Schwachpunkt Netzbetreiber
Bild: REUTERSFür eine erste Bedarfsanalyse bieten Unternehmensinitiativen (sicher-im-netz.de) und Bundeswirtschaftsministerium (ris.ecc-ratgeber.de) kostenlose Fragenkataloge plus Auswertung. Große Sicherheitslücken sind damit leicht aufzuspüren. Einen ausführlichen „Leitfaden IT-Sicherheit“ stellt das Bundesamt für Sicherheit in der Informationstechnik zur Verfügung (bsi.bund.de).
Bild: dpaKlingt banal, wird aber oft vernachlässigt: Virenscanner, Firewalls und Spam-Filter müssen ebenso regelmäßig aktualisiert werden wie Betriebssysteme und Sicherheitssoftware.
Bild: dpaKann man auch außerhalb des Büros auf das Firmennetzwerk zugreifen, müssen sensible Daten geschützt werden. Dazu gehören Zugriffsschutz für Notebooks, Verschlüsselung der Daten, Virenschutz sowie ein sicherer Internet-Zugang. Funkverbindungen wie WLAN und Bluetooth erhöhen das Risiko.
Bild: dpaFür geschäftskritische und personenbezogene Daten ist laut Bundesdatenschutzgesetz ein Sicherungskonzept nötig. Wichtige Unternehmensdaten sollten regelmäßig auf einer Festplatte oder verschlüsselt auf einem externen Server gespeichert werden. Haben in einem Unternehmen mehr als neun Personen Zugriff auf personenbezogene Daten, ist ein Datenschutzbeauftragter nötig.
Bild: APUngeschützt versendete E-Mails lassen sich im Internet einsehen, abfangen und manipulieren – wie traditionelle Postkarten. Verschlüsselung und elektronische Signaturen schützen vor ungewollten Eingriffen. Laut der Initiative DSIN nutzt zurzeit aber nur jeder zweite Mittelständler diese Möglichkeit. Sind E-Mails handels- oder steuerrechtlich relevant, müssen sie fristgemäß archiviert werden.
Bild: REUTERSJeder Mitarbeiter sollte nur auf die Daten zugreifen können, die er für seine Arbeit benötigt.
Bild: dpaDie Einbindung externer Notebooks ins Firmen-Netzwerk oder die Nutzung von USB-Sticks oder CDs sollten technisch eingeschränkt sein. Zu groß ist die Gefahr des Datendiebstahls – und der Virus- Infektion. Alte Datenträger mit vertraulichen Informationen sollten fachgerecht entsorgt werden, damit sie nicht in falsche Hände geraten.
Bild: APDatenschutz hat nicht nur technische Aspekte – er ist Kernaufgabe des Managements. Verantwortlichkeiten von Entscheidern, Datenschutzbeauftragten und IT-Administratoren müssen klar definiert sein. Jedes Unternehmen braucht Sicherheitskonzepte, die laufend aktualisiert werden. Und Verhaltensregeln, die für die gesamte Belegschaft gelten.
Bild: dpaDie Frage nach den Kosten für Datensicherheit variieren je nach Art der zu schützenden Daten, Systeme und Zahl der mobilen Datennutzer innerhalb eines Unternehmensnetzwerks. Grundsätzlich gilt jedoch: Die Kosten für einen möglichst sicheren Datenaustausch sind immer geringer als der Schaden, der durch Datendiebstahl, Datenverlust oder negatives Image entsteht.
Für eine erste Bedarfsanalyse bieten Unternehmensinitiativen (sicher-im-netz.de) und Bundeswirtschaftsministerium (ris.ecc-ratgeber.de) kostenlose Fragenkataloge plus Auswertung. Große Sicherheitslücken sind damit leicht aufzuspüren. Einen ausführlichen „Leitfaden IT-Sicherheit“ stellt das Bundesamt für Sicherheit in der Informationstechnik zur Verfügung (bsi.bund.de).
Das heißt: Jeder Netzbetreiber teilt einem anderen Netzbetreiber vor dem Versand einer SMS mit, in welcher Funkzelle sich der Empfänger gerade aufhält. Die Polizei etwa nutzt diese Daten, um den Aufenthaltsort verdächtiger oder gesuchter Personen festzustellen. Dazu verschicken sie an die Person eine sogenannte stille SMS, die keinen Inhalt hat und im Posteingang nie ankommt, wohl aber die Positionsdaten übermittelt.
Dieses Verfahren lädt förmlich zum Missbrauch ein. „Nicht alle Netzbetreiber in der Welt sind vertrauenswürdig“, heißt es in Sicherheitskreisen. Wer beispielsweise in diktatorisch regierten Ländern Zugriff auf solche Standortdaten erhält, lasse sich nur sehr schwer kontrollieren. In Hackerkreisen kursieren Links zu speziellen Web-Seiten, wo sich der aktuelle Standort eines Handybesitzers nach Eingabe der Handynummer abrufen lassen.
Verfrühte Freude
Eigentlich hätten Nohl und Melette nun keine Probleme, Versicherungsmanager Fischer wie BLG-Chef Aden auch noch abzuhören. Doch auf Fischers Smartphone, einem Samsung Galaxy, treten unerwartet Probleme auf. Mehrere Telefonate zwischen ihm und seiner Sekretärin lassen sich zwar abfangen. Der Versuch, die Zahlkolonnen zu decodieren, scheitert jedoch. Fischers Netzbetreiber Vodafone stößt in Stuttgart offenbar an seine Kapazitätsgrenzen und hat die Zahl der gleichzeitig in einer Funkzelle möglichen Telefonate von 8 auf 16 Gespräche verdoppelt. Dazu muss Vodafone die via Funk übertragenen Gesprächsdaten allerdings stärker als üblich komprimieren. Anstelle des Originaltons erhalten die Hacker dadurch nur unverständliches Kauderwelsch. Für einen Moment wirkt Fischer erleichtert. „So einfach lässt sich mein Smartphone dann ja doch noch nicht abhören“, sagt er.
Doch die Freude ist verfrüht. Mit Fischers Erlaubnis speichern die Hacker die undefinierbare Datei und entschlüsseln sie am nächsten Tag in ihrem Berliner Büro. „Wo verbringen Sie denn Ihre Sommerferien?“, hören sie Fischer einen Gesprächspartner fragen, der gut hörbar antwortet: „Ich fliege mit der Familie für zwei Wochen in die Provence.“
Hallo, Schatz!
Richtig auf die Pelle rücken Nohl und Melette Versicherungsmanager Fischer, indem sie sich noch tiefer in sein Smartphone wühlen. Theoretisch könnten sie mit der Mobilnummer auch Fischers Identität annehmen und damit alles aus dem Netz aufgreifen, was für ihn bestimmt ist. Um Fischer zu schützen, weichen die Hacker jedoch auf ein Handy der WirtschaftsWoche aus. Zehn Minuten später haben sie die Mailbox geknackt und können alle Nachrichten abhören, ohne dass Fischer das merkt. „Hallo, Schatz, ich hoffe, du bist gut in Stuttgart angekommen? Denk bitte daran, dass wir heute Abend ins Kino gehen. Sei bitte rechtzeitig zurück“, sagt eine weibliche Stimme auf dem Redaktionshandy – aber auch auf dem der Hacker.
Möglich sind solche Lauschangriffe, weil die vier deutschen Mobilfunkbetreiber nicht alle Sicherheitsvorkehrungen in ihren Netzen aktivieren, die Missbrauch verhindern. Kein Mobilfunker hat zum Beispiel das kaum zu knackende Verschlüsselungssystem A5/3 eingebaut. Auch andere vergleichsweise simplen Möglichkeiten werden kaum genutzt.
- als Spam melden
- antworten
- als Spam melden
- antworten
- als Spam melden
- antworten
Alle Kommentare lesen20.07.2012, 12:11 UhrRegistrierter Benutzer:schwabl
In diesem Artikel werden mehrere Risken miteinander vermischt dargestellt. Die Themen können getrennt werden in
1) Abhören von GSM, d.h. Cracking der Funkverschlüsselung A5/1
2) Fälschen einer GSM Basisstation (Man-in-the-Middle-Attack) durch den IMSI-Catcher
3) Bösartige Software in Smartphones installieren, die den Benutzer ausspioniert.
Wie kann man sich als Kunde dagegen schützen?
Gegen 1) und 2) Wählen Sie in den Handyeinstellungen 3G/UMTS only, das hat allerdings den Nachteil einer geringeren Netzabdeckung.
Gegen 3) Nutzen Sie Kennwort- und Bildschirmsperre am Smartphone, Achten Sie auf Ihr Smartphone wie auf die eigene Geldbörse und sonst gelten die gleichen Vorsichtsmaßnahmen wie für den eigenen PC. Und deaktivieren Sie die PIN-Eingabe für die SIM-Karte nicht!
20.07.2012, 10:44 UhrAnonymer Benutzer:Havelfischer
Wenn ich mich nicht irre, ist die Lücke, die die beiden demonstrieren eine Schwachstelle im GSM-Protokoll. Also betrifft es nicht alleine Smartphones, sondern alle Handys, die auf GSM funken. Bei UMTS und LTE sollte man (bisher) sicherer sein.
19.07.2012, 17:29 UhrAnonymer Benutzer:Elbsegler
Liebe Redaktion,
die Elbe hat im Hamburger Hafen keinen "Seitenarm"...da müsst Ihr noch besser "ausspionieren"...