Feind hört mit! Mangelndes Sicherheitsbewusstsein bei Video-Konferenzen

Ordnungsmerkmale

erschienen in: <kes> 2005#2, Seite 60

Rubrik: Management und Wissen

Schlagwort: Video-Konferenzen

Zusammenfassung: Branchenstimmen beklagen bei Telekommunikation im Allgemeinen und Video-Konferenzen im Besonderen weiterhin eine geringe Bereitschaft zum Einsatz von Sicherheitstechnik.

Autor: Von Manfred Schumacher, Stadecken-Elsheim

Moderne Konferenztechnik spart Geld und Reisezeit und ist in vielen Unternehmen längst Teil des Geschäftsalltags. Doch nur wenige sorgen sich dabei wirklich um die Sicherheit der zum Teil hochsensitiven Informationen, die bei solchen virtuellen Meetings über Telefon, Bildschirm und Leinwand ausgetauscht werden.

Während man Computer und "das Internet" nach unzähligen Schlagzeilen über Hacker- und Viren-Attacken gemeinhin mit einem gewissen Misstrauen beäugt, scheinen Festnetz- und Mobiltelefonanschlüsse sowie Audio- und Videokonferenzen in den Augen der meisten Menschen weiterhin als sicher zu gelten.

Doch auch hier bestehen ständig Abhörgefahren: beginnend bei den fast 30 000 offengelegten Abhöranordnungen deutscher Sicherheitsbehörden allein im vergangenen Jahr 2004, über andauernde Gerüchte um die wirklichen Ausspähziele staatlicher Suchsysteme wie Echelon, Carnivore, Magic Lantern oder Tias, bis hin zur tagtäglich stattfindenden Wirtschaftsspionage und Produktpiraterie, wobei sich in diesem Bereich politische, nationalökonomische und Konzern-Interessen häufig bis zur Unkenntlichkeit vermengen.

Auch neugeschaffene Unternehmens-Abteilungen wie Competitive Intelligence (CI) sollten zur erhöhten Wachsamkeit und Vorsicht mahnen. Wer im CI arbeitet, beschafft gezielt Informationen über Wettbewerber, was noch längst keine Industriespionage sein muss – schließlich gibt es auch reichlich (halb-)offene Quellen. Gleichwohl sollten Unternehmen tunlichst darauf achten, wem man was über welchen Kommunikationskanal erzählt.

Im Endeffekt scheint wohl nicht zuletzt deshalb weithin "alles in Ordnung" zu sein, weil erkannte Ausspähungen, Spionage und gegen das eigene Unternehmen intrigierende Mitarbeiter kein Thema sind, das man in Jahresberichten kundtut oder mit dem man sich um die Gunst von Investoren bemüht. Der Allgemeinheit bleiben solche Vorfälle zumeist verborgen. Auch die Affäre um den ehemaligen Opel-Manager Lopez, die derlei Nicklichkeiten 1996 einmal an die Öffentlichkeit brachte, ist mittlerweile fast vergessen. Dennoch: Bereits 2002 hat die Welt am Sonntag den jährlichen Schaden durch Wirtschaftskriminalität in Deutschland auf 20 Milliarden Euro jährlich geschätzt.

Nichtsdestotrotz überrascht der allenthalben sorglose Umgang mit der Telekommunikationstechnik. Da wird telefoniert und konferiert und allzu schnell neben Banalem und Unverfänglichem über zumeist unverschlüsselte Leitungen allzu oft auch Brisantes und Geheimes ausgeplaudert, im Extremfall inklusive der Blaupause für ein neues Produkt, dessen Entwicklung ein Unternehmen unter Umständen Millionen von Euro gekostet hat.

Wenngleich es mittlerweile am Markt Gerätschaften gibt, die Dritten den unautorisierten Zugang zu übertragenen Informationen verwehren, so scheint dies zu den meisten Geschäftsleitungen und ihren Sicherheitsabteilungen noch nicht durchgedrungen zu sein. Oder man vergisst schlichtweg, die "für besonders kritische Fälle" vorhandene Sicherheitstechnik auch zu aktivieren oder unterlässt dies bei "alltäglichen" Konferenzen aus Bequemlichkeit, wenn es wenige zusätzliche Handgriffe oder Absprachen bedeutet.

Branchenstimmen

Die Anbieter von Telekommunikations-Sicherheitstechnik zeichnen hier jedenfalls ein eher düsteres Stimmungsbild: "Wir verkaufen und vermieten entsprechende Verschlüsselungssysteme", äußert beispielsweise Dr. Wilhelm Mettner, Geschäftsführer des Audio- und Videokonferenzspezialisten Vitec GmbH, Mainz: "Allerdings sind es bislang hauptsächlich sehr sicherheitsbewusste Großunternehmen, die sich solches Equipment anschaffen. Dem Risiko, ausgespäht zu werden, ist aber jeder ausgesetzt, ob groß oder klein, Industrieproduzent oder Dienstleistungsunternehmen."

Dass vorrangig große Konzerne in Verschlüsselungstechnik für Telefonie und Konferenztechnik investieren, bestätigt auch Dr. Norbert Wulst der Dica Technologies GmbH, Dresden, einem Hersteller von ISDN-Verschlüsselungsprodukten. Ob es sich beim einen oder anderen dieser Großanwender um "gebrannte Kinder" handelt, sei dabei unmöglich zu sagen, weil darüber gemeinhin nicht gesprochen werde. Das schafft eine Grauzone, die nicht zuletzt auch die Aufklärungsarbeit von Sicherheitsbeauftragten, Datenschützern und Medien erschwert.

Zudem sorgt die – immerhin nicht mehr wirklich neue – Technik immer noch für Missverständnisse: "Die Unternehmen wiegen sich in einer trügerischen Sicherheit, weil Ton- und Bildsignale digitalisiert übertragen werden. Doch Digitalisierung ist keine Verschlüsselung", kommentiert Wilhelm Mettner den oft blauäugigen Umgang mit moderner Kommunikationstechnik.

"Bei einer Videokonferenz muss ich zwar paar Leitungen mehr als beim Telefonieren erwischen, um ein brauchbares Signal zu bekommen. Aber für einen Fachmann ist das kein Problem", erklärt Ant Bilsev vom Beratungsunternehmen Vtron GmbH, Hofheim. "Aber die Leute sollten erst mal den Blick auf ihr Telefon oder Handy werfen. Die kann jeder Amateurfunker abhören, und darüber werden die prekärsten Dinge besprochen", gibt er zu bedenken. GSM-Handys verschlüsseln zwar bis zur Basisstation, aber "dahinter" liegen dann meist unverschlüsselte Richtfunkstrecken oder "normale" Telefonleitungen.

Das Einhacken und Abhören von Telefongesprächen sei, weil man es hier nur mit einem Kanal zu tun habe, mit ein bisschen Fachkenntnis und einem handelsüblichem Messgerät geradezu ein Kinderspiel – egal ob Analog-Telefon oder ISDN. Das Equipment bekomme man problemlos im Elektronikfachhandel. "Dann klemmt man sich in die Leitung und hört bereits mit. Das Hineinklemmen in die Leitung gelingt ja schon, wenn ich mir einen blauen Kittel anziehe, neben dem Gebäude an der Straße den grauen Kasten öffne und mit wenig Wissen die richtige Leitung finde", meint Norbert Wulst.

Video bleibt belauschbar

Das Abhören einer Videokonferenz ist zwar nicht ganz so einfach, für Experten jedoch eine lösbare Übung. Hier überlagern sich in den Kanälen Bild- und Tonsignale. Das Wissen vorausgesetzt, zu welchem Zeitschlitz ein Bild- oder Tonsignal aufläuft, lassen sich aber auch derart digitalisierte Sequenzen dekodieren. Denn für die Rückübertragung in Analoginformationen gibt es eindeutige Regeln, die beispielsweise im Standard H.323 festgeschrieben sind.

"Wer diese Regeln kennt, kann sich zum Beispiel in seinem Rechner ein entsprechendes Analyseprogramm bauen und diese Rückübersetzung durchführen", so Norbert Wulst. Seiner Einschätzung nach lassen sich ISDN-Verbindungen sogar einfacher abhören als IP-Netzwerke, weil in letzteren der Datenstrom in Pakete aufgeteilt wird, die nicht immer denselben Weg nehmen müssen.

Verschlüsselungsqualität

Und selbst Verschlüsselung ist nicht gleich Verschlüsselung. Jede Lösung sollte zur jeweiligen Anwendung und zum Charakter der schutzwürdigen Informationen passen: So müssen beispielsweise Wirtschaftsgeheimnisse, die sehr viele Entwicklungsdollars kosten und lange viel Umsatz bescheren sollen, deutlich schwerer zu "knacken" sein als eine verhandlungstaktische Hausmitteilung, die sich zwei Stunden nach dem Meeting erledigt hat. Wo beim einen womöglich ein proprietäres Verfahren mit unklarer Sicherheit oder ein 64-Bit-Standardalgorithmus ausreichen, werden bei anderen geheimhaltungswürdigen Informationen längerer und sehr langer "Lebensdauer" mindestens 128 Bit als notwendig erachtet.

Als Faustregel für hinreichende Sicherheit bei langfristig zu schützenden Informationen lassen Kryptographieexperten folgende Feststellung gelten: Der Schlüssel muss so lang sein, dass ein Angreifer, dem 100 Millionen US-Dollar für einen Einbruch zur Verfügung stehen, mit einer Wahrscheinlichkeit unter 1 zu 232 innerhalb eines Jahres in das System eindringen kann, selbst wenn man einen technischen Fortschritt von jährlich 30 Prozent im Betrachtungszeitraum ansetzt.

Doch die Frage nach der besten Verschlüsselungsvariante bleibt akademisch, wenn Geräte, die solche Schutzmechanismen bieten, im Geschäftsalltag nur selten vorhanden sind oder nur stiefmütterlich beim Telefonieren und Konferieren zum Einsatz kommen. Einen Grund dafür sieht Norbert Wulst in der häufig anzutreffenden Kompetenzaufteilung zwischen IT- und Sicherheits-Abteilung: Gebäudeschutz, Raum- und Abhörsicherheit sei zwar generell Sache der ("klassischen") Security-Verantwortlichen, die technische Umsetzung von Sicherheit laufe jedoch partiell über die IT-Stellen, die einen anderen, stark auf Computersysteme und (VPN-)Netzwerke ausgerichteten Fokus hätten. Innerhalb dieser verschiedenen Betrachtungsweisen gegenüber potenzieller Bedrohung bleibe ein Teil der notwendigen Sensitivität für dieses brisante Thema auf der Strecke.

Also bleibt der "Tatort Unternehmen" wohl weiterhin akut. Und solange das Schweigen über Vorfälle die Regel bleibt, werden die bekannt gewordenen Fälle nur die berühmte Spitze des Eisbergs darstellen, was eine angemessene Würdigung dieses Risikofeldes weiter erschwert – von der ohnehin zu erwartenden hohen Dunkelziffer ganz zu schweigen.

Manfred Schumacher ist PR-Berater bei der Girgis & Schumacher GmbH und unterstützt unter anderem die PR-Arbeit der Mainzer Vitec GmbH ([externer Link] www.vitec.de).