Einfacher Schutz für löchrige SIM

Dass 900 Millionen älterer SIM-Karten relativ einfach Ziel von Hackern werden können, sorgte für Aufregung. Nun hat sich der Sicherheitsexperte, der den Hack entdeckte erneut zu Wort gemeldet. Dieses Mal kennt er Lösungen. [...]

Zu Beginn der Woche sorgte der deutsche Sicherheitsexperte Karsten Nohl für Schlagzeilen, als er die Anfälligkeit von bis zu 900 Millionen SIM-Karten für Hackangriffe öffentlich machte. Erst Aufruhr stiften, dann als Heilsbringer dastehen, scheint sein Motto zu sein. Denn jetzt erzählt Nohl, dass das Problem einfach aus der Welt geschafft werden kann. Durch ein Update der Software (OTA-Update, auch das Security-unternehmen Lookout schlug dieses Vorgehen vor).

Das Problem der SIMs ist ja, dass sie lediglich mit einem 56-Bit-Verbindungsschlüssel geschützt sind, DES genannt. Bei einigen dieser SIMs soll es genügen, das modernere Triple-DES zu aktivieren, eine gängige und sicherer Verschlüsselungsmethode, die beispielsweise auch von Banken in Chipkartenanwendungen eingesetzt wird. Die User kriegen von diesem Vorgang nichts mit, solche OTA-Updates werden häufig vorgenommen, beispielsweise um Roaming-Einstellungen zu ändern. Das ist auch genau der Weg, mit dem der von Nohl gefundene Hack funktioniert, von dem die Nutzer ebenfalls nichts mitbekommen. Er würde also quasi mit den eigenen Waffen geschlagen.

Alternativ können Telcos auch Anpassungen in ihren SMS-Zentralen machen, über die alle Kurznachrichten weitergeleitet werden. Da die Software welche die SMS-Codes übermittelt sehr spezifisch sei, kann die Firewall angepasst werden, sagt Nohl. Und beispielsweise so eingestellt werden, dass nur die Codetypen weitergeleitet werden, die aus den eigenen Servern kommen.

Nohl sagt auch, dass sich Telcos und Hersteller nicht mit gegenseitigen Schuldvorwürfen belastet hätten, auch wenn nicht klar ist, auch wenn beide für die Lücke verantwortlich gemacht werden könnten. „Alle waren sehr konstruktiv und wollten das Problem lösen“, sagte Nohl.

* Fabian Vogt ist Redakteur der Schweizer PCtipp.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*