Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

02.12.1983 - 

Schutz vor Mißbrauch ist auch Anwendersache:

Btx-Betrug schwierig, aber nicht unmöglich

MÜNCHEN (hh)-Ein bißchen Cleverneß und ein schneller Blick reichen zur Zelt in aller Regel noch aus, um an ein Btx-Paßwort zu kommen. Damit wäre dann schon ein Schritt getan, um sich in einer in Deutschland neuen Betrugssparte betätigen zu können. Experten jedenfalls rechnen in naher Zukunft mit einem starken Ansteigen der Anzahl von "Hackern". Computerfreaks, die sich unbefugt in fremde Systeme einschalten. Den Postbehörden ist dieses Problem bekannt. und die Postingenieure versuchen, so Wolfgang Heidrich vom FTZ kürzlich auf einem Leuro-Seminar in München, mögliche Schlupflöcher schon vor dem Breiteinsatz neuer Postdienste zu verschließen.

Zwei Ziele verfolgen die Beamten nach Aussage der Referatsleiter für Btx-Technik und -Betrieb vom FTZ Darmstadt mit ihren Sicherheitsmaßnahmen. Zum einen sollen die gespeicherten Daten gegen Mißbrauch, Betrug, Manipulation, Mitlesen, Verlust und Verfälschung geschützt werden, zum anderen muß das System an sich gegen kriminelle Handlungen abgesichert werden. Strafbar machen sich Hacker allemal. Für die neuen Dienste der Bundespost gelten dieselben Sicherheitsanforderungen, die für die bestehenden Fernmeldedienste vorgeschrieben sind. Neben den Vorschriften der Betriebssicherung im Fernmeldewesen und postinternen DV-Vorschriften liegen den Sicherheitsvorkehrungen das Fernmeldegeheimnis (Artikel 10 Grundgesetz) und das Bundesdatenschutzgesetz zu Grunde.

Maßnahmen, die der Sicherheit dienen, wurden insbesondere für den Bereich ergriffen, in dem teilnehmerbezogene Eingriffe möglich sind. Dennoch ist sich Heidrich bewußt, daß viele Schutzmaßnahmen über das Stadium der Erprobung noch nicht hinaus sind und auf ihre volle Wirksamkeit erst nach Beginn des Breiteneinsatzes getestet werden können.

Eingerichtet wurde von der Bundespost ein automatischer Rückruf durch die Bildschirmtext-Vermittlungsstelle - er kommt allerdings nur zur Anwendung bei der Einrichtung des Anschlusses und dient lediglich der Überprüfung der richtigen Fernsprechnummer und zum Einlesen der Hardwarekennung in das Btx-System.

Auf diese Kennung der Hardware, von der weder Teilnehmer noch Betreiber auf legalem Wege Kenntnis erlangen können, halten die Postler große Stücke. Die Anschlußbox ist versiegelt, um unberechtigte Eingriffe deutlich zu machen.

Selbstverständlich darf ein Hacker dieses Indentifizierungssignal nicht mit Hilfe einer Induktionsschleife von der Leitung abnehmen.

Im Feldversuch entdeckten die Sicherungsingenieure allerdings, daß auch bei Btx unberechtigtes "Mitlesen" stattfand. Dieses Phänomen ist ähnlich im Fernmeldeverkehr zu beobachten, wo in Spitzenzeiten schon mal "doppelt gehört" werden kann. Durch das Anschalten des Decoders erst nach Einleitung der Identifikation sei dieser Fehlgriff mittlerweile unmöglich geworden.

Bleibt für den Hacker nach Beseitigung dieser Zufallstreffer nur der Weg über Paßwort und Hardwarekennung, um sich unberechtigt in ein System einzuschalten.

Um diesen Weg aber auch noch zu erschweren, haben die Post-Tüftler eine Sperre eingerichtet, die nach dreimaligem Versuch mit falschem Kennwort wirksam wird. Um hier zu einem größtmöglichen Schutz zu kommen, empfiehlt Heidrich den Anwendern, möglichst oft des Paßwort zu ändern. Dieser Wechsel geschieht am Gerät und wird der Post nicht mitgeteilt. Fernmündliche Anfragen sind deshalb Täuschungen, so der Referatsleiter eindringlich.

Darüber hinaus bietet Btx einen besonderen Kontroll-Service. Auf der Begrüßungsseite der Begrüßungsseite erscheint regelmäßig die Angabe der letzten Nutzung von Bildschirmtextdiensten.

Schutzwürdig ist natürlich aber auch das Gesamtsystem, in dem zur ordnungsgemäßen Durchführung des Btx-Verkehrs verschiedene Teilnehmer- und Sitzungsdaten vorätig und gespeichert sein müssen. Hierzu zählt vor allem der Einsatz getrennter Netze für Teilnehmerzugang, -verwaltung und zum Betrieb des Systems. Es bestehen nach Aussage des FTZ-Mitarbeiters keine Querverbindungen.

Ein neuartiges Archivierungsverfahren für den 24-Stunden-Betrieb wurde eingerichtet. Neben einer Doppelung der wesentlichen Rechner- und Systemmodule und einer Zwei-Wegeführung der Leitungen des Netzes "Leitzentrale/Btx-Vermittlungsstelle" hat die Bundespost weitergehende Maßnahmen eingeleitet. So sind auch die Post-Gebäude spezieller geschützt.