IMSI-Catcher: Warum Überwacher es so einfach haben
Handys überprüfen nicht gleich, woher Mitteilungen kommen. Das öffnet Spionen Tür und Tor. Abhilfe ist nicht in Sicht, wurde auf der Usenix Enigma deutlich.
In Städten und an Flughäfen stellen Überwacher besonders gerne IMSI-Catcher auf, nicht immer in Einklang mit dem geltenden Recht. Mit diesen Überwachungsgeräten können massenhaft beliebige Mobiltelefone erfasst, verfolgt und bisweilen auch abgehört werden.
Unter Umständen können sogar Verbindungen aufgebaut und einem ahnungslosen Opfer untergeschoben werden. Die Überwachung ist erstaunlich einfach, Gegenwehr erstaunlich schwierig, wie Yomna Nasser am Montag auf der Konferenz Usenix Enigma erklärt hat.
"Die Wurzel des Übels ist, dass Mobiltelefone in den frühen Phasen einer Verbindung die Identität der Mobilfunk-Basisstation nicht überprüfen können", sagte Yomna Nasser, Technikerin bei der Electronic Frontier Foundation (EFF).
Mobilfunknetze sind so standardisiert, dass sie immer unverschlüsselte Nachrichten an die Endgeräte schicken können. Und das Handy bestätigt den Empfang, womit es zumindest die der SIM-Karte zugeordnete ID (International Mobile Subscriber Identity, IMSI) preisgibt.
Theoretisch könnte sich das Netz gegenüber Endgeräten auch bei unverschlüsselten Nachrichten mittels kryptographischer Zertifikate ausweisen. Das ist aber nicht vorgesehen, nicht einmal bei 5G. (Bei 5G soll immerhin die IMSI verschleiert werden können, Anmerkung.)
Zwar hätten Forscher rund um Syed Rafiul Hussain in einer Teststellung gezeigt, dass kryptographische Identifikation zu Mobilfunk hinzugefügt werden kann, praktisch sei das aber schwer umzusetzen. Denn jede Lösung müsse abwärtskompatibel sein, da bereits Milliarden Endgeräte ohne dieses Zusatzmerkmal im Umlauf sind.
Hinzu komme, dass die Paketgröße bei der Signalisierung limitiert ist, man also nicht beliebige digitale Signaturen mitschicken könne.
Auch die Frage, wo die Zertifikate auf Nutzerseite gespeichert werden sollen, sei ungelöst, zumal die auf der SIM-Karte gespeicherten Daten wiederum durch Netzmitteilungen umgeschrieben werden können.
Keine Kleinigkeit sei der Umstand, dass Mobilfunknetze im Detail sehr unterschiedlich konfiguriert sind. Zudem gäbe es ungelöste Probleme mit Replay-Attacken und wie kompromittierte Zertifikate zurückgezogen werden sollen. Und sobald auch Roaming funktionieren solle, werde die Zahl der zu verwaltenden Zertifikate enorm.
In einem EFF-Bericht hat Nasser vergangenes Jahr den Stand des Wissens über IMSI-Catcher zusammengefasst. Die Erforschung dieser Überwachungsgeräte selbst gestaltet sich allerdings schwierig, weil sowohl Hersteller als auch Kunden auf Geheimhaltung bedacht sind.
"Über kommerzielle IMSI-Catcher ist wenig bekannt", bedauert Nasser, "Daher herrscht Verwirrung darüber, was sie alles tun können." Gesichert sei, dass sie sowohl zur Überwachung Einzelner als auch zehntausender Bürger gleichzeitig eingesetzt werden können. Von einem genutzten Typ sei eine Reichweite von mindestens zwei Kilometern dokumentiert.
Die US-Regierung habe sich geweigert, Auskunftsanträge nach dem Informationsfreiheitsgesetz zu beantworten. Die Bürgerrechtsorganisation ACLU (American Civil Liberties Union) habe daher kürzlich die US-Regierung verklagt.
Gleichzeitig sei die akademische Forschung zu dem Thema nicht einfach. Mobiltelefon-Firmware werde stets geheimgehalten, einschlägige Funkausrüstung sei teuer, die Spezifikationen von Endgeräten und Netzen seien sehr umfangreich und schwankten zudem stark von Netz zu Netz.
Schließlich gäbe es noch juristische Hürden: In manchen Ländern seien sogar passive Scans verboten; in Tunesien sei eine Person wegen bloßen Besitzes eines Software Defined Radio im Gefängnis gelandet. Und auf den von Mobiltelefonen empfangbaren Funkfrequenzen dürfe stets nur mit behördlich genehmigten Geräten gesendet werden.
Aufgrund dieser hohen Hürden beschäftigen sich nur wenige Wissenschaftler mit dem Thema IMSI-Catcher.
Einer davon ist Dr. Adrian Dabrowski. Ihn hat heise online gefragt, warum sich nicht die Netzbetreiber stärker gegen die IMSI-Catcher wehren: "Die Netzbetreiber mögen die IMSI-Catcher gar nicht, weil sie das Netz stören.
Aber sie können selbst nichts tun, wenn, wie heise online berichtet hat, sogar der US-Heimatschutz illegale IMSI-Catcher unbehelligt lässt", schätzt Dabrowski die Lage ein, "Andererseits fürchten die Netzbetreiber vermutlich um ihr Image, wenn sie ihre Kunden warnen; sie können ihren Kunden ja keinen konkreten Rat zur Vermeidung der Überwachung geben, zudem könnte es sich um einen Fehlalarm handeln."
Endbenutzer haben in der Tat wenig Handhabe, bestätige Nasser. Zwar habe es verschiedene Ansätze mit Apps gegeben, die beispielsweise Downgrades auf besonders unsicheren GSM-Mobilfunk oder unerwartet neu auftauchende Basisstationen melden sollen.
Doch hätten diese Apps zuviele Fehlalarme produziert, um praxistauglich zu sein. Im übrigen funktionierten sie nur mit ausgewählten Endgeräten.
Wie verzwickt die Lage ist, zeigt der Umstand, dass Spionageabwehren in verschiedenen Länder, darunter die USA und Kanada, offenbar wenig gegen fremde IMSI-Catcher in den Hauptstädten ausrichten. Reine Spekulation bleiben heimliche Stillhalteabkommen zwischen Geheimdiensten unterschiedlicher Länder, die sich nicht in die Quere kommen wollen.
Quelle
Unter Umständen können sogar Verbindungen aufgebaut und einem ahnungslosen Opfer untergeschoben werden. Die Überwachung ist erstaunlich einfach, Gegenwehr erstaunlich schwierig, wie Yomna Nasser am Montag auf der Konferenz Usenix Enigma erklärt hat.
"Die Wurzel des Übels ist, dass Mobiltelefone in den frühen Phasen einer Verbindung die Identität der Mobilfunk-Basisstation nicht überprüfen können", sagte Yomna Nasser, Technikerin bei der Electronic Frontier Foundation (EFF).
Mobilfunknetze sind so standardisiert, dass sie immer unverschlüsselte Nachrichten an die Endgeräte schicken können. Und das Handy bestätigt den Empfang, womit es zumindest die der SIM-Karte zugeordnete ID (International Mobile Subscriber Identity, IMSI) preisgibt.
Theoretisch könnte sich das Netz gegenüber Endgeräten auch bei unverschlüsselten Nachrichten mittels kryptographischer Zertifikate ausweisen. Das ist aber nicht vorgesehen, nicht einmal bei 5G. (Bei 5G soll immerhin die IMSI verschleiert werden können, Anmerkung.)
Absicherung bleibt Theorie
Hinzu komme, dass die Paketgröße bei der Signalisierung limitiert ist, man also nicht beliebige digitale Signaturen mitschicken könne.
Auch die Frage, wo die Zertifikate auf Nutzerseite gespeichert werden sollen, sei ungelöst, zumal die auf der SIM-Karte gespeicherten Daten wiederum durch Netzmitteilungen umgeschrieben werden können.
Keine Kleinigkeit sei der Umstand, dass Mobilfunknetze im Detail sehr unterschiedlich konfiguriert sind. Zudem gäbe es ungelöste Probleme mit Replay-Attacken und wie kompromittierte Zertifikate zurückgezogen werden sollen. Und sobald auch Roaming funktionieren solle, werde die Zahl der zu verwaltenden Zertifikate enorm.
In einem EFF-Bericht hat Nasser vergangenes Jahr den Stand des Wissens über IMSI-Catcher zusammengefasst. Die Erforschung dieser Überwachungsgeräte selbst gestaltet sich allerdings schwierig, weil sowohl Hersteller als auch Kunden auf Geheimhaltung bedacht sind.
"Über kommerzielle IMSI-Catcher ist wenig bekannt", bedauert Nasser, "Daher herrscht Verwirrung darüber, was sie alles tun können." Gesichert sei, dass sie sowohl zur Überwachung Einzelner als auch zehntausender Bürger gleichzeitig eingesetzt werden können. Von einem genutzten Typ sei eine Reichweite von mindestens zwei Kilometern dokumentiert.
ACLU verklagt USA auf Herausgabe von Akten
Gleichzeitig sei die akademische Forschung zu dem Thema nicht einfach. Mobiltelefon-Firmware werde stets geheimgehalten, einschlägige Funkausrüstung sei teuer, die Spezifikationen von Endgeräten und Netzen seien sehr umfangreich und schwankten zudem stark von Netz zu Netz.
Schließlich gäbe es noch juristische Hürden: In manchen Ländern seien sogar passive Scans verboten; in Tunesien sei eine Person wegen bloßen Besitzes eines Software Defined Radio im Gefängnis gelandet. Und auf den von Mobiltelefonen empfangbaren Funkfrequenzen dürfe stets nur mit behördlich genehmigten Geräten gesendet werden.
Aufgrund dieser hohen Hürden beschäftigen sich nur wenige Wissenschaftler mit dem Thema IMSI-Catcher.
Netzbetreiber und Dienste schauen zu
Aber sie können selbst nichts tun, wenn, wie heise online berichtet hat, sogar der US-Heimatschutz illegale IMSI-Catcher unbehelligt lässt", schätzt Dabrowski die Lage ein, "Andererseits fürchten die Netzbetreiber vermutlich um ihr Image, wenn sie ihre Kunden warnen; sie können ihren Kunden ja keinen konkreten Rat zur Vermeidung der Überwachung geben, zudem könnte es sich um einen Fehlalarm handeln."
Endbenutzer haben in der Tat wenig Handhabe, bestätige Nasser. Zwar habe es verschiedene Ansätze mit Apps gegeben, die beispielsweise Downgrades auf besonders unsicheren GSM-Mobilfunk oder unerwartet neu auftauchende Basisstationen melden sollen.
Doch hätten diese Apps zuviele Fehlalarme produziert, um praxistauglich zu sein. Im übrigen funktionierten sie nur mit ausgewählten Endgeräten.
Wie verzwickt die Lage ist, zeigt der Umstand, dass Spionageabwehren in verschiedenen Länder, darunter die USA und Kanada, offenbar wenig gegen fremde IMSI-Catcher in den Hauptstädten ausrichten. Reine Spekulation bleiben heimliche Stillhalteabkommen zwischen Geheimdiensten unterschiedlicher Länder, die sich nicht in die Quere kommen wollen.
Quelle
