Cybersecurity Education

IMSI Catcher Attacks

Eine interaktive Lernressource über mobile Überwachungstechnologie, Angriffsvektoren und Schutzmaßnahmen.

📡 Was ist ein IMSI Catcher?

Ein IMSI Catcher (auch „Stingray" oder „Cell-Site Simulator" genannt) ist ein Gerät, das sich als legitimer Mobilfunkmast ausgibt. Es zwingt Mobiltelefone in der Umgebung, sich mit ihm zu verbinden, anstatt mit dem echten Netz. So kann der Angreifer die IMSIInternational Mobile Subscriber Identity – eine weltweit eindeutige Teilnehmerkennung auf der SIM-Karte. auslesen und in manchen Fällen Kommunikation abhören.

🔑 Zentrale Begriffe

  • IMSI – International Mobile Subscriber Identity. Eindeutige Kennung, die jeden Mobilfunkteilnehmer identifiziert.
  • IMEI – International Mobile Equipment Identity. Identifiziert das Gerät (nicht den Teilnehmer).
  • TMSI – Temporary Mobile Subscriber Identity. Temporärer Alias, der die IMSI im Normalbetrieb schützen soll.
  • MitM – Man-in-the-Middle. Der Catcher leitet Daten an den echten Mast weiter und sitzt unsichtbar dazwischen.
  • Downgrade Attack – Erzwingt ein älteres, unsicheres Protokoll (z.B. 2G/GSM), um Verschlüsselung zu umgehen.

⚖️ Rechtlicher Kontext

In den meisten Ländern ist der Einsatz von IMSI Catchern durch Privatpersonen illegal. Strafverfolgungsbehörden nutzen sie in vielen Jurisdiktionen mit richterlicher Genehmigung. In Deutschland regelt §100i StPO den Einsatz – hier ist stets ein richterlicher Beschluss erforderlich. Der nicht autorisierte Betrieb ist eine Straftat nach dem Telekommunikationsgesetz.

⚠️ Angriffsablauf im Detail

Ein IMSI-Catcher-Angriff folgt einem typischen mehrstufigen Ablauf. Fahre mit der Maus über die einzelnen Schritte:

Schritt 01

Aufbau & Signalaussendung

Der IMSI Catcher wird in der Zielumgebung platziert und sendet ein Signal aus, das stärker ist als die umliegenden echten Basisstationen. Er imitiert dabei die Kennung (LAC/CID) eines legitimem Mobilfunkmastes.

Schritt 02

Protokoll-Downgrade erzwingen

Der Catcher sendet nur 2G (GSM)-Signale oder zwingt das Gerät, von 4G/5G auf 2G zu wechseln. In 2G fehlt die gegenseitige Authentifizierung – das Telefon kann nicht prüfen, ob der Mast echt ist.

Schritt 03

Verbindungsaufnahme

Mobiltelefone in Reichweite verbinden sich automatisch mit dem stärksten Signal. Das Opfer-Telefon authentifiziert sich beim falschen Mast und übermittelt dabei seine IMSI.

Schritt 04

IMSI / IMEI Erfassung

Der Catcher liest die IMSI (Teilnehmerkennung) und IMEI (Gerätekennung) aus. Damit lässt sich das Zielgerät eindeutig identifizieren und bei Bedarf über längere Zeit verfolgen.

Schritt 05

Man-in-the-Middle (optional)

In fortgeschrittenen Szenarien leitet der Catcher die Verbindung an den echten Mast weiter. So kann er Gespräche und SMS abfangen, ohne dass der Nutzer bemerkt, dass die Verbindung kompromittiert ist.

Schritt 06

Verschlüsselung deaktivieren

Der Catcher kann die Verschlüsselung auf A5/0 (keine Verschlüsselung) oder A5/1 (schwach, in Echtzeit knackbar) herabstufen. Gespräche und SMS können im Klartext mitgelesen werden.

📋 Typen von IMSI Catchern

Klicke auf die einzelnen Typen, um mehr zu erfahren:

🔍 Passive IMSI Catcher

Geringes Risiko


Hört nur den Funkverkehr ab, ohne selbst zu senden. Kann TMSI-Zuweisungen und andere Metadaten erfassen, die im Klartext übertragen werden. Schwerer zu entdecken, da kein eigenes Signal ausgesendet wird. Eingeschränkt in der Menge der erfassbaren Daten.

📡 Aktive IMSI Catcher (Stingray-Typ)

Hohes Risiko


Simuliert eine echte Basisstation und zwingt Geräte, sich zu verbinden. Kann IMSI, IMEI, Standort und teilweise Kommunikationsinhalte erfassen. Der klassische „Stingray"-Ansatz – weit verbreitet bei Strafverfolgungsbehörden weltweit.

🔗 MitM-Relay (Hailstorm-Typ)

Sehr hohes Risiko


Fortgeschrittene Variante, die als vollständiger Man-in-the-Middle agiert. Leitet Daten transparent an den echten Mast weiter, sodass der Nutzer keinen Verbindungsabbruch bemerkt. Kann auch 4G/LTE-Verbindungen angreifen und ist in der Lage, Inhalte in Echtzeit mitzulesen oder zu modifizieren.

📲 Software-basierte Catcher

Mittleres Risiko


Nutzt Software Defined Radio (SDR) in Kombination mit Open-Source-Software. Kann mit handelsüblicher Hardware (z.B. HackRF, BladeRF) für unter 1000 € aufgebaut werden. Primär für Sicherheitsforschung und Penetrationstests, aber auch von Angreifern missbrauchbar.

📊 Generations-Vergleich

2G / GSM

Keine gegenseitige Authentifizierung. Schwache oder keine Verschlüsselung (A5/1, A5/0). Extrem anfällig für IMSI Catcher. Verschlüsselung kann vollständig deaktiviert werden.

3G / UMTS

Gegenseitige Authentifizierung eingeführt (AKA-Protokoll). Stärkere Verschlüsselung. Trotzdem anfällig durch Downgrade-Zwang auf 2G. IMSI wird initial noch im Klartext gesendet.

4G / LTE

Stärkere Kryptografie und gegenseitige Authentifizierung. Dennoch verwundbar: IMSI wird bei bestimmten Prozeduren im Klartext übermittelt. Downgrade-Angriffe auf 2G bleiben möglich.

5G / NR

SUPI (Nachfolger der IMSI) wird mit dem öffentlichen Schlüssel des Netzbetreibers verschlüsselt (SUCI). Gegenseitige Auth ist Pflicht. Deutlich besser geschützt, aber theoretische Angriffsvektoren existieren weiterhin.

⚡ Interaktive Angriffssimulation

Klicke die Buttons, um die einzelnen Phasen eines IMSI-Catcher-Angriffs visuell nachzuvollziehen.

📱
Opfer-
Telefon
◄─────► Funkverbindung
🕵️
IMSI
Catcher
◄─────► Weiterleitung
🗼
Echter
Funkturm
[SYS] Simulation bereit. Klicke auf einen Schritt.

🛡️ Schutzmaßnahmen für Endnutzer

  • 2G deaktivieren – Auf modernen Android-Geräten kann 2G/GSM in den Netzwerkeinstellungen komplett abgeschaltet werden, um Downgrade-Angriffe zu verhindern.
  • Ende-zu-Ende-Verschlüsselung nutzen – Signal, WhatsApp oder andere E2EE-Messenger schützen Inhalte auch dann, wenn die Mobilfunkverbindung kompromittiert ist.
  • VPN verwenden – Verschlüsselt den Datenverkehr auf Netzwerkebene, sodass abgefangene Pakete nicht lesbar sind.
  • IMSI-Catcher-Detektor-Apps – Apps wie SnoopSnitch (Android) können verdächtige Basisstationen erkennen, sind aber nicht 100% zuverlässig.
  • 5G bevorzugen – 5G verschlüsselt die Teilnehmerkennung (SUCI), was IMSI-Catching stark erschwert.

🏗️ Netzwerk-seitige Abwehr

  • TMSI-Rotation – Häufiger Wechsel der temporären Kennung reduziert die Aussagekraft erfasster Daten.
  • Mutual Authentication – Ab 3G Standard, in 5G erzwungen. Beide Seiten (Gerät und Netz) müssen sich gegenseitig authentifizieren.
  • SUPI-Verschlüsselung (5G) – Die permanente Kennung wird niemals im Klartext übertragen, sondern als verschlüsselte SUCI gesendet.
  • Anomalie-Erkennung – Netzbetreiber können ungewöhnliche Basisstationen und Signalmuster automatisch erkennen.

🔬 Erkennungsmerkmale eines Angriffs

  • Plötzlicher Wechsel von 4G/5G auf 2G ohne ersichtlichen Grund
  • Ungewöhnlich starker Signalempfang in einer Zone mit normalerweise schwacher Abdeckung
  • Erhöhter Akkuverbrauch durch ständige Neuregistrierung
  • Verbindungsabbrüche und unerwartete Netzwechsel
  • Unbekannte oder verdächtige Zellen-IDs in Netzwerk-Diagnose-Apps