This story appeared in Der Spiegel - this is a local copy of the article.
For more information about Der Spiegel see details at http://www.spiegel.de/



25.4.98
DATENSICHERHEIT

Aussichten eines Klons

Der Chaos Computer Club kann Telefonkarten von D2-Handys nachbauen. Eine böse Überraschung für Mannesmann und eine Gefahr für manche Kunden.

Man nehme zwei handelsübliche Computer, ein Handy nebst Telefonkarte, ein paar Steckverbindungen und einige Kleinteile aus dem Elektronikfachhandel. Wünschenswert, wenn auch nicht in jedem Fall notwendig, sind außerdem ein Bügeleisen, ein Skalpell und ein Fön. Viel mehr braucht es nicht, um das Herzstück eines modernen Mobiltelefons, die sogenannte SIMkarte, zu knacken.

  Der Dreh mit der Telefonkarte
Der Dreh mit der Telefonkarte
Nur mit dieser Chipkarte ist ein Handy überhaupt betriebsbereit. Durch die Karte wird nicht nur die Sprachübertragung verschlüsselt, vor allem dient der eingesetzte Chip dazu, den Handy-Besitzer beim Mobilfunkbetreiber zu identifizieren.

Rechner, Handys und Elektronikkram lagern in den Räumen des Chaos Computer Clubs (CCC) zuhauf - und so ließen die deutschen Elitehacker vergangene Woche den Alptraum der Firma Mannesmann Mobilfunk wahr werden: Sie entschlüsselten eine D2-Mobilfunkkarte und kopierten deren Datensatz in ihrem Computer.

Bösewichter könnten diese Kopie nutzen, um zu telefonieren - kostenlos, denn die Rechnung ginge an den Besitzer der Originalkarte.

Noch müssen die rund drei Millionen D2-Kunden nicht fürchten, daß schon morgen 16jährige Computerfreaks auf ihre Kosten mit der halben Welt telefonieren, doch die Erfolgsstory von Mannesmann Mobilfunk wird um ein häßliches Kapitel über mangelnde Datensicherheit und sorglosen Umgang mit Verschlüsselungssystemen erweitert. Es dürfte nur eine Frage der Zeit sein, bis die ersten faulen Karten-Dubletten auftauchen. Und da der Netzbetreiber gar nicht wissen kann, ob eine Zweitkarte im Einsatz ist, werden sich die Fälle mehren, in denen Handybesitzer vor unerklärlich hohen Rechnungen stehen.

D2-Chef Jürgen von Kuczkowski wiegelt ab: "Das Schadensrisiko für den Kunden entspricht dem Risiko beim Diebstahl der Karte samt persönlicher Geheimnummer." Sprich: Der unrechtmäßige Besitzer kann telefonieren - mit geklauter wie mit geklonter Karte.

Die geklaute dürfte allerdings, weil's schneller auffällt, auch schneller gesperrt werden als die geklonte. Potentielle Abnehmer für Kartendoppel gibt es genug: Relativ harmlos sind die Leute, die einfach nur ein bißchen umsonst telefonieren wollen und darauf setzen, daß ihre Gespräche in der Abrechnung nicht weiter auffallen.

Die Aussichten, einen Karten-Klon an den Mann zu bringen, dürften im kriminellen Milieu am besten sein: bei Gangstern nämlich, denen es nicht auf den Spareffekt ankommt, sondern darauf, sich dank der Zweitkarte hinter der Identität des ahnungslosen Originalkartenbesitzers zu verschanzen.

Einsetzbar ist die Karte praktisch weltweit. Die in Deutschland gebräuchlichen Handys arbeiten mit dem sogenannten GSM-Standard. Das steht für Global System for Mobile Communication, Netzbetreiber aus rund 120 Ländern haben sich auf diesen Standard geeinigt.

Die Sicherheitsvorkehrungen sind vom Aufbau her bei allen GSM-Teilnehmern gleich: Um erreichbar zu sein, muß das Handy sich einmal beim Netzbetreiber anmelden. Es schickt also die Meldung "Ich möchte mich einbuchen" ans Netz.

Der Mobilfunkbetreiber prüft nun, ob das Handy überhaupt über eine gültige Karte verfügt oder ob die vielleicht gesperrt ist. Fachleute nennen diesen Vorgang "authentifizieren". Dazu ist im Kartenchip ein geheimer Code gespeichert, der sich auch nicht auslesen läßt. Dieser Code heißt "Ki". Nur wer diesen Code kennt, kann eine Karte exakt nachbauen.

Für jede ausgegebene Karte liegt der entsprechende Ki zudem auf den Rechnern des Betreibers. Damit die geheimen Codes aber nicht hin und her gefunkt werden müssen, haben sich die Kryptologen eine kompliziertere Methode einfallen lassen: Zur Authentifizierung schickt das Netz eine Zufallszahl an das Handy - bei jeder Einbuchung eine andere.

Im Mobiltelefon wird diese Zahl mit Ki verwoben und gemeinsam in vielen Schritten verschlüsselt. Aus dem Ergebnis, so die Idee, sollte sich Ki nicht mehr erkennen lassen. Das Ergebnis wird an D2 zurückgeschickt, wo der Rechner mittlerweile die gleiche Verwürfelung der Zahlen vorgenommen hat (siehe Grafik). Kommt er zu dem gleichen Ergebnis wie das Handy, gilt das Telefon als eindeutig identifiziert. Nun darf telefoniert werden, denn jetzt ist klar, wer die Rechnung zahlt.

Eigentlich eine ziemlich pfiffige Methode: Ein geheimer Code liegt gut verschlossen an zwei Stellen, wird mit einer völlig beliebigen, großen Zahl verknüpft und anschließend durch eine digitale Häckselmaschine gedreht. Mit dem Output kann niemand was anfangen. Die Experten des CCC konnten.

Seit einiger Zeit schwirrt durchs Internet ein Dokument, in dem etwas beschrieben wird, das die kryptische Bezeichnung "A3A8" trägt. Damit läßt sich genau so ein Datenhäcksler rekonstruieren und auf Schwachstellen untersuchen, wie er auf D2-Telefonkarten eingesetzt wird. Dies räumt auch Mannesmann ein.

Wie das geht, haben vorletzte Woche Forscher der kalifornischen Universität in Berkeley im Internet erklärt. Den Beweis, daß diese Methode auch auf D2 anwendbar ist, lieferte jetzt der Chaos Computer Club.

Um eine Karte zu knacken, wird das Handy an einen Rechner angeschlossen. Der gaukelt dem Telefon vor, er sei der Netzbetreiber und die Karte müsse sich nun identifizieren. Anstelle von D2 schickt also der Computer eine Zufallszahl ans Handy. Das passiert sechs- bis siebenmal pro Sekunde. Ein zweiter Rechner übernimmt nun die Auswertung der Ergebnisse.

Die Verschlüsselungsalgorithmen A3 und A8, also die Häckselmaschine, sind den Hackern bekannt. Und sie wissen auch, daß die Maschine ein paar Macken hat. Sie verschlüsselt nicht ordentlich. Manche Chiffrierungsergebnisse lassen Rückschlüsse auf den geheimen Ki zu.

An dieser Schwäche setzen die Hacker den Hebel an. Der Rest ist Bastelkram. "Ein Geheimnis", sagt der Sprecher der Truppe, Andy Müller-Maguhn, "bleibt nur so lange geheim, bis jemand kommt und es verrät."

Professionelle Datendiebe müssen freilich dennoch ein weiteres Hindernis umschiffen: Sie müssen die persönliche Identifikationsnummer (PIN) einer Handykarte kennen. Ohne die PIN verweigert das Handy den Betrieb, wer sie nicht kennt, kann die Karte nicht angreifen.

Ein wirkliches Problem ist das nicht. So bietet es sich etwa an, Handys zu knacken, die in besseren Mietwagen bereitliegen. Die haben keine PIN, oder man bekommt sie bei Übernahme des Wagens ausgehändigt. Auch in vielen Firmen gibt es Abteilungs-Handys, deren PIN frei verfügbar ist.

Der Datendieb braucht die PIN nur einmal. Wenn er die Karte geklont hat, funktioniert das Duplikat auch ohne Geheimnummer - selbst wenn der Originalbesitzer seine PIN täglich wechselt.

Wer Handys verleiht, wird im Falle eines Datendiebstahls Schwierigkeiten haben, im Wust der Rechnungen die falschen Telefonate ausfindig zu machen. Und dann läßt sich immer noch nicht feststellen, wer der Betrüger ist. Klar ist lediglich, mit wem er telefoniert hat.

Und selbst das nützt nichts, wenn der Angerufene ebenfalls einen Kartenklon besitzt. Oder - noch schlimmer - wenn die erschlichenen Anrufe allesamt einer kostenpflichtigen Telefonsexnummer in Übersee galten.

Um an die PIN zu kommen, gibt es noch eine weitere Möglichkeit. Die PIN wird in einem gut verschlossenen Umschlag geliefert. Windige Händler können da aber reinschauen und anschließend den Originalzustand wiederherstellen. Das Handwerkszeug: Skalpell, Fön, Bügeleisen.

Daß die CCC-Leute ausgerechnet eine Karte von Marktführer Mannesmann geklont haben, kann sich die Firma selber zuschreiben. Im D1-Netz der Telekom und bei E-Plus werden die Zahlen etwas professioneller verwirbelt. Wie gut dort die Schlüsselmethoden wirklich sind, wird sich zeigen, wenn die Hackergemeinde nach neuen Aufgaben sucht.

Als sich die Netzbetreiber sich 1988 auf den GSM-Standard einigten, bekam jedes Mitglied - unter strengster Geheimhaltung - Beispielalgorithmen ins Haus geliefert. Das waren die berüchtigten A3 und A8. Jedem Mobilfunkbetreiber stand es aber frei, sich einen eigenen Schutz zu schnitzen. Die D2-Karte ließ sich freilich mit einem nur leicht bearbeiteten A3/A8 knacken.

Außerdem hat die Fehlerkontrolle bei D2 Schwächen. Das System nahm im CCC-Versuch klaglos hin, daß sich zwei identische Karten einbuchen wollten. Nur wenn beide gleichzeitig telefonieren wollen, kommt es zu Fehlermeldungen.

CCC-Sprecher Müller-Maguhn sieht noch eine ganz andere Sicherheitslücke. Die GSM-Standards sehen eine Schlüssellänge von 64 Bit vor. Genutzt werden aber nur 54 Bit. Diese "nur schwache Verschlüsselung" (Maguhn) führen Hacker auf die Begehrlichkeiten von Geheimdiensten zurück, die mit Einführung von GSM plötzlich nicht mehr mitlauschen konnten.

Für die Schnüffler macht ein schlapper Schlüssel durchaus Sinn: A3 und A8 wirken nämlich auch beim Chiffrieren der Sprache mit. Sollte die merkwürdige Schwäche des Schlüssels tatsächlich auf Drängen der Geheimdienste eingebaut sein, so könnten die nun für ihre Neugierde bestraft werden. Mittlerweile nutzen Strafverfolger allerorten die Positionsmeldungen der Handys, um Verdächtige zu orten oder um Bewegungsprofile zu erstellen.

Wenn auf einmal aber fünf Handys mit derselben Kennung im Netz sind, ist es damit vorbei.


Mehr zum Thema:

Unsicherheit durch Geheimniskrämerei

Völker, empfangt die Signale


DER SPIEGEL 18/1998 - Vervielfältigung nur mit Genehmigung des SPIEGEL-Verlags


zurück ...

 


[ Home | Der Spiegel | Netzwelt | Reuters | Sport | Kultur extra | Spiegel TV ]
[ Spiegel special | Service/Suchen | Yahoo! | Shop | Forum | E-Mail ]