IT-Sicherheitsexperten warnen vor Druckern, die auch gleichzeitig als Fax und Scanner genutzt werden können. Auf dem Chaos Communication Congress in Leipzig zeigten Hacker, wie diese sogenannten All-in-one-Faxgeräte ohne Probleme von außen übernommen werden können. Darüber berichtete ich für den ARD-Hörfunk.
Yaniv Balmas erfüllt eigentlich alle Vorurteil, die man bei einem Hacker haben könnte. Mit acht Jahren bastelte er an seinem Commodore 64 – dem Urgroßvater aller Personalcomputer – herum, als Teenager bezeichnete er sich dann selbst als Hacker. Heute arbeitet er in einer Firma für Computersicherheit. Er steht mit seinem Kollegen Eyal Itkin auf der Bühne, der eine ähnliche Geschichte hat. Zur Begrüßung nicht nur Applaus, sondern auch ein ganz bestimmtes Geräusch, welches für die eher jüngeren Besucher des Chaos Communication Congress einen eher historischen Klang hat.
Dieses Piepsen war im letzten Jahrhundert das Zeichen für eine Datenübertragung via Telefonleitung. Jedes Faxgerät nutzte diese Geräusche. Yaniv Balmas:
1980 definierte die internationale Organisation ITU die gängigen Standards für den Faxverkehr. Und diese Standards sind noch immer dieselben Standards, die wir heute nutzen.
Yaniv Balmas, Check Point Software Technologies
Und das brachte die beiden Experten auf die Idee, einmal nachzuschauen, wie sicher denn die inzwischen fast 40 Jahre alten Übertragungsregeln sind.
Sie nahmen sich dafür die sogenannten All-in-one-Geräte, die sowohl als Fax, Drucker und Scanner arbeiten, vor. Monatelang wurden diese auseinandergebaut und ihre Software untersucht. Das Ergebnis ist durch aus ernüchternd, erzählen die beiden: Der noch immer weltweit genutzte Fax-Standard T 30 biete er keinerlei Schutz für Angriffe. So könnten riesige Datenmengen in einen bestimmten Speicherbereich geschickt und dadurch die vollständige Kontrolle über das Faxgerät übernommen werden. Dafür würde eine Faxdatei genügen, in die ein bösartiger Code eingefügt wurde. Da diese Faxgeräte normalerweise mit dem Computer des Nutzers oder mit dem Firmennetz verbunden seien, wäre das ein erhebliches Sicherheitsrisiko. Für Eyal Itkin steht fest:
Wenn du keine Faxübertragung brauchst, dann nutze kein Fax. Wenn du sie brauchst, dann stelle sicher, dass das Faxgerät von deinem Computernetz getrennt ist.
Eyal Itkin, Check Point Software Technologies
Doch ihren besten Tipp rufen beide zum Schluss des Vortrags in den Saal: Das Faxen sollte sofort einstellen. Es gäbe genug Alternativen, wie PDF oder E-Mail.
