Forscher spähen Satelliten-Internet-Zugänge aus [Update]

Forscher der Ruhr-Universität Bochum konnten in einem Zeitraum von 24 Stunden in den Datenströmen eines Astra-Transponders Name, Adresse, Geburtsdatum, Einkommen und EC-Kartennummer eines Opfers mitlesen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 125 Beiträge
Von
  • Daniel Bachfeld

Forschern der Ruhr-Universität Bochum ist es bei der Untersuchung der Satelliten-Internet-Zugänge (DSL über Satellit) der Telekom, Megasys und Netsystems gelungen, umfangreiche Informationen über einzelne Personen zu ermitteln. So konnten sie in einem Zeitraum von 24 Stunden in den Datenströmen eines Astra-Transponders Name, Adresse, Geburtsdatum, Einkommen und EC-Kartennummer eines Opfers mitlesen. Auch war es möglich, die E-Mail-Kommunikationen zwischen kommerziellen Nutzern abzuhören. Dazu benutzten sie nur einen handelsüblichen PC, eine DVB-S-Karte und eine Satellitenschüssel.

c't wies bereits beim Test verschiedener Angebote in Ausgabe 24/03 auf die grundsätzlichen Sicherheitsmängel bei der Nutzung des Internet über Satellitenverbindungen hin. Auch Strato und Europe Online bieten diese Technik als Alternative zum kabelgebundenen DSL an -- Strato nutzt allerdings Eutelsat zur Ausstrahlung. Jeder Satellitennutzer kann dort prinzipiell die Daten aller anderen mitlesen, sofern diese nicht die Sicherheitsfunktionen aktiviert haben. Satelliten-gestützte Internetzugänge arbeiten meist asymmetrisch: Die Anfrage eines Clients geht über die Telefon- oder ISDN-Leitung, die Antwort eines Servers kommt in der Regel über Satellit zurück.

Bei einem Lauschangriff sieht man nur die Antworten eines Servers. Passwörter, wie sie beispielsweise beim Abholen von Mails oder zum Login in einen Server vom Client übertragen werden, lassen sich so nicht ausspähen. Auch von den Anwendungen bereits verschlüsselte Verbindungen, etwa mit SSL-gesichertes Online-Banking, sind sicher. Leider gibt es genügend Beispiele, wo Anbieter in einem Anmeldeformular eingegebene Daten in einer unverschlüsselten Bestätigungs-Mail nochmals auflisten -- und diese Mail wird meist per Satellit übertragen. Auch Authentifizierungs-Cookies kommen über diesen Weg auf die Festplatte eines Anwenders. Mit einem mitgelesen Cookie kann sich ein Angreifer so bei manchen Diensten ohne Kenntnis des Passwortes anmelden.

Nach Angaben von André Adelsbach und Ulrich Greveler vom Lehrstuhl für Netz- und Datensicherheit der Uni Bochum scheinen sich viele Anwender der Satelliten-DSL-Anbieter der Problematik nicht bewusst zu sein. Die Anbieter stellen nämlich durchaus Sicherheitsmechanismen bereit, mit denen Nutzer ihre vom Satelliten abgestrahlten Daten vor dem Mitlesen durch jedermann schützen können. Dazu muss aber der in der Betriebssoftware mitgelieferte Proxy aktiviert sein. Dieser so genannte Performance Enhancement Proxy (PEP) dient eigentlich der Verbesserung des Datendurchsatzes, verschlüsselt den Verkehr aber zusätzlich.

Nach der Installation der Software würde der Proxy der meisten Anbieter auch genau dies tun, was Walter Genz, Pressesprecher der Telekom, gegenüber heise Security für die T-Com-Software auch bestätigt. Einige Anwender scheinen diese Funktion aber wieder zu deaktivieren. Ein Grund dafür ist, dass auf IPSec-basierende VPN-Software mit PEP nicht richtig funktioniert. Um dieses Problem zu lösen, bietet etwa die Telekom einen speziellen VPN-Zugang ohne Proxy an. Hier muss der Kunde aber selbst für die Verschlüsselung sorgen und wird auch darauf hingewiesen. Anwender sollten darauf achten, den installierten Proxy zu benutzen, der sämtlichen Verkehr schützt. Alternativ lassen sich auch einzelne Protokolle wie POP3 und IMAP mit SSL sichern. Allerdings muss der jeweilige Anbieter diese Funktion auch unterstützen.

Update
Strato will nach eigenen Angaben demnächst einen verbesserten Proxy herausgeben, der den gesamten Datenverkehr verschlüsselt. Bislang wird bestimmter HTTP-Verkehr nicht verschlüsselt, wenn er von bekannten Web-Servern wie www.heise.de stammt. E-Mails werden aber immer verschlüsselt übertragen. Zudem soll der neue Proxy verhindern, dass der Anwender ihn aus Versehen deaktivieren kann und anschließend unbemerkt seine Daten ungeschützt überträgt.

Siehe dazu auch: (dab)