NSA hat SIM-Karten-Keys, 'Game Over' für mobile Verschlüsselung

Just als man glaubte, dass der Fundus an Dokumenten von Edward Snowden erschöpft ist, kommt der nächste Leak. Und was für einer: So sollen der US-amerikanische Geheimdienst NSA und sein britisches Gegenstück GCHQ seit 2010 Zugriff auf zahlreiche elektronische Systeme haben, darunter SIM-Karten. Man hat sich in den vergangenen Monaten und Jahren bereits an vieles "gewöhnt", die aktuellen Enthüllungen von The Intercept, die auf Snowden-Dokumenten basieren, müssen aber selbst "an Kummer gewöhnte" Nutzer als spektakulär bezeichnen: Denn der National Security Agency (NSA) und den Government Communications Headquarters (GCHQ) gelang es vor Jahren, die internen Computer des weltgrößten SIM-Kartenherstellers Gemalto zu knacken.

Schlüssel zum "Erfolg"

Dort konnte man die geheimen Verschlüsselungskeys entwenden, damit können die Geheimdienste praktisch unbegrenzten Zugriff auf die mobile Kommunikation betroffener Nutzer erhalten. Eine Genehmigung der Mobilfunkbetreiber oder ausländischer Regierungen zum Abhorchen benötigen die Schnüffler dadurch nicht.

Der Kryptografie-Spezialist Matthew Green erklärt gegenüber The Intercept: "Den Zugriff auf die Key-Datenbank zu erhalten, bedeutet im Wesentlichen 'Game Over' für mobile Verschlüsselung."

Zwei Milliarden SIM-Karten pro Jahr

Wie viele Mobilnutzer tatsächlich betroffen sind, ist derzeit unklar, die Zahl dürfte aber beträchtlich sein. Denn Gemalto ist Weltmarktführer für SIM-Karten und stellt jedes Jahr rund zwei Milliarden derartiger Chips her. Es ist also sehr wahrscheinlich, dass man ein Gemalto-Produkt in seinem Smartphone stecken hat - weltweit setzen rund 420 Carrier auf die SIMs aus dieser Quelle.

Dass NSA und GCHQ Mobilfunkdaten sammeln, ist an sich kein großes Geheimnis. Bisher unklar war aber, wie effektiv das Sammeln bzw. Entschlüsseln von "Upstream"-Daten war. Denn per "Brute Force" ist das schlichtweg zu teuer, anders sieht die Sache aber natürlich aus, wenn man die Schlüssel dafür hat.

Regelrecht abenteuerlich oder filmreif ist übrigens auch die Art und Weise, wie die Keys erlangt werden konnten: So wurden von NSA und GCHQ einzelne Mitarbeiter von Telekommunikations- und SIM-Unternehmen ausgeschnüffelt, unter anderem über deren Mail- und Facebook-Konten. Jeder "Brotkrümel", den man finden konnte, wurde gesammelt, um den Zugriff auf die Systeme bekommen zu können.