Sicherheit im Mobilfunk
der Abgeordneten Jan Korte, Ulla Jelpke, Wolfgang Neskovic, Petra Pau, Jens Petermann, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Juli 2009 gewarnt hatte, dass die „Kommunikation mit GSM-Mobiltelefonen […] ohne hinreichende Sicherheitsmaßnahme als unsicher anzusehen“ sei, schloss das Bundesbeschaffungsamt mit den drei deutschen Firmen Secusmart, Rohde & Schwarz sowie T-Systems Großaufträge für die Ausstattung von Bundesbeamten mit sicheren Handys ab (heise online am 29. Oktober 2009).
Die drei Rahmenverträge sollen „tausende Handys“ und „mehrere Millionen Euro“ umfasst haben. Das Geld stamme aus dem Konjunkturpaket II, in dem 500 Mio. Euro für Informationstechnik reserviert waren. Insgesamt seien 21 Mio. Euro für Krypto-Handys ausgegeben worden, wovon mehr als die Hälfte T-Systems für seine Simko2-Geräte eingenommen habe (ebenda).
Auch der Chaos Computer Club (CCC) hält es nicht mehr für verantwortbar, sensible Informationen über Mobiltelefone im GSM-Netz als Gespräch oder Kurznachricht auszutauschen. (Quelle: 26. Chaos Communication Congress (26C3) vom 27. bis 30. Dezember 2009 in Berlin).
Der 20 Jahre alte Verschlüsselungsalgorithmus, der von über 200 Mobilnetzen weltweit eingesetzt und von der Industrievereinigung der GSM-Mobilfunkanbieter (GSMA) vertreten wird, sei auf dem 26C3 ohne großen finanziellen oder technischen Aufwand gehackt worden.
Die meisten der Verschlüsselungslösungen für Smartphones seien allerdings nutzlos, berichtet der Newsletter „Sichere Kommunikation“ (Ausgabe 02/10). Zu diesem Schluss komme zumindest der in der Szene bekannte Hacker Notrax in seinem Blog (http://infosecurityguard.com). Er habe 16 Tools unter die Lupe genommen und bislang 12 davon knacken können. Unter den „gehackten“ sei nach eigenen Angaben auch die SecuVoice-Lösung des Düsseldorfer Anbieters Secusmart. Lediglich an drei Varianten habe sich der IT-Security-Experte bislang die Zähne ausgebissen, er weise jedoch ausdrücklich darauf hin, dass eine durch ihn nicht gefundene Schwachstelle nicht bedeute, dass ein Produkt auch wirklich sicher sei.
Wir fragen die Bundesregierung:
Fragen6
Hat die Bundesregierung Kenntnis von dem erfolgreichen Angriff auf den GSM-Algorithmus, und wenn ja, wie bewertet sie diesen?
Wird die Bundesregierung Konsequenzen aus dem erfolgreichen Angriff auf den GSM-Algorithmus ziehen?
Wenn ja, wie sehen diese aus?
Wenn nein, warum nicht?
Ist der Bundesregierung bekannt, dass Kritik am GSM-Verschlüsselungsalgorithmus bereits kurz nach seiner Einführung laut wurde, und wie hat sie gegebenenfalls auf den Vorwurf der mangelnden Sicherheit reagiert?
Wird die Bundesregierung die GSMA auffordern, entsprechende Schritte einzuleiten, den gebrochenen Standard durch einen zeitgemäßeren und sicheren auszutauschen?
Wenn nein, warum nicht?
Hat die Bundesregierung zur Sicherung ihrer eigenen mobilen Kommunikation entsprechende Handys angeschafft, und wenn ja, welchen Umfang hatte die Anschaffung, und aus welchen Mitteln wurde sie bestritten (bitte nach Auftragnehmer, Anzahl, Modell, Verschlüsselungssoftware, Kosten und jeweiligen Empfängern aufschlüsseln)?
Hat die Bundesregierung Kenntnis davon, dass die angeblich abhörsicheren Secusmart-Handys gehackt wurden?
Wenn ja,
a) seit wann weiß die Bundesregierung davon,
b) sind eventuell auch andere von der Bundesregierung angeschaffte Krypto-Handys von den erfolgten Hacks betroffen, und wenn ja, welche (bitte nach Anzahl, Modell, Verschlüsselungssoftware, Kosten und jeweiligen Empfängern aufschlüsseln),
c) welche Maßnahmen hat sie diesbezüglich ergriffen?