In einer kurzen E-Mail bezeichnete NCSC-Sprecherin Miral Scheffer TETRA als „eine entscheidende Grundlage für geschäftskritische Kommunikation in den Niederlanden und auf der ganzen Welt“ und betonte die Notwendigkeit, dass diese Kommunikation stets zuverlässig und sicher sei, „insbesondere in Krisensituationen“. Sie bestätigte, dass die Schwachstellen es einem Angreifer in der Nähe der betroffenen Funkgeräte ermöglichen würden, die Kommunikation „abzufangen, zu manipulieren oder zu stören“, und sagte, das NCSC habe verschiedene Organisationen und Regierungen, darunter Deutschland, Dänemark, Belgien und England, informiert und ihnen das weitere Vorgehen empfohlen. Ein Sprecher der DHS-Agentur für Cybersicherheit und Infrastruktursicherheit sagte, man sei sich der Schwachstellen bewusst, würde sich aber nicht weiter dazu äußern.
Die Forscher sagen, dass jeder, der Funktechnologien nutzt, sich bei seinem Hersteller erkundigen sollte, ob seine Geräte TETRA nutzen und welche Korrekturen oder Abhilfemaßnahmen verfügbar sind.
Die Forscher planen, ihre Ergebnisse nächsten Monat auf der BlackHat-Sicherheitskonferenz in Las Vegas vorzustellen. Dort werden sie detaillierte technische Analysen sowie die geheimen TETRA-Verschlüsselungsalgorithmen veröffentlichen, die der Öffentlichkeit bisher nicht zugänglich waren. Sie hoffen, dass andere mit mehr Fachwissen sich mit den Algorithmen befassen, um zu sehen, ob sie andere Probleme finden können.
TETRA wurde in den 90er Jahren vom European Telecommunications Standards Institute (ETSI) entwickelt. Der Standard umfasst vier Verschlüsselungsalgorithmen – TEA1, TEA2, TEA3 und TEA4 – die von Funkherstellern je nach Verwendungszweck und Kunde in verschiedenen Produkten verwendet werden können. TEA1 ist für kommerzielle Zwecke bestimmt; Für Funkgeräte, die in kritischen Infrastrukturen in Europa und im Rest der Welt verwendet werden, ist es laut einem ETSI-Dokument jedoch auch für die Verwendung durch öffentliche Sicherheitsbehörden und das Militär konzipiert, und die Forscher fanden Polizeibehörden, die es verwenden.
Die Verwendung von TEA2 ist in Europa durch Polizei, Rettungsdienste, Militär und Geheimdienste eingeschränkt. TEA3 ist für Polizei- und Rettungsdienste außerhalb Europas verfügbar – in Ländern, die als „EU-freundlich“ gelten, wie Mexiko und Indien; Diejenigen, die nicht als befreundet galten – wie der Iran – hatten nur die Möglichkeit, TEA1 zu nutzen. TEA4, ein weiterer kommerzieller Algorithmus, werde kaum genutzt, sagen die Forscher.
Die überwiegende Mehrheit der Polizeikräfte auf der ganzen Welt, mit Ausnahme der USA, nutzt TETRA-basierte Funktechnologie, stellten die Forscher nach einer Open-Source-Recherche fest. TETRA wird von Polizeikräften in Belgien und den skandinavischen Ländern, osteuropäischen Ländern wie Serbien, Moldawien, Bulgarien und Mazedonien sowie im Nahen Osten im Iran, im Irak, im Libanon und in Syrien eingesetzt.
Darüber hinaus nutzen es auch die Verteidigungsministerien in Bulgarien, Kasachstan und Syrien. Der polnische militärische Spionageabwehrdienst nutzt es ebenso wie die finnischen Streitkräfte sowie der libanesische und saudi-arabische Geheimdienst, um nur einige zu nennen.
Kritische Infrastrukturen in den USA und anderen Ländern nutzen TETRA für die Maschine-zu-Maschine-Kommunikation in SCADA- und anderen industriellen Steuerungssystemumgebungen – insbesondere in weit verteilten Pipelines, Eisenbahnen und Stromnetzen, wo drahtgebundene und Mobilfunkkommunikation möglicherweise nicht verfügbar ist.
Obwohl der Standard selbst öffentlich zur Überprüfung verfügbar ist, sind die Verschlüsselungsalgorithmen nur mit einer unterzeichneten NDA für vertrauenswürdige Parteien, wie z. B. Radiohersteller, verfügbar. Die Anbieter müssen Schutzmaßnahmen in ihre Produkte integrieren, um es für jedermann schwierig zu machen, die Algorithmen zu extrahieren und zu analysieren.