Der US-Amerikaner David Brian Kern klaute bei einer Technologiefirma aus dem Silicon Valley vertrauliche Daten. Dass diese verschlüsselt waren, hinderte ihn nicht.

Über Verschlüsselung, die vor Wirtschaftsspionage schützen soll, wird viel geredet. Von konkreten Fällen zu diesem Thema habe ich jedoch selten gehört (vielleicht weiß ein Leser mehr).

Eine der wenigen bestätigten Vorfälle, von denen ich weiß, wurde im Jahr 2000 in der Fachzeitschrift Cryptolgia beschrieben. Im Mittelpunkt des Geschehens stand ein gewisser David Brian Kern, der zunächst einige Zeit bei der Medizintechnik-Firma Varian im Silicon Valley arbeitete. Wegen schlechter Leistungen wurde er dort Mitte der neunziger Jahre entlassen. Er kam jedoch bei einem Unternehmen unter, das eng mit Varian zusammenarbeitete und deren Produkte wartete. Dort brachte er es sogar zur Führungskraft. In seinem Berufsalltag musste er sich immer wieder damit herumschlagen, dass Varian wichtige Produktinformationen geheimhielt. Dadurch konnte sein Team oft keine optimale Arbeit abliefern.

Verschlüsselung war kein Hindernis

Im Jahr 1999 arbeitete Kern wieder einmal in einem Krankenhaus mit einem Varian-Techniker zusammen. Als dieser zu einem Notfall gerufen wurde, vergaß er seinen Laptop. Kern nutzte die Chance und loggte sich ein (woher er das Passwort kannte, wird im Cryptologia-Artikel nicht erwähnt, vermutlich hatte er dem Techniker über die Schulter geschaut). Anschließend kopierte er Daten von der Festplatte auf einen eigenen Rechner. Seine Mitarbeiter bekamen dies mit und waren irritiert, doch Kern ließ sich als deren Vorgesetzter bei seinem Tun nicht beirren.

Kern interessierte sich vor allem für eine bestimmte Datenbank – als ehemaliger Varian-Mitarbeiter wusste er, dass dort die interessantesten Informationen zu finden waren. Die Einträge der Datenbank waren jedoch verschlüsselt – mit einem speziellen Krypto-Plugin. Der Schlüssel befand sich auf einem Dongle, das der Varian-Technier bei sich trug. Am nächsten Tag wies Kern einen Kollegen an, das Dongle aus der Aktentasche zu nehmen, während er den Techniker in ein Gespräch verwickelte. Der Kollege war zwar von dieser illegalen Aktion nicht begeistert, machte jedoch mit.

Die verschlüsselten Datenbankinhalte hatte Kern derweil auf drei PCs verteilt. Nun steckte er das entwendete Dongle nacheinander in diese drei Rechner. Das Einstecken schaltete jeweils den Schlüssel frei. Anschließend konnte man auf jedem Rechner beliebig viele Datenbankeinträge entschlüsseln – das Krypto-Plugin prüfte nicht, ob das Dongle noch eingesteckt war. Bereits nach einigen Minuten konnte Kern das Dongle daher in die Tasche des Varian-Technikers zurückstecken.

Banner-TV

Eine weitere Hürde gab es noch: Das Plugin blockierte während der Darstellung von Datenbankinhalten die Druck- und die Copy-und-Paste-Funktion des Rechners. Auf Windows 3.11, für das das Programm eigentlich gemacht war, wäre es nun tatsächlich ziemlich mühselig geworden, die Informationen zu sichern. Doch auf den drei Rechnern lief bereits der Nachfolger Windows 95. Dort gab es ein einfaches Screenshot-Tool. Kern ließ seine Mitarbeiter mit diesem alle Datenbankeinträge “abfotografieren”. Seine Sekretärin musste sie später abtippen. Der Varian-Techniker bekam vom gesamten Datenklau nicht das Geringste mit.

Von den Kollegen verpetzt

Kerns Spionage-Coup hätte vermutlich funktioniert, wenn er nicht seine Mitarbeiter einbezogen hätte. So aber konnte ihn einer seiner Kollegen verpetzen (wie und warum dies geschah, steht nicht im Cryptologia-Artikel) und die Sache flog auf. Kern wurde entlassen und zu einem Jahr Gefängnis verurteilt.

Aus dem Fall David Brian Kern kann man einige Lehren ziehen. So sollte man einen Schlüssel statt auf einem Dongle besser auf einer Smartcard speichern – eine solche wird normalerweise in der Brieftasche aufbewahrt und ist daher schwerer zu stehlen. Außerdem sollte das Schlüsselspeichermedium – egal ob Dongle oder Smartcard – mit einem Passwort geschützt sein. Und schließlich sollte das Entschlüsseln nach dem Herausziehen der Karte bzw. des Dongles nicht mehr (oder zumindest nicht lange) funktionieren. All diese Dinge sind heute zum Glück Standard bei professionellen Krypto-Implementierungen. Der Fall Kern kann sich also heute in dieser Form nicht wiederholen.


Zum Weiterlesen: Die “Horch und Knack”-Methode

Kommentare (5)

  1. #1 Usul
    22. September 2014

    Es mag ein bisschen penibel sein, aber gerade im Krypto-Bereich muss man das doch eigentlich sein: Die Verschlüsselung wurde doch gar nicht geknackt, wie es die Überschrift suggeriert. Wenn ich den Schlüssel (zeitweise) habe, um an die Daten ranzukommen, dann ist das doch nicht geknackt, sondern schlicht – regulär geöffnet, oder?

    • #2 Klaus Schmeh
      22. September 2014

      Stimmt, die Verschlüsselung wurde eigentlich nicht geknackt, sondern kompromittiert. Man könnte höchstens sagen, dass das Sicherheitssystem geknackt wurde.

  2. #3 weyoun
    22. September 2014

    ” Dort brachte er es sogar zur Führungskraft. In seinem Berufsalltag musste er sich immer wieder damit herumschlagen, dass Varian wichtige Produktinformationen geheimhielt. Dadurch konnte sein Team oft keine optimale Arbeit abliefern.”

    Ich kann sein handeln sehr gut nachvollziehen. Er soll im Auftrag der Firma V. wahrscheinlich deren Linearbeschleuniger prüfen warten und reparieren, bekommt aber nicht alle notwendigen Informationen.
    Das hätte auch anders laufen können.

  3. #4 sepiola
    http://picpaste.de/13.png
    28. September 2014

    Der Fall Kern kann sich also heute in dieser Form nicht wiederholen.

    🙂 🙂 🙂 🙂 🙂 🙂

  4. #5 Draalo
    15. Dezember 2014

    “Das Plugin blockierte während der Darstellung von Datenbankinhalten die Druck- und die Copy-und-Paste-Funktion des Rechners. Auf Windows 3.11, für das das Programm eigentlich gemacht war, wäre es nun tatsächlich ziemlich mühselig geworden, die Informationen zu sichern. Doch auf den drei Rechnern lief bereits der Nachfolger Windows 95. Dort gab es ein einfaches Screenshot-Tool. Kern ließ seine Mitarbeiter mit diesem alle Datenbankeinträge “abfotografieren”. Seine Sekretärin musste sie später abtippen.”

    Hätte er sich doch mit Win95 etwas besser ausgekannt – einfach die Datei die den virtuellen Speicher darstellt kopieren nachdem man alle Datensätze aufgerufen hat. Da steht dann alles im Klartext und kann mit copy/paste weiterverarbeitet werden.

    Zu Win95 Zeiten hat ein Freund von mir sich diverse Viren und Trojaner eingefangen, das System lief zwar noch aber nur mit 1% Geschwindigkeit. Als Abhilfe schlug ich eine Neuinstallation vor. Dies lehnte er ab mit dem Hinweis dass ihm die Zugangsdaten für das Internet abhanden gekommen sein. (Damals noch Verbindung per Telefonmodem).

    Ich wusste jedoch dass die Teilnehmerkennung nach dem Muster XXX/Vorwahl/Festnetzrufnummer/Teilnehmerkennung aufgebaut war. Das Durchsuchen der Auslagerungsdatei nach Vorwahl/Rufnummer brachte mir kurz darauf die Anschlusskennung sowie Passwort, welches im Klartext direkt hinter der Kennung in der Datei stand.

    Win95 neu installiert, dial-up neu eingerichtet und voilá — alles lief wieder 😉