Erstellt am: 2. 6. 2014 - 14:54 Uhr

Mossad-Zugriff auf Notrufsysteme in Österreich

Die auch in Österreich vertriebenen Systeme für Alarmzentralen der israelischen Firma Nice enthalten neben einer Hintertür auch eine Unzahl kritischer Sicherheitslücken.

Morgen startet die europäische Ausgabe der weltgrößten Überwachungsmesse ISS World in Prag. Auf diesem dreitägigen Großevent für Strafverfolger und Geheimdienste ist auch die israelische Firma Nice mit drei Vorträgen prominent vertreten. Erst am Donnerstag hatte die österreichische Sicherheitsfirma SEC Consult vor einer Hintertür und weiteren haarsträubenden Sicherheitslücken in einem Produkt dieses Unternehmens gewarnt. Jede einzelne Schwachstelle davon ermöglicht umfassende Zugriffe durch Unbefugte auf mitgeschnittene Telefonate und Manipulation des gesamten Systems - auch in Österreich.

Das "Recording eXpress"-System von Nice sei "speziell auf die Bedürfnisse kleiner und mittlerer Organisationen für Öffentliche Sicherheit" zugeschnitten, heißt es im Prospekt der Firma. Es liegt daher nahe, dass dieses System für Sprachaufzeichnung in verschiedenen Notruf- und Alarmzentralen oder in der Verwaltung eingesetzt wird, im Innenministerium jedenfalls nicht. "Das Bundesministerium für Inneres unterhält keine Geschäftsbeziehung mit der Firma Nice und setzt auch keine Produkte dieses Unternehmens ein" sagte der Sprecher des Innenministeriums Karl-Heinz Grundböck auf Anfrage von ORF.at.

Screenshot

"Lösungen in absehbarer Zeit"

Seitens der SEC Consult konnte nur bestätigt werden, dass diese Sicherheitslücken in Österreich erstmals im November 2013 aufgefunden wurden und dass mehrere Kunden mit diesem Problem konfrontiert sind. "SEC Consult konnte allerdings erst Ende Mai davor warnen, weil Nice erst einige wenige der nötigen Patches für die Sicherheitslücken geliefert hat. Wir wurden laufend hingehalten mit dem Verweis, dass Lösungen in absehbarer Zeit vorliegen wurden", hieß es auf Anfrage.

Die Vorgehenѕweise von SEC Consult entspricht dem normalen Prozedere von Sicherheitsfirmen, die neue Schwachstellen in Software-Produkten entdecken. Zuerst wird die Erzeugerfirma auf die Schwachstelle hingewiesen. An die Öffentlichkeit geht man erst, wenn der Hersteller Abhilfe gegen die Sicherheitslücke anbieten kann.

"Rückwärtskompatibilität"

In diesem Fall hat es allerdings volle sieben Monate gedauert, bis wenigstens ein Teil der Löcher gestopft war. In der vergangenen Woche entschloss man sich bei SEC-Consult dann, mit der Warnung an die Öffentlichkeit zu gehen, da die Firma auf mehrfache Nachfragen zuletzt nicht mehr reagiert hatte. Eines dieser gravierenden Sicherheitsprobleme konnte zum Beispiel aus "Gründen der Rückwärtskompatibilität" nicht behoben werden, das geht aus einem der Begleitdossiers von Nice hervor, die ORF.at vorliegen.

Insgesamt sind noch immer fünf der neun entdeckten, allesamt kritischen Schwachstellen nicht beseitigt. Eine oder mehrere österreichische "Organisationen für Öffentliche Sicherheit" betreiben also sicherheitskritische Telefonaufzeichnungssysteme, die gegen Angreifer auch weiterhin offen stehen.

Screenshot

Der Mossad als Administrator

Die von der Erzeugerfirma eingestandenen Probleme mit der "Rückwärtskompatibilität" bedeuten, dass diese Lücken, die es Angreifern ermöglichen, nach Lust und Laune zuzugreifen, nicht erst seit sieben Monaten, sondern bereits seit Jahren bestehen. Es ist also mit Sicherheit davon auszugehen, dass die israelischen Geheimdienste seit Jahren auf alle Installationen dieser "einfach zu installierenden Plattform für Bereiche der Öffentlichen Sicherheit" in Österreich administrativen Zugriff haben.

Dafür wurde eine vor dem gewöhnlichen Kunden getarnte Hintertür eingebaut, die nur als "klassisch" zu bezeichnen ist. Die MySQL-Datenbank von "Recording eXpress" enthält nämlich ein verdecktes Benutzerkonto mit Administratorrechten, das über die webbasierte Administrationsoberfläche nicht sichtbar ist. Ebenso unentdeckt bleibt, wenn ein Angreifer aufgenommene Telefonate samt den Metadaten abzieht, wobei hier eher von einem "Abgreifen" die Rede sein müsste. Es ist ja kein Angriff nötig ist, weil ein im System fix vorgesehener, externer Administrator auf das System Zugriff hat.

Exportversionen mit Hintertüren

CC BY-SA 3.0, User: Юкатан

CC BY-SA 3.0

Dieser Fall ist einer der in der Praxis seltenen Belege dafür, dass polizeiliche Überwachungssysteme in der Regel mit Hintertüren für die Geheimdienste des Erzeugerlandes exportiert werden. Wie auch in anderen bekannt geworden Fällen ist "Recording eXpress" von Nice ganz offensichtlich ein Derivat eines weit umfassenderen Systems. In der Produktbeschreibung wird denn auch mehrfach auf dessen "Skalierbarkeit" hingewiesen.

"Zentrale Administration und Wiedergabe von gestaffelten Aufnahmesystemen" sei damit ebenso möglich, wie ein "Upgrade zu NICE Recording", nachdem das 200-Kanal-Limit erreicht sei. "Recording eXpress" ist also nur die Light-Version des übergeordneten, größeren Systems "Nice Recording" zur zentralen Verwaltung mitgeschnittener Telefonate und genau hier liegt das Problem. In den Begleitdossiers von Nice zur Behebung der Schwachstellen in "Recording eXpress" heißt es dazu: "Subtask REC-5417: nicht repariert, weil die Entfernung dieser unsicheren Funktionalität die Rückwärtskompatibilität zu anderen Produkten kippt".

"Strukturell neu andenken"

Der nächste Satz zeigt allerdings, dass es sich hier bei weitem nicht um bloße Kompatibilität mit älteren Versionen, sondern um ein tief sitzendes Problem handelt, das offenbar die gesamte Produktlinie der Sprachaufzeichnungsysteme von Nice betrifft. "Wir müssen diese große Änderung strukturell neu andenken" heißt es in einem der Dossiers, die ORF.at vorliegen. Aus diesem Grund konnte auch "Subtask REC-5417" nicht abgesichert werden, weil das Gesamtsystem sonst nicht mehr funktioniert hätte.

Damit ist also weiterhin "nicht-authentifizierter Zugang zu sensiblen Daten und Sprachaufnahmen" möglich. Und das, obwohl die eigentliche Hintertür geschlossen wurde: "Die Datenbank wurde durch die Entfernung des nicht benötigten Administrationskontos aus der MySQL-Benutzertabelle gehärtet."

Loch an Loch

So lässt sich das Schließen einer absichtlich eingebauten Hintertür natürlich auch ausdrücken. Dass dieses versteckte Administrationskonto im Grunde gar "nicht benötigt" wird, zeigen die anderen, nachgewiesenen Sicherheitslücken.

APA/dpa/Julian Stratenschulte

So können nichtbefugte Benutzer mitgeschnittene Telefonate anderer Benutzer ebenfalls abhören, oder die Daten durch Zugriff auf die Systemkonfiguration löschen oder verändern. Des weiteren kann in die Softwaresuite von Nice über "Cross-Site Scripting" auch an anderen Stellen eingedrungen werden, Angreifer können sich als reguläre Benutzer ausgeben und über das Webinterface auf deren Sprachaufzeichnungen zugreifen.

Landesweite Überwachung und Datenanalyse ==

Das 1985 als "Neptune Intelligence Computer Engineering" (NICE) von ehemaligen Mossad-Mitarbeiterm gegründete Unternehmen notiert seit den späten 90er Jahren an der US-Börse NASDAQ. Mit etwa einer Milliarde Dollar Umsatz pro Jahr ist NICE neben Verint das bedeutendste Unternehmen des militärіsch-geheimdienstlichen Komplexes in Israel. Das spiegelt sich in der Produktlinie nieder, zum Beispiel im "NiceTrack Mass Detection Center", einer "voll integrierten Plattform für landesweite Überwachung und Datenanalyse", die sowohl "Massenüberwachung wie gezieltes Abhören" unterstützt.

Während gezieltes Abhören in die gängіge, gerichtlich angeordnete Strafverfolgung fällt, ist Massenüberwachung natürlich in der Domäne der Geheimdienste angesiedelt. Auf der Website des Unternehmens wird auch nicht zwischen Produkten für Strafverfolger und Geheimdiensten unterschieden und das legt nahe, dass diese Produktlinien nur in ihrer Dimensionierung und Ausstattung unterschiedlich, technisch hingegen sehr ähnlich sind.

"Eine Zielperson, viele Datensammler"

Von den drei Vorträgen der Firma auf der ISS World Europe, die am Dienstag startet, fällt denn auch nur einer in den Polizeibereich, die anderen beiden sind eindeutig an ein Geheimdienstpublikum adressiert. Das Referat des Marketing Direktors von Nice ist in der Rubrik "Monitoring von Sozialen Netzwerken und Big Data" gelistet und trägt den Titel: "Eine Zielperson, viele Datensammler: Wie man ein einheitliches Erkenntnisbild erstellt". Der dritte Vortrag heißt: "Jenseits traditionellen Abhörens - wie man die Herausforderung durch Verschlüsselung meistert."

Angesichts dessen wird klar, dass es sich bei "Recording eXpress" um ein günstiges Einsteigerprodukt für kleine bis mittlere Akteure im Bereich "öffentliche Sicherheitsdienste" mit eingeschränkten Budgets handeln muss. Im Prospekt wird die Überwachungssuite dann auch primär für ihre "einfache Konfiguration und Administration von Aufnahme, Speicherung und Management von Telefonaten" mit "reduzierten Kosten beim IT-Personal" beworben. Gerade letzteres sieht man dem Produkt recht deutlich an.

dpa/Daniel Naupold

Die Kunden in Österreich

Bei den Kunden von Nice in Österreich dürfte es sich also um kleinere Einheiten im Bereich der öffentlichen Sicherheit etwa auf Bundesländerebene handeln, die "Recording eXpress" einsetzen. Das können Anlagen in Katastrophenschutzzentralen bei Bezirkshauptmannschaften, Feuerwehr- und Rettungsdiensten, aber auch private Wach- und Sicherheitsdiensten sein, die allesamt ebenfalls Alarmzentralen unterhalten. Eine diesbezügliche Anfrage von ORF.at bei der Frankfurter Niederlassung von Nice wurde bis zum Redaktionsschluss dieses Artikels nicht beantwortet.

Was weitere Aktivitäten dieser israelischen Sicherheitsfirma in Europa betrifft, so ist Nice erstmals 2007 im European Telcom Standards (ETSI) aufgefallen. Neben Verint ist Nice einer der Firmensponsoren für den dort entwickelten Standard zur Vorratsdatenspeicherung.
Die Überwachungstruppe des ETSI ist ebenfalls auf der ISS-World in Prag vertreten. Drei Mann stellen dort die neuesten Entwicklungen bei europäischen Überwachungsstandards vor.