Mobiles Internet für alle und alles

Kann sich hinter einer eSIM auch Malware verstecken?

Der eSIM-Anteil unter den Verkauften Mobilfunktarifen nimmt weiterhin stetig zu und immer mehr Menschen erfreuen sich an der einfachen Installation und der gewonnenen Flexibilität. Es tauchen aber immer wieder auch Sicherheitsbedenken auf. Was, wenn beispielsweise ein unseriöser Anbieter über den QR-Code Malware verschickt? Über die omnipräsenten Codes kann schliesslich auch auf Phishing-Seiten verwiesen oder ein Download gestartet werden. QR-Codes sind aber längst nicht alle gleich, weshalb die Frage eine tiefere Erklärung verlangt.

So funktioniert der QR-Code einer eSIM

Die Sicherheitsbedenken bezüglich Malware und eSIM entspringen der Tatsache, dass QR-Codes üblicherweise eine URL beinhalten, die zu einer Webseite führt. Ob und wie vertrauenswürdig diese Seiten sind, ist oft nicht sofort ersichtlich. Besonders bei unbekannten Anbietern stellt sich also die Frage: Was könnte alles passieren, wenn ihr den QR-Code eines eSIM-Profils scannt?

Die QR-Codes, mit denen eSIM-Profile installiert werden, sind nicht reine URLs. Sie verfügen über zusätzliche Informationen, die sie gegenüber dem Endgerät als Mobilfunk-Tarif ausweisen. Euer Smartphone erkennt also bereits anhand des QR-Codes, ob es sich um eine eSIM handelt.

Scannt ihr den Code und gebt eurem Smartphone den Befehl die eSIM zu installieren, wird eine Verbindung zu einem Server hergestellt, auf welchem euer eSIM-Profil hinterlegt ist. Dieses wird dann auf euer Smartphone geladen und ihr seid mit dem Netz des entsprechenden Anbieters verbunden.

Mann mit Smartphone scannt eSIM QR-Code
QR-Codes können überallhin führen. Bei eSIM-Profilen sorgen allerdings zusätzliche Informationen dafür, dass der Code auch als Mobilfunktarif erkennbar wird.

Der gescannte QR-Code hat also einerseits die Funktion, eurem Smartphone zu signalisieren, dass es einen Mobilfunktarif zu installieren gibt und andererseits, gegenüber dem Server des Anbieters auszuweisen, welches spezifische eSIM-Profil ihr erworben habt. So können die nötigen Informationen zwischen eurem Smartphone und dem Anbieternetz ausgetauscht werden, damit ihr euch ins Netz einwählen könnt.

Wie sicher ist die eSIM-Installation?

Dass es sich nicht um typische URLs handelt, leuchtet ein. Was bleibt ist die Frage nach der Sicherheit des ganzen Prozesses, schliesslich verbindet auch ein eSIM-Code euer Smartphone zu einem Server. Im Grunde also dasselbe wie bei einer gewöhnlichen Web-URL, oder nicht?

Glücklicherweise können wir euch auch hier beruhigen. Da es sich bei eSIM-Profilen um sensible Daten handelt, wurden die nötigen Standards geschaffen, damit die Übertragung so sicher wie möglich abläuft.

Das Programm eures Smartphones, das die eSIM installiert, ist der SIM-Manager. Dieser kann nur QR-Codes lesen, die auch tatsächlich auf ein eSIM-Profil verweisen. Der SIM-Manager ist es auch, der euch benachrichtigt, wenn ihr den QR-Code mit der Kamera-App eures Smartphones scannt. In diesem Fall zeigt euch auch die Kamera-App gleich an, ob es sich um einen Mobilfunktarif oder eine Webseite handelt.

Auf älteren Smartphones kann es auch sein, dass euch beim Scan des Codes mit der Kamera ebenfalls ein Link angezeigt wird. Startet dieser mit: «LPA:», handelt es sich um ein eSIM-Profil.

Die Kommunikation mit dem Server eures Anbieters ist mit Zertifikaten geschützt. Dabei handelt es sich um offizielle GSMA-Zertifikate. Ohne ein solches Zertifikat wird der Installationsprozess auf eurem Smartphone abgebrochen. Ein Anbieter kann also auch nicht einfach «bösartige» eSIM-Profile entwickeln. Diese würden schlicht nicht auf euer Smartphone geladen.

Die einzige potenzielle Schadensquelle die übrig bleibt ist ein versehentliches Aufrufen einer bösartigen Webseite.

Wie kann ich mich vor schadhaften QR-Codes schützen?

Auch wenn der Installationsprozess der eSIM sehr sicher ist, kann es theoretisch dennoch vorkommen, dass euch ein QR-Code als eSIM verkauft wird, der auf eine bösartige Webseite verweist.

Damit euch das nicht passiert solltet ihr euch angewöhnen, bei jedem QR-Scan kurz zu überprüfen, wohin euch der Code leiten soll, bevor ihr auf den Link tippt.

Habt ihr einen QR-Code als eSIM erhalten und euer Smartphone erkennt den Code nicht als Mobilfunktarif, solltet ihr nicht auf den Link klicken. Sofern ihr einen QR-Code für eine Webseite gescannt habt, prüft, ob die URL mit der Webseite übereinstimmt, die ihr erreichen wollt und ob die Verbindung ausreichend gesichert ist (https:// ist bei den meisten Webseiten Standard, http:// gilt als unsicher und sollte gemieden werden).

Adresszeile eines Browsers mit einer Adresse und https Verschlüsselung
Bei allen Links lohnt sich ein Blick auf den Verschlüsselungsstandard. Seiten, die kein HTTPS anbieten, sollten gemieden werden.

Wenn ihr auf diese Details achtet, steht einer sicheren eSIM-Installation nichts mehr im Weg.

Solltet ihr an einer eSIM für die Schweiz interessiert sein, werft doch gleich einen Blick auf unsere eSIM-Tarife! Alle Digital Republic eSIMs kommen mit unlimitiertem Datenvolumen in der Schweiz, sind individuell in der Geschwindigkeit anpassbar und inklusive 5G.

Mindestvertragslaufzeiten oder Kündigungsfristen kennen wir übrigens ebenfalls nicht, damit ihr so frei und flexibel verbunden seid, wie es die eSIM-Technologie verspricht.

Entdecke unsere anderen Beiträge

4G Home Start: Die günstigste Home Internet Lösung der Schweiz von Digital Republic

Digital Republic liefert die günstigste Home Internet Lösung der Schweiz! 

Mit 4G Home Start haben wir euch das perfekte Starterpaket für mobilfunkgestütztes Home Internet geschnürt. Für einmalig 50 Franken erhaltet ihr alles, was ihr braucht: Einen LTE-Router und eine Flat 50 SIM-Karte. So schafft ihr euch einen Heim-Internet Anschluss ohne Aktivierungsgebühr, ohne Mindestvertragslaufzeit und ohne Kündigungsfrist. Anschliessend surft ihr für günstige CHF 20.– pro Monat bei 50 Mbits durchs Netz.

Weiterlesen
Frau an Laptop. Beitragsbild für den Ratgeber zu Online-Sicherheit von Digital Republic

4 Tipps für eure Online-Sicherheit

Online-Sicherheit ist zentral in einer Zeit, in der wir für fast jede Dienstleistung einen Login besitzen. Besonders Schlüsselkonten, wie eure primäre Email-Adresse oder das Konto bei eurem Mobilfunkanbieter gilt es zu schützen. Wir haben für euch die wichtigsten Sicherheits-Tipps zusammengetragen, damit ihr euch möglichst Sorgenfrei in der digitalen Welt bewegen könnt.

Weiterlesen

Jetzt 30 Tage kostenlos testen

Prüfe Digital Republic einen Monat lang auf Herz und Nieren mit deinen mobilen Geräten – ohne Kosten und ohne Kündigungsfrist.

Jetzt kostenlos testen
Digital Republic SIM Karte