Der SIM-Karten-Hersteller Gemalto war in den letzten Tagen aufgrund von aufgetauchten Informationen rund um die NSA-Affäre oft in den Schlagzeilen zu finden. Der Grund dafür war ein angeblicher Hack, der den Geheimdiensten NSA und GCHQ Zugriff auf die Daten der Besitzer von Gemalto SIM-Karten gab. Wie sich jetzt herausstellt wurde das Unternehmen tatsächlich infiltriert, allerdings sind die Karten nicht in Gefahr. Viele Sicherheits-Experten zweifeln diese Annahme allerdings stark an.
Auch interessant: Mehr Sicherheit im Straßenverkehr dank durchsichtiger Fahrzeugsäulen und Geisterautos
Wenn man dem Unternehmen Glauben schenken darf, dann haben wir keinen Grund zur Aufregung. Laut der Stellungnahme des SIM-Karten-Herstellers wurden nämlich nur die Schlüssel für 2G-Karten gestohlen, da die Angriffe im Jahr 2010 und 2011 ausgeführt wurden. Außerdem sind die meisten der erbeuteten Schlüssel für Prepaid-Karten mit einem Aktivitätszeitraum von drei bis sechs Monaten gedacht gewesen.
Da ja mittlerweile 3G bzw. 4G verwendet wird, besteht folglich kein Grund zur Sorge, da auch die Sicherheit in diesem Netzwerk deutlich erhöht wurde. Außerdem hat Gemalto den eigenen Aufzeichnungen zufolge seit dem Jahr 2011 keine Angriffe mehr feststellen können. Zusätzlich habe man vor knapp vier Jahren ein sicheres Transfersystem implementiert um derartige Angriffe zu unterbinden.
Falsche Angaben
Gemalto hat in den Dokumenten des englischen Geheimdienstes GCHQ einige inhaltliche Fehler entdeckt. Zum Beispiel hat das Unternehmen nie SIM-Karten in Somalia verkauft. In den Dokumenten ist aber die Rede von 300.000 erbeuteten Schlüsseln aus dem afrikanischen Land. Zusätzlich habe Gemalto keine Personalisierungszentren in Kolumbien, Japan oder Italien, wie in den Dokumenten beschrieben.
Kreditkarten und Ausweise
Das in den Niederlanden ansässige Unternehmen stellt aber nicht nur SIM-Karten her, sondern auch Chips für elektronische Ausweise oder Kreditkarten. Laut Gemalto sind diese Daten aber nicht in Gefahr, da sie in anderen Netzwerken untergebracht seien, die firmenintern nicht miteinander verknüpft sind.
Schadensbegrenzung
Sehr verwunderlich ist, dass Gemalto aufgrund einer Pressemitteilung von dem Vorfall erfahren hat und innerhalb von nur sechs Tagen mit einer derartig positiven Stellungnahme hervorpreschen kann. Viele Sicherheitsexperten zweifeln die Aussagen des Unternehmens gehörig an – zu Recht. Immerhin operiert Gemalto in 85 Ländern und stellt im Jahr 2 Milliarden SIM-Karten her. Um eine derartig tiefgründige und forensische Untersuchung anzustellen wäre deutlich mehr Zeit von Nöten so Ronald Prins von Fox IT. Auch zur Aussage bezüglich der 3G und 4G-Netzwerke hat Krytographie-Experte Green etwas zu sagen und stellt klar, dass dies absoluter Blödsinn ist. Kein Verschlüsselungsstandard kann einem Schlüssel-Diebstahl standhalten – eigentlich ganz klar.
Damit ist also klar, dass das Unternehmen lediglich Schadensbegrenzung betreibt und sich ernsthaft über die Sicherheit der Daten Sorgen machen muss. Für Gemalto ist die Sache damit also noch nicht vom Tisch. Wir sind gespannt wie sich die Lage weiterentwickelt und halten euch natürlich auf dem Laufenden.
Quelle: Gemalto, The Intercept