Drei Hacker als Ostspione ‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾
Diese Schlagzeile war Anfang März in vielen deutschen Tageszeitungen zu lesen. Was war geschehen? Die bundesdeutsche Spionageabwehr hatte einen Agen- tenring entlarvt, der geheime Militär-, Wirtschafts- und Forschungsdaten aus westlichen Computernetzen ausspioniert und in den Osten geschafft hat. Eine Schlüsselrolle hatten dabei drei deutsche Hacker ge- spielt, die vom KGB, dem sowjetischen Geheimdienst, angeheuert wurden. Es ist ja hinlänglich bekannt, daß östliche Geheimdienste einen beachtlichen Teil ihres Westkapitals für Spionage einsetzen. Und wo das Geld lockt, da sind kriminelle Handlungen nicht weit. Das BKA hatte im Auftrag des Bundesanwaltes mehrere Wohnungen im norddeutschen Raum und in Berlin durch- sucht, wobei auch umfangreiches Beweismaterial sichergestellt wurde. Drei Personen wurden dabei festgenommen. Nach Informationen des Norddeutschen Rundfunks haben die drei Festgenommenen über Jahre hinweg Paßwörter, Rechnercodes und Programme an ihre "Arbeitgeber" im Osten geliefert. Dadurch hatte Moskau unter anderen auch Zugang zu den Großrechnern des Rüstungskonzerns Thompson, zum Max-Planck-Institut für Kernphysik und zur europäischen Raumfahrtbehörde ESA. Ein tragischer Vorfall, der in diesen Tagen die Gemüter erregt hat. Sicher ist der Schaden nicht wie- der zu beheben, der durch die drei kriminellen Hacker angerichtet wurde. Traurig ist aber auch, daß dadurch die Hacker als Gesamtbild in ein schlechtes Licht ge- raten. Dies liegt zum Großteil daran, daß die Berichterstatter, die solche Meldungen an die Öffent- lichkeit tragen, von der Materie DFÜ und Hacking sehr wenig Ahnung haben. So kommt es nicht selten vor, daß Tatsachen einfach verdreht dargestellt werden. Die aktiven DFÜ-Fans, also solche, die einen Akustik- koppler oder Modem besitzen und ab und zu in einer Mailbox anrufen, werden mir den folgenden Sachverhalt sicher bestätigen können: Ich sitze vor dem Computer und habe mich mit einer Mailbox verbunden, aus der ich eifrig die neuen Bretteinträge auslese. Plötzlich klingelt es und vor der Tür steht ein Freund, der von Computern wenig und von DFÜ überhaupt keine Ahnung hat, ausgenommen der Schlagzeilen, die man hier und da in den Zeitungen liest. Interessiert beobachtet er mich und fragt schließlich die üblichen Sachen, was denn der Telefonhörer in der komischen Anordnung (Akustikkoppler) mache, woher die Zeichen auf dem Bildschirm kämen und so weiter. Nach einem mehr oder weniger kurzen Vortrag über das Thema "Was ist eine Mailbox" kommen dann manchmal Fragen wie "Bist Du ein Hacker" oder "Warst Du auch schon einmal in einem Großrechner" und ähnliches. Nein, ich war noch nie in einem Großrechner. Fast kommt man sich ein bißchen minderbemittelt vor, kann man in solch einem Fall nicht mit den neuesten Neuig- keiten aus den Großrechnern aufwarten. Im Zusammenhang mit dem letzten Hack stellt man sich auch immer wieder die Frage, wie man Großrechner sicherer machen kann. Schon in der privaten Mailbox- szene kommt es hin und wieder vor, daß Paßwörter von Usern "gehackt" werden. Finanzieller Schaden entsteht hier zwar kaum, der Ärger jedoch ist auch vorhanden. Sysops privater Mailboxen versuchen zeitweise, einem User, der ein zu einfaches Paßwort benutzt, diesen darauf hinzuweisen. Einfache Paßwörter sind zum Bei- spiel der Name der Freundin, deren Telefonnummer, irgendein Geburtsdatum und so weiter. In manchen Mailboxprogrammen ist deshalb schon eine Abfrage ein- gebaut, die nur Paßwörter zuläßt, die zugleich Buch- staben UND Zahlen enthalten. Aber was man bei privaten Mailboxen als löblich be- zeichnen kann, sieht man leider nicht in allen Groß- rechnern. Im Handbuch zum 64er-Hackprogramm DIANE (wir stellten dieses Programm in der Ausgabe 03/88 vor) ist zum Beispiel zu lesen: "...Zufällig fand ich bei einem Test von HANS (der vorläufer von DIANE, anm. d. Red.) das Telebox-Paß- wort der Firma BASF. Der gute Mann hat natürlich das beliebte "Freundin-Name-Paßwort" genommen. Hans scannte die weiblichen Vornamen, und bei LUISE war er drin!!!!" Über solchen Leichtsinn kann man eigentlich nur den Kopf schütteln. Aber Paßwörter werden meist so ge- wählt, daß man sie sich gut merken kann. Und den Namen der Freundin merkt man sich schon schneller, als eine willkürliche Buchstaben- und Zahlenkombina- tion. Nun will ich aber nicht allen Zugangsberechtigten zu Großrechnern einen solch großen Leichtsinn vorwerfen. Man fragt sich allerdings, wie Hacker auch an solche zufälligen Kombinationswörter kommen. Reiner Zufall ist hier selten im Spiel. Die Hacker bedienen sich da oft ganz anderer Methoden. Ein Beispiel: Der Hacker kauft sich eine Tageszeitung und schlägt die Seite mit den Stellenangeboten auf. Wenn nun eine Firma, die für Computervernetzung bekannt ist, zum Beispiel eine "verantwortungsvolle Reinemachfrau" sucht, dann kann er sich die Nummer dieser Firma schon mal aufschreiben. Einige Tage nach dem Monatsersten ruft er dann nach Feierabend in der Firma an, und mit ein bißchen Glück ist gerade die Reinemachfrau in dem Büro, in dem das Telefon klingelt und nimmt auch ab. Paßwörter, die nicht einfach zu merken sind, haben die Eigenschaft, daß sie von den Benutzern irgendwo hingeschrieben werden. Ein kleiner Zettel in der Schublade des Schreibtisches, ein paar Buchstaben- kombinationen auf der Unterseite der Tastatur des Rechners oder Ähnliches sind da beliebte verstecke. Der Hacker muß nun nur noch die Reinemachfrau dazu bringen, den Zettel zu suchen. Dies kann er zum Bei- spiel durch erfundene Titel erreichen. "Ja, hier ist der Doktor soundso, ich habe in meinem Schreibtisch einen Zettel, auf dem ich etwas wichtiges aufge- schrieben habe. Bitte lesen Sie mir das mal vor. Was? Da ist kein Zettel? Schauen Sie bitte einmal unter der Tastatur nach, irgendwo muß was stehen. Ich bin leider gerade mehrere hundert Kilometer weit weg auf einer Konferenz und müßte extra nochmal umkehren, weil ohne den Zettel in der Konferenz nichts läuft..." Die Reinemachfrau wird sich nun eventuell bemühen, das Paßwort zu finden, vor allem, wenn sie erst ein paar Tage in der Firma arbeitet. Vielleicht werden Sie jetzt einwenden, daß dies nicht so funktioniert, da man bei der Einstellung darüber belehrt wird, keine Daten per Telefon weiterzugeben. Aber hier und da funktioniert es eben doch. Nicht immer, vielleicht sogar recht selten, aber wenn es funktioniert, dann hat der Hacker das lang ersehnte Paßwort... Aber auch die Firmen, die Programme einsetzen, durch die die Vernetzung mit anderen Rechnern überhaupt erst möglich wird, haben eine Teilschuld an dem Dilemma. Solche Programme sind in der Entwicklung meist sehr teuer, da sie keine Massenprodukte dar- stellen, sondern individuell geschrieben werden müssen. Deswegen wird die Sicherheit oftmals vernach- lässigt. Die Programme gelangen einfach in nicht aus- reichend getesteter Form auf den Markt. Wenn dann die Firma noch jemanden einstellt, der die Aufgabe hat, Fehler und Sicherheitslücken in dem Programm aufzu- decken, dann ist das ein Schritt in die richtige Richtung, jedoch noch lange nicht ausreichend. Denn wer sagt, daß ein Mann gerade die Sicherheitslücke findet, die das Programm hat? Hängt das Programm erst einmal an der Telefonleitung, dann haben viele Menschen darauf Zugriff. Und viele decken auch einen Fehler eher auf als einer. Eine Lösung wäre vielleicht eine Art Wettbewerb, den die entsprechende Firma in Computerzeitschriften ver- öffentlichen könnte. Das Programm könnte einige Zeit ungetestet am Netz hängen, wobei die Hacker öffent- lich dazu aufgefordert werden, das Programm zu knak- ken. Wer's schafft, bekommt eine Belohnung. Danach wird das Programm verbessert und der Wettbewerb erneut ausgeschrieben, jetzt mit einer höheren Beloh- nung. Dieses Spiel könnte man so lange fortsetzen, bis es auch nach längerer Dauer niemandem mehr Gelingt, das Programm zu knacken. Dann kann man davon ausgehen, daß das Programm wenigstens einigermaßen sicher ist.