Das Thema an sich ist keineswegs neu. So gab z.B. die amerikanische NSA bereits 1992 ein zunächst als Verschlusssache eingestuftes Dokument zur Vorgehensweise bei der Auswertung kompromittierende Abstrahlung unter Laborbedingungen heraus. Für Neugierige hier das Originaldokument im PDF-Format (mit den aus heutiger Sicht recht erheiternden Filzstift-Ausschwärzungen).

Das Neue an der LASEC-Studie ist die Einfachheit der eingesetzten Apparaturen. Die Intelligenz steckt hier in der Software. Einer der vier dokumentierten Wege zum Auslesen der Abstrahlung basiert z.B. auf einer simplen Kabelantenne. Dies steht in klarem Kontrast zu den bisher bekannt gewordenen Methoden, die sich mit teilweise sehr aufwändiger Hardwareausstattung auf Monitorsignale oder den PC selbst konzentrierten. Experimente zu Tastaturen betrafen bisher überwiegend Funktastaturen - bei denen man wohl kaum von ungewollter Abstrahlung sprechen kann.

Risikobewertung

Da die Studie noch nicht vollständig veröffentlicht ist, fehlen für eine abschließende Bewertung der Ergebnisse noch zahlreiche Details. Die bisher veröffentlichten Fakten sind jedoch sehr besorgniserregend. Die hohen Kosten und das notwendige Wissen und Equipment hielten das Thema kompromittierende Abstrahlung bisher in der Oberliga der Spionagetechniken. Angemessene Schutzmaßnahmen sind im staatlichen Geheimschutz z.B. seit Jahren Vorschrift. In Unternehmen wird dieses Thema dagegen meist ignoriert oder als "James Bond Phantasie" abgetan.

Reduziert sich durch die neuen Erkenntnisse die notwendige Technik jedoch überwiegend auf Software, so wird eine Lösung leicht reproduzierbar. Die Forscher weisen zu Recht darauf hin, dass ein erheblicher Teil der Informationssicherheit heute auf Kennwörtern basiert. Diese Kennwörter würden bei Tastatureingabe u.U. zur leichten Beute werden. Dieses Problem betrifft natürlich auch andere Geräte, von der Zugangskontrolle per PIN bis zum Geldautomaten.

Auch der Einsatz fortgeschrittener Methoden wie z.B. virtueller Tastaturen (Bildschirmtastaturen) für die Kennworteingabe löst das Problem keineswegs. Die eigentliche Erfassung sensibler Informationen erfolgt in den meisten Fällen auch weiterhin über eine konventionelle Tastatur.

Schutzmöglichkeiten - Abstrahlarme Hardware und das Zonenmodell

• Zone 0 / NATO SDIP 27 Level A (früher AMSG 720B)
  Einsatzort ohne besondere Anforderungen.
• Zone 1 / NATO SDIP 27 Level B (früher AMSG 788)
  Einsatzort muss leicht geschützt liegen, äquivalent 20m Freiraumdämpfung.
• Zone 2 / NATO SDIP 27 Level C (früher AMSG 784)
  Einsatzort muss erheblich geschützt liegen, äquivalent 100m (NATO) bzw. 150m (BSI) Freiraumdämpfung.
• Zone 3
  Einsatzort muss maximal geschützt liegen, äquivalent 1000m Freiraumdämpfung.

Am Markt ist sog. abstrahlsichere bzw. abstrahlarme Hardware verfügbar, die jeweils für eine bestimmte Zone zugelassen ist.

Das Problem ist, dass die Forscher der EPFL diese Hardware augenscheinlich nicht im Test berücksichtigt haben, weshalb momentan unklar ist, ob die dokumentierten Verfahren bei verzonter Hardware funktionieren oder nicht.

Weitere Schutzmöglichkeiten

Am Markt sind eine ganze Reihe von Gadgets verfügbar, die angeblich kompromittierende Abstrahlung durch Störstrahlung unbrauchbar machen. Der Wirkungsgrad dieser Geräte ist i.d.R. eher zweifelhaft, von möglichen Auswirkungen auf die Gesundheit ganz zu schweigen.

Ein anderer Weg ist der Aufbau abstrahlgeschützter Räume. Dabei wird ein Raum, ein Gebäudeteil oder ein ganzes Gebäude in eine Art Faraday'schen Käfig verwandelt, aus dem keine Strahlung entweichen kann. Dieser Weg ist jedoch ausgesprochen teuer.

Softwaregestützte Schutzmöglichkeiten, wie sie z.B. von Markus G. Kuhn und Ross J. Anderson von der Universität Cambridge (UK) bereits 1998 angesprochen wurden, betreffen lediglich einzelne Teile des Abstrahlungsschutzes und stellen keinen zuverlässigen Schutz bereit.

Geht es rein um die Absicherung von Kennwörtern und PINs, so können die bereits erwähnten virtuellen Tastaturen eine Lösung sein. Die Eingabe erfolgt dabei nicht mit der Tastatur, sondern mit der Maus durch Anklicken einer Taste auf dem Bildschirm. Leider wird hier der Teufel mit dem Belzebub ausgetrieben: das Monitorsignal ist ebenfalls abhörbar. Auch dazu gibt es wiederum Gegenmaßnahmen, deren Wirkungsgrad jedoch vorsichtig ausgedrückt stark variiert.

Und in der Praxis?

Leider ist der Schutz vor kompromittierender Abstrahlung keine einfache Aufgabe. Viel Platz drumherum ist eine der besten Schutzmöglichkeiten. Die Anschaffung abstrahlarmer Hardware ist natürlich ebenfalls eine Möglichkeit, erfordert aber ein hohes Maß an Planung und reduziert die Hardwareauswahl erheblich. Sofern abstrahlsichere Tastaturen von den neuen Erkenntnissen nicht betroffen sind, ist deren Anschaffung jedoch eine preiswerte und gute Schutzmöglichkeit. Ich habe bereits Martin Vuagnoux kontaktiert, um seine Sichtweise in dieser Frage zu erfahren.

Weitere Informationen

• Van-Eck-Phreaking (Wikipedia)
• BSI Technische Leitlinie TL-03305 - Für staatliche VS zugelassene abstrahlsichere/-arme Hardware
• BSI Technische Richtlinie TR-03209 - Elektromagnetische Schirmung von Gebäuden

[ Update vom 27.10.2008 ]
Das ging schnell. Ich erhielt heute Antwort von Martin Vuagnoux bezüglich meiner Anfrage zu verzonten Tastaturen. Die beiden Wissenschaftler wollten verzonte Geräte mit in den Test aufnehmen, sind aber zunächst an der für Einzelpersonen doch eher komplexen Beschaffung gescheitert (was leider absolut realistisch ist).

Er ist sich jedoch praktisch sicher, dass verzonte Geräte im Rahmen ihrer Zonenfreigabe von den neuen Methoden nicht betroffen sind, da solche Geräte generell gegen elektromagnetische Abstrahlung geschirmt sind.

Damit ist die Lösung für sicherheitsbewußte Anwender und Unternehmen tatsächlich der Einsatz verzonter Geräte. Im Zweifelsfall sollten Tastaturen mit einer Zone 0 Freigabe verwendet werden.