Das niederländische Unternehmen zeigte sich beunruhigt über die Nachricht, die Geheimdienste NSA und GCHQ hätten bei ihm geheime Codes gestohlen. Doch nach internen Untersuchungen gibt Gemalto-Chef Olivier Piou Teil-Entwarnung.

Stuttgart/Paris - Den Geheimdiensten NSA und GCHQ ist es nach Angaben des Sim-Karten-Herstellers Gemalto nicht gelungen, bei ihm Verschlüsselungscodes für den Betrieb von Mobiltelefonen zu stehlen. Das hatten Snowden-Papiere nahegelegt, die vergangene Woche von der Website „The Intercept“ veröffentlicht worden waren. Allerdings schließt Gemalto grundsätzlich nicht aus, dass Sim-Schlüssel an anderen Stellen entwendet wurden.

 

Gemalto hatte sich nach dem „Intercept“-Bericht sehr besorgt gezeigt und eine Untersuchung eingeleitet. Die Prüfung habe ergeben, dass es höchstwahrscheinlich im Jahr 2010 tatsächlich eine Cyberattacke der Geheimdienste gegeben habe, sagte Gemalto-Chef Olivier Piou am Mittwoch in Paris. Bei diesen Angriffen sei allerdings nur in das Büro-Netz von Gemalto eingebrochen worden, „und sie hätten nicht zu einem massiven Diebstahl von Sim-Schlüsseln führen können“. In der Sim-Infrastruktur sowie den abgetrennten Bereichen, in denen Daten für Bankkarten, elektronische Dokumente oder Zugangskarten verarbeitet werden, sei kein Eindringen festgestellt worden.

Lesen Sie auch

Mit den Schlüsseln der Sim-Karten könnte man Telefongespräche im weit verbreiteten GSM-Netz belauschen. Die moderneren UMTS- und LTE-Netze hätten einen anderen Verschlüsselungsmechanismus, bei dem das nicht funktioniere, betonte Piou. Allerdings laufen in vielen Fällen Telefongespräche weiter über GSM.

Schlüssel beim Transport abgegriffen?

Zugleich ließ Gemalto die Möglichkeit offen, dass Schlüssel zu den außerhalb der gesicherten Systeme des Konzerns abgegriffen worden sein könnten. Dem Bericht von „The Intercept“ zufolge sollen der US-Abhördienst NSA und sein britischer Partner GCHQ versucht haben, die Codes bei der Übermittlung an Mobilfunk-Kunden abzufangen. Gemalto habe zwar bereits vor 2010 bis auf wenige Ausnahmen standardmäßig einen sicheren Übertragungsweg eingesetzt, hieß es bei dem niederländischen Unternehmen. Bei einigen anderen Anbietern sowie Mobilfunk-Betreibern sei das damals aber noch nicht der Fall gewesen. Grundsätzlich hätten sich die Sicherheitstechniken seitdem aber stark weiterentwickelt, sagte Piou. Das Netzwerk von Gemalto sei wie „eine Mischung aus Zwiebel und Orange“ mit verschiedenen Schichten und isolierten Bereichen aufgebaut.

Mit dem Bericht von „The Intercept“ habe Gemalto bereits bekannte Cyberattacken aus den Jahren 2010 und 2011 einordnen können. Damals seien unter anderem eine französische Website des Konzerns ausgespäht und Attacken auf Computer mehrerer Mitarbeiter festgestellt worden. Auch seien an einen Netzbetreiber E-Mails mit Schadsoftware von angeblichen Gemalto-Adressen verschickt worden. Die Gemalto-Experten sehen dies nun als Teil der Geheimdienstaktion an.

Piou nannte es alarmierend, wenn staatliche Stellen private Unternehmen in dieser Weise attackierten. Die Firma will aber nicht gegen die staatlichen Stellen klagen. „So ärgerlich das auch ist, aber wir werden juristisch nicht dagegen vorgehen“, sagte der Gemalto-Chef. „Das wäre Zeitverschwendung“, würde zudem viel Energie beanspruchen und Geld kosten. Finanzielle Auswirkungen auf sein Unternehmen wollte Piou nicht beziffern. Er verwies aber darauf, dass Produkte nicht betroffen seien. Piou hatte nach dem „Intercept“-Bericht seinen Winterurlaub abgebrochen.

Fehler in den NSA-Unterlagen

Zugleich wies der Firmenchef auf Fehler in den NSA-Unterlagen hin. So seien vier von zwölf genannten Mobilfunk-Betreibern keine Kunden des Unternehmens gewesen. Gemalto habe entgegen den Angaben zu der Zeit auch keine Standorte zur Personalisierung der Karten in Japan, Kolumbien und Italien betrieben.

Für den IT-Sprecher der Piratenfraktion im Schleswig-Holsteinischen Landtag, Uli König, helfen die Beteuerungen von Gemalto nicht weiter. „Sim-Karten sind geschlossene Systeme. Niemand kann nachvollziehen, ob unsere Sim-Karten sicher sind“, sagte er. König forderte „eine überprüfbare Ende-Zu-Ende-Verschlüsselung als Standard im Telefonnetz, damit wir wieder vertraulich telefonieren können“.

Die Deutsche Telekom betonte, dass sie die von Gemalto erworbenen Sim-Karten durch einen eigenen Verschlüsselungsalgorithmus absichere. Es gebe keine Kenntnis darüber, dass dieser zusätzliche Schutzmechanismus betroffen sei. Auch Vodafone erklärte, man setze „als zweiten Schutzwall“ eine eigene Verschlüsselung auch auf Gemalto-Karten ein.