Hacker-Ikone Kevin Mitnick knackt jede Combox. Sind unsere Telefone und Mailboxen so leicht zu manipulieren? Das grösste Sicherheitsrisiko ist der Benutzer selbst, sagen die Betreiber.

In England haben Journalisten des britischen Revolverblatts «News of the World» anscheinend jahrelang bis zu 4000 Personen abgehört. Darunter Prominente wie den Schauspieler Hugh Grant, die Königsfamilie oder Angehörige der Opfer der Terroranschläge von 2005 auf die Londoner U-Bahn. Besonders abstossend: 2002 ist im Auftrag der Zeitung das Handy eines verschwundenen Mädchens geknackt worden. Die Journalisten hörten die Voice Mailbox der 13-Jährigen ab und löschten ältere Nachrichten, um Platz für neue Meldungen der verzweifelten Eltern zu schaffen.

Wenn kriminelle Journalisten die Mailbox von Dritten hacken können, stellt sich die Frage, ob dies so einfach und für jedermann möglich ist.

«Das Hacken einer Mailbox ist bei Orange nicht möglich», versichert eine Unternehmenssprecherin auf Anfrage. Das Orange-Netzwerk sei gegen sogenannte Spoofing-Angriffe geschützt. Bei einem Spoofing-Angriff wird dem Mobilfunkanbieter ein Anruf des Handy-Besitzers vorgetäuscht. Da für das Abhören der Nachrichten mit dem eigenen Handy oft kein PIN benötigt wird, erhält der Angreifer Zugriff auf die Sprachnachrichten.

So kann die Mailbox geknackt werden - Das Tech-Portal «ZDNET» wollte genau wissen, wie schwierig das Hacken einer Mailbox ist und hat den ehemaligen Hacker Kevin Mitnick angerufen. Mitnick soll über 100-mal in das Netzwerk des Pentagon eingedrungen sein. 1995 wurde Mitnick vom FBI verhaftet und sass vier Jahre im Gefängnis. Heute berät er Unternehmen, wie sie sich gegen Cyberkriminelle schützen können.

Dass der ehemalige Hacker im Knast keineswegs eingerostet ist, führte er der «ZDNET»-Journalistin live vor. Hierzu wählte er zuerst eine Nummer eines Systems, dass er für Hacking-Angriffe auf Mailboxen nutzt. Danach musste er die Nummer eingeben, die er abhören wollte (die Handy-Nummer der Journalistin) und die Nummer, von der der Anruf kommen sollte (wieder die Handy-Nummer der Journalistin). «Mitnick konnte in meine Combox eindringen, indem er meinem Mobilfunkanbieter vortäuschte, sein Anruf komme von meinem eigenen Handy», schreibt die Journalistin.

Mitnick schrieb ein Script mit jedermann zugänglicher Open-Source-Software und nutzte einen Voice-over-IP-Provider (VoIP), der es ihm ermöglichte, die Identität des Anrufers zu verschleiern. «Jeder 15-Jährige, der ein simples Script schreiben kann, kann einen VoIP-Provider finden, der die Anrufer-Identität verschleiert und den Angriff in 30 Minuten durchführen», sagte Mitnick gegenüber «ZDNET». Der Trick sei, dass der VoIP-Provider erlaubt, jede mögliche Anrufer-ID auszuwählen und der Mobilfunkanbieter dieser Anrufer-ID vertraue. Personen mit weniger Know-how können für ihren Lauschangriff auch spezielle Spoofing-Dienste nutzen, die ähnliche Angriffe erlauben. Wie leicht ein Angriff auf die Mailbox ist, ist auch von den Sicherheitsmassnamen des jeweiligen Mobilfunkanbieters abhängig.

Restrisiko Mensch - Mitnicks Angriffsmethode ist unter dem Begriff «Caller-ID-Spoofing» seit Jahren bekannt. Beispielsweise wurden 2006 die Combox von Paris Hilton und Lindsay Lohan auf diese Weise abgehört. Auch in der Schweiz war diese Spoofing-Methode möglich. Laut Mobilfunkanbieter Orange ist das Abhören von Mailboxen, zumindest im eigenen Netz, nicht möglich.

Im Abhörskandal der «News of the World» nutzten die Journalisten indes schlicht die Bequemlichkeit vieler Handy-Besitzer aus, die den Standard-PIN ihrer Voice Mailbox nicht geändert hatten. Diese PINs können überall auf dem Netz gefunden werden, wie der Blog «Mobile Phone Security» schreibt. Die Journalisten konnten somit mit Standard-PINs vom eigenen Telefon aus die Mailbox ihrer Opfer abhören.

Hatten die Abhöropfer einen eigenen PIN eingegeben, nutzten die Journalisten Tricks, um die Mobilfunkanbieter dazu zu bringen, den PIN wieder auf die Standardeinstellung zurückzusetzen. Seit die ersten Mailbox-Abhörfälle bekannt geworden sind, zwingen die meisten Mobilfunkanbieter ihre Kunden dazu, das Abhören der Nachrichten von einem fremden Gerät aus mit einem PIN zu schützen.

Da der Abhörskandal die Hacker-Szene wohl beflügeln wird, neue Wege zum Knacken von Mailboxen zu finden, ist jeder Handy-Nutzer gut beraten, einen sicheren PIN für seine Mailbox zu wählen.

Quelle: 20min.ch