Fotostrecke

Der 1000-Euro-Hack: Wie man Mobilfunkgespräche mithört

Foto: Uli Ries

Billig-Abhörtechnik für Handys Lauschangriff für jedermann

Nur wer Technik für 100.000 Euro kauft, kann fremde Handys abhören und mitschneiden - glaubten Experten bisher. Doch jetzt kommt die Lauschoffensive zum Schleuderpreis: Ein Hacker führt vor, dass es auch 1000 Euro und ein bisschen Gratis-Software tun.

Las Vegas/Hamburg - Diese Demonstration gehörte zu den brisantesten Events der weltweit beachteten Hacker-Konferenz Defcon: Das Abfangen und Mithören von Mobiltelefonaten mit Hilfe einfachen, preiswerten Equipments. Das ist so illegal, dass der britische Hacker Chris Paget darauf verzichtete, sein Können quasi am lebenden Objekt vorführen. In Deutschland beispielsweise würden ihm dafür im schlimmsten Fall drei Jahre Knast drohen. Auch in Vegas verzichtete Paget darum darauf, seinen Mix aus einer frei verfügbaren, etwas über 1000 Euro teuren Hardware  und einer speziell zu diesem Zweck angepassten Linux-Variante  in einem echten Mobilfunknetz zu demonstrieren.

Stattdessen wählt er für seine Demonstration während der in Las Vegas stattfindenden Hackerkonferenz Funkfrequenzen, die in den USA nicht von Netzbetreibern genutzt werden. Handelsübliche Mobiltelefone verbinden sich dennoch mit dem Aufbau - zwei Minuten nach Start der Demonstration waren es bereits über 30 Stück.

Hackers

"Insbesondere eure iPhones scheinen mein Funknetz zu lieben", ruft der Hacker dem Publikum zu. Sämtliche Kommunikation der gekaperten Smartphones wandert von nun an durch die Ausrüstung des . Prinzipiell ließen sich die Telefonate vor der Weiterleitung fein säuberlich mitschneiden. Weder das belauschte Opfer, noch der Partner am anderen Ende würden etwas vom Mitschnitt bemerken.

Dass Pagets Aufbau praxistauglich ist, bestätigt ausgerechnet die für die weltweit verwendeten Mobilfunk-Standards verantwortliche GSM Association (GSMA). Gegenüber SPIEGEL ONLINE erklärt eine Sprecherin: "Der Einsatz einer gefälschten Basisstation ist ein möglicher Weg, um Telefonate zu belauschen."

Das Auftauchen des Discount-IMSI-Catchers  ist ein Alptraum für die Netzbetreiber. Denn bislang vermochten lediglich Strafverfolger und finanziell potente Industriespione sich die mindestens 100.000 Euro und mehr kostenden Gerätschaften zu beschaffen. Die einen legal, die anderen auf dem Schwarzmarkt.

Auch verschlüsseltes GSM hält Angreifer nicht mehr ab

Jetzt kann jeder technisch halbwegs versierte Kleinkriminelle auf die Pirsch nach spannenden Handytelefonaten gehen. Zwar verweist die GSMA auf eine ganze Reihe von technischen Vorkehrungen, die einen solchen Angriff eigentlich unmöglich machen sollen. Diese Mechanismen greifen jedoch nur, wenn sich Mobiltelefon und Funknetz mit Hilfe des modernen 3G-Standards, hierzulande besser bekannt als UMTS, verständigen.

Mobilfunk

Wie Paget im Gespräch mit SPIEGEL ONLINE erläutert, hebelt er den 3G-Schutz jedoch spielend leicht aus: Seine Basisstation gaukelt dem Mobiltelefon lediglich die Fähigkeit zu unverschlüsselten GSM-Verbindungen vor. GSM ist der kleinste gemeinsame Nenner aller Mobiltelefone und heutiger Funknetze und lässt sich auch standardkonform ohne Codierung betreiben. Aber auch herkömmliches, verschlüsseltes GSM hält Angreifer inzwischen nicht mehr ab: Der deutsche -Experte Karsten Nohl kann auch Mitschnitte von verschlüsselten Gesprächen knacken. Laut GSMA können Mobiltelefone prinzipiell durch eine Warnung im Display auf die fehlende Codierung hinweisen.

Keiner der von SPIEGEL ONLINE hierzu befragten Handyhersteller konnte oder wollte die Existenz einer solchen Warnfunktion jedoch bestätigen. Weder Platzhirsch Nokia noch Mitbewerber Motorola oder Research in Motion, Hersteller des bei Geschäftskunden beliebten Blackberrys, förderten Brauchbares zu Tage. Geschlossen ratlos zeigte man sich auch auf Seiten der Netzbetreiber. T-Mobile hüllt sich trotz diverser Anfragen in Schweigen, O2 und Vodafone verwiesen immerhin noch auf die GSMA. Chris Paget vermutet, dass den in jedem Telefon steckenden SIM-Karten die Fähigkeit zur Anzeige der Meldung genommen wurde - damit es in Ländern wie Indien, in denen die Codierung untersagt ist, nicht zu ständig neuen Warnmeldungen kommt.

Gezielte Attacken sind nur schwer möglich

Pagets Attacke ist zum Glück für Netzbetreiber und deren Kunden nicht allein der rechtlichen Konsequenzen wegen in der Praxis nur eingeschränkt umsetzbar: Der Lauscher muss sein Equipment unbedingt in die unmittelbare Nähe seiner Opfer bringen. Halbwegs unauffällige Antennen lassen die Basisstation des Lauschers einen Kreis mit einem Radius von 20 Metern so mit Funksignalen ausleuchten, dass sich alle in der Nähe befindlichen Handys automatisch mit ihr verbinden. Denn die Telefone bauen stets Kontakt zur Basis mit dem stärksten Signal auf und nicht mit der, die die höchste Übertragungsrate verspricht. Letztere wäre in jedem Fall die von den gekaperten Handys verschmähte UMTS-Station des Netzbetreibers.

Außerdem kann die Hacker-Hardware jeweils nur maximal sieben Telefonate gleichzeitig abfangen und weiterleiten. Für sieben weitere wäre ein zweiter Aufbau notwendig. Außerdem bleibt es dem Zufall überlassen, welches Opfer dem Lauscher ins Netz geht. Gezielte Attacken sind somit also nur schwer möglich. Leer geht ein Angreifer auch aus, wenn sich sein Opfer bewegt und so in den Bereich einer anderen, legitimen Station kommt.

Einen wirksamen, weitreichenden Schutz gegen die Attacke gibt es bislang jedoch nicht - und relevant ist sie allemal: Naheliegende Beispiele für Anwendungen wären das Belauschen von Hotelzimmern aus Nachbarräumen heraus, kostengünstige Industriespionage aus geparkten Fahrzeugen bis hin zu einer alptraumhaften Verschärfung des Stalking-Problems. Von Sittentätern über Kleinkriminelle bis zu leicht außerhalb der Legalität operierenden Privatdetektiven könnten sich etliche Zielgruppen für die Technik interessieren. Ein radikaler Wechsel zu UMTS/3G, der das GSM-Problem per Abschaltung lösen würde, kommt für die Netzbetreiber nicht in Frage. Zu groß ist ihre Furcht, dass über Nacht Millionen von Handy-Kunden ohne Empfang dastehen.

Mobiltelefonieren

Abhilfe versprechen einzig Handys mit eingebauten Verschlüsselungsmechanismen. Solche bei hochrangigen Politikern und Wirtschaftsbossen beliebten "Merkel-Phones" sind jedoch teuer und sichern zudem nur, wenn beide Kommunikationspartner in ein Krypto-Handy sprechen. Das Gleiche gilt für Nachrüstsätze, wie sie für manche Nokia- und Blackberry-Modelle angeboten werden. Besitzer eines Android-Smartphones können sich kostenlos behelfen: Die Gratis-Software RedPhone  verschlüsselt Telefonate unknackbar, wenn auch sie von beiden Gesprächspartner verwendet wird. Genau wie die GSM-Lausch- und Knackattacken entstammt auch RedPhone der Hackergemeinde - der offensichtlich daran gelegen ist, dass endlich sicher wird.