IT-Grundschutz in der Praxis: Ein Blick durchs Fenster verrät, was der Monitor zeigt
Erik Tews ist Wissenschaftlicher Mitarbeiter der TU Darmstadt und hat mit Kollegen seiner Hochschule, der Bauhaus-Universität in Weimar, der Universität Luxemburg und dem Chaos Computer Club Sicherheitslücken bei Schnurlostelefonen aufgedeckt, die mit dem weltweit meistgenutzten Standard DECT (Digital Enhanced Cordless Telecommunication) arbeiten. Die Folge ist, dass solche Telefone leicht abgehört werden können. Der Experte für Theoretische Informatik, Kryptographie und Computeralgebra kennt aber noch mehr Gefahren, die auf Unternehmer lauern, und weiß: „Zur Sicherheit gehört immer ein Gesamtkonzept.“
MittelstandsWiki: Sie und Ihre Kollegen haben nachgewiesen, dass kabellose Kommunikationsgeräte wie Schnurlostelefone leicht abgehört werden können. Ein Laptop und eine Netzwerkkarte für 20 Euro sollen dabei ausreichen. Wie kann ich als Unternehmer eigentlich feststellen, ob meine Geräte eine Schwachstelle in der Verschlüsselung aufweisen?
Erik Tews: In den meisten Fällen können Sie das leider gar nicht. Es gibt aber einige wenige Geräte, die eine Warnmeldung im Display anzeigen, wenn das Gespräch unverschlüsselt geführt wird.
MittelstandsWiki: Ein weiteres Thema sind Manipulationen an drahtlosen Mäusen und Tastaturen, die heimlich mit Funksendern ausgestattet werden und Daten nach außen verschicken. Wie kann ich das erkennen?
Erik Tews: Hier stehen die Chancen ebenfalls schlecht. Es gibt aber Tastaturen, die vom Hersteller mit einem Siegel ausgeliefert werden. Damit können Sie erkennen, ob es Manipulationen am Gehäuse gab. Versteckte Funksender lassen sich mit einem Funkscanner oder ähnlichen Geräten aufspüren. Sie werden lachen, aber teilweise werden hier sogar Röntgengeräte eingesetzt. Aber jetzt kommt die schlechte Nachricht: Die Geräte können ja auch durch eine Veränderung der Software manipuliert werden. Der normale Verbraucher kann das oft nur schwer erkennen. Und dann kann noch die elektromagnetische Abstrahlung zu einem Problem werden. Sie werden es nicht glauben, aber auch Röhrenmonitore kann man auf einige Distanz hin abhören.
MittelstandsWiki: Das sind ja nicht gerade tolle Aussichten. Gibt es denn keine einfache Möglichkeit, um solche Schwachstellen generell zu beheben?
Erik Tews: Doch, schon. Es gibt für viele Anwendungen Spezialgeräte. Die sind zwar teuer, aber dafür viel sicherer. So gibt es beispielsweise hochsichere Mobiltelefone von verschiedenen Anbietern, die nur schwer abgehört werden können. Außerdem sollen in neueren Versionen des DECT/CAT-iq-Standards einige Sicherheitsanforderungen zur Pflicht werden. Wenn diese Geräte auf dem Markt sind, können Sie sie an Logos auf der Packung erkennen.
MittelstandsWiki: Gibt es auf technischer Ebene sonst etwas, das ich beachten sollte?
Erik Tews: Zur Sicherheit gehört immer ein Gesamtkonzept. Neben der Sicherung von Telefonen, Computern und Tastaturen selbst sollten Sie natürlich darauf achten, dass niemand den Inhalt des Monitors durch das Bürofenster erkennen kann. Es bringt auch nichts, wenn Sie eine tolle Verschlüsselung haben, aber dann die Informationen in den Müll werfen. Wenn Sie wichtige Informationen per E-Mail verschicken, können Sie auch hier ansetzen und die Mails verschlüsseln.
MittelstandsWiki: Was muss ich dafür tun?
Erik Tews: Sie und Ihr Kommunikationspartner laden ein Programm herunter, das die Daten verschlüsselt und wieder entschlüsselt. Zwei gängige Programme sind PGP (Pretty Good Privacy) und GnuPG (GNU Privacy Guard). PGP ist ein kommerzielles Produkt, das inzwischen sehr gut auf die Bedürfnisse von Geschäftskunden zugeschnitten ist. Bei GnUPG handelt es sich eine Open-Source-Alternative die weitestgehend kompatibel zu PGP ist und die auch vom Bundesamt für Sicherheit in der Informationstechnik gefördert wurde. Beide Programme können Sie parallel einsetzen. E-Mails, die mit dem einen Programm verschlüsselt wurden, können meist problemlos mit der anderen Variante gelesen werden.
MittelstandsWiki: Wie funktioniert das?
Erik Tews: Kurz zusammengefasst arbeiten die Programme so, dass jeder Teilnehmer ein Schlüsselpaar erzeugt. Die Schlüsselpaare bestehen jeweils aus einem öffentlichen und einem privaten Schlüssel. Mit dem öffentlichen Schlüssel können Sie Nachrichten verschlüsseln, aber nicht entschlüsseln. Das können Sie nur mit dem privaten Schlüssel. Die Teilnehmer geben nun ihre öffentlichen Schlüssel weiter. Wenn jemand zuhört, ist das kein Problem, weil der öffentliche Schlüssel nicht geheim ist. Es ist nur wichtig, dass niemand die öffentlichen Schlüssel auf dem Transportweg austaucht bzw. verändert. Die Programme sind aber mit den entsprechenden Schutzmechanismen ausgerüstet, um das zu verhindern. Will nun Teilnehmer A eine verschlüsselte E-Mail an B senden, reicht meist ein zusätzliches Häkchen im E-Mail-Programm aus um die Nachricht zu verschlüsseln – wenn A den öffentlichen Schlüssel von B hat.
MittelstandsWiki: Und welches von den beiden Programmen können sie empfehlen?
Erik Tews: Ich denke, man kann beide Programme empfehlen. Mein persönlicher Favorit ist allerdings GnuPG. Neben PGP und GnuPG gibt es übrigens noch S/MIME als Alternative. Das System arbeitet ähnlich und es gibt hier auch Programme von verschiedenen Herstellern.
MittelstandsWiki: Und was eignet sich für wen am besten?
Erik Tews: Vereinfacht kann man sagen, dass PGP und GnuPG von Vorteil sind, wenn es keine zentrale übergeordnete Infrastruktur gibt, wie z.B. bei Projekten mit mehren Firmen oder bei der Kommunikation mit privaten Bekannten. Wenn es eine zentrale Infrastruktur gibt, die für die gesamte Organisation und Verwaltung zuständig ist, kann S/MIME seine Stärken ausspielen.
MittelstandsWiki: Gibt es sonst noch ein interessantes Programm, das Sie empfehlen können?
Erik Tews: Neben der Verschlüsselung von E-Mail-Kommunikation finde ich die Sicherung von Messengern wie MSN, Skype, oder ICQ interessant. Hier gibt es mit OTR schon eine sehr gute Lösung, die auch noch sehr einfach in der Nutzung ist.
MittelstandsWiki: Häufig kommen die Gefahren von innen. Wie kann ich eigentlich kontrollieren, ob mein Administrator geschlampt hat oder gar selbst der Übeltäter ist?
Erik Tews: Es gibt Anbieter, die ihr Netzwerk bzw. ihre Firma auf Sicherheit hin testen. Das kann helfen Lücken zu finden, an die ihr Administrator nicht gedacht hat bzw. die er übersehen hat. Das hilft Ihnen aber sicher nicht weiter, wenn Sie dem Administrator böse Absichten unterstellen und er eine Lücke verdecken will. Hier kann man höchstens mit dem Vier-Augen-Prinzip arbeiten.
MittelstandsWiki: Dann haben Sie gesagt, dass Sie noch ein paar Linktipps hätten?
Erik Tews: Ja, das BSI hat einen sehr guten Leitfaden zum IT-Grundschutz und eine Broschüre Drahtlose Kommunikationssysteme und ihre Sicherheitsaspekte herausgebracht. Dann gibt es noch Infos über Röntgengeräte und Wanzen, zu GnuPG/PGP und darüber, wie Sie verhindern, dass elektromagnetische Abstrahlungen von Geräten Rückschlüsse auf die verarbeiteten Daten zulassen.
Das Interview führte Sabine Philipp.