Title

Wau beim DBB

Subject

Vortrag von Wau bei Deutschen Beamten Bund

Date Issued

1988-08-22

Description

3x 30 Minuten, transcript by hacker-archive.org

Contributor

Wau Holland Stiftung

content

Wau Holland

Transcript Part 1
(Doppelungen und Versprecher entfernt um die Lesbarkeit zu steigern)

Das müsste ein Abgeordneter aus dem Bundestag machen, weil die sind irgendwie immun und so und dann haben wir überlegt, dann muss das ein Grüner machen und dann war so einer der ersten Sätze, den ich nur mitkriegt habe: "Das genehmigt der Schilly nie“. Und in diesen ganzen Diskussionen war das dann so, dass wir eben dann zu dem Schluss gekommen sind, also so zwischen Steffen Wernèry, und mir
Er war der Rechtsinhaber des Programms, also der Staatsvertragsverantwortliche und ohne weitere Beratung haben wir uns dann eben gesagt, wenn er da der, Nutzungs - der Vergütungsempfänger ist, dann ist es schlecht, wenn er noch aufn Knopf drückt. Das ist zu mindestens schwierig. Wenn man von vornherein sagt, dass man's nicht haben will, dann drück' ich eben auf den Knopf, dann kriegt er vielleicht eine für irgendwen, irgendwas übergebraten und man muss zusehen, dass man durch die öffentliche Darstellung,
eben genau dieses vermeidet. Ja und dann haben wir die Presse eingeladen und das Ganze so gemacht und wollten das mit dem FTZ vorführen und inzwischen waren anderthalb Wochen vergangen und die haben das Kennwort geändert.

Da war für uns da hatten wir uns gegenüber einigen in der Presse auch die haben uns da schief angeguckt, weil die haben uns da alles nicht geglaubt, meinten wir würden da ne große Show machen und da war für uns eine klare Sache: Wenn eine solche Sache nochmal passiert, dann wird das sofort durchgezogen, ohne Rücksicht auf irgendwelche Verluste.
Und als wir dann nach dem Vortrag in Bonn - in Köln auf einer Datenschutzfachtagung. eben dann noch von der Bundespost nur beschimpft wurden, also das sei alles
unseriös und alles falsches Zeug und dann eben mit dem Softwarefehler die Kennung von der Hamburger Sparkasse rausgekriegt haben. Da hat uns einen Anwalt hinter noch gesagt, "da habt ihr verdammtes Glück gehabt, dass das eine juristische und keine natürliche Person war". Aber dadrauf hätten wir in der Situation einfach aus dieser Vorstellung und und Haltung vor keine Rücksicht so drauf genommen, sondern es war uns wichtig, einfach genau das aufzuzeigen. Das haben wir dann auch gemacht und das Resümee war, dass wir eine gebührenfreie Verwarnung vom Datenschutzbeauftragen bekommen haben und wenn so was noch mal passiert eben vorher ohne uns an die Presse zu wenden mit den Ordnungsbehörden da zusammen zu Hocken.

Gebühren. Also das war auch klar, eine gebührenpflichtige Verwahrung war nicht drin, weil da war die Höchststrafe 20 Mark und das wäre ein Lacher gewesen.

Na ja, aber auf der anderen Seite war der Punkt, dass unser Agieren, also ich meine, wir hatten vorher bei Bildschirmtext schon ein anderes Problem:
da war es möglich die Daten einer abgesandten Nachmitteilung nachträglich zu verändern.

Bei Bildschirmtext wird unterschieden zwischen den Textdaten, Farb-, Blink-, Bunt- und Sonderdaten. die waren damals noch so organisiert, dass diese Farb-, Blink-, Bunt- und Sonderdaten im Verfügungsbereich des Absenders lagen und von diesem auch wenn eine Mitteilung, die mit diesen Blinkinformationen verknüpft ist, schon im Briefkasten des Empfängers lag.
Erste Anwendung von Steffen: wenn einer nicht geantwortet hat, dann blinkte dessen Mitteilungsseite im Mitteilungsspeicher auf einmal rot. Also wenn er in seine abgelegte Mitteilung guckt, dann dachte er "verdammt noch mal, vorher sah die Mitteilung doch anders aus.“ dann war das eben eine Erinnerungsmeldung. Also das war der erste Ansatz. Dann dadrüber nachgedacht, verdammt noch mal, was bedeutet das, das ist ja eigentlich ein juristisches Problem, weil man übermittelt eine Nachricht, die ein Angebot, einen Bestelltext oder sonst was sein kann und man kann hinterher noch den Inhalt ändern.
Das ist also ja dann war jetzt die Überlegung, wie macht man das einem Datenschutzbeauftragten deutlich, und dann meinten wir eben also jetzt es muss einmal eine Sinnenstellung da sein und eine Zahlenentstellung. Damit also jetzt sowohl.

Jetzt sowohl meinetwegen ein D-Mark-Betrag oder eine Bestellsumme als auch ein Text einen anderen Inhalt kriegt. Und dann haben wir einen Text entworfen, so also Brainstorming mit mehreren Leuten zusammen, wie kann man das jetzt hinkriegen? "liebe Datenschützer, wir werden sie mit diesem Schreiben, fernbeleidigen und bitten schon jetzt um Verzeihung. Außerdem hätten wir gern von Ihrem letzten Datenschutzbericht 1 Stück" - die eins war so am Zeilenende geparkt, dass da noch ein bisschen Platz war - da wurden hinterher dann eben 1000 draus.
„wenn Sie uns zurückrufen, werden wir während des Telefonats den Inhalt dieser Mitteilung, der bei Ihnen im Mitteilungsspeicher liegt, ändern. Mit freundlichen Grüßen,"

Und dann riefen die so Stück für Stück an so hintereinander und weil "wie was meinen sie damit? Fernbeleidigen, das ist doch überhaupt nicht beleidigend" und dann irgendwie hier "ja, gucken Sie, ja, gucken Sie doch noch mal nach. Ah, es hat sich noch nicht geändert. Ja, dann ist das von der BTX-Zentrale noch nicht bei Ihnen" und so, also binnen fünf Minuten war das dann da und dann stand da oben drüber nicht mehr. Liebe Datenschützer, sondern liebe Dateischeißer. Das hat genauso viel Buchstaben und dadurch, dass man -
Es ging ja darum, man muss möglichst wenig ändern. Der Trick dabei war, dass jetzt einige Buchstaben durch frei definierbare Sonderzeichen, die undefiniert worden, ersetzt.
Das heißt, ein bestimmtes Leerzeichen wurde hinterher durch eine 0 ersetzt, dann stand da eben 10000 Datenschutzberichte, eben bei den paar Buchstaben von Datenschützer - da stand dann eben "Dateischeißer".
Also das ist so ein bestimmter ja vielleicht an einigen Punkten harter Stil, aber wir haben uns ja schon vorher entschuldigt, Und die Entschuldigung wurde immer auch angenommen[…]

Eine... also von von dieser Art hier im Rangehen hatten wir einiges von Fehlern an Bildschirmtext schon gefunden und da ernteten wir von einigen Stellen der Post einfach also jetzt nur, üble Texte der Gestalt, dass es hieß, also erst „den Fehler gibt's nicht." Und wenn man ihn dann beweisen konnte, "das wissen wir seit einem Jahr."
Und wenn einem das dann mehrmals passiert, dann fühlt man sich dann irgendwie halt auch irgendwie geärgert. Und dann ist also ja überlegt man im umgekehrten Fall auch, also jetzt wo man da mal eine bestimmte Postlermentaität ein bisschen ärgert.
Für mich persönlich gibt es zwei Traditionen bei der Post. Das eine ist halt der Thurn und Taxis, der für Suff und Hurerei an vom Kaiser damit der dem Kaiser Suff und Hurerei finanzieren konnte, das Reichspostregal abgekauft hat.
Als erstes ließ er dann mal dem Kaiser daraufhin Listen zukommen ließ, wer an wen Post schreibt. Das ist also jetzt so die erste Einführung der Überwachung. Und auf der anderen Seite gibt's in der Posttradition einen Heinrich von Stefan den Begründer des Postvereins, der dafür gesorgt hat, dass auch Länder, die miteinander Krieg führen, noch Postaustausch haben.
Also jetzt eine sehr weitgehende Form von Verständigung, also Post als Kommunikation und so als Chaos, Computer Club , beruft man sich genau auf die eine Seite der Posttradition so wie Heinrich von Stefan, auf die andere Seite, so wie Thurn und Taxis eben nicht. Das ist die Seite, die dann auch ihre negativen, Folgen hat, wenn Teilbereiche der Post privatisiert werden, dass dann genau diese Seite eines Heinrich von Stefan, mit dem Recht auf Kommunikation - auf ungehinderte - also noch weiter eingeschränkt zu werden droht formuliere ich jetzt mal.

PAUSE

FRAGE -unverständlich-

ein Freund von mir hat in Nordrhein-Westfalen in einem Laden gearbeitet, die haben Karten hergestellt, aus Luftaufnahmen und da waren die Fotokopierer abgeschlossen

Wenn ich mir heute bestimmte Karten anschaue, was da bereits an militärischen Einrichtungen für die, die nur ein bisschen kundig - okay, ich war halt auch bei den Pfadfindern - aber also jetzt Karten liest, dann denke ich nur, also auch eine solche Karte in die DDR weiterzugeben, könnte schon den Tatbestand des Hochverrats erfüllen, wenn ich mir das so überlege wenn ich jetzt überlege jetzt im Vergleich zu dem Fotokopierer was eine dreieinhalb Zoll 720 K Diskette ist, dann bedeutet das, dass jeder der damit irgendwo zu tun hat in der Art und Weise körperlich gefilzt werden muss, dann dass er nicht mehr in der Lage ist, eine solche Diskette bei sich zu haben, weil ansonsten können wir das vergessen, wie offen oder wie zulässig ist. Also ich habe in den anderthalb Jahren, wo ich nicht online war es geschafft in eine in einem kommerziellen Mailbox-System, also irgendwie, das habe ich alles erst hinterher erfahren also jetzt als ich wieder dabei war, den Rekord in nicht gelesener Post zu haben. Und ich habe dann eine dreieinhalb Zoll Diskette gekriegt irgendwie mit was war das? 120 Kilo Byte nicht gelesene Post aus anderthalb Jahren und, die habe ich dann erstmal ausgedruckt in die Ecke gestellt, ausgedruckt ist das vielleicht ein zwei Fingerbreit Papier auf Diskette habe ich das hier so in der Tasche. In der an dem Punkt ist das mit dem Sichern von Daten auch da außerordentlich schwierig.

Als ich jetzt mal so in der Relation, wenn ich den Halter eines Kraftfahrzeugs haben will, dann rufe ich bei der Behörde an und sage „guten Tag, hier ist die „Poststelle für unerbringliche Briefsendungungen, wir haben hier einen Brief und nichts weiter drin ist nur ein DIA mit dem Kraftfahrzeugkennzeichen und wir wollen das zustellen“

Wenn ich mit der Art und Weise mir mein rangehen und recherchiert, überlege, ich möchte also jetzt da von bestimmten Datenbanken vom Landesverwaltungsnetz oder so Kenntnis haben oder jetzt mal ich drehe den Spieß rum da so also jetzt die die Anfragen, die ich als dusselig betrachte also jetzt da wenn da wenn da irgendein Grüner kommt und sagt also „könnt ihr nicht mal die Plutoniumbuchführung aus der Datenbank da rausholen oder so“

Also jetzt grundsätzlich ist es so, dass wir jede Art von Auftragshack -
Egal von welcher Seite sie kommt, ablehnen und zweitens beweist doch endlich die politische Zivilcourage, Dass ihr das als Forderung stellt, nämlich die Offenlegung der Plutoniumbuchhaltung in einem demokratischen Staat muss auch sowas offen liegen können. Mit wieviel mit wie viel Atombomben man eigentlich droht. Aber selbst wenn man jetzt da rangeht und überlegt, war dann jetzt der der zweite Punkt, welche wie brisanten Daten werden denn eigentlich wie, wo überhaupt in Datenbanken gehalten und also jetzt mal beispielsweise die […]

Wenn ich das bezogen habe auf andere Bundesländer, also jetzt bei Baden-Württemberg bin ich da nicht so informiert, aber es gibt genügend Datenbanken, die über irgendwelche Dritte und sonstige Ecken doch noch zugreifbar sind und auch wenn man da wieder den richtigen Zugangscode kennt ist es eben auch so dass man dann meinetwegen über also sich da überlegt welche legitimierten anonymen Benutzer gibt es. Beispielsweise als einen Anhaltspunkt.
Wobei anonym auch heißen kann nur nicht sofort direkt jetzt greifbar. Beispielsweise eine Datenbankabfrage über Funk.

Aus der Praxis her behaupte ich, dass es keine wirklich geschlossenen Netze gibt.

Bis zu den extremen Geschichten, dass dann irgendwo, irgendwie, wieder irgendwas gebastelt hat, so quasi den kleinen Dienstweg betrat.
Das ist bei den Bürgern [---]

Wenn ich mir überlege an welche Fahndungsdaten man über diese kleinen Handhelds per Funk rankommt, das ist schon verdammt viel.
Technisch vom Verfahren, dass ich jetzt nun mal da eine Fehlentscheidung.
So an einem Beispiel zu nennen so aus Angst vor Terroristen wurde in der Landeshauptstadt Bonn ein neues Taxifunknetz eingeführt, was also jetzt als Neuerung hat, dass jetzt die Rufe, nicht mehr per Stimme übertragen werden, weil dann könnte man ja mithören, sondern per Daten.
Also wenn ich jetzt einen Politiker entführen wollte, dann könnte ich den Computer das Ganze auslösen lassen Indem ich das nur mithöre.
Also gut, vielleicht ist das Vertrauen dadrauf, dass also jetzt da die die Terroristen einfach da noch nicht in der Lage sind, diesen ganzen Kram so zu nutzen, wie er eigentlich ist.

Aber jede weitere Form von irgendeiner Verdatung fördert die Kontrolle. Und als sie jetzt so als Demokrat sage ich, wenn mehr Leute kontrollieren können, ist das gut und nicht schlecht,
Also von daher habe ich dafür habe ich also da einfach nichts dagegen, dass da ....

FRAGE -unverständlich-


Tja, außer mir.
Die so zuverlässig für die Menschen, die damit zu tun haben. Und wenn da irgendwelche Illoyalitätskonflikte auftauchen, ist das Risiko, dass da irgendetwas schiefgeht eben recht groß. Also ob ich da [...]

Ich bin der ziemlich sicheren Überzeugung, dass auf technischem Wege da keine Sicherheit geschaffen werden kann, sondern dass der entscheidende Punkt dabei ist, das Bewusstsein das man macht und das ist ein ziemliches Problem. Also da geht's wieder in den Schlenker zurück zu der Frage, was ist ein Dokument und was ist eine Dokumentenveränderung.

Dass es heute kaum einem bewusst, was er eigentlich macht, wenn er aufn Knöpchen drückt, was das für Konsequenzen hat. Aber das Bildungsproblem, was ich dahinter sehe: Wenn die Technik dazu benutzt wird, um den Menschen scheinbar von Verantwortung zu befreien - dadurch, dass er nur noch auf Knöpfchen drückt. Also da denke ich eben zurück an die Karikaturen vom Vietnamkrieg. "Ich fahre nur den LKW" und "ich mache nur das und das" und der Pilot zum Schluss "Ich drücke nur auf den Knopf"

Also wenn jetzt diese Mentalität, "ach ist mir doch egal und Verantwortung haben andere dafür und da sind die da oben" und so. Wenn diese wenn diese Denke sich ausbreitet, dann wird das in der Art und Weise auch schief gehen,
Weil dann sagt dann jeder "mir doch egal. Da speichere ich halt das noch mit ein, weil das bringt mir da einen Vorteil oder jetzt erfinden wir davon nochmal ein paar neue Personen."
Einer von Springer sagte mir mal seine Familie fände das zwar nicht so gut wie er das formuliert aber „egal was für eine Gesellschaftsform man hat es gäbe immer eine bestimmte Zahl von Schweinen dabei.“

Aber jetzt auch da mit den Problemen irgendwie umzugehen, als das Hauptproblem sehe ich dabei eben eine Aufklärung, was eigentlich die Datenverarbeitung bedeutet und was für eine Verantwortung man da als Betreiber einer solchen Datenverarbeitungsanlage hat.
Das gilt auch für den popeligen Homecomputer Besitzer
Das ist ein Punkt, wo wir als Chaos Computer Club an einigen Stellen schon wieder irgendwie ziemlich böse Vorwürfe kriegen, dass wir nur noch von Verantwortung für sowas reden. Irgendwie sehe ich keinen anderen Weg dabei.

FRAGE -unverständlich-

Ich weiß jetzt nicht, wie ich die Szene so nennen soll. Ich sage jetzt mal so autonome Szene bis Hafenstraße. um das jetzt mal ganz drastisch zu formulieren. Von der Breitbandwirkung des Chaos Computer Club haben wir auch Mitglieder aus der Jungen Union dabei. Also um jetzt da nicht irgendwelche Missverständnisse aufkommen zu lassen.
Leute aus der Ecke da sind einige dabei, ein persönlicher Freund von mir ist in die Hafenstraße gezogen in Hamburg und ich habe nur gesagt: Junge, ich bewundere deinen Mut. Das würde ich nicht packen, das wäre mir zu viel.
Und an anderen Punkten ist mir sind mir bestimmte Kindergarten Verhaltensweisen innerhalb des Chaos Computer Clubs schon zu heavy.
Also in dem, was einige dort meinen machen zu können und dass ich dann also nicht da kriege ich dann einen drauf, als zu Autoritär und sonst was. Also….

FRAGE -unverständlich-

Ja, das ist und in der europäischen Kultur, in der philosophischen wird derartiges noch sehr stark bezweifelt. Ich denke auch, dass das ein ziemlicher Knowhow Vorsprung der Amis und der Russen ist. Also jetzt anzuerkennen, dass das, was man sieht beispielsweise, dass das real ist, dass das menschliche Auge im Vergleich zu irgendwelchen technischen Einrichtungen das leistungsfähigste Wahrnehmungsorgan ist, jetzt bezogen auf die Feinheit, bezogen auf die Bandbreite und so weiter. Das deshalb als ein Vorspann, weil bei einer Menge bei der Datentechnik geht es um die Weitergabe von Knowhow und die Weitergabe von Wissen beziehungsweise um die aus Machtgründen an Machtgründen orientierte Beschränkung der Weitergabe von Wissen.

Also wenn ich jetzt da zurück gehe an die Zeit der Einführung der[.....]
Jetzt mal so als einen geschichtlichen Punkt hier zitiere ich so aus der Studie ein paar Sachen. „Göttliche Fernmeldeaufklärung, die Ehrfurcht vor dem Informationsvorsprung,
einer allgegenwärtigen Macht soll vor rund 2500 Jahren König David im Psalm 139 besungen haben:
Herr. Du erforschest und kennest mich. Ich sitze oder stehe, so weißt du es. Du verstehst meine Gedanken von Ferne. Ich gehe oder liege, so bist du um mich und siehest alle meine Wege. Denn siehe, es ist kein Wort auf meiner Zunge, das du Herr nicht alles wissest. Von allen Seiten umgibst du mich und hältst deine Hand über mir. Solche Erkenntnis ist mir wunderbar und zu hoch, ich kann sie nicht begreifen"

Macht haben, heißt heute, dass jeweils fortgeschrittenste Medium zu kontrollieren, Kontrolle über Informationen und Wissen geschieht auf verschiedene Weise. Zensur kontrolliert Weitergabe und Verbreitung, Desinformation verwirrt und verfälscht und außerdem lassen sich Menschen mit so viel Daten zuschütten, dass sie das Wesentliche nicht mehr erkennen.

Entwicklung von Rauchzeichen, Trommeln, Boten… Umspannstellen für frische Postkutschenpferde hießen damals Relais. Ein Relais ist ein Schaltorgan, das mit geringem Aufwand eine relativ hohe Arbeitsleistung steuert. Heute liegen von Relais zu Relais Kabel,
ADV-Anlagen sind die Relais von heute. Jeder schreibende Mönch war Herr über Produktionsmittel, nur der Inhalt war vorgegeben, Klöster waren Enzykliken, gesteuerte Fabriken mit Ausstattung. Wächter waren nur bedingt notwendig. Man schlug sich selbst und die Gläubigen gingen freiwillig zur Datenabgabe - der Beichte.

Dann kam Gutenberg und erfand den Buchdruck. Plötzlich konnten trotz der Konzernsprache Latein viel mehr Menschen Wissen erlangen und - wenn es nur die Bibel war.

Es dauerte 50 Jahre, bis Luther seinen Thesenflugblatt Medienmässig effektiv benutzen konnte. Etwa 200 Jahre nach Gutenberg begannen Diderot und d‘Alembert in Frankreich mit der Herausgabe einer fünfunddreißigbändigen Enzyklopädie.
Damals gaben die Päpste Enzykliken heraus, Rundschreiben über aktuelle Glaubens- und Sittenprobleme.
Die Enzyklopädisten erstellten eine umfassende Darstellung des Wissens der Zeit in systematischer Anordnung. Eine hervorragend illustrierte Beschreibung der damals modernsten Produktionsmittel. So ganz am Anfang von der Enzyklopädie wird auch beschrieben, wie man eine Buchdruckerwerkstatt aufbaut und Bücher druckt

Das heißt, an der Stelle war dieses Ding auch bezogen auf sich selbst rekursiv.
Aber diese Beschreibung störte die Kreise des Papstes und der Verbot das große Werk. Das Verbot half dem Papst Zeit zu schinden, haltbar war das Verbot nur kurze Zeit,
Heute wird die Knowhow-Weitergabe beispielsweise von den Amerikanern sehr streng kontrolliert - zufällig heute im Spiegel ist da eine mehrseitige Geschichte "Cocom - ein Relikt des kalten Krieges" -
Selbst Kohl kommt da vor: in den Cocom Listen stecke Zitat: "ein Stück Heuchelei drin" Zitat Ende, sagte der Kanzler und verhieß baldige Linderung, es wird sich etwas ändern.

Was beispielsweise sich ändern wird, ist die Verbreitung des Know-hows der Datenverschlüsselung. Für die Speicherung sensitiver Information ist es sinnvoll, sie zu verschlüsseln. Der Klassiker über Verschlüsselung überhaupt ist das Buch von David Kahn, "The Code Breaker", das erschien Mitte der 60er Jahre und enthält eben auch die Information, dass etwa ab diesem Zeitpunkt es Verschlüsselungsverfahren gibt, die so sicher sind, dass sie in sinnvoller Zeit nicht mehr geknackt werden können.

Dieser Satz ist eine Information, die es auf das schärfste geheim zu halten gilt. Weil, wenn jeder verschlüsseln kann, ist das für den Staat nicht mehr kontrollierbar.

Aus diesem Grunde sind die Verschlüsselungsverfahren, die bis zum letzten Jahr in Amerika Standard waren, der "Data Encryption Standard" unter Exportverbot. Nicht nur das, auch eine Softwarelösung, die auf der Enigma basiert, ist für die Unix-Systeme unter Exportverbot. In den Handbüchern für Super User bei Unix Anwendern steht dabei bei dem DES (Date Encryption Standard) und bei CRYPT der auf Enigma basierenden Verschlüsselung "Programm nur innerhalb der USA"

[Zwischenfrage unverständlich]

Das ist eine […], mit vielen Rollen und Walzen wird ein sich ständig verändernder Schlüssel erzeugt, also jetzt so quasi, ein Zahnrad-Randomgenerator, der mit den Eingangsbuchstaben, mit den mit den Eingangs verknüpft wird und einen Schlüssel einer recht langen Folge erzeugt, Wenn man das ganze mechanisch macht, dann ist es natürlich etwas schwieriger, als wenn man die die ganzen Rollen, die sich da drehen per Software machen kann.
Insofern sind die Softwarelösungen, die es inzwischen gibt, als Weiterentwicklung ganz platt als so sicher zu betrachten, dass der amerikanische Staat den Export verbietet.

Es gibt auf der anderen Seite bereits ebenfalls seit Anfang der 80er für einen vergleichsweise kleinen Rechner wie den Z80 eine Assemblerlösung, die auch auf der Enigma Lösung basiert. Die ist in Doktor Dobs Journal damals abgedruckt worden und liefert immerhin aufm Z 80 mit zwei Megahertz eine Verschlüsselungsgeschwindigkeit von 1200 Baud. Die Frage ist ja immer, welchen Zeitaufwand bringt die oder erfordert die Verschlüsselung. In ähnlicher Art und Weise ist es jetzt bei den bei dem Data Encryption Standard, der ist. [PART 2]

Transcript Part 2
(Doppelungen und Versprecher entfernt um die Lesbarkeit zu steigern)

Geschwindigkeit von 1200 Baud. Die Frage ist ja immer welchen Zeitaufwand bringt die oder erfordert die Verschlüsselung. In ähnlicher Art und Weise ist es jetzt bei den bei dem “Data Encryption Standard” - der ist von IBM entwickelt worden. Ursprünglich hieß das Konzept Lucifer und hatte zum Verschlüsseln 128 Bit als Schlüssel. Das ist dann in Verhandlungen mit der NSA auf 56 Bit heruntergesetzt worden, das war dann so der Kompromiss zwischen IBM und der National Security Agency weil IBM musste da eben [Störung] Standard in den USA vom Staat her angenommen worden. Wenn meinetwegen IBM 370 in die Bundesrepublik exportiert wird, dann wird die Verschlüsselungshardware ausgebaut. Das bedeutet einen Schritt weiter in den Ostblock, geht sowieso nicht. Und vergleichsweise die Verschlüsselungsfacility für VAXen die kostet irgendwas so zwischen 20 und 30000 Mark und die wird auch nur an einen beschränkten Kundenkreis ausgeliefert. 1988 wurde der Verschlüsselungsstandard nicht weiter verlängert. Das heißt, gegenwärtig ist in den USA der Zustand erreicht, dass es keinen Verschlüsselungsstandard gibt. Es gab eine Zeit lang Gerüchte / Berichte, dass der “Data Encryption Standard” nicht hinreichend sicher ist. Da gab es dann Kalkulationen, dass wenn man einen Rechner bestehend aus 1 Millionen kleinen CPUs aufbaut und da also jetzt die kosten ausrechnet, dass man damit einen Schlüssel binnen eines Tages ausrechnen könnte und dass das dann eben doch nicht sicher wäre. Weitere Betrachtung von Fachleuten, die sich hier in der Bundesrepublik mit dem Thema beschäftigt haben, also speziell mit dem Data Encryption Standard unter dem Gesichtspunkt ihn knacken zu können haben dazu geführt, dass man jetzt der ziemlich sicheren Überzeugung ist, dass der Data Encryption Standard dieses Jahr nicht verlängert wurde von der amerikanischen Regierung, weil er zu sicher ist. Er ist in der Praxis kaum bis nicht knackbar und falls Gefahren bestehen dieses zu tun gibt es auch Möglichkeiten, die Schlüssellänge recht einfach zu erhöhen. Es hat jetzt in der Umgebung vom Chaos Computer Club eine Software Entwicklung gegeben, die ist vor anderthalb Jahren abgeschlossen worden. Damit existiert eine reine Software Lösung für den Data Encryption Standard. Die ist lauffähig auf IBM PCs und kompatiblen. Auf einem billigen PC mit 4,7 und 70 Mhz und v20 CPU bringt die Kiste, erbringt die Software Lösung immerhin 126 Bytes pro Sekunde. Das heißt wenn man billigst PC nur für die Verschlüsselung einsetzen würde, könnte der in Echtzeit 1200 Baud durchpumpen also bezogen für das, was man mit einer Leitungsverschlüsselung machen kann. Jetzt die Weiterentwicklung mit ARM und 386er macht die Kiste entschieden schneller, weil es sich um einen optimierten Algorithmus handelt und die meisten Befehle in CPU Registern abgearbeitet werden Eine vergleichsweise Lösung für den Macintosh oder einen anderen achtundsechzigtausend Rechner macht als reine Softwarelösung 40000 also 40 Kilo Baud also 40000 Bit pro Sekunde. Das ist also, damit ist man schon fast in der Größenordnung von einer Datex Leitung mit 48 Kilobit pro Sekunde. Das Verrückte dabei ist also jetzt wir haben dann erstmal - oder der Autor hat dann erst, an die Zentralstelle für Chiffre Wesen gewendet mit der Bitte an die Behörden, diesen Algorithmus zu testen. Und mit einer zweiten Bitte an die ZAW - die Zentrale für Außenwirtschaft, weil wir für private Anwender als Redaktion Datenschleuder vom Chaos Computer Club für private Anwender in der DDR eine Commodore 64 Implementationen dieses Verschlüsselungsstandards anbieten wollen. Da ist bislang von der ZAW noch keine Antwort gekommen, aber in dem Spiegel von heute steht auch irgendwie so drin, jeder Antrag muss in vierfacher, Ausfertigung, auf Deutsch und 23fach in Englisch eingereicht werden. Und der letzte Satz vom Spiegel Artikel lautet, also der letzte Absatz »Wut und Ohnmacht« packten den Hessen, als er unlängst, nach monatelangem Warten auf seine Ausfuhr-Lizenzen, persönlich beim Bundesamt für Wirtschaft in Eschborn vorsprach. Er entdeckte Überraschendes.»Da lagen alle meine Anträge«, erzählt der Händler, »ungeöffnet auf dem Fußboden rum.« Ein kniehoher Stapel.”

Also ich weiß ja noch nicht, was passiert. Aber rein rechtlich ist es so: In der BRD unterliegen Hersteller bei ihren Entwicklungen keinen Baubeschränkungen. Das heißt, es ist das gute Recht eines Softwareentwicklers hier derartiges zu tun, und damit wird da diese Version eben nicht nur vorliegt, für IBM PC Kompatible, Macintosh und Commodore 64 also jetzt so ein Kram, da ist es natürlich ein bisschen langsamer, sondern auch für IBM 370. Und für IBM 370 gibt es eben nur Assembler Quellcode Lizenzen. Damit ist dann auf einmal ein Exportverbot der Amis durch den Ausbau von Platinen hinfällig geworden. Das ist eine Entwicklung, die heute stattfindet, dann auch jetzt - als ein kleines adversū - Entwicklung der IBM 370 Software. Die lief auf einem gewöhnlichen IBM PC, also Nachbau. Mit Shareware wäre also - das heißt mit Software, die man benutzen darf und wenn man will, kann man dem Auto einen Obolus zukommen lassen - für IBM PCs gibt es Shareware - einen 370 Assembler und einen 370 Executer und damit ist es möglich, die komplette 370 Software auf m PC zu fahren. Sie ist dann zwar etwas langsamer, aber zu Entwicklung beispielsweise von einem Verschlüsselungsprogramm ist das vollkommen ausreichend. Das ist ein Satz, der hat seine Bedeutung eben auch für den Datenschutz, weil damit ein System was für eine Reihe von Leuten sind als in Anführungsstrichen “zu”. bezeichnet wird - jetzt kann nur einer das Mitmachen, der irgendwie IBM 370 kann, aber durch das Shareware Prinzip kann das im Prinzip jeder. In Heidelberg ist es so, dass an der Universität ein Universitätsöffentlich zugänglicher PC oder eine CD ROM ist da ist von der User Group die ganze Public Domain Software drauf und da kann man sich ransetzen und kopiert sich die Software, die man haben will irgendwie auf Diskette und nimmt sie mit und hat sie. Und wenn sie einem gefällt dem Autor einen Obolus zukommen lassen, dann liegt das halt dabei und in der gleichen Art und Weise wird von der Redaktion der Datenschleuder der Data Encryption Standard für PCs und Kompatible als Charityware vertrieben. Das heißt für 23 Mark 23 kann das jeder kriegen, also jetzt die Zahlung ist freiwillig – für kommerzielle Anwender ist sie allerdings Pflicht. Und Charityware heißt im Unterschied zu Shareware es geht auch ohne Geldzahlung. Das heißt, jemand sagt auch einfach OK er arbeitet 3 Stunden für Greenpeace oder andere Umweltinitiativen meinetwegen oder eine andere gemeinnützige Organisation und versucht der sein Wissen, was er hat als Computerfreak, über die Möglichkeiten der Vernetzung beizubringen und erwirbt damit eine Einsatzlizenz für das Data Encryption System. Und das ist eine Verbreitungspraxis, die wird einfach gemacht. Ich sehe keinen Grund, dass sie gegen irgendwelche Gesetze verstößt. Der Data Encryption Standard ist in verschiedenen Publikationen genauestens beschrieben, wie er funktioniert. Und von daher kann man eine Softwareversion, die man so verbreitet eben auch so verbreiten, ohne dass man dagegen etwas sagen kann. Und sollten die Amis wagen, etwa den Commodore 64 Version, in die in die DDR unter Exportverbot stellen zu wollen, machen sie sich erstens lächerlich und zweitens ist der nächste Antrag, der dann kommt. Die 370er Version und die VAX-Version des Data Encryption Standard in die USA exportieren zu dürfen. Das sind Entwicklungen, wie sie die Computertechnik möglich machen und die, wo man sich dann auf einmal irgendwie ziemlich merkwürdig abgefahrenen Dimensionen bewegt. Der Export von diesem ganzen Kram also jetzt auch dieser DES geschieht mithilfe der ITA-Gesetze “International Traffic in Arms”. Das heißt auf einmal hat man durch so ein Softwareprodukt, was also jetzt so die PC-Version von dem Data Encryption Standard. Die umfasst etwa 6 KiloByte das ist alles mehr braucht man nicht. Da gibt es. Dann einen Befehl der heißt “PCDES” Dateiname rein und dann der Name des Schlüssels, den muss man entweder eintippen oder vorsichtshalber nur in der RAM Disk oder so wie man das macht und dann wird diese Datei direkt mit dem verschlüsselten Code überschrieben.

Und die Versionen für Großrechner sind natürlich entsprechend schneller und man spart sich damit die ganzen Problematiken, die die Exportverbote der amerikanischen Regierung habe. Und hat trotzdem diese Qualität an Verschlüsselungsmöglichkeiten zur Verfügung.

Aber vielleicht mal eine Frage an die Runde gibt es außer Passwortdateien eigentlich schon irgendwo eine Systematik der Speicherung von Daten in verschlüsselter Form? Oder wird alles quasi nur organisatorisch abgelegt in der Praxis. [Antwort unverständlich] Also was jetzt ja? das letzte? [Antwort unverständlich]

Sie sind nicht gegen Zerstören gesichert, und das ist, bei dem Data Encryption Standard ein ziemliches Problem, weil ein einziges fehlerhaftes Bild den ganzen Kram nicht mehr lesbar macht. Ein gutes Verschlüsselungsverfahren muss eben so beschaffen sein, dass die Änderung eines einzigen Bits das bewirkt. Und jetzt noch so ein anderer also jetzt mal ein entscheidender Krypto analytischer Grundsatz überhaupt: Bevor man etwas verschlüsselt. Sollte man es schrumpfen. Das heißt die Redundanz rausnehmen aus dem Programm. Es gibt auf dem Ganzen also sogenannte ARCer, Die sind auch auf dem Public Domain Bereich seit den alten CPM 80 Zeiten in inzwischen immer weiter verbesserter Form, und zwar eben auch in untereinander kompatibel verbesserter Form, das heißt, es gibt kompatible oder die verfügbaren ARCer sind kompatibel. Egal, ob das Betriebssystem, das olle CPM ist, ob es MS-DOS ist oder ob es UNIX Versionen gibt da gibt es auf allen ein und den gleichen ARCer, der je nach ankommenden Daten die Daten unterschiedlich komprimiert und wenn man Daten erst komprimiert und dann verschlüsselt, dann kann der Verschlüsselungsalgorithmus fast primitiv sein. Weil bei einem Entschlüsselungsansatz, also auf Krypto analytischer Ebene, ist das Erste, das man versucht rauszukriegen in welcher Sprache ist denn das überhaupt? Also jetzt bestimmte Wortzeichen und sonstige Häufigkeiten und die die Häufigkeit Verschiebung je nach verwendeter Chiffre rauszukriegen das sind die, das sind die Ansätze überhaupt und wenn vorher es sich um eben maschinell verdichtete Daten handelt, dann fällt dieser Ansatz weg. Also insofern ist es sehr wohl möglich, Daten verschlüsselt also jetzt insbesondere zu übermitteln, aber auch zu speichern. Und dann ist das Sicherheitsrisiko auf “nur noch” in Anführungsstrichen auf den Schlüssel verlagert. Aber es gibt auch Informationen, wo ein solches Vorgehen vom Datenschutzmäßigen her vernünftig erscheint. Also wir sind jetzt in der Redaktion gegenwärtig so am Diskutieren, das wir unseren Datenaustausch von noch nicht gedruckten Artikeln über das Netz damit praktizieren, das wir also jetzt die Daten, dass der jeweilige Schlüssel des Data Encryption Standards, der gilt für die nächste Ausgabe der Zeitschrift und die Redakteure wissen Ihn halt und damit werden die Daten quer Beet durch dieses Land übertragen und veröffentlicht wird das eh also so lange muss der Schlüssel halt halten und danach kann er im Prinzip bekannt sein.[Zwischenfrage unverständlich] Ja, das ist richtig, aber wenn man den Schlüssel nicht kennt, dann hat man nur einen Datenhaufen, der einem letztlich keine Chance gibt.

[Zwischenfrage unverständlich]

Das ist insofern richtig, ich wollte das jetzt gleich mit dem Beispiel von der NASA ergänzen, weil da war es sogar so, dass die Passwörter zwar verschlüsselt gespeichert wurden, aber wenn man sich Programm mäßig reinklinkt und die abspeichert, bevor sie den Verschlüsselungsprogramm Teil durchlaufen, dann hat man es im Klartext und das ist da gelaufen. Also insofern lässt sich alles umgehen, bloß von dem von der anderen Überlegung des Rangehens her. Wenn ich mir dann so die Situation mit einem unbekannten Rechner vorstelle, dann ist jetzt der erste Punkt, dass man da irgendwie mal nachschaut was ist das eigentlich für einen Rechner, wo ist man jetzt da eigentlich drin? Was sind das für Dateien und was steht da eigentlich für Daten drin? Und solange dort quasi standardisierte Softwareprodukte sind, die meinetwegen einem Datenbank Zugriff geben, dass man meinetwegen so auf einer VAX, dann so ein "All in One” System hat und dadurch warzt und dann feststellt “Aha, das ist das Testsystem, mit dem die kanadische Polizei jetzt arbeitet” meinetwegen oder so “interessant”. Dann ist das eine Zugangsmöglichkeit, die daran liegt, dass man jetzt eine quasi bekannte Benutzeroberfläche hat, wenn man jetzt auf der anderen Seite nur mit einer Kiste konfrontiert ist, wo man nur gigantische Datenberge hat, dann ist das Erste, das man nachschaut was steht da eigentlich drin? Und wenn man da große Datenbanken im Klartext Format hat - das ist nämlich auch noch so ein Aspekt dabei, die lassen sich auch über Datennetz verhältnismäßig ohne Aufwand hin und her kopieren. Also jetzt mal so als eine Möglichkeit so bezogen auf den NASA Kram was man hätte machen können wäre, das man jetzt sich Netz Makro aufbaut, der jetzt die kompletten platten Inhalte der European Space Agency zur Nase rüber kopiert und so von der NASA von Castor und Pollux von den beiden Rechnern irgendwie aufteilt, das mit dem Datenbestand hierher rüber kopiert und wenn die Leute dann Montag Morgen zur Arbeit gehen, dann melden sich die beiden Systeme genau andersrum und die Datenbestände sind an einer völlig anderen Stelle. Also solche Sachen ließen sich sehr Wohl machen.

Aber ich hatte die Überlegung im Kopf, dass es bei einer Reihe von Einrichtungen eben auch Datenbestände gibt, die so quasi als Stammdaten irgendwo da in der Ecke rumlungern und wo man sich fragt in welcher Form speichert man sie eigentlich? Und da gibt es für mich aus der Sicht eines verantwortlichen Redakteurs bei einer Zeitung. Eine Reihe von Archivdaten die ich gerne in verschlüsselter Form speichere. Wenn dann eine Durchsuchung ist und dann gesagt würde Irgendwie, “Zeugnisverweigerungsrecht und Journalisten oder so interessiert uns alles überhaupt nicht. Das ist alles Beweismittel her damit”. Dann habe ich das gerne in dieser Form. Und ich kann mir auch eine Reihe von anderen Situationen vorstellen, auch in Institutionen, wo ein solches Vorgehen angebracht ist, wo so eine besondere Form der Speicherung – ich meine das ist natürlich schlecht, wenn da ständig Zugriff sein muss auf solche Daten, dann kommt man in Zeitprobleme, weil ein guter Verschlüsselungsalgorithmus braucht seine Zeit. Aber für bestimmte Sachen halte ich das schon für sinnvoll, aber die Schwäche ist selbstverständlich immer der Schlüssel.

[Zwischenfrage unverständlich]

Was weiß ich? Also das ist jetzt so quasi auch eine neue Qualität von kleinem Dienstweg, Akteneinsicht und Zugriffsrecht - da genügt dann ein Wort am Telefon. Das ist also jetzt da die Entwicklung. Diese Festlegung ist außerordentlich schwierig. Ich meine, ich sehe das für mich selber, wenn ich mir überlege ich habe ein Softwareentwicklungsprojekt, ein Satz System. Ich habe daran 12 - 15 Jahre programmiert. Ich habe den ganzen Quellcode auf einer Platte und das das Zeug warzt jetzt durch eine Computerabteilung von einer Ermittlungsbehörde, dann geht mir das auch auf den Keks. Da kann man nix machen. Da habe ich auch überhaupt keine Kontrolle darüber, was passiert. Also bei den Grünen in Bonn hieß diese - gab es den Begriff des Flurfunks. Also die die Informationen, die weiterwandern, ohne dass sie dienstlich weiterwandern, also so die die “Gerüchtebörse” in Anführungsstrichen und ich denke das ist eine Menge von Informationsumsatz eben auch in Behörden also deshalb das Beispiel der Grünen die sind nämlich auch eine Behörde. Dass die also, dass da eine Menge darüber läuft, was sich überhaupt nicht kontrollieren lässt. Aber an den Stellen, wo es bestimmte Daten gibt, die bestimmte Sicherheitsanforderungen haben, also da meine ich schon das eine Verschlüsselung einen gewissen Vorteil bieten kann. Also bei einigen Punkten würde ich das für sinnvoll bis notwendig halten. Auch wenn es organisatorisch, irgendwie ja […] Also es ist zumindest und das war auch so für uns in der Redaktion Diskussionspunkt ein solcher Akt schärft ein Stück weit das Bewusstsein für die Sachen, mit denen man da umgeht. Dass das jetzt also Informationen sind die “noch” - in Anführungsstrichen - nicht für die Öffentlichkeit bestimmt sind, dass man da jetzt nicht mit jedem drüber spricht, sondern eben auch noch so die Abwägung zu haben, was man da, wie macht? Also da jetzt zur Wahrung des Redaktionsgeheimnisses aber so auf einer anderen Ebene. Wenn ich mir überlege. Also was, was beispielsweise in der Arztpraxis an Patientendaten einfach so offen gespeichert wird das jeder durchschnittliche Computer Freak, der sich 5 Minuten an die Anlage setzt, dann hinterher seine Nachbarn. Auf dem Flur irgendwie jetzt mit irgendwelchen Details über dessen Zahn-Innereien also konfrontieren kann, dass der ganz bleich wird. Gut also, das ist heute Realität und von daher meine ich das eben gerade auch durch die immer weitergehende Standardisierung von Daten und Datensystemen und einer damit einhergehenden Verbreitung des Knowhows, also einige zentrale Datenbanken für Verschlüsselung durchaus Kandidaten sind. Und ich halte dieses ganze öffentliche/amerikanische Heck Meck über Verschlüsselung für eine Bestätigung dessen, dass das richtig ist, weil sonst würden sie nicht bestrebt sein eben exakt dieses Knowhow geheim halten zu wollen.

[Zwischenfrage teils unverständlich]:

[…]Beispiel der Arztpraxis. Der Datenbestand war ja bisher auch vorhanden in der Arztpraxis. Er war nicht so lediglich nicht so leicht raustransportierbar bevor er im Computer stand, weil das ist ein ordentlich zeitliches Problem tausende von Karteikarten rauszutragen.

[WAU]Das ist eben bezogen auf eine Diskettenkopie heutzutage trivial. Aber das Wesentliche bei der Entwicklung von der Verschlüsselung ist, dass die Verschlüsselung eben gerade in Verbindung mit einer Schrumpfung der Daten – also Komprimierung der Daten – rausnehmen der Redundanz - es für eine Entschlüsselung nahezu unmöglich macht, egal in welchen Geschwindigkeitsdimensionen die Rechnerentwicklung weitergeht, das ist ein grundsätzliches Problem. Das Ministerium für Staatssicherheit der DDR verwendet einen vergleichsweise - ist in der letzten Datenschleuder beschrieben - einen vergleichsweise einfachen Algorithmus, den also jetzt also jeder Agententrottel soll das ja, auch noch irgendwie können. So ganz hart gesagt. Jetzt vorgezogen auch über die Geschichten die Behörden, Verwaltung, Zugriffsorganisation. Wer darf Was lesen, wer muss seinen Büroschrank nach Feierabend wie versiegeln. Da also jetzt als Quellenempfehlung mit Absegnung des Innenministeriums “im Zentrum der Spionage” heißt das Buch. Ich weiß jetzt nicht mehr genau den Autor verdammich nochmal das hab ich dummerweise nicht reingeschrieben. Ich habe nur die ISB Nummer hier drin. Stiller heisst er. Dazu still, stiller, Geheimagent, also Stiller ist der, der war Geheimagent des MFS und ist irgendwann hier in die Bundesrepublik rüber und hat in Anführungsstrichen “ausgepackt” und wenn er einfach hier im Verlag, “Hase und Koehler”, also auch mit dem Verlag “ich bin der Hase im Wald und weiß von nix” also wenn in dem Verlag ein Buch erscheint, dann gehe ich davon aus, dass das Bundesamt für Verfassungsschutz Korrektur gelesen hat, bevor das erschienen ist. Also da ist das Verschlüsselungsverfahren nun nicht direkt beschrieben, aber es ist abgedruckt. Und zwar ist das so eine kleine Schlüsseltafel, die besteht aus einem Kästchen Muster, in der 1. Reihe stehen die Ziffern von 0 bis 6 - AINRS und die 6 steht für Code. Das heißt, die häufigsten deutschen Buchstaben werden durch eine Ziffer dargestellt. Die Folgezeilen enthalten die Buchstaben ÄBCDFGHJKL. Also alle nicht sonstigen Buchstaben, und die sind dann zweistellig 70 71 72 73 also wenn man sich die Zahlenfolge vorstellt, ist vorher vergeben 0 – 6, 6 steht für Code und hinter der Codeziffer für 6 kommen dann eben ein dreistelliges Ding. Und das dreistellige Wort ist aus einer Jargon Liste. Da finden sich die hundert häufigsten Wörter von “Abgesandt, Adresse, Anrufer, anruf, anliegen, usw, Ausweis, ausweisen,” bis also “Post, Post noch nicht erhalten, Reaktion auf Sender, Sendung, Sicherheit, sofort, Spruch,” usw. bis “Zeichen”, und “Zentrale” also jetzt diese hundert häufigsten Wörter wenn man jetzt mal statistisch rangeht.Also da gab es in den 30er Jahren einen Deutschlehrer, der hat die verdienstvolle Aufgabe übernommen, einfach mal die Bibel und das BGB und der Tageszeitung und Goethe und sowas genommen eine Worthäufigkeits Liste zu erstellen, also ohne Computer. Deutschlehrer hat sich hingesetzt und gezählt das ist das Kaedingsche Häufigkeits-Wörterbuch. Damit habe ich mich unter anderem beschäftigt, um ein vernünftige Silbentrennungsprogramm zu schreiben. Also ich liebe Programmieraufgaben, für die es keine hundertprozentige Lösung gibt. Programmieraufgaben mit hundertprozentigen Lösungen finde ich langweilig. Das erste Silbentrennprogramm von IBM für Englisch trennte am 3,5,7,9, Buchstaben. Also immer nach einer ungeraden Zahl, das hat in der englischen Sprache, in denen Genauigkeit für Richtigkeit von etwa von etwas über 60%. Und mein Ansatz war so ranzugehen, wenn die hundert häufigsten Wörter richtig getrennt werden und man den Rest random trennen würde, hätte man schon da hundert Prozent der 50% der Worte auf hundert Prozent richtig sind, hatten wir ja schon eine Genauigkeit von 50% und wenn man den Rest random trennen würde, hätte man schon 75%.

Tag

BTX

Exportkontrolle

Cocom

Source

Transcript Part 3
(Doppelungen und Versprecher entfernt um die Lesbarkeit zu steigern)

Um da zu verhindern, dass jetzt irgendein Systemverwalter vor sofort feststellt, dass der jetzt die Kennwörter im Klartext drinstehen. Zum Zweiten wurden dann noch Veränderungen vorgenommen, dass jetzt der betreffende Benutzer gegenüber dem Systemverwalter. [Störung] Insofern hat die DDR da so ein Verfahren entwickelt, was die Redundanz rausnimmt, und verschlüsselt in einem Schlag, weil jeder Agent muss, nur dieses kleine Zettelchen da mit sich rumschleppen beziehungsweise ich würde mir zutrauen, das auswendig zu lernen. Ich kann mir auch. Telefonnummer gut merken. Ich bin höchstens immer irritiert, wenn ich auf den Tasten vom Tastentelefon auf eins mit Drehscheibe komme, und ich habe mir die Ziffernfolge irgendwie so in Koordinaten gemerkt. Also dieses Verschlüsselungsverfahren klingt außerordentlich primitiv und das war das, weshalb ich da so lange drüber nachgedacht habe, das ist das in dem Buch von Stiller nicht weiter erklärt. Also, das ist ja auch – hab ich auch nur gedacht - ist ja eine ziemlich klare Sache, warum soll man dieses ganz Knowhow was hinter diesem abgedruckten Zettel steht auch noch dazu schreiben? Aber der Punkt dabei ist das es ziemlich Narren sicher ist, dass es die Redundanz rausnimmt und verschlüsselt in einen einfachen Code, also eben nur in Zahlen. Und das ist mit ein bisschen prokelei auch wieder zu entschlüsseln ist. Also was mir in dem Buch nicht gelungen ist, da waren ein paar Papierstreifen mit abgebildet, aber die Papierstreifen mit den Ziffernfolgen darauf, die schienen einen anderen Code zu haben, als die abgedruckte Code Tabelle, also das zweite Buch, nicht rauszunehmen, um was für Sprüche es sich da handelt die da verschlüsselt wurden. Also dieses würde ich sagen, ist eine manuelle Entsprechung zu einem rangehen, dass man erst Daten durch ein Schrumpfungsverfahren laufen lässt und anschließend verschlüsselt. Das Schrumpfungsverfahren nimmt so viel Redundanz raus, wenn man es also jetzt so weit treibt bis zu dem Huffmann Encoding. Es gibt eine absolute dichteste Informationspackung, die hat Huffmann bewiesen, als den Code der Null Redundanz enthält, aber den herzustellen aus irgendeinem realen Code, setzt einen sehr hohen Rechenaufwand voraus. Die üblichen Verfahren, die es gibt, begnügen sich meinetwegen, damit die Redundanz auf ein paar Prozent runterzudrücken, aber das ist hinreichend wenig Redundanz um irgendwelchen Entschlüsselungsversuchen, wenn man keinen Schlüssel hat zu widerstehen. Also auch dieses Verfahren vom MFS würde ich erstmal behaupten, ohne es genau beweisen zu können jetzt das ist halt nicht sicher ist. Weil sonst hätte ich das nicht eingeführt, wenn das jeder gleich knacken könnte. Also insofern kann man eine Menge von Knowhow über Sachen, die da laufen, auch aus öffentlich zugänglichen Quellen. Insofern bin ich von bestimmten Sachen, auch wenn ich sie nicht hundertprozentig mathematisch beweisen kann, also mir ziemlich sicher. Es gibt übrigens auch für Taschenrechner bereits Verschlüsselungsprogramme, so dass man mit dem Taschenrechner mit ein paar Sonderfunktionen damit so Sachen machen kann. Der entscheidende Punkt ist, dass das als ein Fakt klar ist, dass es heute möglich ist, Codes zu machen, die nicht mehr knackbar sind, die nur noch rauskommen können durch Preisgabe des Schlüssels. Aber das ist etwas, was also auch, also wo der sich dafür interessiert, wahrscheinlich von der Zentralstelle für Chiffrierwesen, auch da Zustimmung kriegt. Ich glaub, die sitzen in Bonn oder bei Bonn. Das war meine erste Recherche

[Zwischenfrage unverständlich]

Mir fällt das sofort das Telefonbuch ein. Wenn ich mich so versuchen, die Situation als Terroristen reinzuversetzen, und ich möchte mal wissen, wo Dr. Helmut Schmidt in Hamburg wohnt, dann schaue ich im Telefonbuch nach vorne schaue ich nicht dem aktuellen Telefon nach, weil da steht da ja nicht mehr drin, sondern in dem Telefonbuch, bevor er prominent wurde. Will damit sagen: es gibt bei den Datenbanken das Problem, dass es alte Versionen gibt, die man irgendwie nicht mehr braucht, die aber noch aufhebt und die durchaus Ansätze bieten können und es könnte bereits ein Sicherheitsgewinn sein, beispielsweise eine solche Datenbank zu verschlüsseln. Durch jeden Schlüssel, den man irgendwie einführt, entsteht Schlüssel Wirrwarr und ich hab so von meiner Mentalität als ein Hacker grundsätzlich was gegen Schlüssel, weil, das ist lästig mit so vielen Schlüsseln rumzurennen. Also mit einem Freund zusammen sind wir bei einem Unix System einfach das Sicherheitsrisiko, weil der Sysop ist mit uns immer “ihr habt beide noch keine Passwörter eingerichtet und. Über euren Account kann jeder rein und dann einfach das ganze System runterfahren” und so und ihr mir war es einfach bislang zu lästig, überhaupt einen Schlüssel einzurichten und bei anderen Datenbanken ist es so, dass es mir eben auch mal vorkommt, dass ich da wieder beim Betreiber anrufen muss und sagen “Du, ich habe meinen Schlüssel vergessen, richte mir mal einen neuen ein”. Also das das Problem kenne ich aber bei also jetzt gerade bei bestimmten Sachen, die man eben auch auf der Archiv Ebene geheim halten will und vor dem einfachen Zugriff sichern kann, solches Verfahren vorgeht. Also wie Telefonbuch Problematik zum Beispiel. Weil wir dann da auch drangehen wollen

[Publikum schwer verständlich]

Okay, dann komm aber ziemlich schnell zu der zu der Frage des Netzes. Der Weiterleitung und der der Kontrolle dadurch.

[Publikum schwer verständlich]

Also wenn der, wenn der Kreis der Schlüsselberechtigten gleich dem Kreis der Teilnehmer ist, dann kann man sich das auch sparen. Also das jetzt mal erstmal so als Grundsatz. Also ich sehe eigentlich, dass war jetzt da für mich der Ansatz in dem Moment, wo jetzt Daten entweder an einem Ort lagern wo dritte Zugriff haben können durch welche Umstände auch immer. Oder wenn Daten über Leitungen übertragen werden. Deren Zustand erstmal nicht als gesichert angenommen werden kann. Da bin ich jetzt erstmal so frech, dass ich das einfach sagen “also jetzt wird diese ganzen Geschichten mit diesen internen Netzen” Da hab ich zwar irgendwie jetzt so einen gewissen Teil Respekt vor irgendwelchen Militärnetzen, die dann also jetzt ihre Kabel dann noch so mit Druck ausstatten, dass da also jetzt wenn ein Bagger dieses Kabel aufbaggert, das es sofort einen Druckabfall gibt und dann jetzt über Kabelmessung dann die militärischen Sicherheitsbehörden relativ schnell feststellen plus +/-20 Meter wo dieses Kabel kaputt ist, Wo vergleichsweise, wenn meinetwegen E-Werken da so ein Kabel kaputt geht die sind dann im mehrere hundert Meter Bereich um das rauszukriegen wo das ist aber die kriegen auch nicht unbedingt mit, wenn sich meinetwegen bei E-Werke da einer an das Kabel anklemmt oder so, das kriegen sie nicht mit. Aber das Militär schon eher, welchen Aufwand der bei dem Landes- Verwaltungsnetz getrieben wird, weiß ich nicht, aber also sag jetzt erstmal so von meinem rangehen her, wenn ich ein solches Kabel suchen würde, da gibt es eben jetzt immer bestimmte Naturereignisse wie Brücken oder Flüsse oder sowas, von denen man eben diese Kabel Stränge sucht und wenn man da auf die ganz harte Tour wissen will “wenn ich dieses Kabel durchschneiden, ist das jetzt ein Stromkabel oder ist das ein Militärkabel” oder so also dann kann man das eben machen oder gucken wer da wann, wie schnell kommt und so und das ist also dann weiß man das auch. Ich bin auch Funkamateur und auf einer der Funkamateure erlaubten Frequenzen sind eben auch die Alarmanlagen als Doppler Effekt. Ist das da ein Sender und ein Empfänger? Und wenn sich da in diesem Empfangsfeld etwas ändert, bewirkt die Änderung beim Empfänger, dass da ein Alarm ausgelöst wird. Und wenn man nun irgendwie als Nichtsahnender Funkamateur – sowas weiß man erst wenn man das zufällig einmal falsch macht - beim ersten Mal war es ein Fehler oder war es ein Versehen und fortan “Absicht” in Anführungsstrichen immer da vor so nem Kaufhaus steht und dann dummerweise auf der Frequenz eine lokale Verbindung mit einem anderen Amateur hält und dann geht er auf einmal eine Sirene los und dann kommen da irgendwie nach 5 Minuten die Lach- und Schießgesellschaft und die Polizei, die braucht dann irgendwie da vielleicht 10, oder sowas und sucht dann da und leuchtet in das Kaufhaus rein Ob da einer drin sein. Verhält man sich auch ganz ruhig. Aber ich weiß denn fortan das eben auch sowas gibt, dass ich jetzt mal so so einen Alarm auslösen kann und in ähnlicher Art und Weise sind auch solche Kabelnetze, wenn man Irgendwie ran will. Würde ich sagen der der militärischen also jetzt so auf der einen physikalischen Ebene anzapft, dann muss man schon im Verhältnis auf den ganzen Strecken einen Aufwand treiben, wie ihn das Militär treibt. Das ist einfach ein hoher Aufwand da frage ich mich, ob sich das lohnt, wenn dieser Aufwand betrieben wird, dann besteht immer noch die Geschichte, dass man also dann irgendwie mal von einem Freund mal ein Magnetband geschenkt kriegt, was er in irgendeiner Tiefgarage von irgendeiner Behörde einfach gefunden hat und dann schau doch mal nach was da drauf ist. Dieses Landesnetzkonzept in Baden-Württemberg. Da würde ich mich gerne nochmal mit der mit der Frau Leuth drüber unterhalten, was die da eigentlich für Vorstellung hat. Man hat aber selbst bei dem Militär Bereich und bei den militärischen Netzen - Es ist so, dass Militär Installationen ebenfalls die VMS-Version draufhaben, die eben diesen Bug haben. Das heißt, es gab auch am militärischen Netz Rechner, die man mit der Software mit dem trojanischen Pferd hätte knacken können. Also in der Relation bewerte ich einfach nur irgendwelche Landesinstituts. Also Verschlüsselung stößt auf ziemliche Skepsis, weil unpraktisch, sagt man so. Ausschließlich eben sinnvoll für Anwendungen. Meinetwegen Catwalk Absicherung von Nutzern

Wie sieht es aus mit der über ein solches Landes Datennetz übersandten Post. Man muss ja auch überlegen, Dass, wenn ein solches Netz existiert, dass dann der Datenverkehr an jedem Knoten offen zugänglich ist. Ich sehe dann bezogen auf den Betreiber eines Daten Knotens am Netz ist das eigentlich wie ein Versand von Briefen ohne Umschlag.

[Publikum schwer verständlich]

Eine Einrichtung hat das so gemacht, dass, um ein gewisses Minimum von Datensicherheit zu gewährleisten, die Leute Zwangsverpflichtet hat. Monatlichen den Schlüssel zu wechseln, sonst kamen sie nicht mehr im System rein. Das hat dazu geführt, dass über die Hälfte der Leute die Monatsnamen als Schlüssel genommen haben.

[Publikum schwer verständlich]

Ja, das ist auch. Das ist auch ein Problem, was ich. [Publikum schwer verständlich]

Ja, das ist das Problem, was ich mir auch überlegt hab, so bei meiner Passwort vergabe auf wechselnden Mailboxen mit wechselnden Betreibern, wo ich ihn nicht weiß wie integer der Betreiber ist und wie weit er auf seiner Mailbox selber Wirklichkeiten hat die Kennwörter der Benutzer einzusehen. Weil einer der meinetwegen 3 Kennwörter von mir kennt, der hat gewisse Chancen, ein viertes Kennwort zu erraten. Weil der Mann gezwungen ist, sich mit vielen Passwörtern auszustatten, dann beginnt man irgendwann eine bestimmte Systematik auszusuchen, eben zumindest für sich selber, von der man sich überlegt, dass ein anderer nicht so schnell draufkommt. Was also jetzt beispielsweise sein kann - Ich sag mal man nimmt immer Wörter mit 8 Buchstaben und macht immer einen Schreibfehler rein. Weil damit fällt man aus irgendwelcher Statistik und Häufigkeits-Geschichten ziemlich raus und wenn man sich dann das mit dem Schreibfehler noch ein bisschen überlegt, dann kann man es sich zwar leicht merken, aber durch Häufigkeitsverfahren nicht so schnell hinbekommen. Auf der anderen Seite gibt es eben auch die Möglichkeit, wenn man einen Großrechner hat, der mit 2 Ports am Datennetz hängt, dass man sich ein kleines Progrämmchen schreibt und anhand einer Passwort Liste den einen Port auf dem zweiten Port alle Passwörter durchprobieren lässt und das richtige Ergebnis in eine Datei schreibt. Also dann gucken wir nur noch am nächsten Tag nach was ist denn da jetzt rausgekommen? In Anbetracht von solchen Strategien überlege ich mir sowas zu machen, das ist ein durchaus praktikabler Tipp so mit diesem falsch Schreiben. Genauso jetzt meinetwegen schon irgendwie sowas wie Telefonnummer nimmt das man dann meinetwegen in die Telefonnummer irgendwo mittendrin einen Buchstaben macht. Das ist auch ein Verfahren, was also jetzt für die Kennwortwahl eine gewisse Sicherheit bietet. Aber grundsätzlich ist das eben ne ziemliche Schwachstelle. Ich habe mal ausgerechnet, wenn ich mir das vorstelle bei der Verbraucher Bank mit sechsstelliger Kennung. Der bietet sich förmlich das Geburtsdatum an. Wenn man jetzt das auf dieses Jahrhundert beschränkt Pi mal Daumen also Hundert Jahre mal - ich sag mal so statistisch durchschnittlichen Verbraucher Bankkunden kommt man auch irgendwie mit 30 Jahren lang - und wenn wir dann 333 Tage dann kommt mal jetzt so auf Pi mal Daumen 10000 Möglichkeiten und. Also jetzt, wenn man um ein Verbraucher Bankkonto zu knacken jetzt nicht systematisch rangeht, for i gleich 1 - 1000000. Sondern nur gültige Geburtsdaten nimmt, dann reduziert man diese 1000000 Möglichkeiten bereits auf 10000 hast du jetzt noch mit dieser einfachen Pi mal Daumen Rechnung. Und diese Dimensionverringerungen, bei der bei der Kennwort Wahl die sind einfach schon ziemlich heftig, die geben einem doch eine Reihe von Zugangsmöglichkeit. Erheblich schneller, als wenn man darüber nicht nachdenkt.

[Zwischenfrage unverständlich]

Ja, das sind also es gibt da die verschiedensten Strategien, das jetzt zu machen und auf der Scheckkarte ist beispielsweise auf der Rückseite auch einen Zähler drauf. Wie viele Fehlversuche man machen kann und den kann man natürlich auch setzen. Also jetzt mal so als ein Beispiel also jetzt gibt es eine Reihe von Strategien und bei Bildschirmtext das ist ein typischer Verbraucher Effekt. Das sollte jetzt jeder wieder bei der Post anrufen und sagen ich komm da nicht rein, weil sie eben nicht wissen, dass sie durch ein paarmal falsches eintippen, weil sie das System überhaupt nicht begreifen. Die meisten begreifen ja gar nicht, was sie da machen, wenn sie ein Kennwort eintippen für die ist das jetzt “Das muss man machen, das gehört zur Prozedur, um in ein System zu kommen” Also diese Verfahren, die haben alle ihre Schwächen und Stärken also auch beim BTX. Und in Ähnlicher Art und Weise bei Datex ist eigentlich das “Haupthindernis” in Anführungsstrichen. Das Gebührenhindernis.Weil, wenn die Kiste auflegt und man muss wieder 23 Pfennig zahlen, damit ist das einfach nicht finanzierbar. Also die Zeitverzögerung, da besteht immer wieder die Gefahr, dass sich das umgehen lässt, erste Mal ist mal, dass man misst unter welchen Umständen verlängert sich das überhaupt. Gibt es einen Betriebsumstand, wo ich das umgehen kann? Meinetwegen kurz ausloggen und mit bekanntem User einloggen und dann erneut versuchen. Also, mir meinen Timeout erstmal wieder zurücksetzen.

Also mit dem mit dem verschlüsselten bin ich irgendwie muss ich sagen noch etwas unzufrieden, dass das so. Also die Überlegungen überhaupt nicht zu verschlüsseln ist für mich fast gleichbedeutend eigentlich alles auf. Den Tisch zu legen oder so.

[Publikum schwer verständlich]

Also wir haben an einem bestimmten Stellen diese Probleme ganz genauso, vielleicht sogar noch in der verschärften Form. Als bei einer offenen Gruppe, wie es der Chaos Computer Club ist, die Probleme bei der Benutzung von eigenen Kennungen und eigenen Systemen noch viel schwieriger ist. Bis es da in einer Mailbox einen Zugang gibt für Chaos Team, der von einer mir unbekannten Anzahl von Menschen genutzt wird, das finde ich ist eine sehr schöne Sache, wenn das über 2 Jahre funktioniert, ohne dass man das Kennwort ändert Und ohne, dass an der Stelle irgendwelche Sachen passieren, wie dass man jetzt durch irgendwelche Datenbankabfrage Kosten in sechsstelliger Höhe entstehen, was möglich ist mit dem System.

Das heißt jetzt da ist ne freiwillige Selbstkontrolle eines nicht überschaubaren personellen Haufens notwendig, das ist also an einigen Stellen finde ich, das fast noch schwieriger, irgendwie zu beherrschen als eine Behörde im Vergleich. Weil da ist das mit dem Prinzip der Sanktionen und dem sonstigen, was da passieren kann, wenn etwas schiefgeht, unklar. während bei einer Behörde steht dann meinetwegen auch die Beamtenstatus und weiß der Kuckuck noch alles auf dem Spiel,

[Publikumsgespräch schwer verständlich, fasert aus.]

Identifier

ark:/45490/bo6Gu8