Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.02.2000 - 

Sicherheit im Netz/Lauschangriffe bescheren finanzielle und Imageverluste

Wenn Fremde Gespräche mithören

Nicht nur die Geheimdienste hören Gespräche ab, auch Wirtschaftsspione hoffen auf ungewollt preisgegebene Geschäftsgeheimnisse. Zwar werden Schäden selten publik, doch Dieter Muernseer* rechnet mit einer hohen Dunkelziffer. Er nennt Gründe für die Unsicherheit der Telefonie in den Unternehmen und Auswahlkriterien für Verschlüsselungsgeräte.

Täglich lesen wir in der Wirtschafts- und Fachpresse über unauthorisierte Lauschangriffe, die sowohl den privaten als auch den wirtschaftlichen Bereich betreffen. Die Resultate sind immer hohe finanzielle und Imageverluste. Nicht nur die größten deutschen Industrie-Vorzeigeunternehmen, sondern alle Firmen, die eine besondere Marktdifferenzierung über ihre Produkte, Preise oder technischen Entwicklungen erreicht haben, gelten als gefährdet. Nur ein Minimum an aktuellen illegalen Handlungen und aktuellen Schäden wird publiziert, weil Vorkommnisse teilweise nicht entdeckt oder aus Angst vor Imageverlust verschwiegen werden. Deshalb ist anzunehmen, dass der deutschen Industrie große Schäden entstehen.

Das Abhören von Telefongesprächen ist ein Weg, sich illegal Zugang zu sensiblen Unternehmensinformationen zu verschaffen. Telefonate und Faxe über pivate oder öffentliche Festnetze, ob von zu Hause oder vom Hotel aus, sowie die Kommunikation über mobile Netze (GSM, Satellit) sind das Ziel ungebetener Zuhörer. Nicht nur die bekannten Nachrichtendienste National Security Agency (NSA) und der Bundesnachrichtendienst (BND) hören mit, sondern inbesondere Personen und Unternehmen, die ausspionierte Informationen zu ihrem Vorteil nutzen wollen. Die Firmen ergreifen jedoch kaum Maßnahmen, um die Telefoniekommunikation für ihre Mitarbeiter "sicher zu machen" beziehungsweise unternehmensinterne, sensible Information zu schützen.

Wo liegt das Problem? Die vielen Befragungen, die sich mit dem Thema IT-Sicherheit beschäftigen, kommen alle zum gleichen Ergebnis: Dass nämlich Unternehmen leichtsinning mit dem Thema Sicherheit umgehen. Von sicherer Telefonie ist selten die Rede - wenn überhaupt.

Natürlich hat jedes Unternehmen in seiner IT-Abteilung Spezialisten. Doch die kümmern sich vorrangig um Datensicherheit oder -integrität und selten um die Integrität des gesprochenen Wortes. Und das, obwohl mehr als 75 Prozent der wesentlichen Informationen mündlich ausgetauscht werden. Man sollte also annehmen, dass dementsprechend auch Mittel in ähnlicher Größenordnung für eine sichere Telefonie zur Verfügung gestellt werden und dem Thema starke Aufmerksamkeit geschenkt wird.

Eine kürzlich durchgeführte Ad-hoc-Befragung von zirka 180 deutschen Unternehmen aus allen Branchen förderte entsprechende Ergebnisse zutage: Für 80 Prozent der Unternehmen war "Sichere Telefonie" kein Thema. Entsprechend existierte auch kein Plan für die Einführung einer Verschlüsselung. Die Gründe dafür waren vielschichtig: 27 Prozent der Unternehmen leben mit einer nicht ungefährlichen Vermutung, nämlich dass über die Telefonie keine sensiblen Informationen übertragen werden. Weitere 27 Prozent gaben an, die Geschäftsleitung sei für dieses Thema nicht aufgeschlossen. Der Rest (46 Prozent) nannte Gründe wie zu hohe Kosten, keine technische Standardisierung, unzureichende Aufklärung in der Presse oder unklare nutzerrechtliche Aspekte von Verschlüsselungstechniken in Deutschland, Europa und den USA.

Um das Thema "Sichere Telefonie" im Unternehmen zu seiner wahren Bedeutung zu verhelfen, fanden die Befragten mehr Presseaufklärung, Standardisierung und intensivere Berichterstattung über aktuell erzeugte Schäden sinnvoll. Uneinigkeit herrschte darüber, wessen Telefongespräche im Unternehmen verschlüsselt werden sollten. 40 Prozent der Befragten sprachen sich für jedermann im Unternehmen aus, 30 Prozent für die Geschäftsleitungs- und Kundengespräche.

Ein Hindernis für eine verschlüsselte Telefonie im Unternehmen dürfte auch in dem hohen organisatorischen und technischen Aufwand für eine verschlüsselte Sprachkommunikation liegen. Zwar sind inzwischen kostengünstige Sprachverschlüsselungsgeräte auf dem Markt, doch finden diese derzeit nur relativ geringen Einsatz, da sie immer nur einen geringen Teil des gesamten Sprachverkehrs abdecken (zum Beispiel eine S2M-Mietleitung oder einzelne Anschlüsse). Größere Telefonanlagen sind generell nicht verschlüsselt, was an den in der Vergangenheit unsicheren rechtlichen Entschlüsselungsanforderungen der Behörden an die Netzbetreiber und Hersteller liegen dürfte.

Strittig waren vor allem die Aufnahme von Gesprächen zur Wiederherstellung oder die Hinterlegung eines Sicherheitsschlüssels an einer zentralen Stelle. Dieses Thema betrifft nicht nur Deutschland, sondern auch die Länder der Europäischen Union (EU). Die EU verfolgt eine Strategie der Hinterlegung eines Schlüssels, damit Strafverfolgungsbehörden im Rahmen ihrer Befugnisse Telefongespräche entschlüsseln können.

Diese Strategie wird von der deutschen Industrie nicht getragen. Hierzulande bestehen derzeit keine Beschränkungen für die Weiterentwicklung und den Einsatz von starken Verschlüsselungsgeräten für den privaten und privat-wirtschaftlichen Bereich. Auch die vom Bundesministerium für Wirtschaft angesprochenen Anforderungen an TK-Anlagen in privaten Netzen wurden nicht eingeführt. Eine Überwachung und Aufzeichnung erfolgt im Einzelfall mittels externer Einrichtungen. Selbst die Bundesregierung hat das grundsätzliche Recht auf den Einsatz von Verschlüsselungstechniken im Sommer 1999 bestätigt.

Jedes europäische Land hat seine eigenen geschriebenen und ungeschriebenen Gesetze und Prozeduren, was den Nutzen, Import und Export von Verschlüsselungsgeräten betrifft. Multinationale Unternehmen tun sich deshalb schwer, eine einheitliche Lösung für interne Sicherheitsmaßnahmen zu implementieren.

Die Verschlüsselung von Sprache ist jedoch die sicherste Art, eine Nachricht für einen unauthorisierten Zuhörer unverständlich zu machen. Andere Methoden wie zum Beispiel Sprachverschleierung, die über eine Frequenzmodulierung erreicht wird, entsprechen weder den Sicherheits- noch den hohen Sprachqualitätsanforderungen der heutigen Zeit.

Preis nicht HauptauswahlkriteriumJedes bestehende Verschlüsselungsverfahren läuft Gefahr, geknackt zu werden. Sobald dieses gelingt, gilt das Verfahren als Risiko. So wurde der Algorithmus DES mit einer Schlüssellänge von 56 Bit im Juli 1998 in nur 56 Stunden entschlüsselt. Dieses Ereignis initiierte eine internationale Ausschreibung, die den Weg zu einem neuen Verschlüsselungs-Algorithmus-Standard - einem Advanced Encryption Standard (AES) - weisen sollte.

Die Vertraulichkeit einer Sprachkommunikation hängt also von dem benutzten Verfahren und der Schlüssellänge ab. Ähnlich wie bei der Auswahl anderer hochtechnischer und unternehmenskritischer Geräte sollte der Preis nicht das Hauptauswahlkriterium bei der Entscheidung für ein bestimmtes Verschlüsselungsgerät sein. Von besonderer Bedeutung sind die Herstellererfahrung mit der Kryptologie sowie die Kundenstruktur des liefernden Unternehmens.

Es gibt bereits eine relativ große Auswahl von Möglichkeiten, die firmeninterne Telefonie selektiv sicher zu gestalten. Eine 100-prozentig sichere Sprachkommunikation ist allerdings weder machbar noch sinnvoll; dies gilt vor allem für größere Unternehmen. Hersteller wie Siemens, Biodata oder Dica Technologies bieten schon heute eine breite Palette von Verschlüsselungsgeräten zu "verträglichen" Preisen an. Durch die Lockerung der Exportbestimmungen anderer Länder, beispielsweise der USA, drängen Produkte ausländischer Unternehmen, etwa von L-3 Communications und Motorola, auf den deutschen Markt.

Verschlüsselungsgeräte sind in verschiedenen Ausführungen zu haben:

(1) Gerät als Zusatz zum Tischtelefonapparat für rund 1500 Mark (zwischen Schnur und Hörer - auch als mobiles Gerät geeignet);

(2) Tischapparat mit eingebauter Verschlüsselung für etwa 1800 Mark;

(3) Geräte für den Netzbereich: S0M-Gerät für um 2000 Mark, und S2M-fähige Geräte für rund 13000 Mark.

Diese Kosten stehen in keinem Verhältnis zu dem potenziellen Schaden, der einer Firma durch ein abgehörtes Gespräch zugefügt werden könnte.

Das Telefon ist das am weitesten verbreitete Kommunikationsmedium weltweit, und ein Telefonat wird zu 80 Prozent über das Festnetz beziehungsweise zu 20 Prozent über den Funkweg vermittelt. Die Angriffsfläche für eine unerlaubte Abhöraktion ist deswegen sehr groß. Die Deutsche Telekom hat zwar Möglichkeiten, ihre Netze effektiver gegen illegale Lauschangriffe zu schützen, doch sind diese nicht durchgehend implementierbar.

Eine illegale Abhöraktion ist kein schwieriges Unterfangen. Siemens hat geschätzt, wie einfach es ist, eine Kupferader-Telefonverbindung im öffentlichen Bereich der Telekom anzuzapfen: Mit ein wenig elekronischem Basiswissen sowie einer Apparatur, die nicht mehr als 850 Mark kostet, sollte es einer Person gelingen, das Telekom-Netz abzuhören.

Sicherheit ist Chefsache und nicht Angelegenheit der IT-Gruppe oder des Datenschutzbeauftragten. Die Geschäftsleitung oder der Vorstand tragen heute mehr Verantwortung denn je gegenüber ihren Mitarbeitern.

*Dieter Muernseer ist Managing Director des Beratungsunternehmens Muernseer Associates GmbH aus München.

Abb.: Geheimdienste vieler Nationen verfügen über die Ausstattung, um in Deutschland Gespräche abzuhören. Quelle: Siemens

Abb.: Bei den meisten Lauschangriffen handelt es sich um Wirtschaftsspionage (73 Prozent).Quelle: BW Int. Sec. und T-Telesec

Abb.: Die Mehrzahl der Firmen nimmt das Thema "Sichere Telefonie" nicht ernst. Quelle: TeV Mitgliederbefragung 6/99