Rainer A. H. v. zur Mühlen

Geschäftsführer, der von zur Mühlen'schen Sicherheitsberatungs-GmbH, Bonn

Die Aufregung ist das eigentlich Verwunderliche an dem KGB-Spionagefall. Der Fall selbst nicht. Grund: Die Sicherheitsschwächen in den offenen Systemen der Großforschungseinrichtungen sind nicht nur dem KGB und seinen Hackerhelfern bekannt, sondern auch den Verantwortlichen hierzulande vertraut. Daß man nichts oder nicht genug tat, hat teilweise seine Gründe. Man wollte durchaus bewußt die Systeme einer großen Anzahl von Nutzern öffnen. Daß dann auch Unbefugte leichter eindringen können, ist eine logische Konsequenz. Aber auch eine psychologische Konsequenz. Eine derart offene Datenaustauschpolitik führt zwangsläufig zu Schlamperei, weil das Sicherheitsbewußtsein nicht entwickelt werden kann.

Erstaunlich ist auch die Verwunderung, daß hierzulande Hacker mitspielten. Wo diesen doch in der Öffentlichkeit immer die Gloriole der furchtlosen Aufdecker von Mißständen umgehängt wird oder diese die Gloriole für sich in Anspruch nehmen. Dabei hat das Hacken in fremden Systemen die gleiche moralische Qualität wie Voyeurismus. Ein Blick durchs Schlüsselloch ins Schlafzimmer fremder Leute erfordert eben keine Intelligenz, sondern Frechheit. Insofern ist der Hacker nur ein "Fachvoyeur".

Daß jemand, dessen moralische Hürde sehr tief angesiedelt ist, auch vielleicht leichter anwerbbar und bestechlich sein kann, weiß ein Nachrichtendienst auch. Nicht umsonst hat der KGB diesen Umstand zu nutzen verstanden. Auch das Ministerium für Staatssicherheit hat in der Vergangenheit wiederholt versucht, unter dem Deckmantel der Beratertätigkeit "freie Mitarbeiter" aus der EDV-Szene zu werben. Zu welchem Zwecke wohl? Daß nur ein Beteiligter aus Hannover verhaftet wurde, erstaunt Eingeweihte ein wenig. Gehen sie doch davon aus, daß ein wesentlich größerer Kreis involviert ist.

Die ersten Meldungen, es handle sich um den größten Spionagefall seit Guilleaume, wurden inzwischen zu Recht korrigiert. Zwar darf man auf keinen Fall glauben, wie amtliche Stellen jetzt zu kolportieren versuchen, daß der Schaden gering sei. Es erscheint aber in Grenzen glaubwürdig, daß die Täter nicht in "geheim" eingestufte Systeme eindringen konnten, wenn, ja wenn nicht gegen geltende Sicherheitsvorschriften seitens der Betreiber massiv verstoßen wurde. Aber schlüssig nachweisen wird es niemand können. Die erforderlichen Protokollierungen liefen, das ist nachweisbar, nicht immer vorschriftsmäßig mit. Wer aber die Zahl der Hühner seines Hofes nicht kennt, kann nicht sagen, was ihm fehlt.

Die Systeme, auf denen Verschlußmaterial verarbeitet werden darf, werden normalerweise - oder besser sollen - in der ganzen NATO nach hochwertigen Standards vor unbefugtem Zugriff geschützt. Sei es, daß die Systeme geschlossen sind, sei es, daß die Daten nur verschlüsselt gespeichert und übertragen werden. Aber die Mosaikstein-Theorie gilt hier wie in allen anderen Spionagefällen auch. Die Qualifikationen der KGB-Hacker ermöglichten es ihnen zumindest, in den Systemen nach Informationen gezielt zu suchen und so ein Mix zusammenzustellen, das insgesamt gesehen sicher schutzbedürftig war.

Übrigens: Die Tatsache, daß man sich westlicher Hacker bedient, hat ihren Grund, denn die gleiche Methode ist natürlich auch über das Selbstwählfernsprechnetz aus Moskau, Budapest oder Ost-Berlin anwendbar. Der wesentliche Unterschied liegt darin, daß die grenzüberschreitenden Leitungen von den westlichen Diensten und allen voran dem amerikanischen NSA überwacht werden. Dieser soll auch den entscheidenden Beitrag zur Verfolgung der Hacker geleistet haben, als es darum ging, die Penetrationsversuche interkontinental zurückzuverfolgen, beispielsweise bis zum Hannoveraner Telefonanschluß.

Vieles kann man zur Eindämmung der Gefahren tun. Nicht alle Möglichkeiten werden aber in der Praxis genutzt - weder in der Industrie, noch in der Großforschung. So wird die Verknüpfungsmöglichkeit des persönlichen Paßwortes mit der Hardware des berechtigten Benutzers zumeist nicht realisiert. Das hätte zur Folge, daß die Nutzung des Paßwortes nicht so leicht zum Zugriff auf Systeme führt.

Einige Eindringversuche waren aber auch erfolgreich, weil eine definierte Zahl der Fehlversuche beim Suchen nach Paßworten weder zum automatischen Programmabbruch noch zu einer Fehlermeldung bei einer Kontrollinstanz führten. Protokollmöglichkeiten über Nutzer und Nutzungen wurden gerade in den penetrierten Systemen nicht genutzt oder waren gar nicht installiert - unverständlich und darüber hinaus ein Zeichen fehlenden Sicherheitsbewußtseins auch auf der Führungsebene. So hatten die Hacker beliebige Fehlversuche frei, ohne daß die Systeme die Verbindung abbrachen oder eine erneute Aufnahme zur Fortsetzung der Eindringversuche Aufmerksamkeit erregte.

Verwunderlich ist dieser Fall also nicht so ganz. Aber es wirkt doch für den Außenstehenden etwas eigenartig, wenn unser Innenminister mit markigen Worten vor die Kamera tritt und von Versäumnissen allein der Betroffenen spricht. Es wird ihnen nämlich auch nicht leicht gemacht, geeignete und preiswerte Techniken einzusetzen. Ein relativ billiges "Call-back-modem" wird von der deutschen Bundespost nicht zugelassen. Grund: Unsere Fernmeldevorschriften sehen den Call-back nur für sogenannte Endgeräte vor. Das ist der teure Computer. Das preiswerte Modem darf dann billige Sicherheit nicht leisten. Der Einsatz von Sicherheitsmitteln ist insofern auch ein politisches Problem - trauriger geht es nicht. Das gilt auch hinsichtlich der kryptographischen Methoden, der Einführung der Chipkarte und vielem mehr.

Auf ein anderes Problem - ebenfalls von politischer Brisanz - ist genauso hinzuweisen: Sicherheitsrelevante Informationen versickern im Instanzenweg. Erkenntnisse über erkannte Schwachstellen, von der Industrie an die Sicherheitsbehörden weitergegeben, schlummern dort, gehen aber nicht zu anderen Betrieben mit einem entsprechenden Sicherheitsbedarf. Unterstützung erfährt gegebenenfalls nur die sogenannte geschützte Wirtschaft, die also mit amtlich geheimzuhaltenden Informationen umgeht.

So wird amtlich auch nicht vor den vielen in Deutschland tätigen Ostblock-Leihprogrammierern gewarnt. Es wird weder darauf hingewiesen, daß die Vergabe von Aufträgen zur Softwareentwicklung in Ostblockländer mit noch größeren Risiken behaftet sein kann als der gegenwärtig Wellen schlagende Hackerfall, noch wird die Industrie darüber aufgeklärt, daß es hier ansässige Softwareschmieden gibt, die Aufträge ohne Wissen des Kunden an "Subunternehmen" in Budapest und anderen Orten hinter dem Eisernen Vorhang weitergeben.

Es gibt einen Grund: Bundesdeutschen Beamten ist Initiative fremd geworden. Nicht weil sie sie nicht hätten, sondern weil sie Initiative nicht haben dürfen. Es gibt dafür nämlich keine Rechtsgrundlage.