Löchrig

Sicherheitsforscher: 5G-Sicher­heits­problem ist lösbar

Ein internationales Forscherteam hat beschrieben, wie sogar "sichere" 5G Verbindungen geknackt werden können und schlägt Verbesserungen vor.

Auch bei 5G gibt es noch Sicherheitslücken, womit Angreifer die Kommunikation "abhören" können. Auch bei 5G gibt es noch Sicherheitslücken, womit Angreifer die Kommunikation "abhören" können.
Foto/Grafik: Teltarif.de
Das Thema Sicher­heit spielt in der heutigen digi­talen Welt eine große Rolle. Lange galt 2G (GSM) als sicher, dann merkte man, dass der Nutzer dem ange­bo­tenen Netz "vertrauen" musste, weil er nicht wusste, ob das Netz "echt" ist. Bei 3G (UMTS) wurde erst­malig die Authen­ti­fi­zie­rung des Netzes gegen­über der U-SIM-Karte einge­führt.

Doch der Staat oder neugie­rige "Konkur­renten" möchten ab und zu doch einmal schauen, was die Nutzer so treiben, die wiederum finden das gar nicht so gut. Ein ewiges Rennen zwischen Hase und Igel.

Welche Basis­sta­tion ist "echt"?

Auch bei 5G gibt es noch Sicherheitslücken, womit Angreifer die Kommunikation "abhören" können. Auch bei 5G gibt es noch Sicherheitslücken, womit Angreifer die Kommunikation "abhören" können.
Foto/Grafik: Teltarif.de
Eine Möglich­keit, den Verkehr zwischen Endgerät und Netz "abzu­greifen", waren gefakte Basis­sta­tionen, soge­nannte "ISMI-Catcher". Das Endgerät bucht sich in diese Fake-Basis ein, die leitet den Verkehr zum "echten Netz" weiter, hört und liest dabei aber alles mit. IMSI steht für Inter­na­tional Mobile Subscriber Iden­tity, womit der Nutzer im Netz erkannt wird, um zu schauen, wo er ist, was er tut oder tun will und wohin die Rech­nung geht. Die IMSI ist fest mit dem Kunden verknüpft, die Rufnummer kann sich ändern, die aktu­elle Nummer wird dann jeweils mit der IMSI verknüpft.

Diese "Sicher­heits­lücke", 3G und 4G Mobil­ge­räte via Fake-Basis­sta­tionen zu kapern und anzu­greifen, besteht grund­sätz­lich auch noch in 5G. Darauf macht das Sicher­heits-Unter­nehmen Sophos aufmerksam und gibt Hoff­nung: Lösungen für dieses Problem seien in Aussicht.

Bei 5G ist das Problem noch vorhanden

Kaum laufen die ersten Tests der neuen 5G-Netz­werke, schon melden sich erste Stimmen, die gewisse Sicher­heits­lü­cken bean­standen. Die Secu­rity in 5G, genannt "5G AKA" (Authen­ti­ca­tion and Key Agree­ment) baut auf den bereits bekannten AKA-Proto­kollen der 3G- und 4G-Tech­no­logie auf. Eines der Probleme dieser älteren Proto­kolle ist, dass 3G- und 4G-Geräte leicht mit Fake-Basis­sta­tionen über­wacht werden können, soge­nannten IMSI Catcher (Inter­na­tional Mobile Subscriber Iden­tity Catcher), auch Stin­gRays genannt. Dabei verbindet sich das Mobil­gerät auto­ma­tisch mit den betrü­ge­ri­schen Basis­sta­tionen, da die GSM-Tech­no­logie immer das nächste und stärkste Netz prio­ri­siert. Ist ein solches in der Umge­bung, bemerkt es der Anwender vermut­lich nicht, wenn sich das Mobil­gerät mit der Fake-Basis­sta­tion verbindet.

Dieses Sicher­heits­pro­blem sollte eigent­lich mit der 5G-Tech­no­logie gelöst werden. Dem ist jedoch leider nicht so, wie Forscher im White Paper New Privacy Threat on 3G, 4G, and Upco­ming 5G AKA Proto­cols beschreiben. Der Grund sind "tiefer­ge­hende Probleme" mit dem AKA-Proto­koll.

So funk­tio­niert die Sicher­heits­lücke

Verbindet sich ein Mobil­gerät mit der betrü­ge­ri­schen Basis­sta­tion, können Angreifer nicht nur das Gerät und seinen Besitzer iden­ti­fi­zieren. Sie können zusätz­lich den physi­schen Standort verfolgen und damit eine "Down­grade-Attacke" starten, bei der Sicher­heits­funk­tionen, etwa die Verschlüs­se­lung, abge­schaltet werden. Dabei werden IMSI-Catcher dadurch unter­stützt, dass sich das Gerät zwar über seine eindeu­tige Teil­neh­mer­iden­tität im Netz­werk authen­ti­fi­ziert, die Basis­sta­tion aber im Gegenzug nicht authen­ti­fi­ziert werden muss. Grund dieser Einsei­tig­keit sind die Ursprünge des Mobil­funk­netzes, wo die Inter­ope­ra­bi­lität ("Zusam­men­ar­beit") mit Basis­sta­tionen unter­schied­lichster Hersteller Vorrang hatte. Wäre diese alte Sicher­heits­lücke geschlossen, würden betrü­ge­ri­sche Basis­sta­tionen unter 5G zwar noch eine Verbin­dung zum Mobil­gerät herstellen, aller­dings könnte die Iden­tität des Teil­neh­mers durch eine vom Mobil­funk­netz verwal­tete Public-Key-Verschlüs­se­lung verborgen bleiben.

Diese Verschlüs­se­lung der Iden­tität können Angreifer jedoch zunich­te­ma­chen, indem sie andere Infor­ma­tionen der AKA-Proto­kolle auswerten. Dazu gehören beispiels­weise Muster im Anmel­de­ver­halten und die Nutzung von Mobildiensten. Auf diese Weise können Angreifer auf die Iden­tität eines Gerätes schließen, ohne den Inhalt der Kommu­ni­ka­tion einsehen zu müssen.

Zeit für Abhilfe

Es gibt dennoch gute Gründe, weshalb sich Nutzer von Mobil­ge­räten etwas weniger Sorgen um ihre Privat­sphäre machen müssen. Dazu sagt Michael Veit, Secu­rity Experte bei Sophos: „Die Angreifer benö­tigen eine neue Genera­tion an IMSI-Catchern, um die Sicher­heits­lücke in 5G auszu­nutzen. Zudem bedarf es im Vergleich zu 3G und 4G an weit mehr Raffi­nesse, um eine Stand­ort­ver­fol­gung unter 5G zu reali­sieren. Diese beiden Umstände verschaffen Zeit für zusätz­liche Schutz­me­cha­nismen.“ Veit beschreibt eine weitere Tatsache, die zumin­dest zeit­weise für Entspan­nung sorgt: „Die Forscher haben die 5G-Secu­rity in der ersten Phase unter­sucht, in der diese Tech­no­logie noch nicht flächen­de­ckend zur Verfü­gung steht. Damit ist es möglich, bereits in der zweiten Phase etwas gegen dieses Sicher­heits­pro­blem zu unter­nehmen. Die Forschungs­er­geb­nisse wurden vom 3GPP (Normen­gre­mium für 3G, 4G und 5G) und GSMA (Welt­dach­ver­band der digi­talen Mobil­funker) aner­kannt, und es werden Abhil­fe­maß­nahmen zur Verbes­se­rung des Proto­kolls für die nächste Genera­tion einge­leitet.“

Mehr zum Thema Verschlüsselung