Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

TK-Lösungen für Freiberufler...

...aber sicher bitte

Copyright (C) 07/1999 by Howard Fuhs


Gerade kleine Unternehmen und Freiberufler sind heute auf die Flexibilität und Zuverlässigkeit von Telekommunikationslösungen angewiesen, gilt doch schon lange der Grundsatz am Markt "Der Schnelle frißt den Langsamen". Was die Flexibilität von TK-Lösungen anbelangt, dürfte es heute eigentlich kaum noch Klagen geben. Dank der Computertechnologie gibt es die unterschiedlichsten Telekommunikationsdienste und im Rahmen dieser angebotenen Dienstevielfalt noch einmal die unterschiedlichsten Leistungsmerkmale zur Flexibilisierung des einzelnen Dienstes. Alles zusammengenommen ist ein für den einfachen Anwender schier unübersichtliches Telekommunikationspaket. Wie in der Praxis oftmals festgestellt, sind viele Anwender bereits mit der Funktionsvielfalt ihrer ISDN-Anlage überfordert und wissen über die zur Verfügung stehenden Leistungsmerkmale unter ISDN und deren korrekte Anwendung kaum Bescheid. Und ähnliche Beispiele lassen sich beliebig für jede Telekommunikationslösung aufführen. Wenn man also davon ausgeht, dass eine TK-Technologie nur einen gewissen Grad an Sicherheit bieten kann (100%ige Sicherheit kann nie erreicht werden), eröffnet sich aus der Unwissenheit der Anwender gegenüber der Leistungsvielfalt der TK-Dienste eine weitere Sicherheitslücke, die vom Untergrund ausgenutzt werden kann.

Auch zum Untergrund müssen ein paar erklärende Worte geschrieben werden. Wer die Szene seit 1990 beobachtet, konnte in den letzten Jahren einige, teilweise gravierende Wandlungen zur Kenntnis nehmen. Waren es in den frühen Jahren nur die technisch Interessierten, die sich mit der Manipulation von (den wenigen vorhandenen) TK-Diensten befassten, so sind es heute handfeste kommerzielle Interessen, die bei vielen Phreakern im Vordergrund stehen. Nicht gerade wenige verdingen sich im Bereich der Wirtschaftsspionage für kleine wie für große Unternehmen und verdienen dabei mehr als mit "ehrlicher" Arbeit. Einige unrühmliche Ausnahmen sind mittlerweile so groß geworden, dass sie ihre "Dienstleistungen" im Web anbieten.

Doch zurück zu unseren Freiberuflern. Gerade die Klientel von Freiberuflern und kleinen Unternehmen sind sehr anfällig bei Attacken auf ihre technische Sicherheit, und dabei erhöht sich die Wahrscheinlichkeit eines Angriffs, je innovativer das Unternehmen ist. Darüber hinaus kann ein gezielter und erfolgreicher Angriff mittelfristig das Ende für das Unternehmen bedeuten, da ein Angriff nicht rechtzeitig entdeckt wird (wenn überhaupt) und dadurch auch keine geeigneten Gegenmaßnahmen getroffen werden. Meistens sind die Ressourcen und die Kapitalausstattung kleiner Unternehmen nicht in der Lage, ein längerfristiges Überleben zu gewährleisten, wenn ein Katastrophenfall eintritt.

Ein rein hypothetischer Fall?
Eine Maschinenbaufirma im Süddeutschen, 12 Mitarbeiter, entwickelte auf ihrem Fachgebiet ein neuartiges Gerät, welches einigen Mitbewerbern am Markt ernste Probleme bringen würde. Die Entwicklung dieses Geräts war nicht nur sehr kostenintensiv, sondern auch nur deshalb zu bewerkstelligen weil die modernsten Entwicklungs- und Kommunikationsmittel bei dem Entwicklungsprojekt eingesetzt wurden. Noch ahnten die Mitbewerber am Markt nicht, welche Gefahr sich für sie anbahnte, bis ein Phreaker bei einem Scan der gebührenfreien 0130- bzw. 0800-Nummern von einem Computer, der als RAS-Server konfiguriert war, Antwort bekam. Der RAS-Server war sicher konfiguriert, sodass hier keine unmittelbare Gefahr drohte, doch bei dem kurzen und erfolglosen Versuch den RAS-Server zu hacken, fiel dem Angreifer eine interne Telefonnummernliste in die Hände, über die es möglich war sich in das Voice-Mailbox-System des Unternehmens einzuwählen.

Im Unternehmen selbst hatte man sich zwar Gedanken zum Thema Datensicherheit gemacht, dabei jedoch außer acht gelassen, dass heute Daten-, Sprach- und sonstige Telekommunikationsdienste alle in Computern zusammenlaufen. Im Rahmen der Exploration des Voice-Mailbox-Systems durch den Phreaker konnten binnen kurzer Zeit Erkenntnisse gewonnen werden, die für Konkurrenten doch so wertvoll waren, dass sie wohl die angebotenen Dienstleistungen des Phreakers sofort einkauften. Durch das weitere Eindringen in das Voice-Mailbox-System war der Angreifer in der Lage dieses so umzuprogrammieren, dass abgelegte Informationen automatisch per Internet an den Angreifer weitergeleitet wurden. Außerdem konnten wichtige Informationen zur Manipulation der TK-Anlage gewonnen und umgesetzt werden.

Obwohl der Angreifer sich anfänglich nicht in das Computersystem des Unternehmens einschleichen konnte, war es ihm innerhalb weniger Tage möglich, das Unternehmen von Seiten der Telekommunikation unter seine Kontrolle zu bringen und wertvolle Informationen abzuschöpfen. Immerhin war er der Herrscher über die TK-Anlage und das Voice-Mailbox-System. Alle wichtigen Passwörter und Zugangsberechtigungen waren so abgeändert worden, dass der Angreifer darauf Zugriff hatte.

Aufgefallen ist das ganze nur, weil sich das Voice-Mailbox-System in letzter Zeit "so komisch" verhielt und daraufhin Service-Leute vom Hersteller hinzugezogen wurden. Dabei konnten dann die ersten Indizien für eine Manipulation von außerhalb gesichert werden. Doch daraus wurden im Unternehmen keine Konsequenzen gezogen. Erst als am Markt durchsickerte, dass bei einem anderen Unternehmen ein ähnliches Gerät kurz vor der Markteinführung stünde, wurden die Indizien von damals näher untersucht und Ermittlungen ergaben dann den geschilderten Sachverhalt.

Das Problem bei Informationen und Wissen (Knowledge) ist die Tatsache, dass deren Diebstahl nicht notwendigerweise sofort bemerkt werden muss (wenn überhaupt), da Informationen beliebig kopierbar und reproduzierbar sind und an verschiedenen Plätzen gleichzeitig vorhanden sein können. Es handelt sich bei Informationen nicht um ein physisches Gut, dessen Abwesenheit durch Diebstahl sofort offensichtlich ist. Umso problematischer jedoch ist es, wenn die eigene Kommunikationstechnik dazu verwendet werden kann das eigene Unternehmen auszuspionieren.


Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 07/1999 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!

 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher