TC Blog

M 4.40 Verhinderung der unautorisierten Nutzung des Rechnermikrofons

OK. Einige Leser werden bei der Überschrift erstmal ein Fragezeichen über dem Kopf haben Es geht um die IT-Grundschutzkataloge (GSK) des BSI. Viele öffentliche, aber auch privatwirtschaftliche Organisationen wollen oder müssen sich an den GSK orientieren, oder sich gar nach der ISO 27001 auf der Basis von IT-Grundschutz zertfizieren lassen.
Wenn man also ein IT-System wie einen Server oder einen Client GSK-konform hinbekommen möchte, muss man Maßnahmen beachten (ganz, ganz grob ausgedrückt) und da gibt es die ein oder andere Maßnahme, die regelmäßig Kopfschütteln verursacht. Über Sinn und Unsinn wollen wir gar nicht diskutieren, da die GSK in ihrer Gänze durchaus ihre Berechtigung haben und den Zweck erfüllen.

Eine der nachdenklich machenden Maßnahmen ist die M 4.40 Verhinderung der unautorisierten Nutzung des Rechnermikrofons.
Durch Beachtung der Maßnahme soll verhindert werden, dass ein Rechnermikrofon z. B. zum unerlaubten Mitschneiden von Gesprächen genutzt werden kann. Dabei genügt es den Anforderungen, wenn das Mikrofon physikalisch nicht am Rechner angeschlossen ist (Nicht konform: Mikrofon softwareseitig aktiv, Mikrofonkabel eingesteckt; Konform: Mikrofon softwareseitig aktiv, Mikrofonkabel nicht eingesteckt). Check für viele IT-Systeme Doof wird es an Systemen, die nunmal ein Mikrofon fest eingebaut haben, wie z. B. Laptops. Hier verweist die Maßnahmen auf die Registrierungsschlüsselberechtigungen in HKEY_LOCAL_MACHINE\HARDWARE\ (nein, genauer wird es in den GSK nicht ausgeführt).

Tele-Consulting entwickelt möglichst generische Vorgehensweisen zur einfachen Umsetzung von technischen Anforderungen aus den GSK, so auch für den Windows XP-Client (derzeit noch stand-alone). Die Vorgehensweise umfasst hierbei die Bausteine Allgemeiner Client und Windows-XP Client und erläutert in Einzelschritten die administrativen Schritte. Dabei haben wir uns entsprechend auch der genannten Maßnahme angenommen und viel Zeit in die Lösung investiert.
Wir haben mit Hilfe von Regmon versucht, der Empfehlung (siehe oben) exemplarisch zu folgen. Leider sind die Einstellungen treiberspezifisch, so dass für jede andere Hardware-Plattform entsprechend andere Pfade zu suchen sind, sofern überhaupt ein selektives Deaktivieren möglich ist. Eine Nachfrage beim BSI ergab, dass auch das BSI keine generische Lösung bereithält und u. A. auf die Hardware-Hersteller verweist. Insgesamt also recht unbefriedigend.
Was tun? Immerhin will man ja meist nicht gleich die ganze Soundeingabe- samt ausgabe deaktivieren (das geht unter Windows XP durch Setzen des Parameters “Start” auf den Wert “4″ in der Registry unter HKLM | System | CurrentControlSet | Services | wdmaud)
Die einfachste Lösung ist sicherlich physikalisch das eingebaute Rechnermikrofon zu deaktivieren, sprich das Gerät zu öffnen bzw. öffnen zu lassen und das Kabel zu ziehen. Noch besser ist natürlich bei der Beschaffung darauf zu achten, dass von vorneherein das Kabel gezogen wird oder eine Bios-Option selektiv für das Mikrofon besteht. Leider eine in den meisten Umgebungen nur recht unbefriedigend umzusetzende Maßnahme, aber vielleicht helfen dem ein oder anderen die gegebenen Hinweise.

/gt