|
BILDSCHIRMTEXTLustige SpielchenHamburger Hacker bewiesen: Das Bildschirmtext-System der Bundespost Ist unsicher. Über Btx wurde die Hamburger Sparkasse mit 135 000 Mark Gebühren belastet.Wer im gelben Hamburger Telephonbuch unter der Namensspalte "Werner" blättert, stößt auf Seite 1067 auf den seltsam verstümmelten Eintrag 'Wern&1ry'. Wie der Unaussprechliche - der Satz-Computer verhaspelte ein 'é' - wirklich heißt, dürfte sich seit Montag letzter Woche dem Herausgeber des Wälzers, Bundespostminister Christian Schwarz-Schilling, eingeprägt haben. In der Nacht von Sonnabend auf Sonntag hatte Steffen Wernéry, 23, dem hochgelobten Bundespostdienst "Bildschirmtext" (Btx) eine empfindliche Schlappe beigebracht. Gemeinsam mit Freunden vom Hamburger "Chaos Computer Club" (CCC) förderte ComputerFan Wernéry aus dem Btx-System der Post sensible Daten eines anderen Benutzers zutage.- das besonders geschützte Kenn- und Passwort (»usd7000011«) für den Btx-Dienst der Hamburger Sparkasse (Haspa). Mit Haspa-Kenn- und -Passwort ausgestattet, schlüpften die Hacker gleichsam unter der elektronischen Tarnkappe der Bank in den Btx-Computer: Dem Post-Rechner als Haspa ausgewiesen, konnten sie sich in dem Btx-System frei bewegen und dem Haspa-Computer Order erteilen, wieder und wieder eine mit 9,97 Mark Gebühr belastete Btx-Seite des CCC abzurufen. [* Beim Btx-System steUen die "Anbieter" Informations-"Seiten" in Form stehehder Fernsehbilder bereit, etwa Versandhaus-Angebote. Reise-Offerten oder auch Warentest-Informationen. Für jede vom Nutzer abgerufene Seite kann der Anbieter Gebühren berechnen, pro Seite bis zu 9,99 Mark. ]Ergebnis: Von Samstag abend 22.00 Uhr bis 13.00 Uhr am Sonntag las der Haspa-Computer alle drei Sekunden eine Nonsens-Seite ("Es erfordert ein bemerkenswertes Team, den Gilb zurückzudrängen . . .") des Hamburger Computer-Clubs. Insgesamt liefen auf diese Weise, wie die Computer-Freaks am Montag der staunenden Öffentlichkeit berichteten, annähernd 135 000 Mark Gebühren zugunsten des CCC auf. Haspa-Vorstand Benno Schölermann hätte "das nicht für möglich gehalten". Wiederholt hatte die Post ihren Btx-Kunden versichert, ein Fall wie der nun in Hamburg eingetretene sei "weit unwahrscheinlicher als ein Sechser im Lotto". Nun erwägt der Bank-Vorstand, die Post für "etwaige Schäden, auch Vertrauensschäden, haftbar zu machen". Geschockt vorn Coup der Hamburger Hacker - die mit ihrem Btx-Trick die Mißbrauchmöglichkeiten des Systems demonstrieren wollten -, zeigten sich letzte Woche auch andere gewerbliche Btx-Kunden. Erhard Buchholz, Organisationsleiter beim Kölner Lebensmittel-Großhändler Rewe, will den Hamburger Coup "sorgfältig studieren". Bernhard Zeller, Jurist und Geschäftsführer der BtK-Reiseberater GmbH in Frankfurt, sah sich durch die Btx-Schlappe wieder darauf gestoßen, daß der Einstieg ins Btx-Netz »juristisch einem Sprung in eiskaltes Wasser« gleichkomme. Bisher schiebt der "Staatsvertrag über Bildschirmtext" bei Kenn- und Paßwort-Mißbrauch den Schwarzen Peter den Btx-Anbietern zu. Die Sicherungs-Codes, so verlangt Artikel 9, Absatz 8, müssen einen "dem Stand der Technik entsprechenden Schutz vor unbefugter Verwendung bieten": Würde etwa von einem "Spaßvogel" über Btx, so Zellers Horror-Vision, ein Jumbo-Jet komplett ausgebucht, der dann am Reisetag leer auf dem Rollfeld steht, ist es Sache des Reiseveranstalters, zu beweisen, daß ihn keine Schuld an der Trickbuchung trifft. Die Post sucht ihre gewerblichen Kunden zu beruhigen. Man arbeite, verlautete aus dem Bundespostministerium, "gemeinsam mit Fachleuten" daran, die Btx-Sicherheit "noch weiter zu erhöhen". Die Hamburger Schlappe, bekennt Postdirektor Bodo Frahm vom Bundespostministerium, habe »sehr weh getan«. Die Postler schmerzt es, daß ihr neues Kommunikationsnetz just in der empfindlichen Startphase getroffen wurde: Seit dem 18. Juni dieses Jahres wird Btx bundesweit angeboten. Mit dem System, so die Hoffnung der Post, würden die Bundesbürger den ersten Schritt in die elektronische Kommunikationsgesellschaft vollziehen. Vor gut zehn Jahren in England als "Viewdata" entwickelt, koppelt Btx den heimischen Fernsehapparat an das flächendeckende Telephonnetz der Post. Ein Modem genanntes Zusatzgerät (einmalige Anschlußkosten: 55 Mark) holt die über Telephonleitung kommenden Datensignale herein, ein Zusatzteil ("Decoder") im Fernsehgerät (Preis: über 1000 Mark) verwandelt sie in Schrift und Graphik-Bilder auf dem TV-Schirm. Ein zentraler Computer in Ulm sowie spezielle Rechner in Ballungsgebieten wie Berlin, Frankfurt, Hamburg und München steuern den bundesweiten Datenfluß: Fahrpläne und Börsenkurse, Kurznachrichten und Veranstaltungshinweise, Sonderangebote und Wetterinformationen können in Sekundenschnelle auf den TV-Schirm gerufen werden. Banken ermöglichen ihren Kunden Zahlungsanweisungen über Btx, Versandhäuser locken mit elektronischer Warenbestellung, Reisebüros beraten via Btx den Kunden zu Hause am Bildschirm. Mittelständische Unternehmen, Ärzte, Apotheker und Buchhändler, aber auch private Btx-Nutzer, so hoffte die Post, würden das System "einer Lawine gleich unaufhaltsam weiterwachsen lassen". Doch schon die Btx-Versuchsphase von Juni 1980 bis August 1983 in West-Berlin und Düsseldorf/Neuss dämpfte die hochgesteckten Erwartungen: Kritiker empfanden den Postdienst als "enttäuschend" und bemängelten das Btx-Angebot: es sei "unzureichend, ja weitgehend langweilig". Hohe Kosten - private Btx-Nutzer halsen sich etwa 3000 Mark, gewerbliche Btx-Kunden über 70000 Mark Gerätekosten auf - und anfängliche technische Mängel sorgen zusätzlich dafür, daß die Nachfrage schleppend blieb. Derzeit sind etwa 19 000 Teilnehmer (davon 3000 Anbieter) angeschlossen - eine Zahl, die in Kreisen der Wirtschaft als "gleich Null" gilt. Um gewerbliche Btx-Nutzer zu ködern, hatte die Post 150 000 Btx-Kunden zum Jahresende 1984 vorausgesagt. Zu der Skepsis über die wirtschaftliche Entwicklung gesellte sich die Sorge über die Btx-Technik, deren Schwierigkeitsgrad Minister Schwarz-Schilling mit dem eines "Mondlandeunternehmens" verglich. "Die Technik", so Bernd Hentschel von der Gesellschaft für Datenschutz und Datensicherung, "ist die Tücke des Objekts." Mit Btx, warnten Experten, entstehe in der Bundesrepublik ein weites Feld für Datenpiraten. Nicht Datenpiraten, wohl aber"Robin Hoods im. Datennetz", so Chaos-Sprecher Herwart ("Wau") Holland, haben nun Btx-Benutzer und -Anbieter verunsichert. Btx-Kunden, so die "Welt", fragen sich, ob statt "eines Paar Ski aus dem Versandhaus" womöglich "zehn oder hundert Paar" ins Haus kommen. Daß diese und andere Btx-Kümmernisse ernst zu nehmen sind, bewiesen die Chaos-Hacker. Mehrfach berichteten die "Post-Fans" des CCC in ihrer Postille "Datenschleuder", "wie die Btx-Verarschung läuft":
Anfang vorletzter Woche gaben Btx-Hacker der Post Nachricht von einer weiteren Schwachstelle des Systems: Wird eine Btx-Seite vorn Anbieter bis auf das letzte von 1626 möglichen Zeichen gefüllt, kommt es zu einem "Überlauf-Effekt" - geisterhaft flimmern über den Bildschirm des Anbieters Informationen, die ihn eigentlich nichts angehen, darunter auch sensible Daten von anderen Teilnehmern. Das Spielen mit diesem Überlauf-Effekt bescherte den Btx-Hackern am vorletzten Wochenende Kenn- und Paßwort der Haspa. Für "die Profis", wie die Post die ungeliebten Btx-Spieler nennt, war es ein leichtes, den zugehörigen Btx-Teilnehmer, eben die Haspa, zu identifizieren. Der Rest, so Btx-Profi Wernéry, war "ein Kinderspiel". Welch lustige Speichen" sonst noch mit Bildschirmtext (Hacker-Verballhornung: "Bildschirm-Trix") möglich sind, erfuhren die Postler nebenher zum Nulltarif von den Hamburger Hackern. Eigentlich ist Btx nur für stehende Bilder - Textseiten oder Graphiken - ausgelegt. Den Chaos-Computerfreaks aber gelang es, einen Trickfilm einzuprogrammieren, nach Art eines Videospiels. Im ZDF-"heute-journal" am Montag letzter Woche konnte auch Bundespostminister Schwarz-Schilling das kleine Kunstwerk betrachten: Ein über den Bildschirm schwebendes "Chaos-Mobil" schoß mit "Nuki"-Atompilzen auf kleine gelbe Posthörnchen. Das einzige nichtamerikanische Wort, das bisher in die neue Sprache aufgenommen wurde, ist das deutsche Wort "Gedanken". In Hackerese wird es allerdings nur als Adjektiv verwendet. Gedanken bedeutet unausführbar, nicht-gutdurchdacht oder auch unerprobt, ungeprüft. "Ein gedanken Ding", erläutert Hackers Dictionary, "ist gewöhnlich gekennzeichnet durch einen offensichtlichen Mangel an Intuition dafür, was programmierbar ist und was nicht. [Guy L. Steele Jr., Donald R. Woods, Raphael A. Finkei u.a.: ,The Hatker*s Dictionary-. Harper & Row, New York; 140 Sciten, 5.95 Dollar.] Der Spiegel Nr. 45/1984 |
[HaBi 1]
BILDSCHIRMTEXT