zurück zum Artikel

Stefan Krempl sprach mit dem Sicherheitsberater Hans-Georg Wolf über seine Erfahrungen im Umgang mit den Geheimdiensten und über die Spielarten der Wirtschaftsspionage.

Seine Einblicke in das Milieu der Geheimdienste hat Hans-Georg Wolf vor allem während seiner Arbeit für das DDR-Außenministerium gewonnen. Als er 1986 die Lohnbuchhaltungen der Botschaften des Arbeiter- und Bauernstaates auf EDV umstellen sollte, war den Ost-Geheimdiensten die weithin meßbare Abstrahlung der Robotron-PCs ein Dorn im Auge. Wolf und seiner Mannschaft wurde daher die zusätzliche Aufgabe übertragen, die Strahlenmaschinen abzuschirmen. Statt auf die üblichen Tempest-Schutzschilder auszuweichen, entwickelte der Techniker damals einen kleinen Störsender, der die Originalstrahlen der Geräte mit zufallsgesteuerten Störssignalen überlagert und potentiellen Lauschern so ein Schnippchen schlägt. Unter den Namen `SecuDat´ oder `Data Safety Device´ vertreibt Wolf bis heute eine fortentwickelte Version dieser Sicherheitstechnik, deren genaue Arbeitsweise er nicht verrät. Das Bundesamt für Sicherheit in der Informationstechnik hat die Geräte 1996 getestet und ihnen gute Schutzeigenschaften zugeschrieben. Für offizielle Verschlußsachen verweigerte das Amt allerdings die Zulassung. Wolf hofft nun auf Kunden im Bankenmilieu, da auch an Geldautomaten PINs und EC-Kartendaten `entweichen´.

c't: Fast täglich gibt es neue Berichte über Lauschangriffe von Geheimdiensten auf Unternehmen. Wird unsere Kommunikation bis ins letzte Bit hinein abgehört, oder durchlebt die Gesellschaft auf dem Weg ins digitale Zeitalter ihre größte Paranoia?

Wolf: Von Paranoia kann keine Rede sein. Geheimdienste sind genauso aktiv wie zu Zeiten des Ost-West-Konflikts. Es ging dabei zunächst um die Weiterführung der eigenen Budgets, von denen niemand etwas abgeben wollte. Die Targets der Geheimdienste haben sich aber verschoben und teilweise verändert. Man braucht ja nur die Politiker zu fragen - die wissen genau, daß im Bereich Wirtschaftsspionage immer mehr läuft, da sich Nachrichtendienste umorientieren auf die Beschaffung von Wirtschaftsinformationen und die Möglichkeiten ihrer Verwertung. Die ausländischen Staatschefs verheimlichen auch nicht - da können wir Jelzin nehmen, Clinton oder seinen Vorgänger, wen wir wollen -, daß Wirtschaftsspionage für ihre Länder höchste Priorität hat. Nur in Deutschland wird immer so getan, als ob der Geheimdienst ganz andere Aufgaben habe. Es gibt aber Analogien, was die Arbeit der Geheimdienste anbelangt, und was in einem Land gemacht wird, passiert natürlich auch in anderen. Wir kennen das aus den eigenen, hausgemachten Skandalen hier in Deutschland.

Auf jeden Fall muß man davon ausgehen, daß Nachrichtendienste wirtschaftliche Spionage betreiben und daß in Betrieben oft leichtfertig mit der Konzernsicherheit umgegangen wird. Sie können den österreichischen Datenschutzbeauftragten konsultieren - er wird Ihnen sagen, daß er es jedem Unternehmen in seinem Lande nahelegt, mit kooperierenden Firmen in Deutschland keine Daten online auszutauschen, weil eine solche Kommunikation hierzulande nicht gesichert abläuft. Deutschland wird international in vielen Bereichen als weiße Fläche im Sicherheitsatlas der Welt betrachtet, zusammen mit ein paar anderen Ländern in der Europäischen Union. Nachteilig wirken sich dabei oft Regularien aus den Zeiten des kalten Krieges aus. Um daran etwas zu ändern, muß man die Tippel-Tappel-Tour zum Innenministerium antreten, und es dauert Jahre, bis sich etwas tut. Inzwischen sind die bedrohten Industriezweige nur partiell mit Schutz ausgestattet.

Vielen Betrieben, die nicht mit militärischen und von Staats wegen geheimen Daten umgehen, ist es ja freigestellt, wie sie sich schützen. Die meisten kommen aber wegen bürokratischer Ausschreibungsverfahren gar nicht an die notwendige Technik heran, da ihre Kommunikationsbelange nicht als relevant schutzbedürftig gelten. Es geht dabei wohlgemerkt nicht nur um Verschlüsselungssoftware, sondern um Technik für Gesamtkonzepte gegen Lauschangriffe. Dadurch ist natürlich ein Großteil der deutschen Wirtschaft stark benachteiligt. Ausnahmen sind nur einzelne Unternehmen, die sich finanziell stark machen und nachrüsten in allem, was die Computersicherheit im weitesten Sinne und auch die entsprechende Gestaltung rund um die Rechner betrifft. Und da hilft es nichts, wenn man sich ein IT-Sicherheitshandbuch für 50 oder 100 Mark kauft und die dort genannten Ratschläge befolgt. Die greifen in der Regel zu kurz.

c't: Liegen die Fehler im System? Wird in Deutschland den Geheimdiensten anderer Länder die Arbeit zu leicht gemacht?

Wolf: Wenn Sie über geheimdienstliche Tätigkeiten nachdenken, werden Sie schnell feststellen, daß der Mensch immer noch die beste Kraft ist, die einem Informationssammler dienen kann. Aber nicht immer ist er für die Dienste ansprechbar. Deshalb werden beliebig greifbare Informationen - zum Beispiel aus dem persönlichen Bereich eines Menschen, kleine Eitelkeiten und so - für die Erpressung benutzt. Nehmen Sie eine Stadt - das soll jetzt kein Patentrezept sein - wie Friedrichshafen. Diese Stadt lebt bekanntlich von der Rüstungsindustrie, und fast alle Ärzte haben Klientel in einem der Konzerne. Sie setzen sich also dort vor ein Arzthaus und hören ab. Sie erfahren die Namen, wie viele Personen von einem Patienten noch abhängig sind oder Ergebnisse der Anamnese. Das ergibt oft einen interessanten Werdegang. Mit diesen Daten können Sie viele erpreßbar machen, egal ob es wechselnder Geschlechtsverkehr ist, Schizophrenie bei den Großeltern oder Aids.

Der Datenschutz im Gesundheitswesen steht zwar in Deutschland auf dem Papier, wird aber in den Praxen kaum umgesetzt. Das fängt bei den Karteikästen an, die eigentlich aus Metall und verschließbar sein müßten. Angeboten werden aber meist Holzmöbel, in die Akten einfach eingehängt werden. Von der Computersicherheit ganz zu schweigen: In Deutschland gibt es meines Wissens nach etwa 250 000 niedergelassene Ärzte, und die schützen ihre elektronischen Daten kaum. Wir haben eine Recherche gemacht für ein Expertensystem zur Diagnose einer bestimmten Patientengruppe, das bei über 200 000 Ärzten eingesetzt werden könnte. Dieses System, bei dem die gesamte Kommunikation bis hin zu Faxen zwischen Praxis und Labor verschlüsselt ablaufen sollte, hätte für die Krankenkassen im Jahr eine Einsparung von rund zwei Millionen Mark gebracht. Doch keiner ist bereit, die Implementierungskosten, die über vier bis fünf Jahre abgeschrieben werden könnten und pro Arzt im Jahr mit 350 Mark zu Buche schlagen würden, zu tragen. Und das System wäre anschließend sogar europaweit einsetzbar gewesen. In Deutschland ist es aber generell sehr schwer, etwas auf dem Gebiet des praktischen Datenschutzes zu erreichen. Die Nachfrage aus anderen Ländern nach Schutztechniken wird dagegen von Jahr zu Jahr stärker.

c't: Welchen Umfang hat die Wirtschaftsspionage angenommen?

Wolf: Wer damit sein Geld verdienen will, wird reich. Und es gibt hohe Verwertungsraten, wenn er es gut macht, unter Einsatz aller Mittel, die zur Verfügung stehen. Das fängt an bei den trivialsten Methoden und geht bis hin zum hochintelligenten Technikeinsatz, aber da scheidet sich dann schon die Spreu vom Weizen. Objektsicherung, die ein Gebäude auf Abhöranlagen überprüft, wird daher immer stärker nachgefragt und von staatlichen Stellen, privaten oder auch halbstaatlichen Unternehmen wie der Deutschen Post durchgeführt. Es ist aber letztlich immer eine zweischneidige Sache, wenn man diese Aufgabe extern vergibt, denn selbst ein freier Sicherheitsberater kann oft Wanzen, die von Staats wegen implementiert worden sind, nicht entfernen. Da würde er gegen Hoheitsrechte verstoßen - und solche Fälle hat es bereits gegeben. Man muß sich also fragen, inwieweit man überhaupt sicher beraten wird oder inwieweit ich mir möglichst privat oder in der eigenen Firma Fähigkeiten zur Objektsicherung aneigne.

c't: Welche Angriffe kann man am schwierigsten verhindern?

Wolf: Wogegen auch die beste Wanzensuche nichts hilft, ist das `Abhören´ kompromittierender Abstrahlung, das Abhören von Monitorstrahlung oder anderen elektromagnetischen Impulsen. Gehen Sie davon aus, daß es jährlich mehrere hundert Versuche gibt im deutschen Raum, diese Abstrahlungen zur Informationssammlung zu nutzen. Dazu zähle ich auch Versuche, die Chiffriertechniken ausländischer Botschaften abzuhören und deren Informationen an ihre Heimat zu kontrollieren und gegebenenfalls entsprechend darauf zu reagieren. Zum Beispiel war 1986 hier in Deutschland eine Liste des polnischen Geheimdienstes mit rund 180 Adressen aufgetaucht, an denen man am besten abhören kann. Bekannt sind außerdem Fälle bei Versicherungsanstalten, so zu lauschen. Aufgeflogen ist auch die langjährige Abhörung eines holländischen Handelsunternehmens durch den sowjetischen Geheimdienst, die zur Folge hatte, daß Konkurrenten aus dem Ostblock immer die Preise dieser Firma genau unterbieten konnten - bis ein aufwendiger Abstrahlungsschutz installiert war, bei dem sogar die Stuckdekoration nachträglich wieder angebracht wurde.

Und das sind alles passive Angriffe, die keine Spuren, keine Fingerabdrücke hinterlassen. Nur wenn Geschädigte Entwicklungen um sie herum nicht mehr einordnen können, werden sie aufmerksam. In der Schweiz hatten wir beispielsweise bei einem Unternehmen ein Schutzgerät implementiert, und jedesmal, wenn unser Gerät lief, entstand auf der anderen Straßenseite Unruhe. Wir haben dann zunächst eine getürkte Software auf den Firmencomputern laufen lassen - und schon beruhigten sich die `Nachbarn´ wieder, bis das ganze Chaos bei Einsatz unseres Störgeräts wieder von vorne losging.

c't: Ihr Geschäft boomt also, nehme ich an?

Wolf: Ich werde momentan sehr viel angefragt von deutschen und ausländischen Großkonzernen, was auch mit dem Jahr-2000-Problem zu tun hat: Viele Unternehmen tauschen ganze Rechnersysteme aus und wissen dann überhaupt nicht mehr, welchen Abstrahlungsschutz sie noch haben. In der Regel frage ich dann ab: `Was für Hardware haben Sie? Welche Software nutzen Sie?´, und dann simulieren wir diese Systeme hier in unserer Berliner Zentrale. Dort können wir ausschließen, daß wir neben den Computern andere, ähnliche Frequenzen abstrahlende Geräte auf Abhörmöglichkeiten testen. Diese Gefahr der Verfälschung der Ergebnisse besteht ja sonst immer. Öffentlich höre ich dagegen nur `mich selber´ ab, da ich ja sonst ein Offizialdelikt begehen würde. Deswegen werden Sie auch nie von einem Sicherheitsexperten hören, was er wie wo getestet hat.

Nachweisen kann ich Ihnen aber 93 Abhöranlagen zur Erfassung kompromittierender Abstrahlung in der westlichen Hemisphäre. In Großbritannien wurden solche Abhörgeräte in den 80er Jahren gebaut, zwölf Geräte für je 25 000 Pfund. Davon sind allein fünf Geräte an den Golfclub von Hongkong gegangen, ein anderes Gerät befindet sich an der Universität Cambridge. Als die französische Armee nach der Wiedervereinigung abzog, hat sie außerdem 50 Meßempfänger für Computerabstrahlungen `schrottweise´ verkauft, für einen Preis von je 50 Mark. Keiner weiß genau, wer damals zugeschlagen hat. Die Technik ist also vorhanden, im Prinzip können Sie sogar mit jedem besserem Spektrumanalyzer und entsprechender Zusatzausrüstung arbeiten.

c't: Wer ist hauptsächlich an solchen Techniken interessiert?

Wolf: Jeder Lauscher, der nicht mit normalen Mitteln ein Netz knacken kann, wird sicher über den Weg der Messung der Tastaturabstrahlung gehen. Ist ein Rechner in einem Netzwerk, gibt es natürlich die bekannten Hackertools und Sniffer, mit denen sich Paßwörter abhören lassen. Aber es gibt nach wie vor viele Rechner im Stand-alone-Betrieb. Auch an Algorithmen, mit denen Daten auf Festplatten verschlüsselt werden, kommt ein normaler Hacker aus dem Netz nur schwer ran. Wer Monitorabstrahlung abhören will, sitzt natürlich nicht stundenlang vor einem Gerät, um eine bestimmte Seite zu sehen. Mit der digitalen Technik ist es heute möglich, Bildschirminhalte jeweils nach Eingabe einer bestimmten Zeichenmenge komprimiert und nach einer Differenzabgleichung mit bereits gesammelten Daten abzuspeichern und auszuwerten. So lassen sich gezielt Veränderungen in vorgefertigten Formularen abhören oder nur neue Dateneingaben bei längeren Texten.

Nehmen Sie etwa ein Notarbüro. Viele Verträge sind dort als Formulare auf den Rechnern. Mit Hilfe der digitalen Abhörtechnik lassen sich nun jeweils die Inhalte der Neuverträge übertragen. Und wenn ein Lauscher so erfährt, daß eine Ackerfläche demnächst als Baufläche ausgewiesen wird, hat er einen spekulativen Gewinn. Ähnlich ist es bei Wissenschaftlern, die einen Großteil ihrer Arbeit ja zu Hause erledigen. Hier kann man verfolgen, welchen Fortgang eine Arbeit nimmt und wann eventuell eine Patentanmeldung ansteht. Viele Firmen legen wert auf solche Ergebnisse, aber natürlich auch die Geheimdienste. Bedenkt man, daß diese ihre Informationen zu 80 Prozent aus `öffentlichen Quellen´ beziehen, bleiben immer noch 20 Prozent übrig, die anderweitig beschafft werden.

Denken Sie auch an ECHELON. Was in Deutschland passiert, ist ja nur die Spitze eines Eisbergs im Vergleich zu diesem weltweiten Lauschsystem. Aber Sie müssen auch im Hinterkopf behalten, daß sämtliche Auslandsgespräche - also auch ein Gespräch, das Sie von Frankfurt nach Hamburg führen, und das per Satellit über London geleitet wird, weil die Leitung so steht - von den Anlagen des Bundesnachrichtendienstes gescreent werden. Die Frage ist natürlich, wozu das alles notwendig ist. `Haltet den Dieb´, `Kampf gegen Terrorismus´ ist die eine Seite, aber die eigentlichen Seilschaften bleiben davon meist unberührt.

Letztlich geht es allen diesen Einrichtungen jedoch darum, möglichst nicht stundenlang Monitore abzuhören oder den Datenfluß von Telefonen, Faxen oder EMail analytisch auszuwerten, sondern mit Hilfe von leicht verfügbaren Informationen Druck auf Personen ausüben zu können und dann über Erpressung und ähnliche Mittel den traditionellen Geheimdienstangriff auszuführen. Die gewonnenen Informationen werden dann natürlich auch an die eigene Industrie weitergegeben, damit diese auf der Gewinnerseite ist.

c't: Ist die Wirtschaft auf die Arbeit der Geheimdienste angewiesen?

Wolf: Wenn ich meine Sicherheitstests durchführe, werde ich gerade von Großkonzernen immer wieder gefragt, wie sie auch selbst an die entsprechenden Abhörgeräte kommen. Als Begründung wird natürlich angegeben, daß sie die eigenen Computer testen wollen. Das Frechste, was ich erlebt habe, stand im Zusammenhang mit einem deutschen Vermittler aus Frankfurt, einem Privatmann. Bevor er mit mir ins Ausland fahren wollte, verlangte er, daß ich dann dort die deutsche Botschaft abhören sollte. Man kann also nicht mehr sagen, daß Abhören nur eine Vorliebe der Firmen mit den drei oder vier großen Buchstaben ist, die ganze Entwicklung hat sich vielmehr weiter verselbständigt. Wenn man sich an das Beispiel mit dem ICE-Fiasko in Südkorea erinnert, so waren hier zwar die französischen Geheimdienste die eigentlichen Lauscher, keine Privatfirmen. Viele Fälle sind in Deutschland außerdem anhängig geworden durch die Amerikaner. In Zukunft wird aber auch von der Wirtschaft selbst verstärkt versucht werden, an Wettbewerbsinformationen zu kommen.

c't: Inwieweit ist auch der normale Verbraucher von diesen Abhörtätigkeiten betroffen? Sie haben in letzter Zeit ja mehrfach festgestellt, daß auch Bankautomaten mit relativ einfachen Mitteln abgehört werden können.

Wolf: Diese Gefahr ist nicht zu unterschätzen. Sie können davon ausgehen, daß alle Bankautomaten, bei denen ich weltweit auf Veranlassung der Betreiber PIN-Codes von EC- und Kreditkarten abgehört habe, mit Ausnahme von Anlagen in einem Land noch genauso dastehen wie vorher. Ich weiß von einem Hersteller von Geldautomaten, der vom Jahr 2002 bis zum Jahr 2005 seine ganzen Geräte ersetzen will. Die Automaten werden allerdings nicht aus dem Verkehr gezogen, sondern an Drittländer weiterverkauft, in Spanien und Portugal haben Sie solche Fälle. Ich könnte Ihnen auch Namen von Herstellern von Tastaturtypen sagen, die sauber sind, aber das möchte ich nicht, denn dann müßte man alle nennen, auch aus anderen Ländern. Die Gefahr, daß Geldautomaten abgehört werden können, sollten Banken jedenfalls nicht aus den Augen verlieren, selbst wenn Hersteller sie von der Sicherheit ihrer Geräte zu überzeugen versuchen. Unbedingt sollte ein anerkanntes, autorisiertes Prüfunternehmen zu Rate gezogen werden, das in seinen Labors Messungen durchführen kann. (ae [1]) ()

URL dieses Artikels:
https://www.heise.de/-286856

Links in diesem Artikel:
[1] mailto:ae@ct.heise.de

Copyright © 1999 Heise Medien