Zur Ausgabe
Artikel 79 / 98
Vorheriger Artikel
Nächster Artikel

COMPUTER Chaos machbar

Lassen sich Personalcomputer gegen Hacker-Attacken abschirmen? Firmen und Behörden vertrauen darauf: Aber die meisten Schutzprogramme sind leicht zu knacken.
aus DER SPIEGEL 25/1989

Die beiden Männer grüßten höflich und zeigten ihre Kripo-Marke vor, als sie den Computer-Sicherheitsberater Peter Berg* an seinem Messestand auf der »Cebit« in Hannover aufsuchten. Dann baten sie ihn um ein Gespräch.

»Wir haben da ein Problem«, erklärten die Beamten, entsandt von der Abteilung Wirtschaftskriminalität des Landeskriminalamtes Niedersachsen: Ein mutmaßlicher Wirtschaftsbetrüger sei verhaftet, sein Computer beschlagnahmt worden. Aber bislang sei an die Daten im Rechner niemand herangekommen - ein Sicherheitsprogramm, das den Speicher schütze, habe es verhindert.

Experte Berg konnte helfen. In 30 Minuten gelang es ihm noch am selben Abend, das Schutzprogramm (Markenname: »PC-Lock") des Rechners zu knacken. Der beschlagnahmte Personalcomputer gab seine Daten preis.

Was die Kripo-Fahnder aus Hannover entzückte, muß Käufer sogenannter Software-Schutztechniken für PCs schocken: Die datenhütenden Programme, von den Kunden zu Preisen zwischen 200 und 800 Mark als angeblich verläßliches Hilfsmittel zur Datensicherung erworben, halten nicht, was sie versprechen.

Mit der Angst vor Computer-Mißbrauch werben die einschlägigen Firmen für solche Schutzprogramme. »Tag für Tag« würden Daten »unterschlagen, gestohlen und veruntreut«, lautet etwa die Werbebotschaft der Firma Datasoft für das Schutzprogramm »Close Access« - »Tatort« ist »Ihr Unternehmen«.

Der Markt für PC-Schutz blüht, seit Unternehmen aller Branchen Personalcomputer an Tausenden von Arbeitsplätzen einsetzen. Auf den Kundenlisten von Schutztechnikanbietern finden sich nicht nur Industrie- und Handelsunternehmen wie Nukem, Fiat und der Otto-Versand, sondern auch zahlreiche Betriebskrankenkassen, Volksbanken und Stadtverwaltungen.

Mit ihrem Schutzprogramm, brüstet sich etwa die Firma, die das Programm »PC-Vault« liefert, lasse sich ein PC »so sicher« machen »wie Fort Knox«. Aber Experten halten den Glauben an Datensicherheit, wie er durch solche Versprechungen verbreitet wird, für verfehlt:

Zuverlässigen Schutz gegen Daten- und Programmanipulationen oder auch gegen Daten- und Software-Diebstahl böten die Programme keineswegs. Als erste Barriere gegen unbefugte Nutzer haben die Software-Schützer in aller Regel ein PC-Zugangswort ("Paßwort") eingebaut, ohne das der Rechner nicht arbeiten kann. Wird das richtige Paßwort nach einer festgelegten Anzahl von Fehlversuchen immer noch nicht eingegeben, sperrt das Schutzprogramm den Personalcomputer für Stunden. Zusätzlich übernimmt ein Teilprogramm der Wach- und Schließ-Software die Aufgabe, alle in den Rechner eingegebenen Daten zu verschlüsseln. Gelänge es einem PC-Angreifer, die Paßwort-Sicherung auszutricksen, sollen dem unberechtigten Nutzer nur wertlose Daten bleiben.

Doch Computerkenner wissen, wie dürftig diese Sicherheitsmaßnahmen sind. So ist es bei allen Rechnermodellen möglich, bestimmte Programme nicht nur über den sogenannten Festplattenspeicher im PC, sondern auch über das Diskettenlaufwerk zu starten: Der Paßwort-Schutz kann auf diesem Wege umgangen werden.

Auch die Code-Barriere bietet beim PC keinen zuverlässigen Schutz gegen Hacker. Nahezu alle am Markt erhältlichen Sicherheitsprogramme bedienen sich bei der Datenkodierung eines sogenannten XOR-Schlüssels (Ausnahme: das »PC-DES«-Schutzprogramm des Hamburger »Chaos Computer Club«, »23,23 Mark incl. Mehrwertsteuer oder drei Stunden Netzwerk-Arbeit« - die Hacker-Vereinigung empfiehlt ein aufwendiges und daher zeitraubendes Verschlüsselungsverfahren).

Bei XOR-Codes werden Daten, die der Rechner als eine Kette von »0«- und »1«-Symbolen verarbeitet, durch einen Kodierschlüssel verfremdet, der mit einer einfachen logischen Verknüpfung arbeitet. Das hat den Vorteil, daß der Kodierprozeß im Rechner sehr schnell abläuft und vom Benutzer bei der Dateneingabe nicht als hemmend empfunden wird. XOR-Codes aber sind, wie Experten wissen, vergleichsweise leicht zu knacken. Spottvers der »Chaos«-Hacker: »Mit XOR, Herr Nachbar, ist Chaos machbar!«

Um solchen Mängeln bei der Software-Sicherung abzuhelfen, verknüpfen aufwendigere PC-Schutzprogramme, so zum Beispiel »SAFE-Guard« von der Firma uti-maco Software, ihre Sicherung-Software mit Steckkarten. Die Karten-Hardware, bestückt mit einigen Spezialchips, wird in einen Steckplatz des Rechners eingeschoben und soll so den verbotenen Rechnerzugriff über das Laufwerk verhindern.

Begeistert schrieb das Computerfachblatt »Sicherheits-Berater« über den »SAFE-Guard«-Dreh: »Ein Zugriff auf geschützte Verzeichnisse war auch mit entsprechenden Tools nicht möglich.« In Wahrheit aber war das geeignete »Tool« eine simple Büroklammer, den Testern wohl nur nicht zur Hand.

Denn gewitzte Hacker fanden heraus, daß es bei SAFE-Guard ausreicht, eine aufgebogene Büroklammer als elektrische Brücke zwischen zwei bestimmten, über die Geräterückseite zugänglichen »Anschlußfüßen« auf die Steckkarte zu schieben - und schon ist die Sperre am Diskettenlaufwerk überlistet. Wird auf diese Weise der PC erstmal gestartet, bleibt den Hackern nur noch die XOR-Routine: Ein Entschlüsselungsprogramm knackt den Code.

Ausreichenden Mißbrauchsschutz für Personalcomputer gewähren nach Einschätzung von Experten derzeit nur Hardware-Lösungen, deren Herzstück ein Verschlüsselungschip des Computergiganten IBM ist. Die mit Preisen zwischen 1000 und 2000 Mark verhältnismäßig teuren Hardware-Schutzsysteme mit dem IBM-Chip werden in der Bundesrepublik von den Firmen Hetron in München und der Computer Electronik Infosys in Bodenheim bei Mainz angeboten.

Der sogenannte DES-Chip ("Data Encryption Standard") von IBM basiert auf einem als hochklassig eingestuften Verschlüsselungssystem und wurde bereits 1977 in den USA zum Industriestandard für Großrechner erhoben. US-Banken etwa wickeln ihren elektronischen Zahlungsverkehr unter dem Schutz der DES-Verschlüsselung ab.

Den Computer-Experten der Deutschen Bundesbank hingegen erschien der teure Hardware-Schutz zumindest für das interne PC-Netz als zu kostspielig. Auf der Suche nach einer Alternative sahen sich die EDV-Verantwortlichen des Geldhauses arg gefrustet: Sämtliche angebotenen Software-Schutzsysteme ließen sich knacken - bis auf eines, das Fabrikat »Oculis«, offeriert von der Informations- und Beratungsdienst GmbH (IBD).

Doch auch diese Freude währte bei den Bundesbankern nicht lange. Einen Oculis-geschützten tragbaren Computer unter dem Arm, reisten die EDV-Leute aus Frankfurt zur Infosys, jener Computerfirma, die mit dem IBM-Baustein gegen die »IBD« antritt.

Infosys-Geschäftsführer Georg Krause machte sich über das Konkurrenzprodukt her - in 60 Minuten hatte er Oculis geknackt. »Als ich auf XOR stieß«, so Krause, »war das Ding entzaubert.«

Mehr lesen über
Zur Ausgabe
Artikel 79 / 98
Vorheriger Artikel
Nächster Artikel
Die Wiedergabe wurde unterbrochen.