Am 5. Mai 2001 haben wir ein Set 'Logitech Cordless Desktop' installiert. Dieses Set diente und dient als Bedienkonsole für einen MP3-Player.

Die Art der Datenübertragung weckte unser Interesse, insbesondere da wir noch eine weitere schnurlose Maus von Logitech im Einsatz hatten. Es wurde beschlossen, dieses Set einem Security-Audit zu unterziehen.

Das Security-Audit ergab, das diese Devices untereinender und die Empfänger untereinander austauschbar waren. Die Schaltungsanalyse ergab, daß der Empfangsbereich durch eine Antenne deutlich erweitert werden kann. Der Frequenzbereich ergab, daß ein Brute-Force-DoS einfach möglich ist. Wir posteten am 15. Mai 2001 eine Warnung in der Bugtraq-Mailingliste von Securityfocus.com, die am 16. Mai 2001 veröffentlicht wurde.

Am selben Tag entdeckte Herr Hammer in einem Finanzinstitut die breite Verwendung solcher Tastaturen. Es wurde umgehend der Verantwortliche informiert und über das Gefahrenpotential aufgeklärt

Die Firma Daten-Treuhand.de entschloß, alle Finanzinstitute über die Gefahrenquelle direkt zu informieren, bevor Details an die Öffentlichkeit gegeben werden.

Unser Verdacht der Abhörbarkeit wurde am 18. Mai 2001 dreifach gegengeprüft. Hierzu wurden weitere 'cordless Desktops' beschafft. Im betroffenen Bankhaus und dessen Filialen wurden unterdessen alle betroffenen Tastaturen ausgetauscht.

Am 21. Mai 2001 (Montag) Morgens entdeckten wir den Artikel der neuen c't im Internet, in dem im letzten Absatz (nach den Quellenangaben) auf die Abhörbarkeit solcher Tastaturen hingewiesen wurde. Vermutlich wurde unser Ursprungsposting vom 15. Mai 2001 aufgegriffen, jedoch waren noch keine technischen Details zugänglich. In einer einberufenen Dringlichkeitskonferenz entschlossen wir uns, die ursprünglich für den 25. Mai 2001 geplante Veröffentlichung der Verletzbarkeit solcher Systeme vorzuziehen. Die Begründung war, daß nur durch eine umfassende Information Aller dieses Sicherheitsloch bekannt würde und dadurch beseitigt würde.

Es war uns durch den c't-Artikel entgegen unserer Firmenpolitik leider nicht möglich, direkt mögliche weitere Betroffene vorab zu warnen, obwohl dies wünschenswert und auch beabsichtigt war.

Dennoch konnten wir in weiten Bereichen sicherstellen, daß vor dem öffentlichen Bekanntwerden einer Möglichkeit des Abhörens sicherheitskritische Bereiche in Banken bereinigt wurden. Es war somit sichergestellt, daß den Banken kein Imageverlust oder monetärer Schaden entsteht.