Elementare Gefährdung · BSI IT-Grundschutz

G 0.15 — Abhören

Aktualisiert am 17. April 2026 4 Min. Geprüft von: Cenedril-Redaktion

A.5.14A.5.15A.5.16A.5.17A.5.18A.5.23A.5.29A.6.7A.7.6A.7.9A.7.11A.7.12A.7.14A.8.1A.8.3A.8.4A.8.5A.8.6A.8.7A.8.10A.8.14A.8.15A.8.16A.8.18A.8.20A.8.21A.8.22 BSI IT-GrundschutzISO 27001ISO 27002

Unverschlüsselte E-Mails sind Postkarten. Jeder, der Zugang zu einem Übertragungsweg hat — ein Netzwerktechniker, ein kompromittierter Router, ein Angreifer im selben WLAN — kann mitlesen. Das gilt für den gesamten Weg vom Absender zum Empfänger, über jeden einzelnen Zwischenknoten.

Abhören bezeichnet das gezielte Abfangen von Kommunikation — vom schlichten Belauschen eines Gesprächs bis zum technisch komplexen Abfangen von Funk- und Leitungssignalen. Das BSI führt diese Gefährdung als G 0.15.

Was steckt dahinter?

Jede Kommunikationsverbindung — ob Kupferkabel, Glasfaser, WLAN oder Mobilfunk — ist grundsätzlich abhörbar. Es gibt keine abhörsicheren Kabel; lediglich der erforderliche Aufwand unterscheidet sich. Ob ein Angreifer diesen Aufwand betreibt, hängt davon ab, wie wertvoll die Informationen sind und wie hoch das Entdeckungsrisiko ausfällt.

Abhörmethoden

Netzwerk-Sniffing — In ungeswitchten Netzwerken oder über ARP-Spoofing im geswitchten LAN kann ein Angreifer den gesamten Datenverkehr mitschneiden. Besonders kritisch: Klartextprotokolle wie HTTP, FTP und Telnet übertragen Passwörter ohne jeden Schutz.
WLAN-Abhören — Unzureichend gesicherte Funknetze (offene Hotspots, WEP-Verschlüsselung) erlauben das Mitschneiden der gesamten Kommunikation. Selbst WPA2-gesicherte Netze sind verwundbar, wenn ein Angreifer den Handshake abfängt und das Passwort per Brute Force knackt.
Abhören von Telefonie — VoIP-Telefonate, die unverschlüsselt über das Netzwerk transportiert werden, lassen sich mit frei verfügbaren Tools mitschneiden. Bei klassischer Telefonie genügt ein physischer Zugang zur Leitung.
Leitungsabhören — Kupferkabel lassen sich induktiv abhören, ohne die Leitung physisch aufzutrennen. Bei Glasfaser ist der Aufwand höher, aber prinzipiell möglich (Fiber Tapping). Ob eine Leitung abgehört wird, ist nur mit hohem messtechnischem Aufwand feststellbar.
Abhören über kompromittierte Infrastruktur — Router, Switches und Firewalls, auf denen ein Angreifer Zugriff erlangt hat, können als Abhörpunkte dienen. Paketmitschnitte (Packet Captures) liefern dann den gesamten durchlaufenden Datenverkehr.

Schadensausmass

Abgehörte Informationen umfassen Zugangsdaten, Geschäftskommunikation, personenbezogene Daten und technische Konfigurationen. Besonders gefährlich ist das Abfangen von Authentisierungsdaten bei Klartextprotokollen, weil ein Angreifer damit direkten Zugang zu Systemen erhält. Der Übergang zum aktiven Angriff (Identitätsdiebstahl, Manipulation) ist fließend.

Praxisbeispiele

WLAN-Sniffing im Hotel. Ein Geschäftsreisender nutzt das offene WLAN eines Hotels, um E-Mails abzurufen und sich beim Firmen-VPN anzumelden. Ein Angreifer im selben WLAN führt einen Man-in-the-Middle-Angriff durch und fängt die VPN-Zugangsdaten ab. Damit erhält er Zugang zum Unternehmensnetzwerk und kann über Wochen unbemerkt Daten abziehen.

Induktives Abhören der Netzwerkverkabelung. In einem Bürogebäude mit mehreren Mietern verlaufen Netzwerkkabel durch gemeinsam genutzte Kabelschächte. Ein Angreifer platziert einen induktiven Tap an einem Kupferkabel und schneidet den Datenverkehr mit. Da das interne Netz unverschlüsselt ist, erfasst er Login-Daten, E-Mails und Datenbankabfragen im Klartext.

VoIP-Mitschnitt über kompromittierten Switch. Ein Angreifer verschafft sich über eine Schwachstelle im Webinterface eines Netzwerk-Switches administrative Rechte. Er aktiviert Port-Mirroring und leitet eine Kopie des gesamten VoIP-Verkehrs an seinen Rechner. Geschäftsverhandlungen, Personalgespräche und strategische Planungen werden über Wochen aufgezeichnet.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 27 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

A.8.20 — Netzwerksicherheit: Segmentierung und Absicherung des Netzwerks gegen unbefugtes Mitschneiden.
A.8.21 — Sicherheit von Netzwerkdiensten: Verschlüsselung als Anforderung an alle Netzwerkdienste.
A.5.14 — Informationsübertragung: Richtlinien für die sichere Übertragung über alle Kanäle.
A.8.5 — Sichere Authentisierung: Starke Authentisierungsverfahren, die auch bei abgehörtem Verkehr Schutz bieten (z. B. Multi-Faktor).
A.7.12 — Verkabelungssicherheit: Physischer Schutz von Kabeln gegen Abhören und Manipulation.

Erkennung:

A.8.15 — Protokollierung: Erkennung ungewöhnlicher Netzwerkaktivitäten wie ARP-Spoofing oder Port-Mirroring.
A.8.16 — Überwachungsaktivitäten: Aktives Monitoring auf Anomalien im Netzwerkverkehr.

Reaktion:

A.5.29 — Informationssicherheit während einer Unterbrechung: Sicherstellung der Kommunikationssicherheit auch in Ausnahmesituationen.

BSI IT-Grundschutz

G 0.15 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

NET.1.2 (Netzmanagement) — Anforderungen an die sichere Administration von Netzwerkkomponenten.
NET.2.1 (WLAN-Betrieb) — Sicherheitsanforderungen für Funknetze, einschließlich Verschlüsselung und Authentisierung.
OPS.1.1.7 (Systemmanagement) — Sichere Fernwartung und Systemadministration.
INF.12 (Verkabelung) — Physischer Schutz der Netzwerk- und Gebäudeverkabelung.

Quellen

BSI IT-Grundschutz: Elementare Gefährdungen, G 0.15 — Originalbeschreibung der elementaren Gefährdung
ISO/IEC 27002:2022 Abschnitt 8.20 — Umsetzungshinweise zur Netzwerksicherheit
BSI: Technische Richtlinie TR-02102 (Kryptographische Verfahren) — Empfehlungen zu kryptographischen Algorithmen und Schlüssellängen

Abdeckende ISO-27001-Kontrollen

A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.16 Identitätsmanagement A.5.17 Authentifizierungsinformationen A.5.18 Zugriffsrechte A.5.23 Informationssicherheit bei Cloud-Diensten A.5.29 Informationssicherheit bei Störungen A.6.7 Telearbeit A.7.6 Arbeiten in Sicherheitsbereichen A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.11 Unterstützende Versorgungseinrichtungen A.7.12 Sicherheit der Verkabelung A.7.14 Sichere Entsorgung oder Wiederverwendung A.8.1 Benutzerendgeräte A.8.3 Einschränkung des Informationszugangs A.8.4 Zugang zu Quellcode A.8.5 Sichere Authentifizierung A.8.6 Kapazitätsmanagement A.8.7 Schutz gegen Schadsoftware A.8.10 Löschung von Informationen A.8.14 Redundanz von informationsverarbeitenden Einrichtungen A.8.15 Protokollierung A.8.16 Überwachung von Aktivitäten A.8.18 Nutzung privilegierter Hilfsprogramme A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken

Häufig gestellte Fragen

Ist das Abhören von Leitungen wirklich noch relevant?

Ja. Unverschlüsselte Protokolle wie HTTP, FTP oder Telnet übertragen Zugangsdaten im Klartext. In internen Netzwerken wird häufig auf Verschlüsselung verzichtet, weil die Leitung als sicher angenommen wird. Ein Angreifer, der physischen Zugang zum Netz hat oder über einen kompromittierten Switch verfügt, kann den gesamten Datenverkehr mitlesen.

Wie erkenne ich, ob eine Leitung abgehört wird?

Das ist in der Praxis extrem schwierig und erfordert aufwändige messtechnische Verfahren. Deshalb setzt man auf Prävention: Verschlüsselung aller Kommunikationskanäle macht abgehörte Daten wertlos, unabhängig davon, ob ein Angriff stattfindet oder nicht.

Reicht HTTPS allein zum Schutz vor Abhören?

HTTPS schützt die Daten auf dem Transportweg zwischen Browser und Server zuverlässig. Es schützt aber nicht vor Abhörangriffen auf dem Endgerät selbst, in unverschlüsselten Backend-Verbindungen oder bei fehlerhaft konfigurierten Zertifikaten. Eine vollständige Absicherung erfordert Ende-zu-Ende-Verschlüsselung und regelmäßige Überprüfung der Zertifikatskonfiguration.