Hintergrund

IMSI-Catcher: So lassen sich Informationen übers Handynetz abfangen

IMSI-Catcher
IMSI-Catcher (Eigenbau des Museums für Kommunikation Frankfurt, Dauerleihgabe im Dt. Technikmuseum Berlin) / CC BY-SA 4.0

Mit einem IMSI-Catcher lassen sich Handydaten über das Mobilfunknetz abfangen. Eingesetzt werden die Geräte zum Beispiel von Polizei und Geheimdiensten. Doch wer sich gut auskennt, kann so einen Spion auch selbst bauen. Wir erklären, was erlaubt ist und wie man sich schützen kann.

Veröffentlicht am
Autor
Drucken

Auf einen Blick

IMSI und IMSI-Catcher – was ist das?

Auf der SIM-Karte eines Handys sind bestimmte Informationen gespeichert, darunter die Identitätsnummer „International Mobile Subscriber Identity“ (IMSI). In der Regel ist das eine 15-stellige Zahl.

Wer die IMSI eines Handys kennt, kann damit viel über den Besitzer oder die Besitzerin herausfinden: darunter den Standort, Gesprächsdaten, Informationen über die Internetnutzung und vieles mehr. Um an diese Daten zu gelangen, nutzen Geheimdienste und andere Behörden weltweit sogenannte IMSI-Catcher.

IMSI-Catcher sind Geräte, die sich zwischen die Verbindung eines Handys mit einem Mobilfunkturm schalten und den Datenverkehr zwischen den beiden abfangen können. Welche Tricks sie dabei verwenden, erklären wir weiter unten.

So setzt sich die IMSI zusammen

Wer darf IMSI-Catcher einsetzen?

Eigentlich verletzt das Mitschneiden von Telekommunikationsdaten den Artikel 10 des Grundgesetzes, der das Brief-, Post- und Fernmeldegeheimnis schützt. Bei diesem „unverletzlichen” Grundrecht gibt es allerdings Ausnahmen.

So dürfen Geheimdienste und Strafverfolgungsbehörden die Telekommunikation von Bürgern überwachen und aufzeichnen, wenn der begründete Verdacht einer schweren Straftat oder „Gefahren für die freiheitliche demokratische Grundordnung oder den Bestand oder die Sicherheit des Bundes oder eines Landes” bestehen.

Über Anträge auf den Einsatz durch die Polizei entscheidet ein Richter oder Richterin. Sollen Geheimdienste eingesetzt werden, muss die zuständige oberste Landesbehörde oder das Bundesministerium des Innern die Zustimmung geben.

Die Behörden sind verpflichtet, Betroffene über den Einsatz eines IMSI-Catchers aufzuklären. Ausnahme: Die Operationen wäre dadurch gefährdet oder „der Eintritt übergreifender Nachteile für das Wohl des Bundes oder eines Landes“ wäre absehbar.

Wo bekommt man einen IMSI-Catcher?

Auf dem freien Markt sind IMSI-Catcher nicht erhältlich. Offiziell werden sie nur an Strafverfolgungsbehörden und Geheimdienste verkauft.

Ganz billig sind die Geräte offenbar nicht: Im Jahr 2016 hat das FBI infolge eines „Freedom of Information Request“ einen Kostenvorschlag des Herstellers Harris aus dem Jahr 2011 veröffentlicht. Ein Modell darin, das „KingFish Man Portable System“, ist nur unwesentlich größer als ein Handy und kostete damals 69.700 US-Dollar.

Allerdings ist die Technik nicht sehr kompliziert und weitgehend bekannt: Im Internet gibt es etliche Anleitungen und Videos, die zeigen, wie sich aus wenigen Komponenten einfache IMSI-Catcher sogar daheim basteln lassen. Sicherheitsbehörden dürften daher nicht die Einzigen sein, die über derartige Geräte verfügen.

Wie oft kommen IMSI-Catcher zum Einsatz?

In Deutschland veröffentlicht das Parlamentarische Kontrollgremium regelmäßig Zahlen zum Einsatz von Abhörmaßnahmen der Nachrichtendienste. Danach wurden im Jahr 2017 IMSI-Catcher 28-mal vom Bundesamt für Verfassungsschutz (BfV) eingesetzt, in zwei Fällen vom Bundesnachrichtendienst (BND) und in einem Fall vom Militärischen Abschirmdienstes (MAD).

Seit dem ersten Einsatz im Jahr 2002 (damals waren es nur zwei Fälle) ist die Zahl der Einsätze bei den drei Geheimdiensten immer weiter angestiegen. Laut einer Recherche von netzpolitik.org wurden IMSI-Catcher im Jahr 2017 in noch höherem Maße von der Bundespolizei (37-mal) und Bundeskriminalamt (98-mal) eingesetzt. 2018 lagen die Zahlen niedriger.

Wie lässt sich die IMSI abfangen?

Um ein Handy per IMSI-Catcher abzuhören, muss sich der IMSI-Catcher zunächst bei einer echten Basisstation selbst als das Handy ausgeben, das er angreifen will. Mit Basisstation ist eine Sende- und Empfangseinheit in einem Mobilfunkturm gemeint. Dazu muss er dessen IMSI angeben.

Diese zu bekommen, ist relativ einfach: Verbindet sich Ihr Handy mit einem echten Funkturm, fragt die Basisstation nach der IMSI oder nach einer temporären ID, meist TMSI genannt (siehe Kasten). Das Handy schickt dann die IMSI oder TMSI im Klartext zurück an die Basisstation. Sie kann daher von einem Lauscher im Sendebereich der Basisstation aufgezeichnet werden.

Im nächsten Schritt bringt der IMSI-Catcher das Handy, das abgehört werden soll, dazu, ihn als Basisstation zu erkennen und sich anzumelden.

Lokale Netzwerke und die TMSI

2G-Netz: Ohne Probleme angreifbar

Im 2G-Netz suchen sich Handys stets die Basisstation mit dem stärksten Signal. Ein IMSI-Catcher muss also als „Man in the Middle“ (Mann in der Mitte) nur ein starkes Signal anbieten und schon versuchen Mobiltelefone in der Nähe, sich zu verbinden.

Außerdem muss im 2G-Netzwerk nur der Mobilfunkturm das Handy authentifizieren und nicht umgekehrt. Das Handy überprüft also nicht, bei welcher Basisstation es sich anmeldet und ob diese legitim ist.

Der IMSI-Catcher braucht daher nur die Authentifizierungsanfrage des echten Funkturms und die Antwort des Telefons weiterzuleiten. Nach der Authentifizierung kann eine Angreiferin dann sowohl der Basisstation als auch dem Handy vorschreiben, keine oder nur eine schwache Verschlüsselung zu nutzen, so dass alle abgehörten Daten für sie lesbar werden.

3G- und 4G-Netz: Angriff über Umweg

Direkte Man-in-the-Middle-Attacken wie im 2G-Netz sind in den 3G- und 4G-Netzen nicht möglich, weil hier die Authentifizierung in beide Richtungen läuft. Das Handy überprüft also, ob die Authentifizierungsanforderung von einem realen Netzwerk stammt.

Doch auch in den 3G- und 4G-Netzen gibt es einen Trick, um an entschlüsselte Daten zu kommen: mit einer sogenannten Downgrade-Attacke.

Dabei bringt der IMSI-Catcher ein Handy dazu, ihn als Funkmast zu erkennen und gaukelt ihm dann vor, es gäbe kein 3G- oder 4G-Netz. Damit erzwingt er wieder die unsicheren Bedingungen des 2G-Netzes.

Das funktioniert aufgrund einer alten Sicherheitslücke, die mit den sogenannten lokalen Netzwerken zu tun hat. Mobilfunksendemasten sind in Gruppen organisiert, die eine bestimmte Region abdecken. Eine solche Gruppe bildet ein lokales Netzwerk (oft auch location area genannt).

Handys, die sich in einer neuen Region anmelden wollen, senden noch vor der Authentifizierung eine Anfrage, den sogenannten Area Update Request. Versucht ein Handy sich über 4G mit einem IMSI-Catcher zu verbinden, kann er diese Anfrage mit dem Hinweis ablehnen, dass kein 4G-Service verfügbar ist.

Das Handy versucht dann, sich im 3G- oder 2G-Netz zu einer Basisstation zu verbinden, die der Catcher gerne zur Verfügung stellt. Im 3G-Netz gibt es ein analoges Verfahren. Einmal auf 2G heruntergestuft, kann eine Angreiferin wieder leicht eine Man-in-the-Middle-Attacke starten.

Mehr Sicherheit mit 5G?

Die Standardisierungs-Organisation für den Mobilfunk, 3GPP, will mit dem 5G-Mobilfunkstandard die Lücken schließen, die IMSI-Catcher bisher ausgenutzt haben. Zum Beispiel sollen IMSIs in Zukunft nur noch verschlüsselt übertragen werden.

Allerdings fordert die EU offenbar eine Hintertür. Dies geht aus einem internen Dokument des EU-Ministerrates hervor, welches der Österreichische Rundfunk (ORF) in Auszügen veröffentlicht hat. Darin fordert der Anti-Terror-Koordinator der EU, Gilles de Kerchove explizit technische Maßnahmen, um die Einsatzmöglichkeit von IMSI-Catchern auch bei 5G zu gewährleisten.

In dasselbe Horn stoßen hierzulande die Justizminister der Länder. Auf ihrer Frühjahrskonferenz forderten sie per Beschluss die Bundesregierung zu Gesetzesänderungen auf, um die Überwachung von Telekommunikation auch in 5G-Netzen zu ermöglichen.

Standort-Tracking per IMSI-Catcher

In jedem Fall kann die IMSI eines Handys dazu genutzt werden, seinen Standort zu bestimmen – teilweise ganz ohne eine Verbindung zum Handy zu benötigen.

Ein Weg ist, sogenannte Paging-Nachrichten der Basisstationen im lokalen Netzwerk abzufangen. Mit diesen Nachrichten werden Handys unter anderem dazu aufgefordert, sich bei einer bestimmten Basisstation zu melden, etwa um einen Anruf oder eine Nachricht zu empfangen.

Ein Angreifer kann Paging-Nachrichten aber auch aktiv auslösen, indem er das Handy mehrfach anruft (nur so kurz, dass es nicht beginnt zu klingeln). Er muss also nur die Telefonnummer kennen. Dann verschicken alle lokalen Basisstationen eine Paging-Nachricht, die die IMSI enthält. Weil diese Nachrichten unverschlüsselt sind, kann eine Angreiferin auf diesem Wege die IMSI erkennen.

Dann reichen zum Beispiel Kurz- oder Social-Media-Nachrichten, um eine Paging-Nachricht von der Basisstation auszulösen, die zuletzt mit dem Handy verbunden war. So lässt sich die Position des Handys schon auf den Umkreis einer Basisstation im lokalen Netzwerk eingrenzen (also auf ca. zwei Quadratkilometer).

Deutlich genauer wird es, wenn ein IMSI-Catcher eine direkte Verbindung zum Handy aufnimmt. Dabei kann er vom Handy die Signalstärken aller Basisstationen im lokalen Netzwerk abfragen (auch solche Abfragen finden vor der Authentifizierung statt und sind unverschlüsselt). Mit Varianten der Triangulation lässt sich daraus die Position des Handys bis auf wenige Meter genau bestimmen.

Das funktioniert zwar nur bei älteren 4G-Handys. Aktuelle Handys verschicken aber auf Anfrage auch Ihre GPS-Position, was das Standort-Verfolgen noch einfacher macht. Alles was man dazu braucht, ist die IMSI.

Wie kann man sich schützen?

Schützen kann man sich vor IMSI-Catchern leider nur bedingt. Mittlerweile gibt es zwar mehrere Apps, die vor IMSI-Catchern warnen sollen, darunter SnoopSnitch oder Cell Spy Catcher.

Die meisten dieser Apps nutzen Indizien, die ein Fachartikel einer Österreichischen Forschungsgruppe aus dem Jahr 2014 beschreibt: auf Schwankungen der Signalstärke von Fake-Basisstationen oder untypischen Region Codes.

Über die technischen Fähigkeiten aktueller IMSI-Catcher ist dagegen kaum etwas bekannt. Es ist also nicht unwahrscheinlich, dass auch eine solche IMSI-Catcher-Catcher-App die Attacke mit einem IMSI-Catcher nicht mitbekommt.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!