Es gibt Situationen, in denen Handy-Telefonate stören, etwa im Kino. Und es gibt Orte, an denen ist Telefonieren sogar verboten; in Gefängnissen dürfen deshalb Störsender installiert werden. Sie blockieren die Funkfrequenzen und hindern so Insassen daran, eingeschmuggelte Telefone zu benutzen. Solche "Jammer" sind in den Händen von Privatpersonen illegal und zudem teuer, energiehungrig und ineffizient. In den falschen Händen sind sie auch ein Sicherheitsrisiko, weil sie Notrufe behindern.

Dabei lassen sich selbst handelsübliche Handys durch eine Veränderung der Software zu Störsendern umfunktionieren, wie Informatiker der TU Berlin jetzt zeigten . Damit machten sie auf eine verbreitete Sicherheitslücke aufmerksam. Die Forschergruppe um Nico Golde vom Institut für Softwaretechnik und Theoretische Informatik  ersetzte die Software auf Telefonen und nutzte dann mit ihr eine Schwachstelle im GSM-Funkstandard aus. Die Informatiker stellten ihre Ergebnisse  im Rahmen des 22. Usenix Security Symposium  Mitte August in Washington vor.

Auf den veränderten Telefonen läuft eine optimierte Open-Source-Software . Damit tricksen sie die Funkmasten aus, statt - wie die Jammer - einfach nur Frequenzen in einem kleinen Gebiet mit Störsignalen zu überfluten. Die Stör-Handys verhindern, dass Textnachrichten und Telefonate in einem ganzen Gebiet zum Empfänger durchgestellt werden: Sie gaukeln eine falsche Identität vor und beantworten in fremdem Namen Anfragen.

Im schlimmsten Fall lassen sich auch Textnachrichten abfangen

Denn noch bevor Telefonate zu Handys geleitetet werden, senden Funkmasten über Hunderte Quadratkilometer Statusnachrichten. Dieser Prozess wird als Paging bezeichnet. "Eine Art Meldung, dass ein Anruf bereitsteht, geht an alle Telefone in dem Gebiet", sagt Nico Golde, Erstautor der Studie. "Sie enthält eine Identifikationsnummer. Mit ihr kann jedes Handy überprüfen, ob der Anruf für das Gerät bestimmt ist."

Die veränderten Telefone sind allerdings schneller darin, diese Anfragen zu beantworten als andere Handys - und schnappen diesen so Telefonate und Textnachrichten vor der Nase weg. Für die Sendemasten sieht es so aus, als wäre der echte Empfänger benachrichtigt worden. Doch der erfährt davon nichts . Im besten Fall ist nur das Telefonat verloren, ohne dass ein Gespräch zustande kommt. Im schlimmsten Fall lassen sich dank geknackter Verschlüsselung und fehlender Identitätsprüfung sogar Textnachrichten abfangen und lesen.

Getestet haben die Informatiker ihre Methode bisher nur für den über 20 Jahre alten GSM-Standard, den allerdings auch noch viele moderne Smartphones bei Bedarf nutzen. Auch die Kommunikation zwischen Maschinen und das zukünftige Internet der Dinge seien von dieser Sicherheitslücke bedroht, schreiben die Forscher. Und sogar die neuen UMTS- oder LTE-Netze könnten anfällig sein. "Viele der GSM-Protokolle wurden für sie kopiert: Der Paging-Mechanismus existiert in Mobilfunkstandards der dritten und vierten Generation", so Golde. "Ein ähnlicher Angriff wäre hier sehr wahrscheinlich möglich." Bisher mangelt es aber an entsprechender Hard- und vor allem Software.

Die Informatiker rechneten in ihrer Studie  beispielhaft für Berlin vor, dass nur elf Handys das Netz eines kleineren Anbieters lahmlegen könnten. "Sie könnten auf alle Paging-Anfragen antworten und den Handy-Empfang in einem Gebiet blockieren", erklärt Nico Golde. "Das kann ganze Stadtteile betreffen." Um allerdings zu Spitzenzeiten die Anfragen auch bei großen Anbietern mit den Störsendern abzudecken, wären mehr Telefone notwendig. In Berlin sind die Gebiete, in denen Paging-Anfragen für ein Handy gesendet werden, durchschnittlich 200 Quadratkilometer groß. Angreifer könnten ungefähr diese Fläche abdecken.

Handy-Störsender sind schwer aufzuspüren

"Der Verkauf und der Betrieb von Störsendern durch Privatpersonen ist illegal und stellt eine Ordnungswidrigkeit dar, die erhebliche Geldbußen zur Folge hat - bis zu Tausenden Euro", warnt René Henn, Pressesprecher der Bundesnetzagentur, vor dem Gebrauch solcher Geräte. "Wenn wir von Störsendern erfahren, gehen wir gegen diese vor und beschlagnahmen sie." Doch gerade die unauffälligen Handys, die wenig Strahlung abgeben und - nicht wie die Jammer - nur im Umkreis von Metern, sondern einigen Kilometern Telefonate blockieren, sind schwer aufzuspüren. Der Versuchsaufbau der Berliner Forscher hätte in einem großen Koffer Platz.

Solche Attacken ließen sich also nur mit Änderungen am GSM-Standard verhindern, sagen die Forscher. Die wären aber schwer umzusetzen. Die Industrie sei sehr zurückhaltend darin, neue Standards in laufende Netzwerke zu integrieren, bemängeln sie. Auch würde dies große Kosten verursachen , denn die Schwachstelle ließe sich durch mehr Identitätsprüfungen und somit größeren Datenverkehr beseitigen.

Da sich die Angriffe aber nicht nur gegen die Netzbetreiber und Gruppen, sondern auch gezielt gegen einzelne Nutzer richten lassen, könnten über die Sicherheitslücke weitere finanzielle Schäden entstehen: So beschreiben die Informatiker ein Szenario, in dem sich eine mobile Tan (mTAN) für das Online-Banking abgreifen lässt.