Immer mehr Endgeräte haben Verbindung mit dem mobilen Internet und dadurch mit dem Mobilfunk. Gegen bestimmte Angriffsmethoden sind sie kaum abgesichert. Wertvolle Unternehmensdaten können Angreifern bereits mit günstiger Technik in die Hände fallen.

Technik für Datenklau ab 30 EUR

Wichtige Unternehmensdaten lassen sich nicht nur mit einem Angriff auf die IT-Infrastruktur, bspw. mittels eines infizierten USB-Sticks, abgreifen. Vermehrt finden auch Angriffe über Schnittstellen des Mobilfunknetzes statt. Die Ursache ist simpel: immer mehr Unternehmen greifen auf die Fernwartung ihrer Geräte über das Mobilfunknetz zurück. Dadurch wird ein entsprechendes Szenario auch für Angreifer attraktiver. Die Technik für einen solchen Angriff ist bereits ab umgerechnet 30 EUR im Internet zu haben.

Wie können Angreifer über den Mobilfunk Daten abgreifen?

Um Daten über das Mobilfunknetz abgreifen zu können, kommen sog. „IMSI-Catcher“ zur Anwendung. „IMSI“ steht für „International Mobile Subscriber Identity“ und dient innerhalb von GSM-, UMTS- und LTE-Netzen der eindeutigen Identifizierung eines Netzteilnehmers. Über eine solche Kennung verfügen folglich Geräte, die über eine SIM mit dem Mobilfunknetz verbunden sind. Neben Smartphones und Tablets sind dies zum Beispiel auch mobile WLAN-Router. Bei letzteren besteht die Gefahr, dass auch weitere mit ihnen verbundene Geräten angegriffen werden könnten.

Ein IMSI-Catcher nutzt eine grundlegende Schwachstelle aus. Das Problem: nur das Endgerät mit SIM-Karte muss sich gegenüber dem Mobilfunknetz verifizieren – nicht aber das Mobilfunknetz gegenüber dem Endgerät. Der IMSI-Catcher wird von Angreifern dazu genutzt, ein Mobilfunknetz vorzutäuschen, mit dem sich das Endgerät dann verbindet. Da sich ein Endgerät mit der Mobilfunkstation mit dem stärksten Signal verbindet, haben Angreifer einen zweiten entscheidenden Vorteil. Anders als früher sind IMSI-Catcher nicht mehr teuer, groß und schwer. Sie sind mobil, die Technik bereits ab 35 US-Dollar zu haben. Dadurch können sie in die Nähe des Ziels gebracht werden, das Signal wird zum stärksten und die Endgeräte verbinden sich immer mit dem IMSI-Catcher.

Folglich können Angreifer so die Daten auslesen, die von den Endgeräten übermittelt werden. Neben dem Mitschneiden von Telefonaten sind das auch die Standortdaten von Unternehmensgeräten oder Textinhalte von SMS sowie Messenger-Nachrichten.

Wie können sich Unternehmen vor einem Angriff über den Mobilfunk schützen?

Noch vor wenigen Jahren galt als Lösung für dieses Problem der Umstieg von 2G/GSM auf 3G/UMTS. Mittlerweile haben Forscher derartige Angriffe auch im 4G/LTE-Netz durchgeführt. Der Kostenfaktor für einen derartigen Angriff lag bei ca. 1000 EUR.

Für Unternehmen ist es nicht so einfach, sich gegen Angriffe mit IMSI-Catchern zu schützen. Das Risiko lässt sich allerdings mit ein bisschen Aufmerksamkeit deutlich reduzieren. Gerade Attacken über das LTE-Netz haben Forscher über Social Media-Apps wie Facebook oder Messenger-Dienste wie WhatsApp durchgeführt. Folglich sollte auf beruflichen Endgeräten auf diese Dienste, soweit möglich, verzichtet werden. Werden sie genutzt sollten keine sensiblen Unternehmensdaten wie Kontakte, Kalendereinträge, Quellcodes oder Dokumente verschickt werden.

Schutz bei Smartphones können auch sog. „Cryptophones“ bieten, die mit speziellen technischen Schutzmaßnahmen ausgestattet sind. Cryptophones verschlüsseln die gesamte Kommunikation und gespeicherten Daten auf dem Gerät. Hierfür kommt eine eigene Firmware zum Einsatz, die das zugrunde liegende Operating System entsprechend modifiziert und u.a. Zugriffsrechte deutlich einschränkt. Mit speziell entwickelten Algorithmen findet die Verschlüsselung statt. Bei der Verschlüsselung von Telefonaten bspw. kommen zwei Algorithmen zum Einsatz. Erstens der sog. key exchange-Algorithmus für das Schlüsselaustauschprotokoll und zweitens der sog. symmetric key-Algorithmus, der das Gespräch selbst sichert. Vorhandene Smartphones können aber auch mit entsprechenden Drittanbieter-Apps nachgerüstet werden.

Ein Datenklau über den Mobilfunk zur Vorbereitung eines Social Engineering-Angriffs

Die Daten eines Unternehmens sind viel wert. Das wissen nicht nur die Verantwortlichen des Unternehmens, sondern auch Angreifer, die an diese Daten gelangen wollen. Beispiele aus der Vergangenheit zeigen, dass Unternehmen schon Lösegeld in Millionenhöhe zahlten, um ihre gestohlenen Daten oder die gekaperte IT-Infrastruktur zurückzuerhalten. Um Awareness zu schaffen, haben wir in unserem Blog auf die Gefahren analoger Angriffe mittels Social Engineering und Visual Hacking hingewiesen.

Auch wenn einige Daten, wie bspw. Standorte, auf den ersten Blick für ein Unternehmen nicht als riskant erscheinen, sollte man vorsichtig sein. Entsprechende Daten werden oft von Social Engineers für Angriffe genutzt und sind ein wichtiger Bestandteil ihrer Vorbereitungen.