Unsichere Funktelefone

Empfehlungen In der letzten Zeit erschienen in den Medien Berichte, wonach selbst Funktelefone, die nach dem DECT-Standard übertragen, mit relativ einfachen Mitteln abgehört werden können. Dies betrifft, vorausgesetzt es kommen solche Funktelefone zum Einsatz, neben Stellen der kirchlichen Verwaltung im allgemeinen vor allem Pfarrämter, weil dort die Wahrung des Seelsorgegeheimnisses gefährdet sein könnte. Aber auch Stellen der Diakonie sind in besonderer Weise betroffen, dort kann die Wahrung der Schweigepflicht nach § 203 Strafgesetzbuch gefährdet sein. Als Reaktion auf diese Berichte wird folgendes empfohlen: Künftig nur noch Funktelefone erwerben, bei denen das Mobilteil im Display deutlich anzeigt, wenn unverschlüsselt übertragen wird. Anhand der Bedienungsanleitung überprüfen, ob das vorhandene Gerät sicher konfiguriert ist. Wenn dazu die Kenntnisse fehlen, sollte eine kundige Person hinzugezogen werden. Zeigt sich, dass das Gerät systembedingt nicht sicher konfiguriert werden kann, etwa weil herstellerseitig der DECT-Standard mangelhaft implementiert wurde, sollte ein neues Gerät beschafft werden. Dies gilt auch, wenn es Hinweise zu dem betreffenden Gerätetyp gibt, dass dieser unsicher ist. Gefährdungseinschätzung Es sind vor allem drei Faktoren, die Zweifel an der Abhörsicherheit der Funktelefone weckten: Durch Modifikation einer kommerziellen Notebook-Karte fanden Forscher der Technischen Universität Darmstadt eine einfache und kostengünstige Möglichkeit, den Funkverkehr von DECT-Geräten aufzuzeichnen bzw. sich aufzuschalten. Bislang war dazu erheblich mehr Aufwand erforderlich. Es zeigte sich bei verschiedenen Abhörversuchen, dass nicht hinreichend sichergestellt war, dass die für den sicheren Betrieb eines Funktelefons erforderlichen Einstellungen auch getroffen wurden. Teilweise wurde der DECT-Standard, wohl aus Kostengründen, schon herstellerseitig unsauber implementiert. Die Nachfrage nach der in den Medienberichten genannten Steckkarte war erheblich. Lies sich die Karte vor der Meldung bei eBay für 23 Euro ersteigern, stieg der Wert nach der Meldung auf über 200 Euro (und wurde zu solchen Preisen auch gekauft). Dies zeigt, dass bei nicht wenigen Personen eine latente Bereitschaft besteht, ab- und mitzuhören, wenn sich die Gelegenheit bietet. Dazu passt auch, dass aufgrund der wachsenden Popularität von behandelten Themen wie Datenschutz, IT-Sicherheit oder Netz- und Gesellschaftspolitik das Ende Dezember letzten Jahres stattfindende Hackertreffen des Chaos Computer Club einen neuen Teilnehmerrekord verzeichnen konnte. Würde tatsächlich der Erwerb dieser Steckkarte und ggf. das Laden eines Treibers aus dem Internet genügen, um mit Hilfe eines Notebooks Funksignale nach dem DECT-Standard (dieser kommt auch in Notrufsystemen, Türöffnungssystemen, schnurlosen EC-Kartenlesern und in weiteren technischen Überwachungs- und Leitsystemen zum Einsatz) abzuhören, wären Datenschutz und Datensicherheit in vielen Bereichen erheblich gefährdet. Ganz so einfach ist die Sache glücklicherweise nicht: Die Forscher der TU Darmstadt bauten die Karte anhand des Schaltplans nach und aktivierten durch zusätzliche Verbindungsleitungen weitere Funktionalitäten der verwendeten Chips. Auch der von der Herstellerfirma gelieferte Treiber der Karte wurde modifiziert, um die technischen Veränderungen an der Schaltung auch nutzen zu können. Hardwarenahe Programmierungen sind anspruchsvoll, weil sie auch genaue Kenntnis der Funktion der elektronischen Bauteile voraussetzen. Für bestimmte Angriffe (Vortäuschen einer Basis-Station) wurde ein Asterisk-Server (Telefonanlagen-Software) verwendet, um abzuhören und die gewünschte Verbindung ins Telefonnetz bereitzustellen. Auch dies benötigt entsprechende Kenntnisse. Solange die Forscher nicht offenlegen, wie sie den Schaltplan abgeändert haben und auch ihren modifizierten Treiber nicht veröffentlichen, bedarf es profunder Kenntnisse in Elektronik und Informationstechnik, um einen funktionstüchtigen DECT-Sniffer zu realisieren. Dazu dürfte wohl nur ein Team entsprechend kenntnisreicher und motivierter Personen im Stande sein. Dem kann man allerdings folgendes entgegenhalten: Es ist nicht garantiert, dass der geänderte Schaltplan bzw. der angepaßte Treiber nicht doch irgendwann aus dem Internet heruntergeladen werden können. Es gibt vorgefertigte Elektronik-Steckkarten, die extra für den Zweck ausgelegt sind, durch Einsatz weiterer Chips technische Funktionalitäten mittels der PCMCIA-Schnittstelle des Notebooks steuern zu können. Es gibt viele "Elektronik-Bastler", die sich damit sehr gut auskennen. Es kann durchaus sein, dass die erforderlichen Schaltplanänderungen auch durch Lötarbeiten an der kommerziellen Steckkarte vorgenommen werden können. Es kann in aller Ruhe am eigenen DECT-Telefon so lange getestet werden, bis die aufgebaute Abhörtechnik funktioniert. Das von den Herstellern der DECT-Telefone vorgebrachte Argument, dass die Forscher der TU Darmstadt ja nicht in Echtzeit mitgehört haben, sondern Aufzeichnungen angefertigten und diese später in Audio-Dateien konvertierten, sticht nicht. Realiter würde ein Abhören wohl in der Regel so durchgeführt werden, dass, z.B. in einem vor dem Haus geparkten Auto, ein Notebook längere Zeit aufzeichnet und man im nachhinein auswertet. Weitere Meldungen, wonach erste Knackpunkte für Angriffe auf den Authentifizierungsalgorithmus gefunden bzw. mittels eines angemeldeten Patents Schwachstellen des Verschlüsselungsalgorithmus erkennbar wurden, sind beunruhigend. Aufgrund dieser Überlegungen bleibt ein Restrisiko, das schwer einzuschätzen ist. Unangenehme Überraschungen sind nicht ausgeschlossen. Sollte es Hinweise geben, dass der modifizierte Schaltplan im Internet verfügbar ist, und die erforderlichen Modifikationen des Schaltkreises an der kommerziellen Karte vorgenommen werden können, und der Treiber für die modifizierte Karte im Internet verfügbar ist, müsste der Einsatz von DECT-Funktelefonen für den dienstlichen Bereich umgehend eingestellt werden. Zusammenfassung Die Wahrscheinlichkeit, dass in der nächsten Zeit in größerem Umfang faktisch abgehört wird, ist wohl gering. Das Hauptrisiko liegt in falsch konfigurierten Geräten oder in Billigprodukten mit nicht sauber umgesetzten DECT-Implementierungen. Der Schaden besteht in der Verunsicherungen bei den vielen auf Vertraulichkeit angewiesenen Stellen und ihren Gesprächspartnern. Hier kann die Vertraulichkeit nur unter Verweis auf ein Restrisiko zugesagt werden. Deshalb die obigen Empfehlungen, die dieses Restrisiko deutlich verringern. Nach Umsetzung dieser Empfehlungen können die jeweiligen Stellen darauf verweisen, dass sie die Meldungen ernstgenommen und entsprechend reagiert haben. Forderung Das Mobilteil "weiss", ob es verschlüsselt überträgt oder nicht. Es "weiss" auch, ob sich die Basis-Station ihm gegenüber authentifiziert hat. Ein deutlicher Hinweis im Display des Mobilteils, etwa ein Warnblinken, wenn nicht beide Bedingungen für eine sichere Verbindung erfüllt sind, muss schnell Standard werden.