Beiträge

Kurznachrichten Mitlesen leichtgemacht

Digitale Mobilfunknetze sind seit den 1990er Jahren in Deutschland in Betrieb. Leider lassen auch digitale Standards Möglichkeiten für eine unverschlüsselte Kommunikation offen.

Die AG KRITIS wurde von Hinweisgebenden kontaktiert, denen es möglich war, die Kurznachrichten eines deutschen Mobilfunk-Netzbetreibers an mehreren Standorten in Deutschland mitzulesen. Und zwar ohne einen eigenen Funkempfänger. Es war lediglich ein Internet-Zugang notwendig.

Wir haben Einblick bekommen in Mitschnitte von Kurznachrichten mit privaten, geschäftlichen und behördlichen Inhalten. Auch Inhalte aus dem Gesundheitsbereich wurden unverschlüsselt übermittelt und konnten so ohne große technische Hürden mitgelesen werden.

Dabei kamen gleich zwei gravierende Schwachstellen zutage:

  1. Das Mobilfunknetz verwendete bei der Übertragung von Kurznachrichten keine Verschlüsselung.
  2. Über das Internet-Portal des Mobilfunk-Netzbetreibers war der massenhafte, automatisierte und kostenlose Versand von Kurznachrichten möglich.

Die Kombination dieser Schwachstellen erlaubte es Angreifenden, automatisiert die Rufnummer der mobilen Endgeräte der temporären Mobilfunk-Teilnehmerkennung zuordnen, welche über Funk übertragen wird.

So war es – mit vertretbarem Aufwand – möglich, die mitlesbaren Kurznachrichten eindeutig der jeweiligen Mobilfunk-Rufnummer zuzuschreiben.

Funkempfang ohne eigenen Funkempfänger

Das mittlerweile stillgelegte Electrosense-Netzwerk bot die folgenden Möglichkeiten:

  • Freiwillige betreiben an Standorten weltweit verteilt software-definierte Funkempfänger an kleinen, kostengünstigen eingebetteten Systemen wie dem Raspberry Pi.
  • Die eingebetteten Systeme sind über eine zentrale Instanz über Internet zugänglich.
  • Für den Empfang analoger Signale (wie UKW-Rundfunk oder Flugfunk) erfolgte die Demodulation im Internet-Browser. Die Funksignale konnten also direkt angehört werden.
  • Auch die Auswertung bestimmter digitaler Signale, wie z.B. der Transponderdaten von Flugzeugen, konnte einfach im Browser erfolgten.
    Eine weitere Zusatz-Software war dazu nicht erforderlich.
  • Die Rohdaten der Empfangssignale konnten in I&Q-Format (In-Phase- und Quadratur-Komponente des Empfangssignals) heruntergeladen werden. Damit war es möglich, sie für spätere Auswertung zu archivieren und die Dekodierung komplexer Modulationsverfahren nachträglich durchzuführen.

Über das Electrosense-Netzwerk war es somit registrierten Nutzern möglich, auf ein sehr breites Funkspektrum an vielen Standorten weltweit zuzugreifen. Und zwar kostenlos und über einen längeren Zeitraum. In Deutschland standen ein Funkempfänger in Westdeutschland und einer in Süddeutschland zur Verfügung. Diese beiden Funkempfänger wurden von unseren Hinweisgebenden benutzt, um die Funksignale im Downlink eines deutschen Mobilfunkbetreibers (also die Aussendungen vom Funkmast in Richtung der mobilen Teilnehmenden) zu erfassen und lokal auf ihren Rechnern auszuwerten.

Zur lokalen Signalverarbeitung kam die Linux-Distribution DragonOS zum Einsatz. Sie enhält schlüsselfertig alle notwendigen Werkzeuge zum Dekodieren der gängigen Funkprotokolle. Laut Dokumentation ist auch das Mitlesen unverschlüsselter Kurznachrichten in Mobilfunknetzen möglich.

So ausgestattet, konnten die Hinweisgebenden eine sehr große Anzahl an unverschlüsselten Kurznachrichten eines deutschen Mobilfunk-Netzbetreibers systematisch erfassen und auswerten:

Einsehbar waren Kurznachrichten mit persönlichen Inhalten.

Ferner waren auch geschäftliche Inhalte lesbar. Durch die Größenbeschränkung der Kurznachrichten handelte es sich aber in der ausgewerteten Stichprobe eher um Belanglosigkeiten.

Pikant waren jedoch die Kurznachrichten mit Inhalten aus dem Bereich der Kritischen Infrastrukturen (KRITIS), von Behörden und Organisationen mit Sicherheitsaufgaben (BOS), sowie aus dem Gesundheitsbereich:

  • Von zwei Energieversorgungs-Unternehmen war die Kommunikation mit den Kundendienst-Kräften vor Ort einsehbar. Dies beinhaltete auch die zahlreichen Benachrichtigungen über die nächsten Einsatzorte, mit Namen, Anschrift und Telefonnummern von Kunden.
  • Ein Bahnunternehmen verschickte seine aktuellen Streckenstörungen und Sicherheitsvorfälle per Kurznachricht an seine Mitarbeitenden. So waren z.B. Störungen durch Personen im Gleis und andere Abweichungen vom Betriebsablauf mitzulesen.
  • Einige Rettungsleitstellen verschickten automatisiert Voranmeldungen von Verletzen an die regionalen Krankenhäuser. Dies konnte in Klartext mitgelesen werden. Auf personenbezogene Daten wurde hier zum größten Teil – aber nicht immer – verzichtet.
  • Einzelne Feuerwehren nutzten die Weiterleitung von Einsatz-Alarmierungen als Kurznachricht. Hier waren in größerem Umfang personenbezogene Daten einsehbar.
  • Ein Krankentransport-Dienstleister in Westdeutschland nutzte Kurznachrichten zur Disposition seiner Einsatzfahrten. So war frei mitlesbar, welche Personen wann an ihrer Wohnanschrift abgeholt wurden, welche medizinische Einrichtungen konkret angefahren wurden, und wann die Rückfahrt nach Hause erfolgte. Ferner auch, ob die Personen z.B. liegend oder mit Sauerstoff-Versorgung befördert wurden.

Schwachstellenmeldung an das Computer Emergency Response Team des Bundes (CERT-Bund)

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) betreibt ein Portal zur Meldung von Schwachstellen. Die Hinweisgebenden gaben auf diesem Weg eine qualifizierte Schwachstellenmeldung ab. Dazu erhielten sie auch eine Eingangsbestätigung. Die Aussendung der Kurznachrichten des Mobilfunk-Netzbetreibers erfolgte aber auch noch mehrere Monate nach der Schwachstellenmeldung an das BSI weiterhin unverschlüsselt.

Meldung an den Bundes-Beauftragten für Datenschutz und Informationsfreiheit (BfDI)

Nach der Meldung an den BfDI erfolgte nach einigen Wochen ausführlicher Prüfung sinngemäß folgende Rückmeldung:

[…] Es wirft die Frage auf, wie ein Unternehmen wie der Mobilfunk-Netzbetreiber seine Kunden über die Gefahren bei unverschlüsselter Übertragung informiert.

Einige der von Ihnen genannten Unternehmen [gemeint sind die betroffenen Versender der Kurznachrichten, Anmerkung des Autors] sind seit Jahrzehnten Kunden des Mobilfunk-Netzbetreibers. Meist bestanden die Vertragsverhältnisse seit Anfang der 90er Jahre.
Insofern gab es in diesen Fällen keine initiale Produktberatung, wie sie heute üblich ist.
Aufgrund Ihrer Hinweise hat der Mobilfunk-Netzbetreiber die Unternehmen gezielt angesprochen und auf besser geeignete Lösungen hingewiesen. […] „.

Auch Monate nach dieser Korrespondenz wurden Kurznachrichten allerdings weiterhin unverschlüsselt übertragen.

Kontaktieren der Kurznachrichten-Versender

In den zahlreichen Kurznachrichten mit behördlichen Inhalten konnten direkte Rückschlüsse auf die Absender der Nachrichten gezogen werden. Die Hinweisgebenden konnten so direkt auf die augenscheinlichen Versender zugehen.

Insbesondere bei den betroffenen Rettungsleitstellen konnte so die unverschlüsselte Aussendung personenbezogener Daten kurzfristig unterbunden werden. Da den Rettungsleitstellen die Problematik der unverschlüsselten Übertragung nicht bekannt war, wurden auch strukturelle Anpassungen in der Voranmeldung von Verletzten an Krankenhäuser angekündigt.

Bei den beiden regional tätigen Energieversorgungs-Unternehmen war ebenso eine direkte Zuordnung auf den Absender anhand der Kunden-Anschriften möglich. Ein Energieversorger schaltete die Kundendienst-Kommunikation per unverschlüsselter Kurznachrichten innerhalb weniger Tage nach der Hinweis-Meldung ab. Beim zweiten Energieversorger wurden nach der Meldung der Hinweisgebenden wenigstens der Name und die Telefon-Nummer von Kunden nicht mehr übermittelt.

Um den Versender der Krankentransport-Einsatzdispositionen zu ermitteln, mussten die Hinweisgebenden die laut Kurznachrichten angefahrenen Krankenhäuser kontaktieren. Die Krankhäuser widerum konnten anhand der – von den Hinweisgebenden anonymisiert übermittelten – Patienten-Daten den Krankentransport-Dienstleisters ermitteln.
Auch dieser Dienstleister war von der Problematik der unverschlüsselten Kurznachrichten überrascht und konnte dann doch zeitnah auf andere Kommunikations-Mittel zur Disposition der Einsatzfahrten umstellen.

Rechtlicher Rahmen

Die rechtlichen Regelungen zum „Abhören“ von Funksignalen sind im „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten“ (TDDDG) geregelt. Dieses ist aus dem „Telekommunikation-Telemedien-Datenschutzgesetz“ (TTDSG) hervorgegangen. Mit dem TTDSG widerum wurden 2021 die Datenschutzregelungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die DSGVO angepasst.

In § 5 des TDDDG ist das „Abhörverbot“ geregelt. So heißt es:

§ 5 Abhörverbot, Geheimhaltungspflicht der Betreiber von Funkanlagen
(1) Mit einer Funkanlage (§ 3 Absatz 1 Nr 1 des Funkanlagengesetzes) dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure im Sinne des § 2 Nummer 1 des Amateurfunkgesetzes, für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.
(2) Der Inhalt anderer als in Absatz 1 genannter Nachrichten sowie die Tatsache ihres Empfangs dürfen, auch wenn der Empfang unbeabsichtigt geschieht, auch von Personen, für die eine Pflicht zur Geheimhaltung nicht schon nach § 3 besteht, anderen nicht mitgeteilt werden. § 3 Absatz 4 gilt entsprechend.
(3) Das Abhören oder die in vergleichbarer Weise erfolgende Kenntnisnahme und die Weitergabe von Nachrichten aufgrund besonderer gesetzlicher Ermächtigung bleiben unberührt.

Gemäß § 27 TDDDG droht hier bei Verstoß eine Freiheitsstrafe von bis zu 2 Jahren:

§ 27 Strafvorschriften
(1) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer
1. entgegen § 5 Absatz 1 eine Nachricht abhört oder in vergleichbarer Weise zur Kenntnis nimmt,
2. entgegen § 5 Absatz 2 Satz 1 eine Mitteilung macht oder
3. entgegen § 8 Absatz 1 eine dort genannte Telekommunikationsanlage herstellt oder auf dem Markt
bereitstellt. […]

Es drohen also schon beim unbefugten Abhören „im stillen Kämmerlein“, auch unverschlüsselt ausgesendeter Funksignale, empfindliche strafrechtliche Konsequenzen.

Das Abhörverbot greift aber auch dann, wenn z.B. die Sicherheitslücke eines Funknetzes – wie die fehlende Verschlüsselung – dokumentiert und als Schwachstellenmeldung an eine Sicherheitsbehörde weitergereicht wird. Ebenso, wenn Hinweisgebende den Funknetz-Betreiber oder betroffene Personen selber über die unverschlüsselte Übermittlung von personenbezogenen Daten hinweisen.

Auch die mit uns in Kontakt stehenden Hinweisgebenden wurden darauf unmissverständlich hingewiesen. So stellt der BfDI sinngemäß klar:

Von einer strafrechtlichen Verfolgung [gegenüber dem Mobilfunk-Netzbetreiber, Anmerkung des Autors] möchte ich absehen, da dies auch Fragen im Zusammenhang mit § 5 [„Abhörverbot“, Anmerkung des Autors] des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekomunikation und bei Telemedien (TTDSG) aufwirft.

Und eine Staatsanwaltschaft meldete den Hinweisgebenden sinngemäß zurück:

[…] Hier wurde aus Sicht der Bundesnetzagenur mitgeteilt, dass aus ihrer Sicht das bloße Bereitstellen eines internet-angebundenen Funkempfängers kein Verstoß gegen das Abhörverbot darstellt, wobei zugleich die Frage aufgeworfen wurde, inwieweit ein strafrechtlcihes Verhalten beim Hinweisgeber vorliegen könnte, da dieser bewusst die fragliche Frequenz eingestellt und damit Daten empfangen und decodiert hat. […]

Ein konkretes Strafverfahren gegen die Hinweisgebenden wurde aber – unseres Wissens nach – nicht eröffnet.

Was tun ?

Hinweisgebenden bleibt also nur die anonyme Abgabe einer Schwachstellenmeldung, um rechtlich auf der sicheren Seite zu sein.

Auch im europäischen Ausland gibt es ähnliche gesetzliche Regelungen. Als Beispiel sei hier der Fall Dejan Ornig aus Slovenien angeführt. Herr Ornig hatte die fehlende Verschlüsselung beim TETRA-Digitalfunknetz der Sicherheitsbehörden seines Landes aufgedeckt und wurde mittlerweile rechtskräftig verurteilt.

Aufgrund der eindeutigen strafrechtlichen Situation müssen wir eindringlich davor warnen, Mobilfunk-Netze selber abzuhören. Schwachstellen-Meldungen sollten – wenn überhaupt – nur anonym erfolgen.

Als AG KRITIS fordern wir deshalb:

  • Rechtliche Regelungen, die es Sicherheitsforschenden ermöglicht, die Sicherheitslücke eines Funknetzes – wie z.B. die fehlende Verschlüsselung – straffrei zu dokumentieren und als Schwachstelle verantwortungsvoll melden zu können.
    Das „Abhörverbot“ im TDDDG muss dahingehend angepasst werden.
    Das Dokumentieren von Schwachstellen in Funknetzen zum Zweck der Meldung an Sicherheitsbehörden muss straffrei sein.
  • Nach unserem Verständnis von § 6 TDDDG haben Betreiber von Mobilfunknetzen „die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um Fehlübermittlungen und das unbefugte Offenbaren von Nachrichteninhalten innerhalb des Unternehmens des Anbieters und an Dritte auszuschließen. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Soweit es im Hinblick auf den angestrebten Schutzzweck erforderlich ist, sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen“ [Zitat § 6 TDDDG].
    Mobilfunk-Netzbetreiber sind also unserer Meinung nach verpflichtet, das unbefugte Offenbaren von Nachrichteninhalten an Dritte auszuschließen.
    Konkret bedeutet dies, Nachrichteninhalte – insbesondere jene mit personenbezogenen Daten – sind nach dem Stand der Technik zu verschlüsseln.
  • Die Aufsichtbehörden (d.h. BfDI und Bundesnetzagentur) müssen auf die konsequente Verschlüsselung personenbezogener Daten seitens der Mobilfunk-Netzbetreiber aktiv hinwirken. Die muss auch mit den gesetzlich verfügbaren Mitteln in der Praxis durchgesetzt werden.

Status Quo

Die Sicherheitslücke bei einem deutschen Mobilfunk-Netzbetreiber wurde von den Hinweisgebenden Ende 2022 an BSI und BfDI gemeldet. Sie bestand noch bis mindestens Ende 2023 weiterhin fort.

Wir hoffen, der betreffende Mobilfunk-Netzbetreiber hat die Sicherheitslücke mittlerweile geschlossen. Verifizieren konnten wir dies aufgrund der oben dargestellten Rechtslage („Abhörverbot“) aber nicht.

 

ORF AM4 Blog – Dringende Warnung vor Hintertüren in Citrix-Systemen

Anlässlich der aktuell gegebenen Ransomware Erpressung der Uniklinik Düsseldorf hat der ORF in seinem AM4 Blog sich nochmal den Infektionsweg über Citrix / VPN-Gateways angeschaut. Dabei wird erneut hervorgehoben, wie lange die Sicherheitslücke bereits bekannt und in aktiver Ausnutzung war.

 

Die AG Krіtis, ein Nonprofit-Zusammenschluss deutscher Sicherheitsexperten, hatte bereits Anfang Jänner (Januar) vor Angriffen auf die kritische Infrastruktur gewarnt

 

Da wir von einem Told-you-so nichts haben, hier noch einmal der Link zur Herleitung unserer damaligen Forderung verbunden mit dem dringenden Hinweis an alle Entscheidungsträger.

 

Den vollständigen ORF-Artikel findet ihr hier.

Unabhängigkeit des BSI – Umsetzungsvorschläge der „Stiftung Neue Verantwortung“

Dr. Sven Herpig, Leiter für Internationale Cybersicherheitspolitik der „Stiftung Neue Verantwortung“, hat heute das Papier „Die „Unabhängigkeit“ des Bundesamtes für Sicherheit in der Informationstechnik“ veröffentlicht, in dem er die Probleme eines BSI als untergeordnete Behörde des Bundesministeriums des Inneren, für Bau und Heimat (BMI) beleuchtet und konkrete Lösungsvorschläge aufzeigt. Die AG KRITIS fordert seit ihrer Gründung ein unabhängiges BSI

Die fehlende Unabhängigkeit schwächt das Vertrauen der beteiligten Parteien, den Betreibern kritischer Infrastrukturen und der Bürger*innen in das BSI, da es durch die Fachaufsicht des BMI an dessen Weisungen gebunden ist. Das BMI hat jedoch auch die Fachaufsicht über das Bundeskriminalamt, das Bundesamt für Verfassungsschutz und die Bundespolizei. Die Aufgaben dieser Behörden stehen in einem Zielkonflikt mit dem Auftrag des BSI, für Sicherheit in der Informationstechnik zu sorgen. Zur Erfüllung der Aufgaben der genannten Behörden, haben diese ein Interesse daran, auf IT-Systeme zugreifen zu können, Überwachungsmaßnahmen durchzuführen und für diesen Zweck IT-Sicherheitslücken auszunutzen. Das BMI ist rechtlich in der Lage, das Schließen von Schwachstellen, die dem BSI als „nationale Cybersicherheitsbehörde“ gemeldet werden, durch eine Weisung zu unterbinden und die Schwachstelle ebendiesen Strafverfolgungsbehörden zur Nutzung zu übergeben. Wie Dr. Sven Herpig schreibt, könnte die Folge davon sein, dass „[…]der Informationsfluss [von IT-Sicherheitsforscher*innen an das BSI] abnehmen oder sogar versiegen [würde]. “

In der Kurzanalyse gibt die „Stiftung Neue Verantwortung“ konkrete Beispiele für konkrete Möglichkeiten der Reorganisierung des BSI: Neben einem Ressortwechsel in ein anderes Bundesministerium oder der Reduzierung der Aufsichtsfunktion auf die ausschließliche Rechtsaufsicht werden auch Möglichkeiten aufgezeigt, die eine noch weitergehende Unabhängigkeit des BSI beschreiben; u.a. der Einstufung des BSI als oberste Bundesbehörde oder der Installation des BSI als Informationssicherheitsbeauftragter des Bundes. Das Beleuchten der Vor- und Nachteile der verschiedenen Formen übersteigt den Umfang dieses Artikels, wir verweisen hier auf den lesenswerten Aufsatz von Dr. Sven Herpig.

Vielen Dank an Dr. Sven Herpig von der „Stiftung Neue Verantwortung“ für diese detaillierte Analyse.

FM4 ORF Artikel: Immer mehr Citrix-Systeme mit Schadsoftware verseucht

Wir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Bei FM4 von ORF in Österreich betonen wir, wie gefährlich es ist, sich in falscher Sicherheit zu wiegen.

„Das österreichische ELAK-System wurde erst 13. Jänner mit einem Provisorium des Herstellers gesichert. Dieser Workaround dürfte zudem bei mehreren neueren Versionen des Citrix-Betriebssystems nicht wirksam sein. Deshalb rät Manuel Atug von der AG Kritis, die VPN-Gateways und Lastverteiler von Citrix im Zweifelsfall völlig neu aufzusetzen.“

Der vollständige Artikel bei FM4 von ORF in Österreich findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

SPIEGEL-Artikel: Kompromittiert mit Ansage

Wir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Der SPIEGEL hebt heraus, dass Citrix nun für Kriminelle ein Jackpot ist.

„Wer nicht den Workaround von Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug. Er leitet die unabhängige Arbeitsgruppe AG KRITIS, die sich dem Schutz kritischer Infrastrukturen verschrieben hat.

Dort sieht er ein besonderes Bedrohungspotenzial. Für die Organisierte Kriminalität oder staatlich unterstützte Hacker sei Citrix ein „Jackpot“, sagt Atug. Schließlich ermögliche die Schwachstelle nicht zuletzt, sich in den Systemen von Betreibern kritischer Infrastrukturen einzunisten, also etwa bei Verwaltungen, in der Energie- oder der Wasserversorgung – für eine sofortige Erpressung oder auch für einen späteren Angriff.

Der vollständige Artikel in SPIEGEL Netzwelt findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

SZ-Artikel – Wie #Shitrix die IT-Sicherheit weltweit gefährdet

Die Süddeutsche Zeitung berichtete über unsere Sicherheitsmeldung in Bezug auf die aktuelle Sicherheitslücke in Citrix VPN Gateways.

Die AG Kritis, ein Zusammenschluss von IT-Experten, die die Sicherheit kritischer Infrastrukturen in Deutschland verbessern wollen, warnte am Wochenende in einem Blogbeitrag, dass auch in Leitstellen von Polizei und Feuerwehr in Deutschland betroffene Citrix-Software zum Einsatz kommt.

Der Volltext des Artikels der Süddeutschen Zeitung findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier: