Thema: DECT Forum: Abhörrisiko bei schnurlosen Telefonen gering

[SiLæncer]

Das DECT Forum, der internationale Verband der Home-Communication-Industrie, hält das Abhörisiko aufgrund der entdeckten Schwachstellen in der Kommunikation von Mobilteilen mit der Basisstation für gering. Da das Abhören von Telefongesprächen eine Straftat darstelle, sei es nicht möglich, Telefongespräche zufällig abzuhören. "Nur solche Personen, die mit krimineller Energie und Absicht handeln sowie über detaillierte technische Kenntnisse und Ausstattungen verfügen, sind überhaupt in der Lage, Gespräche abzuhören.", schreibt der Verband in einer Stellungnahme.

Forscher der TU Darmstadt hatten eine aufgebohrte, eigentlich für die Internet-Telefonie gedachte kostengünstige Laptop-Karte und einen Linux-Rechner für das Belauschen von DECT-Telefonen benutzt. Bei Versuchen sei aufgefallen, dass manchmal überhaupt kein Authentisierungs- oder Verschlüsselungsprozess zwischen der Sendestation und dem Handgerät ablaufe. Vielfach authentisiere sich das Telefon nur gegenüber der Basisstation wie beim Mobilfunkstandard GSM, auch wenn sich bei DECT prinzipiell zudem die Station gegenüber dem Mobilteil ausweisen könne. Bei anderen Geräten erfolge zwar eine Authentisierung der Station, allerdings ohne Verschlüsselung. In all diesen Fällen habe man aktive Gespräche aufspüren und mitschneiden können.

Das DECT Forum will die Untersuchungsergebnisse jedoch sorgfältig prüfen. Man begrüße einen offenen Dialog über die Implementierungen des DECT-Standards, um mit Forschern und Ingenieuren die DECT-Technik weiter zu perfektionieren. Mit der Einführung von CAT-iq (Cordless Advanced Technology), dem Nachfolge-Standard von DECT für IP-basierte Kommunikation, habe das DECT Forum höchstmögliche und für Hersteller verpflichtende Sicherheitsmaßnahmen gefordert, die in dem weltweiten CAT-iq Standard implementiert werden sollen.

Quelle : www.heise.de


Siehe dazu auch: 25C3: Schwere Sicherheitslücken beim Schnurlos-Telefonieren mit DECT

[SiLæncer]

Schnurlose Festnetz-Telefone (DECT) bergen ein "ganz erhebliches Datenschutzrisiko", so der Bundesdatenschutzbeauftragte Peter Schaar gegenüber dem ZDF-Magazin "Frontal 21". Schaar fordert verbesserte Verbraucher-Informationen und technische Maßnahmen, um die Geräte sicherer zu machen. Das DECT-Forum, der internationale Verband der Home-Communication-Industrie, hält das Abhörrisiko aufgrund der entdeckten Schwachstellen in der Kommunikation von Mobilteilen mit der Basisstation derzeit eher für gering.

Forscher der TU Darmstadt hatten auf dem Chaos Communication Congress auf die Lücken in DECT-Telefonen hingewiesen, durch die sich Telefonate mit einer günstigen PCMCIA-Karte abhören ließen. Ursache ist die fehlende Verschlüsselung bei vielen Modellen. "Jetzt ist höchste Eisenbahn, technisch nachzurüsten und Verbraucher und Verbraucherinnen zu informieren", betonte Schaar. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt und rät, sensitive Gespräche, wie zum Beispiel beim Telefonbanking, nur über schnurgebundene Telefone zu führen. Allerdings dürfte dies viele Anwender dazu zwingen, sich ein zusätzliches Telefon zuzulegen.

Der DECT-Standard sieht eine Verschlüsselung nur optional vor. Nach Meinung von Schaar müsse dies aber verpflichtend gemacht werden. In Deutschland sollen rund 30 Millionen DECT-Telefone in Gebrauch sein. Wie viele und welche Telefone Daten unverschlüsselt übertragen, ist jedoch unklar.

Darüberhinaus nutzen auch einige schnurlose EC-Karten-Terminals den DECT-Standard zur Übertragung der Daten, etwa in Restaurants. Auch hier ließen sich die übertragenen Daten mit einem DECT-Sniffer je nach Implementierung möglicherweise mitlesen.

"Frontal 21" hat bei 13 Herstellern angefragt, aber nur von einem eine Antwort erhalten. Schaar fordert, dass die Hersteller ihre Kunden darüber informieren müssen, ob die Telefone Daten verschlüsselt senden oder nicht, etwa mit einem Hinweis auf der Verpackung oder dem Gerät. "Wenn das nicht freiwillig geschehe, dann könnte man eine Informationsverpflichtung ohne Weiteres auch gesetzlich erlassen", erklärte Schaar gegenüber dem ZDF-Magazin.

Das Bundeswirtschaftsministerium setzt hingegen weiter auf die freiwillige Selbstverpflichtung der Industrie und plant derzeit keine gesetzlichen Regelungen zum besseren Schutz der Privatsphäre. "Spezielle mandative Sicherheitsstandards bezüglich Abhörsicherheit für Endgeräte existieren nicht, wurden bisher mit Rücksicht auf die Förderung des Wettbewerbs und ein möglichst breites Produktspektrum auch nicht unterstützt."

Frontal 21 will seinen Bericht am heutigen Dienstagabend um 21 Uhr senden.

Quelle : www.heise.de

[SiLæncer]

Das Gefühl, Nachbars Telefongespräche abhören oder auf Kosten anderer telefonieren zu können, ist offenbar einigen Zeitgenossen viel Geld wert. Nach Berichten über Sicherheitslücken von DECT-Telefonen, unter anderem im ZDF-Magazin "Frontal 21", sind die Preise für die darin genannte Notebook-Steckkarte "Com-On-Air" von Dosch+Amand förmlich explodiert. Konnte man noch vor wenigen Tagen für 20 Euro bei eBay fündig werden, beginnen die Forderungen im "Sofortkauf"-Bereich mittlerweile bei rund 200 Euro. Ein Blick in beendete Transaktionen zeigt, dass solche Preise zurzeit tatsächlich gezahlt werden.

Auf dem CCC-Kongress 25C3 erfuhr die Öffentlichkeit Ende Dezember 2008 davon, dass sich Linux-Notebooks mit modifizierten Com-On-Air-Karten in portable Abhöranlagen für Schnurlostelefone verwandeln lassen. Seinerzeit gab es noch Restbestände der bis dahin anscheinend wenig gefragten PCMCIA-Karte des Typs II im Handel, die aus der Konkursmasse des Herstellers stammten, so Ralf-Philipp Weinmann, einer der Projektbeteiligten, gegenüber iX. Die sind aber inzwischen restlos ausverkauft.

Die offenbar rauschauslösenden Lauschfunktionen sind für die Entwickler nur ein Nebenprodukt. Das Ziel von Weinmann und seinen Kollegen besteht eigentlich darin, einen Open-Source-Stack für DECT-Kommunikation zu entwickeln, wie es auch im Projekt-Blog zu lesen ist.

Quelle : http://www.heise.de/newsticker/DECT-Abhoerkarte-ist-ausverkauft--/meldung/122230

[ritschibie]

Armes Deutschland - wenn es auf Lauschangriff auf die Privatsphäre steht

[Gofler]

Hello to all!

War das nicht schon immer so?
Ich kann's nicht glauben, aber mir hat gerade ein "Grün-Weißer" in diesem
Zusammenhang erklärt, wie man alte Empfänger manipulieren kann, um sie
zu hören.....

[ritschibie]

Also bei Festnetz ging das nur über Wanzen oder abhören aus der Telefonzentrale (mit richterlicher Erlaubnis).
Was ich komisch finde, ist, dass manchmal dieselben Leute, die über den Bundestrojaner schimpfen, sich
über SAT-Spezialprogramme auf die Suche nach Telekommunikationspaketen - die ja auch über Satellit über-
tragen werden - machen und das vollkommen in Ordnung finden 

[Warpi]

Hello to all!

War das nicht schon immer so?
Ich kann's nicht glauben, aber mir hat gerade ein "Grün-Weißer" in diesem
Zusammenhang erklärt, wie man alte Empfänger manipulieren kann, um sie
zu hören.....

Das hört auf sobald alles digitalisiert ist....
Klick

[Jürgen]

Spanner, Kontrollfetischisten, Hobbyspione und ähnlich gestörte Zeitgenossen hat's schon immer gegeben.
Manche wollen über's Internet die Kirschen im Kleingarten oder den unbotmässigen Gang der Nachbarssprösslinge über's Gekarkte beobachten können, andere versuchen, eine Minikamera durch den Lüftungsschacht auf's Bad ihrer Nachbarin zu richten.
Verfolgungswahn spielt sicherlich ebenso oft eine Rolle wie fehlende Libido bzw. sticky fingers...

Der Anteil an der Gesamtbevölkerung ist aber ziemlich gering, ein Anstieg m.e. nicht feststellbar.
Und beruflich bin ich eher bestrebt, solchen Pappnasen in's Handwerk zu pfuschen.

Was die drahtlose Komunikation der SchuPos angeht, bin ich nicht davon überzeugt, dass Digitalisierung da wirklich zu Abhörsicherheit führen wird. Aufgrund fehlender technischen Kenntnisse selbst von direkt dafür verantwortlichen Entscheider würde ein Fehlen der Verschlüsselung wahrscheinlich genau so wenig auffallen wie den betroffenen DECT-Nutzern. Eher verlässt man sich blind auf PR-Aussagen von Systemanbietern, oder man schaltet wichtige Sicherheitsmechanismen sogar bei'm erstbesten Problem einfach ab...