Drei Hacker als Ostspione
Diese Schlagzeile war Anfang März in vielen deutschen
Tageszeitungen zu lesen. Was war geschehen?
Die bundesdeutsche Spionageabwehr hatte einen Agentenring entlarvt, der geheime Militär-, Wirtschaftsund Forschungsdaten aus westlichen Computernetzen
ausspioniert und in den Osten geschafft hat. Eine
Schlüsselrolle hatten dabei drei deutsche Hacker gespielt, die vom KGB, dem sowjetischen Geheimdienst, angeheuert wurden. Es ist ja hinlänglich bekannt, daß
östliche Geheimdienste einen beachtlichen Teil ihres
Westkapitals für Spionage einsetzen. Und wo das Geld
lockt, da sind kriminelle Handlungen nicht weit.
Das BKA hatte im Auftrag des Bundesanwaltes mehrere
Wohnungen im norddeutschen Raum und in Berlin durchsucht, wobei auch umfangreiches Beweismaterial
sichergestellt wurde. Drei Personen wurden dabei
festgenommen.
Nach Informationen des Norddeutschen Rundfunks haben
die drei Festgenommenen über Jahre hinweg Paßwörter, Rechnercodes und Programme an ihre " Arbeitgeber" im
Osten geliefert. Dadurch hatte Moskau unter anderen
auch Zugang zu den Großrechnern des Rüstungskonzerns
Thompson, zum Max-Planck- Institut für Kernphysik und
zur europäischen Raumfahrtbehörde ESA.
Ein tragischer Vorfall, der in diesen Tagen die
Gemüter erregt hat. Sicher ist der Schaden nicht wieder zu beheben, der durch die drei kriminellen Hacker
angerichtet wurde. Traurig ist aber auch, daß dadurch
die Hacker als Gesamtbild in ein schlechtes Licht geraten. Dies liegt zum Großteil daran, daß die
Berichterstatter, die solche Meldungen an die Öffentlichkeit tragen, von der Materie DFÜ und Hacking sehr
wenig Ahnung haben. So kommt es nicht selten vor, daß
Tatsachen einfach verdreht dargestellt werden.
Die aktiven DFÜ-Fans, also solche, die einen Akustikkoppler oder Modem besitzen und ab und zu in einer
Mailbox anrufen, werden mir den folgenden Sachverhalt
sicher bestätigen können:
Ich sitze vor dem Computer und habe mich mit einer
Mailbox verbunden, aus der ich eifrig die neuen
Bretteinträge auslese. Plötzlich klingelt es und vor
der Tür steht ein Freund, der von Computern wenig und
von DFÜ überhaupt keine Ahnung hat, ausgenommen der
Schlagzeilen, die man hier und da in den Zeitungen
liest.
Interessiert beobachtet er mich und fragt schließlich
die üblichen Sachen, was denn der Telefonhörer in der
komischen Anordnung ( Akustikkoppler) mache, woher die
Zeichen auf dem Bildschirm kämen und so weiter.
Nach einem mehr oder weniger kurzen Vortrag über das
Thema " Was ist eine Mailbox" kommen dann manchmal
Fragen wie " Bist Du ein Hacker" oder " Warst Du auch
schon einmal in einem Großrechner" und ähnliches.
Nein, ich war noch nie in einem Großrechner. Fast
kommt man sich ein bißchen minderbemittelt vor, kann
man in solch einem Fall nicht mit den neuesten Neuigkeiten aus den Großrechnern aufwarten.
Im Zusammenhang mit dem letzten Hack stellt man sich
auch immer wieder die Frage, wie man Großrechner
sicherer machen kann. Schon in der privaten Mailboxszene kommt es hin und wieder vor, daß Paßwörter von
Usern " gehackt" werden. Finanzieller Schaden entsteht
hier zwar kaum, der Ärger jedoch ist auch vorhanden.
Sysops privater Mailboxen versuchen zeitweise, einem
User, der ein zu einfaches Paßwort benutzt, diesen
darauf hinzuweisen. Einfache Paßwörter sind zum Beispiel der Name der Freundin, deren Telefonnummer, irgendein Geburtsdatum und so weiter. In manchen
Mailboxprogrammen ist deshalb schon eine Abfrage eingebaut, die nur Paßwörter zuläßt, die zugleich Buchstaben UND Zahlen enthalten.
Aber was man bei privaten Mailboxen als löblich bezeichnen kann, sieht man leider nicht in allen Großrechnern. Im Handbuch zum 64 er-Hackprogramm DIANE
( wir stellten dieses Programm in der Ausgabe 03/88 vor) ist zum Beispiel zu lesen:
" . . . Zufällig fand ich bei einem Test von HANS ( der
vorläufer von DIANE, anm. d. Red.) das Telebox-Paß- wort der Firma BASF. Der gute Mann hat natürlich das
beliebte " Freundin-Name- Paßwort" genommen. Hans
scannte die weiblichen Vornamen, und bei LUISE war er
drin! ! ! !"
Über solchen Leichtsinn kann man eigentlich nur den
Kopf schütteln. Aber Paßwörter werden meist so gewählt, daß man sie sich gut merken kann. Und den
Namen der Freundin merkt man sich schon schneller, als eine willkürliche Buchstabenund Zahlenkombination.
Nun will ich aber nicht allen Zugangsberechtigten zu
Großrechnern einen solch großen Leichtsinn vorwerfen.
Man fragt sich allerdings, wie Hacker auch an solche
zufälligen Kombinationswörter kommen. Reiner Zufall
ist hier selten im Spiel. Die Hacker bedienen sich da
oft ganz anderer Methoden. Ein Beispiel:
Der Hacker kauft sich eine Tageszeitung und schlägt
die Seite mit den Stellenangeboten auf. Wenn nun eine
Firma, die für Computervernetzung bekannt ist, zum
Beispiel eine " verantwortungsvolle Reinemachfrau" sucht, dann kann er sich die Nummer dieser Firma
schon mal aufschreiben.
Einige Tage nach dem Monatsersten ruft er dann nach
Feierabend in der Firma an, und mit ein bißchen Glück
ist gerade die Reinemachfrau in dem Büro, in dem das
Telefon klingelt und nimmt auch ab.
Paßwörter, die nicht einfach zu merken sind, haben
die Eigenschaft, daß sie von den Benutzern irgendwo
hingeschrieben werden. Ein kleiner Zettel in der
Schublade des Schreibtisches, ein paar Buchstabenkombinationen auf der Unterseite der Tastatur des
Rechners oder Ähnliches sind da beliebte verstecke.
Der Hacker muß nun nur noch die Reinemachfrau dazu
bringen, den Zettel zu suchen. Dies kann er zum Beispiel durch erfundene Titel erreichen." Ja, hier ist
der Doktor soundso, ich habe in meinem Schreibtisch
einen Zettel, auf dem ich etwas wichtiges aufgeschrieben habe. Bitte lesen Sie mir das mal vor. Was?
Da ist kein Zettel? Schauen Sie bitte einmal unter
der Tastatur nach, irgendwo muß was stehen. Ich bin
leider gerade mehrere hundert Kilometer weit weg auf
einer Konferenz und müßte extra nochmal umkehren, weil ohne den Zettel in der Konferenz nichts
läuft. . ." Die Reinemachfrau wird sich nun eventuell bemühen, das Paßwort zu finden, vor allem, wenn sie erst ein
paar Tage in der Firma arbeitet.
Vielleicht werden Sie jetzt einwenden, daß dies nicht
so funktioniert, da man bei der Einstellung darüber
belehrt wird, keine Daten per Telefon weiterzugeben.
Aber hier und da funktioniert es eben doch. Nicht
immer, vielleicht sogar recht selten, aber wenn es
funktioniert, dann hat der Hacker das lang ersehnte
Paßwort. . .
Aber auch die Firmen, die Programme einsetzen, durch
die die Vernetzung mit anderen Rechnern überhaupt
erst möglich wird, haben eine Teilschuld an dem
Dilemma. Solche Programme sind in der Entwicklung
meist sehr teuer, da sie keine Massenprodukte darstellen, sondern individuell geschrieben werden
müssen. Deswegen wird die Sicherheit oftmals vernachlässigt. Die Programme gelangen einfach in nicht ausreichend getesteter Form auf den Markt. Wenn dann die
Firma noch jemanden einstellt, der die Aufgabe hat, Fehler und Sicherheitslücken in dem Programm aufzudecken, dann ist das ein Schritt in die richtige
Richtung, jedoch noch lange nicht ausreichend. Denn
wer sagt, daß ein Mann gerade die Sicherheitslücke
findet, die das Programm hat? Hängt das Programm erst
einmal an der Telefonleitung, dann haben viele
Menschen darauf Zugriff. Und viele decken auch einen
Fehler eher auf als einer.
Eine Lösung wäre vielleicht eine Art Wettbewerb, den
die entsprechende Firma in Computerzeitschriften veröffentlichen könnte. Das Programm könnte einige Zeit
ungetestet am Netz hängen, wobei die Hacker öffent- lich dazu aufgefordert werden, das Programm zu knakken. Wer' s schafft, bekommt eine Belohnung. Danach
wird das Programm verbessert und der Wettbewerb
erneut ausgeschrieben, jetzt mit einer höheren Belohnung. Dieses Spiel könnte man so lange fortsetzen, bis es auch nach längerer Dauer niemandem mehr
Gelingt, das Programm zu knacken. Dann kann man davon
ausgehen, daß das Programm wenigstens einigermaßen
sicher ist.
