G 5.7 Abhören von Leitungen

Nicht nur wegen des geringen Entdeckungsrisikos ist das Abhören von Leitungen eine nicht zu vernachlässigende Gefährdung der Informationssicherheit. Grundsätzlich gibt es keine abhörsicheren Kabel. Lediglich der erforderliche Aufwand zum Abhören unterscheidet die Kabel. Ob eine Leitung tatsächlich abgehört wird, ist nur mit hohem messtechnischen Aufwand feststellbar.

Der Entschluss, eine Leitung abzuhören, wird für den Angreifer im Wesentlichen durch die Frage bestimmt, ob die Informationen den technischen bzw. den finanziellen Aufwand und das Risiko der Entdeckung wert sind. Wie der Angreifer diese Frage beantwortet, ist sehr von seinen individuellen Möglichkeiten und Interessen abhängig. Somit ist es nicht möglich, sicher festzulegen, welche Informationen und damit Leitungen gegebenenfalls abgehört werden könnten.

Teilweise ist das Abhören von Leitungen mit sehr geringem Aufwand möglich. Bei manchen Arten der LAN-Verkabelung kann beispielsweise der Zugang zu einer LAN-Dose ausreichen, um den gesamten Netzverkehr des lokalen Netzes abzuhören. Hat der Angreifer Zugriff auf passive oder aktive Koppelelemente des IT-Netzes, steigt das Angriffsrisiko erheblich. Besonders anfällig gegenüber dem Abhören von Netzverkehr sind drahtlose Netze (Wireless LAN/Funk-LAN, IEEE 802.11), bei denen der Angreifer zudem ein nur sehr geringes Entdeckungsrisiko eingeht.

Auch IT-Bereiche, die in der Regel als sicher angesehen werden, wie beispielsweise Speichernetze auf der Basis von Fibre-Channel-Verbindungen (FC-Verbindungen), unterliegen dem Risiko, abgehört zu werden. Die Vertraulichkeit von FC-Verbindungen wird dabei durch Einsatz sogenannter FC-Analyser gefährdet.

Besonders kritisch ist die ungeschützte Übertragung von Authentisierungsdaten bei Klartextprotokollen wie HTTP, FTP oder telnet, da sich hier die Position der vom Benutzer eingegebenen Daten in den übertragenen Paketen durch die einfache Struktur der Protokolle leicht bestimmen lässt (siehe auch G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen). Eine automatische Analyse solcher Verbindungen lässt sich somit mit geringem Aufwand realisieren.

Mittels Password-Sniffings können in einem ersten Schritt beispielsweise Passwörter bei der Übertragung zu einem System abgefangen werden. Dies erlaubt es dem Angreifer, anschließend auf das IT-System zu gelangen, um in der Folge lokal auf dem Rechner weitere Angriffe durchzuführen.

Beispiele: