 |
# taz.de -- Digitale Spionage: Passworttippen ist nicht sicher |
|
|
|
> Mit einem neuen Verfahren ist es möglich, Passwörter und andere in den |
|
> Rechner eingegebene Texte aus großer Entfernung auszuspähen. |
|
> Wissenschaftler warnen vor der Sicherheitslücke. |
|
|
 |
Bild: Eingetippt heisst noch lange nicht sicher. |
|
|
|
Wie sicher ist Kommunikation via PC? Wenn in diesem Zusammenhang heutzutage |
|
über den Schutz der Privatsphäre diskutiert wird, geht es vor allem um die |
|
Sicherheit des Datenverkehrs zwischen Benutzern. So muss jedem |
|
Internet-Nutzer klar sein, dass etwa E-Mails standardmäßig unverschlüsselt |
|
durch das Netz wandern und an zentralen Knoten deshalb belauscht werden |
|
können. Gleiches gilt für normale Surfaktivitäten. Hinzu kommt, dass der |
|
Staat mit Hilfe der Vorratsdatenspeicherung monatelang speichert, wann wer |
|
wie lange im Netz war. |
|
|
|
Seltener ein Thema ist hingegen die Absicherung des einzelnen Rechners |
|
selbst. Forscher an der Lausanner Hochschule EPFL haben nun gezeigt, dass |
|
auch dieser Bereich äußerst beachtenswert wäre: Sie zeigten eine Technik, |
|
mit der aus den elektromagnetischen Signalen, die beim Tippen auf der |
|
Tastatur von Laptops und Schreibtisch-PCs entsteht, der eingegebene Text |
|
rekonstruiert werden kann. Die Doktoranden Martin Vuagnoux und Sylvain |
|
Pasini aus dem Labor für Sicherheit und Kryptographie testeten insgesamt 11 |
|
verschiedene Tastaturmodelle, die entweder per USB-Anschluss oder der |
|
älteren PS/2-Schnittstelle am Rechner hingen. |
|
|
|
Ein weiterer erfolgreicher Versuch wurde mit in Laptops eingebauten |
|
Keyboards gemacht. Bei einer Angriffsform waren die Eingaben noch aus 20 |
|
Meter Entfernung problemlos belauschbar, egal ob das Opfer einen |
|
Liebesbrief oder ein Passwort tippte. |
|
|
|
Die verwendete Technik war eher einfach: Eine simple Funkantenne mit |
|
passender PC-Software reichte aus. Die Spionage war so zuverlässig |
|
durchführbar, dass Vuagnoux und Pasini Tastaturen anschließend "für nicht |
|
sicher zur Übertragung sensibler Informationen" erklärten. Insgesamt vier |
|
verschiedene Methoden entwickelten die Forscher, die allesamt auf die |
|
elektromagnetischen Signaturen einzelner Tasten setzten. Mit teurerer |
|
Technik werde der Ansatz noch genauer. |
|
|
|
Die digitale Spionage mit Hilfe elektromagnetischer Verfahren ist schon |
|
seit längerem bekannt. So lassen sich insbesondere Röhrenmonitore mit der |
|
so genannten "TEMPEST"-Technik über größere Entfernungen belauschen - |
|
wurden diese nicht explizit vor Abstrahlungen geschützt, sind mit |
|
entsprechend empfindlicher Ausrüstung sogar aus 100 Metern Entfernung noch |
|
unerkanntes Ausspähen des Bildschirminhalts möglich. Das Bonner Bundesamt |
|
für die Sicherheit in der Informationstechnik empfiehlt deshalb in |
|
sensiblen Bereichen nur den Einsatz abgeschirmter Rechentechnik, da auch |
|
Verschlüsselung nicht vor solchen Angriffen schützt. |
|
|
|
Noch deutlich einfacher können Angreifer die PC-Benutzung aber mit reinen |
|
Softwareansätzen belauschen. Dazu wird ein so genannter "Keylogger" über |
|
Sicherheitslücken im Internet-Browser, E-Mail-Programm oder dem |
|
Betriebssystem auf den Rechner geschmuggelt. Solche kleinen Programme |
|
sammeln alle Tastenanschläge oder können sogar vollständige |
|
Bildschirmmitschriften an Gauner und Spione schicken, sogar eine |
|
Live-Verfolgung ist denkbar. Der so genannte "Bundestrojaner", den |
|
Innenminister Schäuble fordert, arbeitet ähnlich. Alternativ existieren |
|
Keylogger auch in Form von Hardware: Solche Kästchen werden zwischen |
|
Tastatur und PC geschaltet und sind so klein, dass sie vom Opfer nicht |
|
wahrgenommen werden. Ihre Daten schicken sie dann entweder per Internet an |
|
den Lauscher oder sie werden später einfach wieder abgeholt und ausgelesen. |
|
|
|
Eine offizielle Statistik zum Thema Passwortklau über solche Maßnahmen |
|
existiert in Deutschland nicht. Das Problem, dass Zugangsdaten für Konten, |
|
Online-Spiele oder andere teure Dienste gestohlen und gehandelt werden, hat |
|
Experten zufolge aber inzwischen epidemische Ausmaße angenommen. Eines der |
|
Hauptprobleme dabei ist die schlechte Absicherung sensibler Bereiche, die |
|
lange Zeit selbst Riesen wie die Deutsche Telekom betraf. Deren Kundendatei |
|
für den Mobilfunkanbieter T-Mobile mit 30 Millionen Datensätzen soll laut |
|
einem Bericht des Spiegel nur mit wenigen Benutzerangaben und einem simplen |
|
Passwort geschützt gewesen sein. Die entsprechenden Angaben kursierten |
|
daraufhin in einschlägigen Kreisen. |
|
|
|
22 Oct 2008 |
|
|
|
## AUTOREN |
|
|
 |
Ben Schwan |
|
|
|
## TAGS |
|
|
|
Keylogger |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Überwachung von Arbeitnehmern: Keylogger nur bei konkretem Verdacht |
|
|
|
Tastatureingaben von Mitarbeitern dürfen nicht grundlos und heimlich |
|
aufgezeichnet werden. So hat das Bundesarbeitsgericht entschieden. |
