FOKUS 001 – BSI Grundschutz
Unter dem Stichwort FOKUS möchte ich hier im Blog regelmäßig Maßnahmen aus den Grundschutzkatalogen des BSI vorstellen. Im FOKUS 001 geht es um die Maßnahme
M 4.89 Abstrahlsicherheit
In meinem Beitrag Abhören über die Stromversorgung habe ich eine Möglichkeit vorgestellt, wie kompromittierende Abstrahlung aufgefangen werden kann. In dem zugrunde liegenden Testaufbau werden noch in einer Entfernug von 15 Metern Daten abgefangen, die über die Erdungsleitung der Tastatur emittiert werden. Solche Angriffe werden regelmäßig vorgestellt. Heise berichtete z.B. 2008 von einem ähnlichen Versuchsaufbau zum Angriff auf Tastatureingaben. Diese Art der Spionage wird auch als Van-Eck-Phreaking bezeichnet. Sie ist benannt nach dem niederländischen Wissenschaftler Wim van Eck , der dieses Szenario 1985 zum ersten Mal beschrieb.
Der Grundschutz unterscheidet folgende Formen der Abstrahlung:
- elektromagnetische Wellen im freien Raum
- Abstrahlung entlang metallischer Leiter (Kabel, Rohre)
- Überkoppeln auf parallele Datenkabel
- akustische Abstrahlung, z. B. bei Nadel-Druckern (Bericht)
- akustische Überkopplung auf andere Geräte
- manuell erzeugte bloßstellende Abstrahlung (z.B. durch Bestrahlung von außen)
“In allen Fällen hat die Installation, also die Verkabelung der Geräte untereinander und mit dem Stromversorgungsnetz, einen wesentlichen Einfluss auf die Ausbreitung und damit auch auf die Reichweite der Abstrahlung”
Das BSI schlägt verschiedene Maßnahmen vor, die ohne größere Kostensteigerung vor bloßstellender Abstrahlung schützen. Dies macht die Maßnahmen auch dann attraktiv, wenn Sie für sich keine unmittelbare Bedrohung sehen, auf diese Art und Weise angegriffen zu werden.
- Zonenmodell
- Einsatz abstrahlarmer bzw. abstrahlgeschützter Geräte
Das Zonenmodell berücksichtigt die Abschwächung der Abstrahlung auf ihrem Weg vom verursachenden IT-Gerät zum potentiellen Empfänger und teilt den Raum so in Gefährdungszonen ein. Je nach Zone muss handelsübliches oder besonders abstrahlarmes Gerät eingesetzt werden. Im freien Raum entsprechen 0-20 Meter Zone 0, 20-100 Meter Zone 1 und mehr als 100 Meter Zone 2. Die Dämpfungseigenschaften von Gebäuden verringern diese Entfernungen in der Regel (Maßnahmen zur elektromagnetischen Schirmung von Gebäuden). Sie können durch Leitungen und Rohre innerhalb des Gebäudes – sogenannte Zufallsleiter – auch verschlechtert werden! Für jeden Betriebsraum nimmt man im Rahmen des Zonenmodells eine Zuordnung vor, aus der sich eine Empfehlung für die zu beschaffenden Geräte ableitet:
Die Zonenzuordnung gibt es vor: In Zone 1 Räumen kommt Zone 1 Gerät zum Einsatz u.s.w. Ob an den Geräte bereits bei der Neuentwicklung oder erst nach der Herstellung eine Minimierung der Störstrahlung vorgenommen wurde ist dabei unerheblich. Eine sogenannte Mustervermessung oder ein Kurzmessverfahren erlaubt, die Abstrahlsicherheit mit geringem Aufwand sicherzustellen. Nähere Informationen zu diesen Verfahren und eine Liste mit abstahlgeprüftem Gerät finden sie in der Technischen Leitlinie TL 03305 des BSI. Dort finden Sie auch eine Liste der Anbieter, die solche Prüfungen durchführen. In den meisten Fällen müssen die Geräte an einigen Stellen mit abschirmender Folie beklebt werden; An den Strom- und Datenkabeln werden oft sogenannte Ferritkerne angebracht, die die Abstrahlung der Leitungen minimieren. Die Firma GBS TEMPEST und Service GmbH bietet eine schöne Broschüre zum Download an, in der auch Abbildungen der Messanlagen enthalten sind.
Es gibt jedoch auch zwei ganz einfache Regeln, die das Abstrahlverhalten positiv beeinflussen. Erstens: Legen Sie den Aufstellungsort von besonders schützenswerten IT-Anlagen möglichst ins Gebäudeinnere oder zumindest auf die Gebäudeseite, von der ein “Lauschangriff” am wenigsten zu vermuten ist. Und zweitens: Verlegen Sie die Datenleitungen und andere Leitungen (Strom, Heizung, etc) nie parallel und mit möglichst großem Abstand. Lassen Sie Abstand zwischen Wänden und dem Aufstellungsort.
Paranoid? Das hängt vom zuvor ermittelten Schutzbedarf ab. Ist der groß genug, gilt: Vorsicht ist die Mutter der Porzelankiste.
