Computer Wir sind die Guten

Sie hacken Wahlcomputer und Firmenrechner, kopieren den Fingerabdruck von Minister Schäuble. Sie wollen beweisen, wie angreifbar die digitale Welt ist - die Hacker vom Chaos Computer Club haben die Rolle des obersten Datenschützers übernommen.

Die Sache mit Schäubles Fingerabdruck, sagt Constanze Kurz, die habe eine Menge Arbeit gemacht. Hätte sie nicht mit gerechnet. Constanze Kurz, 34 Jahre alt, blondes Haar, Informatikerin an der Humboldt-Universität Berlin, ist Sprecherin des Chaos Computer Clubs. Sie hat sich in der Böse Buben Bar verabredet, das ist ganz in der Nähe der Clubräume in Berlin-Mitte, und natürlich passt der Name auch so schön: Klar, Hacker sind böse Buben.


Hacker, das sind Leute, die dem Bundesinnenminister heimlich einen Fingerabdruck abnehmen, tausendfach auf Folie drucken, verteilen, so wie es der Chaos Computer Club getan hat. Und nun kann sich jeder den Abdruck auf den eigenen Zeigefinger kleben und damit eine Zugangskontrolle überwinden. Das Lesegerät würde glauben, der Finger gehöre tatsächlich zu Wolfgang Schäuble, so gut ist die Kopie, und so dumm sind die Lesegeräte.

Jeder kann Wolfgang Schäuble sein, zumindest in der Theorie. Um aber praktisch mit dem Abdruck etwas anzufangen, müsste zunächst einmal irgendwo eine Tür stehen, die sich selbst für den deutschen Innenminister erst öffnet, nachdem er seinen Fingerabdruck vorgezeigt hat.

So eine Tür gibt es nicht.

Egal, "darauf kommt's nicht an", sagt Constanze Kurz. Es ist eine Frage des Prinzips.

Kurz fährt einen Kleinwagen, einen Smart, er parkt vor der Tür. An diesem Smart lässt sich sehr schön erklären, was für ein Prinzip das ist, um das es den Hackern vom Chaos Computer Club geht, beim Fingerabdruck, bei Wahlcomputern, Firmenrechnern oder eben Kleinwagen.

Die Hackerin hat gelernt, ihr Auto selbst zu reparieren, sie kann Kleinteile auswechseln und in der Elektrik herumfrickeln, aber das reichte ihr nicht. Also versuchte sie das, was normalerweise nur der Fachmann in der Kfz-Werkstatt darf: das Auto an einen Laptop anschließen und ein Diagnoseprogramm laufen lassen. Sie suchte im Wagen nach der Schnittstelle, forschte nach einem passenden Adapter für den Rechner, fand irgendwo im Internet das Diagnoseprogramm, und als sie alles beieinander hatte, konnte sie einfach mal nachschauen, wie es im elektronischen Hirn ihres Autos denn so aussieht.

Jedes moderne Fahrzeug besitzt so ein Computergedächtnis, es speichert die Motordaten, die Fehlermeldungen der Elektronik oder registriert kritische Situationen, beispielsweise wenn der Querbeschleunigungssensor ein Schleudern registriert. Die Mechaniker wissen dank des Rechners, welche Fehler sie beheben müssen, welche Bauteile austauschen. Laien sollten davon eigentlich die Finger lassen.

Constanze Kurz hat also einen Zugang benutzt, der nicht für sie gedacht war, und ein Programm benutzt, das nicht für sie gemacht ist. Sie hat ihren Smart gehackt. Und die Daten, auf die sie stieß, bewertet sie anders, als ein Kfz-Meister es tun würde: "Da kann man ein schönes Bewegungsprofil mit erstellen", sagt sie.

Das ist das Prinzip: Türen öffnen, Daten sichten, vor Missbrauch warnen. Ob es wirklich jemanden gibt, der sich dafür interessiert, wann Constanze Kurz morgens den Motor startet, spielt dabei keine Rolle.

Vor kurzem war Kurz zu Gast bei Peter Schaar, dem Bundesbeauftragten für den Datenschutz. Schaar mahnt von Amts wegen, er ist meistens in der Defensive. Datenschutz gilt vielen als hinderlicher Luxus. Dann muss Schaar zum Beispiel erklären, warum Daten aus den Mautbrücken über der Autobahn nicht zur Verbrecherjagd benutzt werden dürfen. Wahrscheinlich beneidet Schaar den Chaos Computer Club (CCC) um die Möglichkeit, einfach mal spektakulär zu zeigen, wie einfach sich Daten missbrauchen lassen.

Der Club stellt sogar Sachverständige am Verfassungsgericht

Und so ist der CCC längst zum eigentlichen obersten Datenschützer geworden, zum Greenpeace für Computer.

Gut, etwa 80 Prozent aller Hacker im CCC, sagt Kurz, "sehen tatsächlich so aus, wie man sich Hacker vorstellt", also bleich wie ein Nachtalb, fast immer männlich, oft mit Fusselbart und Kapuzenpulli. Viele reden nicht viel, und nicht alle riechen gut. Sie trinken Club-Mate, ein koffeinhaltiges Gesöff, das beim Wachbleiben hilft und besser verträglich sein soll als Kaffee oder Cola. Oft haben sie Magenprobleme. Diese Nerds bilden die Basis des Clubs.

Es gibt eine Debatte im Club, was die eigentliche Aufgabe ist: eine Umgebung zu schaffen für ebendiese Tüftler, Freaks und Experten. Sie sollen in den Clubräumen herumforschen dürfen und gleichsam nebenbei die sogenannte Hackerethik des Clubs inhalieren: nicht zerstörerisch arbeiten, keine Daten plündern oder verkaufen, keine Viren in die Welt setzen.

Oder soll der Club noch politischer werden, eine Lobbygruppe für den Datenschutz? Dann müsste es etwa ein Büro geben, mit bezahlten Kräften, und die Sprecher müssten nicht mehr ehrenamtlich und nach Feierabend vor die Kameras treten. Das Chaos müsste professionalisiert werden.

Als Experten sind die Hacker längst anerkannt, der Club stellt Sachverständige am Bundesverfassungsgericht und bei Anhörungen in Bundestagsausschüssen. Er führt vor, wie unsicher die digitale Welt ist und wie einfach auszuhebeln. Und manchmal bewirkt ein kleiner Hack des CCC mehr als das sorgfältig zusammengetragene Jahrbuch eines Datenschutzbeauftragten.

Zum Beispiel in Hamburg: Dort sollte die Bürgerschaftswahl im März eigentlich mit einem elektronischen Wahlstift durchgeführt werden. Das Hamburger Wahlrecht ist furchtbar kompliziert, und deshalb sollte dieser elektronische Stift her: Durch eine kleine Kamera sieht der Stift, wo der Wähler sein Kreuz macht, und überträgt die Daten an einen Computer. Um kurz nach sechs drückt der Wahlleiter auf einen Knopf, und der Rechner spuckt das Ergebnis aus. So etwa war es geplant.

"Wir hielten das nicht für sicher", sagt Frank Rieger, auch er ein Sprecher des CCC. "Der Wähler weiß nicht, was im Innern der Geräte passiert, er kann nicht kontrollieren, ob seine Stimme korrekt gezählt wird." Beim herkömmlichen Auszählen der Stimmzettel darf jeder Bürger zusehen, beim Ausdrucken eines Computerergebnisses bringt Zugucken aber nichts.

Die Hacker baten den Wahlleiter um ein Exemplar des Stifts, sie wollten sich das Teil gern mal ansehen. Sie bekamen keinen, natürlich nicht. Also kauften sie einen fast baugleichen, öffneten ihn, untersuchten Kamera, Software, Datenübertragung, sie lasen die Dokumentation, und am Ende hatten sie einen genialen Weg gefunden, das Gerät zu überlisten.

In den Stift kamen sie nicht richtig rein. Also haben sie einfach das Papier gehackt.

Damit der Stift "weiß", wo der Wähler sein Kreuz macht, sind auf den Wahlzettel sehr feine Muster aufgedruckt, mit bloßem Auge praktisch nicht erkennbar. Wer die CDU wählt, führt die Stiftkamera über ein anderes Muster als ein SPD-Wähler, der Stift erkennt also nicht das Kreuzchen, sondern das Papier darunter.

Die CCC-Leute stellten nun einen Wahlzettel vor, bei dem alle Parteien das gleiche Muster trugen. Nun wäre es egal, welche Partei der Wähler ankreuzt, der Stift sieht - und zählt - immer nur die eine.

Nachdem Rieger den Hack im Hamburger Rathaus präsentierte, war der Wahlstift erledigt. Über eine Million Wahlzettel hätten manipulationssicher hergestellt und verteilt werden müssen.

Die meisten Hacks, meint Constanze Kurz, seien vergleichsweise einfach.

Den Fingerabdruck eines Politikers zu knacken zum Beispiel - "Dit kann jeder." Kurz spricht schnell und berlinert stark, vor allem aber kommt sie ohne "Technobabbel" aus, wie sie das nennt. Sie kann komplizierte Dinge einfach erklären. So, dass auch Journalisten verstehen, was sie meint. Oder Politiker.

Also, ein Grundkurs Fingerabdruckklau in einfachen Worten: Man braucht einen möglichst sauberen Fingerabdruck, auf einem Trinkglas beispielsweise. "Autogrammkarte is ooch jut", sagt Kurz, wegen des Hochglanzpapiers.

Dann nimmt man einen kleinen Behälter, etwa den Deckel einer Trinkflasche, tropft ein bisschen Sekundenkleber hinein und hält den Deckel über den Fingerabdruck. Das Gas aus dem Kleber reagiert mit dem Fett vom Abdruck und macht die Linien schön sichtbar. Nun lässt sich ein Foto schießen, im PC bearbeiten und per Laserdrucker auf Folie ausdrucken. Fertig.

Neu ist das Verfahren nicht. Wie man einen Abdruck vervielfältigt, zeigte der Club schon 2004. Damals hatte die Ladenkette Edeka in einigen Geschäften das Zahlen per Fingerabdruck ermöglicht, der CCC monierte, das Verfahren sei nicht sicher. Niemand reagierte. Im Jahr 2007 half der Club Redakteuren von "Plusminus" beim Einkaufen - mit gefälschten Abdrücken an den Fingern.

Ist das legal?

Hacken an der Grenze zur Illegalität

Constanze Kurz zögert ein wenig. Der Missbrauch ist natürlich verboten. Aber Schäubles Finger zu verbreiten, meint sie, wohl nicht. Aber weil sie nicht weiß, ob das Innenministerium trotz aller öffentlichen Gelassenheit nicht doch eine Klage plant, will sie lieber nicht genau sagen, wie der Club an den Abdruck des Ministers gekommen ist.


Als der CCC 1981 gegründet wurde, hieß der Feind noch Deutsche Bundespost. Der Post unterstand damals die Telekommunikation, und an den eigenen Telefonanlagen herumzuschrauben war gesetzlich verboten. Als die Post dann den BTX-Dienst gründete, eine ärmliche Frühform des World Wide Web, ging auch der CCC online.

1984 wurden die Hacker erstmals bundesweit bekannt: Sie hatten eine Lücke im BTX-System der Post entdeckt und konnten so den Computer der Hamburger Sparkasse dazu bringen, dem Club im Laufe einer Nacht rund 135.000 Mark zu überweisen. Das Geld zahlten sie sofort zurück.

Drei Jahre später schafften es CCC-Leute, sich in ein Netz von Großrechnern einzuklinken, sie landeten bei der Nasa, bei der Esa, bei Philips und bei der französischen Atomenergiebehörde. Der damalige Sprecher des Clubs wurde deswegen später in Frankreich verhaftet und saß neun Wochen in Haft.

Etwa zur gleichen Zeit hatten andere Hacker ihr Wissen über die Lücken in den westlichen Computern zu Geld gemacht und an den sowjetischen Geheimdienst KGB verkauft, das war der erste große Sündenfall.

Heute gilt der Grundsatz, dass von den Räumen des CCC aus fremde Computer in Ruhe gelassen werden. Das klappt in der Regel auch, nur nicht bei den alljährlichen Kongressen, die der CCC veranstaltet. Dann sitzen einige tausend Hacker beisammen, die sich gegenseitig gern etwas beweisen wollen. Für angegriffene Unternehmen unterhält der Club eine eigene Beschwerdestelle.

Im Grunde aber geht es auch auf den Kongressen vor allem um Datenschutz, um die Gesundheitskarte, um Anonymität im Netz oder um das Ausschalten von Überwachungskameras.

Constanze Kurz, die Sprecherin des Clubs, hält die Sorge vor dem Überwachungsstaat nicht für übertrieben. Die meisten Politiker, sagt sie, seien im Grunde "merkbefreit", sie hätten ihren PC nur, damit ihre Sekretärin ihnen die E-Mails ausdrucken könne - und wer von Computern nichts verstehe, dem könne sie auch kaum klarmachen, was an Vorratsdatenspeicherung oder Online-Durchsuchung so schlimm sei.

Vielleicht ist das paranoid. Viele Hacker wittern Verfolgung, Kontrolle und Geheimdienste, wo möglicherweise gar keine sind. Aber vielleicht ist das auch ein ganz natürlicher Prozess: Je mehr einer über die Lücken und Möglichkeiten der digitalen Welt weiß, desto größer seine Sorgen.

Vor der vermeintlichen oder tatsächlichen Bedrohung schützt sich Constanze Kurz also selbst: Sie telefoniert mit einem abhörsicheren Handy, das von vertrauenswürdigen Menschen entwickelt und vertrieben wird, nämlich von Veteranen des CCC. Sie verschlüsselt ihre E-Mail, gibt ihren Rechner nicht aus der Hand, lässt Wachprogramme laufen und verschlüsselt die Festplatte. "Hier kommt Schäubles Bundestrojaner nicht drauf", sagt sie.