Die Vorwürfe tragen schwer, das Dementi kam entsprechend deutlich: Es habe zwar tatsächlich einen Einbruch in die eigenen Rechnersysteme gegeben, die Encryption Keys für SIM-Karten seien dabei allerdings nicht erbeutet worden - so Gemalto, einer der weltweit größten SIM-Karten-Hersteller am Mittwoch.

Reaktion

Kann damit der vergangene Woche erhobene Vorwurf, dass NSA und GCHQ diese Schlüssel dazu nutzen, um weltweit die Verschlüsselung zwischen Mobiltelefonen und Netzbetreiben abzuhören, ad acta gelegt werden? Nein meinen nun Sicherheitsexperten - und üben dabei erneut scharfe Kritik an dem Unternehmen.

Wundersam

Es sei "beeindruckend", dass ein Unternehmen, das erst über einen Pressebericht von einem fünf Jahre alten Hack erfahren hat, innerhalb von sechs Tagen eine vollständige Sicherheitsanalyse der letzten Jahre durchführen könne, kommentiert etwa Christopher Soghoian von der American Civil Liberties Union zynisch. Zumal das Unternehmen in 85 Ländern operiere.

Diesen Zweifeln stimmt auch Matthew Green, Kryptograph am Johns Hopkins Information Security Institute gegenüber The Intercept zu: "Diese Untersuchung scheint vor allem darauf ausgelegt zu sein, ein positives Ergebnis zu erzielen". Auch Ronald Prins von Fox IT spricht von "Schadensbegrenzung" als Prämise: "Eine echte forensische Untersuchung sei in diesem Zeitraum schlicht nicht möglich.

Aufgeteilt

Gemalto hatte behauptet, dass NSA und GCHQ lediglich ins Büronetzwerk nie aber bis zu den sensiblen Bereichen der eigenen Infrastruktur vorgedrungen sind. Wie man genau zu dieser Einschätzung gekommen ist, hatte das Unternehmen nicht ausgeführt. "Man hat wohl einfach die eigene IT gefragt, welche Attacken man in den letzten Jahren bemerkt hat", mutmaßt Soghoian.

"Nonsens"

Aber auch an anderen Details der Gemalto-Ausführungen stoßen sich die Experten: So hatte das Unternehmen behauptet, dass selbst wenn es zu einem Diebstahl gekommen wäre, nur 2G und nicht 3G oder 4G-Verbindungen gefährdet wären. Der Krytographie-Experte Green hält dies für Nonsens: "Keine Verschlüsselungsstandard hält einem Schlüssel-Diebstahl stand". (apo, derStandard.at, 26.2.2015)