Digitale Spionage: Passworttippen ist nicht sicher

Mit einem neuen Verfahren ist es möglich, Passwörter und andere in den Rechner eingegebene Texte aus großer Entfernung auszuspähen. Wissenschaftler warnen vor der Sicherheitslücke.

Eingetippt heisst noch lange nicht sicher. Bild: photocase.de/frankenmarco

Wie sicher ist Kommunikation via PC? Wenn in diesem Zusammenhang heutzutage über den Schutz der Privatsphäre diskutiert wird, geht es vor allem um die Sicherheit des Datenverkehrs zwischen Benutzern. So muss jedem Internet-Nutzer klar sein, dass etwa E-Mails standardmäßig unverschlüsselt durch das Netz wandern und an zentralen Knoten deshalb belauscht werden können. Gleiches gilt für normale Surfaktivitäten. Hinzu kommt, dass der Staat mit Hilfe der Vorratsdatenspeicherung monatelang speichert, wann wer wie lange im Netz war.

Seltener ein Thema ist hingegen die Absicherung des einzelnen Rechners selbst. Forscher an der Lausanner Hochschule EPFL haben nun gezeigt, dass auch dieser Bereich äußerst beachtenswert wäre: Sie zeigten eine Technik, mit der aus den elektromagnetischen Signalen, die beim Tippen auf der Tastatur von Laptops und Schreibtisch-PCs entsteht, der eingegebene Text rekonstruiert werden kann. Die Doktoranden Martin Vuagnoux und Sylvain Pasini aus dem Labor für Sicherheit und Kryptographie testeten insgesamt 11 verschiedene Tastaturmodelle, die entweder per USB-Anschluss oder der älteren PS/2-Schnittstelle am Rechner hingen.

Ein weiterer erfolgreicher Versuch wurde mit in Laptops eingebauten Keyboards gemacht. Bei einer Angriffsform waren die Eingaben noch aus 20 Meter Entfernung problemlos belauschbar, egal ob das Opfer einen Liebesbrief oder ein Passwort tippte.

Die verwendete Technik war eher einfach: Eine simple Funkantenne mit passender PC-Software reichte aus. Die Spionage war so zuverlässig durchführbar, dass Vuagnoux und Pasini Tastaturen anschließend "für nicht sicher zur Übertragung sensibler Informationen" erklärten. Insgesamt vier verschiedene Methoden entwickelten die Forscher, die allesamt auf die elektromagnetischen Signaturen einzelner Tasten setzten. Mit teurerer Technik werde der Ansatz noch genauer.

Die digitale Spionage mit Hilfe elektromagnetischer Verfahren ist schon seit längerem bekannt. So lassen sich insbesondere Röhrenmonitore mit der so genannten "TEMPEST"-Technik über größere Entfernungen belauschen - wurden diese nicht explizit vor Abstrahlungen geschützt, sind mit entsprechend empfindlicher Ausrüstung sogar aus 100 Metern Entfernung noch unerkanntes Ausspähen des Bildschirminhalts möglich. Das Bonner Bundesamt für die Sicherheit in der Informationstechnik empfiehlt deshalb in sensiblen Bereichen nur den Einsatz abgeschirmter Rechentechnik, da auch Verschlüsselung nicht vor solchen Angriffen schützt.

Noch deutlich einfacher können Angreifer die PC-Benutzung aber mit reinen Softwareansätzen belauschen. Dazu wird ein so genannter "Keylogger" über Sicherheitslücken im Internet-Browser, E-Mail-Programm oder dem Betriebssystem auf den Rechner geschmuggelt. Solche kleinen Programme sammeln alle Tastenanschläge oder können sogar vollständige Bildschirmmitschriften an Gauner und Spione schicken, sogar eine Live-Verfolgung ist denkbar. Der so genannte "Bundestrojaner", den Innenminister Schäuble fordert, arbeitet ähnlich. Alternativ existieren Keylogger auch in Form von Hardware: Solche Kästchen werden zwischen Tastatur und PC geschaltet und sind so klein, dass sie vom Opfer nicht wahrgenommen werden. Ihre Daten schicken sie dann entweder per Internet an den Lauscher oder sie werden später einfach wieder abgeholt und ausgelesen.

Eine offizielle Statistik zum Thema Passwortklau über solche Maßnahmen existiert in Deutschland nicht. Das Problem, dass Zugangsdaten für Konten, Online-Spiele oder andere teure Dienste gestohlen und gehandelt werden, hat Experten zufolge aber inzwischen epidemische Ausmaße angenommen. Eines der Hauptprobleme dabei ist die schlechte Absicherung sensibler Bereiche, die lange Zeit selbst Riesen wie die Deutsche Telekom betraf. Deren Kundendatei für den Mobilfunkanbieter T-Mobile mit 30 Millionen Datensätzen soll laut einem Bericht des Spiegel nur mit wenigen Benutzerangaben und einem simplen Passwort geschützt gewesen sein. Die entsprechenden Angaben kursierten daraufhin in einschlägigen Kreisen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de