============== Page 1/1 ============== Das wissenschaftliche Fachblatt für Datenreisende DM 3,50 Die Datenschleuder ISSN 0930 -1045 Juni 1991 Nr. 35 o Impressum Redaktoria! Editoral Die Killerameisen greifen an! Hordenweise ziehen die KImeisen mordend und brandschatzend über die Tastaturen. All jener ökologischen Umstände trotzend haben wir, wie sicherlich bemerkt, eine neue DS pornographiert. Die an 16 feh4 Seiten sind den Portokosten und KImeisen und deren gigantischen zum Opfer lenden und pernicht den Beißwerkzeugen gefallen. Nach eingehenden unter großem sonellen und materiellen Einsatz geführten Diskussionen sind wir zu dem Entschluß ge­ kommen, daß der Postzeitungsvertrieb die Losung sei. Nun ja, das wird zur Folge haben, daß die DS jetzt „regelmäßig” er­ scheinen sollte. Dezentrales Chaos hatte zur Folge, daß wir mit dieser Ausgabe noch nicht im Postzeitungsvertrieb sind. Jedenfalls sollen die sterblichen Überreste der nächsten Schleuder rechtzeitig zur Funk­ ausstellung Berlin, also Mitte August, der P*st übergeben werden. Harren wir also der Dinge, die da kommen mögen... spirou WORLD NUMBERING PL AN ZONE AREAS Die Datenschleuder Das wissenschaftliche Fachblatt für Datenreisende Heft 35 (Zählnummer für Abonnenten) Wir organisieren uns irgendwie dezentral oder auch nicht, empfehlen aber unbedingt, jeweils den Kon­ takt mit der nächstgelegenen regionalen Gruppe zu knüpfen. Adresse: Die Datenschleuder, Schwenckestraße 85, D-W 2000 Hamburg 20 Telefon: (040) 490 87 57 Telefax: (040) 491 76 89, Mailbox DS-RED@CHAOS-HH.ZER (040491 10 85, 1200/2400 8n1) Internet/UUCP: ccc@mcshh.hanse.de BTX: *CHAOS# Redaktion: andy, cash, nomade, pirx, ron, rowue, spirou, terra, wau. V.i.s.d.P.: Rolf Würdemann Herausgeber: Chaos Computer Club e.V, Adresse wie Red. Adreßänderungen: bitte ABOMV@CHAOSHH.ZER mit alter und neuer Anschrift mitteilen Druck: Bernd Paustian, Schwenckestr. 68, 2000 Hamburg 20 Namentlich gekennzeichnete Artikel geben nicht unbedingt die Meinung der (Gesamt-) Redaktion wieder. Alle technischen Informationen, Schaltun­ gen usw. werden ausschließlich zu Amateurzwecken mitgeteilt. Irgendeine Funktions- oder sonstige Ga­ rantie wird nicht übernommen. Die (insbesondere fernmeide-) rechtlichen Vorschriften sind zu beach­ ten. Einzelpreis 3,50 DM. Abonnement für 8 Ausga­ ben 60 DM, Sozialabonnement 30 DM. Mitglieder des Chaos Computer Club e.V. erhalten die Daten­ schleuder im Rahmen ihrer Mitgliedschaft. © Copyright 1991: Alle Rechte bei den AutorIn­ nen. Kontakt über die Redaktion. Nachdruck für nichtgewerbliche Zwecke mit Quel­ lenangabe erlaubt. Belegexemplar erbeten. Eigentumsvorbehalt: Diese Zeitschrift ist so­ lange Eigentum des Absenders, bis sie dem Ge­ fangenen persönlich ausgehändigt worden ist. ZurHabe-Nahme ist keine persönliche Aushändigung im Sinne des Vorbehalts. Wird die Zeitschrift dem Gefangenen nicht ausgehändigt, so ist sie dem Ab­ sender mit dem Grund der Nichtaushändigung in Form eines rechtsmittelfähigen Bescheides zurück­ zusenden. te 2 Datenreisende Die Datenschleuder Recht Hamburger Datenschutzhefte „Das neue Datenschutzrecht” Da iss' es! Mit einem Geleitwort von unser’m seligen Justizsenator Wolfgang Curilla präsentiert unser lieber Manfred Krause (seines Zeichens amtierender Hamburger Datenschutzbeauftragter) das neue Daten­ schutzrecht! Auf satten 122 Seiten finden sich erstmal Geleitwort, Vorwort, das Hamburger- sowie das Bundesdatenschutzgesetz. Außer dem üblichen amtlichen PiPaPo kann man/frau sich an der ergänzten, ausführlichen Senatsbegründung zum Entwurf des Gesetzes ergötzen. So hübsche Sachen wie eine Druck­ fehlerberichtigung, Anschriften der Daten­ schutzkontrollinstitutionen (32 Buchstaben) für die öffentlichen (Gericht, Staatsanwalt, Gefängnis oder Krankenhaus) und die der nicht-öffentlichen Bereiche (CCC) runden die ganze Sache ab! Haben Sie allerdings als Ostdeutscher Fra­ gen zu der Thematik, müssen Sie sich im Einzelfall an den Bundesbeauftragten für den Datenschutz wenden, alldiweil beim Redaktionsschluß noch keine DatenschutzKontrollinstitutionen eingerichtet waren. Sei’s drum! Wer gerne wurschtelt, dem sei dieses Büchlein ganz warm an’s Herz gelegt! Es ist kostenlos erhältlich unter dieser eh­ renwerten Adresse: Der Hamburgische Datenschutzbeauftragte, Baumwall 7, 2000 Hamburg 11, 040/35042044 PEB Diverses Diffuses CeBIT '91 - Kurzmeldungen Freitag, 15.3.91 P.stellte ein Gerat vor, mit dem ein ISDNBasisanschluß wie eine Nebenstellenan­ lage (4 Nebenstellen mit Durchwahl) be­ nutzt werden kann. Die Teilnehmer können auch intern miteinander sprechen, Rufum­ leitung und ähnliche Komfortfunktionen sind möglich. Das Gerät soll über die DBP Telekom vertrieben werden und Mitte des Jahres vefügbar sein. Die Datenschleuder Eine japanische Firma stellte ein optisch­ es Druckerkabel vor. Zwischen Sendeund Empfangsstecker sind 30 Meter Glas­ fasern verlegt. Damit lassen sich auch in gestörter Umgebung (Industrie) Drucker über große Entfernungen mit normalen Centronics-Interfaces anschließen. Näheres nach einem ausführlichen Test. Auch Telefaxboomt weiter. Geräte und Karten werden immer leistungsfähiger und preiswerter. Die Datenschleuder will dem­ nächst einen Vergleichstest mehrerer Fax­ karten, -Modems usw. veranstalten; Test­ geräte wurden der Redaktion freundlicher­ weise von diversen Herstellern zugesagt. Abends war der Pressetreff eines bekannten Hamburger Modem-Herstellers gut besucht. Bier, Musik und belegte Brötchen stellten eine angenehme Alternative zum 18-UhrStau dar. Die Leute vom Foebud Bielefeld waren auch da, es wurde heiß und innig dis­ kutiert - wenn ich mich jetzt noch erinnern könnte, worueber... Dienstag, 19.3.91 Das traditionelle Hacker-Treffenam Post­ stand wurde von der Telekom freundli­ cherweise mit Getränken und Demo-Te­ lefonkarten (je 20 Einheiten drauf, im­ merhin...) gesponsert. Trotzdem war der Poststand hinterher mit diversen PostTotenköpfen verziert. Häcker und Häcksen aus ganz Deutschland waren zum Gedan­ kenaustausch erschienen. Unser Großer Vor­ sitzender Terra hatte einiges betreffs neuer ISDN-Gebühren zu berichten (siehe sei­ nen Artikel irgendwo in diesem Heft [Denk­ ste! d.S.]). Wer dachte, daß in deutschen Landen die Bundesbahn das Monopol auf schaurig­ kitschige Hausfarben hat, muß sich vom Gilb eines Besseren belehren lassen. Das neue (na ja, vorgestellt wurde es schon in ei­ nem dicken Ringbuch von ca. 1987) Er­ scheinungsbild der Post sieht für die Tele­ kom Bonbonrosa neben Grau vor. Dazu schreibt siech die Telekom jetzt “T-e-l-e-ko-m”, mit Buchstaben in pink und Strichlein dazwischen in Grau. Brrr. pirx Das wissenschaftliche Fachblatt für Datenreisende Seite 3 Telefonisches Perspektiven der elektronisch unterstützen Kommunikation in Krisenzeiten: Schutz gegen Überlastungen, Katastrophenschaltung Zum Schutz gegen Überlastungen von Vermittlungseinrichtungen, z.B. in Katastrophenfällen, sind im EWS [Telefonver­ mittlungssystem der P*st, d.S.] gestaffelte Maßnahmen vorgesehen, die je nach Rech­ nerbelastung automatisch in Kraft treten und eine Lastregelung bewirken. Zu den Maßnahmen gehört u.a. die Ab­ schaltung bestimmter Teilnehmergruppen entsprechend ihren gespeicherten Berechti­ gungen vom gesamten abgehenden Verkehr oder von bestimmten Verkehrsarten (Orts­ verkehr, Fernverkehr). Dabei wird durch eine Anreizsperre verhindert, dass nicht be­ rechtigte Teilnehmer durch ständige Verbin­ dungsversuche das Zentralsteuerwerk bela­ sten. Die Abschaltung von Teilnehmeranschlüssen in Katastrophenfallen kann auch vom Be­ triebspersonal aktiviert werden. Quelle: Siemens; Elektronisches Waehlsystem EWS, Systemuebersicht EWSO LS 16 (viel- leicht auch so ein Thema, was Dis­ kussionsmässig noch nicht abgeha(c)kt ist) zu irgendwelchen Daten bezüglich irgend­ welcher Geschichten (siehe Anzeige aus d. taz-hh hier irgendwo)... andy Bei Experimenten mit 0130-Nummem (sie­ he auch Hackerbibel Teil 1, Seite 183, 193, 194 etc. *) kann es sinnvoll sein, dies nicht vom eigenen Anschluss zu machen. (Neben­ bei: Gerüchte besagen, irgendwelche Leute haben bereits Erfahrungen in diese Richtung gemacht, wüssten also schon ganz sicher, dass es besser gewesen wäre. Wer hierüber genaueres (z.B. Fakten) weiss, möge sich doch mal melden, damit auch die übrige Le­ serschaft etwas auf dem laufenden ist). Telefonzellen bieten seit einiger Zeit die Möglichkeit, dies sogar ohne den Ge­ brauch von Münzen/Karten zu machen. Bei Kartentelefonzellen rate ich hiervon jedoch ab; noch ist zwar nicht klar, ob die Verbindungs- daten (Absendekennung d. MünzKarTel, Anwahlnummer, Ge­ sprächsdauer) auch ohne Einführen einer Karte übermittelt werden, die technische In­ frastruktur erlaubt dieses jedoch im Zwei­ fellsfall durch Einspielen einer neuen Soft­ ware (siehe Diagramm). Ein Artikel zum genauen Funktionieren d. Kartentelefo- nierens bzw. dessen Vernetzung findet sich vor­ a r ussichtlich in der nächsten Datenschleu­ der. Die durch Abhörmaßnahmen von StasiWest oder ähnlich resultierenden Störungen unserer Club-Telefonleitungen lassen sich allmählich Termin- lich fixieren. Ca. 4 Wo­ chen vor Hagbards Todesdatum (23.5.) fing es damit auf der CHAOS-HH Leitung an auch der aktivierte Störungsdienst der DBP Telekom (Name urheberrechtlich umstrit­ ten) konnte nicht helfen und verwies dar­ auf, daß Stasi-West sich normalerweise in­ duktiv ankoppelt und so keine Störungen verursacht. Überraschend und eigentlicher An- lass zum Schreiben dieses Artikels war, dass die Leitung schon am 24.5. gegen 03:00 * dazu wohl auch in Hackerbibel 3 mehr. Er­ morgens keine Störungen beim Datenver­ scheinung ca. Ende des Jahres oder später. kehr mehr produzierte. Offenbar befürchten Wer noch Ideen oder Material hat lasse das irgendwelche Stellen irgendwelche Aktionen doch mal rueberwachsen eite 4 Das wissenschaftlicheFachblatt für Datenreisende Die Datenschleuder Die Datenschleuder Das wissenschaftliche Fachblatt für Datenreisende Seite 5 Quelle: Unterrichtsblätter der DBP, Teil B (Fernmeldewesen), Jg. 42 (1989), Nr. 11 1 IV Kar tle l OK a r tl e l AEK Ebenen 4 Ebene n 5 6 Eben e 1 Ebene 2 Ebene 3 Ebene 4 Funk uhr la uf wer k Di sk et t e n- Ebene 5 Ebene 6 1 OK artT ell DA TE X- P W ä hlnetz Maste r - TBK artTel I RZF BKart Tel Z IV K a r t ZKart TB K a rt T el n Betr ieb und Wartu ng T e le K a r t e F e -N e tz T B K a rtT e l 1 AE K D AT EX -L TRAN SDAT A 9 6 6 7 PD N B S 20 00 ZIV Ka rt 7.5 80 - D VAR RZF IV K art T e l 1 AEK n 1 T B K art Tel n Rechenzentrum Fernmeldewesen Technischer Betriebspla tz für Kartentelefone Z e n t ra l e In fo rm atio n sve ra rb ei tu ng für K ar te nan w en dungen Zen trum für die Adm inis tratio n (Ve rw altun g) aller Ka rten anw end ungen be i der D BP AE K T B K a rt T e l DA TE X-P Ma ste r - TB Kar tT el Ze ntr ale Eingabe pl ät z e ZK a r t , Na chtsp err pla tz Terminals für ..Deutschland Direkt" TRA NS D ATA 9667 PD N DA T E X-L Karten tele fon sys tem Übe rsicht DATEX - L Prozeßeb en e n (technische Eb e ne ) Adm inis trati ve Eb enen (Ve rwa ltun g) Anschalteein heit fur Kartentela fone Inf o rm a tionsve rarbei tun g für Ka rte n tel e fo ne Öf fe n tli che s Ka rte nte le fon AE K station IV K art Tel Drucker 1: Öf fen tlic hes Plat tenMagnetband - spe icher B ild Cityruf.... ...damit Sie erreichbar sind Was ist Cityruf? Cityruf ist ein Funkruf-Netz, welches das überlastete „Europiep”-Netz (Eurosignal, auch Europäischer Funkrufdienst, EFuRD genannt) ablösen soll, es bietet im Gegen­ satz zum Europiep noch die Möglichkeit der Nachrichtenübermittlung (15 Zeichen nume­ risch, oder 80 Zeichen alphanumerisch, je nach Empfänger) an. Netzaufbau und Systemkonzept Bei der Planung dieses Netzes ging mensch von einer Teilnehmeranzahl von 1 Million aus (scheint überholt, die Planung wurde teilweise in Richtung mehr mögliche Funkrufe/Minute abgeglichen). Bei der Planung ging mensch von folgender Aufteilung der Rufklassen aus: Nur Ton: 45% Numerisch: 35% Alphanumerisch: 20% Um das daraus resultierende Verkehrs­ aufkommen bewältigen zu können, und im Hinblick darauf, daß Cityruf vorwie­ gend auf die regionale Rufversorgung aus­ gerichtet ist, entschied mensch sich für eine dezentrale Aufteilung des Netzes. Die BRD und Berlin(West) erhielten ins­ gesamt acht ,,Funkrufvermittlungsstellen” (FuRVSt) [und wo bleiben die FNL?, der Sitzer], denen ca. 50 „Rufzonen” zugeord­ net werden. Die FuRVSt sind in einem Netz zusammengeschaltet, so das jeder mit jedem kommunizieren kann. Die Rufeingabe und Rufaussendung ist auf dieser Ebene völlig freizügig. Diese FuRVSt sind über Zugänge aus dem Fern­ sprechnetz (SWFD, Selbstwählferndienst), Teletext, Telex und Btx zu erreichen, um dort Rufe abzusetzen. An diesen FuRVSt können bis zu 30 sogenannte Funkruf­ konzentratoren (FuRK) über die Funk­ rufnetzanschaltung (FuRNA) angeschlossen werden. An diese Funkrufkonzentratoren können wiederum bis zu 32 Funkrufsende­ stellen (FuRSSt) angeschlossen werden. Ein FuRK mit den angeschlossenen RuRSSt bil­ det eine Rufzone. Im Gegensatz zu den FuRVSt, die gleichwertig in einem Netz zusammengeschaltet sind, sind die RuRK nicht miteinander vernetzt [ich hörte da mal was von dezentral..., der Sülzer]. eite 6 Durch diese Aufteilung in Rufzonen kommt es dazu, daß mensch den Aufenthaltsort ei­ ner Person wissen muß, um sie zu erreichen, da er hinter der Nummer noch die Funkruf­ zone (z.B. 40 für Hamburg, 30 für Berlin) eingeben muß. Funkrufvermittlungsstelle (FuRVSt) Die FuRVSt verfügt über ein Doppelrechner­ system, Funkrufrechner 1 und Funkrufrech­ ner 2 (FuRR1 / FuRR2). Einer dieser Rech­ ner arbeitet jeweils als Betriebsrechner, und der zweite ist als Reserve gedacht, falls der eine ausfällt, und übernimmt den Betrieb automatisch im Fehlerfall. [ Vielleicht landet der zweite ja in den FNL..., der Schwätzer] Die Rechner sind 16 bit Prozeßrechner, und haben über den SCSI-Bus gleichberechtigte Zugriffsmöglichkeiten. Desweiteren verfügt jeder Rechner über zwei 35MB Plattenlauf­ werke. Die Datenbestände werden auf jedem Rechner identisch gehalten, um dem oben schon erwähnten Fehlerfall Rechnung zu tragen. Hierfür wird durch bestimmte Soft­ waremaßnahmen gesorgt. So ist ein Schrei­ ben auf die Platten nur dann möglich, wenn sie auf beiden Platten fehlerfrei ausgeführt werden können. Die Teilnehmerdaten bele­ gen ca. 15MB, die Statistiken über Zugänge und andere Betriebsdaten ca. 22MB. Da­ durch können unter anderem Fehler bis zu 15 Stunden zurückverfolgt werden. [Fehler: Definition durch Betreiber, der Schwitzer] Der Doppelrechner ist noch mit einem Bandlaufwerk ausgerüstet, um Teilnehmer­ daten oder Software zu übertragen, oder um Betriebsdaten abzusichern. Die Zugänge werden eigenständig durch die vorgeschalteten Einrichtungen bearbei­ tet. Das einzige, was durch die FuRR noch bearbeitet wird ist das Prüfen der Teilneh­ merinformation, die Rufübergabe und die Betriebssteuerung. Für den Betrieb der Sendestelle sind bis zu fünf Datensichtgeräte (DSG) anschaltbar. Desweiteren sind noch zwei Systemdrucker (SDR) für die Erstellung von Protokollen vorgesehen. Zum Selbstüberprüfen des Systems ist ein automatische Wähleinrichtung für Da­ tenübertragung (AWD) eingebaut. Der Prüfvorgang wird entweder manuell für einen einzelnen Telefonzugang gestartet, oder über „Zeitaufträge” automatisch für alle Zugänge. Dabei wird eine Prüfnummer Daa wissenschaftliche Fachblatt für Datenreisende Die Datenschleuder eingeben und der Rechner wertet die Reak­ tionen auf dem Zugang aus. Da die Sender auf den gleichen Frequen­ zen arbeiten, werden die Frequenzen in Zeit­ schlitzen gewechselt, um Störungen zu ver­ meiden. Für diesen Zweck sind die Rech­ ner mit funkgesteuerten DCF77-Uhren aus­ gestattet, um die Rechner zu synchronsieren. Zugänge SWFD 0164() (Nur Ton) 0168() (Numerisch) 01691() (Alphanumerisch) 016951 (Auftragsdienst) Telex 1691 Teletex 1692 *1962# Btx Die Klammern () beim SWFD bedeuten, daß nach der Nummer noch die Cityrufnummer(+Rufzone) eingwählt werden muß. Bei dem numerischen Zugang erfolgt die Ein­ gabe über MFV (Touch-Tone), bei dem al­ phanumerischen Zugang mit 300 Baud (8n1) und Rechner. Ablauf Wenn jetzt über einen der Zugänge ein Fun­ kruf abgesetzt wird, so wird in dem Zu­ gang eine Plausibilitätskontrolle unterzogen. Dies ist dadurch möglich, daß die ersten drei Stellen der siebenstelligen Teilnehmernum­ mer die Zugehörigkeit zu einem maximal 10 000 Teilnehmer umfassenden Nummern­ block kennzeichnen. Die Nummernblöcke werden durch die jeweiligen Fernmeldeämter im Bereich der FuRVSt zugeordnet, und die Teilnehmernnummern daraus vergeben. In jeder FuRVSt existiert eine Liste über die Zugehörigkeit zu den Nummernblöcken, werden darin Veränderungen vorgenommen, so werden die Listen in allen FuRVSt so­ fort über den Datenverbund aktualiesiert. Sobald ein Funkruf angestzt wird, wird festgestellt, auf welchem Rechner die Teilneh­ merdaten sind, und fragt diese ab. Danach wird die Funkrufanforderung über das Netz an die entspechende FuRVSt weitergeleitet (wenn die Rufzone „gebucht” ist) und von dort über den FuRK an die FuRSSt weiter­ geben, wo sie dann abgestrahlt wird. (Das Umsetzen der Anforderungen in POCSAG Nachrichten geschieht in der FuRVSt). Ist dann daß Gerät eingschaltet, und wird die Nachricht empfangen, so wird dies dem Die Datenschleuder Benutzer [User sind unter uns, der Kätzer] über einen Piepton und eine LED angezeigt, „Optional ist auch die Signalisierung durch einen Vibrator möglich" (ANT Nachrichten­ technische Berichte, Heft 6 Oktober 1989) Geräte und Rufklassen • Nur Ton Vier verschiedene op­ tische oder akustische Signale können übermit­ telt werden. • Numerik 15 Ziffern von 0 bis 9 und fünf Sonderzeichen, sowie zwei „nur Ton” Rufzeichen. • Alphanumerik 80 Zeichen nach DIN 66003, ebenfalls zwei „nur Ton” Rufzeichen. PUPS Einzelruf Ein Empfänger wird mittels einer individuel­ len Rufnummer gerufen. Sammelruf Mehrere Empfänger werden mittels einer Sammelrufnummer durch sequentielle Aus­ sendung von Einzelrufen nacheinander gerufen. Gruppenruf Mehrere Empfänger haben eine weitere gleiche Addresse und werden über diese gerufen. Zum Schluß ln den Staaten ist das Erwerben von City­ rufempfängern für menschen unter 21 inzwi­ schen verboten. Diese Gerate wurden sehr stark für nicht gesetzliche Geschäfte be­ nutzt (alt.activism). In den Staaten gibt es auch Telfönnummern, wo derjenige, der sie anwählt Gebühren an den Inhaber zahlt, sog. 900er Nummern. In New York erschien auf einmal eine Nummer dieser Art auf al­ len Cityruf-Empfängern. Etwa 50.000 Inha­ ber dieser Geräte haben diese Nummer an­ gewählt... rowue Das wissenschaftliche Fachblatt für Datenreisende Seite 7 Hagbard Celine ... geb 22 7 65 gest 23 5 89 ... der größte Hacker aller Zeiten wurde verheizt! An z e ig e Sein Judas legt immer noch kaltblütig Tanzmusik bei NDR 2 auf. Verbunden Freundeskreis Karl Koch (FKK) BSI Geheimdienst oder Notwendigkeit? „Die glücklichen Sklaven sind die erbittersten Feinde der Freiheit” (Marie v. Ebner-Eschenbach, Ausspruch ei­ nes Teilnehmers auf dem BSI-Workshop) In nur einer halben Stunde Diskussion wurde am 24. Oktober 1990 im Deutschen Bundestag ein Gesetz beschlossen, dessen Reichweite heute noch nicht zu überblicken ist. Nicht nur hat der Gesetzgeber dort ein neues Amt mit über 200 Mitarbeitern ge­ schaffen, sondern definierte auch den Be­ griff der Sicherheit in der Informationstech­ nik (IT) im Hinblick auf Wirtschaft und Ge­ sellschaft. Es kann bekanntlich davon aus­ gegangen werden, daß die Produktionsge­ sellschaft sich endgültig in eine Informati­ onsgesellschaft wandelt und sich damit di­ rekt und ursächlich in Abhängigkeit von der verwendeten Technik, insbesondere der In­ formationstechnik, begibt. Einem Bundes­ amt für Sicherheit in der Informationstech­ nik (BSI) kommt damit automatisch eine zentrale Rolle in der zukünftigen Entwick­ lung zu. Die Vorgeschichte Wenn nun an dieser Stelle von einem neuen Bundesamt gesprochen wird, so ist erst­ mal zu erwähnen, daß zwar der Status als Bundesamt neu ist, allerdings die Behörde an sich schon älter ist: Mitte der fünfziger Jahre wurde schon die Zentralstelle für Seite 8 in d e r ta z Ham burg D o n n ersta g 2 3 .5 .9 1 , 1 5 x 2 8 cm Dokumentation das Chiffrierwesen (ZfCh) gegründet und dem Bundesnachrichtendienst (BND) zuge­ ordnet. Die Existenz des ZfCh war lange Zeit unbekannt, da davon nur unter der Rubrik "vertraulich” neben der Regierung der Innenausschuß des Bundestages infor­ miert war. Das ZfCh befaßte sich insbeson­ dere mit kryptographischen Verfahren zur Verschlüsselung von Nachrichten und Ver­ fahren zum ”brechen” von verschlüsselten Nachrichten, sowie Koordination und Stan­ dardisierung solcher Verfahren im Rahmen der NATO. Am 1.6.1989 machte das ZfCh seine erste Wandlung durch und wurde in Zentralstelle für die Sicherheit in der Informationstechnik (ZSI) umbenannt. Damit anheim ging eine Erweiterung der Aufgaben auf den Bereich Sicherheit in der IT. Dies war die direkte Folge — des weit überschätzten — Eindrin­ gens in Systeme der NASA, sowie des soge­ nannten KGB-Hacks. Mit Wirkung vom 1.1.1991 hat nun das ZSI erneut seinen Namen geändert und heißt nun BSI. Gleichzeitig wurde das BSI der organisatorischen Anbindung an den BND entlassen und nun direkt dem Bundesmini­ sterium des Innern (BMI) zugeordnet. Da­ mit ließ das neue Bundesamt aber seine Entwicklung nicht am Nagel der Geschichte hängen. Die Aufgaben des Bundesamtes wa­ ren deutlich über den geheimdienstlichen Bereich erweitert worden, so z.B. die Bera­ Das wissenschaftliche Fachblatt für Datenreisende Die Datenschleuder tung der Wirtschaft und der Bundes- bzw. Landesbehörden in Fragen der Sicherheit, der Unterstützung der Datenschutzberater, etc. Allerdings wurde das BSI der Abteilung Innere Sicherheit 4, zuständig für Geheim­ und Sabotage- schutz, als nationale Sicher­ heitsbehörde zugeordnet. Leiter des BSI ist und bleibt Dr. Leiberich, der davor schon das ZSI und davor seit 1957 im ZfCh tätig war und seit 1974 deren Leiter war. In dem Gesetzgebungsverfahren ist dem BSI noch die Aufgabe der Technologiefolgen­ abschätzung (TFA) in Par. 3, Absatz 1, Punkt 7 mit auf den Weg gegeben worden und der Bundesinnenminister machte dies in seiner Rede vor dem Bundestag noch­ mal deutlich. Allerdings hat die organisato­ rische Anbindung ans BMI schon im Vorfeld dem BSI die Möglichkeit genommen, erstmal ohne Mißtrauen betrachtet zu werden. Die Diskussion über die nationale Sicher­ heitsbehörde der USA, der National Secu­ rity Agency (NSA) war noch nicht verges­ sen und die Befürchtung, daß endgültig ein neuer Geheimdienst im Bereich der IT ge­ schaffen wird, wurde immer häufiger laut. Das BSI lädt ein... Ende April trafen sich Experten aus dem Gebiet der Wissenschaft, Wirtschaft und der Behörden zu einem Workshop in Boppard. Das BSI hatte unter der Überschrift ”IT-Sicherheit: mögliche Folgen fehlender oder unzureichender Sicherheitsvorkehrungen” an den idyllischen Ort am Rhein in die Bundesakademie für Öffentliche Verwaltung der Nähe von Bonn geladen. Die Liste der geladenen Teilnehmer las sich wie ein ”Who is Who” der in IT-Sicherheit engagierten. Teilnehmer aus den diversen Universitäten, dem Virus-Test-Labor Hamburg, Firmen wie Debis, Siemens und IABG, Landesda­ tenschutzbeauftragte aus Berlin und NRW, Projektträger, Ministerialräte aus den di­ versen Ministerien, sowie gesellschaftliche Gruppen wie DGB, Gesellschaft für Infor­ matik (Gl) oder Chaos Computer Club war ren vertreten. Die zentralen Aussagen auf diesem Work­ shop sollen hier dargestellt werden. In der Begrüßung würdigte der BSI-Präsi­ dent Dr. Leiberich das Erscheinen von ca. 50 Teilnehmern und lobte den Initiator der Die Datenschleuder Veranstaltung, Dr. Ulrich, für sein Engage­ ment. Dr. Ulrich hat sich in der Fachwelt schon einen Namen durch seine Publikationen im Bereich der TFA und der Restrisiken in der Informationssicherheit gemacht und arbei­ tete nun sein kurzen im BSI. Schon die Begrüßung wurde von einigen Teilnehmern als Distanzierung zu Dr. Ulrich und der Ver­ anstaltung aufgefaßt, und auch im weiteren Verlauf der Veranstaltung kam der unbe­ fangene Teilnehmer nicht umhin zu vermu­ ten, daß der Bereich TFA, im Bundesamt durch Dr. Ulrich vertreten, ein Novizenda­ sein führt. Als erster Referent ergriff Prof. Roßnagel von der FH Darmstadt das Wort. Er legte dar, daß die bisherigen Bemühungen um ITSicherheit zu technikzentriert sei und die gesellschaftliche Einbettung des Sicherheits­ problems nur unzureichend berücksichtigen. Informations- und Kommunikationssysteme seien Systeme mit Auswirkungen auf die Gesellschaft und seien daher als soziotechnisches System aufzufassen. Wie die mei­ sten Teilnehmer war auch er der Mei­ nung, daß die Verletzlichkeit der Gesell­ schaft nicht nur durch technische Massnah­ men zur Verhinderung von Fehlern und Mißbräuchen veringert werden muß, son­ dern daß auch die Abhängigkeit der Gesell­ schaft von Informations- und Kommunika­ tionstechnik und das dadurch bestehende Schadens- und Katastrophenpotential be­ einflußt werden muss. Es gehört eben nicht nur zur IT-Sicherheit, die möglichen Fehler eines Systems zu be­ trachten, sondern auch im Verhältnis das Risiko, das allein durch den Rechnereinsatz entsteht. Als Beispiel wurde ein einfacher Lesefehler einer Festplatte bei der Pariser Justiz an­ geführt, der dazu führte, daß aus mehreren Bescheiden wegen Verkehrssünden plötzlich Delikte wegen Drogen mißbrauch und Prosti­ tution wurden. Diesen eher harmlosen Folgen stehen aber auch katastrophe Fehler im Rechnereinsatz entgegen, wie ein Softwarefehler in einem Programm zur Steuerung einer Bestrah­ lungsapparatur in einem Krankenhaus. Weil ein bestimmter Zustand vom Programmie­ Das wissenschaftliche Fachblatt für Datenreisende Seite 9 rer nicht vorgesehen waren, wurden 2 Pati­ enten mit erhöhter Strahlung behandelt, was zum Tode der Betroffenen führte. Ebenso machte Prof. Roßnagel darauf auf­ merksam, daß ein Fehler in Rechensystemen weitaus stärkere Folgen hätte als gemeinhin angenommen. Durch die Verkettung der Ge­ sellschaft würde der Ausfall von zentralen Rechnern in einigen Großstädten sich im ge­ samten System fortpflanzen und eine Gefahr für die Gesamtheit darstellen. Ein ,,Chaos­ management” wäre aber dann auch nicht mehr möglich, weil die gesamte dafür not­ wendige Infrastruktur ebenfalls ausgefallen wäre. Eine schreckliche Vorstellung für je­ dem im Katastrophenschutz. Das BSI hat — ähnlich wie ihre Vorgänger in anderen Staaten — den Weg der techno­ kratischen Sicherheit gewählt und sich da­ mit auf einen Wettlauf zwischen steigender Verletzlichkeit und Sicherungstechnik einge­ lassen, die letztere kaum gewinnen kann. Prof. Brunnstein vom Virentestlabor in Hamburg führte in seinem Beitrag ebenfalls aus, daß er beim BSI eine Fehlentwicklung sieht, weil sich das BSI allein auf technische Massnahmen konzentriert. Da es aber keine sicheren Systeme geben kann, müssen tech­ nisch und sozial beherrschbare Systeme ge­ fordert werden. Unter beherrschbaren Syste­ men müssen aber Systeme verstanden wer­ den, die von Menschen noch erfaßt und da­ mit kontrolliert werden können. Da aber die gesamte heutige Computertech­ nik auf den Ideen John von Neumanns auf­ baut, ist dies faktisch unmöglich. Von Neu­ mann hatte den Rechner mit seinem Bus, Speicher, CPU, etc. verglichen mit dem Auf­ bau des menschlichen Gehirns und ging dadurch von einer möglichen Transparenz zwi­ schen Mensch und Maschine aus. Heute wis­ sen wir, daß diese Ähnlichkeit nicht besteht, also der Rechner an sich dem Menschen im­ mer fremd bleiben muß. Dr. Büllesbach von der Daimler Benz Infor­ mationssysteme (debis) und früherer Daten­ schutzbeauftragter Bremens ging das Sicher­ heitsproblem von der Entwicklungsseite an. Er kritisierte das nachträgliche Aufspüren von Sicherheitslücken mit Hilfe von TigerTeams, also professionelen, angestellten Seite 10 Hackern, und legte dar, daß bei der Ent­ wicklung von Software in Zusammenarbeit mit den Betroffenen (Betreiber, Benutzer, Anwender) die Basis für ”Security Ma­ nagment” gelegt werden muss. Gleichzei­ tig muss über Sicherheitsprobleme öffentlich diskutiert werden, denn diese Transparenz ist die Basis für den Fortschritt. Zwar ste­ hen dem Sicherheitsbedenken der Hersteller oder Abwender entgegen, aber in der Regel sei Verheimlichung kein Sicherheitsgewinn. Eine ganze andere — eher pragmati­ sche — Sichtweise wurde von Dr. Bunge, Ministerialrat beim Bundesrechnungshof, vorgestellt. Der BRH stellt häufig Si­ cherheitsmängel fest, die allerdings nicht bekannt werden. Dadurch werden aber ähnliche Mängel in anderen öffentlichen Ein­ richtungen nicht beseitigt. Daher ist der Rechnungshof dazu übergegangen, solche Mängel anonym zu veröffentlichen. Dabei werden diese aber abstrakt darge­ stellt, um Nachahmungstäter zu vermeiden. Die Details gelten als vertraulich. Sicher­ heit ist für den BRH ein wichtiger Punkt, da er über den angemessen und wirtschaft­ lichen Einsatz staatlicher Gelder wacht. Auf der einen Seite kostet Sicherheit aber Geld, ein evtl. Schaden kann auch große finan­ zielle Aufwendungen nachsichziehen. Inzwi­ schen muss daher bei Antrag auf den Ein­ satz von Rechnern ein Nachweis Über An­ gemessenheit und eine [??? d.S.] eingereicht werden. Das BRH beschäftigt sich darüberhinaus nicht nur mit der punktuellen Sicherheit ein­ zelner Systeme, sondern auch im Gesamt­ konzept Mensch-Organisation-Technik. Bei­ spielsweise findet im Augenblick eine Dis­ kussion über den Einsatz von Unix im Hin­ blick auf Sicherheit, Wirtschaftlichkeit und Risiko statt. Am 2. Tag der Veranstaltung erläuterten Dr. Pfitzmann von der Uni Karlsruhe und Prof. von Henke von der Uni Ulm die Anforderun­ gen an IT-Systeme bezügl. Funktionalität und Korrektheit. Dabei wurde erläutert, daß in der Regel Fehler in der Software und sel­ tener in der Hardware liegen. Kleine Fehler in FORTRAN-Programmen können Raumsonden um Hunderttausende Das wissenschaftliche Fachblatt für Datenreisende Die Datenschleuder von KM ihr Ziel verfehlen lassen (und Cruise Missiles um paar Meter). Ein Lösungsansatz wurde z.B. beim Air­ bus 320 verwendet: zwei vollkommen ei­ genständig entwickelte Systeme, die ihre Er­ gebnisse vergleichen. Solange ihre Ergeb­ nisse übereinstimmen, kann davon ausge­ gangen werden, daß das Ergebnis richtig ist. Bei Nichtübereinstimmung können entspre­ chende Maßnahmen eingeleitet werden. Al­ lerdings hat das System auch seine schlech­ ten Seiten, wie der Absturz bei einer AirbusVorführung in Paris gezeigt hat. Als abschliessendes Referat brachte Herr Lau von der Uni Rostock noch einen Ein­ blick in die Situation in der ehemaligen DDR. Eine Abteilung Datensicherheit war der Abt. Geheimnisschutz des Ministerrates in der DDR unterstellt. Datenschutz an sich gab es in der DDR nicht. Datensicherheit selbst wurde aber auch an den Universitäten gelehrt. Für Informatiker waren da 30 Seme­ sterwochenstunden Pflicht. Ob das so blei­ ben wird, ist unklar. Geplant ist demnächst ein Workshop von der Uni Rostok un der Uni Bremen zur Rechtsangleichung des Da­ tenschutzes. Was nun, BSI ? Wo sieht das Bundesamt aber seine zu­ künftige Aufgabe? Die Teilnehmer waren ei­ ner Meinung, daß die Arbeit des BSI auf Grundlage des Errichtungsgesetzes gesche­ hen müsse, aber dieses genug Freiräume zum Setzen von Schwerpunkten und Prioritäten lassen würde. Bitte nicht vergessen Chiffre-Nummern deutlich auf Ihr Kuvert zu schreiben Dabei wurden denn Punkten Öffentlichkeitsarbeit, Koope­ ration mit der Wissenschaft, Unterstützung der Datenschutzbeauftragten und der Tech­ nologiefolgenabschätzung hohe Stellenwerte eingeräumt. Es kam der Wunsch auf, daß die Technologiefolgenabschätzung eine ei- Dte Datenschleuder gene Abteilung im BSI werden würde und nicht stiefmütterlich am Rande zum Vorzei­ gen verwendet werden würde. Die parlamentarischen und ausserparla­ mentarischen Kontrollmechanismen werden einen besonderen Augenmerk auf die TFA werfen, die ja erst im letzten Augenblick in das Gesetz aufgenommen wurde. Die Teilnehmer der abschliessenden Podi­ umsdiskussion sprachen sich durchweg für die Verbindung zwischen Technik und Ge­ sellschaftlicher Verantwortung aus. Sicher­ heit darf nicht nach dem olympischen Prin­ zip (höher, weiter, schneller), so Prof. Dier­ stein, betrachtet werden, sondern auch nach TFA und Verfassungskonformität. Auch wurde die Zusammenarbeit zwischen Juri­ sten, Techniker, BSI und Betroffenen ange­ mahnt, sowie regelmässige Treffen zum Be­ reich der TFA vorgeschlagen. Die Abschlußrede blieb Dr. Leiberich vor­ enthalten. Er bedankte sich bei den Teil­ nehmern und lobte die Diskussion. Dann erläuterte, wo er die Schwerpunkte des BSI sehen würde, nämlich im Bereich der Ver­ hinderung des Abhörens kommerzieler und staatlicher Links. Diese Gefahr erläuterte er recht ausführlich. Das in nächster Zeit wirklich nicht mit ei­ ner änderung der Einstellung zu rechnen ist, zeigt die 2. Deutsche Konferenz über Com­ putersicherheit, die Mitte Juni vom BSI und BIFOA veranstaltet wird. Von über 30 Vorträgen beschäftigt sich kei­ ner mit TFA. Dafür gibt es aber eine Podi­ umsdiskussion über ”Techno-Terrorismus" und Kongressgebühren von über 1000 DM. Ob damit der Gesellschaft geholfen ist ? Und in wie weit es sinnvoll ist, daß die von der ehemaligen ZSI entwickelten Sicher­ heitskriterien für Software kein Wort der TFA enthält und die Überprüfung von Soft­ ware nach diesen Kriterien - neben drei TÜV-Anstalten - auch von der IABG in München vorgenommen werden, also einer Firma, die zu grossen Teilen dem Bund gehört und bis jetzt stark für die Geheim­ dienste und dem Verteidigungsministerium gearbeitet hat, spricht ebenfalls nicht dafür, daß das BSI ernsthaft um eine Trennung von seiner Vergangenheit bemüht ist. Terra Das wissenschaftliche Fachblatt für Datenreisende Seite 11 Chaot Computer Club - Schwenckestr. 85 - D-W-2000 Hamburg 20 Telefon (040) 490 37 57 - Fax (040) 491 76 89 - Mbx (040) 491 10 85 - Btx *CHAOS# Als Normalbrief schicken - Einschreiben gehen zurück! Ohne Vorkasse können wir leider nicht liefern. Mitgliedschaft im CCC e.V. Schließt Datenschlender-Abo mit ein. evvw 20, 00 DM evnm 120,00 DM Einmalige Verwaltungsgebühr bei Eintritt Normalmitgliedschaft (Jahresbeitrag) evsoz 60,00 DM Sozialmitgliedschaft für Studenten, Schüler, Arbeitslose etc. (Jahresbeitrag) Reine Datenschleuder-Abos. Ein Abc gilt für 8 Ausgaben ____ _ nabo 60,00 DM Normalabo der Datenschleuder sabo Sozialabo der Datenschleuder für Studenten, Schüler, Arbeitslose etc. 30,00 DM Chaos-Literatur (auch im Buchhandel erhältlich) vergriffen habi1 vergriffen habi2 33,33 DM 33,33 DM Die Hackerbibel, Teil 1 (260 Seiten A4) Die Hackerbibel, Teil 2 (260 Seiten A4) in Vorb. habi3 33,33 DM Die Hackerbibel, Teil 3 (ca. 250 Seiten A4) wund 23,00 DM Das Chaos Computer Buch (250 Seiten A5) mosk 26,00 DM Hacker für Moskau (unzensierte 1. Auflage) Chaos-Literatur (im Buchhandel eher nicht erhältlich) — stud 7,50 DM — mutst 10,00 DM — kamj 10,00 DM — doku frnk 5,00 DM ------- 7,50 DM Infopakete / Software & Co. vir Studie für die Grünen über politischen Computereinsatz im Bundestag — und überhaupt Mensch-Umwelt-Technik Studie: Elektronische Informationssysteme für den Umweltschutz Der elektronische Kammerjäger / Über Wanzen, Abhörmethoden und Erken­ nung derselben Dokumentation zum Tod von Hagbard (Karl Koch) Perspektiven einer neuen Kommunikationsmoral für das Zeitalter der Kyber­ netik, von Prof. G. Frank z.Zt. nur 5 1/4" Disketten möglich Infopaket Computerviren (inkl. MS-DOS Demovirus) PC-DES für MS-DOS: Private Verschlüsselung von (Text-) Dateien. Gewerbliche Version bei BainON! Heidelberg Backer PVC wassergeschützt / gestanzt, wenn nicht anders angegeben pcd 25,00 DM 25,00 DM vergriffen 3ks ah — 3,33 DM 3,33 DM pvt ??,?? DM — 3 Stück „Kabelsalat ist gesund” mit Chaos-Knoten Bogen mit 64 Stück „Achtung Abhörgefahr”, Papier, zum Selbstausschneiden, postgelb — ooo Bogen mit 18 X „Außer Betrieb,” 8X „Out of Order" und 1 X „Guasto” 5,00 DM post — 5,00 DM Bogen mit Post-Totenkopf-Klebern verschiedener Größe zula 15 X Chaos-Zulassungszeichen Z A023/042Z mit Post-Totenkopf 5,00 DM Ganz Wichtig: Gedenkt bitte unserer immensen Portokosten! Rückporto mindestens erbeten! Porto/Verp./Spende Summe: DM (Versand erfolgt frühestens nach Geld­ eingang) Zahlweise (bitte bekreuzigen oder so): O bar O V-Scheck O Rostwertzeichen (nicht über 1 DM!) O Überweisung (Poetgiro Hamburg / BLZ 200 100 20 / Konto 599 090 - 201) Name: Adresse: Datum, Unterschrift: DS35 Chaos: E BE ERL