Ich weiss, was du gestern auf deinem Computer getippt hast
Ein britisches Forscherteam hat durch die Auswertung einer Tonaufnahme von Tippgeräuschen den getippten Text rekonstruiert – mit einer Trefferquote von mehr als 90 Prozent. Welche Folgen hat das für die IT-Sicherheit?
Die Tastatur unseres Computers ist für Cyberkriminelle eine wertvolle Informationsquelle. Mit Schadsoftware wie Keyloggern leiten sie etwa Login-Daten für das Onlinebanking aus und missbrauchen diese für ihre Zwecke. Was aber machen Kriminelle, wenn sie keinen direkten Zugriff auf den Rechner ihres Opfers haben? Die Lösung ist eigentlich einfach – und auch wieder nicht.
An Informationen auf einem Rechner zu gelangen, auf den man keinen persönlichen Zugriff hat, ist für Cyberkriminelle und Geheimdienste so etwas wie der heilige Gral. Derartige Anstrengungen sind nicht neu. Dabei nutzen die angreifenden Gruppen Eigenschaften des Systems aus, die sich nicht oder nur schwer verändern lassen, wie die elektromagnetische Strahlung von Bildschirmen oder auch Fluktuationen im Stromverbrauch des Prozessors. Der Name dafür: Seitenkanalangriff. Ein bekanntes, aber leider nicht ganz authentisches Beispiel: der Safeknacker aus Filmen. Mithilfe eines Stethoskops hört er das leise Klicken im komplexen Schlossmechanismus des Tresors und öffnet so das Schloss – ohne den Code zu kennen.
Mitgehört und mitgeschrieben
Ein Forscherteam dreier britischer Universitäten ist nun mit künstlicher Intelligenz (KI) Beunruhigendes gelungen, wie sie in ihrem Forschungsbericht schreiben. Das eigentliche Angriffsszenario ist bereits zehn Jahre alt. Da nutzte ein Seitenkanalangriff die Geräusche der Tastatur beim Tippen. Mit modernen KI-Technologien kombiniert, ist das Ergebnis beachtlich. Mit 93-prozentiger Genauigkeit konnte die KI das Getippte rekonstruieren.
Dabei setzte die Forschungsgruppe zwei alltägliche Szenarien: Die Aufzeichnung der Tippgeräusche werden per Smartphone oder während einer Zoom-Sitzung abgehört. Weil nach Corona der Einsatz von Videokonferenzsystemen im Geschäftsalltag deutlich zugenommen hat und Smartphones immer dabei und online sind, ist es verständlich, wenn sich Unbehagen breitmacht.
Allerdings gibt es bei den beschriebenen Angriffsmethoden auch Einschränkungen. Ein wesentlicher Bestandteil dessen ist die zu belauschende Tastatur. In der aktuellen Studie kam ein Apple-Notebook zum Einsatz – als Beispiel für ein weitverbreitetes Laptop-Modell. Es ist also unklar, ob sich die Erkenntnisse auch auf andere Notebook-Tastaturen oder Desktop-Geräte übertragen lassen.
Eingetippt und abgehört
Grundsätzlich aber ist und bleibt es ein Problem, wenn fremde Personen vertrauliche Informationen – beispielsweise Forschungsberichte oder Geschäftspläne – beim Eintippen abhört. Und wie sieht es mit Passwörtern aus? Eine gute Annäherung durch KI macht das Erraten eines Passworts wesentlich einfacher. Zum Beispiel: Das Passwort lautet „Passwort“. Die KI hört das Eintippen mit und liefert „Passeort“ als Ergebnis. Die Zahl möglicher Kombinationen für ein sinnvolles Wort ist damit überschaubar. Aber: Komplexe Eingaben mit Grossbuchstaben oder Sonderzeichen sind eine Hürde, weil hier mehrere Tasten gleichzeitig gedrückt werden müssen.
Aber Bedenken hinsichtlich des Passworts lassen sich entkräften. Besteht ein Kennwort aus einer zufällig gewählten Zeichenfolge, wird es schwerer, dieses aus dem Gehörten abzuleiten. Wer einen Passwortmanager nutzt, tippt Login-Daten nicht mehr ein. Angreifern fehlt damit die Grundlage fürs Abhören. Wer zusätzlich Zwei-Faktor-Authentifizierung zum Schutz seiner Onlinekonten nutzt, reduziert die Gefahren eines akustischen Seitenkanalangriffs deutlich. Insofern ist davon auszugehen, dass dieser Angriffsweg bei Passwörtern in der Praxis kaum zum Einsatz kommen wird. Denn es gibt für Cyberkriminelle bequemere Wege, um Login-Daten abzugreifen. Phishing-Mails oder Social Engineering sind einfacher und deutlich profitabler.
Wer hört mit?
Wie gross ist also die Gefahr für Nutzerinnen und Nutzer sowie Unternehmen? Wahrscheinlich recht gering, denn der Aufwand ist für Cyberkriminelle recht hoch und beim Ausspähen von Kennwörtern nicht lohnenswert. Interessanter ist das Szenario bei Industrie- und Wirtschaftsspionage. Wo viel getippt wird, da fallen auch viele Daten an. Neben vielen interessanten Informationen auch viele Nebensächlichkeiten. Was erneut die Wirtschaftlichkeit der Angriffsmethode grundsätzlich infrage stellt.
Am Ende bleibt eine unangenehme Erinnerung daran, dass Mikrofone allgegenwärtig sind. Wer also unternehmenskritische Informationen verarbeitet, sollte den Aspekt durchdenken – ohne gleich in Panik zu verfallen. Schon seit Jahren haben Smartphones bei bestimmten Besprechungen in Behörden Hausverbot – sie dürfen nicht mit in den Konferenzraum. Aber auch im privaten Umfeld kann es sinnvoll sein, einmal zu überlegen, welche Geräte potenziell mithören könnten. Ob nun deshalb jemand zum Maschinenstürmer wird, ist jedem selbst überlassen. Ein Bewusstsein darüber schadet aber zumindest nicht.
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Gil Shwed über Rücktritt, Cybercrime und KI
Bitdefender startet Förderprogramm für Start-ups
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Update: Cloud-Anbieter nach Ransomware-Angriff Konkurs
Hamster entrinnt dem Regenbogen-Labyrinth
Protonmail lanciert Dark Web Monitoring
