Der physische Zugangsschutz stellt einen wichtigen Aspekt jeder Sicherheitsstrategie dar. Ein aktuelles Beispiel zeigt, wie schnell der Weg in Gebäude kritischer Infrastrukturen, Behörden oder Unternehmen frei sein kann. Anstatt Brecheisen oder Social Engineering genügt ein handelsübliches Telefon.
Aufgrund mehrerer Schwachstellen im Netzwerk eines Maschinenbauunternehmens konnte ich das Telefonbuch der VoIP Telefonanlage herunterladen. Auf den ersten Blick sind die Einträge unspektakulär: Telefone und Faxgeräte. Doch beim Durchblättern wird mein Interesse von einer Nebenstelle geweckt. Dort heißt es: „Tür ****staße“. Der Grund für diesen Eintrag ist simpel. Moderne Türklingeln sind einschließlich der Sprechanlage in das Telefonsystem eingebunden. Wenn jemand an der Tür klingelt, wird im Gebäude ein Anruf an definierte Rufnummern ausgelöst. Nach dem Abheben wird eine Sprechverbindung hergestellt und der Türöffner kann per Tastencode betätigt werden.
Ich entscheide mich die Durchwahl von meinem Handy aus anzurufen. Es klingelt zwei mal, dann wird abgenommen. Ein Piepton ertönt, im Hörer sind Straßengeräusche und Gespräche zu hören. Ich lege auf. Falls diese Tür mit einem Türöffner ausgestattet ist und ich den Tastencode herausfinde, kann ich mir Zugang zum Gebäude verschaffen. Eine kurze Adressrecherche liefert die genaue Anschrift. Ich will mir die Situation vor Ort einmal ansehen.
Als ich ankomme ist es bereits Abend. Der Eingangsbereich ist noch hell erleuchtet, doch in den Büros ist alles dunkel. Die Tür ist verschlossen. An der Wand ist ein Lesegerät für Zugangskarten angebracht. Daneben hängt eine weit verbreitete Türsprechanlage. Die Identifikation ist leicht, da das Herstellerlogo aufgedruckt ist. Mit einem weiteren Anruf überprüfe ich noch kurz, ob ich an der richtigen Tür stehe.
Eine kurze Suche nach der Bedienungsanleitung fördert den Standardcode für die Türöffnung zu Tage. Ich rufe die Sprechstelle ein weiteres Mal an, warte auf den Aufbau der Sprechverbindung und gebe den Öffnungscode ein. Der Lautsprecher beginnt zu piepen. Ich höre wie ein Motorschloss auffährt, die Tür lässt sich aufdrücken. Ohne das Gebäude zu betreten lasse ich die Tür wieder zufallen. Das Piepen verstummt und das Motorschloss verriegelt wieder.
Zeit für ein Werkzeug
Mein Interesse für die Problematik war nun geweckt. Ich wollte herausfinden, ob auch andere Firmen davon betroffen sind. Bisher benötigte ich Zugriff auf das interne Telefonbuch. Dies sollte jedoch keine Vorbedingung für eine erfolgreiche Türöffnung bleiben. Die Idee ist einfach und an automatische Netzwerkscans angelehnt. Türsprechstellen nehmen innerhalb weniger Sekunden den Anruf an. Wenn nachts oder am Wochenende kein oder nur wenig Personal im Gebäude ist, sollten nur wenige Nebenstellen erreichbar sein. Falls ein Anruf angenommen wird, handelt es sich also möglicherweise um eine Türsprechstelle. Ich entwickelte ein Werkzeug, das die Anrufe automatisiert. Das Programm ruft alle Nebenstellen nacheinander für wenige Sekunden an. Falls der Anruf angenommen wird, wird das nachfolgende Gespräch für fünf Sekunden aufgezeichnet. Dadurch wird die anschließende Auswertung erleichtert.
In den Ergebnissen finden sich natürlich auch Faxgeräte, Anrufbeantworter oder Rufumleitungen. Manchmal nimmt auch ein Mitarbeiter ab. Da die Anzahl der Treffer jedoch üblicherweise niedrig ist und Türsprechstellen eine bestimmte Charakteristik aufweisen, fällt die Unterscheidung leicht. Die nachfolgenden Abschnitte zeigen die dadurch entdeckten Zugänge.
Der Netzbetreiber
Betreiber von Energieversorgungsnetzen gehören zweifelsfrei zur kritischen Infrastruktur. Ein längerer Ausfall hätte katastrophale Folgen. Gebäude und Netzwerke müssen daher hohe Sicherheitsanforderungen erfüllen. Mein Werkzeug hatte mehrere Nebenstellen eines Netzbetreibers als Türsprechstellen identifiziert.
Das Unternehmen hat jedoch mehrere Gebäude in unterschiedlichen Stadtteilen. Die Herausforderung ist nun, die Standorte der entdeckten Sprechstellen zu identifizieren. Dazu höre mir die übertragenen Hintergrundgeräusche jeder Türstation für ein paar Minuten an und notiere Auffälligkeiten. Mal ist viel städtischer Verkehr zu hören, eine in der Nähe verlaufende Autobahn oder Flugzeuge. Als nächstes sehe ich mir Satelliten- und Straßenaufnahmen aller mir bekannten Gebäude an. So kann ich einerseits sehen, ob dort überhaupt öffentlich erreichbare Sprechstellen verbaut sind, aber auch einen Abgleich mit den Hintergrundgeräuschen durchführen.
Nun habe ich zwar eine grobe Zuordnung, sicher bin ich mir aber noch nicht. In der Nähe eines Gebäudes befindet sich eine Bushaltestelle. Der Bus fährt direkt am Gebäude vorbei. Wie in vielen Städten gibt es auch dort Echtzeitdaten der Abfahrtszeiten auf der Internetseite des Verkehrsunternehmens. Durch gezielte Anrufe kurz vor der Abfahrt kann ich meine Vermutung bestätigen. Vor Ort finde ich tatsächlich die beiden Türen, bei denen ein Türsummer öffnet.
Das Pharmaunternehmen
Hohe Stacheldrahtzäune schützen das Gelände des Pharmaunternehmens irgendwo in Deutschland. Die Umgebung ist gut beleuchtet, die Zauninnenseite wird mit Kameras überwacht. Am Zaun wurden Sensoren montiert, die ein Aufschneiden oder Überklettern des Zauns erkennen sollen. Die massiven Drehkreuze sind mit Türsprechstellen ausgestattet. Hier wurde das Thema Perimeterschutz ernst genommen und investiert.
Mein Werkzeug hat mehrere Nebenstellen identifiziert. Ich höre mir die Aufnahmen an. Inzwischen erkenne ich die Tonfolgen der gängigen Hersteller. Sofort ist klar, dass es sich eine aufwendigere Lösung handelt. Sie ist prädestiniert für den beidseitigen Einsatz an Drehkreuzen. Immerhin führte die Verwendung der Standardcodes bei den meisten Türstationen nicht zum Erfolg.
Die Kommunalverwaltung
Wer ungestörten Zugang zu einem Verwaltungsgebäude hat, kann auch Zugriff auf Akten, Computer oder Netzwerke nehmen. Ungebetene Gäste sind in einem solchen Gebäude bereits aus Datenschutzsicht höchst problematisch.
Bei einer Kommunalverwaltung konnte mein Werkzeug im Vorfeld eine ganze Reihe von Türsprechstellen identifizieren. Da die Verwaltung jedoch Gebäude in unterschiedlichen Orten im selben Vorwahlbereich hat, war der Standort zunächst nicht eindeutig. In öffentlichen Verwaltungen ist es jedoch üblich, Ansprechpartner und Ämter für verschiedene Angelegenheiten einschließlich ihrer Kontaktdaten im Internet zu benennen. Offensichtlich folgte die Nummernvergabe einem Schema, bei dem zwei bis drei Ziffern für das Gebäude oder Amt stehen. Mit dem Umweg über die öffentlich benannten Kontakte war so eine Zuordnung zu Gebäuden möglich.
An manchen Standorten habe ich kein Glück. Der Öffnungscode funktioniert zwar, es wurde aber kein Türöffner verbaut. Die Tür bleibt für mich verschlossen. Bei anderen Türen macht ein Motorschloss den Weg frei.
Das Handelsunternehmen
Einige große Handelsunternehmen gehören ebenfalls zur kritischen Infrastruktur, da sie die Versorgung der Bevölkerung mit lebenswichtigen Waren sicherstellen müssen. Auch hier konnte ich im Vorfeld mehrere Sprechstellen erreichen. Vor Ort finde ich schnell eine betroffene Türstation. Der Standardcode funktioniert hier nicht. Nach einigen Versuchen habe ich jedoch Glück und kann ihn erraten. Wieder entriegelt nach Eingabe des Codes ein Motorschloss.
Kostenfalle
Manche Türstationen können auch per DMTF Codes konfiguriert werden. Dazu ist die Eingabe eines Sicherheitscodes erforderlich, der jedoch häufig nicht geändert wird. Durch eine Umkonfiguration kann das Verhalten dahingehend verändert werden, dass keine Anrufsignalisierung erfolgt und die Umgebung unbemerkt abgehört werden kann.
Darüber hinaus könnten die Zielrufnummern auf teure Mehrwertnummern gesetzt werden. Die maximale Anrufdauer kann zudem erhöht werden, um den Schaden zu vergrößern. Zusätzlich ist bei manchen Modellen eine automatische Anwahl einer Rufnummer nach einem Anruf von Außen möglich. So würde vor Ort keine Interaktion benötigt.
Erraten der Codes
Eine Sicherheitsempfehlung aus diesen Beispielen lautet, dass die Öffnungs- und Konfigurationscodes grundsätzlich geändert werden sollten. Doch reicht das aus? Die meisten Sprechstellen erlauben die Einstellung von maximal vierstelligen Codes. Somit gibt es 10.000 Möglichkeiten.
In einem weiteren Versuch entwickelte ich ein Werkzeug, das in einem Brute-Force-Ansatz automatisch eine bekannte Sprechstelle anwählt und nacheinander alle Öffnungscodes sendet. Dank der Übertragung der DTMF Codes im RTP Datenstrom nach RFC 4733 ist dies äußerst zuverlässig.
Das Werkzeug wurde an Sprechstellen unterschiedlicher Hersteller angepasst. So legen manche Sprechanlagen nach einer vordefinierten Zeit oder nach einem oder einem oder mehreren Fehlversuchen auf. Auch die Eingabeformate für die Öffnungscodes unterscheiden sich. Daher enthält es verschiedene angepasste Module, die das jeweilige Verhalten behandeln und bei bedarf eine erneute Anwahl durchführen. Es zeigte sich jedoch, dass keine der derzeit implementierten Maßnahmen einen Wirksamen Schutz vor dem beschriebenen Angriff darstellt. Je nach Produkt lässt sich eine Worst-Case-Laufzeit von 12 bis 24 Stunden erreichen. Statistisch gesehen wird der Code bereits nach der Hälfte der Zeit erraten.
Eignung als Zugangsschutz
Bestimmte Modelle erfreuen sich besonderer Beliebtheit, da sie kompakt sind und alle benötigten Komponenten in einem Gehäuse für die Außenmontage vereinen. So ist für den Anschluss nur eine Telefonleitung bzw. ein Netzwerkkabel und optional der Anschluss für den Türöffner erforderlich.
Ein Blick in das Handbuch zeigt die Problematik auf. Zum Öffnen des Gehäuses reicht ein Inbusschlüssel aus. Darin befindet sich der Kontakt für den Türöffner. Durch die Überbrückung mit einem Draht kann die Öffnung ausgelöst werden. Bei VoIP Sprechstellen wird darüber hinaus ein Netzwerkkabel in den Außenbereich geführt. Wer auf den Einsatz einer Sabotageerkennung oder getrennte Netzwerke verzichtet, hat hier ein weiteres Sicherheitsproblem.
In den meisten Geräten wird der Türöffner über ein Relais angesteuert. Durch den Einsatz von Relais können die Spannungsversorgung für die Sprechanlage und den Türöffner galvanisch getrennt werden. Dadurch werden die Geräte flexibler einsetzbar und können Türöffner mit beliebigen Spannungen betätigen. Relais sind jedoch mechanische Bauteile, bei denen der Schaltvorgang durch eine Spule erfolgt. Soll der Türöffner betätigt werden, wird eine Spannung an der Spule angelegt. In der Folge fließt Strom durch die Spule und es wird ein Magnetfeld aufgebaut. Das Magnetfeld bewirkt die mechanische Bewegung des Schaltkontakts.
In einigen sehr kompakten Geräten ist das Relais direkt unter der Frontplatte angebracht. Dort konnte das Relais auch durch einen starken Magneten in der Nähe des Gehäuses betätigt werden. Eine Sabotageerkennung schlägt in diesen Fällen nicht an. Gleichzeitig ist diese Art der Öffnung trivial durchführbar und sehr unauffällig.
Fazit
Unternehmen und Behörden sollten ihre Türsprechanlagen im Hinblick auf das beschriebene Problem überprüfen. Da in den vorliegenden Fällen teilweise Sprechanlagen übersehen wurden, empfiehlt sich auch eine externe Überprüfung der erreichbaren Telefoniegeräte.
Darüber hinaus sollte eine Bewertung durchgeführt werden, inwiefern sich die eingesetzten Modelle für die jeweiligen Sicherheitsanforderungen eignen. Bei einer möglichen Türöffnung sollte mindestens eine Sabotageerkennung eingesetzt werden. Werden höhere Sicherheitsanforderungen gestellt, sollte die Elektronik abgesetzt und geschützt im Innenbereich montiert werden.
Darüber hinaus hat sich gezeigt, dass das Setzen eines vierstelligen Öffnungscodes nicht ausreicht. Daher sollte die Erreichbarkeit der Sprechanlagen aus dem öffentlichen Telefonnetz grundsätzlich eingeschränkt werden. Um auch der Gefahr durch Innentäter Sorge zu tragen, empfiehlt sich zudem die automatische Rufannahme direkt an der Sprechanlage zu deaktivieren. So wird der beschriebene Brute-Force-Ansatz zum Erraten des Öffnungscodes unpraktikabel, da der Angreifer bei einem erforderlichen Neuaufbau der Verbindung den Anruf vor Ort annehmen müsste.
Hersteller sollten ihre Sprechanlagen in sicheren Standardkonfigurationen ausliefern und in den Handbüchern deutlich auf Risiken bei bestimmten Betriebsarten und Einsatzbereichen hinweisen. Zudem sollte die magnetische Abschirmung der Relais getestet und gegebenenfalls verbessert werden.
Vorabwarnung des BSI
Das BSI hat bereits vor der Veröffentlichung dieses Artikels eine Warnung an kritische Infrastrukturen herausgegeben. Somit wurde sichergestellt, dass dort gegebenenfalls notwendige Konfigurationsanpassungen bereits umgesetzt werden konnten.
Disclaimer
Im Artikel wurden Orte und zeitlicher Ablauf zur Wahrung der Vertraulichkeit stark verändert. Zudem wurden die angewendeten Methoden zur Lokalisierung der jeweiligen Sprechstellen teilweise zwischen den Unternehmen vertauscht. Ein konkreter und korrekter Bezug zu einzelnen Behörden oder Firmen kann aufgrund der fehlenden Eindeutigkeit nicht hergestellt werden. Korrekt ist jedoch die Problematik sowie die betroffenen Branchen.