In Taiwan ist ein 23-jähriger Student verhaftet worden, der mithilfe von „Software Defined Radio“ (SDR) und verschiedenen Handfunkgeräten eine Alarmmeldung im digitalen Funksystem der dortigen Bahngesellschaft ausgelöst hat. Dadurch wurden vier Schnellzüge automatisch angehalten, was zu Verspätungen von rund einer Dreiviertelstunde geführt hat. Lokale Medien berichten, dass die Behörden nun die Sicherheit des Systems überprüfen, während dem Studenten eine bis zu 10-jährige Haftstrafe droht.

Demnach konnte der Täter in das digitale Funksystem der Bahngesellschaft eindringen. Dieses nutzt den auch hierzulande gebräuchlichen TETRA-Funkstandard für die Verschlüsselung von digitalem Behördenfunk. Bereits 2023 wurden massive Schwachstellen bei TETRA entdeckt (Terrestrial Trunked Radio). Dabei wurde der in Europa entwickelte Funkstandard verdächtigt, eine absichtlich integrierte Lücke zu besitzen, um die Verschlüsselung der Exportversion von TETRA zu schwächen und die Kommunikation einfach abhörbar zu machen.

Funksystem erst abgehört, dann Funkgerät programmiert

Ob der taiwanische Student diese Lücke ausgenutzt hat, ist nicht überliefert. Aber nach Polizeiangaben hat der Student das online gekaufte SDR zwischen Laptop und Antenne geschaltet, um den Bahnfunk abzuhören, die Parameter zu entschlüsseln und diese in eines der Handfunkgeräte zu programmieren. Allerdings soll ihm ein Freund auch einige kritische Parameter des Systems der „Taiwan High Speed Rail“ Corporation (THSR) genannt haben, wie das taiwanische Portal UDN schreibt.

Damit konnte der Student am Abend des 5. April einen „allgemeinen Alarm“ im THSR-System auslösen, bei TETRA das Signal höchster Priorität. Die vier in der Nähe befindlichen Schnellzüge, die regelmäßig rund 300 km/h erreichen, wurden dadurch automatisch instruiert, eine manuelle Notbremsung durchzuführen. Das führte zu Verspätungen von 48 Minuten, nachdem die Sicherheit der Strecken überprüft und bestätigt werden konnte.

Fragen zur Verschlüsselung des Funksystems

Details der Kompromittierung des THSR-Funks sind unklar oder wurden bislang nicht genannt. Beobachter vermuten aber, dass das TETRA-Funksystem der THSR entweder nicht verschlüsselt war, sodass der Verdächtige ein legitimes Signal vortäuschen konnte. Oder das THSR-Funksystem ist nur oberflächlich verschlüsselt, etwa mit TEA1 (TETRA Encryption Algorithm 1), einem veralteten Stromverschlüsselungsalgorithmus für den digitalen Bündelfunk. Dieser besitzt die seit 2023 bekannten Schwachstellen, sodass der Student dies überwinden konnte.

Die Polizei konnte den Täter anhand von TETRA-Protokollen und Überwachungskameras ausfindig machen. Nachdem das THSR-Kontrollzentrum den ausgelösten Alarm beim Sender per Funk bestätigen wollte, gab die Person widersprüchliche Antworten und schaltete das Funkgerät aus. Eine Überprüfung der THSR-Funkgeräte ergab, dass der Alarm extern ausgelöst wurde, sodass die Polizei informiert wurde. Durch TETRA-Logs konnten die Funksignale lokalisiert werden und Überwachungskameras der Gegend konnten den Studenten identifizieren. Bei der anschließenden Verhaftung und Durchsuchung seiner Mietwohnung wurden neben dem Laptop und dem SDR auch elf Handfunkgeräte sichergestellt.

Vorfall führt zu Untersuchung der Bahnsicherheit

Der Student wurde später gegen eine Kaution von umgerechnet 2700 Euro wieder auf freien Fuß gestellt, aber ihm drohen bis zu zehn Jahre Gefängnis wegen Verstößen gegen das Eisenbahngesetz und das Strafgesetzbuch Taiwans. Seine unmittelbare Erklärung, dass er „es in der Tasche trug und aus Versehen einen Knopf drückte“, scheint wenig überzeugend.

Derweil verspricht das taiwanische Ministerium für Verkehr und Kommunikation einen Bericht, wie die Sicherheit des Kommunikationssystems des Bahnverkehrs nach diesem Vorfall verbessert werden kann. Laut Taipei Times verlangte eine Oppositionspolitikerin im Parlament eine umfassende Sicherheitsüberprüfung des Bahnsystems, „wenn es einem Studenten gelingen konnte, sich in ein so komplexes System wie das der Schnellzüge einzuhacken“. Die Regierung arbeitet nach eigenen Angaben daran und will den Bericht nach Abschluss in rund einem Monat vorlegen.

(fds)

Im Vorfeld der 4. Trilog-Verhandlungsrunde zwischen EU-Parlament, Rat und Kommission, die für den 11. Mai angesetzt ist, verschärft die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ihren Ton. In einer jetzt veröffentlichten Entschließung appellieren die Experten an die EU-Organe und insbesondere an die Bundesregierung, die Pläne zur Chatkontrolle endgültig aufzugeben.

Infrastruktur für Massenüberwachung

Hinter dem Vorhaben, das nach offiziellen Angaben der Bekämpfung des sexuellen Missbrauchs von Kindern dienen soll, verbirgt sich nach Ansicht der Datenschützer eine Infrastruktur für eine anlasslose Massenüberwachung. Diese würde den Kernbestand europäischer Grundrechte bedrohen.

Die Kritik der DSK zielt vor allem auf die Unverhältnismäßigkeit der Maßnahmen, die Millionen Bürger unter einen Generalverdacht stellten. Das Ziel des Kinderschutzes stehe außer Frage. Nach Ansicht der Aufsichtsbehörden muss private Kommunikation via Messenger denselben Schutz genießen wie das klassische Briefgeheimnis. Ein Eingriff dürfe nur dann erfolgen, wenn ein konkreter, von der überwachten Person selbst gesetzter Anlass vorliege.

Die geplante Verordnung sieht dagegen breite Aufdeckungsanordnungen vor. Diese könnten Plattformbetreiber dazu verpflichten, private Nachrichten flächendeckend zu scannen. Alarmierend ist laut der DSK dabei vor allem der Versuch, die Ende-zu-Ende-Verschlüsselung zu umgehen. Dies könnte etwa durch Client-Side-Scanning (CSS) erfolgen, bei dem Inhalte bereits auf dem Endgerät vor der Verschlüsselung geprüft werden.

Ende der Übergangsregelung

Die Debatte gewinnt durch eine Gesetzesneuheit an Schärfe: Seit Anfang April fehlt die rechtliche Grundlage für das „freiwillige“, anlasslose Scannen privater Kommunikation in der EU. Eine Übergangsregelung, die es Anbietern erlaubte, Messenger-Dienste und E-Mails proaktiv auf Darstellungen sexualisierter Gewalt gegen Kinder (CSAM) zu scannen, ist ausgelaufen.

Die EU-Kommission und Sicherheitsbehörden beklagen seitdem eine Schutzlücke. Doch Bürgerrechtler sehen eine historische Chance. Für sie ist das Ende der Interimsverordnung die Option, den Kinderschutz auf ein rechtsstaatlich solides Fundament ohne Massenüberwachung zu stellen.

Google, Meta, Microsoft und Snap kündigten trotzdem an, weiterhin freiwillige Maßnahmen ergreifen zu wollen, um entsprechendes Material auf ihren Plattformen zu identifizieren. Zugleich forderten sie die EU-Institutionen auf, dringend die Verhandlungen über einen dauerhaften Regulierungsrahmen abzuschließen.

Zweifel an Algorithmen-Treffsicherheit

Die DSK zweifelt die Wirksamkeit der vorgesehenen Überwachungswerkzeuge an. Technische Analysen zeigten, dass sich Erkennungsmethoden durch simple Bildmanipulationen umgehen ließen. Gleichzeitig könnten harmlose Dateien gezielt so verändert werden, dass sie fälschlicherweise als illegales Material gemeldet werden. Dies würde unbescholtene Bürger ins Visier der Fahnder rücken. Diese Schwächen führten zu einer großen Menge an Falschmeldungen, die wiederum wertvolle Ermittlungsressourcen binde.

Die Kontrolleure untermauern dies mit Zahlen von 2023, die das Missverhältnis verdeutlichen: Microsoft durchsuchte demnach weltweit über 11,7 Milliarden Inhalte, wobei in Europa lediglich 0,00007 Prozent der eingesehenen Kommunikationsvorgänge zu einem konkreten Verdacht führten. Die Fehlerquoten der eingesetzten Systeme hätten teilweise zu 20 Prozent gelegen.

Auch die EU-Datenschutzbeauftragten haben bereits festgestellt, dass solche Instrumente die Grundsätze der Erforderlichkeit und Verhältnismäßigkeit nicht wahren. Die Beweislast für die Angemessenheit eines so schweren Eingriffs liege bei den Gesetzgebern, doch dieser Nachweis konnte der DSK zufolge binnen vieler Jahre nicht erbracht werden. Effektiver sei die konsequente Durchsetzung bestehender Gesetze wie des Digital Services Act (DSA) sowie eine Auflage für Plattformen, ihre Dienste nach dem Prinzip „Safety by Design“ von Grund auf kindersicher zu gestalten. Flankiert werden müsse dies durch eine angemessene Finanzierung von Prävention, Medienpädagogik und Opferhilfe.

(wpl)

Nach der Übernahme von Juniper Networks durch HPE klärte sich jetzt bei den HPE Networking Days, wie es im gemeinsamen Produktportfolio weiter geht. Die beiden separaten Portfolios hatten seit der Übernahme einige Kunden verunsichert, wie zukunftssicher Investitionen in HPE-Networking-Produkte aktuell sind. So gibt es für das Brot-und-Butter-Geschäft in Campus-Netzen im ehemaligen Juniper-Portfolio das Cloud-Netzwerkmanagementangebot Mist und HPE Aruba bietet dafür Central, das On-Premise oder in der Cloud betrieben werden kann. Sowohl Switche als auch WLAN Access Points sind jedoch bisher nicht cross-kompatibel.

Im Gespräch mit der iX-Redaktion erklärten Lars Hartmann, Vice President Sales Zentraleuropa, und Katja Herzog, Managing Director HPE Networking Deutschland, dass auf die nächsten fünf Jahre keine Abkündigung einer der beiden Plattformen angedacht ist. Beide sollen zunächst parallel betrieben werden.

Weg für Managementplattformen

Laut Aussagen von HPE Networking bauen sowohl Mist als auch Central auf einer Microservice-Architektur auf. Daher sollen Funktionen sukzessive als Mikroservices gegenseitig in die jeweils andere Plattform einfließen, sodass am Ende nahezu eine Feature-Parität bereitsteht. Für eine Übergangszeit könnte dies höhere Aufwände nach sich ziehen, dürfte aber einen validen Weg für die Kunden darstellen. Letztlich wird dann wohl alles in einer einzigen Plattform münden.

Für die übergangsweise Multi-Plattform-Strategie veröffentlicht HPE zudem eine ganze Serie an WLAN-Access-Points namens AP-72XH (AP-721H, AP-723H und AP-725H), die mit beiden Plattformen kompatibel sind. Davon ist aktuell jedoch nur der AP-723H verfügbar. Gleichzeitig sollen im nächsten Schritt auch die EX-Switche von Juniper in Central integriert werden.

AOS-CX-Serie spielt bald keine Rolle mehr im RZ

Im Campus-Netz ist somit der Weg nun deutlicher, als noch kurz nach der Übernahme. Gleichzeitig hat Juniper für die Verwaltung von Rechenzentrumsnetzen das Produkt Apstra mitgebracht. Es dient als Intent-basiertes Verwaltungstool über den gesamten Lebenszyklus und bietet APIs und Integrationen in Automatisierungs-Frameworks, wie Terraform und Ansible. Zudem ist Apstra multivendorfähig und kann neben Juniper beispielsweise auch Switche von Cisco und Arista verwalten. HPE Aruba AOS-CX Switche bleiben jedoch außen vor und es gibt bisher auch noch keine konkreten Roadmaps, dass sich daran etwas ändert.

AOS-CX Rechenzentrumsswitche können derzeit zentral über den Aruba Fabric Composer (AFC) administriert werden, wobei diese Funktionalitäten sukzessive in Central wandern sollen. Ohnehin richten sich diese Switche auch nur an Kunden mit kleineren Rechenzentren. Junipers Rechenzentrumsswitch-Serie QFX kann hingegen alle RZ-Größen abdecken. Das deutet darauf hin, dass QFX mit Apstra als Verwaltungsplattform künftig den Vorzug erhält und die AOS-CX-Serie im Rechenzentrumsumfeld perspektivisch keine Rolle mehr spielen wird.

Neues Firewallportfolio für HPE

Über den Juniper-Zukauf hat sich HPE auch das Firewallportfolio SRX einverleibt. Dieses wird nun durch die SRX-4XX-Serie erweitert, die für Zweigstellen oder kleinere Standorte geeignet ist, aber das volle Feature-Set von SRX enthält. Bereits in diesem Jahr sollen SRX 400 und 440 lieferbar sein.

iX konnte ein Pre-Release der SRX 400 betrachten, die über 8 × 1G Kupfer verfügt, wobei zwei davon PoE+-Unterstützung bieten. Zusätzlich bietet sie auch zwei SFP-Einschübe. Alle Ports beherrschen MACsec-Verschlüsselung, Secure Boot, TPM 2.0 und können über Mist, Security Director oder CLI verwaltet werden.

Die 400er hat gemäß Präsentation von HPE einen L3/L4-Durchsatz von 1,2 Gbit/s und L7-Durchsatz von 0,9 Gbit/s. Die SRX 440 hat die gleichen physischen Ports, bietet jedoch einen höheren L3/L4-Durchsatz von 1,75 Gbit/s und L7-Durchsatz von bis zu 1,25 Gbit/s. Diese Modelle dürften vom Leistungsspektrum her viele klassische HPE Aruba Kunden ansprechen, sodass HPE dort nun als „One-Stop-Shop“ im Netzwerk für Switching, Routing und Firewall-Funktionen dienen kann.

(axk)