Mehrere Apps erkennen angeblich, wenn Smartphones mit gefälschten Mobilfunkmasten – sogenannten IMSI-Catchern – überwacht werden. Doch auch sie lassen sich täuschen.
Von Andreas Kraft
Polizisten auf der ganzen Welt nutzen IMSI-Catcher. Die Geräte gaukeln Smartphones vor, sie seien ein Funkmast, an dem sie sich einbuchen können. Sobald das geschehen ist, schneiden IMSI-Catcher allerhand Daten mit, während sie die Signale an den echten Funkmast weiterleiten. Angefangen bei der International Mobile Subscriber Identity (IMSI), mit der sich ein Gerät dem Besitzer zuordnen lässt. Aber auch ganze Gespräche lassen sich mitunter mithören, besuchte Webseiten erkennen und SMS mitlesen.
Die Einsatzmöglichkeiten für Polizei und Geheimdienste sind entsprechend vielfältig. Sie können mithilfe von IMSI-Catchern Drogendealer abhören, die anonym gekaufte Prepaid-Handys benutzen. Sie können Abgeordnete, Regierungsbeamte oder Manager ausspionieren, gegnerischen Soldaten Propaganda-Nachrichten schicken oder protokollieren, wer eine Demonstration besucht. Aber auch Kriminelle könnten die Technik nutzen, um Bankkonten leerzuräumen.
Auch deutsche Behörden setzen IMSI-Catcher ein. Allein im ersten Halbjahr 2017 nutzten das Bundeskriminalamt IMSI-Catcher in 24 Fällen und die Bundespolizei in 37 Fällen, unter anderem während des G20-Gipfels in Hamburg.
Fünf Apps gegen IMSI-Catcher, keine ist fehlerlos
Während iPhone-Nutzer dem schutzlos ausgeliefert sind, gibt es für Android-Smartphones einige Apps, die erkennen sollen, wenn sich das Gerät mit einem falschen Mobilfunkmast verbindet. Doch die Apps lassen sich zum Teil recht einfach austricksen, wie Wissenschaftler von der Technischen Universität Berlin und der Oxford University in einem gemeinsamen Projekt nachgewiesen haben.
Die Forscher haben einen eigenen IMSI-Catcher gebaut und die fünf am häufigsten genutzten Apps getestet: Snoopsnitch, Darshak, AIMSICD, Cell Spy Catcher und GSM Spyfinder. Dazu haben sie ihren falschen Mobilfunkmast innerhalb eines faradayschen Käfigs aufgebaut, um zu verhindern, dass sich Mobiltelefone von Unbeteiligten mit ihrem IMSI-Catcher verbinden. Dann haben sie verschiedene Szenarien durchgespielt.
Das zentrale Ergebnis: Es gelang ihnen in allen Fällen, die IMSI-Nummer abzufangen, ohne dass die Apps Alarm schlugen. "Es hat schon gereicht, nicht dem üblichen Funkprotokoll zu folgen", sagt Altaf Shaik, einer der beteiligten Forscher von der TU Berlin. "So konnten wir mit einer unüblichen Abfrage die entsprechenden Daten abfangen."
IMSI-Catcher können sich für Kriminelle lohnen
Wie viel sich mit der IMSI anfangen lässt, hängt stark von der Konfiguration des Mobilfunknetzes durch den jeweiligen Betreiber ab. In einigen Ländern reicht die IMSI unter Umständen aus, um über das Mobilfunkprotokoll der Netzbetreiber (SS7) Anrufe abzuhören oder SMS mitzulesen. Auch ist es damit möglich, kostenpflichtige Nummern anzurufen. Die dafür anfallenden Gebühren wandern dann auf die Konten der Kriminellen. Das kann sich schnell lohnen. Im Internet kann man einen IMSI-Catcher inklusive Software und Laptop für 1.500 US-Dollar bestellen. Polizei und Geheimdienste wiederum können anhand der abgefangenen IMSI-Nummern feststellen, ob sich eine bestimmte Person vor Ort aufhält oder ob das Mobiltelefon, das man bei einer Hausdurchsuchung sicherstellen will, auch wirklich dort ist.
Laut dem Kryptografie- und Mobilfunkspezialisten Karsten Nohl sind aber zumindest zwei der drei deutschen Mobilfunknetze zumindest vor den Attacken der Kriminellen einigermaßen gut geschützt. Die Arbeit der Forscher begrüßt er ausdrücklich, auch wenn eine der getesteten Apps von seiner eigenen Firma SRLabs entwickelt wurde: SnoopSnitch. Die hat im Test aber auch am besten abgeschnitten. "Wir wissen eben, was wir tun", sagt Nohl.
Zwei Apps erkennen auch die stillen SMS von Geheimdiensten
Um die Entwicklung von SnoopSnitch zu finanzieren hat er Geld vom Open Technology Fund der US-Regierung bekommen. "Durch unsere Partner konnten wir die App auch mit 90 Prozent der am Markt erhältlichen IMSI-Catcher testen." Seine Nutzer will Nohl beruhigen: "Die Forscher haben ja einen sehr hypothetischen Ansatz und gezeigt, dass sich ein Teil unserer Warnmechanismen theoretisch umgehen lässt. Wie das in der Praxis aussieht, ist noch eine ganz andere Frage."
Der Test habe auch gezeigt, dass SnoopSnitch immerhin dann Alarm schlägt, wenn ein Gespräch abgehört wird. Die einst als vertraulich geltenden IMSI-Nummer ist seiner Meinung nach inzwischen ohnehin halb öffentlich. Sie lasse sich auch über offene WLAN-Hotspots abfangen oder über SS7 abfragen. Da helfe es nur, die Netze entsprechend sicher zu machen.
Außerdem stellte sich im Test heraus, dass nur SnoopSnitch und Darshak stille SMS erkennen, mit denen etwa Geheimdienste Personen orten. Stille Anrufe, bei denen der Angreifer auflegt, bevor das Telefon klingelt, erkennt dagegen keine der fünf getesteten Apps. Auch damit lassen sich Personen orten.
Die Forscher wollen jetzt eine eigene App entwickeln
Auch Shaik sagt, es sei immer noch besser, SnoopSnitch zu nutzen, als gar keinen Schutz zu haben. Doch um die App installieren zu können, muss man das Telefon rooten. Eine für die breite Masse zufrieden stellende Lösung sei das nicht. Mit Blick auf die Netzbetreiber ist er skeptisch. "Es muss schon ein massiver finanzieller Schaden entstehen, damit die ihre Netze sicherer machen", sagt er. "Ansonsten ist ihnen das egal und sie stecken ihre Ressourcen lieber in die Entwicklung von 5G."
Ganz uneigennützig ist die Arbeit der Forscher nicht. Ihre Studie ist für sie auch eine Marktevaluation. Sie wollen selbst eine App entwickeln, die falsche Funkmasten erkennt und vor ihnen warnt.