Gemalto ist der führende Anbieter für digitale Sicherheitsdienste und der größte SIM-Kartenhersteller weltweit. Das Unternehmen aus den Niederlanden hat 12.000 Mitarbeiter und Standorte in 44 Ländern. Gemalto produziert rund zwei Milliarden SIM-Karten im Jahr. Zu seinen Kunden zählen nach eigenen Angaben 450 Telekomunikationsbetreiber - unter anderem T-Mobile und die Deutsche Telekom, AT&T, Verizon und Sprint.

Neben SIM-Karten stellt Gemalto auch Bank- und Kreditkarten sowie Chips für elektronische Personalausweise, Pässe und Gesundheitskarten her. Zu deren Kunden zählen unter anderem die Barclay-Gruppe, die Deutsche Bahn und die AOK.

Die genaue Dimension des Datendiebstahls ist bisher unklar. In dem Papier aus dem Snowden-Daten geht es nur um einen Zeitraum von drei Monaten im Jahr 2010, in dem Millionen Verschlüsselungscodes erbeutet worden seien. Wie es heißt, habe man einen Weg gefunden, die Schlüssel auf dem Weg zwischen SIM-Hersteller und Netzbetreibern abzufangen. Diese Daten werden vom Hersteller in der Regel per E-Mail oder FTP-File an die Betreiber versendet.

Die Verschlüsserungscodes dienen zur Authentifizierung und Verschlüsselung der SIM-Karten. Zu jeder SIM-Karte liefert der Hersteller einen passenden Schlüssel. Wer diesen Schlüssel kennt, kann unbemerkt Gespräche mithören und Nachrichten mitlesen aber auch weitere Daten der SIM-Karte abrufen, wie Kontaktdaten.

Dem Datenklau soll offenbar eine breit angelegte Überwachung der Kommunikation von Mitarbeitern der SIM-Karten-Hersteller vorangegangen sein. Außerdem wurden demnach auch Mitarbeiter aus der Mobilfunkindustrie - etwa von Nokia, Ericsson und Huawei — bespitzelt. Dabei wurden sowohl der E-Mail-Verkehr als auch soziale Netzwerke von Mitarbeitern gehackt.

Gemalto zeigte sich sehr besorgt über die Ereignisse. Das Unternehmen erklärte am Freitag, es gehe dem Bericht nach und könne den Datendiebstahl nicht bestätigen. Es habe bisher nicht gewusst, "dass diese Geheimdienste diese Operation durchgeführt haben". Gemalto-Manager Paul Beverly sagte gegenüber "The Intercept", jetzt sei das Wichtigste zu verstehen, wie der Angriff passieren konnte, um eine Wiederholung zu verhindern. Zudem wolle man prüfen, welche Auswirkungen der Spionageangriff auch für deren Kunden hätte.

Gerard Schouw, Mitglied des Geheimdienstausschusses im niederländischen Parlament, bezeichnete die Hack-Aktion gegenüber "Intercept" als unglaublich und kriminell. "Wir haben Gesetze über Geheimdienste in den Niederlanden, und hacken ist nicht erlaubt", sagte der Politiker der Oppositionspartei D66.

Den geheimen Unterlagen aus den Beständen des Whistleblowers Edward Snowden zufolge wurde nicht nur Gemalto ins Visier genommen. Dort wird auch der deutsche SIM-Kartenhersteller Giesecke & Devrient namentlich als Angriffsziel der Geheimdienste genannt. Ob der Hackerangriff erfolgreich war, geht aus den veröffentlichten Dokumenten allerdings nicht hervor.

Die mit Hacker-Methoden erbeuteten Schlüssel zu den SIM-Karten ermöglichen es, unauffällig die Kommunikation von Nutzern zu überwachen. Mit den Schlüsseln können Handy-Gespräche auch ohne richterlichen Beschluss und Mitwirkung oder Wissen der Mobilfunk-Anbieter abgehört werden, selbst wenn moderne Mobilfunkstandards wie LTE oder UMTS verwendet werden.

Ein Überwacher könnte sich leichter als Teil der Netzinfrastruktur ausgeben, wenn die Codes bekannt sind. Dass NSA und GCHQ Telefongespräche und andere Kommunikation auf breiter Front abgreifen können, war bereits bekannt. Ein Diebstahl von SIM-Karten-Codes wäre eine weitere Erklärung für diese Fähigkeiten.