![[Chaos CD]](/file/6530/Chaos_CD_Blue__[1999].iso/images/chaoscd.jpg) |
| ![[Gescannte Version]](/file/6530/Chaos_CD_Blue__[1999].iso/images/scan.jpg) |
![[ -- ]](/file/6530/Chaos_CD_Blue__[1999].iso/images/prev.jpg) |
![[ ++ ]](/file/6530/Chaos_CD_Blue__[1999].iso/images/next.jpg) |
![[Suchen]](/file/6530/Chaos_CD_Blue__[1999].iso/images/search.jpg) |
|
| |
|
|
|
Kapitel 5: Bedeutung der Risiken
5Bedeutung der Sicherheitslücken und RisikenIn den vorangegangenen drei Kapiteln wurden mögliche Angriffe im ISDN aufgezeigt. Nur ein Teil dieser Angriffe richtet sich gegen die Netzbetreiber, in nur wenigen Fällen tragen sie unmittelbaren Schaden davon. Trotzdem können nur sie viele Sicherheitslücken schließen. Sie setzen selbst Standards und wirken zusammen mit Herstellern und anderen Betreibern in Standardisierungsgremien mit. Wenn dort keine ausreichenden Sicherheitsmaßnahmen festgelegt werden, kann der Kunde nur sehr selten durch eigene Maßnahmen die Sicherheit verbessern. In Zukunft wird die Sicherheit in den Netzen ein Verkaufsargument der konkurrierenden Netzbetreiber sein. In diesem Kapitel werden die beschriebenen Angriffe bewertet und gewichtet. Dazu werden zunächst Bewertungskriterien zusammengestellt und anschließend die verschiedenen Angriffstypen anhand der Kriterien eingeordnet. 5.1BewertungskriterienBei der Bewertung der aufgezeigten Risiken kann man die folgenden Unterscheidungskriterien ansetzen. Die Zuordnung ist dabei nicht immer ganz eindeutig: 5.1.1Anzahl der BetroffenenEin Angriff kann sich gezielt gegen einen Einzelnen richten. Dazu gehören zum Beispiel das Abhören von Räumen oder Gesprächen oder das Erstellen von Kommunikationsprofilen. Es kann aber auch eine Gruppe von Personen gezielt angegriffen werden, zum Beispiel eine geschlossene Benutzergruppe1 oder eine Firma mit einer oder mehreren ISDN-Anlagen. Davon muß man Angriffe unterscheiden, die sich gegen ganze Stadtviertel, Vermittlungsstellen, Regionen oder gar gegen ganze Netze richten. Hier sind Personen und Firmen zufällig betroffen. Der eigentliche Angriff richtet sich nicht gegen sie oder nur gegen einen Teil der letztendlich Betroffenen. Daneben gibt es auch Angriffe, bei denen der Geschädigte nicht gezielt ausgewählt wird. Dazu gehören das Telefonieren auf Kosten Anderer oder der 0190-Betrug.2 Es geht hier nicht darum, jemanden zu schädigen, sondern selbst einen finanziellen Vorteil zu erreichen. Dabei nimmt der Angreifer die Schädigung in Kauf. 5.1.2Art und Umfang des SchadensDer Angegriffene kann einen meßbaren finanziellen Schaden haben. Das ist immer dann der Fall, wenn auf seine Kosten telefoniert wird, aber auch wenn Einrichtungen zerstört oder gestohlen werden. Hier kommt unter Umständen auch ein nicht meßbarer Schaden durch entgangene Geschäfte während des Ausfalls hinzu. Einen nicht immer meßbaren finanziellen Schaden richten Spionageangriffe an. Ein solcher Angreifer hört Räume oder Gespräche ab oder dringt in Rechnersysteme ein. Anschließend verkauft er die gewonnene Information an konkurrierende Unternehmen. Der Angegriffene hat dadurch Wettbewerbsnachteile, die sich selten genau beziffern lassen, meist aber nicht unerheblich sind. Außerdem kann es zu einem Vertrauensverlust kommen, wenn durch Spionage vertrauliche Daten in die falschen Hände oder an die Öffentlichkeit geraten. Dazu gehören das Abhören von Räumen oder Gesprächen ebenso wie das Erstellen von Gesprächsprofilen und das Eindringen in Rechnersysteme über das ISDN. 5.1.3Dauer der SchädigungDer Schaden, den ein Angriff anrichtet, kann unterschiedlich lange anhalten. Der Angegriffene wird nur einmal geschädigt, wenn jemand auf seine Kosten telefoniert. Denn sobald die nächste Rechnung eintrifft, fällt der Betrug in der Regel auf. Dagegen kann beispielsweise das Abhören von Räumen oder Gesprächen beliebig lange stattfinden. Die Chance, daß es entdeckt wird ist meist gering, gerade weil der Täter dazu nicht vor Ort sein muß. Unter Umständen gibt es Nachwirkungen, die länger andauern, als der Schaden selbst: Firmen im Versandhandel sind auf funktionierende Telefone angewiesen, um Bestellungen entgegennehmen zu können. Wenn dort die TK-Anlage ausfällt, können keine Bestellungen entgegengenommen werden. Einige Kunden werden dann zur Konkurrenz abwandern. Dadurch ist auch dann noch der Betrieb gestört, wenn die TK-Anlage wieder funktioniert. Für manche Unternehmen bedeutet der Ausfall ihrer Telekommunikationsverbindungen für mehr als ein oder zwei Tage den Konkurs.3 Dabei kann der Wiederaufbau einer durch Feuer oder Wasser zerstörten TK-Anlage durchaus Wochen bis Monate in Anspruch nehmen.4 5.1.4VerantwortungsbereichEin Teil der Angriffe wird nur möglich, weil der Betreiber einer ISDN-TK-Anlage keine ausreichenden Sicherheitsvorkehrungen trifft. Dazu gehören zum Beispiel unveränderte Paßwörter5 und nicht abgesicherte Fernwartungszugänge.6 Diese Sicherheitslücken liegen im Verantwortungsbereich des Anlagenbetreibers. Er kann sie durch geeignete Maßnahmen abstellen. Andere Angriffe sind durch Schwachstellen und Sicherheitslücken im Netz möglich. Dazu gehören zum Beispiel die Angriffe auf das ZGS-7-Netz7 und auf die Vermittlungsstellen.8 Die Schwachstellen, die sie ermöglichen, liegen im Verantwortungsbereich des Netzbetreibers. Nur zum Teil kann sich auch der Anlagenbetreiber vor Angriffen auf das Netz schützen.9 Vor einem weiteren Teil der Angriffe kann sich der Nutzer eines ISDN-Endgerätes zumindest zum Teil schützen. Dazu gehören das Abhören von Räumen und das Eindringen in Rechnersysteme mit ISDN-Karten. 5.2Bedeutung für den Netzbetreiber5.2.1EinleitungIn den vorangegangenen Kapiteln wurden Angriffe und Sicherheitslücken auf verschiedenen Ebenen der Telekommunikationswelt betrachtet. Darunter waren immer auch Angriffe, die sich unmittelbar gegen die Netzbetreiber richteten und Angriffe, die sich gegen die Teilnehmer richteten aber im Verantwortungsbereich der Netzbetreiber liegen. 5.2.2User-user-MißbrauchISDN-Kunden können das Dienstmerkmal User-To-User-Signalling benutzen, um kostenlos Daten über das Netz auszutauschen.10 Diese Daten werden transparent über das ZGS-7-Netzwerk übertragen. Dabei entstehen dem Netzbetreiber Kosten, die er nicht an den Kunden weitergeben kann. Es gibt Überlegungen, schon für den Verbindungsaufbau Gebühren zu nehmen oder User-To-User-Signalling nicht mehr anzubieten. Wegen der relativ geringen Übertragungsrate von 32 Byte/sec gibt es aber nicht viele ernsthafte Nutzer dieser Lücke. Deshalb hat sich die Telekom bisher darauf beschränkt, den Kunden eine Broschüre zu diesem Thema zuzuschicken. Darin weist sie darauf hin, daß jeder Netzmißbrauch einen Verstoß gegen die allgemeine Geschäftsbedingungen darstellt. 5.2.30190-GebührenbetrugIn Abschnitt werden mehrere Varianten des Gebührenbetrugs mit 0190-Nummern beschrieben. Ein Teil geht zu Lasten der Kunden, der andere zu Lasten des Netzbetreibers. Wenn 0190-Gebühren mit Hilfe unbenutzter Anschlüsse verursacht werden, bleibt der Netzbetreiber auf den Kosten sitzen, hat aber in der Regel schon an den Anbieter der Servicenummer gezahlt. Wenn Telefonanschlüsse von Kunden dafür mißbraucht werden, müssen diese oft die Kosten tragen. In besonders auffälligen und schweren Fällen haben die Gerichte entschieden, daß der Netzbetreiber den Teil der Kosten zu tragen hat, der über die normale Telefonrechnung hinausgeht. Auch wenn der Kunde betroffen ist, kann hauptsächlich der Netzbetreiber etwas gegen diese Angriffsmöglichkeit tun. Der Kunde kann nur dafür sorgen, daß sich niemand innerhalb seines Machtbereichs, also an seiner Hausinstallation aufklemmt. Dem Netzbetreiber obliegt dagegen der Schutz der Leitung zwischen Kunde und Vermittlungsstelle. Sie ist oft einige Kilometer lang und durchläuft mehrere Verteilerkästen. Das Aufklemmen fällt hier nicht sonderlich schwer, auch wenn die Verteilerkästen nur mit Spezialwerkzeug geöffnet werden können. Soweit bekannt, wurden alle 0190-Betrugsfälle mit Hilfe analoger Telefonanschlüsse und automatischen Wählern durchgeführt worden. Im Rahmen des ISDN ist der Aufwand für einen solchen Angriff größer als der zu erwartende Nutzen. Der Grund dafür liegt darin, daß zwischen der Vermittlungsstelle und dem Teilnehmeranschluß ein anderes Protokoll verwendet wird, als zwischen dem Teilnehmeranschluß (NT) und den Endgeräten. Im einen Fall kommt das D-Kanal-Protokoll zum Einsatz, im anderen Fall der S0-Bus. Deshalb kann man keine normalen Endgeräte außerhalb des Hauses oder der Wohnung des Teilnehmers an die Leitung anschließen. Auch wenn bisher im ISDN keine solchen Betrugsfälle bekannt geworden sind, sind sie dennoch möglich: Mit Hilfe eines manipulierten Prüftelefons kann sich ein Angreifer in die Leitung hängen und beliebige Anschlüsse anwählen. Dann ist aber der Teilnehmer für diese Zeit vom Netz abgeklemmt. Ein solcher Angriff kommt also nur nachts oder während des Urlaubs des Teilnehmers in Frage. Die Kosten für ein Prüftelefon betragen etwa 1000,- DM; dem gegenüber kostet ein automatisches Wählgerät nur etwa 100,-DM. Deshalb werden sich solche Angriffe auf nicht-ISDN-Anschlüsse konzentrieren. Das ist nach wie vor die weit überwiegende Zahl. 5.2.4Netzausfall durch SabotageEs gibt eine Reihe von Angriffen, die sich gegen die Qualität des Netzes richten. Im schlimmsten Fall wird einem oder mehreren Nutzern der Dienst ganz verweigert. Diese Angriffe werden unter dem Begriff denial-of-service zusammengefaßt. Wenn es einem Angreifer gelingt, eine Vermittlungsstelle unter seine Kontrolle zu bringen, kann er sie in einen unsinnigen Zustand versetzen, so daß alle angeschlossenen Benutzer keine Verbindungen mehr bekommen können. Dabei sind aber einige Hürden zu nehmen. Ein Zugriff über das ZGS-7-Netz kann mit dem AcceSS-7-System erfaßt werden. Über den D-Kanal kann nur angegriffen werden, wenn vorher eine Sicherheitslücke entdeckt oder gezielt eingebaut wurde. Und ein physikalisches Eindringen in die Vermittlungsstelle wird über ein Alarm- und Protokollsystem gemeldet. Außerdem benötigt der Angreifer dann noch ein gültiges Paßwort zum Zugriff auf den Konfigurationsrechner. Deshalb stellen in diesem Fall Innentäter die größte Gefahr dar. Eine andere Art des Angriffs stellen physikalische Beschädigungen dar. Auch sie haben zum Ziel, den Netzbetrieb zu stören: 1995 wurden am Frankfurter Flughafen einige Glasfaserleitungen durchtrennt. Die Reparatur dauerte einen ganzen Tag. Einige Anwohner flughafennaher Stadtteile hatten solange keine Telefonverbindung. Für den Flughafen selbst wurden weitestgehend Ersatzschaltungen durchgeführt. Eine Ersatzschaltung ist immer dann möglich, wenn es zwischen zwei Knotenpunkten im Netz mehr als eine Verbindung gibt. Beim Ausfall einer Verbindung wird der gesamte Verkehr über die andere umgeleitet. Dabei kann es zu kurzzeitiger Überlast kommen. Über solche Ersatzschaltungen verfügen jedoch nur wichtige Einrichtungen und die Fernverbindungen, deren Ausfall sonst ganze Regionen lahmlegen könnte. Die Fernleitungen sind mit einer zusätzlichen Ummantelung versehen. Zwischen dieser und der eigentlichen Kabelummantelung wird Druckluft geführt. Wird ein Kabel beschädigt, so fällt schlagartig der Druck ab. Durch Meßgeräte kann man die beschädigte Stelle sehr schnell und präzise eingrenzen. Ohne diese Technik würde es Wochen dauern und viel Geld kosten, eine Beschädigung aufzuspüren. Bei einem Angriff können auch Vermittlungsstellen oder Straßenverteiler beschädigt werden. Der Ausfall eines Straßenverteilers schneidet den angeschlossenen Straßenzug völlig vom Netz ab. Ersatzschaltungen sind nicht möglich, weil ab dem Straßenverteiler genau eine physikalische Leitung je Anschluß vorhanden ist. Die Installation eines neuen Verteilers kann in wenigen Tagen erfolgen, wenn die Kabel intakt geblieben sind. Wenn neue Kabel in die Häuser verlegt werden müssen, vergehen Wochen bis der Urzustand wiederhergestellt ist. Der Ausfall einer Vermittlungsstelle schneidet alle daran angeschlossenen Teilnehmer vom Rest des Telekommunikationsnetzes ab. Wenn nur die Verbindungen von der Vermittlungsstelle ins Fernnetz ausfallen, können die betroffenen Teilnehmer nur noch mit anderen Teilnehmern an der selben Vermittlungsstelle kommunizieren. Gespräche von und nach außerhalb sind nicht mehr möglich. Wenn die Vermittlungsstelle völlig ausfällt, können die angeschlossenen Teilnehmer gar nicht mehr kommunizieren. Das können bis zu zehntausend Anschlüsse sein. Bis eine Vermittlungsstelle wiederhergestellt ist, vergehen im besten Fall Stunden, im schlimmsten Fall Monate. Das Einspielen und Aktivieren einer neuen Software dauert nur ein paar Stunden. Wenn auch die Konfiguration aller Teilnehmeranschlüsse wiederhergestellt werden muß, können Tage vergehen. Wenn die Vermittlungsstelle durch Feuer oder Wasser beschädigt wurde, dauert es Monate, bis zur vollständigen Wiederherstellung. Denn dann muß neue Hardware installiert und alle Teilnehmerleitungen neu aufgeschaltet („rangiert“) werden. Eine Ersatzschaltung ist nicht möglich, weil die Teilnehmeranschlußleitungen physikalisch von der Vermittlungsstelle aus über Straßenverteiler zum Kunden verlaufen. Im Prinzip ist ab der Vermittlungsstelle jedem Kunden eine eigene Kupferdoppelleitung fest zugeordnet. Lediglich zwischen Vermittlungsstelle und einem Straßenverteiler kann ersatzgeschaltet werden, wenn nur eine oder wenige Teilnehmerleitungen - beispielsweise bei Bauarbeiten - beschädigt werden. 5.2.5Aufklemmen auf D-Kanal oder das ZGS-7Eine ganz andere Gefahr droht den Vermittlungsstellen durch Angriffe über eine ihrer Leitungen. Das können sowohl die Leitungen aus Richtung der Teilnehmer als auch die Leitungen aus Richtung des Fernnetzes sein. Aus Richtung der Teilnehmer droht Gefahr über den D-Kanal. Die B-Kanäle werden als reine Nutzkanäle zwischen den Kommunikationspartnern transparent durchgeschaltet und in den Vermittlungsstellen nicht ausgewertet. Ein Angreifer kann ungültige Pakete über den D-Kanal eines Anschlusses zur Vermittlungsstelle schicken. Das können zu kurze, zu lange oder einfach nicht spezifizierte Pakete sein. Die Chancen, damit Schaden in der Vermittlungsstelle anzurichten, sind allerdings gering. Denn gegen unspezifizierte Pakete wird die Vermittlungsstellen-Software vor der Freigabe geprüft. Dazu enthalten alle ETSI-Spezifikationen einen eigenen Abschnitt, der beschreibt, welche Arten von Paketen zu prüfen und zu verwerfen sind. Ein Angreifer kann allerdings in den ETSI-Dokumenten nach Lücken suchen und hoffen, daß diese Pakete nicht geprüft werden. Größere Chancen auf Erfolg bestehen bei vorher manipulierter Vermittlungsstellen-Software.11 Aus Richtung des Fernnetzes drohen den Vermittlungsstellen mehr Gefahren. Denn dem Fernnetz wird grundsätzlich erst einmal vertraut, während Paketen von Seiten der Teilnehmer grundsätzlich erst einmal mißtraut wird. Wenn es einem Angreifer also gelingt, in das ZGS-7-Netz manipulierte Pakete einzuspielen, so steht ihm jede Vermittlungsstelle offen. Er kann dann die Vermittlungsstelle veranlassen, irgendwelche Pakete über den D-Kanal in Richtung eines bestimmten Teilnehmers zu schicken. Damit ist wiederum ein gezielter Angriff auf den Teilnehmer möglich. Denn die Teilnehmer-Hardware vertraut den aus der Vermittlungsstelle empfangenen Paketen grundsätzlich. Bei Vermittlungsstellen von SEL können so auch Teilnehmeranschlüsse in der Vermittlungsstelle umkonfiguriert werden, denn SEL verwendet ein leicht verändertes ZGS-7-Protokoll für die Fernwartung seiner Vermittlungsstellen.12 Von einem solchen Angriff sind entweder einzelne oder alle Teilnehmer an der angegriffenen Vermittlungsstelle betroffen. Bis eine Manipulation entdeckt wird, kann schon einige Zeit vergehen. Ein Angreifer kann darauf hoffen, daß ihm die Größe des Netzes zu Hilfe kommt: Ein weltweites Telekommunikationssystem, bestehend aus vielen Netzen und anderen Gliederungsformen, ist nicht leicht zu überblicken. Wenn eine Vermittlungsstelle erst einmal unter der Kontrolle eines Angreifers ist, kann er sie veranlassen, andere Vermittlungsstellen anzugreifen. Die Vermittlungsstellen eines Netzes vertrauen einander, eingehende Pakete werden nicht geprüft. Auf diese Weise läßt sich virenartig das gesamte ZGS-7-Netz unter Kontrolle bringen. Die Gefahr, entdeckt zu werden, wächst allerdings mit der Anzahl der angegriffenen Vermittlungsstellen. Im Prinzip kann ein Angreifer aber auf diese Weise von einem beliebigen Ort aus einen Teilnehmer an einem beliebigen anderen Ort angreifen. 5.2.6Überlast im ZGS-7-NetzEin Angreifer kann das ZGS-7-Netz durch Angriffe überlasten.13 Das Netz wird daraufhin keine neuen Verbindungswünsche mehr annehmen. Auf diese Weise lassen sich ganze Stadtteile oder Regionen lahmlegen. Zum Angriff auf das ZGS-7-Netz ist neben einer Menge Spezialwissen und spezieller Hardware der Zugriff auf das Netz nötig. Dann kann ein Angreifer relativ leicht Pakete aussenden und zum Beispiel Überlast erzeugen. Ein solcher Angriff dürfte einem Innentäter nicht schwer fallen. Allerdings ist die Chance (oder das Risiko) relativ hoch, daß er vom AcceSS7-System14 erfaßt wird. Außerdem können auf dieser Ebene Ersatzschaltungen aktiviert werden, so daß ein solcher Angriff nur kurzzeitig zu Ausfällen führt. Es sei denn, auch die Ersatzwege sind betroffen. Ein groß angelegter Angriff kann durchaus das gesamte Netz lahmlegen. Bis sich die Situation durch manuellen Eingriff normalisiert hat, können Stunden vergehen. 5.2.7SEPT-MißbrauchIn Abschnitt wird die System-externe-Prüf-Technik (SEPT) beschrieben. Ein Angreifer benötigt lediglich eine vierstellige Technikerkennung und ein ebenfalls vierstelliges Paßwort. Beide lassen sich durch Versuche herausbekommen oder von einem Innentäter kaufen. Bislang fehlen technische Mittel, um den Zugriff auf SEPT sicherer zu gestalten. Denn jeder Techniker soll von überall mit Hilfe eines normalen Telefonanschlusses Prüfroutinen anstoßen können. Er hat keine andere Möglichkeit, sich gegenüber dem System zu legitimieren, als durch Eingabe eines Paßworts, das systembedingt nur aus Ziffern bestehen kann. Einen gewissen Schutz bieten die abgestuften Berechtigungen der Benutzerkennungen im SEPT: nicht jeder darf alles. Insbesondere das Aufschalten auf eine bestehende Verbindung bleibt besonders privilegierten Technikern vorbehalten. Ein weiterer Schutzmechanismus ist die lokal begrenzte Gültigkeit der Zugangskennungen: Sie gelten immer im Umkreis von 40-70 Kilometern um eine Vermittlungsstelle. Wer sich also beispielsweise von München aus auf einen Hamburger Anschluß aufschalten will, benötigt eine für Hamburg gültige Kennung. Wenn ein Angreifer aber erst einmal eine privilegierte Kennung mitsamt Paßwort hat, kann er gezielt jeden Anschluß innerhalb des Gültigkeitsbereichs angreifen und Gespräche aus der Ferne abhören. 5.2.8VermittlungsstellensoftwareEin besonderes Problem stellt die Vermittlungsstellensoftware dar. Wie in Abschnitt beschrieben, ist sie schon Jahrzehnte alt und für einen Einzelnen nicht zu durchschauen. Mit Hilfe eines Mittäters beim Softwarehersteller kann ein Angreifer dafür sorgen, daß in der nächsten Softwareversion ein Hintertürchen eingebaut wird. Er hat gute Chancen, unentdeckt zu bleiben. Denn beim Softwarehersteller und beim Abnehmer15 wird die Software nur getestet, nicht aber verifiziert. Dabei wird geprüft, ob das Verhalten den ETSI-Normen entspricht, auch wenn unzulässige Nachrichten auszuwerten sind. Eine echte Verifikation ist bei dem Umfang und der Struktur der Software auch gar nicht möglich. Wenn das Hintertürchen erst einmal eingebaut ist, muß der Angreifer nur abwarten, bis die Software in den Vermittlungsstellen installiert wurde. Das dauert maximal ein Jahr. Danach stehen dem Angreifer alle Anschlüsse im gesamten Netz zur Verfügung, die an dem manipulierten Vermittlungsstellen-Typ angeschlossen sind. In Deutschland gibt es nur zwei Hersteller von Vermittlungsstellen: Siemens und SEL Alcatel. An welchem Vermittlungsstellen-Typ ein bestimmter (anzugreifender) Anschluß hängt, kann man in T-Online oder durch einen (kostenlosen) Anruf beim Kundenservice16 herausfinden. Der Netzbetreiber gibt dort bereitwillig Auskunft. Wer erst einmal die Vermittlungsstellen unter seine Kontrolle gebracht hat, kann nach Belieben Anschlüsse umkonfigurieren, auf Kosten Anderer telefonieren, Verbindungen überwachen und Gespräche und Datenübertragungen abhören. 5.3Bedeutung für den KundenDie meisten der geschilderten Angriffe haben auch Auswirkungen auf Kunden. Die Betroffenen können abgehört oder ausspioniert werden, aus ihrem Gesprächsverhalten können Profile erstellt werden, Andere können auf ihre Rechnung telefonieren oder ihre ISDN-Anlage lahmlegen. Wenn Computernetze und Telefonanlagen miteinander verbunden sind, ist über das eine Netz ein Angriff auf das andere möglich. 5.3.1Abhören von GesprächenEin Angreifer hat verschiedene Möglichkeiten, die Kommunikation eines ISDN-Teilnehmers abzuhören: Ein Gespräch im ISDN läuft über mehrere Stationen: Vom Endgerät vieradrig über den S0-Bus zum Netzabschluß (NT), von dort zweiadrig über die Teilnehmer-Anschlußleitung zur Vermittlungsstelle. Dort wird es über einen der zahlreichen Nutzkanäle zur nächsten Vermittlungsstelle weitergeleitet. So nähert es sich der Zielvermittlungsstelle. Dort folgt der Weg über die Teilnehmer-Anschlußleitung und den S0-Bus beim Zielteilnehmer. Ein Angreifer hat verschiedene Möglichkeiten, die unterschiedlich aufwendig, erfolgversprechend und weitreichend sind: Er kann den S0-Bus, die Teilnehmeranschlußleitung, Teilnehmerports in den Vermittlungsstellen oder Fernleitungen abhören. Sowohl beim Anrufer als auch beim Angerufenen laufen Gespräche, Faxe und Daten über den S0-Bus. Jeder Bus ist leicht abzuhören, wenn man direkten physikalischen Zugriff auf ihn hat. Man kann einfach ein manipuliertes zusätzliches Endgerät an den Bus anschließen und damit sowohl den D-Kanal als auch die B-Kanäle am Bus abhören. Von einem solchen Angriff ist immer ein einzelner Teilnehmeranschluß betroffen. Die eigentliche Hürde ist der notwendige Zugriff auf den Bus in den Räumen des Teilnehmers. Deshalb ist die Entdeckungsgefahr hier auch recht hoch. Technisch aufwendiger aber auch mit geringerem Entdeckungsrisiko ist das Abhören der Teilnehmer-Anschlußleitung zwischen der Vermittlungsstelle und dem Teilnehmeranschluß. Sie erreicht schnell eine Länge von mehreren Kilometern. An irgendeiner Stelle kann sich der Angreifer mit Hilfe spezieller Hardware auf die Leitung klemmen und gezielt einen der B-Kanäle abhören. Auch hier ist ein einzelner Teilnehmeranschluß betroffen. Der Zugriff auf die Leitung ist relativ leicht. In den Verteilerkästen sind alle Leitungen übersichtlich aufgereiht und beschriftet. Das Entdeckungsrisiko ist gering, so daß ein solcher Angriff über einen längeren Zeitraum möglich ist. Gezielten Zugriff auf alle Teilnehmer einer Vermittlungsstelle hat ein Angreifer, wenn er sich in der Vermittlungsstelle befindet. Hier kommen die Zweidrahtleitungen der Teilnehmer an. Sie werden bei einem Gesprächswunsch mit einer der Fernleitungen verbunden. Allerdings werden die Vermittlungsstellen überwacht. Ein Einbruch ist also immer mit einem hohen Entdeckungsrisiko verbunden. Einem Innentäter sollte es aber gelingen, Manipulationen vorzunehmen. Die Schaltschränke in einer Vermittlungsstelle sind sehr unübersichtlich, so daß eine installierte Zusatzhardware mit hoher Wahrscheinlichkeit eine Weile nicht entdeckt wird. Ein noch größerer Teilnehmerkreis ist abhörbar, wenn sich ein Angreifer auf die Fernleitungen aufschaltet. Sie führen über viele Kilometer quer durch das Land. Ein Angriff kann an einer beliebigen Stelle erfolgen. Hier muß mit Hilfe spezieller Hardware gezielt einer der dreißig Nutzkanäle einer Zweidrahtleitung herausgefiltert werden. Dann kann man das darüber geführte Gespräch abhören. Erheblich leichter lassen sich die Richtfunkstrecken abhören: Ein großer Teil der Telekommunikation wird über weite Strecken per Richtfunk geführt. Irgendwo zwischen Sender und Empfänger kann man eine geeignete Antenne aufstellen und mit Hilfe geeigneter Hardware alle dort übertragenen Gespräche abhören. Um herauszufinden, wer auf der belauschten Leitung gerade mit wem kommuniziert, muß der Angreifer außerdem den dazugehörigen ZGS-7-Kanal finden und analysieren. Auf diese Weise können aber keine Ortsgespräche abgehört werden, denn sie benutzen die Fernleitungen nicht. Hinzu kommt der besondere Schutz der Fernleitungen durch eine Druckluftüberwachung.17 5.3.2Abhören gespeicherter NachrichtenViele Unternehmen benutzen Voice-Mail-Systeme. Die Zugänge zu den Nachrichtenspeichern der einzelnen Teilnehmer sind oft nur mit Standardpaßwörtern abgesichert. In den Speichern können sich sowohl Sprachnachrichten wie in einem herkömmlichen Anrufbeantworter als auch Faxe oder Dateien befinden. Ein Angreifer kann diese Nachrichten abhören, kopieren und weiterverwerten, ohne daß der Angegriffene davon etwas merkt. Für ihn liegen die Nachrichten weiterhin bereit. Wenn der Angreifer sogar über den Administrationszugang zu einer Anlage verfügt, braucht er nicht die einzelnen Paßwörter der Benutzer. Ihm liegen dann alle Nachrichten des gesamten Unternehmens offen. Betroffen sind damit bis zu mehreren tausend Benutzern, je nach Firmengröße. Die Betroffenen merken den Angriff nicht. Er kann sich also über einen längeren Zeitraum erstrecken. Der mögliche Schaden ist dabei nicht unmittelbar meßbar, kann aber sehr groß werden, wenn sich unter den abgehörten Daten Firmengeheimnisse befinden, die in die Hände der Konkurrenz geraten. Für die Sicherheit des Voice-Mail-Systems sind der Betreiber - also das Unternehmen - und die Nutzer - also die Mitarbeiter - verantwortlich. 5.3.3Abhören von RäumenMit Hilfe von ISDN-Telefonen mit Freisprecheinrichtung lassen sich auch Räume abhören, wie in Abschnitt beschrieben. Einem Angreifer muß es gelingen, das Freisprechmikrofon im angegriffenen Telefon zu aktivieren. Dazu hat er verschiedene Möglichkeiten: Unter Umständen bietet eine ISDN-Anlage bereits alles, was er braucht: Das Leistungsmerkmal Direktansprechen. Voraussetzungen sind, daß sich der Angreifer innerhalb der selben ISDN-Anlage befindet wie der Angegriffene, die Berechtigung zum Direktansprechen besitzt und es ihm gelingt, den Aufmerksamkeitston zu unterbinden. Dazu benötigt er Zugriff auf die Anlagenprogrammierung. Wenn er keinen Zugriff auf die Anlage hat, aber in den abzuhörenden Raum gelangen kann, steht ihm folgende Variante offen: Solange niemand im Raum (beispielsweise Konferenzraum) ist, ruft der Angreifer von dort aus einen beliebigen Anschluß innerhalb oder außerhalb der Anlage an und aktiviert Freisprechen. Der Angerufene kann dann den Raum abhören. In beiden Fällen muß der Angreifer aber wenigstens Zutritt zum Gebäude des Angegriffenen haben. Deshalb ist das Entdeckungsrisiko recht hoch und der Angriff nicht beliebig oft wiederholbar. Wenn es einem Angreifer gelingt, das Mikrofon eines Telefons von Außen über geeignete D-Kanal-Befehle zu aktivieren, sind seine Erfolgschancen ungleich höher. Dazu muß er eventuell einmal Zutritt zur Anlage haben, um sie zu manipulieren. 5.3.4Angriffe über den D-KanalWenn ein Angreifer erst einmal eine Vermittlungsstelle unter seiner Kontrolle hat,18 kann er sie veranlassen, auch Teilnehmer anzugreifen: Er läßt geeignete D-Kanal-Nachrichten zu den Teilnehmern schicken, um sie so abzuhören oder ihre ISDN-Anlage zu manipulieren. Die Teilnehmer-Endgeräte trauen den Paketen aus der Vermittlungsstelle blind, so daß ein solcher Angriff gute Erfolgschancen hat. Der Teilnehmer wird davon nichts merken. Auch ohne die Manipulation einer Vermittlungsstelle kann angegriffen werden: Der Angreifer kann sich mit Hilfe spezieller Hardware zwischen Vermittlungsstelle und Teilnehmer auf die Anschlußleitung klemmen und ebenfalls feindliche Pakete zum Teilnehmer schicken. Hierfür benötigt er allerdings eine aufwendigere Hardware als für das Abhören des Teilnehmers auf der Anschlußleitung. 5.3.5Angriffe auf Rechner/RechnernetzeNahezu alle Unternehmen verfügen heute über vernetzte Rechner und über eine ISDN-TK-Anlage. Wenn es Schnittstellen zwischen beiden Systemen gibt, kann ein Angreifer über das eine System kommen und das andere angreifen. Aus Sicherheitsgründen ist das Rechnernetz oft nur lokal erreichbar oder über eine Firewall nach außen abgesichert. Das nützt aber nur wenig, wenn ein Angreifer aus der ganzen Welt in die ISDN-Anlage eindringen kann, und diese eine Verbindung zum Rechnernetz hat. In vielen Arbeitsplatz-PCs sind neben einer Netzwerkkarte auch ein Modem oder eine ISDN-Karte installiert. Sie alle stellen einen potentiellen Übergang zwischen den Systemen und damit eine Schwachstelle dar. In einigen Unternehmen ist es deshalb verboten, eine Modem- und eine Netzwerkverbindung gleichzeitig zu besitzen. Bevor der Anwender sein Modem an die Telefondose anschließt, muß er seine Netzwerkleitung kappen. Ob das in der Praxis geschieht, darf bezweifelt werden. Außerdem kann ein Angreifer über die Modemverbindung Viren in einen Rechner einschleusen, die ihm die gewünschten Daten aus dem Netz zusammentragen und beim nächsten Anruf automatisch übertragen. 5.3.6Telefonieren auf fremde RechnungBisher wurden verschiedene Möglichkeiten beschrieben, auf fremde Rechnung zu telefonieren: Wählautomaten sind kleine Geräte, die auf eine analoge Leitung geklemmt werden und dann selbständig „telefonieren“. Sie werden hauptsächlich für den 0190-Gebührenbetrug benutzt.19 Ein Angreifer im ISDN kann sich auf den S0-Bus eines Teilnehmers aufklemmen. Von dort aus kann er leicht auf dessen Kosten telefonieren. Aber dazu muß er Zugang zu den Räumen des Teilnehmers haben, denn der S0-Bus wird nur zwischen den Endgeräten und dem Netzabschluß beim Teilnehmer verwendet. Dann kann der Angreifer aber genauso gut die Telefone des Teilnehmers benutzen. Statt dessen kann sich ein Angreifer auch auf die Teilnehmer-Anschlußleitung zwischen dem Teilnehmer und der Vermittlungsstelle aufklemmen und auf dessen Kosten telefonieren. Dazu benötigt er Zugriff auf die Leitung und spezielle Hardware. Der Zugriff auf die Leitung ist nicht schwierig, die benötigte Hardware kostet etwa tausend Mark. Damit ist sie bedeutend teurer als für einen vergleichbaren Angriff im analogen Netz. Deshalb wird diese Form des Angriffs keine große Rolle spielen, solange die Zahl der ISDN-Anschlüsse geringer ist als die der analogen Anschlüsse. Auch und gerade im ISDN interessant ist dagegen das Telefonieren über Voice-Mail-Systeme.20 Firmen stellen ihren Außendienstmitarbeitern einen kostenlosen Zugang zum Firmentelefonnetz zur Verfügung. Nach Eingabe ihrer persönlichen Kennung und Geheimzahl können die Anrufer oft auch auf Firmenkosten nach Außen telefonieren. Mit zunehmender Verbreitung großer ISDN-Anlagen mit vielen Komfortmerkmalen wächst auch die Zahl dieser Systeme. Damit werden solche Anlagen auch immer attraktiver für Angreifer. Die Nummern probieren sie aus, spionieren sie an öffentlichen Telefonen oder entnehmen sie weggeworfenen Listen aus den Mülleimern der Unternehmen. Betroffen sind alle Unternehmen, die über eine solche Anlage verfügen. Sie werden in der Regel nicht gezielt ausgewählt, um sie zu schädigen. Vielmehr suchen die Angreifer nach einer Möglichkeit, auf Kosten irgendeiner Firma zu telefonieren. Wenn sie erst einmal einen Zugang gefunden haben, können sie meist ein paar Wochen unbehelligt telefonieren, bis der Betrug auffällt. Nur wenige Unternehmen haben ein Alarmsystem in ihrer Anlage installiert.21 5.4Datenschutzrechtliche Aspekte5.4.1In den VermittlungsstellenVerschiedene ISDN-Leistungsmerkmale bieten Mißbrauchsmöglichkeiten, die datenschutzrechtlich bedenklich sind. Dazu gehören CLIP fest22 und die overwrite-Berechtigung von Notrufabfrageplätzen.23 Ein Angreifer kann durch Manipulation in der Vermittlungsstelle bei einem Teilnehmer die Rufnummern-Übermittlung dauerhaft einschalten. Bei jedem Gespräch, das der Angegriffene führt, sieht der Angerufene dessen Rufnummer. Der Angegriffene weiß davon nichts. Dieser Angriff ist nicht nur im ISDN sondern auch bei allen analogen Anschlüssen an digitalen Vermittlungsstellen möglich. Betroffen ist immer ein einzelner Anschluß. Dem Inhaber entsteht kein unmittelbar meßbarer Schaden. Interessanter ist für einen Angreifer der umgekehrte Fall: Ebenfalls durch Manipulation in der Vermittlungsstelle kann er für seinen eigenen Anschluß die Overwriteberechtigung aktivieren. Dafür benötigt er Zutritt zur Vermittlungsstelle oder einen verbündeten Innentäter. Zutritt zur Vermittlungsstelle ist für Außenstehende praktisch nicht zu bekommen. Aber ein bestechlicher Mitarbeiter des Netzbetreibers könnte die Manipulation vornehmen. Dann sieht der Teilnehmer immer die Rufnummer aller Anrufer, auch wenn diese die Übermittlung unterdrücken. Die Anrufer merken davon nichts. Sie tragen auch keinen unmittelbar meßbaren Schaden davon. Diese Manipulation hat gute Chancen, nie entdeckt zu werden. 5.4.2In ISDN-AnlagenInnerhalb von ISDN-TK-Anlagen stehen weitere Merkmale zur Verfügung, die sich datenschutzrechtlich mißbrauchen lassen. Dazu gehören Rückruf im Freifall und Rückruf im Besetztfall. Beide ermöglichen eine Kontrolle der Mitarbeiter. Der Rückruf im Freifall erlaubt es - in Grenzen - festzustellen, wann jemand an seinem Arbeitsplatz eintrifft. Dazu gehört auch das Wiedereintreffen nach einer Pause. Der Rückruf im Besetztfall erlaubt es, festzustellen, wie lange jemand telefoniert. Doch beide Leistungsmerkmale haben ihre Tücken: Der Rückruf im Freifall zeigt an, wann nach Abwesenheit das erste Gespräch beendet wurde, nicht das Ende der Abwesenheit selbst. Der Rückruf im Besetztfall zeigt an, wann nach dem laufenden Gespräch 15 Sekunden kein neues Gespräch begonnen wurde. Möglicherweise werden hier also Schlüsse gezogen, die falsch und für den Betroffenen nachteilig sind. Da er sich aber dazu nicht äußern kann, ist eine ungerechtfertigte Benachteiligung nicht ausgeschlossen. Hier ist die Aufklärung der Vorgesetzten über die tatsächliche Aussagekraft der so gewonnenen Informationen nötig. Gerade bei größeren ISDN-Anlagen kommt eine weitere Gefahr und Mißbrauchsmöglichkeit hinzu: Es können Gesprächsprofile der Benutzer erstellt werden.24 Die Anlagen speichern gesprächsbezogene Daten zu Abrechnungszwecken für einen gewissen Zeitraum. Wenn ein Unbefugter an diese Informationen herankommt, kann er sie auswerten und mißbrauchen: Aus ihnen lassen sich beispielsweise Geschäftsbeziehungen mit anderen Unternehmen ablesen. Daran könnten Konkurrenzunternehmen interessiert sein. Außerdem können Mitarbeiter erpreßbar werden, wenn ihr privates Kommunikationsverhalten am Firmenanschluß bekannt wird. Die Gesprächsdaten sind also in jedem Fall besonders schützenswert. Der Schutz wird leider oft vernachlässigt, was aber ausschließlich im Verantwortungsbereich des Anlagenbetreibers liegt.
1 GBG, siehe Abschnitt 2 siehe Abschnitt 3 siehe [bsi-94] 4 siehe Abschnitt 5 siehe Abschnitt 6 siehe Abschnitt 7 siehe Abschnitt 8 siehe Abschnitt 9 siehe Kapitel 10 siehe Abschnitt 11 siehe Abschnitt 5.2.8 12 Siemens verwendet ein eigenes, physikalisch getrenntes Netz. 13 siehe Abschnitt 14 siehe Abschnitt 15 Das ist der Netzbetreiber 16 Telefon 01114 17 siehe Abschnitt 5.2.4 18 siehe Abschnitt 5.2.5 19 siehe Abschnitt 5.2.3 20 siehe Abschnitt 21 vgl. [hau96] 22 siehe Abschnitt 23 siehe Abschnitt 24 siehe Abschnitt |
[Contrib]
[Sicherheit im ISDN]
Kapitel 5: Bedeutung der Risiken