Vorsicht, Mithörer: Heute können sich staatliche Stellen in Deutschland unverzüglich und unbemerkt in jedes Telefonat einschalten. Die Telekommunikations- überwachungsverordnung schreibt hierfür sogar vor, dass die Tonqualität für die Lauscher „nicht schlechter als die der zu überwachenden Telekommunikation“ sein darf. Allein 2006 wurden auf diese Weise 40.915 Anschlüsse überwacht. Möglich wird das Mithören durch einen sogenannten IMSI-Catcher, kurz für „International Mobile Subscriber Identity“.

Hierzu muss jedoch erst einmal die Nummer des Verdächtigen bekannt sein. Bei Festnetzen ist das einfach: Es ist die Rufnummer des Telefonanschlusses in der zu überwachenden Wohnung. Mobiltelefone hingegen lassen sich nicht immer einer Person zuordnen, auch wenn sogar der Kauf einer Prepaid-Karte nur noch mit Personalausweis möglich ist. Aber keine Handy-Kommunikation ohne sogenannte IMSI. Diese International Mobile Subscriber Identity ist eine von der Rufnummer unabhängige 15-stellige Ziffernfolge, die auf der SIM-Karte des Handys gespeichert ist.

Als Basisstation verkleiden

Sie wird für jede SIM-Karte individuell vergeben. Mit dieser Nummer weist sich das Handy gegenüber dem Netz aus. Die Netzbetreiber verknüpfen die IMSI mit der jeweiligen Rufnummer. Wer also die IMSI kennt, kann bei Vorlage einer richterlichen Anordnung beim Netzbetreiber einen Abhörantrag stellen und in bester Qualität mithören. Und wer sich diese direkte Leitung nicht legen lassen kann etwa als Privatmann oder ausländischer Dienst, muss noch lange nicht ins Leere hören: Der „IMSI-Catcher“ fängt nicht nur die Nummer, sondern ermöglicht einen diskreten Lauschangriff im Äther.

Die Basisstation mit dem jeweils stärksten Signal ist der unmittelbare Ansprechpartner des Handys. Über sie - und das dahinter liegende Netz - erfolgen Verbindungsaufbau und das Telefonat. Ein eingeschaltetes Mobiltelefon versucht, immer in Kontakt zur kräftigsten Basisstation seines Netzes zu bleiben. Der sich bewegende Benutzer bekommt davon in aller Regel gar nichts mit. Wer nun mit einem Radio (“Scanner“) dem Funkverkehr zwischen Handy und Basisstation zuhört, wird selbst dann nichts verstehen, wenn er diesen digitalen Bitstrom demodulieren kann. Er ist so verschlüsselt, dass er sich nur mit erheblichem Aufwand - und vor allem nicht live - dekodieren ließe. Wer in diesen Funkverkehr einbrechen will, muss sich somit als Basisstation verkleiden.

Sicherheitslücke im GSM-Standard

„Ein IMSI-Catcher“, sagt Dirk Fox, Geschäftsführer der Secorvo Security Consulting, „hat daher zwei Seiten. Gegenüber dem Handy tritt er als Basisstation auf. Den tatsächlichen Basisstationen der Netzbetreiber wiederum spiegelt er ein Handy vor.“ Ein gewünschtes Handy herauszufiltern ist eine anspruchsvolle Aufgabe. Hierzu ist der Verdächtige zu beobachten und die Sendeleistung des IMSI-Catchers so einzustellen, dass möglichst nur sein Handy anspricht. Ein zu starkes Signal oder eine zu große Menschengruppe mit eingeschaltetem Mobilteil in der Tasche machte die Sache unübersichtlich.

Hat der IMSI-Catcher das betreffende Handy an der Angel, so fragt er einfach nach der IMSI. In Sekundenbruchteilen hängt sie am Haken. Möglich macht dieses Ausspionieren etwas, was das Bundesamt für Sicherheit in der Informationstechnik für „einen Designfehler im GSM-Standard“ hält, auf den sich auf der ganzen Welt mehr als zwei Milliarden Menschen verlassen. „Bei GSM“, sagt Informatiker Fox, „muss sich nur das Handy gegenüber der Basisstation ausweisen. Nicht jedoch umgekehrt die Basisstation gegenüber dem Handy. Erst beim neuen UMTS-Netz gibt es eine beiderseitige Authentifizierung.“

Ein Trick hilft auch bei UMTS

Nach dem Nummernempfang schaltet der befugte Lauscher seinen etwa 200.000 Euro teuren und im Rucksack transportierbaren IMSI-Catcher wieder ab und zapft diesen Anschluss nun direkt beim Netzbetreiber an. Der unbefugte Mithörer hingegen sendet dem Handy noch einen weiteren Befehl: „Verschlüsselung abschalten!“ Die ohnehin lediglich auf dem Funkwege verwendete Verschlüsselung abschalten zu können, war eine Forderung mehrerer Staaten an den internationalen Mobilfunkstandard GSM. Angerufen werden freilich kann der so Abgehörte nicht.

Denn sein Handy ist ja nur über den IMSI-Catcher mit dem Netzbetreiber verbunden. Der wiederum sieht nur die SIM-Karte des Catchers, nicht aber die des eigentlichen Handys, das währenddessen unauffindbar bleibt. Das alles geht weitgehend spurlos vor sich. Da IMSI-Catcher im UMTS-Netz nicht ohne weiteres Nummern fangen und mitlauschen können, hilft ein Trick. Ein Störsender verdirbt den UMTS-Empfang, woraufhin das Handy automatisch zu GSM wechselt. „Ein neues Problem auf ein bekanntes zurückführen“, nennt Dirk Fox das.