[Chaos CD]
[HaBi 2]    Hacker in Haft: "Die Zeit des Indianer-Spiels ist zu Ende"
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

Hacker in Haft: "Die Zeit des Indianer-Spiels ist zu Ende"

Ironie der Ereignisse: Steffen Wernéry wollte in Frankreich auf einem Fachkongreß über Datenschutz referieren - und wurde als Hacker verhaftet, Wir sprachen mit Hans Gliss, der die aktuellen Ereignisse hautnah miterlebte.

PMC: Herr Gliss, Sie sind in Frankreich zusammen mit Steffen Wernéry verhaftet worden. Weshalb?
Gliss: Man zeigte mir einen Arretierungsbeschluß und führte mich ab - zum Verhör. Nach französischem Recht ist es möglich, daß ein Zeuge zum Zweck des Verhörs arretiert wird, bis zu 24 Stunden. Sieht der Richter ein Informationsbedürfnis, kann das auf 48 Stunden verlängert werden, Spätestens dann muß der Betroffene freigelassen oder unter Anklage gestellt werden,
PMC: Sie wurden nach vier Stunden freigelassen, IM Gegensatz zu Wernéry.
Gliss: Vorzuwerfen hatte ich mir eh nichts. Ich habe auf meine Verbindungen zur bestimmten Sicherheitsbehörden hingewiesen, dort könne man sich erkundigen, das haben sie offensichtlich getan. Und jemand wie ich aus diesem
Umfeld wirkt offensichtlich vertrauter als Wernéry der erwiesenermaßen direkten Kontakt zur Hackerszene hat.
PMC: Was wurde Wernéry vorgeworfen?
Gliss: Er wurde in Untersuchungshaft genommen, weil er tatverdächtig sei, Daten ausspioniert, verfälscht und zerstört zu haben, und zwar in zehn Fallen in Frankreich.
PMC: Der spektakulärste Fall hiervon ist ja beim französischen Philips-Konzern passiert,
Gliss: Die haben die Verhaftung bewirkt.
PMC.- Was ist denn nun wirklich dran an den Vorwürfen?
Gliss- Ich halte das Vorgehen von Philips für dumm und infam. Mir hat die Polizei gesagt, man wurde Wernéry daheim halten, weil man nun jemanden ausquetschen könne, von dem man wisse, daß er viel weiß. In Deutschland wäre das rechtlich nicht möglich.
PMC: Was ist denn bei Philips an Schaden entstanden?
Gliss: Es gibt da die wüstesten Behauptungen. üher Schäden in Hohe von vier Milliarden Francs* wird spekuliert daß Daten zerstört worden seien; daß Forschungsprojekte ausgespäht wurden, und daß auf militärisch wichtige Daten zugegriffen worden sei. Ich mag mich an diesen Spekulationen nicht beteiligen, ich berichte hier nur, was in der Pariser Gerüchteküche umlief, ob sich der Schaden wirklich beziffern läßt, ob das jemals genau geklärt wird, ist eine andere Frage.
PMC: Weshalb hat Wernéry das Risiko auf sich genommen, nach Frankreich zu fahren?
Gliss: Er sollte als Referent auf dem SECURICOM-Kongreß auftreten und dort über die Vorfälle im NASA-Netz berichten. Wir haben uns ja schon lange vorher erkundigt, ob für ihn Gefahr bei der Einreise besteht, ob etwas gegen ihn vorliegt - das wurde dem Veranstalter gegenüber verneint, Aber Wernéry hat einen großen Fehler gemacht. Er hat der Firma Philips einen Brief geschickt, mit einem Hinweis auf seinen Auftritt zum Thema NASA-Hack, und daß es nützlich wäre, sich zu einem vertraulichen Gespräch zu treffen, denn er kenne die Umstände der Philips-Vorfälle überhaupt nicht.
PMC: Und was meinte Philips dazu?
Gliss: Es wurde ein Termin vereinbart, aber am Flugzeug erschien ein Empfangskomitee der Polizei.
PMC: Mit welcher Begründung?
Gliss: Der Untersuchungsrichter sagte Wernérys Anwältin, man habe ihm zwar nichts Konkretes nachweisen können, man wolle ihn aber dabehalten, um durch weitere Recherchen eine Mitwisserschaft nachzuweisen. Außerdem wurde der Brief an Philips als Erpressungsversuch gewertet, und das sei ein hinreichender Haftgrund.
PMC: Aber wirkliche Hinweise auf strafbare Handlungen gibt es nicht?
Gliss: Nein.
PMC: Wirklich überhaupt nichts?
Gliss: Ich weiß wirklich nichts davon. Und meine Einschätzung von Wernéry ist: Hätte er sich nur das Geringste vorzuwerfen gehabt, dann wäre er sicher nicht nach Frankreich gefahren. Er ist ja nicht dumm.
PMC: Nun hatte es ja schon zuvor in Deutschland Ärger gegeben. Hausdurchsuchung beim Chaos Computer Club und auch in Wernérys Wohnung.
Gliss: Selbst die deutschen Behörden waren von der Aktion der Franzosen völlig überrascht. Die Staatsanwaltschaft Hamburg hat selbst eine Art Ehrenerklärung für ihn abgegeben. Deren Ermittlungen haben ergeben, daß er weder Täter noch Mittäter in dieser Angelegenheit ist.
PMC: In der Öffentlichkeit hält sich aber immer noch die Ansicht, der NASA-Hack ginge auf das Konto der Hamburger Computer-Chaoten.
Gliss: Diese Ansicht ist falsch. Die NASA-Hacker haben beim Chaos Computer Club Beweismaterial abgeliefert. Dieses Material ist auf ausdrücklichen Wunsch eines deutschen Sicherheitsdienstes gesammelt worden. Der hat Kopien davon bekommen und dafür gesorgt, daß die Amerikaner, vor allem die NASA und DEC als verantwortlicher Hersteller, informiert wurden. Ich hin damals Zeuge dieser Verhandlungen gewesen. Nach sechsmonatigen Ermittlungen wurde am 16. März Wernérys Anwalt mitgeteilt, Wernéry sei nicht tatverdächtig. Vor allem was die französischen Vorwürfe angehe, die ja nichts mit dem NASA-Netz zu tun haben, gebe es keine Anhaltspunkte. Philips und NASA sind verschiedene Vorfälle. In den Augen der Staatsanwaltschaft, so hieß es, gelte Wernéry als eine Art Informationsdrehscheibe.
PMC: Ha 'sich Wernéry die fatale Situation nicht selbst zuzuschreiben, weil er nie klare Grenzen zwischen Hacker und Berichterstatter gezogen hat?
Gliss: Aus meinen Gesprächen mit ihm weiß ich, daß er die Grenzen sehr klar sieht. Der Unterschied ist, ob man in offene Rechner eindringt oder Daten ausspäht. Wenn der Chaos Computer Club diese Grenze nicht scharf sieht, dann darf er sich nicht wundern, wenn sein Bild in der Offentlichkeit immer wieder in der Nahe krimineller Machenschaflen angesiedelt wird.
PMC: Auch in offenen Netzen ist das Ausspähen strafbar...
Gliss: Richtig. nach Paragraph 202a Strafgesetzbuch. Nur gibt es eine Reihe von Netzen, in denen keine geheimen Daten drinstehen. Die NASA hat ja selbst nach dem Hack im Netz gesagt, das sei keine Sicherheitsbedrohung gewesen. Die Daten seien vergleichbar mit öffentlichen Bibliotheken mit freiem Zugriff für alle Wissenschaftler, was ich übrigens für eine dumme Aussage der NASA halte. Denn zwischen dem Lesen frei zugänglicher Daten im Netz und der Veränderung des Betriebssystems liegen Welten. Im NASA-Computer gelang den Hackern, wie bekannt, eine tiefgreifende Änderung des Betriebssystems durch die berühmt gewordenen "troianischen Pferde".
PMC: Die Hackerszene geriet durch den Vorfall in Aufruhr. Es hat sogar Drohungen gegeben.
Gliss: Ich habe durch einige Kontakte erfahren, daß das wohl keine leeren Drohungen sind. Das wäre aber wohl das Schlimmste, was man Wernéry in seiner Situation antun könnte, Das hieße doch, aha, jetzt schlagen die Komplizen zu.
PMC: Bei den betroffenen Rechnern handelt es sich fast ausschließlich um VAX-Rechner der Firma DEC. Ist durch die Vorfälle nicht jetzt die VAX zum erklärten Gegner geworden, an der die Hacker ihre Wut auslassen, egal, wer sie betreibt?
Gliss: Mit dieser ganzen Aktion hat Phi11ips der Firma DEC sicherlich einen Dienst erwiesen. Das Problem ist doch folgendes: Wenn ein Betreiber seine Anlage nicht schützt, darin versucht ist, wenn er blamiert ist, die Schuld dem Hersteller zuzuschieben. Es gibt Installationen, wo Hacker versucht haben, rein zukommen, aber von den Systemen prompt abgewiesen wurden - weil die Systeme sicher organisiert sind.
PMC: Die Schuld liegt Ihrer Meinung nach also bei den Betreibern der Anlagen.
Gliss: Ein Vergleich: Wenn Sie beim Autofahren zu faul sind, den Blinker zu benutzen, und dann passiert was, dann sind sie nach landläufiger Auffassung auch schuld. Bei Computern ist es üblich, daß die Betreiber den Spieß umdrehen. Entweder ist der Hersteller schuld oder der Idiot, der mir rein gefahren ist. Und die Zeugen, die da rumstehen, sind auch noch schuld, weil sie darüber geredet haben.
PMC: Damit meinen Sie den Berichterstatter Wernéry.
Gliss: Im vorliegenden Fall betreibt da jemand einen Rechner, in dem sich beliebig die Hacker tummeln können, und sucht dann nach Schuldigen.
PMC. Ist es denn so schwierig, einen Rechner vor unerwünschten Eindringlingen zu schützen?
Gliss: Natürlich nicht, bei Polizei und Militär in Deutschland sind die Rechner wasserdicht, und auch bei zahlreichen Industriebetrieben.
PMC: Wie viele Rechner, die an den durch Versäumnisse der Betreiber als schlecht gesichert gelten, schätzen Sie  ein?
Gliss: Das weiß ich nicht. Aber der NASA-Hack brachte ja zutage, daß selbst einige renommierte Forschungsinstitute mit geklauter Software arbeiten. Die haben sich einen gebrauchten. Rechner beschafft und das Betriebssystem vom Kollegen draufgespielt. Die waren nie in der Kartei des Herstellers. Das wirft ein Licht auf die Sorgfalt, die hier waltet. Daß es hier Probleme mit der Sicherheit gibt, wundert mich nicht. Aber die Leute sollen dann bitte nicht auf die Hacker schimpfen.
PMC: Wie einfach kommt man denn in einen schlecht gesicherten VAX-Rechner rein? Schafft das jeder oder nur ein Spezialist?
Gliss: Ich dachte bis vor kurzem, daß man dazu wesentliche Erfahrungen mit VAXen braucht. Wie ich jetzt weiß, genügt offenbar die Kenntnis umfangreicher Systembroschüren und eine gewisse Begabung, in einer Münchner Mailbox wurde ein Dokument gefunden, das genau beschreibt, wie man angeblich in schlecht gesicherte VAXen übers Telefon rein kommt. Das ist nicht der normale Weg, aber nach Ansicht von Sicherheitsexperten dürfte es funktioniert haben, der Autor hat das nach eigenem Bekunden aus frei erhältlichen Systembroschüren extrahiert und über eins vor über zwei Jahren in jener Mailbox veröffentlicht. Das wurde nach der Entdeckung vor einem halben Jahr natürlich gelöscht.
PMC: Was werden die Hacker jetzt nach Ihrer Meinung konkret unternehmen?
Gliss: Ich hoffe, daß sie ihre eigene Position überdenken und sich auf Gebieten austoben, auf denen sie nicht straffällig werden können. Da gibt es wahnsinnig große Betätigungsfelder wie Virenprogramme, Systemoptimierung, die da auf ihren Hacker-Status stolz sind, die sollen bitte mal erwachsen werden. Der Fall Wernéry beweist, daß das Indianerspiel zu Ende ist.
PMC: Und was rät der Sicherheitsexperte Gliss den Betreibern von Anlagen?
Gliss: Die sollten sich in vielen Fällen erst einmal Asche aufs Haupt streuen und eine Sicherheitsanalyse machen. Und bevor sie auf Hacker und Hersteller schimpfen, sollten sie Ihre individuelle Risikolage prüfen und nachsehen, was der Hersteller zur Verminderung anbietet, Und notfalls noch einiges drauf setzen. Weshalb installieren DV-Betreiber mit sensiblen Anwendungen nicht eine Rückrufautomatik, wenn sie die Rechner schon ans Netz hängen?
PMC: Die VAXen gelten als sehr sicher, sofern sie korrekt installiert sind. Wie stets da bei anderen Systemen?
Gliss: Man muß hier unterscheiden, Wenn das System nicht an einem Netz hängt, völlig abgeschottet ist, dann muß man sich nur um die internen Benutzer kümmern. Das ist einfacher. Aber wenn Leute von außen Zugriff haben, dann hat es keinen Sinn, einen Selbstbedienungsladen ans Telefon zu hängen. Beim Betriebssystem UNIX etwa gibt es hier einige Befürchtungen,
PMC: UNIX unsicher? Wer behauptet das?
Gliss: Unter Informatikern ist derzeit eine Diskussion im Gange, welche Sicherheitseigenschaften man von UNIX in der Standardversion überhaupt erwarten kann. Und es gibt Stimmen, wonach innerhalb von UNIX einfach zuviel erlaubt ist, um absolut sichere Kontrolle zu bekommen. Da muß man auf Ergebnisse dieser Diskussion warten. Es existiert schon eine sichere Version von UNIX, die soll aber mit der Ausgangsversion nur wenig zu tun haben.

 

  [Chaos CD]
[HaBi 2]    Hacker in Haft: "Die Zeit des Indianer-Spiels ist zu Ende"
[Gescannte Version] [ -- ] [ ++ ] [Suchen]