Gemalto findet keine Hinweise auf Diebstahl von SIM-Karten

Den Geheimdiensten NSA und GCHQ ist es nach Angaben des SIM-Karten-Herstellers Gemalto nicht gelungen, bei ihm Verschlüsselungscodes für den Handy-Betrieb zu stehlen.

Das hatten Snowden-Papiere nahegelegt, die vergangene Woche von der Website «The Intercept» veröffentlicht worden waren. Gemalto hatte sich nach dem Bericht sehr besorgt gezeigt und eine Untersuchung eingeleitet.

Die Prüfung habe ergeben, dass es höchstwahrscheinlich tatsächlich eine Cyberattacke der Geheimdienste im Jahr 2010 gegeben habe, sagte Gemalto-Chef Olivier Piou am Mittwoch in Paris. Bei diesen Angriffen sei allerdings nur in das Büro-Netz von Gemalto eingebrochen worden «und sie hätten nicht zu einem massiven Diebstahl von SIM-Schlüsseln führen können».

In der SIM-Infrastruktur sowie den abgetrennten Bereichen, in denen Daten für Bankkarten, elektronische Dokumente oder Zugangskarten verarbeitet werden, sei kein Eindringen festgestellt worden.

Mit den Schlüsseln der Handy-SIM-Karten könnte man Telefongespräche im weit verbreiteten GSM-Netz belauschen. Die moderneren UMTS- und LTE-Netze hätten einen anderen Verschlüsselungsmechanismus, bei dem das nicht funktioniere, betonte Piou. Allerdings laufen in vielen Fällen die Telefongespräche noch weiterhin über das GSM-Netz.

Zugleich ließ Gemalto die Möglichkeit offen, dass Schlüssel zu den SIM-Karten außerhalb der gesicherten Systeme des Konzerns abgegriffen worden sein könnten. Dem Bericht von «The Intercept» zufolge sollen der US-Abhördienst NSA und sein britischer Partner GCHQ versucht haben, die Codes bei der Übermittlung an Mobilfunk-Kunden abzufangen.

Gemalto habe zwar bereits vor 2010 bis auf wenige Ausnahmen standardmäßig einen sicheren Übertragungsweg eingesetzt, hieß es bei dem niederländischen Unternehmen mit Zentrale in Paris. Bei einigen anderen Anbietern sowie Mobilfunk-Betreibern sei das damals aber noch nicht der Fall gewesen.

Grundsätzlich hätten sich die Sicherheitstechnologien seitdem aber stark weiterentwickelt, sagte Piou.

Mit dem Bericht von «The Intercept» habe Gemalto bereits bekannte Cyberattacken aus den Jahren 2010 und 2011 einordnen können. Damals sei unter anderem eine französische Website des Konzerns ausgespäht und Attacken auf Computer mehrerer Mitarbeiter festgestellt worden. Auch seien an einen Netzbetreiber E-Mails mit Schadsoftware im Anhang von angeblichen Gemalto-Adressen verschickt worden. Die Gemalto-Experten sehen dies nun als Teil der Geheimdienst-Aktion an.

Piou nannte es alarmierend, wenn staatliche Stellen private Unternehmen in dieser Weise attackierten. Die Firma will aber nicht gegen die staatlichen Stellen klagen. «So ärgerlich das auch ist, aber wir werden juristisch nicht dagegen vorgehen», sagte der Gemalto-Chef. «Das wäre Zeitverschwendung», würde zudem viel Energie beanspruchen und Geld kosten. Finanzielle Auswirkungen auf sein Unternehmen wollte Piou nicht beziffern. Er verwies aber darauf, dass Produkte nicht betroffen seien.

Zugleich wies Piou auf Fehler in den NSA-Unterlagen hin. So seien vier von zwölf genannten Mobilfunk-Betreibern keine Kunden des Unternehmens gewesen. Gemalto habe entgegen den Angaben zu der Zeit auch keine Standorte zur Personalisierung der Karten in Japan, Kolumbien und Italien betrieben.

«The Intercept» hat Zugriff auf die Dokumente, die der Informant Edward Snowden bei der NSA heruntergeladen hatte. Sie werden schrittweise veröffentlicht.

Für den IT-Sprecher der Piratenfraktion im Schleswig-Holsteinischen Landtag, Uli König, helfen die Beteuerungen von Gemalto nicht weiter. «SIM-Karten sind geschlossene Systeme. Niemand kann nachvollziehen, ob unsere SIM-Karten sicher sind», sagte er laut einer Mitteilung. König forderte «eine überprüfbare Ende-Zu-Ende Verschlüsselung als Standard im Telefonnetz, damit wir wieder vertraulich telefonieren können».

Die Telekom hatte in einer Stellungnahme versichert, dass sie die von Gemalto erworbenen SIM-Karten durch einen eigenen Verschlüsselungsalgorithmus ersetzt. Es gebe keine Kenntnis darüber, dass dieser zusätzliche Schutzmechanismus betroffen sei.