 Artikel
und Berichte |
ISDN - Im Sinne der Nachrichtendienste?
1)
Vorwort
2)
Zwischenfälle
3) ISDN
als Ursache?
4) Sicherheitslücke
Fernwartung
5)
Risikofaktor D-Kanal
6)
Auswirkungen
7)
Unterdrückte Warnhinweis
8)
Abhören von Räumen
9)
Abhören der Telekommunikation
10) Verbindungsdaten
11)
Export-Leistungsmerkmale
12) Gebührenbetrug
13)
Sabotage
14)
Gegenmaßnahmen
15)
D-Kanal-Filter
16)
Resümee
Beinahe zynisch klang der Werbeslogan "Das Netz der unbegrenzten Möglichkeiten" in den Ohren mancher Experten für IT-Sicherheit. Und in der Tat, auch ein Insider aus Geheimdienstkreisen kommentierte dies mit den Worten: "Wissen Sie, ISDN und die Nachrichtendienste, da ist alles möglich." Liegt aber das eigentliche Problem wirklich an diesem digitalen Netz selbst, das mit 2Mio. Basisanschlüssen gerade auf dem besten Weg ist, die wichtigsten Teile unserer Telekommunikation zu beherrschen? Oder liegt es vielmehr an dem, was man aus dem ISDN macht und wie wir damit umgehen?
Wie der Verband für Sicherheit in der Wirtschaft Baden-Württemberg (VSW-BW) kürzlich mitteilte, wurden bereits erste Fälle bekannt, bei denen Wettbewerber über die ISDN TK-Anlage ausgespäht wurden. So sei bei einem Unternehmen der Umsatz einer Sparte durch Wettbewerbsspionage über ISDN um ein Drittel gesunken. Die Süddeutsche Zeitung vom 23.12.96 berichtete von einem konkreten Fall, bei dem anläßlich der Softwarerevision einer Anlage "elektronische Spuren" für einen derartigen Angriff nachgewiesen werden konnten. Der mit der Überprüfung beauftragte Sicherheitsberater und Oberstleutnant a.D. des Militärischen Abschirmdienstes (MAD), Fritz Spang, fand in einzelnen Speicherbereichen der Anlage entsprechende Manipulationen. Auch das Bayerische Landesamt für Verfassungsschutz (LfV-BY) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) machten bereits nachdrücklich auf die Gefahren durch ISDN-Systeme aufmerksam.
Wie in den letzten Jahren bekannt wurde, beschäftigte sich bis Ende der 80er Jahre auch das Ministerium für Staatssicherheit (MfS) der ehemaligen DDR sehr intensiv mit den Möglichkeiten der Angriffe auf ISDN TK-Anlagen. Mit der Wende soll das gesamte Know-how und die vorhandenen technischen Einrichtungen an das KGB weitergegeben worden sein. Bei den KGB-Nachfolgeorganisationen SWR, GRU und FAPSI, muß davon ausgegangen werden, daß sie die Forschungen über entsprechende Manipulationen fortgesetzt haben. Im Jahr 1993 wurden nach Informationen des Bundesnachrichtendienstes (BND) sogar Fälle bekannt, bei denen östliche Geheimdienste in die ISDN TK-Anlagen deutscher Botschaften in Osteuropa eindrangen. Auch das Bayerische Landesamt für Verfassungsschutz nimmt an, daß "fremde Nachrichtendienste solche Methoden zur Aufklärung ihrer Ziele einsetzen" und "daß derartige Manipulationsmöglichkeiten auch im Rahmen privater Wirtschaftsspionage eingesetzt werden".
Niemand käme auf die Idee, die Straßen unmittelbar für alle Verkehrsunfälle pauschal verantwortlich zu machen. Doch im ISDN sieht das anders aus: Hier weist man der digitalen "Autobahn" gerne vorschnell die Alleinschuld für Manipulationsmöglichkeiten zu. Das "Integrated Services Digital Network" wurde in den 80er Jahren zwar unter großem Zeitdruck entwickelt und vorgesehene Sicherheitsmechanismen einfach gestrichen, doch das Hauptproblem sind die am ISDN angeschlossenen Anlagen. Nicht zuletzt auch deshalb, weil viele Programmteile schlecht dokumentiert und durch die Fluktuation bei den Systemprogrammierern heute nicht mehr nachvollziehbar sind. Diese sogenannten "ISDN TK-Anlagen" wären in unserem simplen Beispiel vergleichbar mit den Autos, die als eigentlicher Risikofaktor die Straßen befahren.
Durch die Verarbeitung digitaler Signale sind ISDN TK-Anlagen letztlich Computer und keine herkömmlichen Telefonanlagen. Die Endgeräte sind keine klassischen Telefone mehr, sondern Terminals, deren Design lediglich an Telefone erinnert. Und genau hier liegt das zentrale Problem: Um Computer zu manipulieren, bedarf es keiner Eingriffe in die Hardware, sondern nur einer Veränderung der Software. Bei den digitalen Anlagen ist dabei eine der verwundbarsten Stellen die sogenannte Systemdatenbank, in der die einzelnen "Leistungsmerkmale" einer jeden Nebenstelle definiert sind.
Da die meisten ISDN TK-Anlagen über einen Fernwartungszugang verfügen und nur wenige (z.B. durch Call-Back-Verfahren) abgesichert sind, haben versierte Computerfreaks häufig eine gute Chance, problemlos einzudringen und die Herrschaft über die Anlage zu übernehmen. Selbst Paßwörter stellen in der Praxis kaum ein Hindernis dar: Aus Bequemlichkeit werden diese oft bei der werkseitigen Grundeinstellung (z.B. "0000") belassen. Um Manipulationen an solchen Anlagen vorzunehmen, braucht der Angreifer somit keinerlei persönlichen Zugang zum betreffenden Objekt, sondern lediglich einige Insiderinformationen, die sich leicht beschaffen lassen.
Durch die teilweise schonungslose Darstellung dieser Problematik im Fernsehen und in den Printmedien, sahen sich einige Hersteller unter Zugzwang und reagierten. Eine besonders rege Betriebsamkeit löste unter den Anlagenherstellern der ZDF TV-Beitrag "Mit mir nicht", vom 26.03.97, aus. Dem staunenden Publikum wurde dort u.a. hautnah vorgeführt, wie einfach ein unbefugtes Eindringen in fremde ISDN TK-Anlagen, z.B. zum Zwecke des Gebührenbetrugs und Abhörens möglich ist. Einige Fernwartungszugänge wurden daraufhin im Eilverfahren bereits dichtgemacht. Die meisten sind jedoch nach wie vor gegen Angriffe ungeschützt.
Auch der für die Steuerung der Anlage benötigte "D-Kanal" macht illegale Eingriffe möglich. Zum besseren Verständnis zunächst ein Blick auf die Grundlagen des ISDN: Im Gegensatz zum herkömmlichen analogen Anschluß (sog. "Amtsleitung"), lassen sich im ISDN über zwei gewöhnliche Kupferadern gleichzeitig zwei Nutzkanäle (B1 und B2) mit einer Übertragungsrate von je 64 kbit/s und ein Steuerkanal (D-Kanal) mit 16 kbit/s, betreiben. Mit sehr viel höherer Qualität bzw. Geschwindigkeit können auf der gleichen Doppelader wie bisher, anstelle einer analogen Verbindung, z.B. Sprache und Fax nebeneinander übertragen werden. Möglich machen dies winzige "Zeitfenster", die dem B1-, B2- und D-Kanal abwechselnd zugewiesen werden. Die Übertragung der einzelnen Kanäle erfolgt also zeitlich versetzt und zwar so schnell, daß die Anwender davon nichts merken. Der für die Teilnehmer (außer für DATEX-P) nicht nutzbare D-Kanal dient primär dem Datenaustausch zwischen der zuständigen digitalen Vermittlungsstelle der Telekom und der ISDN TK-Anlage. Hier werden z.B. die sog. "Dienstekennung", die notwendigen Befehle zum Herstellen und Beenden der Verbindung, die Systemzeit, der Gebührentakt, die Teilnehmerkennung u.v.m. übertragen. Eben dieser D-Kanal bietet jedoch Profis eine Angriffsfläche, um über eine gewöhnliche ISDN-Verbindung, auch ohne Fernwartung zusätzliche Programme einzuschleusen. In diesem Zusammenhang wird gerne der Begriff "ISDN-Viren" verwendet. Der Vergleich mit Computerviren ist zwar eher als eine unzutreffende Verallgemeinerung anzusehen, dafür aber anschaulich: Während einer bestehenden Verbindung (B-Kanal) werden quasi im Hintergrund zeitgleich im D-Kanal vom Angreifer illegale Befehlsfolgen übertragen, die vom Prozessor der ISDN TK-Anlage aufgenommen und verarbeitet werden. Laut Warnung des BSI ist "auf diese Weise das System jederzeit und von überall aus der ISDN-Welt manipulierbar".
Gleich welche Angriffsform gewählt wird, führen die Manipulationen u.a. dazu, daß Leistungsmerkmale für den Teilnehmer unbemerkt von außen aktiviert werden können. Dadurch sind in vielen Fällen neben Gebührenbetrug, das Abhören von Räumen und Telekommunikationsverbindungen möglich. Der erforderliche Aufwand des Angreifers ist bei den verschiedenen Anlagentypen allerdings inzwischen sehr unterschiedlich. Durch die zahlreichen Hersteller, Baureihen und Softwareversionen lassen sich dazu allerdings keine pauschalen Angaben machen. Der tatsächliche Sicherheitsgrad läßt nur anhand einer individuellen Überprüfung der Anlage durch Fachleute feststellen. Der Bad Emser Abwehrexperte Spang vertritt dazu die Auffassung, "daß Deutschland dem größten Sicherheitsrisiko seit Bestehen der Republik gegenübersteht".
Die bei der Aktivierung sicherheitskritischer Leistungsmerkmalen üblichen Warnsignale werden bei solchen Angriffen unterdrückt. Da die Parameter dieser Hinweistöne häufig nur durch Tabelleneinträge definiert sind, können meist deren Lautstärke auf ein Minimum reduziert, die Dauer auf den Bruchteil einer Sekunde verkürzt oder die Tonhöhe des Signals in einen nicht mehr hörbaren Frequenzbereich verlegt werden. Selbst wenn sich die Warntöne nicht abschalten lassen (womit einige Anlagenhersteller bereits werben), wird durch diese Tricks deren Wahrnehmung verhindert. Ähnlich verhält es sich mit optischen Warnhinweisen, wie LED‘s oder Hinweistexten im Display, die sich häufig sogar ganz unterdrücken lassen.
Durch die Manipulation und Aktivierung von Leistungsmerkmalen, wie z.B. "Direktes Ansprechen" oder "Automatische Rufannahme" läßt sich über die hochempfindliche Freisprecheinrichtung der Systemendgeräte die gesamte Konversation eines Raumes von außen unbemerkt abhören. Da solche Systemtelefone heute standardmäßige Komponenten aller ISDN TK-Anlagen sind, besteht hier ein erhebliches Risiko. Selbst in den Konferenzzimmern der Vorstandsetagen findet man fast immer derartige Sicherheitsrisiken.
Aber nicht nur Großanlagen stellen sicherheitskritische Leistungsmerkmale bereit: Auch für den Privatgebrauch ausgelegte Systemapparate zum direkten Anschluß an den sog. "S0-Bus", wie z.B. die der EUROPA-Serie der Telekom, verfügen über heikle Features. In Verbindung mit internen Anrufbeantwortern können z.B. bei solchen Telefonen sogenannte "Raumfunktionen" aktiviert werden. Eine Art "elektronischer Babysitter" ermöglicht damit das gezielte Abhören des betreffenden Raumes. Da dieses Leistungsmerkmal zumindest am Telefon selbst problemlos aktivierbar ist, sollte man niemanden unbeaufsichtigt mit dem Apparat alleine lassen.
Ferner können, für die Teilnehmer einer bestehenden Verbindung völlig unbemerkt, "virtuelle Konferenzschaltungen" (Leistungsmerkmal "Dreierkonferenz") hergestellt oder Aufschaltungen vorgenommen werden, wodurch an dritter, unberechtigter Stelle, die übertragenen Informationen zusätzlich vorliegen. Durch die Manipulation von Rufumleitungen können z.B. Faxe abgefangen und bei geschicktem Vorgehen fast ohne Zeitverzögerung an den berechtigten Empfänger weitergeleitet werden, so daß dieser davon nichts merkt.
Eine sehr einfache Möglichkeit des Abhörens sämtlicher B-Kanäle und des D-Kanals besteht unmittelbar nach dem Netzabschluß (NTBA) am sog. "S0-Bus". Durch ISDN-Testgeräte, die für wenige Tausend Mark frei verkäuflich sind, kann die gesamte Kommunikation problemlos abgehört werden. Selbst für die Primärmultiplexanschlüsse ("S2M" mit 30 B-Kanälen) von Großunternehmen sind entsprechende Testgeräte verfügbar.
Von Abhörsicherheit kann daher auch in der digitalen Welt keine Rede sein.
Verhältnismäßig aufwendig ist dagegen das Anzapfen der Verkabelung von Systemendgeräten. Durch die teilweise herstellerspezifischen Schnittstellenprotokolle steht der hardwaremäßige Aufwand in keiner Relation zum Erfolg. Per Software läßt es sich eben viel einfacher abhören. Systemtelefone dürfen dadurch aber keineswegs als sicher vor Telefonwanzen angesehen werden, denn spätestens im Hörer gibt es wieder eine analoge Seite. Und dort ist auch der ideale Platz für Minisender.
Bei einigen Abhörgeräteherstellern können mit Wanzen präparierte Hörer aller Fabrikate und Farben, quasi als "Ersatzteil" bestellt werden. Durch die Westernbuchsen lassen sich diese von jedem Laien problemlos austauschen.
Die gleichen Testgeräte, die das Abhören der Information auf den B-Kanälen ermöglichen, eignen sich auch zur Protokollierung von Verbindungsdaten: Wann wer mit wem wie lange verbunden war. Dies gilt im ISDN sowohl für ankommende als auch abgehende Verbindungen. Die Dienstekennung verrät zudem, um welche Art von Übertragung (Sprache, Fax oder Daten) es sich handelte. Für Spione ebenfalls eine Fundgrube, für Unternehmer und Datenschützer ein Horror. Sehr leicht können damit z.B. Kundenstrukturen und Vertriebswege ausgekundschaftet werden.
Ein weiteres Problem sind Leistungsmerkmale, wie z.B. "Zeugenschaltung" oder "Abhören", die bei Export von ISDN TK-Anlagen in manchen Ländern konkret gefordert werden. Da sich Exportversionen von denen im Inland gewöhnlich nicht unterscheiden, unterbleibt im deutschen Handbuch lediglich die Dokumentation der hierzulande verbotenen Leistungsmerkmale. Bei verschiedenen Anlagen lassen sich im Zuge von Softwarerevisionen immer wieder derartige "Export-Leistungsmerkmale" nachweisen. Deren widerrechtliche Aktivierung und mißbräuchliche Nutzung ist bereits mit wenigen Fachkenntnissen, sowohl internen als auch externen Tätern, möglich.
Eine bei Hackern beliebte Methode zur Einsparung von Telefonkosten ist die Programmierung von Rufumleitungen in ISDN TK-Anlagen von Unternehmen. Zum Ortstarif wird dann die betreffende (virtuelle) Nebenstelle angewählt, welche ihrerseits die Verbindung zum gewünschten Ziel, z.B. ins Ausland umleitet. Natürlich auf Kosten des Unternehmens. Auch hier reagierten inzwischen einige Hersteller auf Grund von Negativschlagzeilen in den Medien. Bei vielen Anlagen lassen sich Rufumleitungsziele aber nach wie vor von außen ändern. Insider waren auch kaum verwundert über den Vorfall im Bayerischen Landtag: Ein Abgeordneter soll im Frühjahr dieses Jahres von seiner Nebenstelle aus für Audiotextrufnummern auf den niederländischen Antillen, Kosten in Höhe von 25.000 Mark verursacht haben. Der Betroffene beteuerte glaubhaft, daß er von derartigen Anrufen nichts wisse. Da in Fachkreisen längst bekannt ist, daß auch Hacker zu den Betreibern solcher Audiotext-Dienste gehören, liegt hier der dringende Verdacht eines konkreten Falls von Gebührenbetrug nahe. Sowohl durch den Einsatz der berüchtigten "Dialer", als auch durch Manipulationen in ISDN TK-Anlagen, werden ihre Audiotextcomputer unter den Vorwahlen 0190 und 005 mit lukrativen Gesprächsminuten künstlich "gefüttert".
Durch böswillige Manipulationen kann ein Angreifer die ISDN TK-Anlage auch in ihrer Funktionstüchtigkeit beeinträchtigen. Eine gezielte Sabotage der Software ermöglicht versierten Tätern selbst von außen auf Knopfdruck sogar jegliche Telekommunikation eines Unternehmens im ISDN schlagartig zum Erliegen zu bringen. Ein zusätzliches Problem stellen ISDN-Karten in der EDV dar. Hier besteht u.U. die Gefahr, daß selbst die Datenverarbeitung in erhebliche Mitleidenschaft gezogen wird.
Um die Risiken bei ISDN TK-Anlagen zu verringern, reichen oft bereits simple Maßnahmen aus, zumindest für einen wirksamen Grundschutz. Hierzu gehören u.a. eine herstellerneutrale Beratung bei der Auswahl der "richtigen" Anlage, der völlige Verzicht auf jegliche Telekommunikation in hochsensiblen Bereichen, wie z.B. Vorstands-Sitzungszimmern oder abhörgeschützten Räumen und der Verzicht auf digitale Systemendgeräte in wichtigen Büros, wie z.B. Chefzimmer, der völlige Verzicht auf Fernwartung bzw. die Absicherung unvermeidbarer Fernwartungszugänge über Call-Back-Verfahren, eine regelmäßige Revision der Software bezüglich der Konfiguration von Leistungsmerkmalen sowie die Verwendung hochwertiger Chiffriergeräte in wichtigen Unternehmensbereichen.
Insbesondere in Bereichen, wo mit Angriffen durch Nachrichtendienste und mit professioneller Spionage von Wettbewerbern gerechnet werden muß, ist nachdrücklich der Einsatz eines sog. "D-Kanal-Filters" anzuraten. Wie bereits dargestellt, bietet der D-Kanal Profis eine ideale Angriffsfläche für Manipulationen. Dies veranlaßte das BSI bei der Berliner ROHDE & SCHWARZ-Tochtergesellschaft SIT, die Entwicklung eines geeigneten Schutzsystems in Auftrag zu geben. Nach mehrjähriger Entwicklungsarbeit wurde auf der SYSTEMS in München das fertige Produkt vorgestellt: Es filtert sämtliche, auf dem D-Kanal übertragenen Informationen, prüft diese auf Zulässigkeit und soll damit alle bekannten Formen der Manipulation von ISDN TK-Anlagen durch interne und externe Angreifer unterbinden.
Da das ISDN aus unserem Computerzeitalter nicht mehr zu verbannen ist, müssen unbedingt geeignete Sicherheitsvorkehrungen getroffen werden. Nicht anders, wie im Straßenverkehr, wo erst die Verkehrsregeln die Grundlage für die Vermeidung von Unfällen bilden. Es müssen sich nur alle daran halten.
