==============
Page 1/1
==============

Der Hamburgische Datenschutzbeauftragte
15.11 (Chaos-Computer-Club) 2.1.1985
Betr.: Verbin-dungsaufbau im Btx unter dem Namen Hamburger
Sparkasse durch den Chaos-Computer-Club (CCC)
1. Vermerk:
Ani 18.12.1984 hat auf Veranlassung des Hamburgischen Daten-
schutzbeauftragten ein Gespräch zwischen den Herren Holland
und Wernery einerseits und Frau Ebel und dem Unterzeichnenden
andererseits über diesen Vorfall stattgefunden.
1.1 Zunächst wurde festgestellt, daß das Vorgehen des CCC eine
Ordnungswidrigkeit i.S. des Art. 14 Abs. 1 Nr. 7 des Staats-
vertrages über Bildschirmtext (StV-Btx) darstellt. Dieses Ge-
spräch diene der Entscheidungsfindung, ob diese Ordnungswidrig-
keit im Rahmen des § 47 OWiG verfolgt werden solle.
Die Herren Holland und Wernery wurden auf ihr Recht hingewiesen,
die Aussagen zu verweigern und einen Anwalt beizuziehen.
Ferner wurde hervorgehoben, daß in diesem Gespräch der SAchver-
halt aufgeklärt werden solle, die rechtliche Bewertung bleibe
vorbehalten.
1.2 Die Herren Holland und Wernery berichteten zur Vorgeschichte des
Vo r f a l l e s folgendes:
Rund 6 Wochen vor dem Vorfall (d.h. also Anfang Oktober) hätten
sie mit Bekannten über die Sicherheit im Btx-System diskutie_ .
und dabei insbesondere die Frage erörtert, welche Bedeutung für
die Sicherheit die Freizügigkeit hat und ob die Post sich darüber
im klaren sei, was Freizügigkeit für die Sicherheit bedeute. In
diesem Zusammenhang wollten sie testen, wie das fernmeldetech-
nische Zentralamt in Darmstadt (FTZ) sich selbst hinsichtlich
Freizügigkeit verhält. Dabei haben sie herausgefunden, daß der
Anschluß des FTZ freizügig geschaltet ist. Für einen Verbindungs-
aufbau unter dem Namen FTZ benötigten sie nunmehr noch das per-
sönliche Kennwort. Hier waren sie auf Vermutungen angewiesen.
Sie vermuteten, daß das FTZ ein naheliegendes Kennwort gewählt
habe und probierten als erstes die Teilnehmernummer als Kennwort
aus. Sie waren überrascht, als sie feststellten, daß die Teil-
nehmernummer tatsächlich das Kennwort war und sie unter dem
Namen FTZ eine Verbindung zum Btx-System aufgebaut hatten.
Nach ihren Angaben können sie dieses dadurch beweisen, daß
sie die Gebührenseite des FTZ,die sie sich während der Verbindunc
angesehen haben, gesichert haben.
Die Herren Holland und wernery überlegten dann, welche Konse-
quenzen der CCC aus dieser Information ziehen wolle. Sie ver-
warfen die Idee, dieses dem Hamburgischen Datenschutzbeauf-
tragten als zuständiger Aufsichtsbehörde mitzuteilen, weil sie
befürchteten, daß durch die Einhaltung von Dienstwegen nicht
genügend Druck erzeugt werden könne. Größere Attraktivität
hatte für sie die Möglichkeit, den Verbindungsaufbau unter
fremdem Namen mit einer Finanztransaktion zu verbinden. Sie
überlegten dann, wer dieses tun könne; der Gedanke an eine
Mitwirkung der Grünen (z.B. Joschka Fischer) schied aus, weil
die Grünen zu viel Zeit für den Entscheidungsprozeß benötigten.
Der SPD-Abgeordnete Paterna schied ebenfalls aus, weil nicht zu
kalkulieren war, ob er nicht selbst diese Information für sich
nutzen würde. Übrig blieb daher nur die Möglichkeit, daß der
CCC selbst es macht. Der CCC hatte daher einen Presseinformatns
termin und -ort festgelegt, um diese Möglichkeit zu demon-
strieren. Inzwischen hatte das FTZ aber die Freizügigkeit seines
Anschlusses aufgehoben, so daß die DemonstratiCh nicht mehr
möglich war. Daraus zogen sie den Schluß, daß schnell gehandelt
werden müßte, wenn ihnen nochmals eine solche Gelegenheit ge-
boten würde, unter dem Namen eines anderen Btx-Teilnehmers eigene
vergütungspflichtige Seiten abzurufen und damit Vergütungen zu
Lasten des anderen Btx-Teilnehmers zu produzieren.
Die Herren Holland und Werngery wiesen in diesem Zusammenhang darai
hin, daß nach ihrem Eindruck das FTZ nichts davon gemerkt hat,
daß sie unter dem Namen FTZ eine Verbindung zum Btx-System
3
aufgebaut hatten. Sie schließen hieraus, daß im FTZ keine
Aufzeichnungen über die Benutzung des Btx-Systems geführt
werden.
1.3 Die Veranstaltung über Btx auf der DAFTA am 15.11.1984 in
Köln:
Die Herren Holland und Wernery berichteten hierzu, daß sie
über das Verhalten der Deutschen Bundespost sehr enttäuscht
waren. Wenn sie in Köln bereits Kenntnis der Kennungen der
Hamburger Sparkasse gehabt hätten, hätten sie sie dort an Or
und Stelle verwertet und der Öffentlichkeit den Sicherheits-
mangel im Btx-System demonstriert.
1.4 Die Herren Holland und Wernery berichteten weiterhin, daß
sie auf der Rückfahrt von Köln nach Hamburg intensiv über
die Veranstaltung und ihre Enttäuschung diskutiert hätten
und die Absicht gefaßt haben, der Öffentlichkeit nachdrücklich
die Sicherheitsmängel zu demonstrieren. Nach Ankunft in Hamburg
haben sie intensiv am Btx-System gearbeitet und insbesondere
den ihnen bekannten Fehler beim Editieren genutzt in der Hoff-
nung, daß ihnen - wie dem Anbieter Portugall in Berlin - Daten
eines Teilnehmers am Bildschirm sichtbar werden.
Zum Fehler im Editiersystem führten sie folgendes aus:
Die Informationen für den Aufbau einer Seite bestehen
Decoder-Informationen und Text-Informationen. Bei den
Decoder-Informationen gibt es eine Obergrenze für die
Zahl der Informationen pro Seite; sie beträgt 1.626.
Der Fehler im Editiersystem bestand darin, daß das
System auf die Eingabe der Höchstzahl von Zeichen
nicht damit reagierte, daß es die Seite so wie vorgege-
ben aufbaute, sondern wirre Daten auf dem Bildschirm
sichtbar machte; es erschienen Teile der eigenen Seite/
aber auch Daten aus anderen Bereichen; ein System war
nach den Aussagen der Herren Holland und Wernery nicht
erkennbar.
4
icel'AtiwcuLt, (Juvlate4A
Dieser Fehler trat auchVauf; wenn iunächstVweniger als
die Höchstzahl von Decoderinformationen eingegeben und eine eine Seite dann korrekt aufgebaut und abgespeichert._
a00.444
wurde. WennVdieselbe Seite wieder aufgerufen wurde und
die Decoderinformationen bis zui. Höchstzahl ausgeschöpft
wu-rden, dann trat wiederum der oben beschriebene Fehler
auf.
Die Herren Holland und Wernery erklärten auf Befragen, daß sie
diese Seiten nicht aufzeichnen konnten, weil die Daten flüchtig
auf dem Bildschirm angezeigt und vom System nach einer nicht
erkennbaren Routine verändert wurden.
Sie nutzten diesen Fehler im Editiersystem mehrere Stunden lang,
um sich Daten am Bildschirm anzeigen zu lassen. Nach ungefähr
4 Stunden erschienen auf dem Bildschirm plötzlich Daten, von
denen sie vermuteten, daß es Teilnehmer-Informationen seien.
Diese Vermutung ergab sich z.B. aus einer 12stelligen Ziffern-
kombination, die mit 3 Nullen begann und daher als von Hand
einzugebende Hardware-Kennung erkennbar war. Diese Daten konnten
aus den o.g. Gründen nicht maschinell aufgezeichnet werden. Da
sie dieses aber wußten, waren sie vorbereitet und konnten wäh-
rend der kurzen Zeit, da die Daten sichtbar waren (etwa 2-4 sek.)
die Daten auf einem bereitgelegten Zettel notieren.
Dies geschah in der Nacht des 15.11.1984. Da sie müde waren, legt
sie die Notizen beiseite und gingen zur Nachruhe.
Am Morgen des 16.11.1984 setzten sie die Arbeit fort. Sie haben
dann die Daten eindeutig als Teilnehmer-Informationen erkannt,
nicht zuletzt, weil sie auf solche Daten achteten. Auf unsere
Bitten hin haben die Herren Holland und Wernery an unserem Btx-
Gerät aus dem Gedächtnis die Seite mit den Teilnehmerinformatione
nachgezeichnet. Wir haben diese Seite ausgedruckt; der Ausdruck
liegt als Anlage bei.
5
5
SieSie haben haben dann dann unter unter Benutzung Benutzung der der erlangten erlangten Informationen Informationen
eineeine Verbindung Verbindung aufgebaut. aufgebaut. Hierfür Hierfür haben haben sie sie die die DAT03 DAT03 ab- ab-
geklemmtgeklemmt und und per per Hand Hand die die Btx Btx-Vermittlungsstelle-Vermittlungsstelle angewählt. angewählt.
AlsAls diese diese sich sich meldetethaben meldetethaben sie sie mit mit Hilfe Hilfe eines eines Akustik- Akustik-
kopplerskopplers und und über über Tastatur Tastatur die die erlangte erlangte Hardware Hardware-Kennung-Kennung
eingegeben.eingegeben. Das Das Btx Btx-System-System hat hat daraufhin daraufhin die die SEite SEite für für den den
VerbindungsaufbauVerbindungsaufbau angezeigt(in angezeigt(in der der die die Teilnehmernummer Teilnehmernummer an- an-
gegebengegeben ist/und ist/und das das Kennwort Kennwort abgefordert abgefordert wird. wird. Sie Sie haben haben die die
VerbindungVerbindung an an dieser dieser Stelle Stelle unterbrochen unterbrochen und und unter unter ihrem ihrem Namen Namen
eineeine neue neue Verbindung Verbindung aufgebaut aufgebaut sowie sowie an an die die erlangte erlangte Teilne' Teilne' er- er-
nummernummer eine eine Mitteilung Mitteilung geschickt. geschickt.  BeimBeim  AufbauAufbau der der Mitteilung Mitteilung
wurdewurde der der Teilnehmer Teilnehmer angezeigt, angezeigt, der der zu zu dieser dieser Teilnehmernummer Teilnehmernummer
gehörte;gehörte; es es handelte handelte sich sich um um die die Hamburger Hamburger Sparkasse. Sparkasse. Daraufhin Daraufhin
habenhaben die die Herren Herren Holland Holland und und Wernery Wernery die die weitere weitere ihnen ihnen sichtbar sichtbar
gewordenegewordene Information Information "usd70000" "usd70000" als als Kennwort Kennwort interpretiert. interpretiert.
SieSie haben haben erneut erneut eine eine Verbindung Verbindung in in der der 0.g. 0.g. Weise Weise aufgebaut aufgebaut
undund als als Kennwort Kennwort usd70000 usd70000 eingegeben. eingegeben. Hiermit Hiermit gelang gelang es es ihnen, ihnen,
unterunter dem dem Namen Namen Hamburger Hamburger Sparkasse Sparkasse eine eine Verbindung Verbindung zum zum Btx Btx--
SystemSystem aufzubauen. aufzubauen.
.5.5 Die Die Herren Herren Holland Holland und und Wern6ry Wern6ry führten führten aus, aus, daß daß sie sie sich sich nun nun
..-.
g0
..
,.. 's , 3
(.4
s-
'-' .S. 1,0 4
Y- ‘,...
-'--
%--'
.... "i -5
N,. ...,..te
,,.,.,.<.< ,., ,., ,; ,;
-2-2
-,s-,s -_-: -_-:
77 ..,:. ..,:. ', ',
'Z'Z 3 3 ',-`, ,-.,=. ',-`, ,-.,=.
entscheidenentscheiden mußten, mußten, ob ob sie sie die die Aktion Aktion starten starten wollten, wollten, die die sie sie
schonschon mit mit dem dem FTZ FTZ beabsichtigt beabsichtigt hatten. hatten. Sie Sie haben haben sich sich dafür dafür
entschieden.entschieden. Nach Nach ihren ihren Angaben Angaben waren waren zum zum Zeitpunkt, Zeitpunkt, da da sie sie
erstmaligerstmalig in in den den Besitz Besitz der der Teilnehmerinformationen Teilnehmerinformationen gelangten, gelangten,
wederweder der der Anschluß Anschluß noch noch der der Teilnehmer Teilnehmer freizügig freizügig geschaltet. geschaltet.
DieDie Herren Herren H.und H.und W. W. haben haben daraufhin daraufhin den den Anschluß Anschluß und und den den Teil- Teil-
nehmernehmer freizügig freizügig geschaltet geschaltet und und das das persönliche persönliche Kennwort Kennwort ge- ge-
ändert.ändert.
SieSie haben haben dann, dann, wie wie schon schon mehrfach mehrfach beschrieben, beschrieben, mit mit Hilfe Hilfe eines eines
MikroMikro-Computers-Computers ihre ihre eigene eigene gebührenpflichtige gebührenpflichtige Seite Seite unter unter dem dem
NamenNamen Hamburger Hamburger Sparkasse Sparkasse mehrerer mehrerer Stunden Stunden lang lang in in schneller schneller
FolgeFolge abgerufen abgerufen und und dadurch dadurch die die schon schon bezeichnete bezeichnete Vergütung Vergütung von von
rd.rd. DM DM 135.000 135.000 produziert. produziert.
-- 6 6---
6
1.6 Auf die Frage, warum sie die Demonstration in den Räumen
des Hamburgischen Datenschutzbeauftragten durchführen wollten,
haben die Herren H. und W.9eavd-iwzi
Damit sollte der Öffentlichkeit demonstriert werden,
daß sie keine Bereicherungsabsichten verfolgten.
Außerdem wollten sie sich wegen der Ordnungswidrigkeit
i.S. des Staatsvertrages den Rücken freihalten.
1.7 Auf Fragen nach den Motiven für ihr Handeln erklärten die
Herren H. und W.:
Sie treten für freie Information weltweit ein.
Deswegen ginge es auch gegen ihre Ehre, Teilnehmer-
informationen - wie behauptet - auszuspähen. Außerdem
würde ein Ausspähen das Verfolgen ihrer idgllen Ziele
gefährden. Nach ihrer Meinung warteten mehrere nur darauf,
daß sie sich so verhalten, um sie dann zu diskreditieren.
Sie betonen, daß sie keinerlei finanzielle Interessen haben.
1.3 Auf Befragen erklärte Herr W., daß er sich in einer Haspa-
Zweigstelle die Btx-Vorführung angesehen habe. Er habe mit dem
vorführenden Mitarbeiter der Btx-Agentur lange Zeit gesprochen
und sich umfassend informiert, u.a. über die möglichen externen
Anwendungen der Haspa. Herr W. hat sich nach seinen Angaben zu
erkennen gegeben.
Herr W. erklärte, daß während seines Gesprächs mit dem Mitar-
beiter der Btx-Agentur eine Verbindung aufgebaut worden sei.
Er hätte nicht erkennen können, welches Modem beim Verbindungs-
aufbau benutzt würde.
Auf Befragen erklärte
nationen wie z.B. ein
Laie U" eingibt. Wenn
Herr W., daß man einebene Zeichenkombi-
Kennwort, dann erkennen könne, wenn ein
Se
ein Profi es eingibt, ginge es so schnell,
daß man es nicht verfolgen könne.
Herr W. erklärte, daß er bei dieser Gelegenheit das Kennwort
der Haspa nicht erfahren habe.
1.9 Während des GEsprächs haben die Herren H.und W. auch über ihre
ERfahrungen mit der Deutschen Bundespost und der IBM berichtet.
Bei diesem Vorfall mit der Haspa haben sich weder die Post noch
die IBM bei ihnen selbst nach dem Fehler erkundigt. Auch
schon früher hätten sie mit der DP schlechte Erfahrungen ge-
macht; wann immer sie einen Fehler gefunden hatten% und ihn
der Post mitteilten, bereitete es immer große Schwierigkeiten,
den zuständigen Ansprechpartner bei der Post zu erreichen. Auch
seien Bitten um Zusammenkünfte von der DP abgelehnt worden.
1.10 Auf eine entsprechende Frage berichtete Herr H., daß der
Bundespostminister sie sehr kurzfristig zu einem Gespräch ein-
geladen hatte. Diese Einladung konnten sie nicht wahrnehmen;
auch sollte am selben Tage eine Bundespressekonferenz statt-
finden, so daß sie befürchteten, von der DP vereinnahmt zu
werden. Die Einladung ist bisher nicht erneuert worden.
Herr H. berichtete ferner, daß es Gerüchte gebe, daß die IBM
Schadensersatzklagen vorbereite.
1.11 Abschließend wurden die Herren H. und W. darauf hingewiesen,
daß durch ihr Vorgehen - insbesondere auch durch die Verwendung
des plakativen Begriffs "Bankrau $" - das Ansehen der Haspa
geschädigt worden sein könnte; auch seien wirtschaftliche
Schäden denkbar. Die Haspa hätte durchaus rechtliche Möglich-
keiten, Schadensersatzansprüche geltend zu machen.
1.12 Die Herren H.und W. wurden eindringlich darauf aufmerksam ge-
macht, daß - unabhängig von der Bewertung dieses Vorfalles -
sie künftig nicht mehr auf eigene Faust handeln dürften, sonc .n
sich an die zuständige Aufsichtsbehörde wenden müßten.
Es wurde vereinbart, daß über dieses Gespräch ein Vermerk angefertigt
und dieser den Herren H. und W. zugesandt wird, damit sie ihn ggf.
berichtigen können.
Leib und E b e 1
2. Herren Holland und Wern4ry mit der Bitte um Durchsicht und ggf.
Korrektur in der beigefügten Kopie wie vereinbart.
3. Herrn Schapper m.d.B.u.K.
4. Wv (Analyse)