• Home
•  > Unternehmen
•  > Chief Information Officers

Chief Information Officers

Alle Artikel und Hintergründe

IT-Sicherheit

Lauschangriff am Auszugsdrucker

Von Nicolas Zeitler

Nadeldrucker gehören zwar zu den Dinosauriern der IT-Welt, sind aber in Banken und Arztpraxen noch weit verbreitet. Ihre Druckgeräusche können sensible Konten- und Patientendaten verraten, wie der Saarbrücker Informatiker Professor Michael Backes herausgefunden hat.

Frage: Herr Professor Backes, wenn ich im Bankfoyer einen Kontoauszug hole, muss ich dann wirklich Angst haben, dass jemand am Drucker ein Funkmikrofon installiert hat und meine Buchungsdaten sozusagen "abhört"?

Backes: Wahrscheinlich wäre ich in der Lage, den Empfängernamen zu erkennen und den Verwendungszweck. Die Methode, mit der wir die Druckergeräusche ausgewertet haben, funktioniert auf Wortbasis. Das muss ich der Software vorab antrainieren. Ich drucke eine Liste von Wörtern aus und zeichne dabei die Druckergeräusche auf. Dann weise ich jeden Sound einem Wort zu. Wenn ich das mit ganz vielen Namen mache, könnte ich später durchaus durch Abhören herausfinden, wem Sie Geld überwiesen haben.

Frage: Geht das mit Kontonummern und Beträgen auch so einfach?

Backes: Einzelne Zahlen kann unser Tool nicht erkennen, dafür drucken die Nadeldrucker zu schnell. Auch unbekannte Zahlenfolgen ohne Systematik sind kaum herauszufinden. Beim Betrag könnte ich aber auf jeden Fall die Größenordnung erkennen. Ob Sie zehn oder 10.000 Euro überweisen, lässt sich an der Länge des Klangs erkennen. Die Wanze zu installieren, ist ohnehin kein Problem.

Frage: Wie wird so ein Lauschangriff für den Bankkunden wirklich gefährlich?

Backes: Gefährlicher als am Kontoauszugdrucker ist ein kleines Mikrofon aber an einem Überweisungsterminal mit Belegdrucker. Wenn ich die Klänge zeitnah auswerte, könnte ich Ihnen nur wenig später eine E-Mail schicken: "Ich bin Ihre Bank, Sie haben vor kurzem Herrn X Geld überwiesen. Wegen eines Fehlers bitten wir Sie, den Betrag nochmals auf folgendes internes Konto zu überweisen" - das dann natürlich meines wäre.

Frage: Sind Nadeldrucker nicht eine aussterbende Spezies?

Backes: Laut einer repräsentativen Umfrage, die wir in Auftrag gegeben haben, setzen 30 Prozent der Banken noch Nadeldrucker ein, und zwar 70 Prozent von ihnen zum Druck von Kontoauszügen. Noch schlimmer allerdings ist das Arzt-Szenario, das wir getestet haben.

Frage: Warum? Wie sind Sie vorgegangen?

Backes: In 60 Prozent der Praxen stehen Nadeldrucker. Nur 1,8 Prozent der Ärzte wollen diese billigen und robusten Geräte ersetzen. Noch schlimmer: Viele dürfen es gar nicht, weil Betäubungsmittelrezepte laut Gesetz mit Durchschlag gedruckt werden müssen.

Frage: Warum soll es schlimmer sein, einen Arzt auszuhorchen als eine Bank?

Backes: Ärzte drucken auf Rezepte genau das, was wir entschlüsseln können: Nicht unregelmäßige Zahlenfolgen, sondern Medikamentennamen. Die kann ich meiner Software antrainieren, indem ich zum Beispiel einfach die Rote Liste (deutsches Arzneimittelverzeichnis, Anm. d. Red.) drucke.

Dann suche ich mir eine Reihe Praxen mit prominenten Patienten, besuche die Praxis als angeblicher Patient und lege in einem unbeobachteten Moment ein Funkmikrofon unter den Drucker. Wenn ich die Klänge zwei Wochen lang mit dem Laptop vom Café nebenan aus aufzeichne, bekomme ich eine riesige Menge an kritischen Informationen - von Befunden bis zu Überweisungen. Das ist ein Horrorszenario.