Bundesamt für Sicherheit in der Informationstechnik

G 5.94 Missbrauch von SIM-Karten

Jeden Tag werden Mobiltelefone verloren oder gestohlen. Neben dem unmittelbaren Verlust kann dabei weiterer finanzieller Schaden entstehen. Gelangt ein Unbefugter mit dem Gerät auch in den Besitz einer SIM -Karte, kann er auf Kosten des rechtmäßigen Karteninhabers telefonieren, sofern:

  • ihm die SIM PIN bekannt ist,
  • keine SIM PIN gesetzt wurde,
  • das Telefon eingeschaltet ist (Standby ohne Display-Password)
  • oder die SIM PIN erraten kann.

Mit dem Aufkommen von Datendiensten über Mobilfunk ist zudem das rechtliche Risiko durch Kartenmissbrauch deutlich erhöht worden. Nutzt der Unbefugte die SIM -Karte, beispielsweise um urheberrechtlich geschütztes Material herunterzuladen, Spam-E-Mails zu verschicken oder für Denial-of-Service-Attacken, kann zunächst der Inhaber der SIM -Karte dafür belangt werden.

Daten wie Telefonbuch oder Kurznachrichten, die im Mobiltelefon oder auf der SIM-Karte gespeichert sind, können durchaus einen vertraulichen Charakter haben. Ein Verlust des Mobiltelefons oder der Karte bedeutet dann unter Umständen die Offenlegung dieser gespeicherten Informationen.

Die kryptografischen Sicherheitsmechanismen der SIM-Karten einiger Netzbetreiber waren gegen 1998 schwach ausgelegt. Dadurch war es möglich, SIM-Karten dieser Netzbetreiber zu kopieren. Dazu musste dem Angreifer allerdings die Original-Karte zur Verfügung stehen. Außerdem muss die PIN bekannt sein oder die PIN-Abfrage abgeschaltet sein, damit die IMSI ausgelesen werden kann.

Benutzer können einen solchen Angriff durch Setzen einer schlecht erratbaren SIM PIN nahezu verhindern.

Stand: 14. EL Stand 2014