Gemalto dementiert Diebstahl von SIM-Schlüsseln durch Geheimdienste
SIM-Karten-Anbieter Gemalto hat die Ergebnisse einer internen Untersuchung der vergangenen Woche auf Grundlage von Dokumenten von Edward Snowden beschriebenen Möglichkeit präsentiert, dass Geheimdienste bei dem Unternehmen massenhaft Schlüssel von SIM-Karten entwendet und diese für ihre Arbeit genutzt hätten. Dem Bericht zufolge hat der Einbruch durch NSA und GCHQ demzufolge “wahrscheinlich stattgefunden”. Er habe jedoch lediglich das Büro-Netzwerk für die Gemalto-Mitarbeiter betroffen. Laut dem Unternehmen “kann er nicht in einem massenhaften Diebstahl von SIM-Schlüsseln resultiert haben.”
Die Attacken erfolgten Gemalto zufolge in den Jahren 2010 und 2011. Zu diesem Zeitpunkt hatte das Unternehmen jedoch bereits “auf breiter Basis auf ein sicheres Übertragungssystem umgestellt”. Nur “seltene Abweichungen von diesem Plan hätten zu einem Diebstahl führen können.”
Selbst in einem solchen Fall wären die Geheimdienste der USA und Großbritanniens lediglich an Schlüssel für 2G-Mobilfunknetze gelangt, wie es in der Stellungnahme Gemaltos heißt. Die neueren Netzwerktechniken 3G (UMTS) und 4G (LTE) seien für einen solchen Versuch dagegen nicht anfällig. Allerdings war 2G-Kommunikationstechnik im Jahr 2010 in den Zielländern der Geheimdienste – zum Beispiel Afghanistan, Indien, Jemen, Pakistan und Tadschikistan – durchaus noch sehr verbreitet.
Gemalto erklärt, es habe die Authentizität der Snowden-Dokumente nicht überprüft, sondern sei davon ausgegangen, dass die dort beschriebenen Angaben zutreffen. Man habe sie mit den eigenen Aufzeichnungen verglichen. Schließlich habe Gemalto permanent mit Angriffen zu kämpfen. Insbesondere zwei raffinierte Attacken im Juni und Juli 2010 könnten durchaus von Geheimdiensten ausgegangen sein. Die Angreifer seien aber nicht in einen Bereich vorgestoßen, in dem sie die Daten der SIM-Karten hätten abgreifen können.
Vergangene Woche hatte The Intercept über einen Einbruch von NSA und GCHQ in Gemaltos Systeme berichtet, durch den die Geheimdienste an SIM-Schlüssel gelangt sein sollen. Eine gemeinsame Abteilung von NSA und GCHQ habe im Jahr 2010 die Computersysteme von Gemalto infiltriert.
Aus Dokumenten von Edward Snowden gehe hervor, dass es die Geheimdienste auf jene Schlüssel abgesehen hatten, welche zur Verschlüsselung der Kommunikation von Mobiltelefonnutzern eingesetzt werden. Die Schlüssel sollen die Geheimdienste in die Lage versetzen, einen großen Teil der mobilen Sprach- und Datenkommunikation weltweit abzugreifen. Gemalto bemühte sich unmittelbar danach um Aufklärung: Vor dem Bericht habe man nichts von der Geheimdienstoperation gewusst.
Gemalto produziert über 2 Milliarden SIM-Karten jährlich, die bei mehr als 600 Netzbetreibern weltweit genutzt werden. Gemalto-Chips kommen ebenso im elektronischen Personalausweis der Bundesrepublik sowie in der elektronischen Gesundheitskarte zum Einsatz.
In seiner heutigen Stellungnahme konstatiert Gemalto jedoch, dass keine anderen Arten von Chipkarten betroffen waren. Von den zwölf Providern, die The Intercept nenne, seien vier zudem keine Gemalto-Kunden – besonders nicht jener in Somalia, dem 300.000 Schlüssel entwendet worden seien. Gemalto sei zwar Marktführer, allerdings nicht der einzige SIM-Karten-Hersteller weltweit.
Beispielsweise beliefert auch die deutsche Firma Giesecke & Devrient (G&D) nach eigenen Angaben weltweit mehr als 350 Mobilfunknetzbetreiber. Auch sie ist wie Gemalto an der Festlegung sowie Implementierung von Sicherheitsstandards bei SIM-Karten beteiligt. Ähnlich wie Gemalto erklärt auch das Münchner Unternehmen, die SIM-Karte an sich sei sicher – und zwar so sehr, dass selbst Geheimdienste in dem jüngst bekannt gewordenen Fall es vorgezogen hätten, die Schlüssel zu stehlen anstatt die SIM-Karte direkt anzugreifen.
“G&D hat bisher keine Erkenntnisse darüber, dass SIM-Kartenschlüssel entwendet wurden. Wir haben jedoch nach Bekanntwerden der Attacken sofort zusätzliche Maßnahmen eingeleitet, um die etablierten Sicherheitsprozesse gemeinsam mit unseren Kunden zu überprüfen”, beteuert Stefan Auerbach, Mitglied der Geschäftsführung und Leiter des Geschäftsbereichs Mobile Security bei G&D. Sicherheit – vor allem der sichere Umgang mit Schlüsselmaterial – habe höchste Priorität.
G&D betont, dass seine Datengenerierung in hochsicheren Bereichen stattfindet, die logisch und physisch vom restlichen Unternehmensnetzwerk getrennt sind. Weiterhin erfolge die Übertragung der Daten zu den Netzbetreibern grundsätzlich in enger Abstimmung mit den Kunden. Ferner werde die Sicherheit und Integrität der Sicherheitsbereiche und der Übertragungsprozesse kontinuierlich überprüft und G&D-Mitarbeiter permanent hinsichtlich aktueller Bedrohungen und entsprechender Abwehrmaßnahmen sowie Sicherheitstechnologien geschult.
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.