Lauschangriffe: So schützen sich Unternehmen beim mobilen Telefonieren
Die Bedrohung durch Wirtschafts- und Industriespionage nimmt drastisch zu. Besonders gefährdet sind vertrauliche Mobiltelefonate zu sensiblen Unternehmensthemen. Warum das so ist u...
Die Bedrohung durch Wirtschafts- und Industriespionage nimmt drastisch zu. Besonders gefährdet sind vertrauliche Mobiltelefonate zu sensiblen Unternehmensthemen. Warum das so ist und welche Gegenmaßnahmen es gibt, erläutert Dr. Hans-Christoph Quelle, Gründer und Gesellschafter-Geschäftsführer von Secusmart.
GIT-SICHERHEIT.de: Mobilfunkgespräche gelten als unsicher, weil sie nicht ausreichend vor Abhöraktionen geschützt sind. Was sind die Ursachen?
Hans-Christoph Quelle: GSM-Mobiltelefonie und mobile VoIP-Telefonate sind gleichermaßen durch Spionage- und Lauschangriffe gefährdet. Als GSM vor rund 25 Jahren entwickelt wurde, waren monopolistische Telefonunternehmen für das Design verantwortlich. Staatliche Institutionen bestimmten über die Zulassung von Verschlüsselungstechnologie im zivilen Umfeld. Einige Jahre war das Know-how rund um GSM auf einen kleinen Kreis von Fachleuten beschränkt. Das galt auch für Sicherheitsfragen. Und ebenso für die zum Abhören verwendete Technik, deren Anschaffungskosten übrigens noch bis vor wenigen Jahren im sechsstelligen Bereich lagen. Diese Hürden bestehen heute nicht mehr. Geeignete Abhörgeräte sind für ein paar Hundert Euro im Internet erhältlich, das dazugehörige Know-how ist frei verfügbar. Mit etwas technischem Geschick lassen sich diese Geräte so umbauen, dass sie anschließend mit kostenloser Software für Lauschangriffe zu nutzen sind. Beim Hacking von VoIP-Telefonaten sieht es etwas anders aus. Die hier bestehenden Angriffsszenarien ähneln denen, die für die mobile Datenkommunikation gelten. Das Gefahrenpotenzial ist daher ähnlich hoch.
Vor welchen Herausforderungen stehen Unternehmen, die vertrauliche Telefonate schützen wollen?
Hans-Christoph Quelle: Die Wirtschaft steht vor der Herausforderung, dass unsichere Smartphones im geschäftlichen Umfeld allgegenwärtig sind. Deshalb befassen sich viele Unternehmen zwar mit mobiler Sicherheit, achten dabei jedoch hauptsächlich auf den Schutz vor Viren oder Trojanern. Die Sicherheit für schutzwürdige Mobiltelefonate wird dagegen immer noch zu wenig beachtet. Das gilt besonders für den Mittelstand. Großunternehmen und Behörden investieren schon länger in einen angemessenen Abhörschutz.
Welche Technologien und Lösungsansätze stehen für den Schutz mobiler Sprachkommunikation heute zur Verfügung?
Hans-Christoph Quelle: Es sind professionelle Verschlüsselungstechnologien gefragt, denn die softwarebasierende Verschlüsselung innerhalb des Smartphone-Betriebssystems kann von erfahrenen Hackern leicht ausgehebelt werden. Die Alternative sind hardwarebasierende, manipulationssichere Verschlüsselungslösungen, deren Schutz durch die Infektion des Smartphones mit Viren oder Malware nicht aufgehoben wird. Wichtig ist hier, dass alle Verschlüsselungsprozesse gekapselt ablaufen. Beispielsweise auf einer microSD-Karte. Genauso wichtig wie die Verschlüsselung sind integrierte Technologien für die eindeutige Authentifizierung von Gesprächspartnern. Nur so kann man sich vor der Manipulation der Teilnehmeridentität schützen. Wichtig ist auch, dass Sicherheitstechnologien für Mobiltelefone die VoIP-Telefonie unterstützen, denn diese Technologie löst GSM schrittweise ab.
Wie sollten Unternehmen konkret vorgehen, um Mobiltelefonate vor Industriespionage zu schützen?
Hans-Christoph Quelle: Wichtig ist zunächst die Analyse, inwiefern ein Unternehmen mit Spionageangriffen rechnen muss. Dieses Risiko kann sehr hoch sein, etwa wenn Hochtechnologieprodukte entwickelt werden. Aber auch Finanzinstitute sind gefährdet. Dann stellt sich die Frage, welche Mitarbeiter von Lauschangriffen betroffen sein könnten. Wer ist in sensiblen Unternehmensbereichen tätig und führt auch auf Geschäftsreisen im Ausland regelmäßig berufliche Mobiltelefonate? Anhand solcher Fragen können Unternehmen ihren Schutzbedarf definieren. Die Anforderungen an eine sichere Mobilkommunikation werden dann in bestehende Sicherheitskonzepte integriert. Bei der Umsetzung des Gesamtkonzeptes kommt es dann darauf an, dass sich der Abhörschutz für Mobiltelefone leicht in die vorhandene IT-Infrastruktur und mit der Festnetzkommunikation integrieren lässt.