Der Chaos Computer Club hat aufgezeigt, dass der Code der GSM-Verschlüsselung mit relativ einfachen Mitteln geknackt werden kann. Auf die Schwachstelle wurde vom BSI auch schon im Herbst 2009 aufmerksam gemacht. In einem Sicherheitshinweis, mit dem Namen „Sicherheit von Mobiltelefonen nach GSM-Standard“, zeigt das BSI folgende Bewertung auf:
„Das BSI hält handelsübliche GSM-Mobiltelefone für nicht hinreichend manipulationssicher. Das BSI betrachtet die GSM-Luftschnittstelle als nicht hinreichend abhörsicher, lokale Funkschnittstellen bieten vielfältige Möglichkeiten für Angriffe.“
Hintergrund
Zwischen dem Handy und der Basisstation im GSM-Netz wird heute bei der Verschlüsselung über den Luftkanal noch der A5/1 Verschlüsselungsalgorithmus verwendet. Dieser Algorithmus ist über 20 Jahre alt und gilt schon lange als nicht mehr sicher. Der Chaos Computer Club hat aufgezeigt, dass durch die immer schnelleren Computer und die Nutzung von schnellen Graphikprozessoren, die heutzutage in den meisten Computern zur Verfügung stehen, sowie die Optimierung der Knack-Algorithmen, das Knacken des A5/1 Verschlüsselungsalgorithmus nun mit einfachen Mitteln möglich ist. Damit steigt die Wahrscheinlichkeit, dass ein solcher Angriff tatsächlich auch durchgeführt wird. Diese Schwachstelle gilt zurzeit aber nur für die Telefonie und das Versenden von SMS, welche über den GSM-Standard durchgeführt werden. Die Datenkommunikation über GPRS und UMTS wird mit dem neuen und nach heutiger Sicht sicheren A5/3 Verschlüsselungsalgorithmus gesichert.
Was kann der Nutzer tun?
Datenkommunikation
Bei der Datenkommunikation von kritischen Webanwendungen, z.B. beim Online-Banking oder Online-Shopping, wird in der Regel zusätzlich zwischen dem Handy und der Webanwendung eine SSL/TLS-Verschlüsselung genutzt, was die verschlüsselte Kommunikation zwischen dem Handy und der Webanwendung zusätzlich sicherstellt.
Ob eine Webseite eine solche SSL/TLS-Verschlüsselung verwendet, kann man an zwei Merkmalen erkennen: In der Adresszeile des Browsers beginnt die Webadresse normalerweise mit „http://“. Werden die Daten verschlüsselt übertragen, steht dort „https://“. Das kleine „s“ zeigt die sichere Übertragung der Daten an. Zusätzlich erscheint im Browser in der rechten unteren Ecke oder ebenfalls in der Adresszeile ein Schloss-Symbol, das ebenfalls die sichere Verbindung signalisiert.
Telefonie über GSM
In einem Telefonat über GSM sollten Sie entscheiden, ob das, was Sie beim telefonieren sagen, wichtig ist oder nicht. Wenn Sie wichtige oder vertrauenswürdige Dinge beim Telefonieren mit dem Handy austauschen müssen, dann sollten Sie sich ein Krypto-Handy anschaffen oder Ihr Handy mit Verschlüsslungssoftware erweitern.
