Im Kampf gegen Hackerangriffe und Datenklau gilt unter IT-Experten ein alter Grundsatz: „Hardware verschlüsselt zuverlässiger als Software.“ Da wirkt es ziemlich gewagt, dass Mobilfunker und Handyproduzenten derzeit die klassischen Sim-Karten in Smartphones durch sogenannte eSim ersetzen. Es sind sozusagen die softwarebasierten, digitalen Doppelgänger der herkömmlichen Plastikkärtchen, mit denen sich die Nutzer seit rund 30 Jahren in den Mobilfunknetzen einbuchen und identifizieren.
Für die Alltagsnutzung bringen die viele Vorteile mit sich. Um als Nutzer zu einem neuen Anbieter zu wechseln, genügt es, einen QR-Code auf einer Webseite zu scannen oder eine verschlüsselte Nachricht mit den neuen Nutzerdaten aufs Handy zu laden.
So mancher Handybesitzer fragt sich jedoch, ob der Übergang zur eSim es Cyberkriminellen künftig deutlich leichter macht, Gespräche abzuhören oder Nutzerdaten abzugreifen. Die kurze Antwort lautet: Nein. Warum das so ist, zeigt ein Blick auf die potenziellen Angriffspunkte für Kriminelle.
Bietet der Wechsel von Hard- zu Software bei der Aktivierung des Handys Betrügern und Hackern eine Sicherheitslücke, die Sie für den Datenklau nutzen können?
„Keineswegs“, versichert Jens Rüdinger, Experte für IT-Sicherheit bei Vodafone. Und er begründet das mit einem auf den ersten Blick überraschenden Argument: „Auch wenn es nicht so aussieht, im Kern sorgt auch bei der eSim ein Hardwaremodul für Sicherheit.“ Denn tatsächlich stecke der Sicherheitschip, der in der herkömmlichen Plastikkarte die Nutzerdaten sichert, auch in modernen Handys mit eSim-Funktionalität. „Nur ist der Chip schon ab Werk auf der Platine verlötet und muss nicht erst nachträglich ins Gerät eingeschoben werden“, löst Rüdinger den vermeintlichen Widerspruch auf.
Der Unterschied zwischen alter und neuer Technologie sei, dass Kryptoschlüssel und Identitätsdaten bei der Plastik-Sim bereits bei der Produktion der Karte in den Chip gespeichert werden, bei der eSim hingegen würden diese Daten erst bei der Aktivierung des Vertrages in den Handychip übertragen.
Spezielle Kryptoverfahren sorgten aber dafür, dass die Informationen auf dem Weg vom Server, der die Kundendaten bei den Netzbetreibern verwalte, ins Smartphone der Kunden nicht abgegriffen oder kopiert werden könnten, so Rüdinger. „Bisher ist weder uns als Netzbetreiber noch dem Branchenverband GSMA ein Fall bekannt, in dem es Dritten gelungen wäre, sich in die gesicherte Übertragung einzuschalten und Daten abzugreifen.“
Wie sicher sind die Daten im Handy vor den Zugriffen Krimineller geschützt?
Auch diese Sorgen seien unbegründet, meint Ralf Wintergerst, Chef des Münchener Spezialisten für Identitätsmanagementsystem Giesecke+Devrient (G+D). Ein spezieller Sicherheitsmechanismus sorge dafür, dass sowohl bei den Plastikkärtchen als auch bei den eSim die einmal in den Chip geschriebenen Informationen nachträglich nicht mehr von dort ausgelesen werden können. „Deshalb lassen sich Sim-Daten – im Gegensatz zu anderen im Telefon gespeicherten Dateien wie Fotos, Dokumente oder E-Mails – nicht kopieren oder aus dem Gerät stehlen.“
Daher könnten Kriminelle sie auch nicht auf einem anderen Telefon erneut einspielen, um so etwa auf fremde Kosten Gespräche zu führen, oder sich im Gespräch als eine andere Person auszugeben. Tatsächlich sei es für Kriminelle weit leichter, „bei einem Handy die physische Sim-Karte auszutauschen und damit sozusagen die Rufnummer einer anderen Person ins eigene Telefon zu übernehmen, als bei der eSim eine fremde Identität anzunehmen“, betont G+D-Chef Wintergerst.
Was passiert beim Wechsel des Telefons, bleiben Rufnummern und digitale Identität im Zeitalter der virtuellen Sim-Karten ans alte Telefon gebunden?
Nein, aber der Prozess ist technisch betrachtet etwas komplizierter. Weil sich die Daten nicht direkt vom einen aufs andere Telefon überspielen lassen, muss der Netzbetreiber die Daten der Telefonkunden beim Umstieg aufs neue Handy ganz neu einspielen, so als würde er eine neue Sim ausgeben. Damit sich dabei niemand eine Kopie der alten virtuellen Karte ziehen kann, beginnt die Neuvergabe erst, wenn die eSim im alten Telefon gelöscht ist. Das funktioniert mithilfe eines speziellen Löschbefehls für die im Chip fest einprogrammierte Software.
Erst wenn der Netzbetreiber die verschlüsselte und digital signierte Bestätigung aus dem alten Handy bekommen hat, beginnt die Einrichtung des neuen Geräts. Von diesem mehrstufigen Sicherheitsprozess bekomme der Telefonkunde kaum etwas mit, versichert IT-Experte Rüdinger. „Nach ein paar Sekunden ist die alte Rufnummer im neuen Smartphone und der Kunde kann damit ganz normal weiter telefonieren.“
Lesen Sie auch: Der virtuelle Nachfolger der Plastik-Sim erobert die Handywelt und beschert den Kunden mehr Auswahl bei Tarifen und robustere Smartphones.
