Den Ent­scheid BGer 1B_191/2018, in dem das Bun­des­ge­richt leicht ver­ständ­lich die Vor­ge­hens­weise eines IMSI-Cat­chers umschreibt, habe ich hier (IMSI-Cat­cher: Anwen­dungs­fall einer Man-in-the-middle-Atta­cke) bereits ein­mal kom­men­tiert. In die­sem Post bin ich davon aus­ge­gan­gen, dass ein IMSI-Cat­cher sich das sog. Roa­ming auf Sei­ten der Mobil­funk­cli­ents zunutze macht. Das ist natür­lich nicht ganz rich­tig. (Danke für den Hin­weis!) Wenn man schon dem Bun­des­ge­richt vor­hält, nicht ganz prä­zise gewe­sen zu sein, muss man sich dann auch sel­ber an der Nase neh­men. Hier also etwas präziser:

Dem Ein­satz eines IMSI-Cat­chers liegt ein MITM (Man-in-the-Middle)-Szenario zu Grunde. Der IMSI-Cat­cher gibt sich als Antenne resp. Funk­zelle eines offi­zi­el­len Netz­be­trei­bers aus und bie­tet dazu auch noch das stärkste Signal an. Das ist der Grund warum die Mobil­funk­teil­neh­mer ihn des­halb für ihre Kom­mu­ni­ka­tion aus­wäh­len  Das liege am sog. Roa­ming auf Cli­ent­seite, habe ich behaup­tet. Eigent­lich wäre “Han­do­ver” der rich­tige Begriff.

Der Begriff Roa­ming wird in Abhän­gig­keit der zu Grunde lie­gen­den Tech­no­lo­gie defi­niert. Roa­ming ist die Fähig­keit eines Mobil­funk­teil­neh­mers, sich in ein Netz eines frem­den Netz­be­trei­bers ein­zu­wäh­len und dann auf die­sem Netz zu kom­mu­ni­zie­ren. Oder aber, zwi­schen unter­schied­li­chen Funk­tech­no­lo­gien unter­bruchs­frei zu wech­seln. Also zum Bei­spiel wäh­rend dem Tele­fo­nie­ren auf dem GSM-Netz ins WLAN zu wech­seln, ohne dass das Gespräch unter­bro­chen wird. Das ist ein Her­um­streu­nen oder Her­um­strei­fen, in Eng­lisch ganz ein­fach Roaming.

Wech­selt der Netz­teil­neh­mer zwi­schen unter­schied­li­chen Net­zen glei­cher Art, spricht man von Han­do­ver. Also z.B. wäh­rend des Tele­fo­nie­rens von einer GSM-Funk­zelle in die nächste wech­seln, wäh­rend man im Zug sitzt oder von einer WLAN-Zelle in die nächste wech­seln, wäh­rend man im Lift mitfährt.

Ein IMSI-Cat­cher macht sich also nicht Roa­ming, son­dern Han­do­ver zu nutze. Da gibt es dann wie­derum einige Klas­si­fi­zie­rungs­mög­lich­kei­ten (siehe Wiki­pe­dia), wobei im Kon­text von GSM/UMTS von Mobile Assis­ted Han­do­ver (MAHO) gespro­chen wird, bei dem das Natel wie auch die Netz­an­tenne die Signal­stärke mes­sen und das Netz dann den Teil­neh­mer zum Han­do­ver anlei­tet. (Das macht das “assis­ted” im Assis­ted Han­do­ver aus.) Im Kon­text von WLAN spricht man von Mobile Con­trol­led Han­do­ver (MCHO), bei dem der cli­ent – und nur die­ser ent­schei­det -, das Han­do­ver vor­zu­neh­men (des­halb das “con­trol­led” in Mobile Con­trol­led Han­do­ver). In die­sem Sinne kann man getrost mit dem Bun­des­ge­richt davon aus­ge­hen, dass ein IMSI-Cat­cher das Ein­wäh­len in die gefälschte Zelle durch­aus “steu­ert”:

Die­ses tech­ni­sche Gerät zur Über­wa­chung des Fern­mel­de­ver­kehrs [=IMSI-Cat­cher] simu­liert, ver­ein­facht gesagt, eine Mobil­funk­an­tenne. Es steu­ert die in der nähe­ren ört­li­chen Umge­bung des Cat­chers betrie­be­nen Mobil­te­le­fone in der Weise, dass sie sich statt an der nächst­ge­le­ge­nen Mobil­funk­an­tenne beim IMSI-Cat­cher anmelden.

Urteil vom 16. Okto­ber 2018 1B_191/2018, E. 3.5

 

Mit einem sehr ein­fa­chen und güns­ti­gen Setup und weit ver­brei­te­ter Open Source Soft­ware las­sen sich übri­gens im Berei­che von WLAN sol­che Angriffe durch­füh­ren, wie es mit dem IMSI-Cat­cher auch geschieht. Sol­che Angriffe wer­den dann als “Evil Twin”-Angriff bezeich­net. Dabei gibt der Angrei­fer sich als legi­ti­mer WLAN-Access-Point aus und lockt mit dem stär­ke­ren Signal seine Opfer in sein Netz. Die Kom­mu­ni­ka­tion erfolgt dann über ihn und er kann den durch ihn flies­sen­den Traf­fic analysieren. 

Ver­schlüs­sel­ten Webtraf­fic (https) kann der Angrei­fer dabei meist nicht direkt abhor­chen, son­dern zwingt den Teil­neh­mer zu unver­schlüs­sel­ter Kom­mu­ni­ka­tion. Oder er bie­tet gleich sel­ber eine voll­stän­dig gefälschte Seite an, um an die gewünsch­ten Daten zu gelan­gen (Phis­hing). Öffent­li­che WLANs sind für sol­che Angriffe beson­ders beliebt.

Sind Sie sich sicher, dass Sie im Star­bucks, bei einem Kiosk, im Abteil der SBB oder in irgend­ei­nem Restau­rant nicht auf einem gefälsch­ten Acces­s­point sur­fen und alles mit­ge­horcht wird? 

Wenn Sie auf Num­mer sicher gehen wol­len, benut­zen Sie ganz ein­fach ein VPN. Damit ist sämt­li­che Kom­mu­ni­ka­tion ver­schlüs­selt und wird durch das WLAN in einem Tun­nel in ein siche­res Netz gelei­tet. Falls das VPN sei­nen Dienst ver­wei­gert, las­sen Sie das WLAN am bes­ten links liegen.