"Crack" arbeitet auf Hochtouren: "Guessed SchmidtF" lautet die vorläufig letzte Ausgabe des Prüfprogramms, ergänzt mit dem Hinweis "[FCBayern]". Crack zeigt an, daß es das Paßwort des Mitarbeiters Frank Schmidt erkannt hat. Der FC Bayern ist offenbar Schmidts Lieblingsverein und der Begriff, den er als Paßwort gewählt hat, um Zugang zu seinem Arbeitsplatzrechner zu erhalten.
Das Ausspionieren von Paßwörtern mit Hilfe einer Software wie Crack oder "L0phtcrack" von L0pht Heavy Industries ist auch in Hacker-Kreisen beliebt. Diese Technik ist immmer dann anwendbar, wenn der Hacker bereits Zugang zu verschlüsselten Paßwortlisten hat.
Die Software wird mit dem Inhalt ganzer Wörterbücher gefüttert. Fachbegriffe aus der Computerwelt müssen genauso enthalten sein wie einfache Buchstabenkombinationen (etwa "qwertz") oder Vornamen. Fußballvereine wie der FC Bayern dürfen nicht fehlen, schließlich sind sie als Paßwörter besonders beliebt. Jedes einzelne Wort wird verschlüsselt und mit den verschlüsselten Paßwörtern auf der Liste verglichen. Stimmen zwei Wörter überein, ist das Paßwort entdeckt.
Durch leichte Änderungen der Schreibweise läßt sich Hacker-Software nicht täuschen. Jedes Wort wird von der Software nach vorher festgelegten Regeln in zahlreichen Varianten durcheinandergewürfelt. Bayern-Fan Schmidt hätte daher auch mit "fcbayern", "FCBAYERN" oder gar mit "nreyabcf" keine Chance gehabt.
Das Paßwort-Entschlüsseln ist nur eine Methode, die legale Hacker-Teams verwenden. Mit Spezial-Werkzeugen, zu denen auch die Freeware "Satan" und "Internet Scanner" von Internet Security Systems zählt, testen sie, ob ein vernetzter Computer Dienste anbietet, die bekannte Sicherheitsmängel aufweisen. Sie überprüfen, wie bereitwillig der Rechner Auskunft über sich selbst gibt und ob sich mit falschen Eingaben etwa unvorhergesehene Aktionen starten lassen.
Berüchtigt ist etwa die Software "Sendmail", eine Art Vermittlungsstelle für E-Mails. Das Tool schiebt Dateien hin und her. Verschiedene Sicherheitslücken haben dazu geführt, daß in manchen Sendmail-Versionen das Verschieben und Überschreiben von Dateien möglich ist, die eigentlich nur für Administratoren zugänglich sein sollten. Auf diese Weise läßt sich selbst die Datei mit den verschlüsselten Paßwörtern durch eine eigene ersetzen.
Derartige Schwächen könnten nach der Entdeckung zumeist schnell behoben werden. Doch oft versäumen es die Admi- nistratoren, die neueste Softwareversion zu installieren und eine sichere Konfigurationen zu wählen.
Im Frühjahr 1997 ließ die Advance Bank die Secunet AG Hackerangriffe starten. Der erste Test fand vor dem ersten Internet-Auftritt der Bank statt, der zweite danach. Die Überprüfung orientierte sich an den Information Technology Security Evaluation Criteria (Itsec), die von der Europäischen Union festgelegt werden. Da rund 70 Prozent aller Hacker-Angriffe intern stattfinden, gingen die Auftragshacker von innen nach außen vor.
Eine der Schwachstellen fand sich in der Schnittstelle zwischen Entwicklungs- und Produktionsumgebung. Für interne und externe Entwickler wäre es möglich gewesen, in das operative Geschäft der Bank einzugreifen. Größere Mängel jedoch ließen sich nicht feststellen. So hat es bisher in Sachen Sicherheit noch keine Zwischenfälle gegeben.