Datensicherheit

Was du siehst, das seh ich auch

Von Tim Schröder
Aktualisiert am 21.01.2008
 - 13:46
Für Datenspione interessant: Reflexionen in der Pupille
Vertrauliches auf dem Computer betrachtet man gerne allein. Doch das datenhaltige Licht aus dem Bildschirm verlässt über Umwege schon mal den Raum. Schon die Reflektion der Inhalte in der Pupille erlaubt Spionen das Mitlesen.

Ein Lieferwagen fährt vor, direkt vor dem Fenster im Erdgeschoss. Niemand steigt aus. Die Menschen drinnen im Büro schauen nur kurz auf und wenden sich wieder ihren Bildschirmen zu. Ahnungslos. Die Mattscheiben sind vom Fenster weggedreht. In den Gesichtern spiegelt sich nur ihr kaltes Leuchten. Doch genau darauf hat es der Mann im Lieferwagen abgesehen.

Er schraubt einen Fotoapparat auf ein dickes Teleskop, schiebt es ans Heckfenster, blickt durchs Okular und nimmt einen Büroarbeiter ins Visier. Das Gesicht erscheint riesig. Der Mann im Lieferwagen zoomt es langsam heran, die Augenpartie, die Pupille. Formatfüllend. Sachte dreht er am Okular. Die Pupille wächst weiter und damit das, wonach er sucht: die Reflexion des Computerbildes. Er fährt noch näher heran, vergrößert mehr als hundertfach. Jetzt kann er im Spiegelbild auf dem Auge die Buchstaben lesen: „Vertraulich“. Das ist es. Er drückt auf den Auslöser. Schießt Foto um Foto, während der Mann am Bildschirm unbedarft weiterscrollt. Minuten später rollt der Lieferwagen vom Parkplatz. Fort zum Computer, der in den Fotos auch die letzten Details entziffern wird.

Verschlüsselungen durch Zuschauen umgehen

Die Szene ist fiktiv, aber die Idee bestechend: Statt sich begehrte Dokumente heimlich zu kopieren, schaut der Spion einfach zu, wenn sie benutzt werden, und umgeht so alle Verschlüsselungen. Bei Computern mit Bildschirmröhren war es möglich, durch Analyse deren unvermeidliche elektromagnetische Ausdünstungen unbemerkt mitzulesen. Fachleute nennen das einen „Seitenkanal-Angriff“. Bei Flachbildschirmen bleiben immer noch Seitenkanäle in Gestalt verräterischer Abstrahlungen von Kabelverbindungen, die sich allerdings abschirmen lassen.

Der Herr in dem Lieferwagen spioniert infamerweise auf genau demselben Kanal, den auch der rechtmäßige Benutzer verwendet. Dass das im Prinzip geht, hat jetzt der Saarbrücker Informatiker Michael Backes gezeigt. Nun steht fest, dass sich mit handelsüblichen Teleskopen und Kameras durchs Fenster hindurch Computerbildschirme auslesen lassen, selbst wenn von außen nur deren Rückseite zu sehen ist. Denn reflektierende Gegenstände gibt es im Büro zuhauf - Brillen, Teelöffel, Plastikflaschen und sogar die Pupillen der Mitarbeiter. Beinahe jede glatte Oberfläche reflektiert das Bild eines Monitors und wirft es möglicherweise zum Fenster hinaus. Wer mit der richtigen Optik anreist, kann sich nach Herzenslust bedienen.

Nur Gesichter, nicht die Bildschirme

Die Idee zu seinen Experimenten kam Backes vor einem guten Jahr auf dem Weg zur Mensa. Die Büros des Professors für Informationssicherheit und Kryptographie liegen im Erdgeschoss des Max-Planck-Instituts für Informatik. Täglich geht er daran vorbei. „Von außen sieht man nur die Gesichter, aber nie die Bildschirme. Ich wollte einfach einmal ausprobieren, wie weit man das Spionage-Spiel mit simpler Teleskop- und Kameratechnik treiben kann.“

Als Spitzenreflektor erwies sich eine gläserne Teekanne. Aus einer Entfernung von zehn Metern konnten die Saarbrücker darauf noch eine 18-Punkt-Schrift auf dem gespiegelten Bildschirm entziffern - mit einer Ausrüstung, die gerade einmal 1200 Euro gekostet hat: einer Digitalkamera, zwei Teleskopen und ein wenig Software. 18 Punkt entsprechen zwar nicht gerade Kleingedrucktem, aber manchem Industriespion reichen ja vielleicht schon die Überschriften einer Powerpoint-Präsentation.

Festplatten leer räumen mit PDFs

„Mit teurer Optik hätten wir auf Anhieb sicher mehr erreicht“, sagt Michael Backes. Zwar reflektiert der Teepott ganz beachtlich, die Pupille aber macht noch Probleme. Bislang kann er darauf nur Schriftgröße 60 ablesen - aus einer Distanz von drei Metern. Augen rastern die Umgebung ununterbrochen mit einem kaum sichtbaren Zittern ab und verwischen damit auch die Reflexionen. Um scharfe Fotos zu schießen, muss die Belichtungszeit extrem kurz sein. Dazu sind Backes' Teleskope aber zu lichtschwach - sie benötigen eine Sekunde.

Aber Spionage-Optik ist für Backes - mit 30 Jahren ist er einer der jüngsten Professoren seiner Zunft - eher ein Hobby. Hauptamtlich befasst er sich mit Datenverschlüsselung, was er aber ähnlich sportlich angeht. „Wenn es eine neue Sicherheitstechnik gibt, denke ich: ,Toll' - und dann überlege ich, wie ich sie kaputt machen kann“, sagt er. So hat er Dokumenten im beliebten Post-Script-Format, zum Beispiel PDFs, beigebracht, Festplatten leer zu räumen und sich selbst individuell zu verfälschen - abhängig davon, auf welchem Computer man sie gerade öffnet.

Zittern der Augen „rückrechnen“

Das teleskopische Ausschnüffeln von Datensichtgeräten ist dagegen vor allem ein Hardware-Problem. „Wirklich knifflig und zeitraubend war die Suche nach den optimalen optischen Einstellungen“, sagt Backes. Um die Verzerrung der Bilder durch die Wölbungen von Löffeln und Sonnenbrillen aus den Bilddaten herauszurechnen, reicht hingegen eine Standard-Software. Für das Pupillenproblem holt sich Backes Hilfe bei seinen Kollegen von der Abteilung Bildverarbeitung. Sie entwickeln jetzt spezielle Rechenvorschriften, welche die Zitterbewegungen des Auges „rückrechnen“ sollen.

Solche Algorithmen sind die Zauberformeln der Bildverarbeiter. Jeder benutzt sie. Es ist verblüffend, wie viel Information sie aus Bildern heraussaugen können. An der Universität Siegen will man zum Beispiel mit Algorithmen die „Posigkeit“ in den Griff bekommen: Gespeicherte Fahndungsbilder zeigen Gesichter frontal in zwei Dimensionen. Lichtet eine Überwachungskamera einen flüchtigen Verdächtigen aber von der Seite oder in einer anderen „Pose“ ab, lässt sich die Aufnahme nicht mit dem Archivbild zur Deckung bringen, und der Täter bleibt unerkannt. Mit ihren Algorithmen lösen die Siegener das Problem. Sie schufen aus einem Porträtfoto ein künstliches 3-D-Bild - eine Art Referenzmaske, über die man später am Computer auch seitliche Schnappschüsse aus der Überwachungskamera ziehen kann. Stimmen 3-D-Maske und Kamerabild überein, schlägt der Rechner Alarm.

Risikowahrnehmung schärfen

Ein anderes Problem sind Bewegungen. Forscher vom Fraunhofer-Institut für Informations- und Datenverarbeitung in Karlsruhe haben mit ihrem neuen „Relmot“-System dem Computer beigebracht, bewegte Objekte in bewegten Kamerabildern zu erkennen. Bislang ist das eine recht vertrackte Sache. Schwenkt die Kamera hin und her, bewegt sich die ganze Szene. Computer verlieren vorübereilende Personen schnell aus dem Blick. Relmot verhindert das. Es vergleicht aufeinanderfolgende Bilder in Sekundenbruchteilen und extrahiert Schwenkbewegungen oder Zoomverschiebungen. Übrig bleibt der flinke Fußgänger. Der Leiter der Relmot-Entwicklung, Markus Müller, hält Backes' Tele-Schnüffelei für hochinteressant: „In Bereichen, wo es besonders auf Informationssicherheit ankommt - in Ämtern, Behörden oder Firmen zum Beispiel -, muss man sich der Spionage-Risiken bewusst sein, um seine Daten tatsächlich schützen zu können.“ Die Saarbrücker tragen dazu bei, die Risikowahrnehmung zu schärfen. „Das Analysieren von Reflexionen ist allerdings keineswegs trivial - vor allem bei vielgestaltigen oder unzureichend spiegelnden Oberflächen. Da ist viel mathematische Rekonstruktionsarbeit nötig.“ Müller ist gespannt, was künftig möglich sein wird.

Wie weit neue Algorithmen seine Pupillen-Spionage voranbringen werden, weiß Backes selbst noch nicht. Im Februar will er die ersten Zitter-Algorithmen testen. Und noch etwas hat er vor: Reflektierende Objekte sind das eine. Wie aber sieht es mit Gegenständen aus, die Licht nur streuen - Bürowände oder ein Ledermantel? „Wenn man die Streuungseigenschaften einer Oberfläche kennt, dann müsste man berechnen können, wie das ursprüngliche Bild aussieht.“ Einen ersten Algorithmus hat Backes bereits aufs Streulicht angesetzt: Aus der Reflexion auf der Bürowand hat der Computer tatsächlich das vom Monitor abgestrahlte „C“ errechnet. Das Ergebnis sieht zwar eher aus wie ein Croissant als wie ein Buchstabe vom Schrifttyp Arial. Doch prinzipiell funktioniert die Methode. Backes will bis an die Grenze des technisch Machbaren vorstoßen. Und die liegt für ihn in diesem Fall bei der Lichtstreuung eines flauschigen Wollpullis. Wer auf Nummer Sicher gehen will, dem rät Backes deshalb, die Bürovorhänge zu schließen.

Quelle: Frankfurter Allgemeine Sonntagszeitung, 20.01.2008, Nr. 3 / Seite 58
  Zur Startseite
Verlagsangebot
Verlagsangebot