Es war offenbar einfach für den amerikanischen Geheimdienst NSA und andere, Bundeskanzlerin Angela Merkel abzuhören. Wie einfach, das erläutert und zeigt der IT-Experte Marco Di Filippo, Geschäftsführer der Compass Security Deutschland GmbH.
Die Welt: Herr Di Filippo, um jemanden über die Luftschnittstelle abzuhören, muss man erst einmal wissen, wo derjenige sich gerade aufhält. Wie findet man das heraus?
Marco Di Filippo: Wer bei Telefonaten mithören will, muss den Teilnehmer orten. Deshalb muss ich erst einmal wissen, wo mein Opfer ist, genauer: über welche Funkzelle sein Gerät kommuniziert. Digitale Handykommunikation über den Mobilfunkstandard GSM läuft unter anderem mithilfe eines Base Station Controllers, genannt BSC. Dieser BSC verteilt die Handygespräche an die einzelnen Basisstationen, also Funkzellen. Die Kapazität einer Funkzelle kann von vier bis hin zu 108 gleichzeitigen Telefonaten pro Kanal betragen. Daher gibt es in großen Städten sehr viel mehr Funkzellen als etwa auf dem Land. Weiß ich erst einmal, über welche Funkzelle das Handy kommuniziert, weiß ich unter günstigen Umständen, wie es in Städten der Fall ist, auf 25 Meter genau, wo sich der Teilnehmer aufhält.
Die Welt: Muss man dazu in der Nähe sein?
Di Filippo: Nein, ich kann einen Teilnehmer mit seiner Zuordnung im Home Location Register, dem HLR, von jedem Ort aus weltweit orten – ohne dass ich dafür aktiv in seine Kommunikation oder Datenübertragung eingreifen muss. Wenn das Handy empfangsbereit ist, kann die Position genau bestimmt werden. Dafür braucht man aber die Telefonnummer der Teilnehmers.
Die Welt: Wie bekommt man die Rufnummer, wenn sie doch geheim ist?
Di Filippo: Das geht relativ einfach über ein Bewegungsprofil: Wenn ich weiß, wo eine Person wohnt und vielleicht noch, wo sie arbeitet, dann schaue ich einfach mal, welche Nummer sich an diesen beiden Orten wann in die Funkzellen einloggt. Ich greife also weitgefächert die Daten der Funkzellen ab und filtere dann die übereinstimmenden Nummern heraus. Am besten warte ich, bis sich die Person im ländlichen Bereich aufhält, dann gibt es weniger Daten. Angreifer machen es sich immer einfach.
Die Welt: Wie kann es sein, dass Sie mal eben weitgefächert an Daten der Funkzellen herankommen?
Di Filippo: Ganz einfach: indem ich mich als Provider, also als Telefongesellschaft ausgebe und das System, mit dem das geschieht, das sogenannte SS7 – Signaling System 7 – nutzte.
Die Welt: In Deutschland gibt es vier große Mobilnetzbetreiber, die Provider. Da kann ich doch nicht einfach kommen und mich als Provider ausgeben.
Di Filippo: Richtig. In Deutschland ist das schwierig und sehr teuer, da der Zugang reguliert ist. Allein ein Testlauf kostet ungefähr 50.000 Euro. Aber ich sagte ja, dass ich einen Menschen weltweit orten kann mit dieser Technik. Ich kann mich also in einem anderen Land irgendwo auf der Welt registrieren, dort angeben, ich würde als Provider auch in Deutschland einsteigen wollen, und so das SS7 nutzen. Das kostet mich umgerechnet fünf Euro Gebühr im Monat, und ich kann diese Infrastruktur nutzen.
Die Welt: Mehr ist nicht nötig?
Di Filippo: Na ja, ich muss alle drei Monate schriftlich dem zuständigen Betreiber erklären, warum bis dato die großen Umsätze ausbleiben. (lächelt)
Die Welt: Gibt es da keine rechtliche Regelung?
Di Filippo: Wie soll das funktionieren? Wenn das so aufwendig wäre, gäbe es keine internationale Gesprächsvermittlung mehr. Nur wenn die heimischen Provider ausländische Anrufe vermitteln und die entsprechenden Daten übertragen, ist es überhaupt möglich, eine Kommunikation aufzubauen. Als Provider nutze ich also nur den Dienst zur Vermittlung. Ganz findige Leute sind sogar auf die Idee gekommen, sich als Provider für entlegene Regionen zu registrieren. Sie betreiben dort ein Netz, vermitteln wenige Gespräche pro Jahr und haben so die Möglichkeit, Geräte weltweit zu orten. Und das bieten sie dann als Dienstleistung an.
Die Welt: Sie haben also meine Rufnummer und meine Position. An welche Informationen können Sie dann noch kommen?
Di Filippo: Mit einem sogenannten IMSI-Catcher werden die auf der Mobilfunk-Karte gespeicherte International Mobile Subscriber Identity (IMSI) ausgelesen und der Standort eines Mobiltelefons innerhalb einer Funkzelle eingegrenzt. Dann kann ich Telefonate mithören.
Die Welt: Das ist illegal.
Di Filippo: Ja, aber technisch leicht möglich. Das Gerät arbeitet gegenüber dem Handy wie eine Funkzelle (Basisstation) und gegenüber dem Netzwerk wie ein Teilnehmer; alle Handys in einem gewissen Umkreis buchen sich bei dieser Funkzelle mit dem stärksten Signal, also dem IMSI-Catcher, ein. Letzterer simuliert also ein Mobilfunknetzwerk.
Die Welt: Dann kann ich mich also nur schützen, indem immer wieder neue Sim-Karten ins Handy kommen.
Di Filippo: Leider nein. Denn ich erhalte, wenn ich Sie einmal „gefangen“ habe, nicht nur ihre Handynummer, sondern auch die Gerätenummer (IMEI).
Die Welt: Dann bringt es gar nichts, wenn ich meine Sim-Karte auswechsele?
Di Filippo: Richtig. Wenn Sie auf Nummer sicher gehen wollen, müssen Sie ständig Gerät und Sim-Karte auswechseln.
Die Welt: Schützt mich ein Krypto-Handy davor, gefunden zu werden?
Di Filippo: Nein, denn auch dann muss die IMSI mit der Funkzelle kommunizieren. Sie ist Bestandteil jeder Kommunikation und wird immer mitgesendet.
Die Welt: Was hilft denn, um nicht geortet zu werden? Das Handy ausschalten?
Di Filippo: Auch das ist keine wirkliche Lösung. Die letzte Position wird immer im HLR gespeichert. Wenn Sie wirklich nicht wollen, dass man nachvollziehen kann, wo Sie gerade sind, sollten Sie das Handy schon rund 100 Kilometer vor dem eigentlichen Zielort ausschalten.
Die Welt: Die Bundeskanzlerin hat bekanntlich mit einem nicht verschlüsselten Handy kommuniziert. Dann hätte also jeder Terrorist, der ein bisschen Technikverstand hat, sie ständig orten können.
Di Filippo: Die Möglichkeit der Ortung ist unabhängig davon, ob man nun Verschlüsselung nutzt oder nicht. Man kann Bewegungsprofile von jedem Mobilfunkteilnehmer anlegen. Man weiß so, wie sich jemand verhält. Und dann kann man den Schalter umlegen.
Die Welt: Was meinen Sie damit, „den Schalter umlegen“?
Di Filippo: Zum Beispiel eine Bombe zu zünden. Wörtlich. Es geht um Terrorismus. Bei Anschlägen spielen der richtige Zeitpunkt und der richtige Ort eine Rolle. Wen will ich treffen? Wer befindet sich dort? Wenn ich also die IMEI eines Gerätes kenne, von dem ich weiß, dass meine Zielperson es bei sich trägt, oder die IMSI des Teilnehmers, dann kann ich dafür sorgen, dass die Bombe automatisch genau dann explodiert, wenn sich die Person an einem bestimmten Ort in die Basisstation einbucht.
Die Welt: Aber es muss doch eine Möglichkeit geben, sich gegen das Orten zu schützen.
Di Filippo: Ja, das ist beispielsweise möglich mit einem sogenannten GSM/UMTS-Proxy. Der steht an einem festen Ort und vermittelt die Gespräche ortsunabhängig auf mein Handy weiter. Das bedeutet, dass immer nur dieser feste Standort vom Proxy gefunden wird, nicht aber das tatsächliche Gerät.
Die Welt: Selbst wenn mich jemand geortet hat, kann er mich ja noch nicht abhören.
Di Filippo: Stimmt, aber das Orten ist die Voraussetzung zum Abhören. Dazu muss man sich in der Nähe der Funkzelle befinden, die das Gerät nutzt. In der Stadt sind rund drei Kilometer Entfernung zum Abgehörten realistisch. Voraussetzung ist also: erst orten, dann sich in die physische Nähe begeben.
Marco Di Filippo holt ein silbergraues Motorola-Gerät älteren Datums aus der Tasche, schließt es mit einem Kabel an seinen Laptop an. 25 Euro koste das Handy, nur würden die nicht mehr hergestellt. Technisch greift man beim Abhören also nicht das Handy des Opfers an, sondern liest die Daten der Luftschnittstelle mit, über die es kommuniziert. Wir gehen auf den Flur, während wir mit ihm telefonieren. Gleichzeitig liest der Computer die Daten mit und wandelt sie in Sprachdaten um.
Die Welt: Konnten Sie mich so einfach abhören, weil ich unverschlüsselt kommuniziere?
Di Filippo: Generell ist kein Handygespräch in Deutschland unverschlüsselt. In Deutschland werden GSM-Daten nach dem A5/1-Standard verschlüsselt. Aber der stammt aus den 80er-Jahren, er ist mittlerweile dechiffrierbar. Das ist immer das Problem: Je länger es eine Technologie gibt, desto leichter ist sie angreifbar.
Die Welt: Und wie ist es mit den verschlüsselten Krypto-Handys?
Di Filippo: Die lassen sich im Moment noch nicht abhören. Aber damit kann ich Teilnehmer orten, ich kann auch schon andere Aktionen vornehmen, zum Beispiel gespoofte, also gefälschte unverschlüsselte SMS senden.
Die Welt: Und wie geht das dann?
Di Filippo: In nutze die Absenderkennung des Teilnehmers und verschicke damit SMS. Unangenehm wird es dann, wenn diese SMS Geld kosten, wie sie beispielsweise bei Abstimmungen für Castingshows genutzt werden.
Die Welt: Also bieten Krypto-Handys nur Schutz vor dem Abhören?
Di Filippo: Richtig. Das Problem bei der Verschlüsselungstechnik ist allerdings die Schnelllebigkeit der Geräte: Die Hersteller entwickeln Hard- und Software für ein bestimmtes Modell, und wenn sie damit fertig sind, ist das schon wieder veraltet. Außerdem ist komplett verschlüsselte Kommunikation schwer realisierbar: Man müsste das gesamte Umfeld des Teilnehmers mit Krypto-Handys ausstatten.
Die Welt: Was wäre denn Ihr Vorschlag dafür, die Regierungskommunikation sicher zu machen?
Di Filippo: Eigentlich müsste das Mobilfunknetz komplett neu entworfen werden. Aber das würde große Einschränkungen mit sich bringen. Man kann ein Netz designen, das wirklich sicher ist. Nur: Dann können Sie nur noch innerhalb dieses Netzes kommunizieren, nicht mehr ins Festnetz und gar nicht, wenn Sie im Ausland sind. Wie viele Kunden hätte ich damit?
Marco Di Filippo greift erneut in seine Tasche und packt ein schwarzes Gerät aus, etwa so groß wie ein Handy. Er verbindet es über ein Kabel mit seinem Laptop und dreht an der Seite eine schwarze Antenne hinein, nicht größer als ein Kugelschreiber. Für 99 US-Dollar bekommt man den Kasten, der Wi-Fi-Pineapple heißt und den Di Filippo seine „Ananas“ nennt. Mit dieser schwarzen Ananas und seinem Laptop kann Marco Di Filippo den WLAN-Verkehr eines Smartphones mitlesen. Er stöpselt das Kabel ein, wenige Klicks, und keine zwei Minuten später zeigt er uns auf dem Bildschirm die Liste der Handys, Smartphone und Tablets in der Umgebung in unserem Verlag an, die das WLAN aktiviert haben.
Die Welt: Wie gehen Sie jetzt technisch vor?
Di Filippo: Das ist ein sogenannter Man-in-the-Middle-Angriff. Das Telefon sucht automatisch nach einem Netz. Mein Laptop zeigt mir durch sogenannte Probe Requests alle WLAN-Netze an, die das Telefon jemals genutzt hat. Schon daraus kann ich schließen, wo sich die Person aufgehalten hat, kann Rückschlüsse auf die Infrastruktur zu Hause ziehen und so weiter. Ich gaukle den Endgeräten meiner Zielperson nun vor, das gesuchte WLAN zu sein, Sie surfen über meine Verbindung, und ich lese alles mit.
Es folgt der Test: Ein Kollege aktiviert das WLAN an seinem Handy, surft auf unterschiedlichen Seiten. Di Filippo sitzt ihm gegenüber und liest von seinem Computerbildschirm in Echtzeit ab, welche Seiten das Handy aufruft, welche Suchbegriffe eingegeben werden. Und nicht nur das: Er kann alle Web-Seiten rückverfolgen, die das Gerät jemals aufgerufen hat.
Die Welt: Mithören und Mitlesen – das sind passive Aktionen. Was können Sie aktiv tun?
Di Filippo: Ich kann beispielsweise Schadcode auf ungeschützte Geräte schleusen. Das kann ein Spionageprogramm sein – ich kann das Handy auch infizieren, sodass ich es als Wanze nutzen kann.
Die Welt: Muss ich dafür als Besitzer des Geräts einen Link anklicken oder etwas herunterladen?
Di Filippo: Nein. Handys surfen automatisch bestimmte Seiten an, sobald sie an sind – beispielsweise eine bestimmte Seite um zu prüfen, ob es Zugang zum Internet hat. Das kann man meist nicht deaktivieren. Nun kann ich so tun, als sei ich diese automatisch aufgerufene Seite, und meine Daten über diesen Weg auf das Handy aufspielen.
Die Welt: Das heißt, ich muss gar nicht besonders unvorsichtig sein, um mir Trojaner einzufangen?
Di Filippo: Richtig. Beispielswiese suggeriert man dem User mit einer App einen „sinnvollen“ Nutzen. Viele Apps wurden entwickelt, um im Hintergrund die Kalenderdaten und Kontakte mitzulesen.
Die Welt: Das heißt, mit dem notwendigen technischen Verständnis bekommen Sie alles.
Di Filippo: Die Technik ist nicht das Entscheidende. Wenn ich ein Passwort von Ihnen haben will und ich den Usernamen kenne, dann gebe ich eben das Passwort mehrmals falsch ein, schicke Ihnen eine gefälschte E-Mail, dass Ihr Konto gesperrt ist. Und dann fange ich das neue Kennwort ab, wenn Sie es eingeben. Das Entscheidende ist die Fantasie. Irgendwie kriege ich Sie immer.
Die Welt: Was empfehlen Sie dann?
Di Filippo: Jeder sollte wissen, was mit diesen Geräten möglich ist, um sich dann im Rahmen der Möglichkeiten zu schulen. Bei einem Autounfall fragt man ja auch nicht als Erstes, was an der Technik verkehrt war, sondern was der Fahrer falsch gemacht hat. Wir verlassen derzeit die Kommunikationshygiene: Früher hatte man bei der Arbeit den Festnetzanschluss und abends nach Feierabend die Privatnummer. Heute vermischt sich das alles.
