IMSI-Catcher
aus Wikipedia, der freien Enzyklopädie
IMSI-Catcher sind Geräte, mit denen die auf der Mobilfunk-Karte eines Mobiltelefons gespeicherte International Mobile Subscriber Identity (IMSI) ausgelesen und der Standort eines Mobiltelefons innerhalb einer Funkzelle eingegrenzt werden kann. Eine Modellvariante des IMSI-Catchers (GA 900) erlaubt es auch Handy-Telefonate mitzuhören.
Das Gerät arbeitet dazu gegenüber dem Handy wie eine Funkzelle (Basisstation) und gegenüber dem Netzwerk wie ein Handy; alle Handys in einem gewissen Umkreis buchen sich bei dieser Funkzelle mit dem stärksten Signal, also dem IMSI-Catcher, ein. Der IMSI-Catcher simuliert also ein Mobilfunknetzwerk.
Dabei werden allerdings auch Daten Unbeteiligter im Funknetzbereich des IMSI-Catchers erfasst, ohne dass diese es erfahren. Der IMSI-Catcher legt darüberhinaus unter Umständen den gesamten Mobilfunkverkehr der betroffenen Handys lahm, so dass auch Notrufe nicht möglich sind.
IMSI-Catcher werden hauptsächlich zur Bestimmung des Standortes und Bewegungsprofils von Personen benutzt. Eingesetzt werden IMSI-Catcher von Strafverfolgungsbehörden und Geheimdiensten; in Deutschland am weitesten verbreitet ist wohl das "GA 090" der Firma Rohde & Schwarz.
Inhaltsverzeichnis |
[Bearbeiten] Funktionsweise (mit Abhörfunktion)
Der Catcher simuliert eine bestimmte Mobilfunkzelle vom Netzbetreiber. Der Catcher steigt in der Kanal-Nachbarschaftsliste des Handys als Serving-cell auf. Der IMSI-Catcher strahlt eine veränderte Location Area Identity aus und veranlasst somit die Handys dazu, Kontakt zum (simulierten) Mobilfunk-Netz aufzubauen ("Location Update"-Prozedur). Der Catcher fordert daraufhin einen "Identity Request" Befehl an. Das Handy antwortet mit einem Identity Response, welcher IMSI oder TMSI (temporary IMSI) sowie IMEI enthalten kann. Die erhaltenen Daten müssen dann mit vorhandenen Datenbeständen verglichen werden. Der gesamte Vorgang wird dadurch ermöglicht, dass ein Handy sich zwar gegenüber dem Mobilfunknetz authentisiert, nicht aber das Mobilfunknetz sich gegenüber dem Handy. Nachdem der Catcher das Handy als Basisstation übernommen hat, bringt er das Handy über einen dafür vorgesehenen Signalisierungsweg im GSM-Protokoll in den unverschlüsselten Übertragungsmodus. Somit wird ein über den Catcher geführtes Gespräch abhörbar. Um das abgehörte Gespräch weiterzuleiten muss sich der IMSI-Catcher gegenüber dem Mobilfunknetz als Handy ausgeben. Dabei kann er die unverschlüsselt abgehörten Nachrichten nicht unverschlüsselt weiterleiten, da das Mobilfunkgerät zwar von der Basestation dazu gebracht werden kann, unverschlüsselt zu senden, diesen Modus aber nicht von sich aus wählen darf. Deshalb benötigt der IMSI-Catcher eine eigene SIM-Karte und leitet die abgehörten Daten als eigenes Gespräch weiter. Anrufe, die von einem abgehörten Handy aus getätigt werden zeigen dem Angerufenen daher auch nicht die Telefonnummer des tatsächlichen Anrufers an, sondern die des IMSI-Catchers, bzw. werden nicht angezeigt. Obwohl die Firmware eines Handys den unüblichen Modus der Nicht-Verschlüsselung von Gesprächen dem Benutzer signalisieren könnte, wird darauf verzichtet. Lediglich bei einigen Modellen ist es möglich, Aufschluss zu erlangen, ob das Mobilfunkgerät im verschlüsselten Modus überträgt: hierzu muss ein interner Netzwerkmonitor des Geräts aktiviert werden. Dieser ist jedoch zumeist nicht benutzerfreundlich und verlangt nach Fachkenntnissen, um die angezeigten Werte richtig zu deuten. Ohnehin ist bei Mobilfunkgesprächen ebenso wie bei Festnetzgesprächen zu beachten: Staatliche Abhörmaßnahmen finden direkt bei der Mobilfunk- / Telefongesellschaft statt und sind aus Gründen, die sich aus der Systematik der Abhörmethode ergeben, nicht am Endgerät feststellbar.
[Bearbeiten] Beispielszenario
Eine Zielperson befindet sich in ihrer Wohnung. Ermittler nähern sich der Zielperson mit einem Fahrzeug, in welchem der Catcher untergebracht ist, und führen je eine Simulation pro Netzbetreiber durch. Nun dürften gerade in einer Großstadt pro Messung und Netz eine Menge an Kennungs-Paaren "IMSI" oder "TMSI", "IMEI" gefangen werden. Dieser Umstand dürfte es erforderlich machen, mehrere Messungen durchzuführen.
Nun verlässt die Zielperson die Wohnung und fährt z. B. in eine andere Stadt. Die Ermittler verfolgen die Zielperson und führen evtl. schon auf der Fahrt erneut Messungen durch. Durch den Abgleich der ersten Serie an Messungen mit der Zweiten oder weiteren Messungsserien, kann herausgefunden werden, welche Kennungen gleich sind. Die IMSI und IMEI welche bei der ersten sowie der zweiten Messungsserie identisch sind, gehören mit hoher Wahrscheinlichkeit zur Zielperson.
Auch wenn die Person die SIM-Karte wechselt, bleibt immer noch die IMEI des Handys gleich. Dies ist der Grund, warum Kriminelle dazu übergegangen sind, neben dem Wechsel der SIM-Karte ein anderes Mobiltelefon einzusetzen, also mehrere verschiedene Handys mit unterschiedlichen SIM-Karten zu benutzen. Durch Vergleich mit allen gesammelten Daten können Rückschlüsse auf den Tauschzyklus geschlossen werden.
Bei manchen älteren Handys lässt sich über eine besondere Software mit Hilfe eines Datenkabels auch die IMEI abändern. Beim Wechsel der IMEI sollte darauf geachtet werden eine solche Kennung zu vergeben wie sie auch in der Praxis von den Herstellen vergeben wird (stimmiger Type Approval Code und stimmiger Ländercode). Es empfiehlt sich je nach Bedarf an Geheimhaltung z.B bei Treffen keine Handys mitzuführen, da schon allein die Bewegungs-/Ortsdaten eines Handys aufgezeichnet werden und inkriminierend sein können.
BKA und Verfassungsschutz verwenden diese Geräte, allerdings (noch) nicht - nach eigener Auskunft, Stand 2002 - die Variante (GA 900), welche Gespräche abhören kann. Sie gelten allerdings - bei einem Preis von 200 - 300 T € - bereits als Exportschlager.
[Bearbeiten] Problematik
Eine vielfach nicht erwähnte und auch unterschätzte Problematik stellt die Besonderheit von IMSI-Catchern dar, die Fähigkeit aller sich in ihrem Wirkungsbereich (ca. 60 qkm) befindlichen Mobiltelefonen Notrufnummern zu wählen zu blockieren. Ein Notruf an Polizei, Feuerwehr oder Notarzt wird so während des Betriebs und teilweise noch Stunden danach unmöglich.
[Bearbeiten] Schutzmaßnahmen
- In Großstädten dürfte es nur sehr schwer möglich sein, die IMSI und IMEI eines Handynutzers anhand nur eines Standortes in kurzer Zeit zu ermitteln. Wenn das Handy also nur an einem bestimmten Ort eingesetzt wird (z. B. ein Haus mit vielen Parteien) und die Position nicht verändert wird, geht das gesuchte Handy in der Menge der anderen unter und ist schwerer zu identifizieren. Darüber hinaus müsste das simulierte Signal des IMSI-Catchers über längere Zeit wesentlich stärker sein, als die Funknetzversorgung des Netzbetreibers. Dies würde zu einer schnellen Enttarnung des IMSI-Catchers führen.
- Im GSM-Netzwerk authentifiziert sich das Handy gegenüber dem Netz, nicht aber das Netzwerk gegenüber dem Handy. Daher ist ein Angriff mit einem IMSI-Catcher als "Man-in-the-Middle"-Attacke möglich. In UMTS-Netzwerken wurde dieser Schwachpunkt behoben und auch das Netzwerk muss sich anhand einer Authentisierung gegenüber dem Handy autorisieren. Daher sind im UMTS-Netz derartige Attacken mit IMSI-Catchern nicht möglich.
[Bearbeiten] Nachweisbarkeit
Mit Hilfe von spezieller Monitor-Software, die ununterbrochen alle Signale aufzeichnet, z. B. Zellen ID, Kanal, Location-Area, Empfangspegel, Timing Advance, Mindest-/Maximal-Pegel, kann der Einsatz eines IMSI-Catchers unter Umständen nachvollzogen werden. Da IMSI-Catcher auch von Geheimdiensten eingesetzt werden, ist anzunehmen, dass diese gut getarnt sind. Dies bedeutet, dass eine Netzbetreiberzelle 1 zu 1 kopiert wird.
Auffällig ist jedoch, dass bei allen Handys eines Netzbetreibers in der Nähe des Catchers zur gleichen Zeit "Kommunikation" stattfindet. Dies ist z. B. durch Monitor-Software feststellbar. Noch auffälliger: Dieses Phänomen wiederholt sich in kurzen Abständen bei allen Netzbetreibern in der Nähe des Catchers. Um dies festzustellen wären also mindestens 2 Handys pro Netzbetreiber nötig, deren Daten per Software laufend ausgewertet werden.
Beispiel eines möglichen Signalisierungsprofil als (//) dargestellt und vier Mobile Network Codes (Netzbetreiber). Für jeden MNC werden 2 Handys eingesetzt, daher der Doppelstrich (//). Die Reihenfolge der MNCs ist unerheblich. Ein einfacher Strich (/) ist z. B. ein Periodic Location Update.
t (Zeitachse)-------->
MNC1.......//................/...........
MNC2.........//..........................
MNC3............//.........../...........
MNC4...../.........//....................
Die Treppenstruktur weist auf einen Fremdeingriff durch einen Catcher in das Mobilfunknetz hin
Ein normales Profil ohne Standortwechsel und eigenen Eingriff ist völlig unstrukturiert:
t ----->
MNC1............................/........
MNC2...../............................./.
MNC3................../..................
MNC4........../................../.......
Da der IMSI-Catcher zwar gegenüber dem Mobiltelefon ein GSM-Netzwerk simulieren kann, jedoch nicht gegenüber dem Netzwerk ein Handy, ist ein Scanvorgang mit IMSI-Catcher auch recht einfach durch einen Telefonanruf zu enttarnen: man ruft das fragliche Handy an. Wenn es nicht klingelt, wurde die vom "echten" Netz kommende Signalisierung verschluckt. Ein erfolgreicher terminierter Anruf kann den Einsatz eines "einfachen" IMSI-Catchers ausschließen (Z.B. R&S GA 090). Mittlerweile gibt es jedoch inteligentere IMSI Catcher die nur halb aktiv arbeiten, somit lassen sich auch eingehende Gespräche belauschen. Ein paar Mobiltelefone zeigen jedoch eine deaktivierte Verschlüsselung an, was auf den Einsatz eines IMSI Catchers schließen kann, aber nicht muss. Davon unbeeinträchtigt sind jedoch Überwachungsfunktionen, die direkt vom echten Netzwerk vollkommen ohne IMSI-Catcher gesteuert werden.
[Bearbeiten] Rechtsgrundlage
In Deutschland ist der am 14. August 2002 in Kraft getretene § 100i der Strafprozessordnung die Rechtsgrundlage für den Einsatz eines IMSI-Catchers durch Strafverfolgungsbehörden. Die Vorschrift dient unter anderem der Fahndung sowie der Begründung von Sachbeweisen. Am 13. Oktober 2006 bestätigte das Bundesverfassungsgericht die Vereinbarkeit des Einsatzes von IMSI-Catchern zur Strafverfolgung mit dem Grundgesetz. Nach Ansicht der Richter verstößt dieser Einsatz weder gegen Datenschutzbestimmungen noch gegen das Fernmeldegeheimnis.
