Sicherheits-Experten stören GSM mit einfachen Handys

Um Paging-Anfragen auf allen in einer Funkzelle genutzten Frequenzen und Zeitschlitzen abfangen und schnellstmöglich mit einer gefälschten Nachricht beantworten zu können, benötigten die Forscher insgesamt 11 manipulierte Handys. Damit konnten sie aber nicht nur die Funkzelle stören, in der sie sich befanden - im Innenstadtbereich sind diese oft nur wenige hundert Meter groß - sondern gleich dutzende Funkzellen auf einmal, nämlich eine so genannte Makrozelle.

Mobilfunknetze "merken" sich nämlich nicht ganz genau, wo sie ein Handy zuletzt "gesehen" haben. Vielmehr werden mehrere nebeneinanderliegende Funkzellen jeweils zu einer Makrozelle zusammengefügt. Der Vorteil: So lange sich ein Handy innerhalb einer solchen Makrozelle bewegt, muss es dem Netz nicht erneut mitteilen, wo genau es ist. So verlängert sich die Akkulaufzeit, weil bei bewegten Handys (z.B. im Auto oder im Zug) entsprechend weniger Updates beim Netz nötig sind. Der Nachteil: Geht ein Anruf oder eine SMS für das Handy ein, muss dieses in der ganzen Makrozelle gesucht werden. Die oben genannten Paging-Nachrichten vom Typ: "Netz ruft Handy 3468" werden also nicht nur von der Basisstation versendet, an der das gerufene Handy sich zuletzt angemeldet hatte, sondern von allen Basisstationen der Makrozelle. In der Folge können mit dem hier vorgestellten Angriff alle Anrufe und SMS zu allen per GSM eingebuchten Handys in einer Makrozelle gestört werden. Selbst im Innenstadtbereich sind diese mehrere Kilometer im Durchmesser; im dünner besiedelten Bereich können diese noch größer sein.

Andere Stör-Technologien

Selbstverständlich ist das hier vorgestellte Verfahren nicht die einzige Möglichkeit, den Mobilfunk zu stören. Mit Mobilfunk-Jammern kann man die Signale der Basisstation einfach "übertönen", so dass in deren Nähe kein Empfang mehr möglich ist. Insbesondere über den Einsatz von Jammern in Gefängnissen wurde wiederholt diskutiert. Jüngst wurden gar Mediamarkt und Saturn verdächtigt, Jammer gezielt auf ihren Ladenflächen einzusetzen, um so beispielsweise Preisvergleiche per Handy zu erschweren. Mit hoher Wahrscheinlichkeit kann man aber letzten Vorwurf in den Bereich der Fabel verweisen: Denn Jammer müssen kontinuierlich mit vergleichsweise hoher Energie auf den den Basisstationen vorbehaltenen Frequenzen senden, um die legitimen Signale zu überdecken. Entsprechend leicht sind sie bei Funkmessungen auffindbar.

Auch IMSI-Catcher sind weit verbreitet: Diese stören nicht die Signale der anderen Basisstationen, sondern geben vor, eine Basisstation des zu störenden Netzes zu sein. Ist der IMSI-Catcher am zu störenden Ort besser empfangbar als alle echten Basisstationen, "bucht" sich das Handy am IMSI-Catcher ein und wird so für das Netz unerreichbar. Da IMSI-Catcher nicht auf allen zu störenden Frequenzen gleichzeitig senden müssen, sondern nur auf einer Frequenz ein gefälschtes Trägersignal abgeben müssen, senden sie entsprechend schwächer als Jammer. Andererseits sind IMSI-Catcher aufgrund der gefälschten Zellen-IDs schon mit einem Handy im Monitormodus leicht erkennbar und anschließend mit demselben Monitormodus auch recht leicht ortbar, indem man gezielt nach immer höheren Feldstärken des vom Catcher ausgestrahlten Signals sucht.

Lesen Sie auf der dritten Seite, warum der hier vorgestellte Angriff besser versteckt werden kann als Jammer und IMSI-Catcher, und was ihn zum Glück wieder einschränkt.