Um 14.10 Uhr kommt ein Mitarbeiter von Karsten Nohl ins Büro, er hat eine Handy-Karte bei der Telekom gekauft. Nohl, der Chef, zieht das Kärtchen aus der Originalverpackung und steckt es in ein Handy, das bereits bereitliegt, ein Samsung Galaxy S5. Neben ihm sitzt Luca Melette, 31, und starrt auf sein Linux-Notebook, während er mit der rechten Hand eine kleine Antenne im Raum bewegt. Irgendwann murmelt Melette leise: "Ich hab' den Schlüssel."
14.26 Uhr: Das Handy piepst jetzt, es hat eine SMS empfangen. Drei Minuten später liest Melette sie vor. Er hat das Handy allerdings nicht benutzt, er hat es nicht einmal berührt. Der Hacker liest die SMS von seinem Computerbildschirm ab. Er hat die Nachricht abgehört und decodiert. Die Verschlüsselung von UMTS, dem am häufigsten verwendeten Handynetz, das man unter anderem an dem kleinen 3G-Logo am Display erkennt - sie ist nicht mehr sicher.
Bis jetzt galt UMTS als sicher
Was Melette und Nohl Journalisten von WDR und SZ demonstriert haben, funktioniert mit ein wenig mehr Aufwand nicht nur, um SMS abzufangen, sondern auch, um Gespräche mitzuschneiden. Im UMTS-Handynetz, dessen Verschlüsselung für Sprache und Text unter Experten bislang als sehr sicher galt, lässt sich mit der von den beiden Hackern entwickelten Methode theoretisch jeder Nutzer abhören. Unabhängig davon, über welchen Anbieter der Kunde telefoniert. Fazit des Datenschutzexperten Malte Spitz (Grüne), der bei dem Experiment dabei war: "Die Unternehmen sparen bei der Sicherheit ihrer Kunden."
Einen Tag später wiederholen die beiden Hacker den Versuch, dieses Mal ist der Bundestagsabgeordnete Thomas Jarzombek dabei. Der Politiker, der Sprecher für Digitales in der CDU/CSU-Fraktion ist, steht mit seinem Mitarbeiter vor einem Bundestagsgebäude, mitten im Regierungsviertel. Er schickt ihm eine SMS. Die stets schwarz gekleideten Hacker sitzen in Rufweite im Café Lebensart. Auf ihrem Notebook lesen sie mit einer kleinen Zeitverzögerung die SMS des Politikers mit.
Wie viele Leute sind in der Leitung, wenn die Kanzlerin spricht?
(Foto: Rainer Jensen/dpa)Mit ähnlicher Methode könnte Merkel abgehört worden sein
In Reichweite sind auch zahlreiche Botschaften, auf deren Dächern weit größere Antennen installiert sind als das kleine Modell, das Melette an seinen Rechner angeschlossen hat. Die Hacker-Demonstration deutet an, wozu die Antennen auf den Botschaftsdächern dienen können. Mit einer ähnlichen Methode könnte das Handy der Kanzlerin abgehört worden sein.
Karsten Nohl ist Gründer und Chef der Firma Security Research Labs. Gegen Mittag schlurfen seine Mitarbeiter an ihre Schreibtische, auf Socken, um das Parkett des Dachgeschosses in Berlin-Mitte nicht zu beschädigen. Der Eindruck könnte leicht täuschen: Aber hier arbeiten ausgezeichnete Computerkenner für internationale Auftraggeber daran, Kommunikationstechnik auf Schwachstellen zu testen. Bevor Nohl die Firma gründete, promovierte er über Verschlüsselung und arbeitete ein Jahr für die Beratungsfirma McKinsey. Heute fliegt er zweimal im Monat nach Indien, um dort bei Aufbau und Sicherung von Mobilfunknetzen zu helfen.
Vor Monaten hat Nohl Mobilfunkanbieter informiert
Ob dort mehr für die Sicherheit getan wird als hierzulande? Bereits vor Wochen hat Nohl die Vereinigung der Mobilfunkanbieter, die GSM Association, über die Unsicherheit des UMTS-Netzes informiert. Und bereits seit Monaten ist bekannt, dass mit einem ähnlichen Trick der Aufenthaltsort jedes beliebigen Handybesitzers identifiziert werden kann.
Dagegen unternommen wurde bisher zu wenig. Einzig Vodafone hat an der Technik größere Verbesserungen vorgenommen. Auf Anfrage von WDR und SZ, die in dieser Sache gemeinsam recherchieren, beschleunigt auch die Telekom ihre Bemühungen, sie schreibt aber auch: "Die Maßnahmen einzelner Netzbetreiber können nur ein Pflaster sein, eine dauerhafte Lösung kann nur die gesamte Industrie entwickeln." Und das kann offenbar dauern.
Angriff über das SS7-Netz
Die Sicherheitslücke, die Nohl und Melette ausnützen, attackiert das UMTS-Netz über einen Umweg: Die Schwachstelle ist das so genannte SS7-Netz ("Signalling System #7"). Über dieses Netz tauschen sich Mobilfunkunternehmen automatisiert weltweit aus. Das müssen sie, damit man zum Beispiel im Ausland telefonieren kann, SMS über Ländergrenzen zugestellt werden und sie auch zwischen verschiedenen Netzbetreibern wie Telekom oder Vodafone fließen können.
Die Hacker Karsten Nohl (l.) und Luca Melette beweisen im Bundestag, was möglich ist.
(Foto: Michael Gottschalk/photothek.net)Das SS7-Netz hat noch mehr Aufgaben: Es sorgt zum Beispiel dafür, dass ein Gespräch nicht abbricht, wenn sich der Telefonierende während eines Gesprächs über längere Strecken fortbewegt. Jede Kommunikation, Gespräche und SMS, die zwei Menschen über das Handynetz laufen lassen, ist stark verschlüsselt und deshalb grundsätzlich schwer abzuhören. Damit der eine Nutzer den anderen aber versteht, hält das SS7-Netz virtuelle Schlüssel parat, um das Gespräch für seine Teilnehmer zu entschlüsseln. Das alles geschieht automatisch und in wenigen Millisekunden, sodass man beim Telefonieren oder SMS-Versenden nichts davon merkt.
Unternehmen, die zum SS7-Netz Zugang haben, können diese Kommunikationsschüssel abgreifen. Darunter sind inzwischen auch zwielichtige Konzerne und Privatpersonen, die Zugänge zu dem Netz gegen Geld untervermieten. Entsprechende Angebote gibt es im Internet. Dabei wird nicht geprüft, ob sie das Recht dazu haben oder ob ihre Anfrage überhaupt Sinn ergibt. Es bedeutet vielmehr, dass irgendwelche Unternehmen beliebige Anfragen stellen können - und meistens eine Antwort bekommen.
Zwielichtige Firmen haben Zugang zum SS7-Netz
Das ist fatal, denn Zugang zum SS7-Netz haben längst nicht mehr nur seriöse Telekommunikationsunternehmen, sondern Hunderte Firmen auf der ganzen Welt.
Geheimdienste haben es noch einfacher: Sie können einfach das Telekommunikationsunternehmen ihres Vertrauens bitten, ihnen Zugang zum SS7-Netz zu gewähren.
Für professionelle Bösewichter ein einträgliches Geschäft
So gelangen die Schlüssel, mit denen Handygespräche und SMS codiert werden, leicht in die falschen Hände. Wer sie hat, muss nur noch Gespräche und Textnachrichten abfangen und sie dann entschlüsseln. An diesem Punkt kommen die Antennen ins Spiel. Sie lauschen, je nach Größe in einem Umkreis von bis zu einem Kilometer, der Kommunikation im Handynetz.
Antennen im Regierungsviertel könnten auf diese Art die Kommunikation von Politikern mitschneiden - zumindest von jenen, die nicht durch zusätzliche Technik speziell geschützt sind wie inzwischen die Kanzlerin. Und weil das SS7-Netz auch verrät, wo sich ein Handynutzer befindet, können die zwielichtigen Unternehmen auch das Aufspüren von Menschen als Dienstleistung verkaufen.
Was Nohl und Melette in einem Versuch gelang, dürfte für professionelle Bösewichter längst ein einträgliches Geschäft sein. Die allermeisten Schritte, die Melette auf seinem Notebook während der Demonstration händisch vornimmt, lassen sich automatisieren. Klar, die Hacker hatten während ihrer Tests zum Teil Probleme, unter anderem wegen unterschiedlicher Handymodelle oder Handynetzanbieter. Doch Nohl ist sich sicher, dass es sich dabei nur um technische Hürden handelt, die das eigentliche Problem nicht kleiner machen. "Wer wirklich abhören will, lässt sich davon nicht abhalten", sagt der Sicherheitsexperte. Er wird den Hack ausführlich auf dem 31. Kongress des Chaos Computer Club zwischen den Jahren vorstellen.
Ältere Netze wie 2G sind bereits seit Längerem komplett geknackt, wer gerne sicher telefoniert, probiert es gerade deshalb bislang gerne mit UMTS. Jarzombek sagt: "Ich habe mein Telefon immer nur auf 3G geschaltet aus Sicherheitsgründen." Damit ist es jetzt wohl vorbei.