Ratgeber

SMS verschlüsseln

Ein Artikel von , veröffentlicht am 14.07.2016
Foto: Mario Mancuso, CC BY

Will man ohne Internetverbindung Textnachrichten verschicken, sind SMS das Mittel der Wahl. Der Dienst ist im Regelfall allerdings nicht verschlüsselt. Wie man trotzdem sicher kommunizieren kann, erklären wir hier.

WhatsApp, Signal, Threema, Telegram – viele Messenger-Apps bieten inzwischen eine verlässliche Verschlüsselung der Kommunikationsinhalte an, aber die Apps kommunizieren über eine Internetverbindung. Beim SMS-Verkehr wird die Nachricht vom Nutzer nicht über das Internet, sondern über das Mobilfunknetz versendet. Die Möglichkeiten, diese Nachrichten zu verschlüsseln, sind aber rar. Lediglich eine Android-App ermöglicht aktuell diese Funktionalität.

Wer mobil telefoniert oder SMS-Textnachrichten versendet, nutzt dazu meistens die mobilen Telefonnetze, die je nach Mobilfunkanbieter verfügbar sind. Das am weitesten verbreitete Standardnetz ist das GSM-Netz. Aber wie sicher sind diese Verbindungen?

Wie funktionieren SMS?

SMS (Short Message Service) ist ein Dienst zur Übertragung von Kurzmitteilungen in Textform über das Handynetz. Flächendeckend ist der Kurznachrichtendienst seit 1994 verfügbar.

In der Regel erfolgt der SMS-Versand über eine Zentrale des eigenen Netzbetreibers, eine Art Vermittlungsstelle. Wie bei einem Anruf wird das Handy auch bei einer SMS in seinem jeweiligen Aufenthaltsbereich durch diese Vermittlungsstelle „ausgerufen“. Ist das Handy erreichbar, meldet es sich zurück, authentifiziert sich und bekommt die SMS zugestellt. Falls der Kunde nicht erreichbar ist, speichert die Zentrale die SMS ab und wiederholt die Zustellung zu einem späteren Zeitpunkt.

Warum SMS verschlüsseln?

Sicherer SMS-Verkehr über das Mobilfunknetz ist gerade dort angebracht, wo man zwar Telefonempfang, aber keinen Internetzugang hat. Vor allem in Situationen, in denen der Internetzugang absichtlich behindert wird, kann es wichtig sein, zu verschlüsseln.

Wie funktioniert SMS-Verschlüsselung?

Die sicherste Verschlüsselungsmethode ist auch für SMS eine Ende-zu-Ende-Verschlüsselung. Damit sind die Inhalte der Kommunikation nur auf den Geräten des Senders und des Empfängers lesbar.

Dabei verfügt jeder Nutzer über einen privaten und einen öffentlichen Schlüssel. Der Sender verschlüsselt eine Nachricht mit dem öffentlichen Schlüssel des Empfängers, der wiederum die Nachricht mit seinem privaten Schlüssel entschlüsseln kann. Der Messaging-Anbieter muss lediglich für die richtige Verteilung der Schlüssel sorgen. Beim Anbieter selbst fallen nur Verbindungsdaten an, also Informationen darüber, wer wann wem eine Nachricht gesendet hat. Den Inhalt der Nachricht selbst kann auch der Anbieter nicht mehr lesen.

Es gibt allerdings bei der SMS-Verschlüsselung ein zentrales Problem: Wer mit Hilfe eines Messengers wie WhatsApp eine Nachricht schickt, der kann sich sicher sein, dass alle WhatsApp-Nutzer diese Nachricht lesen können, denen sie geschickt wird. Alle WhatsApp-Versionen sind miteinander kompatibel – und können daher auch die Nachrichten ver- und entschlüsseln.

Das ist bei SMS anders. Da auch viele alte Geräte SMS empfangen können müssen, können Neuerungen wie eine Ende-zu-Ende-Verschlüsselung nicht mehr zum SMS-Standard hinzugefügt werden. Die alten Geräte lassen sich nicht aktualisieren. Die einzige technische Möglichkeit ist eine Ende-zu-Ende-Verschlüsselungsfunktion, die nur dann aktiviert wird, wenn beide Gesprächsteilnehmer miteinander kompatible Geräte benutzen.

Ein ungelöstes Problem ist der sichere Schlüsselaustausch über das Mobilfunknetz. Das dort gängigste Verbindungsprotokoll „SS7“ ist unsicher. sodass Angreifer die Schlüsselübertragung mithören können. Dieser Angriff hat allerdings einige Voraussetzungen und kann nicht von jedermann einfach durchgeführt werden. Insofern ist die verschlüsselte SMS auf jeden Fall sicherer als die unverschlüsselte.

Kann ich einfach und sicher SMS verschlüsseln?

Die meisten Apps, die SMS-Verschlüsselung anbieten, setzen die Verschlüsselung nur über eine Internetverbindung um. Die einzige Ausnahme ist die Android-App „Silence“, die verschlüsselten SMS-Verkehr über das Handynetz anbietet. Diese verschlüsselten SMS sind aber nur von den Android-Nutzern lesbar, die dieselbe App installiert haben. Ist das nicht der Fall, werden die SMS unverschlüsselt versendet.

In der Praxis heißt das, dass für die meisten Nutzerinnen der Gebrauchswert der App zur Absicherung der Kommunikation stark eingeschränkt ist. Allerdings verschlüsselt Silence nicht nur die Kommunikation, sondern auch die auf dem Gerät gespeicherten SMS.

Aber auch wenn man Verschlüsselungsapps benutzt, ist die Sicherheit eingeschränkt: Die Apps bieten zwar die Möglichkeit, sicher zu kommunizieren, das Handy-Betriebssystem bleibt aber trotzdem angreifbar. Wird das ganze Betriebssystem durch Angreifer manipuliert, kann eine verschlüsselte Verbindung auf dem manipulierten Geräten dadurch umgangen werden, in dem die Nachrichten jeweils vor beziehungsweise nach dem Entschlüsseln abgefangen werden.

Mehr zum Thema bei mobilsicher.de

Artikel drucken:

Beitrag teilen:

Weitere Artikel

Ratgeber 

Was bedeutet Zwei-Faktor-Authentifizierung?

Passwörter schützen den Zugang zu Daten, Geräten oder Online-Konten vor Unbefugten. Doch selbst gute Passwörter können gestohlen oder verloren werden. Immer mehr Anbieter setzen daher auf einen zweiten Faktor, um Zugänge besser zu sichern.

Mehr Ratgeber 

Unbekannte Quellen: Wann muss man Apps manuell installieren?

Android ermöglicht die „Installation aus unbekannten Quellen“. Darunter fasst das System alles, was nicht der Google Play-Store ist. Welche Vorteile die Funktion hat und wie Sie sie sicher nutzen, erfahren Sie hier.

Mehr Ratgeber 

Neue Regeln beim Banking: Was ändert sich?

Am 14. September 2019 ist die europäische Zahlungsdienstrichtlinie PSD2 (Payment Services Directive) in Kraft getreten. Eine Folge: Die TAN-Listen auf Papier darf nicht mehr genutzt werden. Viele Nutzer*innen steigen daher auf Banking-Apps um. Wir erklären was sich ändert und worauf Sie achten sollten.

Mehr YouTube-Video 

Sichere Cloud-Dienste: Alternativen zu Google Drive und Dropbox

Ihre Daten sollen nur für Sie und für niemand anderen zugänglich sein - das aber bitte überall und zu jeder Zeit? Nichts leichter als das - mit sicheren Cloud-Diensten. Wie sie funktionieren und welche Anbieter wir empfehlen, erfahren Sie im Video.

Ansehen

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz