Schlagwort: GSM

#28c3: Wie sicher sind unsere Bahnnetze?


Mechanische Bahnsignale sind auch heute noch im Einsatz. Foto: RainerSturm / pixelio.de.

Zur Zeit findet in Berlin der 28. Chaos Communication Congress, auf Twitter kurz unter dem Hashtag #28c3, statt. Organisiert wird die Veranstaltung vom Chaos Computer Club. Am Dienstag gab es dort auch einen sehr spannenden Vortrag für alle Bahn-Nerds – wie mich zum Beispiel, in Teilen wenigstens … ;-)

Unter dem Titel Can trains be hacked? hat dort der Informatiker Stefan Katzenbeisser, Professor an der TU Darmstadt, über die Geschichte, den aktuellen Stand der Technik und die Zukunft der Sicherungssysteme unserer Eisenbahnsicherungssysteme referiert – mit teils wirklich erstaunlichen Einblicken, nicht nur in den Aufwand, der teilweise getrieben wird, um die Integrität solcher Systeme zu gewährleisten, sondern auch, was für eklatante Sicherheitslücken die Systeme bergen, insbesondere, wenn es um Eingriffe von außen geht.

Die Stichworte hierzu sind Safety (Gewährleistung von Ausfallsicherheit und Zuverlässigkeit) versus Security (Schutz vor Angriffen von außen). Der Talk von Stefan Katzenbeisser dauert zwar eine gute Stunde, aber wer sich fürs Bahnfahren und ein wenig für Technik interessiert, der kann daraus mit Sicherheit viel mitnehmen.

Noch eine Anmerkung zum Stichwort GSM, das im Zusammenhang mit zukünftigen Eisenbahnsicherungssystemen fällt: GSM ist der Standard, auf dem unsere Handynetze basieren, über den wir also mobil telefonieren und SMS verschicken. Das Problem: Der Standard ist schon sehr alt, und wurde mittlerweile geknackt. Das heißt, dass jegliche Kommunikation über GSM mit relativ wenig Aufwand abgefangen/abgehört, verändert und somit beeinflusst werden kann. Somit ist es also gerade bei so sicherheitsrelevanten Themen wie dem Zugverkehr, bei dem viele Menschenleben auf dem Spiel stehen, ein Problem, wenn Kommunikation zwischen Zugdienstleitung, Signalen und Zugführern zukünftig über eben jenen unsicheren Standard stattfinden soll.

Mehr Infos zu den Sicherheitslücken in unseren Handynetzen findet ihr auch hier bei mir im Blog: Im März habe ich alle Details dazu schon einmal für die Sendung mit dem Internet aufgeschrieben.

Nachdem ihr das Video nun gesehen habt: Wie sieht’s aus? Könnt ihr jetzt noch ohne erhöhten Puls in den Zug steigen? Oder seht ihr das alles nicht so dramatisch?

Wie sicher sind unsere Handynetze?

Hinweis: Dieser Blogeintrag erschien ursprünglich bei der Sendung mit dem Internet als Online-Begleitung zur Sendung vom 14. März 2011:

Das Mobiltelefon ist bei vielen mittlerweile ein ständiger Begleiter, immer mehr Menschen telefonieren sogar nur noch per Handy und haben gar keinen Festnetzanschluss mehr. Dazu laufen immer größere Teile unserer Kommunikation über SMS und andere mobile Dienste, wie zum Beispiel auch das mobile Internet, ab. Doch wie sicher sind unsere Netze eigentlich?

Der Netzstandard GSM


Unsere Mobilfunknetze funktionieren über den Standard GSM. | Foto: Clive Darr (CC BY-SA 2.0)

Unsere Mobilfunknetze funktionieren ganz grundsätzlich über den Netzstandard GSM, was für „Global System for Mobile Communications“ steht. Dabei werden die Daten während des Telefonierens oder dem Senden und Empfangen einer SMS jedoch nicht ungeschützt verschickt, sondern sie werden verschlüsselt. Dies geschieht ebenfalls nach einem bestimmten Standard, in diesem Fall heißt er A5/1.

Das Problem dabei: Dieses Verschlüsselungssystem stammt aus den späten 1980ern, und ist daher nach heutigen Standards völlig veraltet. Die Sicherung der Datenpakete ist heute längst nicht mehr gewährleistet. Schon vor über einem Jahr zeigte der deutsche IT-Fachmann Karsten Nohl, wie einfach Gespräche über das Handy sowie SMS abgefangen und entschlüsselt werden können. Die Anschaffungskosten für die Technologie, die potentielle Angreifer dafür benötigen, liegen bei unter 50 Euro.

Die Brisanz von SMS

Doch sind die Nachrichten von Privatleuten überhaupt interessant? Ja, sagen Sicherheitsfachleute. Gerade die Bankkonten der Nutzer sind so sehr leicht angreifbar, da der aktuelle Sicherheitsstandard der meisten Banken beim Online-Banking von Zuhause das sogenannte „Mobile TAN“-Verfahren ist. Dabei erhält der Kunde, nachdem er den „digitalen Überweisungsschein“ ausgefüllt hat, eine SMS mit der Transaktionsnummer (TAN) auf sein Handy. Diese trägt er online ein, und bestätigt so die Überweisung. Ein Angreifer könnte nun diese SMS abfangen, und würde so Zugriff auf die Zahlungsdaten erhalten. Das heißt letztlich, dass nicht nur der Betrag der Überweisung, sondern auch das Zielkonto geändert werden kann – ohne, dass die Bank oder der Verbraucher etwas davon merken.

Read More