Vom 26. Februar 2010
Deutscher Bundestag Drucksache 17/864
17. Wahlperiode 26. 02. 2010
Kleine Anfrage
der Abgeordneten Jan Korte, Ulla Jelpke, Wolfgang Neskovic, Petra Pau,
Jens Petermann, Halina Wawzyniak und der Fraktion DIE LINKE.
Sicherheit im Mobilfunk
Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) im
Juli 2009 gewarnt hatte, dass die „Kommunikation mit GSM-Mobiltelefonen
[…] ohne hinreichende Sicherheitsmaßnahme als unsicher anzusehen“ sei,
schloss das Bundesbeschaffungsamt mit den drei deutschen Firmen Secusmart,
Rohde & Schwarz sowie T-Systems Großaufträge für die Ausstattung von
Bundesbeamten mit sicheren Handys ab (heise online am 29. Oktober 2009).
Die drei Rahmenverträge sollen „tausende Handys“ und „mehrere Millionen
Euro“ umfasst haben. Das Geld stamme aus dem Konjunkturpaket II, in dem
500 Mio. Euro für Informationstechnik reserviert waren. Insgesamt seien
21 Mio. Euro für Krypto-Handys ausgegeben worden, wovon mehr als die
Hälfte T-Systems für seine Simko2-Geräte eingenommen habe (ebenda).
Auch der Chaos Computer Club (CCC) hält es nicht mehr für verantwortbar,
sensible Informationen über Mobiltelefone im GSM-Netz als Gespräch oder
Kurznachricht auszutauschen. (Quelle: 26. Chaos Communication Congress
(26C3) vom 27. bis 30. Dezember 2009 in Berlin).
Der 20 Jahre alte Verschlüsselungsalgorithmus, der von über 200 Mobilnetzen
weltweit eingesetzt und von der Industrievereinigung der GSM-Mobilfunk-
anbieter (GSMA) vertreten wird, sei auf dem 26C3 ohne großen finanziellen
oder technischen Aufwand gehackt worden.
Die meisten der Verschlüsselungslösungen für Smartphones seien allerdings
nutzlos, berichtet der Newsletter „Sichere Kommunikation“ (Ausgabe 02/10).
Zu diesem Schluss komme zumindest der in der Szene bekannte Hacker Notrax
in seinem Blog (http://infosecurityguard.com). Er habe 16 Tools unter die Lupe
genommen und bislang 12 davon knacken können. Unter den „gehackten“ sei
nach eigenen Angaben auch die SecuVoice-Lösung des Düsseldorfer Anbieters
Secusmart. Lediglich an drei Varianten habe sich der IT-Security-Experte bis-
lang die Zähne ausgebissen, er weise jedoch ausdrücklich darauf hin, dass eine
durch ihn nicht gefundene Schwachstelle nicht bedeute, dass ein Produkt auch
wirklich sicher sei.
Wir fragen die Bundesregierung:
1. Hat die Bundesregierung Kenntnis von dem erfolgreichen Angriff auf den
GSM-Algorithmus, und wenn ja, wie bewertet sie diesen?
Drucksache 17/864 – 2 – Deutscher Bundestag – 17. Wahlperiode
2. Wird die Bundesregierung Konsequenzen aus dem erfolgreichen Angriff auf
den GSM-Algorithmus ziehen?
Wenn ja, wie sehen diese aus?
Wenn nein, warum nicht?
3. Ist der Bundesregierung bekannt, dass Kritik am GSM-Verschlüsselungs-
algorithmus bereits kurz nach seiner Einführung laut wurde, und wie hat sie
gegebenenfalls auf den Vorwurf der mangelnden Sicherheit reagiert?
4. Wird die Bundesregierung die GSMA auffordern, entsprechende Schritte ein-
zuleiten, den gebrochenen Standard durch einen zeitgemäßeren und sicheren
auszutauschen?
Wenn nein, warum nicht?
5. Hat die Bundesregierung zur Sicherung ihrer eigenen mobilen Kommunika-
tion entsprechende Handys angeschafft, und wenn ja, welchen Umfang hatte
die Anschaffung, und aus welchen Mitteln wurde sie bestritten (bitte nach
Auftragnehmer, Anzahl, Modell, Verschlüsselungssoftware, Kosten und
jeweiligen Empfängern aufschlüsseln)?
6. Hat die Bundesregierung Kenntnis davon, dass die angeblich abhörsicheren
Secusmart-Handys gehackt wurden?
Wenn ja,
a) seit wann weiß die Bundesregierung davon,
b) sind eventuell auch andere von der Bundesregierung angeschaffte
Krypto-Handys von den erfolgten Hacks betroffen, und wenn ja, welche
(bitte nach Anzahl, Modell, Verschlüsselungssoftware, Kosten und jewei-
ligen Empfängern aufschlüsseln),
c) welche Maßnahmen hat sie diesbezüglich ergriffen?
Berlin, den 26. März 2010
Dr. Gregor Gysi und Fraktion
esellschaft mbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-ge-
setze.de