bedeckt München 12°

IT-Sicherheit:Sicherheitslücke ermöglichte das Abhören von Gesprächen über 4G

EZB

Mit Blick auf den Main telefoniert es sich gleich viel besser. Aber leider war der Anruf vielleicht nicht abhörsicher.

(Foto: Frank Rumpenhorst/dpa)

Forscher der Ruhr-Universität Bochum konnten nachweisen, dass bestimmte Gespräche über den Mobilfunkstandard LTE mitgehört werden konnten. Dafür waren allerdings Tricks wie im Agenten-Film nötig.

Von Max Muth

Anrufe über das 4G-Netz waren jahrelang nicht so sicher wie gedacht. Wissenschaftler der Ruhr-Universität Bochum haben beim Usenix Security Symposium eine Sicherheitslücke vorgestellt, die dazu führte, dass Gespräche über LTE jahrelang abgehört werden konnten. Angreifer konnten demnach verschlüsselte Gespräche mitschneiden, wenn sie sich in derselben Funkzelle befanden wie ihre Opfer. Die Aufzeichnung konnte unter Umständen auch entschlüsselt werden; die Kommunikationsunternehmen haben die Lücke nach eigenen Angaben inzwischen geschlossen. Über die Entdeckung der Forscher hatte der Spiegel zuerst berichtet.

Die Schwachstelle lag in der Verschlüsselung der Gespräche, wenn diese über 4G stattfanden; eine Technik, die "Voice over LTE" (VoLTE) genannt wird. Der Standard wird seit 2014 weltweit genutzt. Wie groß der VoLTE-Anteil am Gesprächsaufkommen ist, ist jedoch unklar. Telefónica zufolge nutzt rund ein Drittel der O2-Kunden VoLTE.

Wer die Schwachstelle ausnutzen wollte, brauchte ein bisschen Know-how, etwas Technik und ein gewisses schauspielerisches Talent. Um das verschlüsselte Ausgangsgespräch mitzuschneiden, benötigten Angreifer nur ein Gerät, mit dem sie die Basisstation eines Mobilfunkanbieters imitierten. Das ist für rund 500 Euro erhältlich. "Wir tun also so, als seien wir eine Telekom-Basisstation", sagt Thorsten Holz, einer der beteiligten Forscher. Damit sich die Opfer mit ihrer falschen Basisstation verbanden, mussten die Angreifer nur etwas stärker senden als die eigentliche Station, sagt Holz. Dann konnten sie das verschlüsselte Gespräch mitschneiden und es unbemerkt an die echte Basisstation weiterleiten. Aufgrund eines Fehlers bei der Implementierung des VoLTE-Standards konnte das mitgeschnittene Gespräch dann ohne größeren Aufwand decodiert werden.

Angreifer mussten Gesprächsteilnehmer möglichst lange in der Leitung halten

Wenn zwei Personen über VoLTE telefonieren, wird ein Schlüssel erzeugt, um die Unterhaltung zu verschlüsseln. Das Problem: Viele Basisstationen verwendeten den Schlüssel für das nächste Gespräch erneut, wenn es innerhalb von 10 Sekunden stattfand. Um an den Schlüssel zu kommen, mussten Angreifer also lediglich schnell nach dem mitgeschnittenen Telefonat eine der daran beteiligten Personen anrufen.

Dann kam das schauspielerische Talent der Angreifer ins Spiel: Wie viel von dem ursprünglichen Anruf entschlüsselt werden konnte, hing nämlich davon ab, wie lang es dem Angreifer gelang, die Teilnehmer bei dem zweiten Gespräch in der Leitung zu halten. Mit fünf Minuten Telefonat konnten fünf Minuten des Mitschnitts entschlüsselt werden, mit zehn Minuten dann zehn und so weiter.

Da das Problem mit der Konfiguration der Basisstationen zusammenhing und nicht mit dem Standard selbst, ist unklar, wie viele Stationen betroffen waren. Bei einer Stichprobe der Forscher waren es jedoch zwölf von 15, darunter auch Basisstationen in Südkorea. Mittlerweile haben die Hersteller und Mobilfunkanbieter die Software der Basisstationen aktualisiert, um das Problem zu beheben.

© SZ/vd
Winter in England

Standortdaten
:Das sind die Sicherheitstipps der NSA für Handynutzer

Jedes Smartphone ist ein potenzieller Peilsender. Wie lässt sich das Risiko verringern? Der US-Geheimdienst gibt Ratschläge, die nicht nur Spionen helfen.

Von Simon Hurtz

Lesen Sie mehr zum Thema

Zur SZ-Startseite