Unlawful-Interception


AV: D01 Status: Aktiv Thread Level: Low

Veröffentlicht: 27.01.2013 Aktualisiert: 12.07.2026

„Unlawful-Interception“ – der Missbrauch durch unbefugte Dritte. 

Keine MITRE Quellen vorhanden.



Details:

Angriffspunkte hierzu gibt es einige, da Anfragen durch die Behörde über eine Lawful-Interception-Schnittstelle an den Provider übermittelt werden können. Hierüber könnten auch fremde eine Anfrage starten (Spoofing). Hinzu kommt, dass die unterschiedlichen LI-Implementierungen der Hersteller Fehler enthalten die, solange sie vom Provider nicht geschlossen werden, durch unautorisierte Personen benutzt werden können.

So war es auch möglich, die griechische Regierung in den Jahren 2004 und 2005 abzuhören. Hierzu wurde eine Schwachstelle im MSC der Firma Ericsson ausgenutzt und mittels Schadsoftware sogar die LI-Schnittstelle abgehört.


Quellen/Links:

IEEE Spectrum Article „Athens Affair“, July 2007





Erkennung:

Ob ein Teilnehmer abgehört wird, könnte nur durch den anfallenden Datenverkehr an den HI-Schnittstellen erkannt werden. Hierzu ist aber ein physikalischer Zugriff auf die Hardware notwendig.

Eventuell ist das auch an den BSC im Zugangsnetz möglich, da jede vermittelnde Einheit ein HI-Interface besitzen muss. Ein passives Mithören von Dritten kann am Smartphone nicht erkannt werden, solange die LI-Domain und das Kern-Netzwerk optimal funktionieren.

 



Quellen/Links:




Gegenmaßnahmen:

LI-Systeme sollten in separaten Sicherheitszonen betrieben werden und nicht aus dem öffentlichen Internet erreichbar sein. Erforderlich sind individuelle Konten, starke Authentifizierung, minimale Rollenberechtigungen, Vier-Augen-Freigaben, kryptografisch geschützte Übergaben sowie manipulationssichere und zentral überwachte Auditlogs.

Netz- und LI-Komponenten müssen zeitnah aktualisiert, signierte Firmware und Secure Boot eingesetzt und Administrations-, Provider- und Herstellerzugänge regelmäßig überprüft werden. Netzbetrieb, Sicherheitsüberwachung und die Freigabe von Überwachungsmaßnahmen sollten organisatorisch getrennt sein. Bei einem Verdacht sind Zugänge zu sperren, Logs und Konfigurationen forensisch zu sichern und die betroffenen Übergabeschnittstellen kontrolliert zu validieren.


Quellen/Links:









Weitere Vektoren aus dem Bereich

Mobile Abhöranlagen

Die Branche der LI-Hersteller bietet auch eine Vielzahl von mobilen Abhöranlagen wie den IMSI-Catcher. Diese Geräte befinden sich auch in privaten Händen und können ohne Wissen des Netz-Betreibers eingesetzt werden.

Key Recovery

Das letzte Hindernis für die LI könnte die Verschlüsselung durch die Kommunikationspartner an den Endpunkten darstellen, wie es zum Beispiel bei Secure-VoIP oder beim Versand von E-Mails der Fall sein

Klein Declaration & PRISM

Neben den ETSI-Spezifikationen zur Lawful Interception, ist eine andere Herangehensweise unter dem Begriff „Klein Declaration“ (oder auch PRISM) bekannt. Die Bezeichnung ist nach dem AT&T Ingenieur Mark Klein benannt, der als

LEA-Domain

Die LEA-Domain kann von außen angreifbar sein.  Die Verschlüsselung kann hier aufgebrochen werden – siehe eTLS Standard