Mobiles Internet für alle und alles
Kann sich hinter einer eSIM auch Malware verstecken?
Der eSIM-Anteil unter den Verkauften Mobilfunktarifen nimmt weiterhin stetig zu und immer mehr Menschen erfreuen sich an der einfachen Installation und der gewonnenen Flexibilität. Es tauchen aber immer wieder auch Sicherheitsbedenken auf. Was, wenn beispielsweise ein unseriöser Anbieter über den QR-Code Malware verschickt? Über die omnipräsenten Codes kann schliesslich auch auf Phishing-Seiten verwiesen oder ein Download gestartet werden. QR-Codes sind aber längst nicht alle gleich, weshalb die Frage eine tiefere Erklärung verlangt.
So funktioniert der QR-Code einer eSIM
Die Sicherheitsbedenken bezüglich Malware und eSIM entspringen der Tatsache, dass QR-Codes üblicherweise eine URL beinhalten, die zu einer Webseite führt. Ob und wie vertrauenswürdig diese Seiten sind, ist oft nicht sofort ersichtlich. Besonders bei unbekannten Anbietern stellt sich also die Frage: Was könnte alles passieren, wenn ihr den QR-Code eines eSIM-Profils scannt?
Die QR-Codes, mit denen eSIM-Profile installiert werden, sind nicht reine URLs. Sie verfügen über zusätzliche Informationen, die sie gegenüber dem Endgerät als Mobilfunk-Tarif ausweisen. Euer Smartphone erkennt also bereits anhand des QR-Codes, ob es sich um eine eSIM handelt.
Scannt ihr den Code und gebt eurem Smartphone den Befehl die eSIM zu installieren, wird eine Verbindung zu einem Server hergestellt, auf welchem euer eSIM-Profil hinterlegt ist. Dieses wird dann auf euer Smartphone geladen und ihr seid mit dem Netz des entsprechenden Anbieters verbunden.
Der gescannte QR-Code hat also einerseits die Funktion, eurem Smartphone zu signalisieren, dass es einen Mobilfunktarif zu installieren gibt und andererseits, gegenüber dem Server des Anbieters auszuweisen, welches spezifische eSIM-Profil ihr erworben habt. So können die nötigen Informationen zwischen eurem Smartphone und dem Anbieternetz ausgetauscht werden, damit ihr euch ins Netz einwählen könnt.
Wie sicher ist die eSIM-Installation?
Dass es sich nicht um typische URLs handelt, leuchtet ein. Was bleibt ist die Frage nach der Sicherheit des ganzen Prozesses, schliesslich verbindet auch ein eSIM-Code euer Smartphone zu einem Server. Im Grunde also dasselbe wie bei einer gewöhnlichen Web-URL, oder nicht?
Glücklicherweise können wir euch auch hier beruhigen. Da es sich bei eSIM-Profilen um sensible Daten handelt, wurden die nötigen Standards geschaffen, damit die Übertragung so sicher wie möglich abläuft.
Das Programm eures Smartphones, das die eSIM installiert, ist der SIM-Manager. Dieser kann nur QR-Codes lesen, die auch tatsächlich auf ein eSIM-Profil verweisen. Der SIM-Manager ist es auch, der euch benachrichtigt, wenn ihr den QR-Code mit der Kamera-App eures Smartphones scannt. In diesem Fall zeigt euch auch die Kamera-App gleich an, ob es sich um einen Mobilfunktarif oder eine Webseite handelt.
Auf älteren Smartphones kann es auch sein, dass euch beim Scan des Codes mit der Kamera ebenfalls ein Link angezeigt wird. Startet dieser mit: «LPA:», handelt es sich um ein eSIM-Profil.
Die Kommunikation mit dem Server eures Anbieters ist mit Zertifikaten geschützt. Dabei handelt es sich um offizielle GSMA-Zertifikate. Ohne ein solches Zertifikat wird der Installationsprozess auf eurem Smartphone abgebrochen. Ein Anbieter kann also auch nicht einfach «bösartige» eSIM-Profile entwickeln. Diese würden schlicht nicht auf euer Smartphone geladen.
Die einzige potenzielle Schadensquelle die übrig bleibt ist ein versehentliches Aufrufen einer bösartigen Webseite.
Wie kann ich mich vor schadhaften QR-Codes schützen?
Auch wenn der Installationsprozess der eSIM sehr sicher ist, kann es theoretisch dennoch vorkommen, dass euch ein QR-Code als eSIM verkauft wird, der auf eine bösartige Webseite verweist.
Damit euch das nicht passiert solltet ihr euch angewöhnen, bei jedem QR-Scan kurz zu überprüfen, wohin euch der Code leiten soll, bevor ihr auf den Link tippt.
Habt ihr einen QR-Code als eSIM erhalten und euer Smartphone erkennt den Code nicht als Mobilfunktarif, solltet ihr nicht auf den Link klicken. Sofern ihr einen QR-Code für eine Webseite gescannt habt, prüft, ob die URL mit der Webseite übereinstimmt, die ihr erreichen wollt und ob die Verbindung ausreichend gesichert ist (https:// ist bei den meisten Webseiten Standard, http:// gilt als unsicher und sollte gemieden werden).
Wenn ihr auf diese Details achtet, steht einer sicheren eSIM-Installation nichts mehr im Weg.
Solltet ihr an einer eSIM für die Schweiz interessiert sein, werft doch gleich einen Blick auf unsere eSIM-Tarife! Alle Digital Republic eSIMs kommen mit unlimitiertem Datenvolumen in der Schweiz, sind individuell in der Geschwindigkeit anpassbar und inklusive 5G.
Mindestvertragslaufzeiten oder Kündigungsfristen kennen wir übrigens ebenfalls nicht, damit ihr so frei und flexibel verbunden seid, wie es die eSIM-Technologie verspricht.
Entdecke unsere anderen Beiträge
Router oder Hotspot: Was ist der Unterschied?
Wer sich mit dem Internet verbinden will, tut dies meist über einen Router oder Hotspot. Beide werden als eigene Geräte verkauft und entsprechend gross ist zuweilen die Verwirrung, wenn es darum geht das richtige Gerät für den eigenen Anwendungsfall zu finden. Wir wollen die Begrifflichkeiten entwirren und sagen euch, was Router und Hotspot unterscheidet.
Tablet oder Laptop? Was passt zu dir?
Spätestens seit dem iPad Pro sind Tablets als primäre Computer salonfähig. Studierende schätzen die Leichtigkeit und Flexibilität von Tablets schon länger für Vorlesungsnotizen, Laptops waren aber meist die primären Geräte. Ob ein Tablet die bessere Wahl als Hauptcomputer für euch ist oder nicht, hängt von euren Anforderungen und Gewohnheiten ab. Um euch bei der Entscheidung zu helfen, haben wir die Stärken und Schwächen der Gerätetypen für euch zusammengetragen.
Dual-SIM: 1 iPhone, 2 Nummern – wie funktioniert das?
Mit der eSIM wird dein iPhone zum Dual-SIM-Gerät. Nutze zwei Rufnummern in deinem Smartphone, z.B. um Privates und Geschäftliches zu trennen.
