Student konnte nach Einbruch in Funksystem taiwanische Schnellzüge stoppen

Ein 23-jähriger Student nutzte „Software Defined Radio“ und Handfunkgeräte, um vier Schnellzüge per Alarmsignal anzuhalten. Ihm droht nun eine lange Haftstrafe.

1

THSR-Schnellzug in Taiwan

(Bild: Frank Schräer / heise medien)

05:09 Uhr

Lesezeit: 4 Min.

Von

Frank Schräer

In Taiwan ist ein 23-jähriger Student verhaftet worden, der mithilfe von „Software Defined Radio“ (SDR) und verschiedenen Handfunkgeräten eine Alarmmeldung im digitalen Funksystem der dortigen Bahngesellschaft ausgelöst hat. Dadurch wurden vier Schnellzüge automatisch angehalten, was zu Verspätungen von rund einer Dreiviertelstunde geführt hat. Lokale Medien berichten, dass die Behörden nun die Sicherheit des Systems überprüfen, während dem Studenten eine bis zu 10-jährige Haftstrafe droht.

Demnach konnte der Täter in das digitale Funksystem der Bahngesellschaft eindringen. Dieses nutzt den auch hierzulande gebräuchlichen TETRA-Funkstandard für die Verschlüsselung von digitalem Behördenfunk. Bereits 2023 wurden massive Schwachstellen bei TETRA entdeckt (Terrestrial Trunked Radio). Dabei wurde der in Europa entwickelte Funkstandard verdächtigt, eine absichtlich integrierte Lücke zu besitzen, um die Verschlüsselung der Exportversion von TETRA zu schwächen und die Kommunikation einfach abhörbar zu machen.

Funksystem erst abgehört, dann Funkgerät programmiert

Ob der taiwanische Student diese Lücke ausgenutzt hat, ist nicht überliefert. Aber nach Polizeiangaben hat der Student das online gekaufte SDR zwischen Laptop und Antenne geschaltet, um den Bahnfunk abzuhören, die Parameter zu entschlüsseln und diese in eines der Handfunkgeräte zu programmieren. Allerdings soll ihm ein Freund auch einige kritische Parameter des Systems der „Taiwan High Speed Rail“ Corporation (THSR) genannt haben, wie das taiwanische Portal UDN schreibt.

Videos by heise

Damit konnte der Student am Abend des 5. April einen „allgemeinen Alarm“ im THSR-System auslösen, bei TETRA das Signal höchster Priorität. Die vier in der Nähe befindlichen Schnellzüge, die regelmäßig rund 300 km/h erreichen, wurden dadurch automatisch instruiert, eine manuelle Notbremsung durchzuführen. Das führte zu Verspätungen von 48 Minuten, nachdem die Sicherheit der Strecken überprüft und bestätigt werden konnte.

Fragen zur Verschlüsselung des Funksystems

Details der Kompromittierung des THSR-Funks sind unklar oder wurden bislang nicht genannt. Beobachter vermuten aber, dass das TETRA-Funksystem der THSR entweder nicht verschlüsselt war, sodass der Verdächtige ein legitimes Signal vortäuschen konnte. Oder das THSR-Funksystem ist nur oberflächlich verschlüsselt, etwa mit TEA1 (TETRA Encryption Algorithm 1), einem veralteten Stromverschlüsselungsalgorithmus für den digitalen Bündelfunk. Dieser besitzt die seit 2023 bekannten Schwachstellen, sodass der Student dies überwinden konnte.

Die Polizei konnte den Täter anhand von TETRA-Protokollen und Überwachungskameras ausfindig machen. Nachdem das THSR-Kontrollzentrum den ausgelösten Alarm beim Sender per Funk bestätigen wollte, gab die Person widersprüchliche Antworten und schaltete das Funkgerät aus. Eine Überprüfung der THSR-Funkgeräte ergab, dass der Alarm extern ausgelöst wurde, sodass die Polizei informiert wurde. Durch TETRA-Logs konnten die Funksignale lokalisiert werden und Überwachungskameras der Gegend konnten den Studenten identifizieren. Bei der anschließenden Verhaftung und Durchsuchung seiner Mietwohnung wurden neben dem Laptop und dem SDR auch elf Handfunkgeräte sichergestellt.

Vorfall führt zu Untersuchung der Bahnsicherheit

Der Student wurde später gegen eine Kaution von umgerechnet 2700 Euro wieder auf freien Fuß gestellt, aber ihm drohen bis zu zehn Jahre Gefängnis wegen Verstößen gegen das Eisenbahngesetz und das Strafgesetzbuch Taiwans. Seine unmittelbare Erklärung, dass er „es in der Tasche trug und aus Versehen einen Knopf drückte“, scheint wenig überzeugend.

Lesen Sie auch

Software statt teurer Funktechnik: Radioprogramme anhören mit SDR# (SDRSharp),

Software Defined Radio (SDR): Ein Überblick

USB-C-Upgrade für RTL-SDR-Dongles

Jetzt in der Make 3/23: E-Ink-Display fürs Smarthome

LimeSDR Mini: Günstiges Board für Projekte mit Software Defined Radios

Angetestet: SDR-Frontend HackRF

Derweil verspricht das taiwanische Ministerium für Verkehr und Kommunikation einen Bericht, wie die Sicherheit des Kommunikationssystems des Bahnverkehrs nach diesem Vorfall verbessert werden kann. Laut Taipei Times verlangte eine Oppositionspolitikerin im Parlament eine umfassende Sicherheitsüberprüfung des Bahnsystems, „wenn es einem Studenten gelingen konnte, sich in ein so komplexes System wie das der Schnellzüge einzuhacken“. Die Regierung arbeitet nach eigenen Angaben daran und will den Bericht nach Abschluss in rund einem Monat vorlegen.