ESIM-Sicherheit im Internet der Dinge: Wie sicher die neue eSIM sein wird

In den Medien verkündet die Telekom das baldige Ende der SIM-Karten. Kritische Stimmen erinnern zu Recht daran, dass die eSIM als SIM-Karten-Nachfolger auch Risiken birgt. Vor allem der Umstand, dass die Embedded SIM von außen programmierbar sein muss, macht den Sicherheitsspezialisten Sorge.

Sicher ist nur, dass die eSIM kommt

Von Oliver Schonschek

Wer Mobilfunkdienste nutzen möchte, kommt bislang an einer SIM-Karte nicht vorbei. Das kleine Stück Plastik enthält den Chip, der zusammen mit der PIN-Eingabe erst den Zugang zum gewünschten Mobilfunknetz ermöglicht. Wie wichtig eine SIM-Karte ist, merken manche Nutzer erst, wenn die alte Karte nicht ins neue Smartphone passt, weil dort nur Platz für eine Micro- oder Nano-SIM ist.

Bald aber soll es ohne SIM-Karte gehen, jedenfalls ohne Plastik-SIM-Karte: „Die Zukunft spricht eSIM“, lautete eine Meldung im Blog der Telekom, die bald noch deutlicher wurde: „Die SIM-Karte wird ab 2016 abgeschafft“. Mobilfunknutzer müssen in naher Zukunft wohl keine zusätzliche SIM-Karte mehr in ihr Smartphone einlegen (was ohnehin eine nicht immer einfache Aufgabe war). Stattdessen haben die mobilen Endgeräte dann eine eingebettete SIM-Karte: eine Embedded SIM bzw. eSIM.

Damit man sein Smartphone in unterschiedlichen Netzen verwenden kann, wird die eSIM eine Liste verschiedener Mobilfunkzugänge in sich tragen und von außen programmierbar sein. Die Programmierbarkeit muss sein, damit es überhaupt noch wirklich SIM-Lock-freie Endgeräte geben kann. Andernfalls würde der Smartphone- oder Tablet-Anbieter über die Liste der Mobilfunknetze innerhalb der eSIM die Wahlfreiheit des Nutzers begrenzen. Mit der SIM-Lock-Freiheit wäre es vorbei.

„Von außen programmierbar“ lockt Angreifer an

In der Diskussion um die Ablösung der SIM-Karte führen beide Seiten Vorteile und Risiken der eSIM ins Feld. Die GSM Association argumentiert u.a. mit dem einfacheren Anbieterwechsel. Allerdings muss sich erst noch zeigen, ob das eSIM-Verfahren in der Praxis bequemer ist als die Bestellung und der Einbau einer neuen SIM-Karte. Noch gibt es natürlich keine Erfahrungswerte, was passiert, wenn man einen Anbieter nutzen möchte, der erst noch auf der eSIM programmiert werden muss.

Besonders wichtig ist es aber, bereits im Vorfeld der Einführung neuer Technologien mögliche Nachteile und Risiken zu erkennen und abzuwenden. Im Gegensatz zur klassischen SIM-Karte soll die eSIM ja aus der Ferne programmiert werden können. Solche Funktionen wecken automatisch das Interesse von Angreifern. Schließlich hat das Subscriber Identity Module (SIM) Aufgaben im Bereich der Nutzeridentifikation und auch bei der Speicherung von Daten. Das heißt: Das Risiko von Angriffen mit dem Ziel, Nutzerdaten auszulesen und zu manipulieren und digitale Identitäten zu stehlen und zu fälschen, muss erkannt, benannt und behandelt werden.

SIM-Toolkit für die NSA
Unter Sicherheitsaspekten könnte die eSIM z.B. selbst einen Authentifizierungscode für das interne Firmennetz enthalten, was das Mobile Device Management im Unternehmen vereinfachen würde. Andererseits steht eben die Möglichkeit im Raum, dass Dritte per Fernprogrammierzugriff an die SIM-Schlüssel und SIM-Identität gelangen. Die Zugriffsmöglichkeiten auf SIM-Karten sind bereits heute keineswegs gering, z.B. mit Überwachungsimplantaten wie GOPHERSET. Darshak-Entwickler Ravishankar Borgaonkar hat die SIM-Entwicklung mit Blick auf Apple bereits auf der Heidelberger ERNW-Sicherheitskonferenz TROOPERS14 skizziert und dabei auch die Sicherheitsfrage gestellt. (red)

TROOPERS14-Evolution of SIM Card Security-Ravi Borgaonkor.jpg

Präsentation zum Download (Bild: Ravishankar Borgaonkar/TU Berlin – ERNW GmbH)

Fazit: Jetzt eSIM-Security einfordern!

In vielen Kommentaren geht die Reaktion dahin, die Entwicklung zur eSIM abzulehnen. Das hilft aber nicht weiter. Nutzer, Anwenderunternehmen, aber auch Gerätehersteller, Mobilfunkbetreiber und IT-Sicherheitsanbieter müssen sich mit der Nachfolge der SIM-Karten befassen – und zwar umgehend! Denn die neue SIM wird kommen. Ob sie nun eine hybride SIM aus softwarebasierter SIM und Hardware-Modul (das Konzept der eSIM) oder sogar eine reine Soft SIM sein wird, die nur noch aus Software besteht – mit den aktuellen SIM-Karten, ihrer Größe und dem Verfahren des Einbaus und Wechsels ist ein Internet of Things (IoT) oder eine M2M-Vernetzung kaum zu machen. Immerhin sollen in Zukunft „Dinge“ und Gerätetypen verbunden werden, die bislang mit dem Internet überhaupt nichts zu tun haben und kaum eine SIM-Karte klassischer Bauart beherbergen werden.

Die SIM-Karte wird abgelöst werden, sie muss und wird sterben. Die IT-Sicherheit muss sich darauf einstellen, dass die Funktionen der SIM-Karte bei der Nutzeridentifizierung in sicherer Art ersetzt werden müssen. Deshalb ist es wichtig, die eSIM-Entwicklung genau zu verfolgen und dabei nicht nur die Komfortfragen oder das Roaming im Blick zu haben. Das ist zwar auch wichtig, aber eben nur ein Teil der Konsequenzen.

News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links