Die IMEI-Nummer ist wie eine Fahrgestellnummer – riskant wird sie erst durch den Einsatz

Christian Thiel, Professor für Wirtschaftsinformatik an der Ostschweizer Fachhochschule. (Source: zVg)

Christian Thiel, Professor für Wirtschaftsinformatik an der Ostschweizer Fachhochschule. (Source: zVg)

Denken Sie, dass die IMEI-Nummer ein auffälliges Risikopotential für die Cybersicherheit darstellt?

Christian Thiel: Das kommt darauf an, wie man sie nutzt. Die IMEI ist eine eindeutige Geräte-ID – vergleichbar mit einer Fahrgestellnummer. Man kann sie beispielsweise nutzen, um ein gestohlenes Mobilgerät zu tracken. Allerdings könnte ein Angreifer mit spezieller Hardware und direktem Zugang ein gesperrtes Mobiltelefon manipulieren und ihm eine noch gültige, geklonte IMEI verpassen. Dann entsteht Missbrauchspotenzial. Problematisch wird es vor allem, wenn die IMEI das einzige Merkmal im Mobile Device Management (MDM) von Unternehmen ist. Wenn darüber auch noch der Zugriff geregelt ist, erhält man im Zweifelsfall Zugang zu internen Firmendaten.

In diesem Fall bedeutet das, dass man über die IMEI-Nummer dann Zugriff auf andere Daten auf dem Mobilgerät erhalten könnte?

Nein, auf das Gerät selbst bekommt man dadurch nicht einfach Zugriff. Wenn ich die IMEI-Nummer habe, kann ich ein anderes Gerät so manipulieren, dass es dieselbe IMEI trägt. Für den Netzbetreiber wirkt das dann wie dasselbe Gerät. Er könnte zwar erkennen, dass mehrere Geräte dieselbe IMEI haben, ohne einen konkreten Anlass wie etwa eine Diebstahlmeldung wird er diese üblicherweise aber nicht sperren. Ein Angreifer könnte dann mit so einem geklonten Gerät irgendeinen Unsinn treiben. Wenn dabei etwas überwacht oder mitgeschnitten wird, sähe es so aus, als wäre das das ursprüngliche Telefon. Im schlimmsten Fall gerät dann eine unbeteiligte Person in Ermittlungen, weil ihr Gerät scheinbar mit kriminellen Aktivitäten in Verbindung steht.

Andere Daten oder SMS können mittels der IMEI nicht ausgelesen werden. Dafür bräuchte es mehr, wie etwa den Zugriff auf die SIM-Karte, um zusätzliche Informationen zu klonen. Trotzdem sollte man sie nicht leichtfertig herausgeben – Phisher versuchen etwa, sich als Provider auszugeben, um IMEI-Nummern abzufragen und Geräteidentitäten zu klonen. Es gab Fälle, in denen Hunderte Geräte unter einer einzigen IMEI liefen, damit man nicht mehr zuordnen konnte, welches Gerät wo im Einsatz war.

Nehmen wir an, ein Unternehmen verfügt über ein sehr schlechtes Mobile-Device-Management, das sich im Wesentlichen nur auf die IMEI stützt – könnten Angreifer darüber Zugriff auf interne Daten bekommen?

Wenn es zusätzlich vernünftige Mechanismen gibt, wie etwa Zwei-Faktor-Authentifizierung und idealerweise die Vorgabe, dass nicht jede beliebige App installiert werden kann, dann ist das Risiko in den meisten Fällen tragbar. Hundertprozentige Sicherheit gibt es nie. Aber so ist es deutlich sicherer.

Gibt es heute noch Systeme, die ausschliesslich auf der IMEI basieren?

Bei neuen Herstellern auf keinen Fall. Manchmal findet sich in Unternehmen noch ein obsoletes System. Das wäre aber fahrlässig. Man muss auch sagen, dass es aufgrund von Technologien wie dem Internet of Things und 5G etwas schwieriger ist, die IMEI als Angriffspunkt auszulesen. Möglich ist es, aber mit mehr technischem Aufwand. Angreifer sind ja auch faul: Wenn alles andere nicht klappt, probieren sie es vielleicht. Man kann die IMEI eines Geräts faken, sodass es im Netzwerk wie das ursprüngliche Gerät wirkt. Im Hochsicherheitsumfeld kann schon der Anschein problematisch sein – etwa wenn ein CEO angeblich regelmässig in der Nähe der Botschaft eines bestimmten Landes telefoniert.

Gibt es darüber hinaus Risiken?

Wenn ein Unternehmen ein schlechtes MDM hat und irgendwo eine Liste mit allen IMEI-Nummern samt zugehörigen Mitarbeitenden herumliegt, dann ist das erst mal ein Datenschutzproblem. Die IMEI ist zwar gerätebezogen, in Kombination mit Namen wird sie aber personenbezogen. Im Extremfall könnten Angreifer versuchen, die Originalgeräte aus dem Netz zu nehmen, indem sie Dutzende IMEIs klonen, sie dem Provider als gestohlen melden und plötzlich sind alle Geräte der Firma gesperrt – eine Art Denial-of-Service. Aber auch das wäre ein sehr zielgerichteter Angriff. Das eigentliche Schadenspotenzial entsteht, wenn die Geräte im Unternehmen schlecht gemanagt sind und man darüber interne Zugänge bekommt.

Das Interview mit Christian Thiel als Video. (Source: Netzmedien)

Wäre es denkbar, dass Cyberkriminelle oder auch Nachrichtendienste Angestellte von Bundesbehörden anhand von IMEI-Nummern tracken?

Hypothetisch wäre das denkbar, aber nur mit der IMEI-Nummer lässt sich niemand sinnvoll tracken. Man könnte in einem eng begrenzten Gebiet eigene Empfänger installieren. Das wäre aber technisch aufwendig und vor allem auffällig. Über Sendemasten ginge es theoretisch auch. Dafür bräuchte man aber Zugang zur Netzinfrastruktur oder zu entsprechenden Daten der Telkos. Realistischer ist eine Kombination: Wenn man es schafft, eine App zu manipulieren, die Standortdaten liefert, also etwa GPS-Koordinaten, kann man Geräte tracken. Früher war das auf alten Betriebssystemen deutlich einfacher. Da reichte teilweise schon eine präparierte SMS, um sich weitreichende Zugriffe zu verschaffen. Moderne Betriebssysteme schützen da besser. Kurzum, möglich ist es, aber es gibt meist einfachere Wege, an die eigentlich interessanten Informationen zu kommen, als nur über die IMEI-Nummer.

Wie verhält sich die IMEI-Nummer im Verhältnis zu Verordnungen wie der DSGVO? Gibt es da spezielle Regularien?

Der Datenschutz ist grundsätzlich gehalten – ob bezüglich DSGVO in Europa oder dem Schweizer Datenschutzgesetz. Es gibt keinen Passus, der sich speziell mit der IMEI-Nummer befasst. Eher relevant sind Telekommunikationsgesetze. In vielen Ländern ist es strafbar, IMEI-Nummern zu klonen oder zu verändern. Das ist aber kein Datenschutz-, sondern ein Telekommunikationsthema. Datenschutzrechtlich greifen die üblichen Prinzipien. Man kann zweifach argumentieren: Die IMEI-Nummer ist zunächst eine gerätebezogene Kennung, also nicht personenbezogen. In der Praxis besteht aber meist eine enge Verbindung zu einer Person via Kunden- oder Nutzerdaten. Mit zusätzlichen Informationen lassen sich daraus Profile ableiten – etwa zu Nutzungszeiten – und das fällt dann unter den Datenschutz. Bei den Telkos kommt da noch die Kundenzuordnung hinzu. Auch wenn nicht immer klar ist, wer das Gerät tatsächlich nutzt, ist der Kreis eng. Dort greift das volle Datenschutzregime.

Was passiert, wenn es zum Beispiel eine starke Abweichung von der Norm gibt – etwa wenn ein Mobiltelefon plötzlich an einem ganz anderen Ort auftaucht, an dem der Besitzer zuvor nie war?

Das wäre auffällig, und das werden die Telkos beobachten. Wenn vom Besitzer aber keine Meldung kommt, dass das Gerät gestohlen wurde oder etwas nicht stimmt, wird man erst mal annehmen, er sei verreist. Insofern ist es datenschutzrelevant, weil eine Verknüpfung zur Person besteht. Die IMEI-Nummer allein ist jedoch wie eine Schuhgrösse; für sich genommen ist sie nicht personenbezogen.

Hat die SIM Bezüge zur IMEI-Nummer, oder sind das getrennte Systeme?

Das sind alles Standards, die zusammenarbeiten müssen, sonst funktioniert das Telefonieren nicht. Aber SIM und Mobilgerät – mit IMEI-Nummer – sind bewusst getrennt; ich kann meine SIM-Karte in ein anderes Gerät stecken und weiter telefonieren. Natürlich gibt es auch bei SIM eine Identifikation, denn darüber läuft ja die Abrechnung der Telkos. Da spielen auch vielen Sicherheitsmechanismen wie Kryptografie eine Rolle. Kritisch wird es, wenn jemand die SIM-Karte klont. Dafür braucht man aber physischen Zugriff auf die SIM-Karte oder das Gerät. Wichtig ist generell: Geräte nicht aus der Hand geben, sich nie allein auf Identifikationsnummern – egal ob IMEI, SIM oder anderes – zur Authentifizierung verlassen und sensible Identifikatoren besonders schützen und verschlüsseln. Also ein ganzheitliches Sicherheitsmanagement, wie man es auch im restlichen Netzwerkbereich braucht.

Würden Sie sagen, dass die IMEI ein wichtiges Element im MDM eines Unternehmens ist?

Sie macht vieles einfacher. Vor allem kann ich Geräte schnell zuordnen. Für die Inventarpflege eignet sie sich daher gut und wird auch breit genutzt. Aber sie sollte nicht das einzige Werkzeug sein, um Geräte zu verwalten, zuzuordnen und vor allem Zugriffe zu gewähren. Moderne Systeme fragen die IMEI zwar ab, kombinieren sie aber mit vielen anderen Merkmalen, bevor Zugang gewährt wird.

Denken Sie, die IMEI wird in Zukunft für die Cybersicherheit noch relevant sein? Oder rückt sie eher ins Abseits, wenn neue Methoden kommen?

Das ist fast schon eine philosophische Frage. Mit neuen Standards wie dem Internet of Things und 5G werden Sicherheitsfunktionen besser, aber nicht absolut sicher. Auch Angreifer gehen effizient vor, indem sie einfachere Angriffsmethoden wie etwa manipulierte Apps vorziehen. Es ist für beide Seiten eine Kosten-Nutzen-Abwägung, und das wird wohl so bleiben. In sehr spezifischen Einzelfällen kann es dennoch Angriffe über die IMEI-Nummer geben. In der Praxis bedeutet das, dass man sich nach dem aktuellen Stand der Technik schützen, das Sicherheitsmanagement permanent verbessern und eher die gängigen Risiken adressieren sollte. Dann erst schaut man, wo für einen selbst das grösste Risiko besteht.

Mehr dazu lesen Sie hier: Wie die IMEI Mobilgeräte ordnet – und wo sie gefährdet ist. Die IMEI-Nummer ist der genetische Code jedes Mobiltelefons. Sie identifiziert Geräte eindeutig, hilft beim Diebstahlschutz und strukturiert den Datenverkehr globaler Netze. Gleichzeitig eröffnet sie neue Angriffsflächen – allerdings nicht dort, wo man sie vermuten würde.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.