Gemalto-Hack
27.02.2015, 11:22 Uhr
Wem soll man glauben?
Der SIM-Karten-Diebstahl soll keine grösseren Auswirkungen haben, will Gemalto herausgefunden haben. Sicherheitsspezialisten kritisieren das Unternehmen für die eigene Untersuchung stark. Aber auch das Snowden-Dokument weist Fehler auf.
Gemalto wurde Opfer der Geheimdienste GSHQ und NSA. Das Unternehmen, das auch die drei grossen Schweizer Telcos beliefert, bestätigte einen entsprechenden Bericht von Edward Snowden. Allerdings sagten die Holländer Mitte der Woche, dass beim Einbruch keine Encryption Keys geklaut worden seien. Die Angreifer hätten nur bis ins Büronetzwerk vordringen können und mit den erbeuteten Daten maximal Gespräche und Datenverbindungen im 2G-Netz abhören können. Modernere 3G- und 4G-Verbindungen wären nicht betroffen. Diese Beschwichtigung von Gemalto scheint das Unternehmen aber noch mehr in die Bredouille zu bringen, wie die ursprüngliche Meldung des Hacks. Denn Sicherheitsexperten zweifeln die Untersuchung des weltgrössten Herstellers von SIM-Karten an. Es sei beeindruckend, dass ein Unternehmen, das erst über einen Pressebericht von einem fünf Jahre alten Hack erfahren hat, innerhalb von sechs Tagen eine vollständige Sicherheitsanalyse der letzten Jahre durchführen könne, sagte etwa Christopher Soghoian von der American Civil Liberties Union. Soghoian störte sich zudem daran, dass Gemalto keine Details lieferte, wie man die Angriffe nachvollziehen konnte. «Man hat wohl einfach die eigene IT gefragt, welche Attacken man in den letzten Jahren bemerkt hat», mutmasst Soghoian.
Karsten Nohl, Kryptografie-Experte und Chef der Berliner Security Research Labs, zweifelte derweil in der Zeit die technische Richtigkeit der Gemalto-Aussagen an: «Die 3G-Verschlüsselung ist in der Tat etwas komplexer als die von GSM, aber immer noch leicht zu überwinden, sobald man den SIM-Schlüssel besitzt.» Wie das praktisch funktioniert, hatte Nohl auf dem «Chaos Communication Congress» in Hamburg gezeigt. Bei The Intercept wurden weitere Experten zitiert, welche die Untersuchung von Gemalto ebenfalls kritisierten und als Augenwischerei bezeichneten. Da Gemalto keine Interviews geben will und nur auf ihre Pressemitteilung verweist, ist es schwierig, Teufels Advokat zu spielen und die Aussagen der Spezialisten zu entkräften. Allerdings wirft auch das Snowden-Dokument Fragen auf. So sollen vier von zwölf genannten Mobilfunkbetreibern gar keine Kunden von Gemalto gewesen sein. Das Unternehmen habe entgegen den Papieren zur fraglichen Zeit auch keine Standorte zur Personalisierung der SIM-Karten in Japan, Kolumbien und Italien betrieben, schreibt Gemalto. Zudem fehlen im gesamten Dokument präzise Angaben zu den entwendeten Schlüsseln.
