Satelliten geben die Geheimnisse der Welt preis: Anrufe, SMS, Militär- und Unternehmensdaten

Satelliten senden ständig Daten zur Erde. Man könnte also erwarten, dass diese weltraumgestützte Funkkommunikation verschlüsselt wäre, um zu verhindern, dass Schnüffler mit einer Satellitenschüssel auf die Flut geheimer Informationen zugreifen können, die ständig vom Himmel regnet. Doch damit liegen Sie überraschenderweise falsch.

Etwa die Hälfte der Signale geostationärer Satelliten, von denen viele vertrauliche Kommunikation von Verbrauchern, Unternehmen und Behörden übertragen, ist völlig anfällig für Abhörmaßnahmen. Dies ergab heute ein Forscherteam der UC San Diego und der University of Maryland in einer Studie, die wahrscheinlich in der Cybersicherheitsbranche, bei Telekommunikationsunternehmen sowie bei Militär- und Geheimdiensten weltweit Anklang finden wird.

Drei Jahre lang entwickelten und nutzten die Forscher von UCSD und UMD auf dem Dach eines Universitätsgebäudes im Küstenviertel La Jolla in San Diego ein handelsübliches Satellitenempfangssystem für 800 Dollar, um die Kommunikation geostationärer Satelliten in dem schmalen Band des Weltraums zu empfangen, das von ihrem Standort in Südkalifornien aus sichtbar war. Indem sie ihre Schüssel einfach auf verschiedene Satelliten richteten und monatelang die undurchsichtigen – aber ungeschützten – Signale interpretierten, die sie von ihnen empfingen, trugen die Forscher eine besorgniserregende Sammlung privater Daten zusammen: Sie erhielten Stichproben der Anrufe und Textnachrichten von Amerikanern im Mobilfunknetz von T-Mobile , Daten vom WLAN-Surfen von Fluggästen während des Fluges, Kommunikationsdaten zu und von kritischer Infrastruktur wie Elektrizitätswerken und Offshore-Öl- und Gasplattformen sowie sogar Kommunikationsdaten des US-amerikanischen und mexikanischen Militärs und der Polizei, die die Standorte von Personal, Ausrüstung und Einrichtungen enthüllten.

„Wir waren völlig schockiert. Einige wirklich wichtige Teile unserer Infrastruktur sind auf dieses Satelliten-Ökosystem angewiesen, und wir vermuteten, dass alles verschlüsselt sein würde“, sagt Aaron Schulman, Professor an der UCSD und Co-Leiter der Forschung. „Und jedes Mal, wenn wir etwas Neues entdeckten, war es nicht verschlüsselt.“

Das Papier der Gruppe, das sie diese Woche auf einer Konferenz der Association for Computing Machinery in Taiwan vorstellt, trägt den Titel „Don't Look Up“ – eine Anspielung auf den gleichnamigen Film aus dem Jahr 2021, aber auch ein Satz, der laut den Forschern die offensichtliche Cybersicherheitsstrategie des globalen Satellitenkommunikationssystems beschreibt. „Sie gingen davon aus, dass niemand jemals all diese Satelliten überprüfen und scannen und sehen würde, was da draußen ist. Das war ihre Sicherheitsmethode“, sagt Schulman. „Sie dachten einfach nicht, dass jemand nach oben schauen würde.“

Die Forscher gaben an, fast das ganze vergangene Jahr damit verbracht zu haben, Unternehmen und Behörden zu warnen, deren sensible Daten in Satellitenkommunikationen offengelegt wurden. Die meisten von ihnen, darunter auch T-Mobile, reagierten umgehend, um die Kommunikation zu verschlüsseln und die Daten zu schützen. Andere, darunter einige Betreiber sensibler US-Infrastruktur, die die Forscher erst kürzlich gewarnt hatten – und deren Namen WIRED gegenüber nicht genannt werden wollten –, haben ihre satellitengestützten Systeme bislang nicht verschlüsselt. Forscher hatten bereits zuvor auf die Überwachungsgefahren unverschlüsselter Satellitenverbindungen hingewiesen, doch das Ausmaß und die Tragweite der neuen Enthüllungen scheinen beispiellos.

Forscher der UCSD und UMD posieren mit ihrem Satellitenempfangssystem auf dem Dach eines Universitätsgebäudes in San Diego. Von links nach rechts: Annie Dai, Aaron Schulman, Keegan Ryan, Nadia Heninger, Morty Zhang. Nicht im Bild: Dave Levin.

Mit freundlicher Genehmigung von Ryan Kosta

Die Forscher untersuchten für ihre Arbeit nur einen kleinen Teil der geostationären Satelliten, deren Signale sie von San Diego aus empfangen konnten – nach Schätzung der Forscher etwa 15 Prozent der in Betrieb befindlichen Satelliten. Dies deutet darauf hin, dass über Satellitenkommunikation wahrscheinlich immer noch riesige Datenmengen offengelegt werden, sagt Matt Green, Informatikprofessor an der Johns Hopkins University, der sich auf Cybersicherheit spezialisiert hat und die Studie überprüft hat. Große Teile der Satellitendaten werden wahrscheinlich auch in den kommenden Jahren gefährdet sein, da Unternehmen und Regierungen sich mit der Frage auseinandersetzen, ob und wie sie veraltete Systeme sichern können, so Green.

„Es ist verrückt. Die Tatsache, dass so viele Daten über Satelliten laufen, die jeder mit einer Antenne empfangen kann, ist einfach unglaublich“, sagt Green. „Dieses Papier wird einen sehr kleinen Teil des Problems lösen, aber ich glaube, vieles wird sich nicht ändern.“

„Ich wäre schockiert“, fügt Green hinzu, „wenn Geheimdienste jeder Größe dies nicht bereits ausnutzen würden.“

Die von den Forschern erhaltenen Telefonanrufe und Textnachrichten wurden insbesondere dadurch entlarvt, dass Telekommunikationsunternehmen Satellitenkommunikation nutzen, um normalen Telefonnutzern, die sich mit Mobilfunkmasten in abgelegenen Gebieten verbinden, Mobilfunkabdeckung zu bieten. Manche Masten in Wüsten- oder Bergregionen der USA sind beispielsweise mit einem Satelliten verbunden, der ihre Signale zum restlichen Mobilfunknetz des Telekommunikationsunternehmens und zurückleitet. Die interne Kommunikation des Netzwerks wird als „Backhaul“-Verkehr bezeichnet.

Wer seinen eigenen Satellitenempfänger in der gleichen Region wie einen dieser abgelegenen Mobilfunkmasten aufstellt – oft Tausende von Kilometern entfernt –, kann die für diesen Mast bestimmten Signale empfangen. Auf diese Weise konnte das Forschungsteam zumindest einen Teil der unverschlüsselten Backhaul-Daten der Mobilfunkanbieter T-Mobile, AT&T Mexico und Telmex abrufen.

Die Daten von T-Mobile waren besonders aussagekräftig: In nur neun Stunden, in denen die Forscher die Backhaul-Satellitenkommunikation von T-Mobile über eine einzige Schüssel aufzeichneten, sammelten sie die Telefonnummern von mehr als 2.700 Nutzern sowie alle Anrufe und Textnachrichten, die sie in dieser Zeit erhielten. Sie konnten jedoch nur einen Teil dieser Gespräche lesen oder hören: den Inhalt der Nachrichten und Anrufe, die an die entfernten Sendemasten von T-Mobile gesendet wurden, nicht aber die von dort an das Kernzellnetz. Dafür wäre eine weitere Satellitenschüssel in der Nähe derjenigen erforderlich gewesen, die T-Mobile am anderen Ende des Mobilfunknetzes empfangen sollte.

Mobilfunkmasten in abgelegenen Regionen sind manchmal mit einem Satelliten verbunden, der ihre Signale zum restlichen Mobilfunknetz eines Telekommunikationsunternehmens weiterleitet – die interne Kommunikation des Netzwerks wird als „Backhaul“-Verkehr bezeichnet. Jeder, der seinen eigenen Satellitenempfänger in der gleichen weitläufigen Region wie einer dieser abgelegenen Mobilfunkmasten aufstellt – oft Tausende von Kilometern entfernt – kann dieselben Signale empfangen, die für diesen Mast bestimmt sind.

Abbildung: WIRED Staff; Getty Images

„Als wir das alles sahen, fragte ich mich sofort: Haben wir gerade ein Verbrechen begangen? Haben wir gerade abgehört?“, sagt Dave Levin, Informatikprofessor an der University of Maryland und Co-Leiter der Studie. Tatsächlich habe das Team keine Kommunikation aktiv abgefangen, sondern nur passiv mitgehört, was an die Empfangsschüssel gesendet wurde. „Diese Signale werden jederzeit an über 40 Prozent der Erde gesendet“, so Levin.

Auch der mexikanische Telekommunikationsanbieter Telmex übertrug unverschlüsselte Sprachanrufe, wie die Forscher herausfanden. Darüber hinaus entdeckten sie, dass AT&T Mexico Rohdaten über Satelliten übertrug, darunter den Internetverkehr der Nutzer – der größtenteils von den genutzten Apps oder Browsern mit HTTPS verschlüsselt war –, aber auch einige Anruf- und SMS-Metadaten. Sie fanden außerdem Entschlüsselungsschlüssel, die nach Ansicht der Forscher wahrscheinlich zur Entschlüsselung anderer sensibler Informationen verwendet worden sein könnten, die das AT&T Mexico-Netzwerk übertrug – obwohl sie dies nicht versucht hatten.

Ab Dezember 2024 begannen die Forscher, die betroffenen Telekommunikationsunternehmen zu kontaktieren. T-Mobile reagierte innerhalb weniger Wochen mit der Verschlüsselung seiner Satellitenübertragungen, die Reaktionen anderer Mobilfunkanbieter waren jedoch gemischt.

„Im vergangenen Jahr hat diese Untersuchung dazu beigetragen, ein Verschlüsselungsproblem eines Anbieters ans Licht zu bringen, das bei einer begrenzten Anzahl von Satelliten-Backhaul-Übertragungen von einer sehr kleinen Anzahl von Mobilfunkstandorten festgestellt wurde und schnell behoben wurde“, sagt ein Sprecher von T-Mobile und fügt hinzu, dass das Problem „nicht das gesamte Netzwerk“ betreffe und dass das Unternehmen Schritte unternommen habe, um „sicherzustellen, dass dies nicht noch einmal passiert“.

Ein Sprecher von AT&T erklärte, das Unternehmen habe das Problem „umgehend“ behoben. „Ein Satellitenlieferant hat eine kleine Anzahl von Mobilfunkmasten in einer abgelegenen Region Mexikos falsch konfiguriert“, heißt es. Telmex reagierte nicht auf die Anfrage von WIRED um einen Kommentar.

Ob andere Mobilfunkanbieter in den USA und weltweit – außerhalb der Sichtweite der Satellitenschüssel der Forscher – ihre satellitengestützten Backhaul-Daten verschlüsselt haben, bleibt eine offene Frage. Die Forscher geben an, dass sie von ihrer Schüssel aus keinen unverschlüsselten US-Datenverkehr von Verizon oder AT&T beobachtet haben.

Der AT&T-Sprecher erklärte, die US-amerikanischen und mexikanischen Netze seien getrennt und der Einsatz von Satelliten für die Mobilfunk-Backhaul-Verbindungen sei „selten“. „Wir leiten den Verkehr normalerweise über unser geschlossenes, sicheres Backhaul-Netzwerk“, so der Sprecher. „In den seltenen Fällen, in denen Daten außerhalb unseres geschlossenen Netzwerks übertragen werden müssen, verschlüsseln wir sie grundsätzlich.“ Verizon reagierte nicht auf die Anfrage von WIRED um einen Kommentar.

Nicht nur Mobilfunkmasten in abgelegenen Gebieten, sondern auch fehlende Verschlüsselung der Mobilfunk-Backhaul-Daten könnte jeden im selben Netzwerk angreifbar machen, betont Green von der Johns Hopkins University. Hacker könnten mithilfe von Überwachungshardware, auch Stingray oder IMSI-Catcher genannt, einen sogenannten Relay-Angriff mit einem gefälschten Mobilfunkmast durchführen und die Daten des Opfers an einen Mobilfunkmast umleiten, der mit einem Satelliten-Uplink verbunden ist. „Das bedeutet nicht nur, dass irgendein armer Kerl in der Wüste seinen Mobilfunkmast mit einem unverschlüsselten Backhaul nutzt“, sagt Green. „Man könnte daraus einen Angriff auf jeden im ganzen Land machen.“

Die Satellitenschüssel der Forscher erfasste zudem eine beträchtliche Menge ungeschützter Militär- und Polizeikommunikation. So erhielten sie beispielsweise unverschlüsselte Internetkommunikation von US-Militärschiffen sowie deren Namen. (Ein Sprecher der US-amerikanischen Defense Information Systems Agency bestätigte die Bitte von WIRED um einen Kommentar, hatte zum Zeitpunkt des Schreibens jedoch noch keine Antwort.)

Für das mexikanische Militär und die Strafverfolgungsbehörden waren die Angriffe weitaus schlimmer: Die Forscher fanden offenbar unverschlüsselte Kommunikation mit entfernten Kommandozentralen, Überwachungseinrichtungen und Einheiten des mexikanischen Militärs und der Strafverfolgungsbehörden. In einigen Fällen beobachteten sie die ungeschützte Übertragung sensibler Geheimdienstinformationen über Aktivitäten wie Drogenhandel. In anderen Fällen entdeckten sie Aufzeichnungen zur Ortung und Wartung militärischer Vermögenswerte für Flugzeuge wie Mil Mi-17 und UH-60 Black Hawk-Hubschrauber, Seeschiffe und gepanzerte Fahrzeuge sowie deren Standorte und Einsatzdetails. „Als wir die ersten Militärhubschrauber entdeckten, war es nicht unbedingt die schiere Datenmenge, die uns Sorgen machte, sondern deren extreme Sensibilität“, sagt Schulman. Das mexikanische Militär reagierte nicht sofort auf die Anfrage von WIRED um einen Kommentar.

Ebenso sensibel dürfte die Kommunikation industrieller Systeme kritischer Infrastrukturen wie Stromnetzen und Offshore-Öl- und Gasplattformen gewesen sein. In einem Fall stellte sich heraus, dass die Comisión Federal de Electricidad (CFE), Mexikos staatlicher Energieversorger mit fast 50 Millionen Kunden, seine interne Kommunikation unverschlüsselt übertrug – von Arbeitsaufträgen mit Namen und Adressen der Kunden bis hin zu Mitteilungen über Geräteausfälle und Sicherheitsrisiken. (Ein CFE-Sprecher bestätigte die Bitte von WIRED um einen Kommentar, antwortete aber vor der Veröffentlichung nicht.)

In anderen Fällen, die die Forscher bislang nicht öffentlich publiziert haben, warnten sie laut eigenen Angaben auch US-Infrastrukturbetreiber vor unverschlüsselter Satellitenkommunikation für industrielle Steuerungssoftware. In Telefonaten mit diesen Infrastrukturbetreibern äußerten einige sogar Bedenken, ein böswilliger Akteur könne die Steuerungssysteme ihrer Anlagen nicht nur überwachen, sondern sie mit genügend Raffinesse auch deaktivieren oder manipulieren, um den Betrieb der Anlage zu manipulieren.

Die Forscher erbeuteten eine riesige Sammlung weiterer Unternehmens- und Verbraucherdaten: Sie griffen auf die WLAN-Daten von zehn verschiedenen Fluggesellschaften zu, die an Bord von Intelsat- und Panasonic-Systemen eingesetzt wurden. Darin fanden sie unverschlüsselte Metadaten über die Browseraktivitäten der Nutzer und sogar den unverschlüsselten Ton der Nachrichtensendungen und Sportübertragungen. Außerdem erbeuteten sie Unternehmens-E-Mails und Bestandsaufzeichnungen der mexikanischen Walmart-Tochtergesellschaft, Satellitenkommunikationsdaten zu Geldautomaten von Santander Mexiko sowie den mexikanischen Banken Banjercito und Banorte.

Ein Sprecher der Panasonic Avionics Corporation erklärte, man begrüße die Ergebnisse der Forscher, behauptete jedoch, man habe festgestellt, dass mehrere uns zugeschriebene Aussagen entweder unzutreffend seien oder unsere Position falsch wiedergeben. Auf Nachfrage ließ der Sprecher offen, was das Unternehmen für unzutreffend halte. „Unsere Satellitenkommunikationssysteme sind so konzipiert, dass jede Benutzerdatensitzung den festgelegten Sicherheitsprotokollen folgt“, erklärte der Sprecher.

„In der Regel wählen unsere Nutzer die Verschlüsselung ihrer Kommunikation entsprechend ihrer spezifischen Anwendung oder ihrem Bedarf“, erklärt ein Sprecher von SES, der Muttergesellschaft von Intelsat. „Für SES-Kunden an Bord stellt SES beispielsweise einen öffentlichen WLAN-Hotspot zur Verfügung, ähnlich dem öffentlichen Internet in Cafés oder Hotels. In solchen öffentlichen Netzwerken wird der Datenverkehr verschlüsselt, wenn über HTTPS/TLS auf eine Website zugegriffen wird oder über ein virtuelles privates Netzwerk kommuniziert wird.“

Die Forscher meldeten die zahlreichen unverschlüsselten Satellitenkommunikationen der mexikanischen Regierung und mexikanischer Organisationen im April dieses Jahres dem CERT-MX, dem Sicherheitsteam des Landes, das Teil der Nationalgarde der Regierung ist, und kontaktierten anschließend separat Unternehmen. CERT-MX reagierte nicht auf die wiederholten Anfragen von WIRED um einen Kommentar.

Ein Sprecher von Santander Mexiko erklärte, es seien keine Kundendaten oder Transaktionen kompromittiert worden, bestätigte aber, dass der Datenverkehr mit einer „kleinen Gruppe“ von Geldautomaten in abgelegenen Gebieten Mexikos in Verbindung stehe, wo Satellitenverbindungen die einzige Möglichkeit seien. „Obwohl dieser Datenverkehr kein Risiko für unsere Kunden darstellt, haben wir den Bericht zum Anlass genommen, uns zu verbessern und Maßnahmen zu ergreifen, die die Vertraulichkeit des über diese Verbindungen zirkulierenden technischen Datenverkehrs erhöhen“, so der Sprecher.

„Wir können zwar keine Einzelheiten nennen, können aber bestätigen, dass unsere Kommunikationsleitungen überprüft und als sicher bestätigt wurden“, sagt ein Walmart-Sprecher. (Die Forscher bestätigten, dass sie beobachtet hatten, dass Walmart als Reaktion auf ihre Warnung seine Satellitenkommunikation verschlüsselt hatte.)

„Die Informationen unserer Kunden und unsere Infrastruktur sind keinerlei Sicherheitslücken ausgesetzt“, erklärte ein Sprecher der Grupo Financiero Banorte. Banjercito war für eine Stellungnahme nicht zu erreichen.

„Die SIA und ihre Mitglieder beobachten die Bedrohungslandschaft weiterhin aufmerksam und beteiligen sich weiterhin an verschiedenen Sicherheitsbemühungen mit Regierungsbehörden, Arbeitsgruppen der Branche und internationalen Normungsgremien“, sagt Tom Stroup, der Präsident der Satellite Industry Association, und fügt hinzu, dass man sich nicht zu spezifischen Unternehmensproblemen äußere.

Der hohe Anteil mexikanischer Daten in den Ergebnissen der Forscher ist natürlich kein Zufall. Zwar konnte ihre Satellitenschüssel technisch gesehen Übertragungen von etwa einem Viertel des Himmels empfangen, doch ein Großteil dieses Bereichs umfasste den Pazifik, über dem sich relativ wenige Satelliten befinden. Und nur ein kleiner Teil der Transponder der von der Schüssel erfassten Satelliten sendete Daten in die Richtung ihrer Schüssel. Die Forscher schätzen daher, dass sie lediglich 15 Prozent der weltweiten Satelliten-Transponder-Kommunikation untersuchten, hauptsächlich im Westen der USA und in Mexiko.

Geostationäre Satelliten umringen den Äquator der Erde. Die Satellitenschüssel der Forscher auf dem Dach ihres Gebäudes an der UC San Diego konnte zumindest einige Signale von etwa einem Viertel dieses Rings empfangen. Da viele Signale der Satelliten jedoch nicht nach San Diego gesendet wurden – und ein großer Teil ihrer Abdeckung über dem Pazifik lag, wo es relativ wenige Satelliten gab –, empfingen sie nur schätzungsweise 15 Prozent aller geostationären Satellitensignale. Das bedeutet auch, dass andere Schüsseln an anderen Orten der Welt wahrscheinlich ganz andere Signale empfangen würden, die andere sensible Daten übertragen.

Abbildung: WIRED Staff; Getty Images

Das lässt darauf schließen, dass jeder irgendwo anders auf der Welt ähnliche Hardware installieren und wahrscheinlich seine eigene Sammlung sensibler Informationen erlangen könnte. Schließlich beschränkten sich die Forscher bei ihrem Experiment auf handelsübliche Satellitenhardware: eine 185-Dollar-Satellitenschüssel, eine 140-Dollar-Dachhalterung mit einem 195-Dollar-Motor und eine 230-Dollar-Tunerkarte – insgesamt weniger als 800 Dollar.

„Das waren keine Ressourcen auf NSA-Niveau. Das waren Ressourcen auf DirecTV-Nutzer-Niveau. Die Eintrittsbarriere für diese Art von Angriff ist extrem niedrig“, sagt Matt Blaze, Informatiker und Kryptograf an der Georgetown University und Juraprofessor an der Georgetown Law School. „In der übernächsten Woche werden Hunderte oder vielleicht Tausende von Menschen, von denen uns viele nicht verraten, was sie tun, diese Arbeit nachmachen und sehen, was sie da oben am Himmel finden.“

Eines der einzigen Hindernisse für die Reproduktion ihrer Arbeit, so die Forscher, seien vermutlich die Hunderte von Stunden, die sie auf dem Dach mit der Justierung ihres Satelliten verbrachten. Auch die detaillierte, hochtechnische Analyse der obskuren Datenprotokolle, die sie erhalten haben, könnte nun leichter reproduziert werden: Die Forscher veröffentlichen auf Github ihr eigenes Open-Source-Softwaretool zur Interpretation von Satellitendaten, ebenfalls mit dem Titel „Don't Look Up“.

Die Forscher räumen ein, dass ihre Arbeit anderen mit weniger wohlwollenden Absichten ermöglichen könnte, dieselben hochsensiblen Daten aus dem Weltraum abzurufen. Sie argumentieren aber auch, dass sie mehr Besitzer von Satellitenkommunikationsdaten dazu bewegen werde, diese zu verschlüsseln, um sich und ihre Kunden zu schützen. „Solange wir uns dafür einsetzen, unsichere Daten zu finden und zu sichern, sind wir sehr zufrieden“, sagt Schulman.

Es bestehe kaum ein Zweifel daran, dass Geheimdienste mit weit überlegener Satellitenempfänger-Hardware seit Jahren dieselben unverschlüsselten Daten analysieren. Sie weisen sogar darauf hin, dass die US-amerikanische National Security Agency (NSA) in einer Sicherheitswarnung aus dem Jahr 2022 vor der mangelnden Verschlüsselung der Satellitenkommunikation gewarnt habe. Gleichzeitig gehen sie davon aus, dass die NSA – und alle anderen Geheimdienste von Russland bis China – weltweit Satellitenschüsseln aufgestellt hätten, um diesen Mangel an Schutz auszunutzen. (Die NSA reagierte nicht auf die Bitte von WIRED um einen Kommentar.)

„Wenn sie das nicht schon tun“, scherzt Nadia Heninger, Kryptografieprofessorin an der UCSD und Mitleiterin der Studie, „wohin fließen dann meine Steuergelder?“

Heninger vergleicht die Enthüllungen ihrer Studie – das schiere Ausmaß der ungeschützten Satellitendaten, die jedem zur Verfügung standen – mit einigen Enthüllungen von Edward Snowden , die zeigten, wie die NSA und das britische GCHQ in enormem Umfang Telekommunikations- und Internetdaten erlangten, oft indem sie heimlich direkt in die Kommunikationsinfrastruktur eindrangen.

„Das Bedrohungsmodell, das alle im Kopf hatten, war, dass wir alles verschlüsseln müssen, weil Regierungen Untersee-Glasfaserkabel anzapfen oder Telekommunikationsunternehmen zwingen, ihnen Zugriff auf die Daten zu gewähren“, sagt Heninger. „Und jetzt sehen wir, dass genau diese Daten einfach an einen großen Teil der Welt gesendet werden.“