LANDTAG NORDRHEIN-WESTFALEN
|
Drucksache 16/8039 |
|
02.03.2015 |
Kleine Anfrage 3180
des Abgeordneten Daniel Schwerd PIRATEN
Der Chipkarten-Angriff: Wird die Integrität kritischer elektronischer Infrastruktur durch westliche Geheimdienste verletzt?
„Alles Reden ist sinnlos, wenn das Vertrauen fehlt.“
Franz Kafka
Am 19. Februar 2015 berichtete das investigative Internetmagazin „The Intercept“ über der Öffentlichkeit bislang unbekannte, intern als „top secret“ klassifizierte Dokumente des britischen Geheimdienstes GCHQ, die den Journalisten durch Edward Snowden zur Verfügung gestellt worden sind. Den Unterlagen zufolge hat der britische Geheimdienst das niederländische Unternehmen Gemalto kompromittiert und sich Sicherheitsschlüssel der dort produzierten Chips und SIM-Karten beschafft. Gemalto ist der weltgrößte Hersteller von Chip-Karten, er beliefert u.a. sämtliche Mobiltelefonanbieter Deutschlands. Neben SIM-Karten sind allerdings auch elektronische Gesundheitskarten von Krankenkassen sowie Kreditkarten betroffen. Mit den erbeuteten Schlüsseln ist es möglich, verschlüsselte Kommunikation zu entschlüsseln und die digitale Authentifizierung zu fälschen, die auf Basis dieser Chip-Karten realisiert wird.
Gemalto hat den Einbruch in seine Infrastruktur bestätigt. Ebenso bestätigt hat es den Diebstahl von Schlüsseln, die zu 2G-SIM-Karten gehören. Das Risiko für 3G-SIM-Karten hält Gemalto selbst für gering, da hier eine zusätzliche Sequenznummer Teil der Verschlüsselung ist. Experten wiederum halten den Schutz durch die zusätzliche Sequenznummer für nicht ausreichend. [1]
Die Deutsche Telekom hat mittlerweile erklärt, die Schlüssel der von Gemalto bezogenen SIM-Karten zu verändern zu wollen. Darüber hinaus sehe die Deutsche Telekom keinen weiteren Handlungsbedarf, betont aber gleichzeitig, die Kompromittierung ihres Schutzmechanismus nicht vollkommen ausschließen zu können.[2]
Zu dem Problem des so genannten „Over-the-Air“-Angriffs mit stillen System-SMS, bei dem etwa die Aktualisierung der SIM-Karte von Dritten „gehackt“ oder Malware heimlich aufgeladen werden kann, haben sich weder die Telekom noch Gemalto geäußert.
Die teilweise widersprüchlichen Informationen und fehlenden Antworten geben bei Anwendung allgemeiner Sorgfaltspflichten keinen Grund zur Entwarnung.
Ich frage die Landesregierung:
1. Nutzen die Landesregierung, Landesbehörden, Ministerien bzw. landeseigene Betriebe Chips des Herstellers Gemalto für Mobiltelefone, den BOS Digitalfunk oder andere Anwendungen? Schlüsseln Sie die Angaben nach betroffenen Stellen auf und nennen die jeweilige Anzahl betroffener Chip-Karten.
2. Sieht die Landesregierung die Sicherheit der Kommunikation und Authentifikation auf Basis von Chipkarten des Herstellers Gemalto noch als ausreichend integer an? Begründen Sie Ihre Ansicht.
3. Welche Maßnahmen ergreift die Landesregierung, um sich selbst, die Kommunen, Bürger und Unternehmens dieses Landes vor dem Ausspähen mithilfe der entwendeten Schlüssel von Chipkarten des Herstellers Gemalto zu schützen?
4. An wen können sich Bürger, Unternehmen und Kommunen des Landes NRW wenden, um die Sicherheit ihrer SIM- und Chipkarten zu überprüfen?
5. Wie bewertet die Landesregierung den Verlust der Vertraulichkeit und Integrität elektronischer Kommunikation in Bereichen der kritischen Infrastrukturen wie Finanzwesen, Gesundheitswesen und Telekommunikation?
Daniel Schwerd