local copy of the article.
For more information about Der Spiegel see details at http://www.spiegel.de/



27.4.98
MOBILFUNK

Unsicherheit durch Geheimniskrämerei

Von Boris Gröndahl

A3, A5, A8, Imsi, Sim, Imei - Der Mobilfunkstandard GSM verspricht hohe Sicherheit durch moderne kryptographische Protokolle. Doch der jüngste Hack des Chaos Computer Clubs (CCC) deckt nicht nur ein zufälliges Loch auf - die Mängel liegen in der Sicherheitsphilosophie.

Er ist der Stolz der europäischen Telekom-Industrie: der Mobilfunkstandard GSM. In den achtziger Jahren von der europäischen Konferenz der Post- und Telefongesellschaften CEPT entwickelt (das Kürzel stand da noch für Groupe Spéciale Mobile), wurde GSM schnell zum Welterfolg. Über 50 Millionen Menschen in rund 120 Ländern telefonieren inzwischen in 200 GSM-Netzen. Was seinen Entwicklern vielleicht noch wichtiger ist als die schiere Zahl: Auf der ganzen Welt (außer in Nordamerika) klingeln die Handys nicht dank einer Technik aus dem Telefonmutterland USA, sondern dank einer Technik aus der oft für ihre bürokratischen Fernmeldebehörden belächelten Alten Telekom-Welt.

Unzweifelhaft war das Global System for Mobile Communication (GSM), wie es inzwischen zeitgemäßer umgetauft wurde, zu seiner Entstehungszeit ein großer Schritt vorwärts. Nicht nur die Qualität und Verfügbarkeit der GSM-Mobiltelefonie profitierten von der Entscheidung, ganz auf digitale Technologie zu setzen. Vor allem war die Sicherheit der Netze gegen Abhörversuche und den Klau von Verbindungsleistungen durch durchgängige Verwendung von Verschlüsselungs-Techniken ihrer Zeit voraus. Die bis dahin üblichen analogen Netze (wie das C-Netz der Telekom) waren unkomplizierten Angriffen mit Geräten, wie sie jeder Amateurfunker besitzt, schutzlos ausgeliefert.

Doch so visionär die GSM-Ingenieure waren: die Prinzipien ihrer Sicherheitsarchitektur verraten ihre Herkunft aus der Philosophie der staatsnahen autoritären Behörden. Und es sind genau solche Details, die sich nun als Sicherheitslöcher erweisen.

Der Hack, den der CCC nun erstmals praktisch vorgeführt hat, und der bereits vor zwei Wochen von amerikanischen Programmierern theoretisch dargelegt worden war, war nur möglich, weil die GSM-Ingenieure der Todsünde der Kryptographie erlegen sind: der Versuchung, sich in trügerischer Sicherheit zu wiegen, weil niemand das System genau kennt. Wenn ein böswilliger Angreifer, so die Logik, nicht mal weiß, wo er ansetzen soll, dann bedeutet dies eine zusätzliche Hürde, also größere Sicherheit.

Daß das ein Fehlschluß ist, hätten die Techniker schon von den mißlungenen Versuchen der deutschen Wehrmacht lernen können, ihre U-Boote mit der supergeheimen Chiffriermaschine Enigma vor den lauschenden Alliierten zu schützen. Ohne jedes Wissen über die Funktionsweise der Wundermaschine waren die britischen Kryptoexperten um Alan Turing in der Lage, alles mitzulesen, was die Deutschen über den Äther schickten. Die geknackte Enigma ist der spektakulärste Beweis dafür, daß das trügerische Konzept "Security by Obscurity", Sicherheit durch Geheimniskrämerei, nicht aufgeht.

Ganz so geheim wie die Enigma waren die GSM-Algorithmen nicht - schließlich mußten Netzbetreiber in den Standard eingewiesen werden. Und es kam wie es kommen mußte: Am Ende fand jemand den Algorithmus, den man für das Kopieren von GSM-Chipkarten benötigt, heraus.

"Wir haben Teilinformationen zusammengesetzt, die wir aus öffentlich zugänglichen Quellen und durchgesickerten Dokumenten erfahren haben und kombinierten das mit unseren eigenen Untersuchungen an den GSM-Chipkarten", erklärten die amerikanischen Hacker, die für den CCC die theoretische Vorarbeit geleistet haben. Und was sie fanden, hatte einen schweren Mangel.

Dabei ist der Fehler, den die Hacker fanden, letztlich banal, das Verfahren, mit dem sie auf ihn stießen, seit 1990 bekannt. Hätte es schon vorher eine öffentliche Diskussion gegeben, hätte man den Algorithmus umstandslos zurückziehen und durch einen besseren ersetzen können. So kann man nur hoffen, daß er nicht schon seit acht Jahren systematisch von jemandem ausgenutzt wird, der damit nicht zum SPIEGEL geht.

In der modernen Kryptographenszene gilt es deswegen als Grundannahme, daß früher oder später sowieso jeder Algorithmus durchsickert, und daß es für alle Beteiligten nützlicher ist, die Verfahren gleich bekanntzumachen und sie der Kritik durch Experten auszusetzen. Die wichtigsten öffentlich bekannten Verfahren, die heute von Banken, Unternehmen und Privatleuten verwendet werden, halten der Kritik zum Teil seit zwanzig Jahren stand. Nur Behörden und Nachrichtendienste teilen diese Idee bis heute nicht - und erleiden mit ihrer Sicht der Dinge immer häufiger Schiffbruch.

Denn auch andere Angriffe gegen den GSM-Standard, die für Betrugsversuche geeignet sind, bauen auf alte Fernmeldergewohnheiten. So etwa das von Ross Anderson Ende vergangenen Jahres vorgeschlagene Modell zum Telefonieren auf anderer Leute Kosten: Es basierte auf der Möglichkeit, sich bestimmte Nutzerdaten dadurch zu erschleichen, daß man sich mittels eines speziellen Senders gegenüber einem Mobiltelefon als Funkstation ausgibt. Diese Schwejkiade ist möglich, weil sich im GSM-Netz nur der Kunde legitimieren muß - die Telefongesellschaft kann man mit ein bißchen Fassade simulieren.

Doch nicht nur die alten Telefongesellschaften haben in GSM ihre Spuren hinterlassen, auch Nato und Justizbehörden griffen in die Entwicklung ein. In der Endphase des Kalten Krieges fürchteten sie, daß dem Gegner starke Verschlüsselungstechnik in die Hände fallen und er sie für sinistre Zwecke einsetzen könnte. Daß auf ihren Wunsch hin ein spezieller, schwächerer Algorithmus für die Verbindung zwischen Handy und Funkstation entwickelt wurde, gedacht zum Export in Krisengebiete, war schon länger bekannt. Nun zeigt sich, daß auch der Standard-Algorithmus verkrüppelt wurde.

Die Entdeckung von Schwächen im GSM-Standards sind ein Indiz dafür, wie sich seit seiner Entwicklung die Welt verändert hat. Eine internationale Szene von Telefon-Hackern entwickelt inzwischen beinahe schon sportlichen Ehrgeiz beim Finden neuer Angriffspunkte. Auf Mailinglisten werden Möglichkeiten erwogen und verworfen, auf Websites Zwischenergebnisse gesammelt. Noch steht GSM erstaunlich fest - aber die Entwickler des Nachfolgemodells, an dem derzeit gearbeitet wird, hören den GSM-Hackern besser gut zu.


Aussichten eines Klons - Der Chaos Computer Club kann Telefonkarten von D2-Handys nachbauen. (DER SPIEGEL 18/98)


SPIEGEL ONLINE 18/1998 - Vervielfältigung nur mit Genehmigung des SPIEGEL-Verlags


zurück ...

 


[ Home | Der Spiegel | Netzwelt | Reuters | Sport | Kultur extra | Spiegel TV ]
[ Spiegel special | Service/Suchen | Yahoo! | Shop | Forum | E-Mail ]