Beiträge

Kurznachrichten Mitlesen leichtgemacht

Digitale Mobilfunknetze sind seit den 1990er Jahren in Deutschland in Betrieb. Leider lassen auch digitale Standards Möglichkeiten für eine unverschlüsselte Kommunikation offen.

Die AG KRITIS wurde von Hinweisgebenden kontaktiert, denen es möglich war, die Kurznachrichten eines deutschen Mobilfunk-Netzbetreibers an mehreren Standorten in Deutschland mitzulesen. Und zwar ohne einen eigenen Funkempfänger. Es war lediglich ein Internet-Zugang notwendig.

Wir haben Einblick bekommen in Mitschnitte von Kurznachrichten mit privaten, geschäftlichen und behördlichen Inhalten. Auch Inhalte aus dem Gesundheitsbereich wurden unverschlüsselt übermittelt und konnten so ohne große technische Hürden mitgelesen werden.

Dabei kamen gleich zwei gravierende Schwachstellen zutage:

  1. Das Mobilfunknetz verwendete bei der Übertragung von Kurznachrichten keine Verschlüsselung.
  2. Über das Internet-Portal des Mobilfunk-Netzbetreibers war der massenhafte, automatisierte und kostenlose Versand von Kurznachrichten möglich.

Die Kombination dieser Schwachstellen erlaubte es Angreifenden, automatisiert die Rufnummer der mobilen Endgeräte der temporären Mobilfunk-Teilnehmerkennung zuordnen, welche über Funk übertragen wird.

So war es – mit vertretbarem Aufwand – möglich, die mitlesbaren Kurznachrichten eindeutig der jeweiligen Mobilfunk-Rufnummer zuzuschreiben.

Funkempfang ohne eigenen Funkempfänger

Das mittlerweile stillgelegte Electrosense-Netzwerk bot die folgenden Möglichkeiten:

  • Freiwillige betreiben an Standorten weltweit verteilt software-definierte Funkempfänger an kleinen, kostengünstigen eingebetteten Systemen wie dem Raspberry Pi.
  • Die eingebetteten Systeme sind über eine zentrale Instanz über Internet zugänglich.
  • Für den Empfang analoger Signale (wie UKW-Rundfunk oder Flugfunk) erfolgte die Demodulation im Internet-Browser. Die Funksignale konnten also direkt angehört werden.
  • Auch die Auswertung bestimmter digitaler Signale, wie z.B. der Transponderdaten von Flugzeugen, konnte einfach im Browser erfolgten.
    Eine weitere Zusatz-Software war dazu nicht erforderlich.
  • Die Rohdaten der Empfangssignale konnten in I&Q-Format (In-Phase- und Quadratur-Komponente des Empfangssignals) heruntergeladen werden. Damit war es möglich, sie für spätere Auswertung zu archivieren und die Dekodierung komplexer Modulationsverfahren nachträglich durchzuführen.

Über das Electrosense-Netzwerk war es somit registrierten Nutzern möglich, auf ein sehr breites Funkspektrum an vielen Standorten weltweit zuzugreifen. Und zwar kostenlos und über einen längeren Zeitraum. In Deutschland standen ein Funkempfänger in Westdeutschland und einer in Süddeutschland zur Verfügung. Diese beiden Funkempfänger wurden von unseren Hinweisgebenden benutzt, um die Funksignale im Downlink eines deutschen Mobilfunkbetreibers (also die Aussendungen vom Funkmast in Richtung der mobilen Teilnehmenden) zu erfassen und lokal auf ihren Rechnern auszuwerten.

Zur lokalen Signalverarbeitung kam die Linux-Distribution DragonOS zum Einsatz. Sie enhält schlüsselfertig alle notwendigen Werkzeuge zum Dekodieren der gängigen Funkprotokolle. Laut Dokumentation ist auch das Mitlesen unverschlüsselter Kurznachrichten in Mobilfunknetzen möglich.

So ausgestattet, konnten die Hinweisgebenden eine sehr große Anzahl an unverschlüsselten Kurznachrichten eines deutschen Mobilfunk-Netzbetreibers systematisch erfassen und auswerten:

Einsehbar waren Kurznachrichten mit persönlichen Inhalten.

Ferner waren auch geschäftliche Inhalte lesbar. Durch die Größenbeschränkung der Kurznachrichten handelte es sich aber in der ausgewerteten Stichprobe eher um Belanglosigkeiten.

Pikant waren jedoch die Kurznachrichten mit Inhalten aus dem Bereich der Kritischen Infrastrukturen (KRITIS), von Behörden und Organisationen mit Sicherheitsaufgaben (BOS), sowie aus dem Gesundheitsbereich:

  • Von zwei Energieversorgungs-Unternehmen war die Kommunikation mit den Kundendienst-Kräften vor Ort einsehbar. Dies beinhaltete auch die zahlreichen Benachrichtigungen über die nächsten Einsatzorte, mit Namen, Anschrift und Telefonnummern von Kunden.
  • Ein Bahnunternehmen verschickte seine aktuellen Streckenstörungen und Sicherheitsvorfälle per Kurznachricht an seine Mitarbeitenden. So waren z.B. Störungen durch Personen im Gleis und andere Abweichungen vom Betriebsablauf mitzulesen.
  • Einige Rettungsleitstellen verschickten automatisiert Voranmeldungen von Verletzen an die regionalen Krankenhäuser. Dies konnte in Klartext mitgelesen werden. Auf personenbezogene Daten wurde hier zum größten Teil – aber nicht immer – verzichtet.
  • Einzelne Feuerwehren nutzten die Weiterleitung von Einsatz-Alarmierungen als Kurznachricht. Hier waren in größerem Umfang personenbezogene Daten einsehbar.
  • Ein Krankentransport-Dienstleister in Westdeutschland nutzte Kurznachrichten zur Disposition seiner Einsatzfahrten. So war frei mitlesbar, welche Personen wann an ihrer Wohnanschrift abgeholt wurden, welche medizinische Einrichtungen konkret angefahren wurden, und wann die Rückfahrt nach Hause erfolgte. Ferner auch, ob die Personen z.B. liegend oder mit Sauerstoff-Versorgung befördert wurden.

Schwachstellenmeldung an das Computer Emergency Response Team des Bundes (CERT-Bund)

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) betreibt ein Portal zur Meldung von Schwachstellen. Die Hinweisgebenden gaben auf diesem Weg eine qualifizierte Schwachstellenmeldung ab. Dazu erhielten sie auch eine Eingangsbestätigung. Die Aussendung der Kurznachrichten des Mobilfunk-Netzbetreibers erfolgte aber auch noch mehrere Monate nach der Schwachstellenmeldung an das BSI weiterhin unverschlüsselt.

Meldung an den Bundes-Beauftragten für Datenschutz und Informationsfreiheit (BfDI)

Nach der Meldung an den BfDI erfolgte nach einigen Wochen ausführlicher Prüfung sinngemäß folgende Rückmeldung:

[…] Es wirft die Frage auf, wie ein Unternehmen wie der Mobilfunk-Netzbetreiber seine Kunden über die Gefahren bei unverschlüsselter Übertragung informiert.

Einige der von Ihnen genannten Unternehmen [gemeint sind die betroffenen Versender der Kurznachrichten, Anmerkung des Autors] sind seit Jahrzehnten Kunden des Mobilfunk-Netzbetreibers. Meist bestanden die Vertragsverhältnisse seit Anfang der 90er Jahre.
Insofern gab es in diesen Fällen keine initiale Produktberatung, wie sie heute üblich ist.
Aufgrund Ihrer Hinweise hat der Mobilfunk-Netzbetreiber die Unternehmen gezielt angesprochen und auf besser geeignete Lösungen hingewiesen. […] „.

Auch Monate nach dieser Korrespondenz wurden Kurznachrichten allerdings weiterhin unverschlüsselt übertragen.

Kontaktieren der Kurznachrichten-Versender

In den zahlreichen Kurznachrichten mit behördlichen Inhalten konnten direkte Rückschlüsse auf die Absender der Nachrichten gezogen werden. Die Hinweisgebenden konnten so direkt auf die augenscheinlichen Versender zugehen.

Insbesondere bei den betroffenen Rettungsleitstellen konnte so die unverschlüsselte Aussendung personenbezogener Daten kurzfristig unterbunden werden. Da den Rettungsleitstellen die Problematik der unverschlüsselten Übertragung nicht bekannt war, wurden auch strukturelle Anpassungen in der Voranmeldung von Verletzten an Krankenhäuser angekündigt.

Bei den beiden regional tätigen Energieversorgungs-Unternehmen war ebenso eine direkte Zuordnung auf den Absender anhand der Kunden-Anschriften möglich. Ein Energieversorger schaltete die Kundendienst-Kommunikation per unverschlüsselter Kurznachrichten innerhalb weniger Tage nach der Hinweis-Meldung ab. Beim zweiten Energieversorger wurden nach der Meldung der Hinweisgebenden wenigstens der Name und die Telefon-Nummer von Kunden nicht mehr übermittelt.

Um den Versender der Krankentransport-Einsatzdispositionen zu ermitteln, mussten die Hinweisgebenden die laut Kurznachrichten angefahrenen Krankenhäuser kontaktieren. Die Krankhäuser widerum konnten anhand der – von den Hinweisgebenden anonymisiert übermittelten – Patienten-Daten den Krankentransport-Dienstleisters ermitteln.
Auch dieser Dienstleister war von der Problematik der unverschlüsselten Kurznachrichten überrascht und konnte dann doch zeitnah auf andere Kommunikations-Mittel zur Disposition der Einsatzfahrten umstellen.

Rechtlicher Rahmen

Die rechtlichen Regelungen zum „Abhören“ von Funksignalen sind im „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten“ (TDDDG) geregelt. Dieses ist aus dem „Telekommunikation-Telemedien-Datenschutzgesetz“ (TTDSG) hervorgegangen. Mit dem TTDSG widerum wurden 2021 die Datenschutzregelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die DSGVO angepasst.

In § 5 des TDDDG ist das „Abhörverbot“ geregelt. So heißt es:

§ 5 Abhörverbot, Geheimhaltungspflicht der Betreiber von Funkanlagen
(1) Mit einer Funkanlage (§ 3 Absatz 1 Nr 1 des Funkanlagengesetzes) dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure im Sinne des § 2 Nummer 1 des Amateurfunkgesetzes, für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.
(2) Der Inhalt anderer als in Absatz 1 genannter Nachrichten sowie die Tatsache ihres Empfangs dürfen, auch wenn der Empfang unbeabsichtigt geschieht, auch von Personen, für die eine Pflicht zur Geheimhaltung nicht schon nach § 3 besteht, anderen nicht mitgeteilt werden. § 3 Absatz 4 gilt entsprechend.
(3) Das Abhören oder die in vergleichbarer Weise erfolgende Kenntnisnahme und die Weitergabe von Nachrichten aufgrund besonderer gesetzlicher Ermächtigung bleiben unberührt.

Gemäß § 27 TDDDG droht hier bei Verstoß eine Freiheitsstrafe von bis zu 2 Jahren:

§ 27 Strafvorschriften
(1) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer
1. entgegen § 5 Absatz 1 eine Nachricht abhört oder in vergleichbarer Weise zur Kenntnis nimmt,
2. entgegen § 5 Absatz 2 Satz 1 eine Mitteilung macht oder
3. entgegen § 8 Absatz 1 eine dort genannte Telekommunikationsanlage herstellt oder auf dem Markt
bereitstellt. […]

Es drohen also schon beim unbefugten Abhören „im stillen Kämmerlein“, auch unverschlüsselt ausgesendeter Funksignale, empfindliche strafrechtliche Konsequenzen.

Das Abhörverbot greift aber auch dann, wenn z.B. die Sicherheitslücke eines Funknetzes – wie die fehlende Verschlüsselung – dokumentiert und als Schwachstellenmeldung an eine Sicherheitsbehörde weitergereicht wird. Ebenso, wenn Hinweisgebende den Funknetz-Betreiber oder betroffene Personen selber über die unverschlüsselte Übermittlung von personenbezogenen Daten hinweisen.

Auch die mit uns in Kontakt stehenden Hinweisgebenden wurden darauf unmissverständlich hingewiesen. So stellt der BfDI sinngemäß klar:

Von einer strafrechtlichen Verfolgung [gegenüber dem Mobilfunk-Netzbetreiber, Anmerkung des Autors] möchte ich absehen, da dies auch Fragen im Zusammenhang mit § 5 [„Abhörverbot“, Anmerkung des Autors] des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekomunikation und bei Telemedien (TTDSG) aufwirft.

Und eine Staatsanwaltschaft meldete den Hinweisgebenden sinngemäß zurück:

[…] Hier wurde aus Sicht der Bundesnetzagenur mitgeteilt, dass aus ihrer Sicht das bloße Bereitstellen eines internet-angebundenen Funkempfängers kein Verstoß gegen das Abhörverbot darstellt, wobei zugleich die Frage aufgeworfen wurde, inwieweit ein strafrechtlcihes Verhalten beim Hinweisgeber vorliegen könnte, da dieser bewusst die fragliche Frequenz eingestellt und damit Daten empfangen und decodiert hat. […]

Ein konkretes Strafverfahren gegen die Hinweisgebenden wurde aber – unseres Wissens nach – nicht eröffnet.

Was tun ?

Hinweisgebenden bleibt also nur die anonyme Abgabe einer Schwachstellenmeldung, um rechtlich auf der sicheren Seite zu sein.

Auch im europäischen Ausland gibt es ähnliche gesetzliche Regelungen. Als Beispiel sei hier der Fall Dejan Ornig aus Slovenien angeführt. Herr Ornig hatte die fehlende Verschlüsselung beim TETRA-Digitalfunknetz der Sicherheitsbehörden seines Landes aufgedeckt und wurde mittlerweile rechtskräftig verurteilt.

Aufgrund der eindeutigen strafrechtlichen Situation müssen wir eindringlich davor warnen, Mobilfunk-Netze selber abzuhören. Schwachstellen-Meldungen sollten – wenn überhaupt – nur anonym erfolgen.

Als AG KRITIS fordern wir deshalb:

  • Rechtliche Regelungen, die es Sicherheitsforschenden ermöglicht, die Sicherheitslücke eines Funknetzes – wie z.B. die fehlende Verschlüsselung – straffrei zu dokumentieren und als Schwachstelle verantwortungsvoll melden zu können.
    Das „Abhörverbot“ im TDDDG muss dahingehend angepasst werden.
    Das Dokumentieren von Schwachstellen in Funknetzen zum Zweck der Meldung an Sicherheitsbehörden muss straffrei sein.
  • Nach unserem Verständnis von § 6 TDDDG haben Betreiber von Mobilfunknetzen „die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um Fehlübermittlungen und das unbefugte Offenbaren von Nachrichteninhalten innerhalb des Unternehmens des Anbieters und an Dritte auszuschließen. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Soweit es im Hinblick auf den angestrebten Schutzzweck erforderlich ist, sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen“ [Zitat § 6 TDDDG].
    Mobilfunk-Netzbetreiber sind also unserer Meinung nach verpflichtet, das unbefugte Offenbaren von Nachrichteninhalten an Dritte auszuschließen.
    Konkret bedeutet dies, Nachrichteninhalte – insbesondere jene mit personenbezogenen Daten – sind nach dem Stand der Technik zu verschlüsseln.
  • Die Aufsichtbehörden (d.h. BfDI und Bundesnetzagentur) müssen auf die konsequente Verschlüsselung personenbezogener Daten seitens der Mobilfunk-Netzbetreiber aktiv hinwirken. Die muss auch mit den gesetzlich verfügbaren Mitteln in der Praxis durchgesetzt werden.

Status Quo

Die Sicherheitslücke bei einem deutschen Mobilfunk-Netzbetreiber wurde von den Hinweisgebenden Ende 2022 an BSI und BfDI gemeldet. Sie bestand noch bis mindestens Ende 2023 weiterhin fort.

Wir hoffen, der betreffende Mobilfunk-Netzbetreiber hat die Sicherheitslücke mittlerweile geschlossen. Verifizieren konnten wir dies aufgrund der oben dargestellten Rechtslage („Abhörverbot“) aber nicht.