 ��Artikel
und Berichte |
�
ISDN - Im Sinne der Nachrichtendienste?
�
1)
Vorwort
2)
Zwischenf�lle
3) ISDN
als Ursache?
4) Sicherheitsl�cke
Fernwartung
5)
Risikofaktor D-Kanal
6)
Auswirkungen
7)
Unterdr�ckte Warnhinweis
8)
Abh�ren von R�umen
9)
Abh�ren der Telekommunikation
10) Verbindungsdaten
11)
Export-Leistungsmerkmale
12) Geb�hrenbetrug
13)
Sabotage
14)
Gegenma�nahmen
15)
D-Kanal-Filter
16)
Res�mee
Beinahe zynisch klang der Werbeslogan "Das Netz der unbegrenzten M�glichkeiten" in den Ohren mancher Experten f�r IT-Sicherheit. Und in der Tat, auch ein Insider aus Geheimdienstkreisen kommentierte dies mit den Worten: "Wissen Sie, ISDN und die Nachrichtendienste, da ist alles m�glich." Liegt aber das eigentliche Problem wirklich an diesem digitalen Netz selbst, das mit 2Mio. Basisanschl�ssen gerade auf dem besten Weg ist, die wichtigsten Teile unserer Telekommunikation zu beherrschen? Oder liegt es vielmehr an dem, was man aus dem ISDN macht und wie wir damit umgehen?
�
Wie der Verband f�r Sicherheit in der Wirtschaft Baden-W�rttemberg (VSW-BW) k�rzlich mitteilte, wurden bereits erste F�lle bekannt, bei denen Wettbewerber �ber die ISDN TK-Anlage ausgesp�ht wurden. So sei bei einem Unternehmen der Umsatz einer Sparte durch Wettbewerbsspionage �ber ISDN um ein Drittel gesunken. Die S�ddeutsche Zeitung vom 23.12.96 berichtete von einem konkreten Fall, bei dem anl��lich der Softwarerevision einer Anlage "elektronische Spuren" f�r einen derartigen Angriff nachgewiesen werden konnten. Der mit der �berpr�fung beauftragte Sicherheitsberater und Oberstleutnant a.D. des Milit�rischen Abschirmdienstes (MAD), Fritz Spang, fand in einzelnen Speicherbereichen der Anlage entsprechende Manipulationen. Auch das Bayerische Landesamt f�r Verfassungsschutz (LfV-BY) und das Bundesamt f�r Sicherheit in der Informationstechnik (BSI) machten bereits nachdr�cklich auf die Gefahren durch ISDN-Systeme aufmerksam.
Wie in den letzten Jahren bekannt wurde, besch�ftigte sich bis Ende der 80er Jahre auch das Ministerium f�r Staatssicherheit (MfS) der ehemaligen DDR sehr intensiv mit den M�glichkeiten der Angriffe auf ISDN TK-Anlagen. Mit der Wende soll das gesamte Know-how und die vorhandenen technischen Einrichtungen an das KGB weitergegeben worden sein. Bei den KGB-Nachfolgeorganisationen SWR, GRU und FAPSI, mu� davon ausgegangen werden, da� sie die Forschungen �ber entsprechende Manipulationen fortgesetzt haben. Im Jahr 1993 wurden nach Informationen des Bundesnachrichtendienstes (BND) sogar F�lle bekannt, bei denen �stliche Geheimdienste in die ISDN TK-Anlagen deutscher Botschaften in Osteuropa eindrangen. Auch das Bayerische Landesamt f�r Verfassungsschutz nimmt an, da� "fremde Nachrichtendienste solche Methoden zur Aufkl�rung ihrer Ziele einsetzen" und "da� derartige Manipulationsm�glichkeiten auch im Rahmen privater Wirtschaftsspionage eingesetzt werden".
�
Niemand k�me auf die Idee, die Stra�en unmittelbar f�r alle Verkehrsunf�lle pauschal verantwortlich zu machen. Doch im ISDN sieht das anders aus: Hier weist man der digitalen "Autobahn" gerne vorschnell die Alleinschuld f�r Manipulationsm�glichkeiten zu. Das "Integrated Services Digital Network" wurde in den 80er Jahren zwar unter gro�em Zeitdruck entwickelt und vorgesehene Sicherheitsmechanismen einfach gestrichen, doch das Hauptproblem sind die am ISDN angeschlossenen Anlagen. Nicht zuletzt auch deshalb, weil viele Programmteile schlecht dokumentiert und durch die Fluktuation bei den Systemprogrammierern heute nicht mehr nachvollziehbar sind. Diese sogenannten "ISDN TK-Anlagen" w�ren in unserem simplen Beispiel vergleichbar mit den Autos, die als eigentlicher Risikofaktor die Stra�en befahren.
Durch die Verarbeitung digitaler Signale sind ISDN TK-Anlagen letztlich Computer und keine herk�mmlichen Telefonanlagen. Die Endger�te sind keine klassischen Telefone mehr, sondern Terminals, deren Design lediglich an Telefone erinnert. Und genau hier liegt das zentrale Problem: Um Computer zu manipulieren, bedarf es keiner Eingriffe in die Hardware, sondern nur einer Ver�nderung der Software. Bei den digitalen Anlagen ist dabei eine der verwundbarsten Stellen die sogenannte Systemdatenbank, in der die einzelnen "Leistungsmerkmale" einer jeden Nebenstelle definiert sind.
�
Da die meisten ISDN TK-Anlagen �ber einen Fernwartungszugang verf�gen und nur wenige (z.B. durch Call-Back-Verfahren) abgesichert sind, haben versierte Computerfreaks h�ufig eine gute Chance, problemlos einzudringen und die Herrschaft �ber die Anlage zu �bernehmen. Selbst Pa�w�rter stellen in der Praxis kaum ein Hindernis dar: Aus Bequemlichkeit werden diese oft bei der werkseitigen Grundeinstellung (z.B. "0000") belassen. Um Manipulationen an solchen Anlagen vorzunehmen, braucht der Angreifer somit keinerlei pers�nlichen Zugang zum betreffenden Objekt, sondern lediglich einige Insiderinformationen, die sich leicht beschaffen lassen.
Durch die teilweise schonungslose Darstellung dieser Problematik im Fernsehen und in den Printmedien, sahen sich einige Hersteller unter Zugzwang und reagierten. Eine besonders rege Betriebsamkeit l�ste unter den Anlagenherstellern der ZDF TV-Beitrag "Mit mir nicht", vom 26.03.97, aus. Dem staunenden Publikum wurde dort u.a. hautnah vorgef�hrt, wie einfach ein unbefugtes Eindringen in fremde ISDN TK-Anlagen, z.B. zum Zwecke des Geb�hrenbetrugs und Abh�rens m�glich ist. Einige Fernwartungszug�nge wurden daraufhin im Eilverfahren bereits dichtgemacht. Die meisten sind jedoch nach wie vor gegen Angriffe ungesch�tzt.
�
Auch der f�r die Steuerung der Anlage ben�tigte "D-Kanal" macht illegale Eingriffe m�glich. Zum besseren Verst�ndnis zun�chst ein Blick auf die Grundlagen des ISDN: Im Gegensatz zum herk�mmlichen analogen Anschlu� (sog. "Amtsleitung"), lassen sich im ISDN �ber zwei gew�hnliche Kupferadern gleichzeitig zwei Nutzkan�le (B1 und B2) mit einer �bertragungsrate von je 64 kbit/s und ein Steuerkanal (D-Kanal) mit 16 kbit/s, betreiben. Mit sehr viel h�herer Qualit�t bzw. Geschwindigkeit k�nnen auf der gleichen Doppelader wie bisher, anstelle einer analogen Verbindung, z.B. Sprache und Fax nebeneinander �bertragen werden. M�glich machen dies winzige "Zeitfenster", die dem B1-, B2- und D-Kanal abwechselnd zugewiesen werden. Die �bertragung der einzelnen Kan�le erfolgt also zeitlich versetzt und zwar so schnell, da� die Anwender davon nichts merken. Der f�r die Teilnehmer (au�er f�r DATEX-P) nicht nutzbare D-Kanal dient prim�r dem Datenaustausch zwischen der zust�ndigen digitalen Vermittlungsstelle der Telekom und der ISDN TK-Anlage. Hier werden z.B.� die sog. "Dienstekennung", die notwendigen Befehle zum Herstellen und Beenden der Verbindung, die Systemzeit, der Geb�hrentakt, die Teilnehmerkennung u.v.m. �bertragen. Eben dieser D-Kanal bietet jedoch Profis eine Angriffsfl�che, um �ber eine gew�hnliche ISDN-Verbindung, auch ohne Fernwartung zus�tzliche Programme einzuschleusen. In diesem Zusammenhang wird gerne der Begriff "ISDN-Viren" verwendet. Der Vergleich mit Computerviren ist zwar eher als eine unzutreffende Verallgemeinerung anzusehen, daf�r aber anschaulich: W�hrend einer bestehenden Verbindung (B-Kanal) werden quasi im Hintergrund zeitgleich im D-Kanal vom Angreifer illegale Befehlsfolgen �bertragen, die vom Prozessor der ISDN TK-Anlage aufgenommen und verarbeitet werden. Laut Warnung des BSI ist "auf diese Weise das System jederzeit und von �berall aus der ISDN-Welt manipulierbar".
�
Gleich welche Angriffsform gew�hlt wird, f�hren die Manipulationen u.a.� dazu, da� Leistungsmerkmale f�r den Teilnehmer unbemerkt von au�en aktiviert werden k�nnen. Dadurch sind in vielen F�llen neben Geb�hrenbetrug, das Abh�ren von R�umen und Telekommunikationsverbindungen m�glich. Der erforderliche Aufwand des Angreifers ist bei den verschiedenen Anlagentypen allerdings inzwischen sehr unterschiedlich. Durch die zahlreichen Hersteller, Baureihen und Softwareversionen lassen sich dazu allerdings keine pauschalen Angaben machen. Der tats�chliche Sicherheitsgrad l��t nur anhand einer individuellen �berpr�fung der Anlage durch Fachleute feststellen. Der Bad Emser Abwehrexperte Spang vertritt dazu die Auffassung, "da� Deutschland dem gr��ten Sicherheitsrisiko seit Bestehen der Republik gegen�bersteht".
�
Die bei der Aktivierung sicherheitskritischer Leistungsmerkmalen �blichen Warnsignale werden bei solchen Angriffen unterdr�ckt. Da die Parameter dieser Hinweist�ne h�ufig nur durch Tabelleneintr�ge definiert sind, k�nnen meist deren Lautst�rke auf ein Minimum reduziert, die Dauer auf den Bruchteil einer Sekunde verk�rzt oder die Tonh�he des Signals in einen nicht mehr h�rbaren Frequenzbereich verlegt werden. Selbst wenn sich die Warnt�ne nicht abschalten lassen (womit einige Anlagenhersteller bereits werben), wird durch diese Tricks deren Wahrnehmung verhindert. �hnlich verh�lt es sich mit optischen Warnhinweisen, wie LED�s oder Hinweistexten im Display, die sich h�ufig sogar ganz unterdr�cken lassen.
�
Durch die Manipulation und Aktivierung von Leistungsmerkmalen, wie z.B.� "Direktes Ansprechen" oder "Automatische Rufannahme" l��t sich �ber die hochempfindliche Freisprecheinrichtung der Systemendger�te die gesamte Konversation eines Raumes von au�en unbemerkt abh�ren. Da solche Systemtelefone heute standardm��ige Komponenten aller ISDN TK-Anlagen sind, besteht hier ein erhebliches Risiko. Selbst in den Konferenzzimmern der Vorstandsetagen findet man fast immer derartige Sicherheitsrisiken.
Aber nicht nur Gro�anlagen stellen sicherheitskritische Leistungsmerkmale bereit: Auch f�r den Privatgebrauch ausgelegte Systemapparate zum direkten Anschlu� an den sog. "S0-Bus", wie z.B. die der EUROPA-Serie der Telekom, verf�gen �ber heikle Features. In Verbindung mit internen Anrufbeantwortern k�nnen z.B. bei solchen Telefonen sogenannte "Raumfunktionen" aktiviert werden. Eine Art "elektronischer Babysitter" erm�glicht damit das gezielte Abh�ren des betreffenden Raumes. Da dieses Leistungsmerkmal zumindest am Telefon selbst problemlos aktivierbar ist, sollte man niemanden unbeaufsichtigt mit dem Apparat alleine lassen.
�
Ferner k�nnen, f�r die Teilnehmer einer bestehenden Verbindung v�llig unbemerkt, "virtuelle Konferenzschaltungen" (Leistungsmerkmal "Dreierkonferenz") hergestellt oder Aufschaltungen vorgenommen werden, wodurch an dritter, unberechtigter Stelle, die �bertragenen Informationen zus�tzlich vorliegen. Durch die Manipulation von Rufumleitungen k�nnen z.B. Faxe abgefangen und bei geschicktem Vorgehen fast ohne Zeitverz�gerung an den berechtigten Empf�nger weitergeleitet werden, so da� dieser davon nichts merkt.
Eine sehr einfache M�glichkeit des Abh�rens s�mtlicher B-Kan�le und des D-Kanals besteht unmittelbar nach dem Netzabschlu� (NTBA) am sog.� "S0-Bus". Durch ISDN-Testger�te, die f�r wenige Tausend Mark frei verk�uflich sind, kann die gesamte Kommunikation problemlos abgeh�rt werden. Selbst f�r die Prim�rmultiplexanschl�sse ("S2M" mit 30 B-Kan�len) von Gro�unternehmen sind entsprechende Testger�te verf�gbar.�
Von Abh�rsicherheit kann daher auch in der digitalen Welt keine Rede sein.
Verh�ltnism��ig aufwendig ist dagegen das Anzapfen der Verkabelung von Systemendger�ten. Durch die teilweise herstellerspezifischen Schnittstellenprotokolle steht der hardwarem��ige Aufwand in keiner Relation zum Erfolg. Per Software l��t es sich eben viel einfacher abh�ren. Systemtelefone d�rfen dadurch aber keineswegs als sicher vor Telefonwanzen angesehen werden, denn sp�testens im H�rer gibt es wieder eine analoge Seite. Und dort ist auch der ideale Platz f�r Minisender.�
Bei einigen Abh�rger�teherstellern k�nnen mit Wanzen pr�parierte H�rer aller Fabrikate und Farben, quasi als "Ersatzteil" bestellt werden.� Durch die Westernbuchsen lassen sich diese von jedem Laien problemlos austauschen.
�
Die gleichen Testger�te, die das Abh�ren der Information auf den B-Kan�len erm�glichen, eignen sich auch zur Protokollierung von Verbindungsdaten: Wann wer mit wem wie lange verbunden war. Dies gilt im ISDN sowohl f�r ankommende als auch abgehende Verbindungen. Die Dienstekennung verr�t zudem, um welche Art von �bertragung (Sprache, Fax oder Daten) es sich handelte. F�r Spione ebenfalls eine Fundgrube, f�r Unternehmer und Datensch�tzer ein Horror. Sehr leicht k�nnen damit z.B.� Kundenstrukturen und Vertriebswege ausgekundschaftet werden.
�
Ein weiteres Problem sind Leistungsmerkmale, wie z.B. "Zeugenschaltung" oder "Abh�ren", die bei Export von ISDN TK-Anlagen in manchen L�ndern konkret gefordert werden. Da sich Exportversionen von denen im Inland gew�hnlich nicht unterscheiden, unterbleibt im deutschen Handbuch lediglich die Dokumentation der hierzulande verbotenen Leistungsmerkmale. Bei verschiedenen Anlagen lassen sich im Zuge von Softwarerevisionen immer wieder derartige "Export-Leistungsmerkmale" nachweisen. Deren widerrechtliche Aktivierung und mi�br�uchliche Nutzung ist bereits mit wenigen Fachkenntnissen, sowohl internen als auch externen T�tern, m�glich.
�
Eine bei Hackern beliebte Methode zur Einsparung von Telefonkosten ist die Programmierung von Rufumleitungen in ISDN TK-Anlagen von Unternehmen. Zum Ortstarif wird dann die betreffende (virtuelle) Nebenstelle angew�hlt, welche ihrerseits die Verbindung zum gew�nschten Ziel, z.B. ins Ausland umleitet. Nat�rlich auf Kosten des Unternehmens.� Auch hier reagierten inzwischen einige Hersteller auf Grund von Negativschlagzeilen in den Medien. Bei vielen Anlagen lassen sich Rufumleitungsziele aber nach wie vor von au�en �ndern. Insider waren auch kaum verwundert �ber den Vorfall im Bayerischen Landtag: Ein Abgeordneter soll im Fr�hjahr dieses Jahres von seiner Nebenstelle aus f�r Audiotextrufnummern auf den niederl�ndischen Antillen, Kosten in H�he von 25.000 Mark verursacht haben. Der Betroffene beteuerte glaubhaft, da� er von derartigen Anrufen nichts wisse. Da in Fachkreisen l�ngst bekannt ist, da� auch Hacker zu den Betreibern solcher Audiotext-Dienste geh�ren, liegt hier der dringende Verdacht eines konkreten Falls von Geb�hrenbetrug nahe. Sowohl durch den Einsatz der ber�chtigten "Dialer", als auch durch Manipulationen in ISDN TK-Anlagen, werden ihre Audiotextcomputer unter den Vorwahlen 0190 und 005 mit lukrativen Gespr�chsminuten k�nstlich "gef�ttert".
�
Durch b�swillige Manipulationen kann ein Angreifer die ISDN TK-Anlage auch in ihrer Funktionst�chtigkeit beeintr�chtigen. Eine gezielte Sabotage der Software erm�glicht versierten T�tern selbst von au�en auf Knopfdruck sogar jegliche Telekommunikation eines Unternehmens im ISDN schlagartig zum Erliegen zu bringen. Ein zus�tzliches Problem stellen ISDN-Karten in der EDV dar. Hier besteht u.U. die Gefahr, da� selbst die Datenverarbeitung in erhebliche Mitleidenschaft gezogen wird.
�
Um die Risiken bei ISDN TK-Anlagen zu verringern, reichen oft bereits simple Ma�nahmen aus, zumindest f�r einen wirksamen Grundschutz. Hierzu geh�ren u.a.��� eine herstellerneutrale Beratung bei der Auswahl der "richtigen" Anlage,�� der v�llige Verzicht auf jegliche Telekommunikation in hochsensiblen Bereichen, wie z.B.� Vorstands-Sitzungszimmern oder � abh�rgesch�tzten R�umen und������ der Verzicht auf digitale Systemendger�te in wichtigen B�ros, wie ��� z.B. Chefzimmer,�� der v�llige Verzicht auf Fernwartung bzw.�� die Absicherung unvermeidbarer Fernwartungszug�nge �ber Call-Back-Verfahren,�� eine regelm��ige Revision der Software bez�glich der Konfiguration������� von Leistungsmerkmalen sowie��� die Verwendung hochwertiger Chiffrierger�te in wichtigen �� Unternehmensbereichen.
�
Insbesondere in Bereichen, wo mit Angriffen durch Nachrichtendienste und mit professioneller Spionage von Wettbewerbern gerechnet werden mu�, ist nachdr�cklich der Einsatz eines sog. "D-Kanal-Filters" anzuraten. Wie bereits dargestellt, bietet der D-Kanal Profis eine ideale Angriffsfl�che f�r Manipulationen. Dies veranla�te das BSI bei der Berliner ROHDE & SCHWARZ-Tochtergesellschaft SIT, die Entwicklung eines geeigneten Schutzsystems in Auftrag zu geben. Nach mehrj�hriger Entwicklungsarbeit wurde auf der SYSTEMS in M�nchen das fertige Produkt vorgestellt: Es filtert s�mtliche, auf dem D-Kanal �bertragenen Informationen, pr�ft diese auf Zul�ssigkeit und soll damit alle bekannten Formen der Manipulation von ISDN TK-Anlagen durch interne und externe Angreifer unterbinden.
�
Da das ISDN aus unserem Computerzeitalter nicht mehr zu verbannen ist, m�ssen unbedingt geeignete Sicherheitsvorkehrungen getroffen werden.� Nicht anders, wie im Stra�enverkehr, wo erst die Verkehrsregeln die Grundlage f�r die Vermeidung von Unf�llen bilden. Es m�ssen sich nur alle daran halten.
�
�
�