Voice recording image

XCell Security

Sprachanrufe verschlüsseln: Schützt das wirklich Ihre Privatsphäre?​

Blog icon written by XCell Technologies
Calendar icon

Publiziert am 06. April 2021​

“Wenn die Verschlüsselung einen Unterschied gemacht hätte, hätten sie uns nicht erlaubt, sie zu benutzen”, sagte jemand.

Verschlüsselte Anrufe schützen Sie vor denen, die Ihre Anrufe nicht abhören wollen (oder können). Sie schützen Sie aber keineswegs vor denen, die Ihre Anrufe abhören können – Strafverfolgungsbehörden, Heimatschutzbehörden und Geheimdienste. Macht das für Sie Sinn? Wenn nicht, lesen Sie bitte weiter.

Die meisten Menschen glauben, dass die Verschlüsselung von Gesprächen der heilige Gral der sicheren Kommunikation ist und dass sie auch bei der Entwicklung von Software für die mobile Sicherheit im Vordergrund steht. Aber warum ist das eigentlich so? Liegt es an den 007-Filmen? Nein, das ist es nicht. Weil es das einzige Produkt ist, das man heutzutage auf dem überfüllten Markt der Sicherheitsprodukte und -lösungen finden kann. Von Hardware-Geräten bis hin zu ausgefeilten Software-Anwendungen – alle behaupten, dass die Verschlüsselung Ihrer mobilen Sprachanrufe das Beste ist, was Sie bekommen können, und dass es keine andere vertrauenswürdige Lösung gibt. Leider bieten verschlüsselte Anrufe keine wirkliche Sicherheit, wenn Sie ins Visier von (missbräuchlichen oder nicht) Strafverfolgungsbehörden, Heimatschutzbehörden oder Geheimdiensten geraten oder schlimmstenfalls sogar Ziel eines geschickten Hackers werden.

Vertrauen Sie uns nicht, das ist nicht nötig. Googeln Sie einfach nach “voice call encryption hack”. Sie werden sofort eine Vielzahl von Artikeln finden.

Diejenigen unter Ihnen, die Produkte zur Sprachverschlüsselung auf Mobiltelefonen verwenden, würden am wenigsten erwarten, dass die Entschlüsselung und das Abhören dieser Produkte einfach sein könnten. Sie haben vielleicht viel Geld für Ihre Anwendung bezahlt und verlassen sich darauf, dass sie Ihre geistige Sicherheit gewährleistet. Aber was wäre, wenn diese Sicherheit nicht so streng wäre, wie Sie es sich vorgestellt haben, wenn ein leicht erhältliches Abhörprogramm, das für jedermann zugänglich ist, und ein einfacher Trojaner, der in Ihr Gerät eingeschleust wird, all Ihre Anrufe gefährden könnten?

Im Jahr 2010 hat der Blogger, Hacker und Experte für IT-Sicherheit Notrax genau das getan. Zu seiner eigenen Sicherheit werden wir seinen Namen nicht nennen. Aber Notrax hat herausgefunden, dass 12 handelsübliche Sprachverschlüsselungsprodukte mit ein wenig Einfallsreichtum und Kreativität abgefangen und kompromittiert werden können, wie er auf seiner Website ausführlich beschreibt.
Insgesamt hat er 15 Produkte zur Sprachverschlüsselung getestet, von denen sich 12 als “wertlos” erwiesen haben. Es ist einfach, der Software Glauben zu schenken, wenn sie uns “erzählt”, dass der Anruf sicher ist. Aber wie kann man sich wirklich darauf verlassen? Notrax hat Untersuchungen durchgeführt und herausgefunden: Fast alle Systeme können in weniger als 30 Minuten geknackt werden.

Sicher bedeutet, dass Notrax nicht in der Lage war, sie zu knacken. Das heißt aber nicht, dass jemand anderes nicht imstande wäre, sie zu knacken.

Diese Anrufe können von jedem angezapft werden, der im Besitz grundlegender technischer Kenntnisse ist oder über die Mittel zur Finanzierung eines solchen Unterfangens verfügt. “Statistiken zeigen, dass Regierungsbehörden im Durchschnitt 50.000 legale Abhörmaßnahmen pro Jahr durchführen (legal = Maßnahmen, für die ein Gerichtsbeschluss erforderlich ist), und dass weitere 150.000 Telefone illegal von Privatdetektiven, Ehepartnern, Freunden und Freundinnen abgehört werden, die versuchen, einen potenziellen Betrüger zu erwischen. Nach einer anderen Schätzung sind bis zu 100.000 Telefone von Unternehmen und Privatpersonen Gegenstand von Abhörmaßnahmen im Rahmen von Industriespionage. Das ist die Realität und das ist ein großes Geschäft.

NoTrax encrypted voice call crack

SnapCell war sicher, es handelt sich dabei um ein privates Verschlüsselungsgerät, das an Ihr Mobiltelefon angeschlossen wird und Ihre mobile Sprach-, Fax- und Datenkommunikation vor Abhören, Lauschangriffen und Störungen in der Leitung schützen soll. SnapCells Website ist seit 21. Januar aus unbekannten Gründen offline. Klicken Sie hier, um zum Webarchiv zu gelangen.
Wenn Sie eine der oben genannten Sprachverschlüsselungstechnologien verwenden, wird Ihnen empfohlen, sich nach einer neuen Lösung wie XCell Stealth Phones umzusehen. Diese gecrackten Anwendungen sind zwar nicht völlig sicher, aber es wäre dennoch ein großer Aufwand, sie zu umgehen, zum Beispiel wenn der Angreifer in der Lage wäre, Software oder einen Trojaner auf Ihr Telefon zu laden, ohne dass Sie es merken. Solange Sie Ihr Handy an einem sicheren Ort aufbewahren, verhält es sich ähnlich wie bei einer Kreditkarte, die Sie in den meisten Fällen ohne Probleme verwenden können.

Sind Sie der Meinung, dass die LTE-Mobilfunknetze sicher sind? Man höre und staune: Hacker entschlüsseln die VoLTE-Verschlüsselung, um Gespräche abzuhören. Mehr dazu hier.

Weitere Nachteile der Sprachverschlüsselung​

Obwohl die Verwendung von Verschlüsselung zum Schutz der Privatsphäre eine kluge Entscheidung sein kann, hat diese Methode auch ihre Nachteile:

  • Ein Mobiltelefon (unabhängig von Marke, Betriebssystem, Arbeitsspeicher oder Chipsatz) verfügt nicht über genügend Rechenleistung, um ein Telefongespräch lokal zu ver- und entschlüsseln. Die Sprachverschlüsselung findet daher auf Servern von Drittanbietern statt. Mit anderen Worten: Die Anwendung zur Sprachverschlüsselung, die Sie gerade auf Ihrem “sicheren” Smartphone installiert haben, ist eine Verbindung zu einem Verschlüsselungsserver. Auf diese Weise können Sie diese Anwendung nur verwenden, wenn Sie eine Datenverbindung (WIFI etc.) haben und sich innerhalb der Telefonwelt befinden. Das Problem ist, dass es sich bei dem Server in Wirklichkeit um einen fremden Computer handelt. Es ist nicht möglich, in Erfahrung zu bringen, wer sich wirklich hinter diesem Server verbirgt. Einige Verschlüsselungshersteller arbeiten nachweislich heimlich mit Geheimdiensten und interessierten Privatunternehmen zusammen. Zum Teil werden nicht einmal öffentlich getestete und standardisierte Kryptoalgorithmen (wie Diffie-Hellman, SHA256, AES und Towfish) verwendet, sondern “proprietäre” Verschlüsselungsverfahren, die einer öffentlichen Bewertung nicht zugänglich sind. Mehrere “proprietäre” Kryptoalgorithmen, die nicht öffentlich evaluiert wurden, haben sich in der Vergangenheit als leicht zu knacken erwiesen, wie z.B. der COMP128-Algorithmus, der in vielen GSM-Netzen zur Authentifizierung verwendet wird, so dass der “proprietäre Krypto”-Ansatz als sehr riskant angesehen werden muss. Im Endeffekt bedeutet dies, dass Sie keine wirkliche Kontrolle über Ihre Sprachanrufe haben.
  • Um eine Hintertür (Backdoor) in ein kryptografisches System einzubauen, ist nicht einmal die aktive Mitarbeit des Herstellers der Hardware oder der Software erforderlich. Ein bestochener Programmierer reicht aus, um ein ganzes Produkt zu kompromittieren.
  • Sie wissen nie, ob die von Ihnen verwendete Verschlüsselungslösung wirklich vertrauenswürdig ist. Es gibt auch keine zuverlässige Möglichkeit, dies zu überprüfen. Die meisten Entwickler von Verschlüsselungsanwendungen sind nicht bereit, den Quellcode zur Verfügung zu stellen. Es kann Hintertüren geben (und in den meisten Fällen gibt es sie auch), die von den Strafverfolgungsbehörden genutzt werden. Es ist durchaus möglich, den Quellcode für einige Verschlüsselungsanwendungen zu finden, wenn er von den Entwicklern selbst veröffentlicht wird. Wenn Sie kein Kryptograph oder Kryptoanalytiker sind, gibt es für Sie keine Möglichkeit herauszufinden, ob Ihre Verschlüsselungsanwendung Sicherheitslücken aufweist.

Es gibt einen Hauptschlüssel​

Würden Sie eine Verschlüsselungsanwendung verwenden, deren Server in z.B. Nordkorea steht? Nordkorea steht? Vermutlich nicht, aber Sie sollten nochmal darüber nachdenken. Kurz gesagt: Je gefestigter eine Demokratie ist, desto einfacher ist es für die Strafverfolgungsbehörden, mit einem einfachen Haftbefehl Zugang zu Verschlüsselungsservern zu erhalten. All das, weil Länder mit gefestigter Demokratie das kennen, was wir Rechtsstaatlichkeit nennen. Da Verschlüsselungsanwendungen nicht außerhalb dieses Planeten entwickelt werden und alle Verschlüsselungsserver sich in irgendeinem Land befinden, haben Regierungen und verwandte Institutionen ein einfaches Instrument namens richterliche Anordnung. Damit kann jeder “verschlüsselte” Server, der für sogenannte “sichere” Kommunikation verwendet wird, sofort “geöffnet” werden. Ja, es ist nur eine Frage der Zeit, bis dies geschieht. Aber letztendlich werden sie eine Klartext- oder Sprachkopie erhalten. Ganz zu schweigen davon, dass die NSA und ähnliche Akteure über Werkzeuge und Lösungen verfügen, mit denen sie jede heute verwendete Verschlüsselungsanwendung umgehen können, um in Echtzeit herauszufinden, wonach sie suchen.

Die Verschlüsselung von Sprachanrufen könnte Sie verdächtig machen. Sie könnten unerwünschte Aufmerksamkeit auf sich ziehen, und zwar genau von denen, vor denen Sie sich zu verstecken versuchen. Es ist wie eine klingelnde Glocke, die am eigenen Schwanz befestigt ist. Stellen Sie sich vor, was die Leute tun werden, wenn Sie ein verschlüsseltes Handy benutzen. Um an die benötigten Informationen zu gelangen, werden sie mit Sicherheit andere Wege beschreiten. Sie werden nicht darauf warten, Sicherheitslücken in Ihrer Krypto-Anwendung zu finden. Sie werden nicht einmal versuchen, sie zu entschlüsseln. Sie werden einfach Ihre Wohnung, Ihr Büro und Ihr Fahrzeug verwanzen, Ihren Computer ausspionieren, Ihre Post abfangen, verdeckte Quellen der menschlichen Aufklärung (HUMINT) nutzen und alles tun, was nötig ist, um an relevante Informationen über Sie und Ihre Aktivitäten zu gelangen. Sie können den Schutz der Kommunikation, den verschlüsselte Telefone bieten, leicht umgehen: Sie sammeln einfach relevante Informationen aus anderen Quellen. So einfach geht das. Ja, das geschieht nicht in Echtzeit. Aber es kann schon sehr nahe an Echtzeit heranreichen.

Wenn Sie ins Visier eines Nachrichtendienstes geraten: Auch wenn Sie Ihre mobile Kommunikation verschlüsseln, sind Sie nicht hundertprozentig vor Abhörmaßnahmen geschützt. Fragen Sie sich selbst: Nur weil Sie verschlüsselt kommunizieren, werden Sie nicht mehr überwacht? Nein, mit Sicherheit nicht. Sie werden andere Wege finden, um an die Informationen zu gelangen, die sie benötigen, denn Sie stellen für sie eine Herausforderung dar. Sicher, für eine kurze Zeit werden Ihre Geheimnisse … geheim bleiben. Aber jede seriöse Behörde wird immer Sicherheitslücken finden, um mit allen Mitteln an Ihre Informationen heranzukommen.
Wenn Sie Ihre Telefongespräche verschlüsseln, geben Sie ihnen zu verstehen, dass Sie etwas Wichtiges zu verbergen haben. Sie laden den Geheimdienst dazu ein, andere Wege zu finden, um an Informationen zu gelangen.

Bei Verwendung einer Verschlüsselung über Standard-Mobilfunk-Sprachkanäle (keine Datenverbindung), wie die an Ihr Mobiltelefon angeschlossenen Verschlüsselungsgeräte, ist der verschlüsselte Anruf nicht so… verschlüsselt, wie Sie es sich vorstellen. Ja, es schützt vor dem Abhören von Anrufen durch Spionageprogramme, die auf Ihrem Telefon installiert sind. Denn das Mikrofon des Telefons wird bei verschlüsselten Anrufen nicht verwendet. Aber selbst wenn Sie ein solches Gerät verwenden, kann der GSM-Betreiber oder das Unternehmen, das einen GSM-Interceptor betreibt, ziemlich viele Informationen herausfinden, wie z. B:

  • Beide am Anruf beteiligten Telefonnummern.
  • Dauer des Gesprächs mit Uhrzeit.
  • Ihr (Telefon-) Standort zum Zeitpunkt des Anrufs.
  • Ihre geografische Position zu jedem Zeitpunkt mittels einiger einfacher und wirksamer Triangulationstechniken auf der Grundlage der IMEI Ihres Telefons, die durch keine Verschlüsselungsanwendung verborgen werden kann. Sobald Sie Ihr Krypto-Handy einschalten, werden die IMEI und die IMSI (wenn eine SIM-Karte im Gerät ist) an das Netzwerk gesendet, um eine Verbindung herzustellen. Sie müssen weder anrufen noch eine SMS senden. Auf diese Weise funktionieren alle Mobiltelefone, auch Ihr Krypto-Telefon.

Die Schwächen anderer Krypto-Telefone sind bekannt​

  • Moderne GSM-Interceptor können anhand der IMEI- und/oder IMSI-Werte jedes Mobiltelefon in ihrer Reichweite selektiv und temporär blockieren. Dadurch kann das betreffende Krypto-Telefon für eine bestimmte Zeit nicht verwendet werden. Dies geschieht, wenn ein Kryptotelefon eine Datenverbindung für verschlüsselte Anrufe nutzt.
  • Die Verschlüsselung von Mobiltelefonen erfordert bekanntlich eine Hochgeschwindigkeits-Internetverbindung. Viele moderne GSM-Interceptor sind in der Lage, Ihre Krypto-Telefonverbindung von 3G/4G auf 2G zu reduzieren, indem sie einfach die 3G/4G-Frequenzen für den Uplink stören, was ein Standardverfahren ist. Auf diese Weise werden Krypto-Telefone, die Datenverbindungen verwenden, ausfallen und unbrauchbar.

Selbst die bekanntesten verschlüsselten Mobiltelefone sind nicht immun gegen diese Art von Angriffen. Vor einigen Jahren stellte ein Durchschnittsbürger einen kurzen Film auf YouTube, der zeigte, wie eine bekannte Anwendung für verschlüsselte Unternehmenskommunikation, GoldLock, durch eine billige kommerzielle Spionageanwendung namens FlexiSpy überwunden werden kann. Er installierte FlexySpy auf dem Mobiltelefon, auf dem GoldLock bereits installiert war. Er begann, mit einem anderen GoldLock-Handy verschlüsselt zu telefonieren. Das gesamte Gespräch wurde von FlexySpy im Klartext aufgezeichnet. FlexySpy greift den Ton direkt vom Mikrofon ab, bevor GoldLock zur Sprachverschlüsselung übergeht. Sobald das Gespräch beendet war, wurde es von FlexiSpy automatisch über WIFI oder eine Datenverbindung an einen Server gesendet. Dort konnte es über das persönliche Konto des Benutzers abgehört werden. Für eine erstklassige Verschlüsselungsanwendung ist das einfach, effizient und peinlich. Denselben Test können Sie jederzeit durchführen.
Aus irgendwelchen Gründen wurde das Video von YouTube entfernt. Daher können wir keinen Link dazu veröffentlichen. Seitdem gibt es auch keine kostenlosen Testanwendungen von GoldLock mehr. Um ähnliche Situationen zu vermeiden. Das macht GoldLock für Privatanwender aber nicht weniger effektiv. Es ist mit Abstand eine der sichersten Kommunikationsanwendungen.
Und ja, dasselbe kann Ihrem “sicheren” Mobiltelefon passieren.

Sprachanrufe zu verschlüsseln, ist eine kurzfristige Lösung, um eine sichere Kommunikation zu gewährleisten. Auf dem Schlachtfeld der Nachrichtendienste ist Berechenbarkeit eine der schlechtesten Entscheidungen. Und die Verwendung eines Krypto-Telefons bedeutet, dass Sie mehr als nur vorhersehbar sind.
Bei der Verwendung einer Sprachverschlüsselungslösung (Software oder Hardware) werden Sie sich nie sicher sein können, wann Ihr Mobiltelefon tatsächlich abgehört wird, und in der Folge werden Sie sich nie sicher sein können, wann Sie wirklich in Gefahr sind. Anstatt sich blind auf den Schutz von Krypto-Telefonen zu verlassen, ist es besser, zu wissen, wann jemand versucht, Ihre Anrufe abzuhören, und wann jemand versucht, Ihren Standort ausfindig zu machen. Dann kann man überlegt handeln, die richtigen Entscheidungen treffen und diese sogar durch verschiedene Täuschungstechniken beeinflussen. Und genau hier kommen die XCell Stealth Phones ins Spiel, die Ihnen das Beste aus beiden Welten bieten: Abhörerkennung und Abhörschutz. Abhörerkennung in Echtzeit und zum richtigen Zeitpunkt ist etwas ganz anderes als blinde Verschlüsselung. Ein Vorteil, der von Profis gegen Profis eingesetzt wird.

Let’s keep in touch!

We’d love to keep you updated with our latest news and offers

Weitere Beiträge

Google Smartphone

DeGoogled Android

Wir wissen, dass Sie Google-Apps auf Ihrem Android-Smartphone loswerden möchten. Aber kann man sie wirklich entfernen? Und dient das wirklich Ihrer Privatsphäre und Sicherheit? Wir glauben nicht. Lesen Sie mehr

COVID-bit

COVID-Bit Angriff

Dieser Artikel führt uns zum Fachbereich Software and Information Systems Engineering der Ben-Gurion University of the Negev in Israel, wo man Probleme mit so genannten Airgapped-Netzen festgestellt hat.

A smartphone using Protonmail

Hinweis für Proton-Mail Benutzer

Wir müssen Sie an unseren Ansatz in Sachen Verschlüsselung erinnern: Verschlüsselung ist für Normalbürger und schützt nur vor (einigen) Hackern. Vor Strafverfolgungsbehörden schützt sie überhaupt nicht, wie Sie in diesem Artikel lesen werden.