Mobilfunk-Verschlüsselung:Jahrzehntealte Hintertür rüttelt Handy-Branche auf

Handys im Schaufenster

Handys im Jahr 1998, als der GEA-1-Algorithmus entwickelt wurde. In diesem wurde wohl mit Absicht eine Sicherheitslücke verbaut.

(Foto: Jens Büttner/picture-alliance/dpa)

Forscher entdecken, dass viele Handys beim Surfen nach wie vor veraltete und angreifbare Verschlüsselungstechnik einsetzen. Sie sind sich sicher: Die Schwachstelle wurde mit Absicht eingebaut.

Von Jannis Brühl und Helmut Martin-Jung

Ein Geist aus den Neunzigerjahren spukt durch unsere Handys. In gängigen Mobiltelefonen klaffte bis mindestens 2020 eine alte Sicherheitslücke aus den Neunzigern, über die Hacker den vermeintlich sicheren mobilen Datenverkehr abhören konnten. Das geht aus Forschungsergebnissen von IT-Sicherheitsexperten der Ruhr-Uni Bochum, der Forschungsstelle Simula UiB aus Norwegen, der französischen Forschungsinstitute Irisa und Inria sowie der Uni Paris-Saclay hervor. Sie haben ihre Erkenntnisse über den bislang geheimen GEA-1-Algorithmus in einem Papier veröffentlicht, das die Süddeutsche Zeitung vorab einsehen konnte. Die Organisationen für Mobilfunkstandards und die Hersteller müssen nun Handys nachrüsten.

Damit nicht genug: Die Wissenschaftler gehen davon aus, dass die Sicherheitslücke absichtlich eingebaut wurde, um Behörden zu ermöglichen, Handynutzer auszuspionieren - eine sogenannte Hintertür. Der Fall zeigt, dass Regierungen und Unternehmen in der Frühphase des Mobilfunks das System gezielt schwächten, mit dem Millionen Bürger unterwegs ins Internet gingen.

Es geht um den Verschlüsselungsalgorithmus GEA-1, der im veralteten, aber in einigen Ländern immer noch genutzten GPRS-Standard den Datenverkehr im mobilen Internet schützen sollte. So ein Algorithmus soll Daten unlesbar machen, damit Spione die Inhalte nicht verstehen, wenn sie diese mit spezieller Technik abfangen. Wer den kryptografischen Schlüssel nicht hat, kann den erbeuteten Wust aus Zahlen und Buchstaben nicht wieder lesbar machen. Die Forscher legen nun die erste öffentliche Analyse des Algorithmus vor. Ihr Fazit: Mails, Google-Suchanfragen oder Datenverkehr mit Facebook waren leicht zu entziffern.

"Wie bei einem Fahrradschloss, von dem Sie glauben, dass es sicher ist."

GEA-1 ist eine Verschlüsselungstechnik für den 2G-Mobilfunk, der vor der Zeit der Smartphones etabliert war, wie wir sie heute kennen. Momentan werden die 5G-Netze aufgebaut, die Technik ist also drei Generationen weiter. Unter anderem in Deutschland schalten viele Netze aber noch auf 2G zurück, wenn die Signale der neueren Generationen 3G und 4G zu schwach sind. 3G wird dieser Tage abgeschaltet. Die 2G-Anzeige "GPRS" oder E(DGE) auf ihrem Handy kennen viele Menschen aus Gebieten mit schlechtem Netz.

Die Forscher haben herausgefunden, dass GEA-1 Etikettenschwindel ist. Er verspricht "64-Bit-Sicherheit". Die Zahl der Bits entspricht der Länge des kryptografischen Schlüssels, mit dem Daten unlesbar gemacht werden. Grundsätzlich gilt grob: Je länger der Schlüssel, desto sicherer die Daten. Der vermeintliche 64-Bit-Schlüssel wird aber praktisch durchlöchert, bietet in Wahrheit nur die Sicherheit eines 40-Bit-Schlüssels. Dadurch wird es für einen Angreifer viel einfacher, das mathematische Rätsel zu knacken, hinter dem die Informationen im Klartext versteckt sind. "Das ist wie mit einem Fahrradschloss, von dem Sie glauben, dass es sicher ist, das aber eine Schwachstelle eingebaut hat", sagt David Rupprecht, einer der Forscher von der Ruhr-Uni Bochum. "Wenn man die kennt, kann man es im Handumdrehen knacken. In unserem Fall ist kein Fahrrad weg, sondern der Angreifer kann sehen, was Sie im mobilen Internet tun."

Dass die Lücke heute noch ausgenutzt wird, ist den Forschern zufolge zwar unwahrscheinlich, denn mittlerweile gibt es weitere Schutzmechanismen. Gerade in Deutschland mit seiner schlechten Netzabdeckung kann es aber passieren, dass ein Nutzer in den GPRS-Modus zurückfällt und unter Umständen schlecht geschützt surft. Dem Mobilfunkanbieter Telefónica zufolge ist das dann der Fall, wenn jemand ein "sehr altes" Gerät nutzt, das nicht fähig ist, den neueren, sicheren GEA-3-Standard zu nutzen. Heutzutage laufe aber weniger als ein Prozent des Datenverkehrs über 2G. Die Forscher mahnen dennoch zur Vorsicht: Angreifer könnten sogenannte Verkehrsdaten abgreifen und so herausfinden, welche Webseiten das Opfer besucht hat: GEA-1 "sollte zu jedem Preis vermieden werden".

Überraschender Fund in marktüblichen Handys

Der Algorithmus sollte eigentlich längst Geschichte sein. Schon 2011 demonstrierten die IT-Experten Karsten Nohl und Luca Melette, dass er zu knacken ist. 2013 wies das Europäische Institut für Telekommunikationsnormen (ETSI) die Hersteller an, GEA-1 in neuen Handys nicht mehr zu verbauen. Umso irritierter war das Forscherteam aus Deutschland, Norwegen und Frankreich nun, als es den Algorithmus in marktüblichen Handys fand, teils mit Baujahr 2018: iPhone XR und 8, Samsung Galaxy S9, Nokia 3.1, Huawei P9 lite und Oneplus 6T. Ihre Analyse ergab zudem, wie sich auch die Nachfolgetechnik GEA-2 knacken lässt.

Mit ihrem Fund haben die Forscher beim ETSI und dem Mobilfunk-Industrieverband GSMA Alarm geschlagen. Nun herrscht in der Branche Betriebsamkeit. In dieser Woche entscheidet das 3GPP, das Konsortium der Standardorganisationen von Europa bis China, wie es mit den Algorithmen weitergeht. Zu erwarten ist, dass es GEA-1 und GEA-2 endgültig auch aus älteren Handys verbannt.

Die GSMA hat den Herstellern aufgetragen, auf GEA-1 zu verzichten. Die Unternehmen arbeiten nach SZ-Informationen daran, den Algorithmus aus ihren Systemen zu tilgen. Samsung erklärte, man werde "mit dem im April 2021 veröffentlichten Softwareupdate die Unterstützung von GEA-1 für alle Galaxy-Geräte nach und nach aufheben". Der Hersteller Oneplus teilte mit, GEA-1 sei im Telekom-Netz in den Geräteserien 7, 8, 9 und Nord deaktiviert. Anfang Juni soll er in sämtlichen anderen Netzen abgeschaltet sein.

Auch Apple hat reagiert. Der Konzern teilte der SZ mit: Mit dem Betriebssystem-Update iOS 14.5 im April sei die Unterstützung von GEA-1 für die iPhones 7 bis 11 beendet worden. Mit dem Update iOS 15, das für den Herbst erwartet wird, werde das auch in den iPhones SE und 6s umgesetzt.

Die Arbeit der Forscher zeigt, unter welch dubiosen Umständen die Kommunikationsnetze für die Bevölkerung aufgebaut wurden. Sie sagen: GEA-1 wurde absichtlich geschwächt.

Geheimnisse aus den Krypto-Kriegen

Aber warum? Die Antwort liegt in der auffälligen 40-Bit-Länge des Schlüssels. 40 Bit sind exakt jene Grenze, bis zu der Kryptografie-Technik unter den Regeln der Neunzigerjahre aus westlichen Staaten noch exportiert werden durfte. Denn in den frühen Jahren des Internets wurden Krypto-Algorithmen wie Waffen behandelt. War der Programmcode zu gut, durfte er nicht ausgeführt werden. Sicherheitsbehörden wollten Menschen, Unternehmen und feindliches Militär abhören, die die Technik einsetzten. Heute gelten die Regeln nicht mehr.

Die Begrenzung auf effektiv 40-Bit-Verschlüsselung könne also kein Zufall sein, sagen die Forscher. "Da müsste man an zwei Samstagen hintereinander sechs Richtige im Lotto gewinnen, so wahrscheinlich ist es, dass das nicht absichtlich geschwächt wurde," sagt Christof Beierle, einer der Forscher aus Bochum. In den Gremien der Branche wurde also wohl entschieden, eine Hintertür in die Handynetze einzubauen. Im 3GPP-Konsortium etwa kümmert sich die Arbeitsgruppe SA3-LI darum, wie Abhörschnittstellen in die Systeme eingebaut werden. "Sie haben versucht, GEA-1 stark aussehen zu lassen, aber wenn Sie näher hinschauen, ist er das nicht", sagt Bart Preneel, Professor für angewandte Kryptografie und Datenschutz an der Katholischen Universität Leuven.

Das ETSI bestätigte der SZ indirekt, dass der nun erstmals sezierte Algorithmus absichtlich schwach entworfen wurde: "GEA-1 wurde 1998 entwickelt, als wir Exportkontrollregeln hatten, die die Stärke begrenzten." Um politische Vorgaben zu erfüllen, waren offensichtlich Millionen Nutzer über Jahre beim Surfen schlecht geschützt.

Dass Staaten Einfluss auf Verschlüsselung nehmen, hat Tradition. Preneel sagt, in den Achtzigern habe sich Kryptografie für Normalverbraucher langsam durchgesetzt: "Die Regierungen versuchten, Hintertüren in die neuen Systeme zu kriegen, damit sie dort Kommunikation genauso abfangen konnten, wie sie es von Briefen und Telefonaten gewohnt waren." In den Neunzigern versuchte die US-Regierung auch, Telefonhersteller zu zwingen, Verschlüsselungschips in Geräte zu bauen, zu denen die Regierung den Schlüssel besaß. "Krypto-Kriege" hieß die Auseinandersetzung zwischen Staaten einerseits sowie Unternehmen und Abhörgegnern andererseits.

Dass die Krypto-Kriege weiter toben, zeigt sich auch beim 5G-Standard, der derzeit eingeführt wird. Besonders sicher verschlüsselt ist die neueste Generation nicht - obwohl es technisch möglich wäre. Bart Preneel sagt: "Das Fehlen von Ende-zu-Ende-Verschlüsselung in 5G ist der Elefant im Raum, über den niemand reden will."

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB