==============
Page 1/1
==============

Herausgegeben in Zusammenarbeit mit der Gesellschaft für Datenschutz und Datensicherung e.V.

Hacker in Europa — Chaos Computer Club in Hamburg
sorgt für Aufsehen
Unter der Bezeichnung „Die Datenschleuder" sind inzwischen seit Anfang 1984 drei Ausgaben eines Informationsblattes von einer in Hamburg ansässigen Gruppierung von
Computer-Freaks herausgegeben worden, die — geht man
den technischen Details und den Anleitungen nach, die
offen aufzeigen, wie Netze mißbraucht werden können —
geeignet sind, Sicherheitsexperten und DV-Verantwortlichen das Gruseln zu lehren.
Das mit einem wohlweislich recht vagen Impressum versehene Blatt, dessen Weiterverbreitung im'Kopierverfahren
dem Leser empfohlen wird, ist eine seltene Mischung aus
Ulk, bisweilen scheinbar ideologisch eingefärbten Parolen
gegen Etabliertes und (bis zu diesem Punkt hat es das
Niveau v o n Bierzeitungen oberhalb der UntersekundaReife) handfesten
Anleitungen, wie man
in öffentliche Netze
.eindringt, beim electronic
banking das Passwort
abhören und anschließend
nach eigenem Gusto benutzen kann,
oder wie man sich mit einfachsten,
im Sanitärhandel erhältlichen Teilen einen
Akustikkoppler baut, der in der Tat so
funktioniert, als hätte er den höchstpersönlichen Segen
des auf dem Modem-Monopol unsinnigerweise beharrenden
Postministers. Sogar ein Logo hat man sich zugelegt.

DSB

F5311 EX

Düsseldorf, den 15. August 1984
Nummer 8

Deutsche Hacker
Attaken auf Post-Netze

Datenschutz und Datensicherung
in Klein- und Mittelunternehmen

4

Btx: Datenschutzvorkehrungen
der Post
Zugriff sicherungs-Software
Neue Funktionen in ACF2

Bundesrechnungshof vermißt
Anwendung von Testkonventionen
Interne Datenschutz-Protokolle
des BMI veröffentlicht
6
Ärztliche Schweigepflicht
kontra Abrechnungskontrolle
Stimmen zum Volkszählungsgesetz
BMI-Stellungnahme
9
Zahlungsverkehr
Manipulation möglich

1

3

PIS
BAG-Entscheid erwartet
bisherige Urteile
1

4

BG H-Urteil :
Auskunft nach § 34 BDSG
Auskunft über konkrete Empfänger

DV-Kongresse in Konkurrenz
Raum für Anschrift

1 6

1

8

Veranstaltungshinweise
FACTS & NEWS
2
t
Buchbesprechung
2
Kommentar
2
2
Termine
2
2
`
Fundsache, Das Allerletzte
2
4

Datenschutz-Berater
Informationsdienst zu den Problemen von Datenschutz, Datensicherung und Ordnungsmäßigkeit der Datenverarbeitung

Waren die ersten beiden Ausgaben eher unpräzise, so enthält die Nummer 3 bereits fast
3 DIN A 4 Seiten Kleingedrucktes zur (fehlenden) Sicherheit von Mailbox-Anschlüssen,
home banking in Btx, zu DATEX-P, zur mangelnden Beweisbarkeit der Inanspruchnahme von Systemen via Fernzugriff und darüber, wie man in Btx andere Teilnehmer
durch die permanente Wiederholung von Daten buchstäblich zuwerfen kann mit Datensalat. Außerdem gibt der Club Tips, wie man bei Btx-Vorführungen oder übers BtxTerminal des Arbeitgebers durch den Seitenabruf Berlin 19058 CEPT 20305080 dem
Chaos Computer Club „Spenden" zukommen lassen kann, ohne dafür selbst bezahlen
zu müssen. Es handelt sich nämlich um eine bezahlte Seite.
Auch der Telebox-Dienst der Bundespost wird aufs Korn genommen. Hierzu eine Kostprobe (Originalton):
„Die Deutsche Bundespost präsentierte auf der Hannover-Messe ihren neuen Telebox-Dienst. Da der
deutsche Rechner (geplant sind nur 58 Ports) noch nicht voll einsatzbereit war, wurde das System in
den Staaten bei I T T Dialcom ( N U A 0311030100243 dann: I D DBPOxx) demonstriert. Das Passwort
wurde schon fast verschenkt. DBP008, d i e I D (persönliche Kennung) v o n Herrn Christian Jonas
wurde von mehreren Hackern ausgekundschaftet. Herr Jonas wollte uns und sich die Arbeit nicht zu
schwer machen und verwendete seinen Nachnamen auch•als Passwort.
Die Test-ID (DBP005) wurde auch noch geknackt. Ein sehr interessantes Informationssystem; Mailboxdienst m i t postinternen Messages ( I D ' s f ü r d i e Telebox Mannheim — N U A 45621040000 I D
POS001 bis POS040; Passwort meist vierstellig), Fluginformationssystem, ITT Mailbox sowie mehrere
Presseagenturen waren dort vertreten. Ein guter Vorgeschmack auf den deutschen Teleboxdienst.
Als erstes wurden dann die Passwörter geändert. D i e DBP ließ sich das Herumstöbern ganze vier
Wochen lang gefallen. Dann wurde es i h r zu bunt und der Zugriff wurde gesperrt. Man wollte den
Hackern wohl einen Gefallen t u n und sie ein bißchen spielen lassen. Dafür herzlichen Dank. Aber was
ein richtiger Hacker ist, der k o m m t i m m e r wieder an den Ta t o r t zurück. Und er kam. M i t „social
engineering" D a in dem Dialcom S y t e m ein genaues Verzeichnis aller Teilnehmer und ihrer Telefonnummern ist (schon alles auf Floppy!), konnte gezielt vorgegangen werden. Dazu erfanden wir einen
Wartungsmenschen für's SEL-System: Herrn Dau. SEL heißt Standard Elektrik Lorenz; die und Siemens schieben sich gegenseitig die Postaufträge zu.
Eines schönen Tages klingelte beim F T Z Darmstadt das Telefon. „ G u t e n Tag, mein Name ist Dau
von SEL, w i r haben hier ein Problem m i t dem Password Overlay" D e r freundliche Postler wurde
darüber informiert, daß die halbe Passwortdatei, unter anderem auch das zu DBP003, „weg" sei. A u f
die Frage, welches Passwort er denn nun gerne neu hätte, antwortete er: „ Y Y Y Y " . „Wird erledigt!"
antwortete der Anrufer und schob eine kleine Frage nach: „ U n d wie lautete Ihr altes?" „ S T E FA N "
kam es postwendend. M i t Mühe bewahrte der Anrufer die Fassung, bedankte und verabschiedete sich,
um 5 Minuten ununterbrochen zu lachen. Anschließend gingen wir mit seinem alten Passwort „Stefan"
ins System und änderten es auf „ Y Y Y Y " . Da „ Y Y Y Y " nur ein vorübergehendes Passwort war, das ja
immerhin dem „SEL-Techniker" bekannt war, änderte das FTZ das vier Tage später. Es ersetzte das
neue durch das alte (Stefan, Sohn des Operators). Das war eine sehr intelligente Tat, somit stand uns
das System für weitere Wochen zur Verfügung. Wir meinen, juristisch korrekt gehandelt zu haben."

Spaß durch Chaos?
Es ist schwierig, die Veröffentlichungen des CCC zu werten. Mit Intelligenz und Pfiffigkeit w i r d hier offenbar vorgegangen, kriminelle Aktivitäten wird man den Chaoten
nicht unterstellen können, jedenfalls im herkömmlichen Sinn des Computer-Mißbrauchs.
Und das ist ihre Stärke: A m Rande der Legalität operierend, mal auf dieser, mal auf
jener Seite, setzen sie ihren ganzen Verstand und ihr Können dafür ein, Systeme zu
knacken. Gelingt ihnen das leicht, dann kann dem Systembetreiber guten Gewissens
Schlampigkeit und Einfallslosigkeit attestiert werden, auch wenn es sich um etablierte
Institutionen wie die Deutsche Bundespost handelt. Daß die Hacker ihren Spaß an diesem Spiel haben, ist nicht zu übersehen. Hier beziehen sie ihre Motivation — sozusagen
den Lustgewinn. Was aber passiert, wenn ihr Beispiel andere lehrt, daß auch andere
Formen von Gewinn zu machen sind?
Was die wenigen, die sich in Software- und Netzwerksicherheit auskennen, durch ihre
Warnungen nicht erreicht haben, das erzielen die Hacker vielleicht „ b y doing". Der
DATENSCHUTZ-BERATER verfolgt deshalb aufmerksam das Treiben des CCC, denn
die Redaktion hat das Hackertum schon immer als aktive Sicherheits-Analyse angesehen, die bei entsprechender Publizität heilsam wirkt und mitnichten verglichen werden darf mit Industrie- und Wirtschaftsspionage, die auf das Knacken von Systemen
und Datenbanken zum Zweck des illegalen Know-how-Transfers aus ist.

Datenschutz-Berater
Informationsdienst zu den Problemen von Datenschutz, Datensicherung und Ordnungsmäßigkeit der Datenverarbeitung

Also: M i t gemischten Gefühlen die aufkeimende H a c k e r -Szene z u verfolgen, i s t
sicherlich journalistische Freude, wenn man
den DATENSCHUTZ-BERATER herausgibt. Vielleicht auch ein wenig Bestätigung
für jemanden, der die ironischen Anmerkungen n o c h i m O h r hat, d i e Rüdiger
Dierstein auf der 7. Datenschutz-Fachtagung
(DAFTA) von einigen Teilnehmern erntete,
als er darauf hinwies, daß die Hackerei in
dem Moment auf uns zukommt, wenn die
Post offene Kommunikations-Netze anbietet und Personal-Computer zu moderaten
Preisen im Handel zu haben sind. Dierstein:
„Anders a l s Sachbearbeiter, d i e e i n e n
ganzen Tag an ihren Bildschirmarbeitsplätzen sitzen und um 16 Uhr froh sind, wenn
sie d e n Kasten abschalten können, sind
Hacker von sportlichem Ehrgeiz besessene
Jugendliche, o f t Schüler oder Studenten,
denen die Zeit nicht zu lang wird, Hauptsache, sie kommen ins System und können
dort Unfug anrichten. Hier liegt eine andere
Motivation v o r — m i t Folgen f ü r d e n
Systembetrieb, d i e w i r uns heute kaum
vorstellen."
Die jünste Information, die ein Mitglied des
CCC untmittelbar v o r Redaktionsschluß
übermittelte, lautet: „Wir sind in der Telebox! Big Brother Nr. 1 I D BIG001, Passwort Brother. Da fällt einem Hacker nichts
mehr ein, wenn sowas k l a p p t ! " — Wie
schnell manchmal Prognosen eintreffen!
Aber t r o t z a l l e r journalistischer Freude
ist Besorgnis am Platz. So gern man sieht,
wie sich eigene Prognosen erfüllen, s o
ungern n i m m t m a n z u r Kenntnis, eine
erfolgreiche Kassandra gewesen z u sein.
Bleibt n u r eines: D e m Problem a u f der
Spur bleiben, wobei n i c h t das Ziel sein
kann, Hacker m i t Gewalt zu bekämpfen.
Das Ziel muß vielmehr sein, Systeme nicht
leichtfertig z u r allgemeinen Benutzung
freizugeben, w e n n s i e erwiesenermaßen
nicht sicher sind. Man sollte den Hackern
eigentlich e i n bißchen dankbar sein —
dafür, daß sie unentgeltliche Sicherheitshilien i m W e g e d e r Penetrationsanalyse
liefern.
Stichworte: C o m p u t e r Chaos Club, CCC,
Datenschleuder", Hacker,
Netzwerksicherheit,
home-banking,
DATEX-P, Mailbox,
Passwort

Vorprogramm 13. u. 14. Nov. 1984
GDD-Seminarzyklus für DSB Teile 1 bis 4 • DatenschutzRepetitorium und Sonderprobleme • PC-Entscheidungen
Schulungsanleitungen B t x -Einführung Datensicherheit

S.

Datenschutz - Management
und Bürotechnologien

MIKA
14. bis 16. November 1984

%gum]
DV-PERSONALPRAXIS
Lösungen Software
Mitbestimmung A r b e i t n -Datenschutz

d e l idebh

Messe-CongressCentrum Ost • Köln-Deutz

Unser Programm

• Datenschutz-Novellierung und das Recht auf
Selbstbestimmung
• informationelle
Internationaler Datenschutz
• Betrieblicher Datenschutz und Kontrollpraxis der

Aufsichtsbehörden
• Datenschutz in der Sozialversicherung
• Computermißbrauch, Datensicherheit in Netzen,
Softwarediebstahl
• Btx und Datensicherheit
• PC-Sicherheitsforum

DV-PERSONALPRAXIS
• Pflichtenhefte, Projektmanagement
• Standard-Software: Auswahl, Lösungen
• PC-Einsatz im Personalwesen
• Arbeitgeberrechte und -pflichten bei der Personaldatenverarbeitung
• Kontrollbefugnisse des Betriebsrates
• Betriebsvereinbarungen und ihre Gewichtung
• BAG-Rechtsprechung und ihre Folgen für die
Personalpraxis
Organisation: datag • A a c h e n e r Straße 1052 • 5 0 0 0 Köln 40
Anmeldung • Informationen • Einladungs-Prospekte:

■

Gesellschaft für Datenschutz und Datensicherung e. V.
Euskirchener Str. 54 • 5300 Bonn 1 • Tel. 0228/624060

Informationsdienst zu den Problemen von Datenschutz, Datensicherung und Ordnungsmäßigkeit der Datenverarbeitung

Erfa-Kreis-Termine
Erfa-Kreis T e r m i n Ort

Bitte wenden Sie sich an:

Bremen 2 7 . 09
H
e
r
r
n
Koch, Tel. 0421/3502397
Dortmund 1 6 . 08. Unternehmerverband der Metall- H e r r n Figge, Tel. 0231/54342647
industrie, Prinz-Friedrich-Karl-Str. 14,
Düsseldorf/ 2 9 . 08.
G
D
D
,
Tel. 0228/624060
Krefeld
Braunschweig 27. 09.
H
e
r
r
n
Weise, Tel. 05361/924333
Frankfurt 1 2 . 09.
H
e
r
r
n
Laduga, Tel. 069/1566-272.
Köln 2 8 . 08.
H
e
r
r
n
Dr. Brohi, Tel. 0221/1641293
Stuttgart 0 2 . 10.
H
e
r
r
n
Laicher, Tel. 0711/821-4859
Wuppertal 0 5 . 09.
H
e
r
r
n
Voogt, Tel. 0202/611917

Fundsache
„Der Computer aber, meine ich, ist außerordentlich bedeutsam. Es wäre noch untertrieben zu sagen, er ist eine der bedeutendsten Erfindungen i n der Mathematik oder i n der Geschichte der Mathematik. Man käme der Wahrheit näher,
wenn man sagte, daß die Entwicklung
des Elektronenrechners eines der wichtigsten Ereignisse nicht n u r i n der Geschichte der- Wissenschaften sondern in
der Weltgeschichte ist. Man ist versucht,
es mit einem anderen Ereignis des mehr
oder weniger gleichen historischen Zeit- Das Allerletzte'
abschnitts zu vergleichen: d e r Freisetzung der Kernenergie. I c h bin geneigt,
mit einiger Sicherheit z u behaupten,
daß die Historiker der Zukunft — falls
es sie noch geben wird — m i r zustimmen werden, daß der Computer grössere Auswirkungen hat und haben wird
als die Kernenergie. I c h b i n sicher, jedermann versteht, was m i t dem Wörtchen „falls" gemeint ist. Es ist durchaus
möglich, daß die Freisetzung von Kernenergie größere Auswirkungen haben
wird, aber in diesem Fall wird es keine
Historiker mehr geben, die darüber diskutieren können. Vo n dieser Möglichkeit einmal abgesehen, scheint es ziemlich offensichtlich z u sein, d a ß d e r
Computer d e n tiefergehenden E i n f l u ß
auf uns hat, denn er scheint in alles einzudringen u n d a u f allen Ebenen. E r
dringt ein auf der Ebene der Technologie, er dringt ein auf der Ebene wissenschaftlicher Arbeit. E r durchdringt die
gesellschaftlichen Bereiche, d i e politischen Bereiche, die A r t und Weise, wie
Menschen denken. Es ist so gut wie keine
Seite unseres Lebens vorstellbar, d i e
nicht wesentlich von ihm geprägt wird."
Kenneth 0 May
„Histography: A Perspective for Computer
Scientists". A History of Computing in the
Twentieth Century, 1980
7 1