TEMPEST und EMSEC: Ist es möglich, elektromagnetische Wellen bei Cyberangriffen einzusetzen?

In Venezuela kam es kürzlich zu einer Reihe von Stromausfällen , bei denen elf Bundesstaaten des Landes keinen Strom mehr hatten. Von Beginn dieses Vorfalls an behauptete die Regierung von Nicholas Maduro, es handele sich um einen Sabotageakt , der durch elektromagnetische Angriffe und Cyberangriffe auf das nationale Elektrizitätsunternehmen Corpoelec und seine Kraftwerke ermöglicht wurde. Im Gegenteil, die selbsternannte Regierung von Juan Guaido machte den Vorfall einfach für "die Ineffizienz [und] das Versagen des Regimes " verantwortlich.

Ohne eine unparteiische und eingehende Analyse der Situation ist es sehr schwierig festzustellen, ob diese Ausfälle auf Sabotage zurückzuführen sind oder ob sie dennoch auf mangelnde Wartung zurückzuführen sind. Vorwürfe wegen angeblicher Sabotage werfen jedoch eine Reihe interessanter Fragen im Zusammenhang mit der Informationssicherheit auf. Viele Steuerungssysteme in kritischen Infrastruktureinrichtungen wie Kraftwerken sind geschlossen und verfügen daher nicht über externe Internetverbindungen. Daher stellt sich die Frage: Könnten Cyber-Angreifer Zugang zu geschlossenen IT-Systemen erhalten, ohne eine direkte Verbindung zu ihren Computern herzustellen? Die Antwort lautet ja. In diesem Fall können elektromagnetische Wellen ein Angriffsvektor sein.

Wie man elektromagnetische Strahlung „einfängt“

Alle elektronischen Geräte erzeugen Strahlung in Form von elektromagnetischen und akustischen Signalen. Abhängig von einer Reihe von Faktoren wie Entfernung und Hindernissen können Abhörgeräte die Signale dieser Geräte mit speziellen Antennen oder hochempfindlichen Mikrofonen (bei akustischen Signalen) „aufnehmen“ und verarbeiten, um nützliche Informationen zu extrahieren. Zu diesen Geräten gehören Monitore und Tastaturen, und als solche können sie auch von Cyberkriminellen verwendet werden.

Wenn wir über Monitore sprechen, veröffentlichte der Forscher Wim van Eyck bereits 1985 das erste nicht klassifizierte Dokument darüber, welche Sicherheitsrisiken mit der Strahlung solcher Geräte verbunden sind. Wie Sie sich erinnern, werden dann verwendete Kathodenstrahlröhren (CRTs) überwacht. Seine Forschung zeigte, dass die Strahlung vom Monitor aus der Ferne „abgelesen“ und zur Rekonstruktion der auf dem Monitor angezeigten Bilder verwendet werden kann. Dieses Phänomen ist als Abfangen von van Eyck bekannt, und tatsächlich ist es einer der Gründe, warum eine Reihe von Ländern, darunter Brasilien und Kanada, elektronische Abstimmungssysteme als zu unsicher für die Verwendung in Wahlprozessen betrachten.


Ausrüstung für den Zugriff auf einen anderen Laptop im Nebenzimmer. Quelle: Universität Tel Aviv

Obwohl LCD-Monitore heute weitaus weniger Strahlung erzeugen als CRT-Monitore, haben neuere Untersuchungen gezeigt, dass sie auch anfällig sind. Darüber hinaus haben Experten der Universität von Tel Aviv (Israel) dies deutlich gezeigt . Sie schafften es, mit einem einfachen Gerät im Wert von etwa 3.000 US-Dollar, bestehend aus einer Antenne, einem Verstärker und einem Laptop mit spezieller Signalverarbeitungssoftware, auf die verschlüsselten Inhalte eines Laptops im Nebenzimmer zuzugreifen.

Andererseits können die Tastaturen selbst auch empfindlich auf das Abfangen ihrer Emissionen reagieren . Dies bedeutet, dass ein potenzielles Risiko für Cyber-Angriffe besteht, bei denen Angreifer Registrierungsdaten und Kennwörter wiederherstellen können, indem sie analysieren, welche Tasten auf der Tastatur gedrückt wurden.

TEMPEST und EMSEC

Die Verwendung von Strahlung zur Extraktion von Informationen erhielt ihre erste Anwendung während des Ersten Weltkriegs und war mit Telefonkabeln verbunden. Diese Techniken waren während des Kalten Krieges mit fortschrittlicheren Geräten weit verbreitet. Zum Beispiel erklärt ein von der NASA freigegebenes Dokument aus dem Jahr 1973 , wie ein Sicherheitsbeamter der US-Botschaft in Japan 1962 entdeckte, dass ein Dipol in einem nahe gelegenen Krankenhaus zum Botschaftsgebäude geschickt wurde, um seine Signale abzufangen.

Das Konzept von TEMPEST als solches taucht jedoch bereits in den 70er Jahren mit den ersten Strahlungsrichtlinien in den USA auf . Dieser Codename bezieht sich auf Untersuchungen zu unbeabsichtigten (Stör-) Emissionen von elektronischen Geräten, die zum Verlust von Verschlusssachen beitragen können. Der TEMPEST-Standard wurde von der US National Security Agency (NSA) erstellt und führte zur Entstehung von Sicherheitsstandards, die auch von der NATO übernommen wurden .

Dieser Begriff wird häufig synonym mit dem Begriff EMSEC (Emissionssicherheit) verwendet, der Teil der COMSEC- Standards (Kommunikationssicherheit) ist .

TEMPEST-Schutz

Rot / Schwarz kryptografisches Architekturdiagramm für Kommunikationsgerät. Quelle: David Kleidermacher

Zunächst wird die TEMPEST-Sicherheit auf das Grundkonzept der Kryptographie angewendet, das als Rot / Schwarz-Architektur (Rot / Schwarz) bekannt ist. Dieses Konzept unterteilt die Systeme in „rote“ Geräte, mit denen vertrauliche Informationen verarbeitet werden, und „schwarze“ Geräte, die Daten ohne Datenschutzstempel übertragen. Einer der Zwecke des TEMPEST-Schutzes ist diese Trennung, bei der alle Komponenten getrennt werden und die "roten" Geräte von den "schwarzen" Spezialfiltern getrennt werden.

Zweitens ist es wichtig zu berücksichtigen, dass alle Geräte einen bestimmten Strahlungspegel haben . Dies bedeutet, dass das maximal mögliche Schutzniveau der vollständige Schutz des gesamten Raums einschließlich der Computer, Systeme und Komponenten ist. Dies wäre jedoch für die meisten Organisationen äußerst kostspielig und unpraktisch. Aus diesem Grund werden genauere Techniken verwendet:

• Zoning Assessment : Wird verwendet, um die TEMPEST-Sicherheitsstufe für Räume, Installationen und Computer zu untersuchen. Nach Durchführung dieser Bewertung können Ressourcen an diejenigen Komponenten und Computer weitergeleitet werden, die die vertraulichsten Informationen oder unverschlüsselten Daten enthalten. Verschiedene Kommunikationsaufsichtsbehörden, wie die NSA in den USA oder CCN in Spanien , zertifizieren solche Techniken.
• Abgeschirmte Bereiche : Eine Zonenbewertung kann ergeben, dass bestimmte Bereiche mit Computern nicht alle Sicherheitsanforderungen vollständig erfüllen. In solchen Fällen besteht eine Möglichkeit darin, den Raum vollständig abzuschirmen oder abgeschirmte Schränke für solche Computer zu verwenden. Diese Schränke bestehen aus speziellen Materialien, die die Ausbreitung von Strahlung verhindern.
• Computer mit eigenen TEMPEST-Zertifikaten : Manchmal befindet sich der Computer an einem sicheren Ort, es fehlt jedoch ein angemessenes Sicherheitsniveau. Um das bestehende Sicherheitsniveau zu verbessern, gibt es Computer und Kommunikationssysteme, die über eine eigene TEMPEST-Zertifizierung verfügen, die die Sicherheit ihrer Hardware und anderer Komponenten zertifiziert.

TEMPEST zeigt, dass selbst wenn Unternehmenssysteme praktisch sichere physische Räume haben oder nicht einmal mit externer Kommunikation verbunden sind, es keine Garantie dafür gibt, dass sie vollständig sicher sind. In jedem Fall hängen die meisten Sicherheitslücken in kritischen Infrastrukturen höchstwahrscheinlich mit normalen Angriffen (z. B. Ransomware) zusammen, die wir kürzlich gemeldet haben . In diesen Fällen können Sie solche Angriffe einfach mithilfe geeigneter Maßnahmen und fortschrittlicher Informationssicherheitslösungen mit erweiterten Schutzoptionen vermeiden. Die Kombination all dieser Schutzmaßnahmen ist der einzige Weg, um die Sicherheit von Systemen zu gewährleisten, die für die Zukunft des Unternehmens oder sogar des gesamten Landes von entscheidender Bedeutung sind.