Ältere SIM-Karten, die noch den DES-Verschlüsselungsstandard verwenden, können innerhalb weniger Minuten über das Mobilfunknetz gehackt werden. Betroffen sind rund einer Viertel aller Mobiltelefone. Die Deutsche Telekom behauptet, keine SIM-Karten mit DES-Verschlüsselung mehr im Umlauf zu haben.
Der Kryptographie-Experte Karsten Nohl von der Berliner Sicherheitsfirma Security Research Labs entdeckte einen Weg, wie SIM-Karten gehackt werden können, die mit dem rund vierzig Jahre alten DES-Verschlüsselungsstandard gesichert sind. Betroffen sind nach den Angaben Nohls circa ein Viertel aller SIM-Karten. 700 – 900 Millionen Millionen Handys und Smartphones könnten so Opfer für Hacker-Angriffe werden.
Jeder Netzanbieter kann über das Mobilfunknetz auf seine SIM-Karten zugreifen, um notwendige Software-Updates einzuspielen. Dieses Signal ist mit dem 56-Bit-Schlüssel DES gesichert. Als Nohl und seine Mitarbeiter an eine beliebige Handy-Rufnummer ein Signal mit einem falschen Schlüssel schickten, bekamen sie eine Fehlermeldung, der mit dem privaten Schlüssel der entsprechenden SIM-Karte signiert war. DES arbeitet aber nur mit einer 56-Bit-Verschlüsselung und ist deshalb recht leicht zu hacken. Innerhalb von zwei Minuten hatten Nohl und sein Team den Schlüssel geknackt und erhielten Zugriff auf die SIM-Karte. Die Hacker von Security Labs konnten nicht nur auf die SMS zugreifen und Gespräche abhören, sondern auch ein Duplikat der SIM-Karte erstellen.
Selbst die UNO schlägt Alarm und warnt weltweit Netzbetreiber. SIM-Karten mit DES-Verschlüsselung sollten ausgetauscht werden. Die Deutsche Telekom versichert unterdessen, dass ihre SIM-Karten nicht betroffen seien, da das Unternehmen auch bei älteren SIM-Karten bereits den 3DES-Verschlüsselungsstandard verwendete. Die meisten großen Netzbetreiber aktualisierten außerdem die betroffenen SIM-Karten, so dass die signierte Fehlermeldung nicht mehr verschickt wird.
