# taz.de -- Digitale Spionage: Passworttippen ist nicht sicher
       
       > Mit einem neuen Verfahren ist es möglich, Passwörter und andere in den
       > Rechner eingegebene Texte aus großer Entfernung auszuspähen.
       > Wissenschaftler warnen vor der Sicherheitslücke.
       
 (IMG) Bild: Eingetippt heisst noch lange nicht sicher.
       
       Wie sicher ist Kommunikation via PC? Wenn in diesem Zusammenhang heutzutage
       über den Schutz der Privatsphäre diskutiert wird, geht es vor allem um die
       Sicherheit des Datenverkehrs zwischen Benutzern. So muss jedem
       Internet-Nutzer klar sein, dass etwa E-Mails standardmäßig unverschlüsselt
       durch das Netz wandern und an zentralen Knoten deshalb belauscht werden
       können. Gleiches gilt für normale Surfaktivitäten. Hinzu kommt, dass der
       Staat mit Hilfe der Vorratsdatenspeicherung monatelang speichert, wann wer
       wie lange im Netz war.
       
       Seltener ein Thema ist hingegen die Absicherung des einzelnen Rechners
       selbst. Forscher an der Lausanner Hochschule EPFL haben nun gezeigt, dass
       auch dieser Bereich äußerst beachtenswert wäre: Sie zeigten eine Technik,
       mit der aus den elektromagnetischen Signalen, die beim Tippen auf der
       Tastatur von Laptops und Schreibtisch-PCs entsteht, der eingegebene Text
       rekonstruiert werden kann. Die Doktoranden Martin Vuagnoux und Sylvain
       Pasini aus dem Labor für Sicherheit und Kryptographie testeten insgesamt 11
       verschiedene Tastaturmodelle, die entweder per USB-Anschluss oder der
       älteren PS/2-Schnittstelle am Rechner hingen.
       
       Ein weiterer erfolgreicher Versuch wurde mit in Laptops eingebauten
       Keyboards gemacht. Bei einer Angriffsform waren die Eingaben noch aus 20
       Meter Entfernung problemlos belauschbar, egal ob das Opfer einen
       Liebesbrief oder ein Passwort tippte.
       
       Die verwendete Technik war eher einfach: Eine simple Funkantenne mit
       passender PC-Software reichte aus. Die Spionage war so zuverlässig
       durchführbar, dass Vuagnoux und Pasini Tastaturen anschließend "für nicht
       sicher zur Übertragung sensibler Informationen" erklärten. Insgesamt vier
       verschiedene Methoden entwickelten die Forscher, die allesamt auf die
       elektromagnetischen Signaturen einzelner Tasten setzten. Mit teurerer
       Technik werde der Ansatz noch genauer.
       
       Die digitale Spionage mit Hilfe elektromagnetischer Verfahren ist schon
       seit längerem bekannt. So lassen sich insbesondere Röhrenmonitore mit der
       so genannten "TEMPEST"-Technik über größere Entfernungen belauschen -
       wurden diese nicht explizit vor Abstrahlungen geschützt, sind mit
       entsprechend empfindlicher Ausrüstung sogar aus 100 Metern Entfernung noch
       unerkanntes Ausspähen des Bildschirminhalts möglich. Das Bonner Bundesamt
       für die Sicherheit in der Informationstechnik empfiehlt deshalb in
       sensiblen Bereichen nur den Einsatz abgeschirmter Rechentechnik, da auch
       Verschlüsselung nicht vor solchen Angriffen schützt.
       
       Noch deutlich einfacher können Angreifer die PC-Benutzung aber mit reinen
       Softwareansätzen belauschen. Dazu wird ein so genannter "Keylogger" über
       Sicherheitslücken im Internet-Browser, E-Mail-Programm oder dem
       Betriebssystem auf den Rechner geschmuggelt. Solche kleinen Programme
       sammeln alle Tastenanschläge oder können sogar vollständige
       Bildschirmmitschriften an Gauner und Spione schicken, sogar eine
       Live-Verfolgung ist denkbar. Der so genannte "Bundestrojaner", den
       Innenminister Schäuble fordert, arbeitet ähnlich. Alternativ existieren
       Keylogger auch in Form von Hardware: Solche Kästchen werden zwischen
       Tastatur und PC geschaltet und sind so klein, dass sie vom Opfer nicht
       wahrgenommen werden. Ihre Daten schicken sie dann entweder per Internet an
       den Lauscher oder sie werden später einfach wieder abgeholt und ausgelesen.
       
       Eine offizielle Statistik zum Thema Passwortklau über solche Maßnahmen
       existiert in Deutschland nicht. Das Problem, dass Zugangsdaten für Konten,
       Online-Spiele oder andere teure Dienste gestohlen und gehandelt werden, hat
       Experten zufolge aber inzwischen epidemische Ausmaße angenommen. Eines der
       Hauptprobleme dabei ist die schlechte Absicherung sensibler Bereiche, die
       lange Zeit selbst Riesen wie die Deutsche Telekom betraf. Deren Kundendatei
       für den Mobilfunkanbieter T-Mobile mit 30 Millionen Datensätzen soll laut
       einem Bericht des Spiegel nur mit wenigen Benutzerangaben und einem simplen
       Passwort geschützt gewesen sein. Die entsprechenden Angaben kursierten
       daraufhin in einschlägigen Kreisen.
       
       22 Oct 2008
       
       ## AUTOREN
       
 (DIR) Ben Schwan
       
       ## TAGS
       
 (DIR) Keylogger
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Überwachung von Arbeitnehmern: Keylogger nur bei konkretem Verdacht
       
       Tastatureingaben von Mitarbeitern dürfen nicht grundlos und heimlich
       aufgezeichnet werden. So hat das Bundesarbeitsgericht entschieden.