Die Sicherheitslücke, 3G und 4G Mobilgeräte via Fake-Basisstationen zu kapern und anzugreifen, besteht grundsätzlich auch noch in 5G, warnt der Sicherheitsanbieter Sophos. Lösungen für dieses Problem seien allerdings in Sicht.

Die Security in der fünften Mobilfunk-Generation, 5G AKA (Authentication and Key Agreement) genannt, baut auf den AKA-Protokollen der 3G- und 4G-Technik auf, wie Sophos ausführt. Eines der Probleme der älteren Mobilfunk-Protokolle ist es, dass Angreifer 3G- und 4G-Geräte leicht mit gefälschten Basisstationen überwachen können, also mittels sogenannter IMSI Catcher (IMSI: International Mobile Subscriber Identity). Dabei verbindet sich das Mobilgerät automatisch mit der scheinbaren Basisstation, da die GSM-Technik immer das nächste und stärkste Netz priorisiert. Der Anwender bemerkt hier vermutlich nicht, wenn sich das Mobilgerät mit der Fake-Basisstation verbindet.

Dieses Sicherheitsproblem wollte man eigentlich mit 5G in den Griff bekommen. Dem ist jedoch leider nicht so, wie Sophos-Forscher im White Paper „New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols“ schreiben. Grund seien tiefergehende Probleme mit dem AKA-Protokoll.

Verbindet sich ein Mobilgerät mit der betrügerischen Basisstation, können Angreifer nicht nur das Gerät und seinen Besitzer identifizieren, warnt Sophos. Vielmehr könne der Angreifer zusätzlich den physischen Standort verfolgen und einen sogenannten Downgrade-Angriff starten, bei dem Sicherheitsfunktionen wie etwa die Verschlüsselung abgeschaltet werden.

Dem IMSI-Catcher kommt hier zugute, dass sich das Gerät zwar über seine eindeutige Teilnehmeridentität im Netzwerk authentifiziert, die Basisstation sich aber im Gegenzug nicht authentifizieren muss, erläutert Sophos. Grund dieser Einseitigkeit sind die Ursprünge des Mobilfunknetzes, wo die Interoperabilität mit Basisstationen unterschiedlichster Hersteller Vorrang hatte. Wäre diese alte Sicherheitslücke geschlossen, würden betrügerische Basisstationen unter 5G zwar noch eine Verbindung zum Mobilgerät herstellen, allerdings könnte die Identität des Teilnehmers durch eine vom Mobilfunknetz verwaltete Public-Key-Verschlüsselung verborgen bleiben.

Diese Verschlüsselung der Identität können Angreifer laut Sophos-Angaben jedoch zunichte machen, indem sie andere Informationen der AKA-Protokolle auswerten. Dazu gehören beispielsweise Muster im Anmeldeverhalten und bei der Nutzung von Mobildiensten. Auf diese Weise können Angreifer auf die Identität eines Geräts schließen, ohne den Inhalt der Kommunikation einsehen zu müssen.

„Die Angreifer benötigen eine neue Generation an IMSI-Catchern, um die Sicherheitslücke in 5G auszunutzen“, erklärt Michael Veit, Security-Experte bei Sophos. „Zudem bedarf es im Vergleich zu 3G und 4G weit mehr Raffinesse, um eine Standortverfolgung unter 5G zu realisieren. Diese beiden Umstände verschaffen Zeit für zusätzliche Schutzmechanismen.“

Eine weitere Tatsache sorge zumindest zeitweise für Entspannung: „Die Forscher haben die 5G-Security in der ersten Phase untersucht, in der diese Technologie noch nicht flächendeckend zur Verfügung steht“, so Veit. „Damit ist es möglich, bereits in der zweiten Phase etwas gegen dieses Sicherheitsproblem zu unternehmen.“

Die Forschungsergebnisse seien seitens der zuständigen Gremien – 3GPP und GSMA – inzwischen anerkannt. Abhilfemaßnahmen zur Verbesserung des Protokolls für die nächste Generation werden laut Veit eingeleitet.

Weitere Informationen finden sich unter www.sophos.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.