Sicherheitslücken im Mobilfunknetz
der Fraktion der CDU/CSU
Vorbemerkung
Am 11. Mai 2023 berichtete das Nachrichtenmagazin „DER SPIEGEL“ über Sicherheitslücken im Mobilfunknetz, die für das gezielte Ausspionieren und die Überwachung von Menschen missbraucht werden könnten (www.spiegel.de/netz- welt/handy-spaehattwie-ein-schweizer-it-unternehmer-weltweite-ueberwachu ng-ermoeglicht-a-f252d8e2-5697-42c8-8b75-bee73fb4eaa5). Die Schwachstellen lägen demnach im Signalling System 7 (Signalisierungssystem Nummer 7 – SS7), welches die weltweite Zustellung von Anrufen und SMS zwischen verschiedenen Komponenten von Mobilfunknetzen ermöglicht. Jedoch würden SS7-Angriffe auch für das Hacken von Telegram-Konten, Airbnb-Accounts und E-Mail-Postfächer genutzt. Laut Recherchen des „DER SPIEGEL“ stelle insbesondere das Schweizer IT-Unternehmen Fink Telecom Services Cyberkriminellen die dafür entscheidende Infrastruktur zur Verfügung. Inzwischen hat der internationale Verband der Mobilfunkunternehmen (GSMA) Telefonunternehmen dazu geraten, die Zugänge dieses Unternehmens ins Netz zu kappen (www.spiegel.de/netzwelt/netzpolitik/andreas-fink-mobilfunkverband-geht-geg en-schweizer-ss7-dienstleister-vor-a-d012c1dd-afb7-4ead-9571-59653abc 17e1). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte vor „Schwachstellen in der SS7-Signalisierung“ (S. 40, www.bsi.bund.de/Share dDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2017.pdf ?__blob=publicationFile&v=3).
Wir fragen die Bundesregierung:
Fragen12
Wie beurteilen die Bundesregierung aktuell, insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur, die Einschätzung des „DER SPIEGEL“, wonach „gravierende Schwachstellen im internationalen Mobilfunknetz“ vorliegen (www.spiege l.de/netzwelt/handy-spaehattwie-ein-schweizer-it-unternehmer- weltweiteueberwachung-ermoeglicht-a-f252d8e2-5697-42c8-8b75-bee73fb4eaa5)?
a) Gibt es aus Sicht des Bundesministeriums für Digitales und Verkehr (BMDV) Handlungsbedarf, und wenn ja, welchen?
b) Gibt es aus Sicht des BSI Handlungsbedarf, und wenn ja, welchen?
c) Gibt es aus Sicht der Bundesnetzagentur Handlungsbedarf, und wenn ja, welchen?
In welchem Umfang fanden nach Kenntnis der Bundesregierung, insbesondere des BSI, SS7-Attacken in Deutschland statt (bitte für die Jahre 2021 und 2022 aufführen)?
In welchem Umfang wurden dabei Aufenthaltsdaten von Nutzern erspäht und Gespräche und Textnachrichten abgefangen?
In welchem Umfang wurden dabei insbesondere Accounts von Online-Plattformen und Messenger-Apps, E-Mails-Accounts gehackt und Zugang zu Bankkonten erlangt?
In welchem Umfang fanden nach Kenntnis der Bundesregierung SS7- Attacken in Deutschland durch SS7-Zugänge ausländischer Mobilfunkbetreiber statt (bitte für 2021 und 2022 angeben)?
War nach Kenntnis der Bundesregierung Fink Telecom Services auch in Deutschland tätig, und sind Zusammenhänge zur illegalen Ausnutzung von SS7-Aktivitäten bekannt?
Welche Unternehmen in Deutschland bieten nach Kenntnis der Bundesregierung Drittunternehmen und Privatpersonen Zugänge über das SS7- Protokoll an?
Für welche Dienstleistungen nutzen diese Drittunternehmen nach Kenntnis der Bundesregierung Zugänge zum SS7-Protokoll?
Welche Sicherheitsmaßnahmen, wie etwa Plausibilitäts-Checks und die Nutzung von SS7-Firewalls, ergreifen die Mobilfunkbetreiber in Deutschland nach Kenntnis der Bundesregierung, um SS7-Attacken zu verhindern?
Welche Sicherheitsmaßnahmen ergreifen in Deutschland Online- Plattformen, Messenger-Apps, E-Mail-Provider, Banken und weitere Unternehmen, um SS7-Attacken zu verhindern?
Wie bewerten die Bundesregierung, insbesondere das BSI und die Bundesnetzagentur, die Effektivität dieser Maßnahmen zur Verhinderung von SS7-Attacken?
Was hat die Bundesnetzagentur bisher getan, um eine Ausnutzung von SS7-Schwachstellen in Deutschland zu verhindern?
Wie unterstützen die Bundesregierung, insbesondere das BSI und die Bundesnetzagentur, Mobilfunkprovider und weitere Unternehmen bei der Prävention von SS7-Attacken?
Welche Planungen bestehen nach Kenntnis der Bundesregierung in der Branche zur Ablösung des SS7-Protokolls, und inwiefern unterstützen das BSI und die Bundesnetzagentur eine Ablösung des SS7-Protokolls?