Telekommunikationssicherheit Teil 1

„Viele Menschen glauben, wenn es in ihrer Telefonleitung knackt, dann hört der Verfassungsschutz mit. Ich versichere Ihnen: Wenn wir mithören, knackt nichts in der Leitung.“
Hans Gert Lange, 1993, Pressesprecher des Bundesamtes für Verfassungsschutz

Datenschutz, Computersicherheit, Netzwerksicherheit, Internetsicherheit und andere Methoden, die Systeme sicher und vor unbefugtem Zugriff schützen sollen, werden heute von Fachleuten wie von den Medien ausgiebig diskutiert und in einer breiten Öffentlichkeit dargestellt. Was früher von der Thematik in Special-Interest-Titeln veröffentlicht wurde ist heute für Spiegel, Fokus und Manager Magazin gerade gut genug. Firmen investieren große Mengen an Geld und Zeit für Datensicherheitsexperten, Ausfallpläne und Sicherheits-Hard- und Software, übersehen dabei aber oftmals eine große Lücke in ihrer Sicherheitsplanung: Die Telekommunikationssicherheit.

Noch immer wird die Telekommunikationssicherheit bei Unternehmen und Telekommunikationsanbietern als zweitrangig angesehen und mit einer entsprechend niedrigen Priorität in den Unternehmensplänen berücksichtigt, wenn es überhaupt zu einer Berücksichtigung kommt. Dabei müsste es eigentlich gerade den Führungskräften in Unternehmen heute klar sein, dass der Weg in eine Informationsgesellschaft zwangsläufig auch der Weg in eine Kommunikationsgesellschaft bedeutet und diese Wandlung mit einer Dynamik voranschreitet, die es nicht mehr möglich macht das Ganze aufzuhalten. Wer einmal hinter die technischen Kulissen der Weltwirtschaft und ihrer engen Verknüpfung mit der Telekommunikationstechnologie schaut, wird ebenfalls realisieren müssen, dass die Kommunikationsgesellschaft bereits weiter fortgeschritten ist als sich viele Menschen überhaupt vorstellen können.

In vielen Unternehmen wird argumentiert, dass der Telekommunikationsprovider die Verantwortung für die Telekommunikationssicherheit zu tragen hat und auf den ersten Blick scheint diese Art der Argumentation auch nachvollziehbar zu sein. Das Problem der Telekommunikationssicherheit ist aber wesentlich komplexer und unüberschaubarer als es selbst von Telefongesellschaften zugeben wird. Des weiteren verlagert sich die Frage der Telekommunikationssicherheit aus technischen und räumlichen Gründen auch oftmals in den Bereich der privaten Anwender und der Unternehmen.

Insbesondere staatliche Telefongesellschaften tendierten in der Vergangenheit dazu, in Fragen der Telekommunikationssicherheit etwas leichtfertig mit dem Thema umzugehen. Durch ihre Monopolstellung bot sich für unzufriedene Kunden keine Alternative.

Erschwerend kommt hinzu, dass bei Missbrauchsbeschwerden von Seiten der Kunden keine Beweisführung möglich war bzw. ist, da selbst unabhängigen Prüfern und Gutachtern keinerlei Zutritt zu technischen Systemen des Anbieters gewährt wurde und die technischen Anlagen über unzureichende bzw. keine Audit-Systeme oder Revisionsmöglichkeiten verfügten.

Auch wurde oftmals Hinweisen auf Schwachstellen im System kein Glaube geschenkt. So sind Fälle bekannt, in denen die Missbrauchsmöglichkeit durch eine Schwachstelle in einem Telekommunikationssystem vor Fachpublikum demonstriert wurde und trotzdem die Möglichkeit eines solchen Mißbrauchs vom Telekommunikationsanbieter vehement bestritten wurde.

Die offizielle Verlautbarung der Telekommunikationsanbieter ist:"...unsere Telekommunikationstechnik ist sicher und unverletzbar...".

Falls die Leitungen und Vermittlungssysteme unsicher sind, ist es die Aufgabe der Telefongesellschaft dies zu korrigieren. Der Durchschnittskunde hat, wenn überhaupt, wenig Einfluss auf Sicherheitsfragen in diesem Bereich. Wie aber sieht es bei Telekommunikationsanlagen aus die sich im Besitz von Firmen befinden? Ihre technische Ausstattung kann ebenfalls mißbraucht werden. Zum größten Teil sind sich die privaten Firmen und größeren Unternehmen dieser Problematik nicht einmal bewusst.

Um diese Sicherheitslücken zu schließen, ist es notwendig zu wissen, welche Missbrauchstechniken sich dem Untergrund wie auch Organisationen und Behörden bieten und welche vorbeugenden Gegenmaßnahmen getroffen werden können um einen Missbrauch aktiv zu verhindern.

Eine nicht unerhebliche Anzahl der hier veröffentlichten Informationen und Verfahren sind direkt dem Phreaker-Untergrund entnommen oder dort recherchiert worden. Es muss ebenfalls Wert auf die Feststellung gelegt werden, dass bei der Recherche keine Telekommunikationsgesellschaft bereit war in irgendeiner Art und Weise aufklärend bei der Zusammenstellung oder Überprüfung der Informationen behilflich zu sein.

Die kommenden Texte haben ihre Wurzeln in einem englischen Primer mit dem Titel Telecommunication Security, den ich im Sommer 1994 verfasst und in verschiedenen Medien veröffentlicht habe. Damals umfasste das Werk knapp 30 Seiten und war aus dem Kopf heraus ohne große Recherchen an einem Wochenende niedergeschrieben worden. Zuerst wurde der Text in den Computer Security Engineer News (CSE News) abgedruckt, um danach in elektronischer Form in meiner eigenen Mailbox (BBS), im Dezember 1994 im Computer Underground Digest im Internet und anschließend in Compuserve im NCSA Forum veröffentlicht zu werden.

Grund für die damalige Abhandlung über "Telecommunication Security" waren die anhaltenden Probleme und Beschwerden von Telefonkunden in den Jahren 1993 und 1994, was zu hohe und mehr oder weniger offensichtlich manipulierte Telefonrechnungen anbelangte. In etwa zeitgleich brachten findige Geschäftemacher den Telefonsex mit teuren, in der Karibik gelegenen Servicenummern auf den deutschen Markt und so kam es immer häufiger vor, dass die nette ältere Dame von nebenan von der Telekom eine Telefonrechnung von mehreren Tausend Euro präsentiert bekam, welche sich diese nicht erklären konnte und was zu entsprechendem Protest des Telefonkunden führte.

Ein gewisser Zusammenhang zwischen zu hohen Telefonrechnungen und karibischen „Servicenummern” war nicht zu leugnen, was damals auch die investigativen Medien auf den Plan rief und die Zahl der mehr oder weniger kompetenten Medienbeiträge zu diesem Thema in die Höhe schnellen ließ. Was mich an dieser Angelegenheit sehr ärgerte war die Tatsache, daß die Telekom von ihrer Handlungs- und Verfahrensweise nicht gerade darauf bedacht war ihren Kunden zu helfen bzw. keine erkennbar ernsthaften Maßnahmen unternahm um die Vorwürfe aufzuklären und darüber hinaus auch noch bei jeder passenden Gelegenheit in den Medien verkünden ließ, ihr Telefonnetz sei sicher und Manipulationen könnten deshalb nicht möglich sein. Jedem versierten Fachmann aus der Telekommunikationsbranche musste damals bereits klar gewesen sein, dass diese Aussagen wider besseres Wissen gemacht wurden, konnte man doch ein beträchtliches Grundwissen über die mannigfaltigen Manipulationsmöglichkeiten des internationalen wie auch des deutschen Telekommunikationsnetzes aus dem Internet bekommen.

Damals sollte das Manuskript zum Thema Telekommunikationssicherheit einfach nur dem Nutzer von Telekommunikationsmitteln kurz aufzeigen, was mit bescheidenen Mitteln für ein Missbrauch möglich war, welche Tipps und Tricks im Untergrund grassierten und worauf man achten muss, um nicht als missbrauchtes Opfer der Technik oder des Untergrunds zu enden. Umso mehr erstaunte mich später die Verbreitung meines Textes.

Die Reaktionen der Leser auf meine Veröffentlichung waren durchweg positiv und hielten sich von ihrer Menge her in angenehmen Grenzen, was mich zur Annahme bewog, mit dieser Veröffentlichung keine weitere Aufmerksamkeit auf mich gezogen zu haben. Dies sollte sich ändern, als 1995 zwei Journalisten unabhängig voneinander mit mir Kontakt aufnahmen um über das Thema Telekommunikationssicherheit wie auch über andere Sicherheitsthemen mehr zu erfahren. In den persönlichen Gesprächen mit den Journalisten stellte sich nicht nur heraus, dass sie auf mich durch die englischsprachige Veröffentlichung aufmerksam geworden waren, sondern es verblüffte mich vielmehr, an welchen interessanten wie auch ungewöhnlichen Stellen sie diese Veröffentlichung vorgefunden haben.

Wie sich sowohl durch die Journalisten als auch im Laufe der nächsten Jahre bei anderen Gelegenheiten feststellen ließ, wurde meine Veröffentlichung in Behörden unterschiedlichster Natur als Grundlagen-, Anschauungs- bzw. Ausbildungsmaterial zum Thema Telekommunikationssicherheit verwendet. Es wurde auch unumwunden zugegeben, dass wohl die eine oder andere geschilderte Verfahrensweise neu für die Anwender meines Textes war.

In den letzten Jahren konnte ich mich persönlich davon überzeugen, dass meine Abhandlung über Telecommunication Security bei vielen unterschiedlichen nationalen und internationalen Behörden, Unternehmen, sowie Anbietern von Telekommunikationsdienstleistungen ein großes Interesse fand.

Wo ich auch im Rahmen meiner beruflichen Tätigkeit als Datensicherheitsberater hinkam, ich stieß bei vielen großen Unternehmen und Behörden nicht nur auf meine Veröffentlichung sondern auch auf Ergänzungsvorschläge, Kritik, Diskussionen und den Wunsch einer genaueren Abhandlung zum Thema Telekommunikationssicherheit in deutscher Sprache.

Nachdem nun über 22 Jahre vergangen sind, kann man sicherlich behaupten, meine Veröffentlichung von damals entspräche nicht mehr den modernen Gegebenheiten der Telekommunikationstechnik wie auch der Telekommunikations- und Informationsgesellschaft. Die technischen und gesellschaftlichen Fortschritte der letzten Jahre waren einfach zu groß, die Nutzungsmöglichkeiten haben sich vervielfacht und die Art der Nutzung hat sich ebenfalls geändert.

Neueste Techniken wurden entwickelt, neue Techniken wurden flächendeckend eingeführt, alte Techniken wurden abgeschafft oder werden langsam ausgemustert. Die Telekommunikationsgesellschaft im Jahr 2016 steht vor neuen Telekommunikationstechnologien wie auch vor neuen Problemen und neuen Manipulations- und Missbrauchsmöglichkeiten, welche diese neuen Technologien hervorrufen. Ebenso steht sie vor den Marketingspezialisten der Telekommunikationsanbieter, die nach wie vor mit einer Engelsmiene nicht müde werden zu beteuern, ihr System sei sicher. Ich finde, dieser Einstellung wie auch den Aussagen der Anbieter muss realistisch entgegengewirkt werden. Es war also langsam an der Zeit das Manuskript von damals zu überarbeiten und den neuen technischen Gegebenheiten anzupassen.

Die damit zusammengetragene Informationssammlung gibt erstmals Unternehmensverantwortlichen nicht nur die Möglichkeit sich über das Thema Telekommunikationssicherheit zu informieren, sondern auch geeignete Sicherheitsmaßnahmen im Unternehmen zu planen und optimal zu implantieren.

Unternehmen, die sich heute nicht um die Absicherung ihrer Kommunikations- und Informationswege kümmern, werden in den nächsten Jahren zu den Verlierern am Markt gehören. Vom einfachen Kommunikationsunfall, bei dem unternehmenssensible Daten bekannt werden, über die professionelle Mitbewerberanalyse (Competitive Analysis) aus offenen Quellen bis hin zur Wirtschaftsspionage, Datensabotage und Information Warfare reichen dann die Möglichkeiten und Instrumentarien um arglosen Unternehmen ernste Probleme zu bereiten. Und nicht selten werden diese Probleme das Unternehmen mittelfristig vernichten.

Damit kommt der Bereich der Telekommunikationssicherheit auch in Kontakt mit gesellschaftspolitischen Themen wie dem Erhalt von Arbeitsplätzen.

Best regards,

Howard