Große Aufregung der Sicherheitspolitiker: Die deutschen Innenminister wollen eine starke Verschlüsselung im kommenden Mobilfunkstandard 5G verhindern. Beim zuständigen Standardisierungsgremium 3GPP sorgt das für Stirnrunzeln: Regierungen und Behörden haben längst dafür gesorgt, dass 5G die gleichen Abhörstandards wie seine Vorgänger bekommt.

Keine harte Verschlüsselung

Eine Ende-zu-Ende-Verschlüsselung sei bei der Standardisierung fast kein Thema gewesen, kritisiert Alf Zugenmaier, Professor für mobile Netze und Sicherheit an der Hochschule München: "Das Rennen war verloren, bevor es richtig begonnen hat." Eine Verschlüsselung des Netzverkehrs, die auch der Netzbetreiber nicht mehr entschlüsseln kann, verbat sich aus Sicht der an der Standardisierung beteiligten Firmen durch bestehende Überwachungsgesetze.

Die 3GPP-Arbeitsgruppe Strafverfolgung hat nach Ansicht von Zugenmaier dafür gesorgt, dass die Interessen der Ermittlungsbehörden gewürdigt werden. Der Experte sieht bei den Abhörmöglichkeiten daher keine großen Unterschiede zwischen 5G und älteren Mobilfunkstandards. Abhörschnittstellen zur Ausleitung von Verkehr im Sinne der entsprechenden ETSI-Standards – ausgearbeitet von 3GPP – seien längst Bestandteil der Spezifikationen.

Mit Blick auf versagende IMSI-Catcher meint Zugenmaier, dass die Änderungen im Vergleich zu 3G und LTE ebenfalls maßvoll ausgefallen sind. Bei 5G sollen die "International Mobile Subscriber Identity"-Nummern (IMSI) verschlüsselt übertragen werden. IMSI-Catcher, die eine Basis-Station vorgaukeln und die in der Umgebung vorhandenen Geräte anhand ihrer IMSI erfassen, scheitern an der obligatorischen Authentifizierung. Mit richterlichem Beschluss seien Zugriffe auf die Bewegungs- und Verkehrsdaten bei den Providern aber kein Problem, betont Zugenmaier.

Dienste längst Teilnehmer der Standardisierung

Erstaunt beobachten die technischen Experten die Vorschläge, die nun in Luxemberg und Berlin auf dem Tisch liegen. EU-Terrorismus-Koordinator Gilles de Kerchove erkennt in seinem Bericht für die Telekom-Minister zwar an, dass Ende-zu-Ende-Verschlüsselung nicht Bestandteil des Standards ist. Es sei aber nicht auszuschließen, dass dies am Ende doch noch in den Standard aufgenommen werde.

Um das zu verhindern, schlägt Kerchove vor, dass die 5G-Arbeitsgruppe von Europol sich mit den großen Netzbetreibern zusammensetzt, um die Sorgen der Strafverfolger auch auf diesem Weg in die Standardisierung mit einzubringen. Zudem könnte Europol Mitglied des European Telecommunication Standardization Institute (ETSI) werden und darüber Einfluss auf die 3GPP Arbeitsgruppe Strafverfolgung nehmen.

Tatsächlich haben Behörden wie das Bundesamt für Verfassungsschutz, das britische National Cyber Security Center (NCSC) oder das niederländische Innenministerium an den Beratungen der Standardisierer intensiv teilgenommen. Auch in anderen Standardisierungsgremien, etwa in der Internet Engineering Task Force versuchen die Sicherheitsbehörden, Abhörmöglichkeiten abzusichern und Verschlüsselung zu verhindern. Bei der Transportverschlüsselung TLS1.3 blieb die IETF am Ende hart.

End-to-end dann bei 6G?

Ende-zu-Ende-Sicherheit im Mobilfunk könnte frühestens für 6G einen neuen Anlauf nehmen, schätzt Zugenmaier. Der 5G-Standard ist fertig, nur noch Fehler werden behoben. Dem 5G-Aktionismus in der Politik steht das nicht im Weg. Bis Ende Juni sollen die Mitgliedsstaaten ihre nationalen Risikobewertungen abschließen. Am 1. Oktober will die EU-Kommission, unterstützt von der European Network and Information Security Agency (ENISA) eine gesamteuropäische Risikoeinschätzung liefern.

Ein Sprecher des Innenministeriums teilte auf Anfrage von heise online mit, man begrüße die europäische Initiative. Die Frage der Auswirkungen von 5G auf die Arbeit der Sicherheitsbehörden treffe alle Mitgliedsstaaten. "Die weiter zunehmende Dienstevielfalt und die Verbreitung von Verschlüsselung in der alltäglichen Kommunikation stellt die Sicherheitsbehörden bereits heute vor erhebliche Herausforderungen", sagte der Sprecher. Dies werde sich mit 5G noch verstärken. (vbr)