Titelstorys in der WirtschaftsWoche

1996: Titelstory in der WirtschaftsWoche 37/1996 vom 5. September 1996 über Sicherheitslücken im D1-Netz der Deutschen Telekom

Hacker im Handy

Bislang galt Mobiltelefonnetz als absolut sicher. Experten behaupten jetzt, dass es doch möglich ist, auf Kosten ahnungsloser Kunden zu telefonieren.

An den 4. Mai 1995 werden sich Axel Rösner und Günter Götze wohl ihr Leben lang erinnern. An diesem Donnerstag reisten die zwei Sicherheitsexperten der Bonner Mobiltelefongesellschaft Deutsche Telekom Mobilnet GmbH (T-Mobil, vormals: DeTeMobil) in die bayrische Landeshauptstadt. Ein ehemaliger Computer-Hacker wollte sie dort über eine gravierende Sicherheitslücke im Mobiltelefonnetz D1 der Telekom-Tochter informieren.

Was ihnen Kim Schmitz, 22, in einem Konferenzraum der Münchner Telekom-Direktion bei Kaffee und Gebäck mitteilte, konnten die T-Mobil-Experten nicht fassen: Hacker, so berichtete Schmitz, könnten auf jeder beliebigen D1-Rufnummer auf Kosten des rechtmäßigen Inhabers telefonieren. Ein Begleiter von Schmitz, der lieber anonym bleiben wollte, erläuterte den T-Mobil-Managern die technischen Details des Verfahrens. Das Gespräch dauerte fast drei Stunden. »Je mehr Details wir preisgaben«, erinnert sich Schmitz, »umso hellhöriger wurden die D1-Manager.«

Seit dem Treffen in der Münchner Telekom-Direktion sind 16 Monate vergangen, getan hat sich bei T-Mobil seither allerdings nichts. Immer noch verkündet die Telekom, ihr D1-Netz, das nach dem weltweiten Standard Global System of Mobile Communication (GSM) arbeitet, sei absolut manipulationssicher. Kein Hacker könne es schaffen, ins Funknetz einzubrechen, um dort unberechtigt zu telefonieren.

Ex-Hacker Schmitz, der jetzt als Sicherheitsberater arbeitet, bleibt jedoch bei seiner Behauptung und geht jetzt damit an die Öffentlichkeit. Per eidesstattlicher Erklärung versicherte der Münchner Computer- und Telekommunikationsexperte der Wirtschaftswoche, daß »auf Kosten jeder beliebigen D1-Rufnummer telefoniert werden kann.

In der Hacker-Szene ist das offenbar kein Geheimnis mehr. Auch Andreas Müller-Maguhn, Mitglied des Hamburger Chaos Computer Clubs, bestätigte der Wirtschaftswoche, daß sich GSM-Mobiltelefonkarten fälschen lassen.

Sagen die beiden die Wahrheit, ist der Schaden unabsehbar: Denn dann ist es nur eine Frage der Zeit, bis kriminelle Geschäftemacher die D1-Lücke im großen Stil zum Gebührenabzocken nutzen auf Kosten von Millionen ahnungsloser Kunden.

Seit längerem schaffen es Hacker bereits nach Belieben, ins herkömmliche Telefonnetz und auch ins analoge C-Mobilfunknetz der Telekom einzudringen, nun können sie auch, so behauptet jedenfalls Schmitz, zu Lasten von D-Netz-Kunden telefonieren.

Angst vor Entdeckung herrscht kaum: Während normale Telefonkunden inzwischen mißtrauisch ihre monatliche Telefonrechnung prüfen, wähnen sich D- und E-Netz-Kunden vor Telefonbetrügern hundertprozentig sicher.

Wie wollen die Computerfreaks das angeblich fälschungssichere Telefonnetz geknackt haben?Die Antwort ist banal: Der Code, so heißt es in der Hacker-Szene, wurde gar nicht entschlüsselt, sondern verraten. Ein Mitarbeiter eines großen deutschen Kommunikationskonzerns, der sich in seiner Freizeit ebenfalls als Hacker betätigt, soll sämtliche Verschlüsselungsalgorithmen des D1-Netzes an die Hacker-Szene weitergegeben haben.

Das unbefugte Eindringen ins Netz erfordert dabei nach Angaben von Hackern geringeren technischen Aufwand, als viele Sicherheitsexperten annehmen. Um die Mobiltelefon-Chipkarten zu fälschen, müssen die Betrüger danach nur den speziellen Teilnehmerschlüssel kennen, mit dem sich der Anschlußinhaber im Funknetz ausweist.

Beim Anmelden des Handys tauschen Chip-Karte und Mobilfunknetz in einem Rechenverfahren eine bis zu dreißigstellige Zahl aus, die mit Hilfe einer Zufallszahl bestimmt wird. Nur wenn Mobiltelefonchipkarte und die Vermittlungsstation im Mobilfunknetz auf das gleiche Ergebnis kommen, wird der Funktelefonanschluß freigegeben. So sieht es der GSM-Standard vor.

Diese unüberwindlich scheinenden Hürden überspringen Hacker durch Insiderwissen: »Die Fälschung ist möglich, weil ihnen die Systematik des Verschlüsselungscodes bekannt ist, mit dem sich Mobiltelefone ins Mobilfunknetz einbuchen«, erklärt Schmitz. Hacker sind dadurch in der Lage, den geheimen Teilnehmerschlüssel namens »Ki« zu ermitteln.

Prinzipiell könne man mit der Kenntnis der Verschlüsselungssystematik auch das D2-, das E-Plus-Netz oder jedes andere in mittlerweile fast allen europäischen Ländern nach dem GSM-Standard aufgebauten Mobilfunknetze knacken, sagt Schmitz, doch: »Definitiv beweisen kann ich es nur für das D1-Netz.«

Die Mobilfunkbetreiber jedoch bleiben nach der Methode, daß nicht sein kann, was nicht sein darf stur bei ihrer Linie: »Den D1-Schlüssel«, sagt T-Mobil-Unternehmenssprecher Stefan Wichmann, »kann man nicht errechnen.« Selbst wenn Hacker im Besitz der Mobiltelefonkarte eines Kunden seien, hätten sie keine Chance, sagt auch Dietrich Gemmel, Leiter der Abteilung Unternehmensentwicklung beim Düsseldorfer Mobilfunkanbieter E-Plus. »Den Ki aus einer bestehenden Karte auszulesen, erfordert extrem hohen Aufwand, und dauerhaften Besitz der Karte«, sagt Gemmel. Durch die bei Verlust übliche Kartensperrung sei diese Betrugsmöglichkeit deshalb auszuschließen.

Mannesmann Mobilfunk, der Betreiber des D2-Netzes, läßt zwar ein ganz kleines Türchen offen, doch geht ebenfalls davon aus, daß das D-Netz sicher ist. » Jemand mit hoher krimineller Energie, der zudem bereit ist, einen beträchtlichen Aufwand zu betreiben und dazu noch die automatisch ablaufende Prozedur mit kryptologischen Schlüsselverfahren ganz genau kennt, könnte Mobiltelefonkarten manipulieren.«

Sowohl T-Mobil als auch Mannesmann Mobilfunk und E-Plus Mobilfunk wollen nichts davon wissen, daß Mobiltelefon-Chipkarten gefälscht werden. »Die Informationen, die der Hacker uns gab, waren zu vage und nicht präzise genug«, erklärt T-Mobil-Unternehmenssprecher Wichmann die Inaktivität seines Unternehmens nach dem Münchner Treffen mit Schmitz. Gar so vage scheint das, was ihnen der Ex-Hacker zu erzählen hatte, denn doch nicht gewesen sein.

Am Tag nach dem Gespräch mit Schmitz schickten die T-Mobil-Sicherheitsexperten Rösner und Götze ein drigendes Fax. Ihr Anliegen: Schmitz solle in der Bonner Firmenzentrale vorführen, ob er auf Kosten einer vorgegebenen Rufnummer telefonieren könne. Sollte dies gelingen, werde man dies als Beratungsleistung angemessen honorieren. Strafrechtliche Konsequenzen hätte Schmitz dabei nicht zu fürchten.

Doch Schmitz glaubte den Versicherungen nicht. »Die wollten mich einkassieren«, mutmaßt er.

Der Mann hat so seine Erfahrungen. Bereits früher hatte sich Schmitz mit Thomas McGuiness, dem internationalen Sicherheitschef der amerikanischen Telefongesellschaft MCI, in einem Münchner Hotel getroffen. Ihm wollte Schmitz die Namen von MCI-Insidern liefern, die mit gestohlenen Telefonkarten handeln.

Das Treffen wurde überwacht, wenige Tage später durchsucht die Polizei seine Wohnung und die von 50 weiteren Hackern. Seitdem ist Schmitz besonders vorsichtig.

Die Hacker sind laut Schmitz inzwischen weiter, als die Mobilfunkbetreiber denken. Die Chips könne jeder einfach auf dem Schwarzmarkt beschaffen. Dort sei auch ein spezielles Gerät erhältlich, mit dem sie sich beschreiben lassen. Findige Bastler hätten gar ein Computerprogramm entwickelt, das Mobiltelefonkarten simuliert.

Der Vorteil: In das Handy wird nur noch ein Karten-Rohling gesteckt, der sich computergesteuert nacheinander mit verschiedenen Rufnummern ins Mobilfunknetz einwählt.

So wird, laut Schmitz, dem Mobilfunknetz vorgetäuscht, daß sich das Funktelefon eines echten Kunden im Netz anmeldet. Der rechtmäßige Anschlußinhaber habe zumindest beim D1-Netz das Nachsehen: Telefoniere ein Hacker mit seiner Rufnummer, könne sich sein Handy nicht mehr im Funktelefonnetz anmelden. Auch für Kunden bestimmte Anrufe gingen beim Hacker ein.

Das Risiko ist gering, daß der rechtmäßige Besitzer der Rufnummer Verdacht schöpft. Denn die Betrüger können permanent die Nummer wechseln und belasten so das Gebührenkonto des Kunden meist nur minimal.

Der Geschädigte kann den Betrug überhaupt nur dann entdecken, wenn er eine Rechnung bei seiner Mobiltelefongesellschaft beantragt hat, die Zeitpunkt, Dauer und Rufnummer jedes einzelnen Gesprächs belegt. Und selbst wenn der Kunde Unstimmigkeiten entdeckt, muß er dem Mobilfunkbetreiber nachweisen, daß er das fragliche Telefonat nicht geführt hat nicht umgekehrt.

In Großbritannien, wo bereits seit längerer Zeit Gerüchte kursieren, Betrüger hätten den GSM-Code geknackt, hat denn auch der Netzbetreiber Mercury One-2-One bereits für alle Fälle vorgebeugt. Eine Software schlägt sofort Alarm, wenn sich zwei Mobiltelefone mit gleichen Sicherheitscode im Funknetz anmelden.

Und in den Vereinigten Staaten, wo die Mobiltelefongesellschaften vergangenes Jahr rund 650 Millionen Dollar durch Mobiltelefon-Betrüger verlieren, bietet die Firma Coral Systems aus Longmont (Colorado) eine zusätzliche Sicherung an: Automatisch wird das Handy gesperrt, sobald innerhalb weniger Minuten aus zwei verschiedenen für einen schnellen Ortswechsel aber zu weit entfernten Städten angerufen wird.

Die deutschen Mobilfunkbetreiber sehen bisher keinerlei Grund für zusätzliche Sicherheitsbarrieren.

Das könnte sich nach den Enthüllungen des Telekommunikationsexperten Schmitz rasch ändern.

Schmitz hat die Telekom bereits mehrfach öffentlich vorgeführt. So demonstrierte der Ex-Hacker unter den kritischen Augen von Telefon-Experten und Journalisten, wie man gratis über 0130-Service-Nummern der Telekom Auslandsgespräche führt.

Einige Wochen später stellte Schmitz den Telefonkonzern erneut bloß. Die Telekom-Spitze hatte behauptet, daß alle Übersee-Telefonsex-Nummern nicht mehr direkt vom Kunden angewählt werden könnten. Schmitz demonstrierte vor laufender Kamera das Gegenteil.

Mit seinen Enthüllungen gegenüber der Wirtschaftswoche will Schmitz nun beweisen, daß D1-Funktelefonkarten gefälscht werden können entgegen den offiziellen Beteuerungen der Verantwortlichen. Er hofft, daß die T-Mobil seine Angaben, die er »in Kenntnis der strafrechtlichen Folgen einer falschen eidesstattlichen Versicherung« gemacht hat, bestreitet, damit er sie vor Gericht beweisen kann. »Dann«, so Schmitz, »bin ich gern bereit, das Fälschen von D1-Karten öffentlich zu demonstrieren.«

Co-Autor: Matthias Hohensee