18172

Spionage bei KMUs kein Tabu mehr

Die kürzlich aufgeflogene Abhöraffäre bei VW und Porsche hat gezeigt, dass prinzipiell ein Babyphone ausreichen kann, um einen Wirtschaftsboss auszuspionieren.

In einem Luxushotel fand die Sicherheitsmannschaft von Porsche-Chef Wendelin Wiedeking das unübliche Spionage-Gerät unter einem Sofa versteckt. "Aber nicht nur in großen Konzernen sondern auch in kleinen und mittleren Unternehmen ist das Thema kein Tabu mehr", zeigt sich Ludwig Seidl, Geschäftsführer des Technologie-Consultingunternehmens ICSL , überzeugt. Im Visier der Lauscher stehen dabei oft Telefongespräche.

In Österreich ist zudem mit 1. Januar 2008 das neue Sicherheitspolizeigesetz in Kraft getreten, das der Polizei ein Abhören auch ohne richterliche Anordnung erlaubt. Zudem seien Geräte zum Abhören mittlerweile erschwinglich geworden, wodurch die Gefahr zusätzlich steige, so Seidl. Abhilfe können Mobiltelefone schaffen, über die Gespräche verschlüsselt geführt werden können. ICSL beispielsweise bietet mit dem CryptoPhone eine solche Lösung an. Mit den Geräten können sowohl Verbindungen über Mobilfunk sowie über Satellit und Festnetz geschützt werden. Zum Einsatz kommen dabei die Verschlüsselungsverfahren AES 256 (Advanced Encyption Standard) und Twofish. Der Schlüsseltausch erfolgt mit dem Diffie-Hellmann-Protokoll mit einer Verschlüsselungsstärke von 4.096 Bit.

"Die CryptoPhones bauen eine verschlüsselte Verbindung auf, wobei der Schlüssel nach Beendigung des Gesprächs automatisch zerstört wird", erläutert Seidl. Ein abgefangener Datenstrom wird damit unbrauchbar. Gegen einen sogenannten Man-in-the-Middle-Angriff wird das Gerät geschützt, indem ein sechsstelliger Code nach der Etablierung der Gesprächsverbindung auf den Displays angezeigt wird. Divergiert der Code bei einem der Gesprächspartner, so entlarvt dies eine Attacke durch einen unbefugten Dritten. Das CryptoPhone unterbindet des weiteren jeglichen Zugriff auf das Mikrofon des Telefons durch Dritte. Dadurch ist es für einen Angreifer nicht möglich, das Gerät als Wanze zu missbrauchen, wie dies bei handelsüblichen Handys möglich ist. "Bei einigen Produkten muss das Gerät nicht einmal eingeschaltet sein. Die Verbindung kann völlig ferngesteuert aktiviert werden", berichtet Seidl.

User, die ihr aktuelles Mobiltelefon nicht aufgeben wollen, können auf die kürzlich von Secusmart vorgestellte Lösung zurückgreifen. Die Entwickler aus Düsseldorf haben einen Kryptochip in einer Micro-SD-Karte verbaut. Diese kann mit aktuellen Smartphones verwendet werden. Vor jedem Gespräch entscheidet der User, ob er das Telefonat normal oder im sicheren Modus führen will. Als Verschlüsselungstechnologie kommt AES 128 zum Einsatz, der Schlüsseltausch erfolgt mit einer 1.024-Bit-Chiffrierung. "Mit einem Laptop, einem Handy und einer Antenne, die es schon für wenige Tausend Euro im Elektronik-Fachhandel gibt, kann man jedes Mobiltelefonat abhören", begründet Secusmart-Geschäftsführer Hans-Christoph Quelle die Notwendigkeit des sicheren Telefonierens.

Eine Softwarelösung führt das Münchner Unternehmen Securstar im Programm. Die Applikation "PhoneCrypt" funktioniert auf Smartphones mit Windows Mobile als Betriebssystem. Für eine sichere End-to-End-Kommunikation ist es wie natürlich auch bei den anderen Methoden erforderlich, dass auf beiden Geräten die Chiffriermethode eingesetzt wird. Wie auch beim CryptoPhone kommt ein mit 4.096 Bit gesicherter Schlüsseltausch und AES-256-Code zum Einsatz. Dieser Code wird nach der einmaligen Verwendung gelöscht. Die Software selbst beeinträchtige die übliche Funktion des Mobiltelefons in keiner Weise, versprechen die Entwickler.

Die interoperable, netzübergreifende End-to-End-Verschlüsselung sei ein wirksamer Schutz gegen das Abhören von Telefonaten. "Solange eine solche Verschlüsselung nicht realisiert ist, kann jede Verbindung, ob im Festnetz oder im Mobilfunknetz, potenziell abgehört werden", warnt das Bundesamt für Sicherheit in der Informationstechnologie ( BSI ). Gespräche mit vertraulichem Inhalt sollten grundsätzlich nicht auf Telefonen ohne besondere Schutzmaßnahmen geführt werden, heißt es weiter. Zudem raten die Experten, den Einzelverbindungsnachweis auf unbekannte Nummern zu prüfen und zu kontrollieren, ob tatsächlich alle Gespräche in Rechnung gestellt werden. "Fehlende Gebühren für bestimmte Verbindungen können auf Abhören hindeuten", so das BSI. (pte/jp)

0 Kommentare zu diesem Artikel
18172