Sichere Mobiltelefone gelten als zuverlässig, doch sie sind nur eingeschränkt nutzerfreundlich. Doch wer ganz sicher gehen will, hat keine Alternative.

Berlin - In Zeiten der NSA-Überwachungsaffäre gibt es aus der Sicht von Sicherheitsexperten immer weniger Zweifel: die Ende-zu-Ende-Verschlüsselung muss her. Das gilt nicht nur für die Internetkommunikation im Allgemeinen, sondern idealerweise auch für Telefonate. Die Verschlüsselung muss in der Hand der Kommunikationspartner liegen, sie muss also unmittelbar bei ihnen, in ihren Endgeräten geschehen – und nicht auf dem Transportweg, wo die Kommunikationspartner keine Kontrolle mehr darüber haben, wer mithört, mitliest und speichert. Der Haken daran ist: für eine Ende-zu-Ende-Verschlüsselung müssen der Absender oder Anrufer und der Empfänger oder Angerufene über die gleichen Verschlüsselungssysteme verfügen. Ansonsten übertragen die Geräte nur unverständlichen Zeichensalat.

 

Dass die abschnittsweise Verschlüsselung bis zum Provider nicht reicht, zeigt das Beispiel Mobiltelefon. Hier ist in der Regel die sogenannte Luftschnittstelle, also die Übertragung vom Handy zur Basisstation verschlüsselt. Doch das heißt erst mal gar nichts – davor oder danach können die Daten dennoch abgegriffen werden.

Weltweit eingesetzte Standards lassen sich nur schwer ändern

Derzeit gibt es mehrere Algorithmen für die Verschlüsselung, die von A5/0 bis A5/3 durchnummeriert werden – wobei A5/0 einen Datentransport ohne Verschlüsselung bezeichnet. A5/1 steht für die Verschlüsselung von GSM, dem mehr als zwanzig Jahre alten ersten Mobilfunkstandard. „Damals brauchte man etwas Einfaches“, erklärt Jean-Pierre Seifert, Sicherheitsforscher an der Technischen Universität Berlin und den Telekom Innovation Laboratories in Berlin. GSM ist weit verbreitet, aber in die Jahre gekommen. Allerdings lassen sich Standards, die man weltweit einsetzt, nicht so schnell ändern. Das ist ein Problem. Denn die Verschlüsselung A5/1 gilt inzwischen als geknackt.

Und das ist eine ganz besondere Geschichte. Der 1987 entwickelte Algorithmus wurde nämlich geheim gehalten. Als dann Details durchsickerten, rekonstruierten Fachleute das Verfahren und fanden Sicherheitslücken. „Das Equipment, das man dazu braucht, kann sich jeder Student zusammenbauen“, erklärt Seifert. Gebrauchsanweisungen, wie man GSM in Echtzeit abhört, gibt es im Internet.

Wie sichere Verschlüsselungen umgangen werden

Ein weiterer Missbrauch läuft über einen sogenannten IMSI-Catcher: Man baut ein Gerät, dass sich im Mobilnetz als Basisstation ausgibt. Die GSM-Telefone der Umgebung buchen sich dort automatisch ein, der Angreifer hört mit und liest die SMS. Ausgenutzt wird die Schwachstelle, dass sich zwar das Handy gegenüber der Basisstation ausweisen muss, nicht aber umgekehrt. Bei UMTS (der Mobilfunkgeneration 3G) ist das anders. Dort müssen sich beide Partner authentifizieren. Eine gefälschte Basisstation ist nicht mehr möglich. Auch gilt der UMTS-Verschlüsselungsalgorithmus A5/3 als sicher. Doch es gibt Umwege.

Wenn UMTS nicht funktioniert, schaltet ein Mobiltelefon auf Standard GSM zurück – etwa wenn der UMTS-Empfang im Keller einer Hauses schlecht ist. Wer sich auskennt, kann das tief in den Untermenüs des Smartphone unterbinden. „Beim Handy kann man einstellen: nur UMTS, Mischbetrieb oder nur GSM“, sagt Seifert. Das hat Tücken: wählt man „nur UMTS“, die Basisstation kann aber gerade nur GSM bedienen, kommt keine Verbindung zustande.

Wenn viele telefonieren, schaltet der Betreiber aus

Doch auch von der Basisstation kann Ungemacht ausgehen: Sie kann „im Mischbetrieb“ die Mobiltelefone vom sicheren UMTS auf GSM zwingen. Dann ist die Kommunikation wieder knackbar. Bisweilen setzten die Provider sogar noch eins drauf, berichtet Sicherheitsforscher Seifert. Wenn bei Großereignissen wie einem Fußballspiel Hunderte bis Tausende Menschen zeitgleich oder an Silvester die halbe Nation die Übertragungsbandbreite eines Mobilfunkbetreibers bis an die Grenzen ausreizen, schaltet dieser die Verschlüsselung gleich ganz ab, um mehr Telefonate durchstellen zu können.

Auf die Verschlüsselung vom Mobiltelefon zur Basisstation und damit durch den Diensteanbieter ist also kein Verlass. So muss der Nutzer sich selbst um die Ende-zu-Ende-Verschlüsselung kümmern, etwa indem er ein sogenanntes Kryptohandy kauft. Die Preise für solch ein Gerät liegen weit über 1500 Euro. Drei deutsche Hersteller teilen sich den Markt. Die Firma Rohde und Schwarz in München vertreibt ein Bluetooth-Headset, das die Spracheingabe sofort verschlüsselt und über Mobilfunk weitergibt. Der Charme des Gerätes: das Headset läuft mit jedem Smartphone und Laptop. Die Firma SecuSmart in Düsseldorf setzt auf ein Blackberry 10, die Deutsche Telekom mit ihrem Modell Simko 3 auf ein Samsung Galaxy S3.

Ein Kryptohandy verzichtet des Risikos wegen auf Kamera

Auf den Kryptohandys laufen eigene Sicherheitssoftware und Betriebssysteme. Meist ist die Software in zwei voneinander abgeschirmte Bereiche geteilt: einen offenen Bereich mit den gewohnten Apps und einen Hochsicherheitsbereich für sensible Daten und Gespräche. Beim Telekom-Modell, das die Berliner Start-up-Firma Trust2Core mitentwickelt, reicht eine Wischbewegung mit dem Finger, um in den sicheren Bereich zu wechseln.

Doch die Entwickler müssen möglichst viele Angriffsmöglichkeiten ausschließen. So hat das Simko 3 etwa keine Kamera. Die Bedenken hätten sich später bewahrheitet, berichtet Kryptografieexperte Seifert. So hat ein britisches Forscherteam später gezeigt, dass sich theoretisch aus Kamerabild und Mikrofondaten während der PIN-Eingabe auf die Geheimzahl schließen lässt. In einem ähnlichen Fall hatte der Saarbrücker Informatikforscher Michael Backes vor Jahren aus Geräuschen eines Druckers den Text rekonstruiert.

Die Telefonabsicherung schränkt die Bedienungsfreundlichkeit des Nutzers im Alltagsbetrieb ein. Kein Wunder also, dass sich Politiker an den Vorgaben vorbeischummeln – etwa durch ein Zweit- oder Privathandy. So ist es wohl auch im Fall der Kanzlerin das Partei- und nicht das Diensthandy gewesen, das abgehört worden ist.