Saarbrücker Informatiker kann Nadeldrucker abhören
Lauschangriff am Kontoauszugsdrucker
BTM-Rezepte müssen mit Durchschlag gedruckt werden
Sind Nadeldrucker nicht eine aussterbende Spezies?
Laut einer repräsentativen Umfrage, die wir in Auftrag gegeben haben, setzen 30 Prozent der BankenBanken noch Nadeldrucker ein, und zwar 70 Prozent von ihnen zum Druck von Kontoauszügen. Noch schlimmer allerdings ist das Arzt-Szenario, das wir getestet haben. Top-Firmen der Branche Banken
Warum? Wie sind Sie vorgegangen?
In 60 Prozent der Praxen stehen Nadeldrucker. Nur 1,8 Prozent der Ärzte wollen diese billigen und robusten Geräte ersetzen. Noch schlimmer: Viele dürfen es gar nicht, weil Betäubungsmittel-Rezepte laut Gesetz mit Durchschlag gedruckt werden müssen (entspricht Betäubungsmittel-Verschreibeverordnung und Einheits-Übereinkommen über Suchtstoffe, siehe "Apotheken-Vorschriften", Deutscher Apotheker-Verlag, 2008, Anm. d. Red).
Warum soll es schlimmer sein, einen Arzt auszuhorchen als eine Bank?
Ärzte drucken auf Rezepte genau das, was wir entschlüsseln können: Nicht unregelmäßige Zahlenfolgen, sondern Medikamentennamen. Die kann ich meiner Software antrainieren, indem ich zum Beispiel einfach die Rote Liste (deutsches Arzneimittelverzeichnis, Anm. d. Red.) drucke. Dann suche ich mir eine Reihe Praxen mit prominenten Patienten, besuche die Praxis als angeblicher Patient und lege in einem unbeobachteten Moment ein Funkmikrofon unter den Drucker. Wenn ich die Klänge zwei Wochen lang mit dem Laptop vom Café nebenan aus aufzeichne, bekomme ich eine riesige Menge an kritischen Informationen - von Befunden bis zu Überweisungen. Das ist ein Horrorszenario.
Wie kamen Sie überhaupt darauf, das zu untersuchen?
Wir befassen uns sehr viel mit kreativen Angriffsmethoden. Beispielsweise haben wir getestet, dass man über die Spiegelung im Auge oder spiegelnde Gegenstände auf dem Tisch wie Gläser den Bildschirminhalt lesen kann. Es gab auch schon Untersuchungen zur akustischen Spionage mittels Tastaturgeräuschen. Da fiel uns ein, dass Drucker ja auch Geräusche von sich geben.
Hintergrundlärm behindert Abhören nicht
Sind solche Angriffe überhaupt wahrscheinlich und werden von Kriminellen versucht?
Ob so etwas schon vorkam, weiß ich nicht. Aber die Vorbereitungen sind zu hundert Prozent machbar. Für unseren Test in der Arztpraxis (der Arzt war eingeweiht, Anm. d. Red.) habe ich vor Ort den Klang des Druckers aufgenommen. Einem Studenten habe ich übers Internet einen gebrauchten Drucker des gleichen Typs gekauft. Er konnte die gedruckten Texte ohne Probleme entschlüsseln, nachdem er unsere Software zuhause mit Geräuschen dieses Modells gefüttert hatte.
Ist es im Trubel einer Praxis nicht zu laut, um Druckergeräusche abzuhören?
Der Umgebungslärm in der Praxis erschwert die Erkennung überhaupt nicht. Im Wartezimmer nebenan haben sich die Patienten munter unterhalten. Die Frequenz der Druckergeräusche von 20 bis 40 kHz liegt über der der menschlichen Stimme.
Zum Abhören haben wir ein handelsübliches Funkmikrofon verwendet, wie es auf Konferenzen eingesetzt wird. Das ist so groß wie ein Handy. Es gibt auch wesentlich kleinere Wanzen, aber die standen nicht im Fokus des Versuchs.