Bundesamt für Sicherheit in der Informationstechnik

G 5.104 Ausspähen von Informationen

Neben einer Vielzahl technisch komplexer Angriffe gibt es oft auch viel einfachere Methoden, um an wertvolle Informationen zu kommen. Da sensitive Daten oft nicht ausreichend geschützt werden, können diese oft auf optischem, akustischem oder elektronischen Weg ausgespäht werden.

Beispiele:

  • Die meisten IT-Systeme sind durch Identifikations- und Authentisierungsmechanismen gegen eine unberechtigte Nutzung geschützt, z. B. in Form von Benutzer-ID- und Passwort-Prüfung. Wenn das Passwort allerdings unverschlüsselt über die Leitung geschickt wird, ist es einem Angreifer möglich, dieses auszulesen.
  • Um mit einer ec- oder Kreditkarte Geld an einem Geldausgabeautomaten abheben zu können, muss die korrekte PIN eingegeben werden. Leider ist der Sichtschutz an diesen Geräten häufig unzureichend, so dass ein Angreifer einem Kunden bei der Eingabe der PIN ohne Mühe über die Schulter schauen kann. Wenn er ihm hinterher die Karte stiehlt, kann er damit das Konto plündern. Der Kunde hat anschließend außerdem das Problem, dass er nachweisen muss, nicht fahrlässig mit seiner PIN umgegangen zu sein, sie also beispielsweise nicht auf der Karte notiert hat.
  • Um Zugriffsrechte auf einem Benutzer-PC zu erhalten oder diesen anderweitig zu manipulieren, kann ein Angreifer dem Benutzer ein Trojanisches Pferd schicken, das er als vorgeblich nützliches Programm einer E-Mail beigefügt hat. Erfahrungsgemäß öffnen Benutzer trotz aller Aufklärung sogar dann E-Mail-Anhänge, wenn diese nicht erwartet wurden oder merkwürdige Namen tragen. Neben unmittelbaren Schäden können über Trojanische Pferde Informationen nicht nur über den einzelnen Rechner, sondern auch über das lokale Netz ausspäht werden. Insbesondere verfolgen viele Trojanische Pferde das Ziel, Passwörter oder andere Zugangsdaten auszuspähen.
  • In vielen Büros sind die Arbeitsplätze akustisch nicht gut gegeneinander abgeschirmt. Dadurch können Kollegen, aber auch Besucher unter Umständen Gespräche mitgehören und dabei Kenntnis von Informationen erlangen, die nicht für sie bestimmt oder sogar vertraulich sind.

Stand: Stand 2005