Sicherheits-Experten stören GSM mit einfachen Handys

Für den hier vorgestellten Angriff benötigt man hingegen nur ein knappes Dutzend in der Firmware manipulierte Handys, die auf ihren ganz normalen Frequenzen senden. Diese müssen sich noch nicht einmal alle am selben Ort befinden: Sobald sich die Handys synchronisiert haben, welches welche Frequenzen und welche Zeitschlitze übernimmt, können diese an unterschiedliche Orte in der Zelle verteilt werden. Optisch lassen sich die Handys auch nach dem Aufspielen neuer Firmware nicht von normalen Handys unterscheiden, und selbst bei Ausmessung der Funksignale fällt die Differenzierung zwischen einem manipulierten und einem normalen Handy mit einer leichten Macke extrem schwer.

Es sind sogar Szenarien denkbar, dass ein Angreifer das genannte Firmware-Update per Smartphone-Virus verteilt, um so gezielt ein Mobilfunknetz großflächig zu stören. Dazu müssten Sicherheitslücken ähnlich denen ausgenutzt werden, mit denen in der Vergangenheit immer wieder zunächst ein Jailbreak durchgeführt wurde und anschließend der Netlock entfernt wurde. Beispielsweise könnte eine Tätergruppe einen solchen Sabotageakt gezielt zur Vorbereitung einer größeren Straftat nutzen, um die Einsatzfähigkeit der Polizei gezielt zu reduzieren.

Auch die gezielte Aussperrung eines einzelnen Opfers ist denkbar: Indem der Angreifer sein Opfer zunächst unbemerkt von außen ruft (z.B. per "abgebrochenem" Anruf oder per stiller SMS) kann er dessen aktuelle interne Rufnummer ermitteln, soweit sich das Opfer in derselben Makrozelle wie der Angreifer befindet. Anschließend muss der Angreifer seine Störhandys nur noch so programmieren, dass sie gezielt Paging-Anfragen zu dieser Nummer ins Nirwana leiten, und alle anderen Verbindungsaufbauten normal durchlassen. Da in dieser gezielten Variante überhaupt nur ein Handy scheinbar "spinnt" (nämlich das des Opfers) ist es in dieser gezielten Variante entsprechend noch schwerer, überhaupt herauszufinden, dass das Netz manipuliert wird, geschweige denn, die manipulierten Handys des Angreifers zu orten.

Nicht alles ist verloren

Es gibt freilich auch zahlreiche mitigierende Faktoren, die die Nützlichkeit des hier vorgestellten Angriffs einschränken. Insbesondere können mit diesem zwar Anrufe vom Netz zum Handy blockiert werden, aber nicht vom Handy zum Netz. Letztere werden ganz normal aufgebaut. Auch bereits bestehende Verbindungen lassen sich mit diesem Verfahren nicht entführen. Insbesondere meldet sich das Handy beim Zellwechsel aktiv in der neuen Zelle an - es wird nicht erneut gerufen.

Schließlich sind netzseitige Filter denkbar, die den hier vorgestellten Angriff stark abschwächen, oder gar komplett ins Leere laufen lassen. So könnten die Netze lernen, für den Fall, dass zwei Geräte auf eine Rufanfrage antworten, auch mit beiden einen Verbindungsaufbau zu versuchen. Einer der beiden, nämlich der zum richtigen Handy, wird dann klappen. Wahrscheinlich reicht es sogar bereits aus, in solchen Zellen, in denen gehäuft Verbindungsfehler nach "Ich-bin-hier"-Antworten passieren, diese "Ich-bin-hier"-Antworten erst verzögert weiterzuleiten. Dann können sich die falschen "Ich-bin-hier"-Antworten nämlich nicht mehr vordrängeln, und die legitimen Antworten werden zuerst verarbeitet.

Dass selbst die Deutsche Telekom über ihre Innovation Laboratories daran mitarbeitet, diese DoS-Lücke (englisch: "Denial of Service" bedeutet "Verhinderung eines Diensts") öffentlich zu machen, ist nicht als Aufforderung zu verstehen, deren Netz durch Ausnutzung der Lücke zu sabotieren. Es ist eher eine Art Hilfeschrei in Richtung der Ausrüster, GSM durch Weiterentwicklungen wieder sicher zu machen. Hoffen wir, dass sie gehört wird.

Übrigens: Falls Sie jetzt noch mehr wissen wollen, wie ein Handynetz funktioniert, lesen Sie unseren Themen-Hintergrund So funktioniert ein Handynetz.