COMPUTER Sporlich unfair
Die Nachricht auf den Bildschirmen verhieß nichts Gutes. »Aus begründetem Anlaß«, kündete die Leitung des West-Berliner Rechenzentrums »Zedat« ihren über 1100 studentischen und wissenschaftlichen Kunden, »müssen wir Ihnen ein neues Login-Paßwort zuteilen. Rufen Sie deshalb persönlich in der Benutzerverwaltung an.« Das war reichlich vorsichtig ausgedrückt.
Denn hinter der Anweisung, die seit Ende Februar allen Benutzern des Rechners der Freien Universität über den Schirm flimmerte, verbarg sich ein in Berlin bisher einmaliges Ereignis: Bei der »Zedat« (Zentraleinrichtung für Datenverarbeitung) herrschte wochenlang Hacker-Notstand.
Überrascht mußten Studenten wie Wissenschaftler plötzlich feststellen, daß ihre alten Identifizierungs-Codes jeden Wert verloren hatten. Paßwörter und »user-ids«, eigentlich die streng gesicherten persönlichen Schlüssel für die Rechner-Nutzung, waren vollständig in fremde Hände gefallen, ohne Ausnahme. Fieberhaft arbeitete ein rundes Dutzend Programmierer in den Nächten und an zwei Wochenenden, um das System mit neuen Sicherheitshürden gegen unbefugten Eingriff abzuschotten.
Erstmals war zwei Hackern - Hobbyforschern in Sachen Datenschutz und Spezialisten in der Kunst kostenloser Reisen durchs Verbundnetz großer Rechenzentren - der elektronische Einbruch in den Kern des FU-Rechners gelungen.
Auf verschlungenen Pfaden durch einige hundert der vielen tausend Dateien hatten sich die beiden durch den Rechner der West-Berliner Universität gehangelt und am Ende sogar den Zugangs-Code jenes Programmierers erlangt, der mit dem Super-Rechner machen kann, was er will: den des Wartungs-Ingenieurs der Hersteller-Firma Control Data.
Ähnliches Mißgeschick widerfuhr Anfang des Jahres auch den Betreibern des gleichen Großrechner-Typs (Typenname »Cyber") im Regionalen Rechenzentrum Hannover und bei der Bayerischen Akademie der Wissenschaften. Ohne daß es bekannt wird, geschieht es womöglich noch viel öfter - die jeweiligen Systemverwalter fürchten bei Bekanntwerden der Einbrüche um ihren Ruf. Es sei, gab der Münchner Rechnerchef zu, »ja nicht gerade ein Ruhmesblatt, wenn so etwas passiert«.
Immerhin gelang es ihm, den Täter in flagranti zu erwischen, bevor er größere Geheimnisse enthüllen konnte. Durch einen dummen Zufall« sei der an einen wichtigen Code gekommen, weil ein Programm-Ausdruck aus Versehen über einen falschen Drucker gelaufen sei. Weil er dann aber nur Unsinn angestellt« habe, sei er gleich aufgefallen.
Ganz anders in Hannover, wo die System-Operateure, wie ihr Leiter Herrmann Luttermann widerwillig zugab, »gar nicht wissen, was eigentlich passiert ist«. Eine Woche mußten sie nach einem vermuteten Hacker-Einbruch den Rechnerbetrieb einstellen, weil, so Luttermann, »mit allem
gerechnet werden mußte«. »In solchen Rechenzentren«, kommentierte ein Berliner Branchenkenner und Datenschutzfachmann, »fehlt es wohl am Überblick.« Elektronische Einbrüche dieser Art deuteten auf »hanebüchene Sicherheitsmängel« des Betriebssystems.
Das möchte der Berliner Zedat-Leiter Alexander Giedke so lieber nicht sehen. Statt dessen bescheinigte er seinen Widersachern »offensichtlich sehr intime Systemkenntnisse«. Da seien »professionelle Hacker« am Werk gewesen.
Doch die Datenräuber meinen, als Profis könne man sie nicht gerade bezeichnen. Schließlich seien sie Schüler und noch keine 20 Jahre alt. Gleichwohl hätten sie sich »über Jahre so richtig in das System eingelebt«. Gleich im Dutzend fanden die beiden Hacker (mit den Pseudonymen »Josef« und »Impudent") Möglichkeiten, an die Paßwörter legaler Rechner-Benutzer heranzukommen.
Da gebe es Drucker, auf denen der Code vollständig ausgedruckt werde oder man gucke im öffentlichen Terminal-Raum jemandem über die Schulter, und schon könne man zu jeder Tageszeit den universitären Großrechner nutzen.
Mit einfachem Rechenzeit-Klau, wie er an fast allen wissenschaftlichen Rechenzentren gang und gäbe ist, gaben sich die beiden Computer-Virtuosen jedoch nicht zufrieden. Josef: »Irgendwann kennt man alle Schwachstellen, und dann kann man anfangen, accounts (Zugangs-Codes) zu sammeln.« Vor dem großen Coup habe er etwa 150 beisammen gehabt. Der Rest sei dann »wie ein Puzzle-Spiel« abgelaufen. Mit viel Fleiß und ein wenig Glück klopften die Zedat-Pfadfinder über Monate die Dateien der verschiedensten Nutzer auf weitere nützliche Hinweise ab, aus denen sie auf andere Zugangsmöglichkeiten schlossen.
»Der Durchbruch«, so bekennt Impudent, »war dann schon ein bißchen zufallig.« Doch bei »FU 531 AAA« habe er gleich gewußt, daß dies einer der hochprivilegierten Zugangs-Codes war. Der eigentliche Inhaber hinterließ kurz darauf auch prompt einen Hinweis in einem ungelöschten Arbeitstext durch den das Allerheiligste der gigantischen Rechenmaschine (Speicher-Kapazität: acht Gigabyte) zu finden war: der Speicherplatz für sämtliche 1109 Nutzer, ihre Identifizierungs-Nummern und ihre Paßworter. Josef: »Das war ein überwältigendes Erlebnis.«
Gut zwei Wochen lang durften sich die elektronischen Datendiebe dann als die heimlichen Herren der Berliner Computer-Welt fühlen, hatten sie doch nicht nur Zugang zu sämtlichen Dateien und Programmen des FU-Rechners, sondern auch zum gesamten West-Berliner Rechner-Verbund, einschließlich des Super-Computers »Cray-1«. Vor allem aber fiel den Eindringlingen vielfach die in der Hacker-Szene beliebteste Ware in die Hand: Dutzende von Möglichkeiten, auf Kosten der Universität das Datenfernübertragungsnetz (Datex-P) der Post zu benutzen.
Dieses Privileg gestatten die wissenschaftlichen Rechenzentren in der Regel nur solchen Forschern, die auf den freien Zugang zu internationalen Datenbanken oder den direkten Austausch mit auswärtigen Kollegen angewiesen sind.
Viele Hacker können sich das Hobby ihrer Datenreisen nur leisten, wenn sie an die kostenfreie Datex-P-Schaltung herankommen. Ob bis zur nächsten »Scene-Mailbox« um die Ecke, zu den öffentlichen Datenbanken des Pentagon oder auch Hacker-Freunden in Tokio - dem kundigen Hacker genügen ein Home-Computer, ein Telephon und ein Akustikkoppler (der die Computersignale ins Telephon übermittelt und umgekehrt), wenn er nur erst den Code des unfreiwilligen Sponsors geknackt hat.
Doch der allzu kesse Umgang mit der heißen Ware war es dann auch, der dem Höhenflug der Zedat-Knacker ein vorzeitiges Ende bereitete. Weil sie dem Drängen von befreundeten Hackern nachgaben und einige der privilegierten Computer-Eingänge weiterreichten, wurden die nächtlichen elektronischen Besuche im Zedat-System allzu zahl-_ reich. Rund 40 Computer-Freunde seien es am Ende gewesen, bedauert Josef, »die da rumgeturnt sind«.
Doch nicht einmal der gehäufte Mißbrauch, mußte Zedat-Chef Giedke gestehen, sei zunächst aufgefallen. Erst als die heimlichen Computer-Touristen auf dem Code eines Programmierers reisten, der gerade im Urlaub war, sei den Systemverwaltern »ein Licht aufgegangen«. Dann habe man natürlich »sofort reagiert": Den legitimen Rechner-Kunden wurden gleich zwei neue Paßworte zugeteilt, eines für den direkten »Dialog« mit dem Computer und eines zum Abschicken von sogenannten batchjobs, kompletten Rechenprogrammen.
Außerdem, so Giedke, sei jener Hackereinbruch »eindeutig kriminell« gewesen, die Rechtsabteilung habe Strafanzeige erstattet. Die Drohung beeindruckt die Täter jedoch wenig. Schließlich hätten sie sich als anständige Hacker betätigt und entsprechend der Szene-Moral nichts gelöscht und kein Programm gestört. Andere hätten Millionenschäden anrichten können.
Zudem, so die Täter, gelte der im letzten Jahr neu eingeführte Hacker-Paragraph 202a des Strafgesetzbuches (Höchststrafe drei Jahre Gefängnis) nur für Daten, die »besonders gesichert« sind. Davon könne bei vielen wissenschaftlichen Rechenzentren nicht die Rede sein, »sonst kämen wir ja da gar nicht rein«.
Das ist zwar juristisch kaum haltbar - jedes Paßwort ist schon eine Sicherung - trifft aber den Kern des Problems: Weil die Großrechner, die der Ausbildung und Forschung dienen, für Studenten
und Wissenschaftler leicht zugänglich sein müssen, bleibt der Sicherheitsaufwand zwangsläufig beschränkt. Bei manchmal bis zu 30 anwählbaren Eingängen über Telephon oder Datex-P wird die Überwachung schwierig. Auch gehen Nutzer oft allzu lässig mit ihren Paßwörtern um oder machen sie so einfach, daß das Raten leicht fällt. Da gebe es eine richtige »Hitliste« der beliebtesten Paßwörter, wissen die Hacker. Oder die Forscher würden ihr Schlüsselwort häufig aus den eigenen persönlichen Umständen ableiten: »Der Name der Freundin ist oft ein Volltreffer. »
Davor wird zwar in allen Betriebsanweisungen gewarnt, »doch verhindern läßt sich das nicht«, meint Giedke. Komplizierte Buchstaben-Zahlen-Kombinationen wiederum müßten aufgeschrieben werden, weil man sie nicht im Kopf behält - und solche Zettel seien dann auch schon wieder gefährlich. Ein »richtig wasserdichtes« Uni-Rechenzentrum sei nicht praxisgerecht, »dann könnten wir den Wissenschaftsbetrieb dichtmachen«.
Erschwert werden muß der Zugang nun wohl doch. Denn der Berliner Hacker-Wettstreit brachte nicht nur die Durchlässigkeit des Betriebssystems der Control-Data-Anlagen ans Licht. Er machte zugleich im scheinbar rein wissenschaftlichen Rechner-Betrieb erhebliche Datenschutzlücken deutlich. Beim Streifzug durch die Dateien stießen die Hacker auf *___umfangreiche Adressenverzeichnisse, in denen auch ____aktuelle Umzüge vermerkt waren, *___Personendaten von Kindern und Jugendlichen, inklusive ____des Namens der Eltern oder des Vormunds und der ____AOK-Abrechnungsnummer, *___Verzeichnisse von Universitätsmitarbeitern mit Angaben ____über Bruttogehälter und aktuellen Krankenstand.
Solche Daten, fordert Hanns-Wilhelm Heibey, Bereichsleiter Technik beim Berliner Datenschutzbeauftragten, »haben auf diesem Rechner nichts zu suchen«. Überrascht sei er angesichts des Hacker-Fundes allerdings nicht. Schon einmal seien auf diesem Wege hochsensible Patientendaten aus der Uni-Klinik in Umlauf gekommen. Das gesamte Berliner Forschungsnetz stehe deshalb auch für den kommenden Herbst auf dem Prüfplan. Wo Hacker bis zum »Schlüsselschrank« eines Rechners durchmarschieren könnten, müßten endlich »alle personenbezogenen Daten rausgeschmissen werden«.
Erlaubt ist deren Verarbeitung in staatlichen Einrichtungen ohnehin nur auf Computern, die nach außen hin abgeschottet sind. »Aber«, rechtfertigt der FU-Datenchef, »wir können nicht ständig kontrollieren, was die Institute gerade auf dem Rechner machen.«
Immerhin ließen sich die Sicherheitsbarrieren erhöhen, meint Datenschützer Heibey. So könnte das Ausprobieren von Paßwörtern verhindert werden, wenn zum Beispiel drei Fehlversuche den Zugang automatisch sperren würden. »Telephonische Angriffe« ließen sich durch eine Rückrufautomatik für den elektronischen Eindringling riskanter machen. Einfacher noch ist das Rezept des Hamburger Rechenzentrum-Chefs Hans-Joachim Mück: Er reduzierte die Zahl derer, die per Telephon »einloggen« dürfen, auf 20, privilegierte Datex-P-Benutzer gibt es nur noch sieben, und die Zentraldatei der Nutzer-Codes sei »so verschlüsselt, daß wir da auch nicht mehr rankommen«. Nur noch über einen einzigen Zugang sei das Auswechseln von Paßwörtern möglich.
All das, meint jedoch Mück-Kollege Giedke, gebe das derzeit noch verwendete alte Betriebssystem der Control-Data-Anlage nicht her. »Wenn wir das machen, dann wird der Rechner zu langsam.« Bis zur Einführung eines neuen Systems (zusätzliche Jahresmiete: 325000 Mark) möchte er deshalb die von seinen jugendlichen Widersachern angebotene Wette nicht annehmen.
500 Mark versprachen sie ihm für den Fall, daß sie nicht in den nächsten drei Monaten ein weiteres Mal das Herz des Großrechners erobert hätten.
Bis auf weiteres mag Giedke das aber auch »nicht grundsätzlich ausschließen«. Durch die bevorstehende Ferienzeit werde sein Personal ohnehin zu sehr ausgedünnt. Das Wett-Angebot der Hacker, so Giedke, sei deshalb zur Zeit »sportlich unfair«.
