Sicherheitslücken in Mobilfunknetzen Wo schon bei LTE Gefahren drohen – und was bei 5G an neuen Herausforderungen auf die Netzbetreiber zukommt
Auch das moderne LTE-Netz birgt jede Menge Sicherheitslücken, die bislang noch nicht ausgemerzt sind. Beim 5GStandard drohen neben der Übernahme von Altlasten ganz neue Risiken.
Dass Handygespräche von Dritten abgehört und SMS mitgelesen werden, ist der breiten Öffentlichkeit spätestens seit dem NSA-Abhörskandal um Kanzlerin Merkels Mobiltelefon bekannt. Doch dass der derzeit fortschrittlichste Mobilfunkstandard LTE enorme Sicherheitslücken aufweist, lässt einen schon mal trocken schlucken. Schließlich haben die schnellen LTE-Netze den mobilen Alltag revolutioniert: Viele haben ihr Smartphone unterwegs nahezu im Dauereinsatz – und jede Menge sensibler Daten darin gelagert.
Zehn neue Sicherheitslücken in LTE
Sicherheitsforscher von den US-Universitäten Purdue und Iowa haben zahlreiche Schwachstellen in den LTE-Netzen mehrerer amerikanischer Netzbetreiber entdeckt, die es Angreifern ermöglichen, Nutzer zu tracken, Geräte stillzulegen oder Nachrichten zu fälschen. Dazu haben sie das 4G-Protokoll mit einer Software namens „LTEInspector“ auf mögliche Lecks überprüft und dabei zehn neue Sicherheitslücken gefunden sowie neun bereits bekannte dokumentiert. Anhand von unterschiedlichen Angriffsszenarien konnten die Wissenschaftler unter realen Bedingungen nachweisen, dass der Zugriff auf fremde Handys möglich ist. Dabei verhinderten die Sicherheitsforscher, dass sich das Handy einer Testperson in das reguläre Netzwerk einbuchte und brachten es dazu, sich stattdessen mit einer eigenen Endstelle zu verbinden. Über so
einen gefälschten Zugang lässt sich das Gerät jedes beliebigen Nutzers verfolgen und ausspähen oder mit gefälschten Warnhinweisen bespielen. Kriminelle können ihren eigenen Standort fälschen, um sich etwa bei einer Strafverfolgung, bei der Handydaten ausgewertet werden, ein falsches Alibi zu verschaffen. Auch gefakte SMS-Meldungen lassen sich über eine gehackte Mobilfunknummer versenden, um Spams zu verbreiten oder Chaos zu stiften. So hat erst Anfang Januar eine falsche SMSWarnung vor einem Raketenangriff auf Hawai Panik ausgelöst. Des Weiteren lässt sich mit gefälschten Kontrollbefehlen der Akku des getrackten Smartphones schneller leeren: Dazu wird das Gerät immer wieder neu ins Netz eingebucht, was viel Strom frisst. So lässt sich aus der Ferne eine Person daran hindern, im Notfall Hilfe anzufordern oder Kontakt mit anderen aufzunehmen.
Lücken schließen Patches nicht
Laut den US-Forschern sind die gravierenden Schwachstellen allesamt an drei wichtigen Stellen des LTEProtokolls zu finden: Sie betreffen die Anmeldung oder Abmeldung eines Gerätes am Netzwerk (Attach und Detach) sowie den Aufbau eines Anrufes, um die Konfiguration zum Gerät zu senden oder Notfall-Meldungen zu verschicken (Paging). Das Problem dabei: Die Lücken stecken tief im Protokoll und lassen sich nicht im Nachhinein durch Bugfixes beheben. Und Änderungen im Protokoll kann man auch nicht einfach einspielen, da sonst Millionen Geräte nicht mehr mit dem LTE-Netz kompatibel wären.
Basisnetz von Grund auf unsicher
Die Sicherheitsbugs haben eine lange Historie: Die grundlegenden Protokolle für die Signalisierungsnetze, die dazu dienen, alle Serviceinformationen innerhalb eines Telefonnetzwerkes zu übertragen, wurden 1981 weltweit als Standard verabschiedet. Damals gab es nur eine sehr überschaubare Anzahl staatlicher Telekommunikationsfirmen. Das sogenannte Signalisierungssystem Nummer 7 (SS7), über das die netz- und länderübergreifende Kommunikation sowie Roaming gesteuert wird, wurde von Grund auf nicht auf Sicherheit gebaut. Man ging davon aus, dass ohnehin nur vertrauenswürdige Netzbetreiber Zugriff auf das SS7-Netzwerk haben. „Früher konnten die Betreiber mit eigenen Protokollen und vom Internet abgeschirmten Netzen die meisten Angreifer fernhalten“, erklärt Hakan Ekmen, CEO von connectNetztestpartner P3 Communications. Doch die Bedrohungslage hat sich schon bei 2G- und 3G-Netzen deutlich verschärft: Mittlerweile haben unzählige Betreiber Zugriff auf das alte Roaming-Protokoll. Praktisch jeder kann sich gegen Geld einen SS7Zugang organisieren, auch mit einem Zugang im Ausland lassen sich etwa deutsche Handys orten. Die Verschlüsselungsdaten, die TK-Betreiber