Gemalto: Eventueller Diebstahl der SIM-Encryption-Keys eingeräumt und relativiert

Ende letzter Woche machte die Meldung die Runde, dass NSA und GCHQ Zugriff auf die Schlüssel von SIM-Karten erlangt hätten und deren verschlüsselte Gespräche somit ohne große Mühe abgehört werden könnten. Gemalto, ein Hersteller von SIM-Karten, kündigte eine Untersuchung an und gibt nun teilweise Entwarnung. Diese Entwarnung liest sich allerdings eher wie ein Versuch, die eigenen Produkte nicht in einem schlechten Licht dastehen zu lassen.

Gemalto_02

In der Erklärung heißt es, dass die durch Gemalto 2010 und 2011 entdeckten Angriffe möglicherweise durch NSA und GCHQ durchgeführt wurden. Allerdings seien die Attacken nur gegen das Office-Netzwerk von Gemalto gerichtet gewesen und können nicht mit dem Diebstahl der SIM-Encryption-Keys in Verbindung gebracht werden. Gleichzeitig sagt Gemalto aber aus, dass es die Attacke durchaus auf die Keys abgesehen hatte, die zwischen den Mobilfunkprovidern und deren (SIM-) Lieferanten ausgetauscht wurden. Außerdem sei 2010 bereits ein sicheres System zur Übertragung der Schlüssel genutzt worden und nur in Ausnahmefällen ein Diebstahl möglich wäre.

Sollte es jedoch zu einem solchen Diebstahl gekommen sein, gibt Gemalto an, dass die Geheimdienste lediglich die Kommunikation von 2G-Netzwerken hätten abhören können. 3G- und 4G-Netzwerke seien für solche Angriffe nicht empfänglich. Auch sind keine anderen Gemalto-Produkte (Bankkarten, Ausweise) betroffen.

Und einen Tipp für Gegenmaßnahmen gibt Gemalto auch noch mit auf den Weg: Die systematische Verschlüsselung von Daten, wenn sie gespeichert oder übermittelt werden, die neuesten SIM-Produkte nutzen und einen individuellen Algorithmus für jeden Anbieter. Gemalto rückt zudem die Informationen der veröffentlichten Dokumente zurecht. So müssen mehrere Anbieter attackiert worden sein, da in den Dokumenten auch Länder auftauchen, die nicht von Gemalto beliefert werden.

Das sind die Eckpunkte, die Gemalto nennt. Wem man nun glauben soll? Da wird es schwierig. Gemaltos Erklärungen klingen alles andere als zufriedenstellend, zu viele hätte, könnte, wäre. Dass sich der Anbieter nicht hinstellt und sagt, ja, unser sicheres Produkt war gar nicht so sicher, wie erwartet, ist nachvollziehbar. Bereits in der Ankündigung zu dieser Erklärung ließ man verlauten, dass man nicht mit finanziellen Einbußen rechnet.

So richtig schlau wird man aus den Aussagen nicht. Weder geben sie zu, dass es zu einem Diebstahl gekommen ist, noch streiten sie es ab. Ich weiß ehrlich gesagt nicht so recht, was ich davon halten soll. Das gesamte Statement liest sich, als würde man krampfhaft versuchen von sich selbst abzulenken und die ganze Sache herunterzuspielen. Da sich weder NSA, noch GCHQ dazu äußern werden, bleiben wir mit einer Behauptung und mit einem Statement zurück, beide lassen sich nicht verifizieren. Dieses Herausreden macht auf mich aber durchaus den Eindruck als könnte man den Geheimdienst-Slides mehr glauben als Gemalto, allerdings ist dies nur meine Meinung.

Das komplette Statement von Gemalto findet Ihr auf der Hersteller-Seite.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

6 Kommentare

  1. Diese Relativierung ist so viel wert, wie ein Bericht über Massenvernichtungswaffen der Amis.

  2. Ich finde es toll, dass Gemalto so offen ist. Besonders der Hinweis, dass jetzt unbedingt ihre neuesten Produkte eingesetzt werden sollten, weil die besonders sicher sind überzeugt mich völlig.

  3. Savantorian says:

    #luegengemalto 😉

  4. Lülülülülülü…

  5. Ich hatte einfach mal eine Mail an Vodafone geschrieben, ob denn auch die SIM von VF betroffen sind, ob SIM dieses Hersteller eingesetzt werden und ob man ggfl. diese austaischen will. Nur mal ob zu schauen, die VF reagiert. Der Kundensupport verwies auf den Datenschutzbeauftragten. Der schickte einen Textblock, dass man alle Datenschutzrichtlinine, von VF, beachte. Aha. Also, nicht mal die Mail gelesen.

  6. Snowden und Co. werden keine Informationen rausgeben, die nicht 100%ig sicher sind. Bei NSA und GCHQ werden genug Anwälte und PR-Berater sitzen, die nur darauf warten, dass sie zum einem Gegenschlag ausholen können, weil die Leaks inkorrekt sind.

    Gemaltos Reaktion, neue Karten zu verkaufen ist doch genial. Die machen ihre Kohle schon.