Søg

Sikkerhedsråd: Så høj er risikoen for GSM-aflytning

Dansk IT's Råd for It- og Persondatasikkerhed vurderer generelt ikke GSM-aflytning som nogen alvorlig trussel. Få forklaringen her.

07. januar 2010 kl. 13.51
Artikel top billede
Kim Stensdal Kim Stensdal Teknologiredaktør

Det kan være svært at få klarhed over, hvor sikkert det er at tale om fortrolige emner i en mobiltelefon på GSM-nettet.

Da den tyske krypteringsekspert Karsten Nohl i sidste uge meddelte, at han havde brudt den kode, der bruges til kryptering af GSM-samtaler, var reaktionen fra teleindustrien, at GSM-aflytning måske nok er "teoretisk muligt, men praktisk usandsynligt."

Tyskeren har dog fået opbakning af den internationalt anerkendte sikkerhedsguru Bruce Schneier og David Wagner, sikkerheds-professor ved Berkeley.

Også den danske sikkerhedskonsulent Carsten Jørgensen fra Devoteam Consulting sagde tidligere på ugen til Computerworld, at "GSM-kommunikation på ingen måder er sikkert."

Ifølge et "Notat om risiko for aflytning af mobiltelefoni" fra Dansk IT's Råd for It- og Persondatasikkerhed er problemet dog ikke så alvorligt, når det kommer til stykket.

"Det er Rådets indtryk, at der mangler fakta i offentligheden om, hvor stort problemet i virkeligheden er - tillige med vejledning og betryggelse til borgerne om, at deres samtaler ikke aflyttes vilkårligt," lyder det blandt andet i notatet.

Flere begrænsninger

Dansk IT's sikkerhedsråd forklarer, at aflytning af GSM-trafik teknisk set uden videre kan foretages af mobiloperatørerne, fordi de har kontrollen med eget netværk, og da samtalerne ikke er krypteret, så længe den transmitteres i kabler.

Derimod er det noget mere kompliceret af aflytte en mobiltelefon for andre, der måtte forsøge at hacke sig ind på det luftbårne signal, hvor samtalerne er krypterede.

Selvom tyske Karsten Nohl har bevist, at krypertings-algoritmen A5/1 kan brydes, så er der flere stopklodser mod en aflytning af mobiltelefoner, forklarer Dansk IT.

"Der er flere forhold, der vanskeliggør aflytning af GSM-trafik. For det første forudsætter det, at
der er tilgængeligt udstyr, der kan aflytte de frekvenser, som GSM-trafikken benytter, og at dette
udstyr kan følge de frekvensskift, der foretages under hver samtale," skriver Råd for It- og Persondatasikkerhed.

"Hertil kommer at hver samtale vilkårligt kan skifte til en anden mobilmast (og dermed også frekvens og
krypteringsnøgle) afhængigt af modtageforholdene ved håndsættet. Dette vil i praksis gøre aflytning af håndsæt, der flytter sig, meget vanskelig," lyder det videre.

Samtidig forklares det i notatet, at identiteten af mobiltelefonen i form af det såkaldte IMSI-nummer er skjult, fordi der ved hver samtale benyttes en midlertidig identitet i form af et pseudonym, TMSI, til
identifikation af håndsættet.

"Det betyder, at det ikke umiddelbart er muligt ud fra en almindelig aflytning uden afkodning at afgøre hvilken håndsæt, der aflyttes. Dermed bliver det i praksis også vanskeligt at målrette aflytning mod enkeltpersoner."

Sådan bør du forholde dig til GSM-sikkerhed

Endelig er der selve krypteringen af samtalen, som altså nu ser ud til at være blevet brudt.

Selvom Dansk IT peger på, at der ikke er offentliggjort viden, der viser, at det er muligt at "afkode indholdet af en samtale indenfor rimelig tid og helst i realtid (dvs. i samme hastighed som selve samtalen, red.)," må det formodes at være et spørgsmål om relativt få år, måske måneder, før det bliver muligt.

"Tilbage står, at den teknologiske udvikling og ikke mindst udviklingen i computernes regnekraft bevirker, at praktisk gennemførlige aflytninger af samtaler kommer tættere på. I den forstand at de kan gennemføres af ikke særligt teknisk kyndige personer og med udstyr, der er almindeligt
tilgængeligt for et overkommeligt pengebeløb," står der i notatet.

Dansk IT peger på, at en løsning er, at mobiloperatørerne skifter til A5/3 standarden, der giver en bedre beskyttelse end A5/1 og A5/2 og ikke er brudt
hverken teoretisk eller i praksis og således er "signifikant mere sikker."

Herefter lyder vejledningen til borgere og virksomheder fra Dansk IT, at man generelt skal huske at tale i mobiltelfon med omtanke, så længe andre personer inden for fysisk rækkevidde og kan høre samtalen.

Selvom teknisk aflytning umiddelbart kun kan finde sted, hvis mobiloperatørerne er indblandet, og der dermed fra myndighedernes side er konkret og begrundet mistanke om strafbare forhold, lyder det alligevel, at "særligt følsomme oplysninger bør man dog generelt ikke drøfte i mobiltelefoner."

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Roundtable: Suverænitet, risk management og resiliens i en urolig verden

    Infrastruktur | Frederiksberg

    Roundtable: Suverænitet, risk management og resiliens i en urolig verden

    Digital suverænitet er rykket fra politisk debat til konkret risikostyring.På dette eksklusive dinner roundtable samler Computerworld, T-Systems og Palo Alto Networks 12-15 ledende it- og sikkerhedsbeslutningstagere til en fortrolig samtale om...

    Cyber Briefing: Fra identity-angreb til sikker genopretning

    Sikkerhed | Online

    Cyber Briefing: Fra identity-angreb til sikker genopretning

    Identity-angreb rammer virksomhedens kontrolplan først. Få konkrete råd til at beskytte og gendanne AD og Entra ID, validere recovery og styrke cyberresiliensen. Deltag og lær hvordan du kan sikre hurtigere vej tilbage efter et angreb.

    Cyber Security Summit 2026 - Aarhus

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Se alle vores events inden for it

    Forsvaret

    Senior AI Architect til Forsvarets AI Center

    Københavnsområdet

    Danoffice IT

    Infrastructure Specialist

    Københavnsområdet

    STELLA CARE ApS

    Backend-udvikler (AI-Native)

    Københavnsområdet

    Everllence

    Software Engineer

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job

    Louise Sara Baunsgaard

    Guardsix

    Renewtech ApS har pr. 15. marts 2026 ansat Per Forberg som Account Manager for Sustainable Relations. Han skal især beskæftige sig med etablere nye partnerskaber med henblik på ITAD og sourcing kontrakter med hostingvirksomheder og strategiske slutbrugere. Han kommer fra en stilling som Nordic Key Account Manager hos Tesa. Han er uddannet hos Lund University og har en MBA i Management. Han har tidligere beskæftiget sig med at styrke salgsaktiviteter og partnerskaber på tværs af nordiske markeder. Nyt job

    Per Forberg

    Renewtech ApS

    Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år, som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

    Dan Toft

    Pinksky ApS

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Efter stort angreb: Hackere hævder at have fået fingre i 24 af Novo Nordisks AI-modeller - forlanger trecifret millionbeløb
    2 Zangenberg om priskrig på tokens: ”AI-tokens bliver meget dyrere, end folk forestiller sig”
    3 Det betyder USA's forbud mod vigtig AI-model: "Nu falder maskerne. Der er ingen grænser for, hvad der kan ske herfra"
    4 Bød langt under det forventede: Skal stå for al drift af dansk kæmpe-netværk med ny kontrakt til 150 millioner kroner
    5 Derfor nedlagde USA forbud mod udlændinges brug af Anthropics nye AI-modeller
    6 Disse nye Windows-pc’er skal tage kampen op med Apples billige Macbook Neo
    7 Morgen-briefing: Danmark er på ottende pladsen på OECD’s nye index over bedst digitaliserede lande / Blokeret Palantir-aftale kan koste 700 betjente/ Tysk domstol finder Google ansvarlig for falske AI-svar
    8 Hackere er ligeglade med jeres compliance – og det bør bekymre ledelsen

    Se seneste uge