Der Wettbewerb hört gerne mal mit - in Gestalt eines Nachrichtendienstes zum Beispiel. Das muss sich vor Augen halten, wer mobil telefoniert. Privatunternehmen und Behörden tun gut daran, dafür zu sorgen, dass Interna nicht zur falschen Zeit an den falschen Adressaten gelangen.
Die Düsseldorfer Firma Secusmart weiß, wie sich Topmanager, Politiker und andere Geheimnisträger vor dem allgegenwärtigen Lauschangriff auf Handy und Festnetz schützen können. Ihre Lösung „Secuvoice" ist für die Geheimhaltungsstufen „VS-NfD" und „Nato Restricted" zugelassen. Matthias Erler von GIT-SICHERHEIT.de sprach mit Dr. Hans-Christoph Quelle, Gründer und Gesellschafter-Geschäftsführer von Secusmart.

Herr Dr. Quelle, das Smartphone ist heute jedermanns engster Begleiter - und als Geheimnisträger interessant für Geheimnisjäger. Wer belauscht hier eigentlich wen?

Hans-Christoph Quelle: Zum einen gibt es die klassischen Angriffsszenarien, an die jeder denkt - dazu gehört auch das legale Abhören der Strafverfolgungsbehörden und der Staaten durch Nachrichtendienste. Gerade Letzteres wird insbesondere in der Industrie nicht selten ausgeklammert. Schlussendlich zählen hierzu aber die - erschwinglichen - Technologien, die es Privaten untereinander erlauben abzuhören.

Wie groß ist diese Gefahr eigentlich? Lässt sich das beziffern?

Hans-Christoph Quelle: Generell ist es so, dass es heute kein klares Feindbild gibt, insofern als es keine Zugangsbeschränkungen zu den Abhörtechniken mehr gibt. Die Angriffsszenarien sind gewissermaßen abstrakter geworden, die Gefahr dafür umso konkreter. Es gibt Studien, etwa von Ernst & Young, die das zeigen. Interessanterweise fühlen sich heute zwei Drittel der befragten Unternehmen abhörmäßig nicht mehr auf der sicheren Seite. Das Bewusstsein für die Gefahr steigt also - aber auch dafür, dass man sich wehren kann, auch weil die finanziellen und technischen Hürden nicht mehr so hoch sind. Die im großen Stil organisierte Arbeit der Geheimdienste basiert ja immer noch auf Sammeln und Auswerten des gesamten Infoflusses des betreffenden Unternehmens.

Allein durch den Einsatz von Verschlüsselungstechniken ist der Schutz dagegen um ein Millionenfaches größer.

Nun gibt es ja verschiedene Angriffsszenarien - über die Luftschnittstelle, im Übertragungsnetz und durch Fälschen einer Rufnummer. Fangen wir doch mal mit der Luftschnittstelle an.

Hans-Christoph Quelle: Führt jemand ein Handy-Telefonat, dann kann man mit der entsprechenden Ausrüstung vor dem Haus stehen und den kompletten Verkehr zwischen der Basisstation, also dem Mobilfunkmast des Anbieters oder Roaminganbieters, und dem Mobiltelefon aus der Luft mitschneiden. Dafür gibt es modifizierte Handys. Das Ergebnis kann man entschlüsseln und auswerten - es gibt aber auch Technologien, mit deren Hilfe man Telefonate live abhören kann. Die Verschlüsselung zwischen Handy und Basisstation ist nicht mehr sicher, sondern mit einfachen Open-Source-Codes zu knacken: Die verwendeten Schlüssel sind alle schon mal vorberechnet worden, sodass ein schneller Rechner in kürzester Zeit alle Schlüssel durchprobieren kann. Darauf kann sich heute jedermann Zugriff verschaffen, also nicht nur die Dienste und die Strafverfolgungsbehörden.

Bleibt noch das Festnetz und das Fälschungsszenario?

Hans-Christoph Quelle: Das Festnetz ist ja völlig unverschlüsselt - sodass das Abhören über Schnittstellen ohne Weiteres möglich ist. Eine ganz andere Art des Ausspionierens, die eher als „Social Engineering" bezeichnet werden kann, ist die Rufnummernfälschung - hier geht es um die Fälschung der Identität. Möglich ist das mit fast jeder Telefonanlage, bei der die zu übermittelnde Rufnummer eingestellt werden kann. Das gilt auch für VOIP-Telefonie: Bei der Anmeldung kann man irgendeine Nummer eintragen. Es gibt sogar Dienstleister, bei denen man Call-by-Call eine Nummer frei wählen kann. Hier ist die Situa­tion die, dass ich angerufen werde und auf der anderen Seite jemand anderen erwarte. In großen Firmen zum Beispiel, in denen man nicht unbedingt jeden anhand der Stimme identifiziert, kann eine angeblich intern vom Controlling kommende Nachfrage nach den Quartalszahlen und anderen Interna also simuliert, sprich gefälscht sein. Bekannte Stimmen lassen sich auch imitieren, wie die Beispiele Ypsilanti und Müntefehring gezeigt haben. Die Sekretärin vertraut der Stimme - und stellt durch. Daraus kann man ableiten, dass Sicherheit aus zwei Dingen besteht: Aus dem reinen Verschlüsseln des Inhalts, sodass niemand die Information selbst abhören kann. Außerdem muss man sicher sein, mit wem genau man spricht.

Sie bieten nun für das verbreitete Smart­phone-Telefonieren eine Lösung an. Worauf basiert diese Lösung?