Druckergeräusche verraten Patientenakten und Kontodaten

Eine Forschergruppe um Michael Backes, Professor für Kryptographie und Informationssicherheit der Universität des Saarlandes and Forscher am Max-Planck Instituts für Softwaresysteme, hat jetzt gezeigt, dass man über die Geräusche von Nadeldruckern Wörter erkennen kann. Es gelang den Informatikern dadurch, über 70 Prozent der gedruckten Texte zu rekonstruieren, allein über die Auswertung der Druckergeräusche. Nadeldrucker werden heute noch häufig in Arztpraxen und Banken eingesetzt.

Nadeldrucker werden in Arztpraxen vor allem verwendet, um Rezepte oder Patientenberichte zu drucken. In Banken werden damit Kontoauszüge und die Geheimnummern von Bankkonten auf Papier gestanzt. Damit die Nadeldrucker ihre Geheimnisse preisgeben, mussten die Saarbrücker Wissenschaftler einige Vorarbeiten leisten. Sie ließen zuerst die Geräte zuerst ein Wörterbuch drucken und nahmen die Geräusche auf. In einer Datenbank wiesen sie dann den einzelnen Wörtern charakteristische Tonmuster zu.

Die Herausforderung bestand nun darin, bei weiteren Tonaufnahmen die Wörter automatisch zu erkennen und dabei Störgeräusche, wie zum Beispiel Patientengespräche in einer Arztpraxis, herauszufiltern. Die Forscher kombinierten dafür unter anderem Methoden des maschinellen Lernens mit den Verfahren der automatischen Spracherkennung. Damit gelang es ihnen, über 70 Prozent der Wörter herauszufiltern und damit die meisten Inhalte einer Patientenakte oder auch ausführlichere Angaben auf Kontoauszügen zu verstehen. Auch einzelne Zahlen wie etwa Geheimnummern von Konten können auf diese Weise mit erstaunlich hoher Trefferquote erkundet werden.

Parallel zu den wissenschaftlichen Untersuchungen gab Professor Backes außerdem eine repräsentative Umfrage bei einem Meinungsforschungsinstitut in Auftrag. Er wollte herausfinden, wie häufig Nadeldrucker heute überhaupt noch in Arztpraxen und Banken verwendet werden und welche vertraulichen Daten damit gedruckt werden. Die Ergebnisse waren überraschend: Rund 60 Prozent der Arztpraxen gaben an, dass sie Nadeldrucker einsetzen, bei den Banken waren es immerhin noch 30 Prozent. Letztere verwenden die Nadeldrucke in 70 Prozent der Fälle dafür, Kontoauszüge ausdrucken. Auch beim weiteren Einsatz in anderen Bereichen der Banken werden fast nur vertrauliche Daten ausgedruckt.

Ähnlich sieht es bei den Arztpraxen aus. Dass bei ihnen der Einsatz noch viel höher ist als bei den Banken, hängt unter anderem mit den Vorschriften des Betäubungsmittelgesetzes zusammen. Rezepte etwa für starke Schmerzmittel müssen laut Gesetz mit Durchschlag ausgedruckt werden. Von den befragten Arztpraxen, die Nadeldrucker einsetzen, gaben 80 Prozent an, dass sie auch allgemeine Rezepte damit ausdrucken, rund 70 Prozent benötigen sie für Betäubungsmittel-Rezepte und immerhin 40 Prozent nutzen sie zusätzlich, um Patientenakten auszudrucken. Auch beim weiteren Einsatz in anderen Bereichen geht es fast ausschließlich um sensible Daten wie etwa um Laborergebnisse oder der Einweisung von Patienten in Krankenhäuser. Rund drei Viertel der Arztpraxen bestätigen außerdem, dass sie die Nadeldrucker in Hörweite von Patienten installiert haben.

Um zu beweisen, dass man – als Patient getarnt – sensible Daten in Arztpraxen erlauschen kann, führten die Saarbrücker Wissenschaftler einen angekündigten Live-Test in einer Arztpraxis durch. Sie nahmen bei laufendem Praxisbetrieb verschiedene Rezeptausdrucke auf. Mit sechs Rezepten trainierten sie ihr Programm auf den verwendeten Nadeldrucker, beim siebten Rezept konnten sie das verschriebene Medikament rein über die Druckergeräusche herausfinden. Informatik-Professor Backes geht nicht davon aus, dass diese ungewöhnliche Spionagemethode in der Praxis bereits angewendet wird. Er warnt jedoch davor, dass mit diesem Verfahren – wie vor einigen Monaten geschehen – Patientenakten im Internet auftauchen könnten oder man vertrauliche Bankdaten von Unternehmen erkunden könne.

Den Informatikern im Team von Michael Backes ging es mit ihrer Studie vor allem darum, neue Sicherheitslücken frühzeitig aufzudecken und auf mögliche Gefahren hinzuweisen. In früheren Studien hatten bereits andere Forscher herausgefunden, dass man Daten aus den Abstrahlungen des Kabels eines LCD-Bildschirms ablesen kann und dass es möglich ist, Wörter über die Geräusche der Tastatur herauszufiltern. Im vergangenen Jahr konnte Michael Backes außerdem zeigen, wie man über Spiegelungen auf Kaffeetassen und im menschlichen Auge die Inhalte eines Computerbildschirms ablesen kann.

Fragen beantwortet:

Prof. Dr. Michael Backes
Telefon: 0681/302-3259
E-Mail: backes@cs.uni-sb.de