TK-Lösungen für Freiberufler...
...aber sicher bitte
Copyright (C) 07/1999 by Howard Fuhs
Gerade kleine Unternehmen und Freiberufler sind heute auf die Flexibilität und Zuverlässigkeit von Telekommunikationslösungen angewiesen, gilt doch schon lange der Grundsatz am Markt "Der Schnelle frißt den Langsamen". Was die Flexibilität von TK-Lösungen anbelangt, dürfte es heute eigentlich kaum noch Klagen geben. Dank der Computertechnologie gibt es die unterschiedlichsten Telekommunikationsdienste und im Rahmen dieser angebotenen Dienstevielfalt noch einmal die unterschiedlichsten Leistungsmerkmale zur Flexibilisierung des einzelnen Dienstes. Alles zusammengenommen ist ein für den einfachen Anwender schier unübersichtliches Telekommunikationspaket. Wie in der Praxis oftmals festgestellt, sind viele Anwender bereits mit der Funktionsvielfalt ihrer ISDN-Anlage überfordert und wissen über die zur Verfügung stehenden Leistungsmerkmale unter ISDN und deren korrekte Anwendung kaum Bescheid. Und ähnliche Beispiele lassen sich beliebig für jede Telekommunikationslösung aufführen. Wenn man also davon ausgeht, dass eine TK-Technologie nur einen gewissen Grad an Sicherheit bieten kann (100%ige Sicherheit kann nie erreicht werden), eröffnet sich aus der Unwissenheit der Anwender gegenüber der Leistungsvielfalt der TK-Dienste eine weitere Sicherheitslücke, die vom Untergrund ausgenutzt werden kann.
Auch zum Untergrund müssen ein paar erklärende Worte geschrieben werden. Wer die Szene seit 1990 beobachtet, konnte in den letzten Jahren einige, teilweise gravierende Wandlungen zur Kenntnis nehmen. Waren es in den frühen Jahren nur die technisch Interessierten, die sich mit der Manipulation von (den wenigen vorhandenen) TK-Diensten befassten, so sind es heute handfeste kommerzielle Interessen, die bei vielen Phreakern im Vordergrund stehen. Nicht gerade wenige verdingen sich im Bereich der Wirtschaftsspionage für kleine wie für große Unternehmen und verdienen dabei mehr als mit "ehrlicher" Arbeit. Einige unrühmliche Ausnahmen sind mittlerweile so groß geworden, dass sie ihre "Dienstleistungen" im Web anbieten.
Doch zurück zu unseren Freiberuflern. Gerade die Klientel von Freiberuflern und kleinen Unternehmen sind sehr anfällig bei Attacken auf ihre technische Sicherheit, und dabei erhöht sich die Wahrscheinlichkeit eines Angriffs, je innovativer das Unternehmen ist. Darüber hinaus kann ein gezielter und erfolgreicher Angriff mittelfristig das Ende für das Unternehmen bedeuten, da ein Angriff nicht rechtzeitig entdeckt wird (wenn überhaupt) und dadurch auch keine geeigneten Gegenmaßnahmen getroffen werden. Meistens sind die Ressourcen und die Kapitalausstattung kleiner Unternehmen nicht in der Lage, ein längerfristiges Überleben zu gewährleisten, wenn ein Katastrophenfall eintritt.
Ein rein hypothetischer Fall?
Eine Maschinenbaufirma im Süddeutschen, 12 Mitarbeiter, entwickelte auf ihrem Fachgebiet ein neuartiges Gerät, welches einigen Mitbewerbern am Markt ernste Probleme bringen würde. Die Entwicklung dieses Geräts war nicht nur sehr kostenintensiv, sondern auch nur deshalb zu bewerkstelligen weil die modernsten Entwicklungs- und Kommunikationsmittel bei dem Entwicklungsprojekt eingesetzt wurden. Noch ahnten die Mitbewerber am Markt nicht, welche Gefahr sich für sie anbahnte, bis ein Phreaker bei einem Scan der gebührenfreien 0130- bzw. 0800-Nummern von einem Computer, der als RAS-Server konfiguriert war, Antwort bekam. Der RAS-Server war sicher konfiguriert, sodass hier keine unmittelbare Gefahr drohte, doch bei dem kurzen und erfolglosen Versuch den RAS-Server zu hacken, fiel dem Angreifer eine interne Telefonnummernliste in die Hände, über die es möglich war sich in das Voice-Mailbox-System des Unternehmens einzuwählen.
Im Unternehmen selbst hatte man sich zwar Gedanken zum Thema Datensicherheit gemacht, dabei jedoch außer acht gelassen, dass heute Daten-, Sprach- und sonstige Telekommunikationsdienste alle in Computern zusammenlaufen. Im Rahmen der Exploration des Voice-Mailbox-Systems durch den Phreaker konnten binnen kurzer Zeit Erkenntnisse gewonnen werden, die für Konkurrenten doch so wertvoll waren, dass sie wohl die angebotenen Dienstleistungen des Phreakers sofort einkauften. Durch das weitere Eindringen in das Voice-Mailbox-System war der Angreifer in der Lage dieses so umzuprogrammieren, dass abgelegte Informationen automatisch per Internet an den Angreifer weitergeleitet wurden. Außerdem konnten wichtige Informationen zur Manipulation der TK-Anlage gewonnen und umgesetzt werden.
Obwohl der Angreifer sich anfänglich nicht in das Computersystem des Unternehmens einschleichen konnte, war es ihm innerhalb weniger Tage möglich, das Unternehmen von Seiten der Telekommunikation unter seine Kontrolle zu bringen und wertvolle Informationen abzuschöpfen. Immerhin war er der Herrscher über die TK-Anlage und das Voice-Mailbox-System. Alle wichtigen Passwörter und Zugangsberechtigungen waren so abgeändert worden, dass der Angreifer darauf Zugriff hatte.
Aufgefallen ist das ganze nur, weil sich das Voice-Mailbox-System in letzter Zeit "so komisch" verhielt und daraufhin Service-Leute vom Hersteller hinzugezogen wurden. Dabei konnten dann die ersten Indizien für eine Manipulation von außerhalb gesichert werden. Doch daraus wurden im Unternehmen keine Konsequenzen gezogen. Erst als am Markt durchsickerte, dass bei einem anderen Unternehmen ein ähnliches Gerät kurz vor der Markteinführung stünde, wurden die Indizien von damals näher untersucht und Ermittlungen ergaben dann den geschilderten Sachverhalt.
Das Problem bei Informationen und Wissen (Knowledge) ist die Tatsache, dass deren Diebstahl nicht notwendigerweise sofort bemerkt werden muss (wenn überhaupt), da Informationen beliebig kopierbar und reproduzierbar sind und an verschiedenen Plätzen gleichzeitig vorhanden sein können. Es handelt sich bei Informationen nicht um ein physisches Gut, dessen Abwesenheit durch Diebstahl sofort offensichtlich ist. Umso problematischer jedoch ist es, wenn die eigene Kommunikationstechnik dazu verwendet werden kann das eigene Unternehmen auszuspionieren.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 07/1999 by Howard Fuhs