IMSI-Catcher

Als IMSI-Catcher wird spezielles Hardware-Equipment bezeichnet, welches in der Kriminaltechnik grundsätzlich dazu genutzt wird, verdächtige Personen anhand ihrer Mobilgeräte zu orten; in bestimmten Fällen sogar, um Gespräche und SMS mitzuschneiden. Der Begriff IMSI-Catcher setzt sich aus den Teilbegriffen International Mobile Subscriber Identity (IMSI) und Catcher (zu Deutsch „Fänger“) zusammen. Der Teilbegriff Catcher bezieht sich hier auf das „Einfangen“ der IMSI-Kennungen innerhalb einen bestimmten Areals.

IMSI

Die IMSI ist eine weltweit eindeutige Teilnehmerkennung in Form einer Zahlenfolge, welche seit dem Aufkommen des 2G-Mobilfunkstandards (GSM) verwendet wird, um einzelne Teilnehmer zu identifizieren. Ein Teilnehmer ist hierbei nicht das Endgerät selbst, sondern der Besitzer des Endgeräts, bzw. der Halter des Mobilfunkvertrags. Technisch wird die IMSI auf der SIM-Karte gespeichert. Endgeräte werden hingegen mittels der International Mobile Equipment Identity (IMEI) identifiziert.

Die IMSI setzt sich aus folgenden Bestandteilen zusammen:

  • Mobile Country Code (MCC): 3-stellige, weltweit eindeutige Länderkennung (z.B. 262 für Deutschland)
  • Mobile Network Code (MNC): 2-stellige, national eindeutige Netzwerkkennung (z.B. 00 für ein Testnetzwerk, 01 für die T-Mobile Deutschland GmbH, 02 für die Vodafone D2 GmbH, etc.)
  • Mobile Subscriber Identification Number (MSIN): bis zu 10-stellige Teilnehmerkennung

Durch die Verknüpfung dieser Kennungen lässt sich eine Identifikationsnummer generieren, welche es ermöglicht einen Teilnehmer zu identifizieren, egal aus welchem Land er kommt oder bei welchem Provider er seinen Mobilfunkvertrag abgeschlossen hat.

Funktionsweise

Historisch gesehen wurde der Einsatz von IMSI-Catchern aufgrund zweier Schwachstellen des 2G-Mobilfunkstandards ermöglicht:

  1. Im 2G-Standard ist eine beidseitige Authentifizierung, d.h. eine gegenseitige Authentifizierung von Endgerät und Basisstation, nicht vorgesehen. Lediglich die Authentifizierung eines Endgeräts gegenüber dem Netzwerk ist erforderlich. Dies ermöglicht es einem Angreifer, vorausgesetzt er verfügt über das nötige Equipment, eine eigene, falsche Basisstation aufzusetzen.
  2. Die Verschlüsselung der Verbindung zwischen Endgerät und Basisstation ist nicht obligatorisch und muss, sofern gewünscht, explizit von Seiten des Netzwerks aus aktiviert werden. Ein Endgerät kann diese Verschlüsselung nicht von selbst aktivieren. Darüber hinaus gilt die Verschlüsselung nur für die übertragenen Nutzdaten. Signaldaten (Daten, die für die Initialisierung und Verwaltung der Verbindung genutzt werden) werden grundsätzlich unverschlüsselt übertragen.

Um sich in die Verbindung zwischen Endgerät und Netzwerk einzuklinken, agieren IMSI-Catcher selbst als Basisstation. Indem ein Endgerät daran gehindert wird, sich mit der legitimen Basisstation zu verbinden (z.B. durch Störung der verwendeten Frequenzen), oder dazu gebracht wird sich vorrangig mit dem IMSI-Catcher zu verbinden (z.B. durch höhere Signalleistung), können Signal- und ggf. auch Verbindungsdaten abgefangen werden (unter anderem auch die IMSI, da diese bei jedem Verbindungsaufbau als Teil der Signaldaten unverschlüsselt gesendet wird). Aufgrund der Tatsache, dass der IMSI-Catcher im Vergleich zu den legitimen Basisstationen nur innerhalb eines stark begrenzten Areals eine höhere Signalleistung bieten kann (sobald eine andere Basisstation eine bessere Signalleistung bietet, wechselt das Endgerät zu dieser anderen Station), kann geschlussfolgert werden, dass alle Teilnehmer, welche versuchen sich mit dem IMSI-Catcher zu verbinden, sich in räumlicher Nähe zum IMSI-Catcher aufhalten.

Mittels eines entsprechend großen Netzwerkes an IMSI-Catchern oder anhand von Vergleichsmessungen (z.B. an Orten, an denen der Teilnehmer häufig erwartet wird, bspw. Wohn- und Arbeitsort) kann nicht nur auf die aktuelle Anwesenheit des Teilnehmers geschlossen werden, sondern darüber hinaus ist es auch möglich Bewegungsverläufe zu erstellen und bspw. die gleichzeitige Anwesenheit mehrerer Zielpersonen an einem Ort zu ermitteln.

Technisch ausgereiftere IMSI-Catcher ermöglichen darüber hinaus auch noch das Mitschneiden von Telefongesprächen oder SMS-Nachrichten. Hierzu wird jedoch ein komplexerer Setup benötigt, der es nicht nur ermöglicht eine Basisstation zu fälschen, sondern gleichzeitig auch eine aktive Verbindung zu einer legitimen Basisstation (mittels einer zweiten SIM-Karte) aufzubauen, um die Verbindungsdaten an das echte Netzwerk weiterzuleiten (ähnlich einem Man-in-the-Middle Angriff). Andere IMSI-Catcher arbeiten auch passiv, d.h. statt durch das Fälschen einer Basisstation aktiv in eine Verbindung einzugreifen wird lediglich der (unverschlüsselte) Verbindungsaufbau zwischen dem Endgerät und der legitimen Basisstation mitgeschnitten. Dies hat jedoch den Nachteil, dass der Betreiber des IMSI-Catchers keinen Einfluss auf den Zeitpunkt des Verbindungsaufbaus hat und ggf. deutlich mehr Zeit investieren muss.

Der Einsatz von IMSI-Catchern ist nicht auf 2G-Netzwerke beschränkt. Neben den 2G-IMSI-Catchern gibt es auch IMSI-Catcher für andere Mobilfunk-Standards. Die prinzipielle Funktionsweise bleibt hierbei gleich, allerdings werden ggf. andere Technologien und Schwachstellen genutzt. Darüber hinaus besteht die Möglichkeit durch Störung der 3G- und 4G-Frequenzen ein Downgrade auf den 2G-Standard zu erzwingen. Die meisten Endgeräte unterstützen heutzutage immer noch den 2G-Standard.

Einsatz-Szenarien

In der Kriminaltechnik werden IMSI-Catcher zur Fahndung bzw. Ortung von Zielpersonen eingesetzt. Darüber hinaus gibt es auch Einsatzszenarien in der Rüstungsindustrie, bei denen IMSI-Catcher ebenfalls zur Ortung von Zielpersonen genutzt werden.

Neben den Strafverfolgungsbehörden und dem Militär, wurden jedoch ebenfalls Fälle gemeldet, bei denen IMSI-Catcher zu kriminellen Zwecken eingesetzt wurden, bspw. zur Ortung von Opfern oder dem Abfangen von Verbindungsdaten. Dies wird nicht zuletzt auch durch die mittlerweile relativ leicht zu beschaffende Hardware und die verfügbare Open-Source-Software begünstigt. Das Bauen eines IMSI-Catchers kostet je nach verwendeter Hardware zwischen wenigen Hundert und wenigen Tausend Euro. Das benötigte Know-How ist öffentlich im Internet verfügbar. Kommerzielle Produkte kosten zwischen mehreren Tausend und mehreren Hunderttausend Euro.

Kritik

Der Einsatz von IMSI-Catchern wurde bereits mehrfach kritisiert und diskutiert. Die Hauptkritikpunkte sind dabei:

  • Der Betreiber eines IMSI-Catchers kann nicht garantieren, dass nur die IMSI der Zielperson erfasst wird. Durch das Mitschneiden des bzw. Eingreifen in den Verbindungsversuch, werden die IMSIs aller Endgeräte erfasst, welche sich zum Zeitpunkt des Einsatzes in räumlicher Nähe zum Betreiber befinden. Vor allem in Ballungsgebieten kann dies dazu führen, dass die IMSIs vieler Teilnehmer erfasst werden, die nicht Gegenstand des Ermittlungsverfahrens sind. Über den Mobilfunk-Provider lassen sich die IMSIs eindeutig dem Vertragshalter zuordnen und gelten daher als personenbezogene Daten.
  • Aus der technischen Perspektive wird durch den IMSI-Catcher lediglich die räumliche Nähe einer SIM-Karte zum IMSI-Catcher nachgewiesen. Es wird meist davon ausgegangen, dass dies auch bedeutet, dass die Zielperson sich ebenfalls in der Nähe aufhält. Dies muss allerdings nicht zwangsläufig zutreffen (z.B. bei gestohlenen oder verliehenen Geräten / SIM-Karten).

Weiterführende Informationen