Banner E-Learning IT-Sicherheit
Free

TrojPix: Wenn das Videokabel zur Datenantenne wird : Neue Forschung zeigt, wie Air-Gap-Systeme über Bildschirmemissionen Daten preisgeben können

Air-Gap-Systeme gelten als letzte Bastion besonders geschützter IT. Doch TrojPix zeigt, wie brüchig diese Annahme werden kann: Schadcode verändert Bildschirmpixel unsichtbar und verwandelt digitale Videokabel in Funksender. Im Labor reichte das für Datenraten bis 8,1 Mbit/s.

Bild: KI-generiert

Air-Gap-Systeme sind Rechner, die bewusst von allen Netzwerken getrennt werden. Sie haben keine Verbindung zum Internet und auch keine Verbindung zu internen Firmennetzen. Durch diese Isolation sollen besonders sensible Daten geschützt werden. Auch TrojPix kann das Prinzip nicht unterlaufen – zumindest wenn es darum geht, erstmals in ein System einzudringen. Der Angriff funktioniert nur, wenn bereits Schadsoftware auf dem Rechner läuft. Dann allerdings kann TrojPix die Daten auf einem ungewöhnlichen Weg nach außen bringen: nicht über Netzwerk, USB-Stick oder Funkmodul, sondern über elektromagnetische Signale, die vom Videokabel ausgehen.

Dafür verändert die Schadsoftware die Bildschirmpixel minimal. Diese Änderungen sind so fein, dass Nutzer sie nicht wahrnehmen. Technisch verändern sie aber das Signal, das vom Computer über das digitale Videokabel zum Monitor läuft. Dabei entstehen schwache elektromagnetische Abstrahlungen. Ein Empfänger in der Nähe kann diese Signale auffangen und wieder in Daten zurückübersetzen. Laut den Forschern der chinesischen Shandong University reichen dafür normale Benutzerrechte aus. Es muss also weder Hardware manipuliert noch ein Administratorkonto übernommen werden; entscheidend ist nur, dass der Schadcode Bildinhalte auf dem Bildschirm erzeugen kann.

Vom Passwortdiebstahl zum Dateiabfluss

Die Leistungswerte machen TrojPix bemerkenswert. Während viele verdeckte Kanäle aus Air-Gap-Umgebungen nur wenige Bit oder Kilobit pro Sekunde erreichen, meldet das Team eine Spitzendatenrate von 8,1 Mbit/s. Das entspricht grob einem Megabyte pro Sekunde. Eine Datei mit 100 Megabyte ließe sich damit theoretisch in weniger als zwei Minuten übertragen.

Die von den Experten genannte Reichweite von 208 Metern und die Spitzendatenrate von 8,1 Mbit/s wurden nicht gleichzeitig erreicht, sondern in getrennten Tests gemessen. Das bedeutet: TrojPix überträgt nicht automatisch mit voller Geschwindigkeit über die maximale Distanz. In der Praxis dürften Wände, abgeschirmte Räume, andere elektrische Geräte und die Bauweise eines Gebäudes die Übertragung deutlich erschweren.

Trotzdem ist die Größenordnung bemerkenswert. Bei dieser Datenrate könnten nicht nur einzelne Passwörter oder kurze Schlüssel abfließen, sondern auch größere Datenmengen: etwa komplette Dokumente, Konfigurationsdateien oder kleinere Datenbanken.

Unsichtbar im Bild oder bei schwarzem Bildschirm

TrojPix beschreibt zwei Tarnmodi. Im „Fake Screen-off“-Modus bleibt der Monitor scheinbar dunkel, während die Datenübertragung weiterläuft. Im zweiten Modus wird die Modulation in sichtbare Inhalte eingebettet. Der Bildschirm zeigt dann normale Arbeitsoberflächen, Dokumente oder andere Inhalte, während die Pixelstruktur zusätzlich „Nutzdaten“ trägt.

Die Tests umfassten neun Monitorhersteller und 15 digitale Videokabel. Damit ist der Effekt nicht auf eine einzelne Gerätekombination beschränkt. Besonders relevant ist, dass Kupferverbindungen die Abstrahlung ermöglichen. Glasfaserbasierte Übertragung wäre hier deutlich widerstandsfähiger, weil sie keine vergleichbare elektromagnetische Signatur nach außen trägt.

TEMPEST-Erbe mit moderner Datenrate

Die Idee kompromittierender Abstrahlung ist nicht neu. Unter dem Begriff TEMPEST werden seit Jahrzehnten Verfahren untersucht, bei denen elektromagnetische, akustische oder andere Nebenkanäle vertrauliche Informationen preisgeben. Neu ist bei TrojPix vor allem die Kombination aus unauffälliger Pixelmodulation, handelsüblicher Hardware und hoher Übertragungsrate.

TrojPix steht in einer Reihe ähnlicher Forschungsarbeiten zu verdeckten Ausleitungskanälen. Bei TEMPEST-LoRa wurden ebenfalls Signale aus Videokabeln genutzt. Ein Empfänger für den Funkstandard LoRa konnte diese Signale auslesen. Die erreichbaren Datenraten waren jedoch deutlich geringer.

PIXHELL ging einen anderen Weg: Dort wurde gezeigt, dass ein Bildschirm unhörbare oder kaum wahrnehmbare Tonsignale erzeugen kann, über die Daten aus einem abgeschotteten Rechner abfließen. TrojPix nutzt dagegen keine akustischen Signale, sondern elektromagnetische Abstrahlung des Videokabels. Anders als Angriffe mit manipulierten Bauteilen braucht die Methode außerdem kein zusätzliches Hardwareimplantat im Zielsystem.

Laborangriff, aber ernstes Architekturproblem

Bislang sind solche Kanäle vor allem Forschungsergebnisse. Bekannte Air-Gap-Kompromittierungen wie Stuxnet oder Agent.BTZ nutzten in der Praxis eher Wechselmedien wie USB-Sticks. Genau deshalb sollte TrojPix nicht als alltäglicher Massenangriff missverstanden werden. Der Angriff setzt voraus, dass Schadcode bereits auf einem isolierten System läuft und ein geeigneter Empfänger ausreichend nah positioniert werden kann.

Für Hochsicherheitsumgebungen bleibt die Studie dennoch relevant. Sie zeigt, dass Air Gap allein keine vollständige Sicherheitsgarantie ist, sobald Endgeräte kompromittiert sind. Schutz entsteht erst durch mehrere Ebenen: strikte Malware-Prävention, kontrollierte Softwarelieferketten, Wechselmedienkontrolle, Härtung der Arbeitsstationen, Monitoring physischer Zugänge und technische Abschirmung.

Schutz ist vor allem physisch

Die Abstrahlung selbst lässt sich nicht einfach per Patch beseitigen. Geeignete Gegenmaßnahmen sind physisch und organisatorisch: Videostrecken über Glasfaser statt Kupfer, geschirmte Kabel, abgeschirmte Räume für besonders sensible Daten, TEMPEST-konforme Einrichtungen sowie konsequente Kontrolle darüber, welche Software auf isolierten Systemen überhaupt ausgeführt werden darf.

Am Ende macht TrojPix eine unbequeme Wahrheit sichtbar: Ein Air Gap verhindert Verbindungen, aber nicht jede Form von Signalabfluss. Wenn Angreifer bereits Code auf einem abgeschotteten Rechner ausführen können, kann selbst ein scheinbar ausgeschalteter Bildschirm noch zum Sendekanal werden.