Saarbrücker Informatiker kann Nadeldrucker abhören

Lauschangriff am Kontoauszugsdrucker

02. Juni 2009
Von Nicolas Zeitler
Nadeldrucker gehören zwar zu den Dinosauriern der IT-Welt, sind aber in Banken und Arztpraxen noch weit verbreitet. Ihre Druckgeräusche können sensible Patienten- und Kontodaten verraten, wie der Saarbrücker Informatiker Professor Michael Backes herausgefunden hat.

Rund 70 Prozent eines gedruckten Textes kann der Informatiker Michael Backes aus dem abgehörten Rattern von Nadeldruckern entschlüsseln. Von IBMIBM wurde Backes unlängst als einer der "führenden Sicherheitsexperten in Europa" ausgezeichnet. Alles zu IBM auf CIO.de

CIO: Herr Professor Backes, wenn ich im Bankfoyer einen Kontoauszug hole, muss ich dann wirklich Angst haben, dass jemand am Drucker ein Funkmikrofon installiert hat und meine Buchungsdaten sozusagen "abhört"?

Informatik-Professor Michael Backes ist erst 30 Jahre alt. Ein Schwerpunkt seiner Arbeit ist die Suche nach Sicherheitslücken.
Informatik-Professor Michael Backes ist erst 30 Jahre alt. Ein Schwerpunkt seiner Arbeit ist die Suche nach Sicherheitslücken.
Foto: Uni Saarland

Professor Michael Backes: Wahrscheinlich wäre ich in der Lage, den Empfängernamen zu erkennen und den Verwendungszweck. Die Methode, mit der wir die Druckergeräusche ausgewertet haben, funktioniert auf Wortbasis. Das muss ich der Software vorab antrainieren. Ich drucke eine Liste von Wörtern aus und zeichne dabei die Druckergeräusche auf. Dann weise ich jeden Sound einem Wort zu. Wenn ich das mit ganz vielen Namen mache, könnte ich später durchaus durch Abhören herausfinden, wem Sie Geld überwiesen haben.

Geht das mit Kontonummern und Beträgen auch so einfach?

Einzelne Zahlen kann unser Tool nicht erkennen, dafür drucken die Nadeldrucker zu schnell. Auch unbekannte Zahlenfolgen ohne Systematik sind kaum herauszufinden. Beim Betrag könnte ich aber auf jeden Fall die Größenordnung erkennen. Ob Sie zehn oder 10.000 Euro überweisen, lässt sich an der Länge des Klangs erkennen. Die Wanze zu installieren, ist ohnehin kein Problem.

Wie wird so ein Lauschangriff für den Bankkunden wirklich gefährlich?

Gefährlicher als am Kontoauszugdrucker ist ein kleines Mikrofon aber an einem Überweisungsterminal mit Belegdrucker. Wenn ich die Klänge zeitnah auswerte, könnte ich Ihnen nur wenig später eine E-Mail schicken: "Ich bin Ihre Bank, Sie haben vor kurzem Herrn X Geld überwiesen. Wegen eines Fehlers bitten wir Sie, den Betrag nochmals auf folgendes internes Konto zu überweisen" - das dann natürlich meines wäre.

Zur Startseite