Chaos Computer Club 1984 Der legendäre Klack-klack-Hack

134.694,70 DM in einer Nacht: Im November 1984 luchsten zwei Computerfreaks der Hamburger Sparkasse eine empfindliche Geldsumme ab. Die Aktion machte den Chaos Computer Club berühmt - auch wenn es bald Zweifel an ihrer Echtheit gab.

Von Julia Erdogan


"Jedesmal, wenn es 'klack-klack' machte, waren auf dem Gebührenzähler 9,97 DM mehr," erinnerte sich Wau Holland an den Hack, der den Chaos Computer Club (CCC) berühmt machte, "Man hörte das Geld zwar nicht klingeln, aber es machte immer 'klack-klack'."

In der Nacht vom 16. auf den 17. November 1984 gelang es dem CCC, die Hamburger Sparkasse (Haspa) um 134.694,70 DM zu erleichtern. Dabei lagen die beiden Hacker Wau Holland und Steffen Wernéry zu dieser Zeit in ihren Betten. Die Arbeit erledigte ein Programm für sie. Es rief über etwa 13 Stunden automatisch immer wieder die gebührenpflichtige Seite des Klubs im Bildschirmtext (BTX) auf. 9,97 DM kostete den Teilnehmer ein Aufruf dieser Seite, auf der zu lesen war: "Es erfordert ein bemerkenswertes Team, den Gilb zurückzudrängen und ein Volk von 60 Millionen Menschen zu befreien." Der "Gilb", das war aus Sicht des CCC die Bundespost.

Das BTX-System der Deutschen Bundespost, das 1983 in Deutschland ans Netz ging, war ein beliebtes Angriffsziel deutscher Hacker. Aus ihrer Sicht wies es erhebliche Mängel und Sicherheitslücken auf. Und diese führten dazu, dass sie im BTX das tun konnten, was sie am liebsten taten: im System rumspielen und es erkunden.

Steffen Wernéry fand dabei heraus, dass man Seiten durch einen Überlauf an Zeichen "crashen" konnte. Die Informationen für den Aufbau einer Seite bestanden aus Decoder-Informationen, deren Obergrenzen bei 1626 Zeichen lag. Der Fehler im Editiersystem bestand nun darin, dass dieses auf die Eingabe der Höchstzahl von Zeichen nicht mit einem Aufbau der Seite reagierte, sondern scheinbar wirre Daten auf dem Bildschirm sichtbar machte. In diesen Daten entdeckten Holland und Wernéry eine Nutzerkennung sowie ein Passwort - die BTX-Zugangsdaten der Hamburger Sparkasse (Haspa).

Programmfehler oder Betrug?

Die bundesdeutschen Hacker standen schon lange auf Kriegsfuß mit der Bundespost. Des Öfteren wiesen Mitglieder des CCC der Post und ihrem Lieblingskind BTX erhebliche Mängel nach: Am 15. November 1984 demonstrierte etwa Wau Holland bei der 8. Datenschutzfachtagung in Köln, dass man die Zugangsbox zu BTX mit einfachen Heftstreifen und einem Schraubenzieher öffnen konnte. Eigentlich war diese Box durch Verplomben geschützt, wodurch das Öffnen und Manipulationen an ihr sofort sichtbar gewesen wären. Auf der Seite, die der Plombe gegenüber lag, ließ sich sie sich jedoch mit wenigen Handgriffen öffnen. So konnten Benutzerdaten ausgelesen und verändert werden.

In der Regel reagierte die Post auf solche von den Hackern offengelegten Sicherheitsmängel, indem sie sie ignorierte. Doch der Fund der Haspa-Zugangsdaten 1984 wendete das Blatt: Durch einen "elektronischen Bankraub" konnte man die Sicherheitslücken von BTX medienwirksam präsentieren und die Post zu einer Reaktion zwingen. Und so wandten sich Holland und Wernéry mit den Erkenntnissen aus ihrem Hack an das "heute-journal" des ZDF. Der Direktor der Sparkasse, obwohl sichtlich erstaunt, lobte in dem Beitrag sogar die "Tüchtigkeit" der Hacker. Die gingen daraufhin mit ihrer Entdeckung durch die Medien und machten den CCC deutschlandweit bekannt.

Die Post musste nun auf die Hacker reagieren. Einige Tage nach dem Beitrag im "heute-journal" am 19. November versicherte sie in einer Presseerklärung, dass die Sicherheitslücke geschlossen wurde, die zum Haspa-Hack geführt habe. Zeitgleich räumte die Bundespost ein, dass es ein Fehler im Programm gewesen sei, der die Zugangsdaten zugänglich gemacht habe.

Doch schon wenige Wochen später revidierte die Post ihre Aussage. Nun hieß es, die Hacker hätten nicht durch den von ihnen beschriebenen Vorgang an die Zugangsdaten und das Passwort kommen können. Nach intensiver Prüfung habe sich herausgestellt, dass diese beiden Informationen an verschiedenen Stellen gespeichert wurden und sie somit niemals zeitgleich auf dem Bildschirm erscheinen konnten. Sowohl die Bundespost wie auch die Medien seien den Hackern "auf den Leim gegangen".

Misstrauen unter den Hackern

Es gab keinen schriftlichen Beweis für die wirre Ausgabe von Daten auf der "gecrashten" Seite, da diese nur flüchtig auf dem Monitor erschienen. Und wiederholbar war der Hack in exakt derselben Form nicht.

Nun kamen Zweifel an der Geschichte von Holland und Wernéry auf - auch innerhalb der Hacker-Gemeinschaft. Verschiedene Versionen, wie Wernéry eigentlich an die Kennung gekommen sei, machten die Runde. Angeblich sei er an das Passwort gekommen, als er einige Zeit vor dem Hack die Haspa besuchte. Hier habe er durch Ausspähen die Kombination für BTX erfahren. Ein anderes Gerücht lautete, dass der Sohn eines Mitarbeiters der Haspa eines Tages in die Klubräume gekommen sei und hier die Informationen über den Zugang weitergegeben habe.

Wernéry und Holland blieben bei ihrer Version und versicherten deren Richtigkeit sogar gegenüber dem Landesbeauftragten für Datenschutz in Hamburg. Wernéry gestand zwar ein, dass er eine Zweigstelle der Haspa besucht und sich dort intensiv mit Mitarbeitern über das BTX-Angebot unterhalten habe. Er sagte allerdings auch aus, dass er die Kennung nicht bei diesem Besuch erhalten habe.

Voller Erfolg - auch ohne Beute

Entscheidend war, dass durch den Hack das Thema Datensicherheit in BTX in der Öffentlichkeit diskutiert wurde. Ein Erfolg war das System allerdings auch vorher nicht gewesen. Statt der anvisierten 400.000 Nutzer für das Jahr 1985 gab es nur 40.000 registrierte Nutzer.

Der CCC allerdings, der seit September 1981 als loses Netzwerk existiert hatte, konnte sich nach dem Vorfall zunehmend als Institution etablieren. Hacker des CCC wurden zu gefragten Experten in puncto Datensicherheit.

Für den CCC, der seither jährlich am 17. November das Jubiläum des BTX-Hacks feiert, hat sich die Aktion somit als sehr lohnend erwiesen - und das, obwohl sie 1984 die erbeuteten 134.694,70 DM sofort zurückgaben.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 7 Beiträge
Alle Kommentare öffnen
Seite 1
Frank Rieger, 13.11.2014
1. Ach ja ...
Richtig, BTX ... MUSSTE ich damals unbedingt haben, war aber auch eine Menge Geld damals. Mein "Post MultiTel 1" samt Thermodrucker habe ich immer noch auf derm Boden stehen. War damals eine tolle Sache, mit einem kleinen Makro konnte ich "online" Bankauszüge von meiner Bank abholen und ausdrucken ... WOW! :)
neb soitoy, 13.11.2014
2. Sicherheitsfrage zur destrukturierung von Gegenständen die die menschlichen Kompetenzen überschreiten (Albert Einstein)
Mir scheint die Sicherheitsfrage top aktuell, da ja schon ein ausserkontrolle geratenes Programm alle smart-phon besitzer taub machen könnte. aber ob an dieser entwicklung ein medien Verein etwas ändert bleibt fraglich. und ich hoffe das die Antwort auf klinische Engel über Bagdad kein Ozonloch artiges New York wird. und hoffe kein nomade zu werden der noch nach FCKW sucht (* es gibt essen
Ralph Bruckschen, 13.11.2014
3. Echter BTX Hack
Wir haben in den 80ern die Zugangsdaten von öffentlichen BTX Terminals abgesaugt. Das war echt einfach. Die Kennung war auf dem Bildschirm sichtbar - und damit auch die Telefon-Nummer von dem Terminal... Dann hat ein Freund das Terminal angerufen, und gleichzeitig habe ich die Verbindung gestartet. Anstelle von dem Post-Server kam dann das Modem von dem Freund an die Leitung - und das Terminal loggte sich ein. Bingo... Hach - das waren noch Zeiten :D
Georg Oehl, 13.11.2014
4. Kids: DM 20, Girls: DM 10
Nicht schlecht. Zum ersten CCC wurde Maedchen ein Rabatt von 10 DM auf den Eintritt eingeraeumt. Post-Maedchen bekamen sogar weitere 10% Ermaessigung. Erinnert mich an das Bild aus dem Hohlspiegel, auf dem der Eintritt fuer Frauen zu einem lokalen Fussballspiel ebenfalls stark reduziert war. Jaja, Frau muesste man sein...
Ben Behr, 13.11.2014
5.
Heute wäre man für so was vermutlich gleich für zig Jahre ins Gefägnis gewandert. Auch wenn man keinen Schaden verursacht hat
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.