Die Meldungen häufen sich: Fast jede Woche liest man von neuen spektakulären Hacker-Attacken auf Großrechner und Datensätze oder von sogenannten Virus-Programme

die sich in Systemen breitmachen und Soft- oder Hardware zerstören. Solche Meldungen haben einen gewissen Sensationswert und wirken beängstigend. Doch wie sieht die Praxis aus? Halten DV-Leiter und Datenschutzexperten dieses Thema für hochgespielt - oder nehmen sie es ernst? Die meisten zeigen sich auf Anfrage hin reserviert: Über Sicherheitsmaßnahmen wolle man öffentlich nichts sagen. Natürlich nehme man das Problem ernst, und man sei ständig bemüht, die Schutzsysteme zu vervollkommnen. Die Gefahren sind also bekannt, aber die Sicherheitsmaßnahmen in den Rechenzentren lassen häufig sehr zu wünschen übrig. Fest steht jedoch: Absoluten Schutz gegen unerwünschte Eindringlinge gibt es nicht.

Die Haltung der DV-Anwender zu Hackern ist gespalten. Die einen würden sie am liebsten auf den Mond schießen. Die anderen tolerieren sie als "Minenräumer", die Schwachstellen offenbaren, bevor sie ein anderer entdeckt, der vielleicht böse Absichten hat. Dabei wird in den Zeitungen nicht einmal über alle "erfolgreichen" Hacker berichtet. Die Betroffenen in diesen Fällen sind leichtsinnige Betreiber. Die Opfer, Hersteller, die mangelhafter Software bezichtigt werden, jugendliche Computerfreaks, die polizeiliche Ermittlungen erfahren oder gar in den Verdacht geraten, für dubiose Auftraggeber gehackt zu haben. Die Fälle aber, die inzwischen nicht nur in der Fachwelt diskutiert werden, lassen einige Lehren zu: Immer und immer wieder fällt der leichtsinnige Umgang der DV-Betreiber mit installierten Systemen.

Steffen Wernery, Vorstandsmitglied vom Chaos Computer Club in Hamburg, säße nicht in französischer Untersuchungshaft, wenn Philips ihren mit sensitiven Daten arbeitenden Rechner hinreichend gesichert hätte. Das primitivste Mittel wäre eine Rückrufautomatik gewesen - dann hätte sich kein Hacker im System verirrt. Dabei ist es eine Binsenwahrheit, daß existenzwichtige Ressourcen gesichert werden müssen. Ebenso trivial ist, daß sich die Informationsverarbeitung in vielen Unternehmen zur existenzwichtigen Ressource gemausert hat. Wo Systeme vor unbefugten Nutzern nicht sicher sind, hat jemand versäumt, die Schlußfolgerung aus diesen beiden Binsenweisheiten zu ziehen.

Was also nottut, sind handfeste Maßnahmen. Zunächst einmal muß für das Unternehmen eine Risikoanalyse durchgeführt werden. Mit ihr wird festgestellt, welche Ereignisse sind absolut unerwünscht, welche sind unangenehm und welche sind unwichtig, wenn sie eintreten Bei den Fällen, die niemals eintreten dürfen, müssen Vorsorgemaßnahmen getroffen werden. Ein Vorschlag wäre, "eigene" Hacker damit zu beauftragen, durch systematisches Ausprobieren Schwachstellen herauszufinden. Diese könnten dann beseitigt werden, bevor die echten Hacker in Aktion treten. Auch die Hersteller bieten eine Reihe von Maßnahmen an, um Systeme vor unbefugten Zugriffen - zumindest einigermaßen - sicherzumachen. So hat beispielsweise ein bundesdeutscher Hacker in den USA militärische Rechner "besuchen" können, weil die Betreiber die Systeme "jungfräulich" mit dem Original Paßwort des Herstellers installiert haben. Der Hacker hatte Somit ein einfaches Spiel. Allerdings sollten die Unternehmer auch den Sicherheitstechniken der Anbieter zunächst einmal kritisch gegenüberstehen. Es muß die Frage geklärt werden, ob sie für die individuelle Risikoeinschätzung des Betriebes überhaupt ausreichend sind.

Ein weiteres Risiko, das unbefugte Benutzer anlockt, ist die Großzügigkeit, mit der in vielen Fällen mit den Gasteinträgen umgegangen wird. Hier wäre es empfehlenswert, Überlegungen anzustellen inwieweit ein Riegel vorgeschoben werden sollte. Wenn der Täter allerdings aus den eigenen Reihen kommt, kann man nur versuchen, durch Organisation und durch Restriktionen in der Hard- oder Software seine Tat entdeckbar zu machen. Wenn allerdings zwei wirklich kundige Hacker zusammenarbeiten ist gegen ihr Tun kein Kraut gewachsen.

Hans-Georg Fuchs

Bundeskriminalamt

Selbstverständlich hat das Bundeskriminalamt (BKA) Schutzmaßnahmen eingeleitet, um die Daten und Systemen gegen Veränderung und Zugriff durch Unberechtigte zu sichern. Dies ist erfolgt - und wird ständig mit fortschreitender Technik auf den notwendigen Stand gebracht - um zu gewährleisten, daß insbesondere die Polizeiarbeit, die durch Eingriffe in Individualrechte geprägt ist, sich auf integre Informationen stützt. Daneben muß die Polizei auch gewährleisten, daß kein Unbefugter Zugriff auf personenbezogene Bürgerdaten erhält.

Zu den Problemstellungen zur Datensicherheit wäre bezüglich der DV-Systeme des Bundeskriminalamtes folgen des festzustellen: Die Polizei betreibt kein offenes Netz, in das man sich hineinwählen könnte. Daraus ergibt sich, daß der Schutz hauptsächlich in der Kontrolle des Zugangs besteht. Hacking-Versuche sind bisher nicht festzustellen.

Reinhard Schrutzky

Vorstandsmitglied des Chaos Computer Clubs (CCC) System-Operator der CCC-Mailbox "Clinch"

Hacker werden in der Öffentlichkeit immer noch als Gegenmythos zum Computermythos mißverstandene. Die tief im Menschen verwurzelte Angst vor nicht beherrschbarer Technologie prallt unmittelbar auf ein von ... Medien geprägtes Bild vom Robin Hood im Datenwald.

Diese computertypisch binäre Darstellung wird allerdings niemandem wirklich gerecht. Aus Hackersicht reduziert sich der Mythos Computer auf ein strukturverstärkendes Werkzeug, das nicht aus sich selbst heraus tätig wird, sondern den gewohnten Machtstrukturen unterworfen wird und diese Verstärkt. Die Chance, die in

sinnvoller Nutzung von Informationstechniken liegt, wird verschenkt, zugunsten der Festigung überkommener Wertvorstellungen. Der Ansatz der Hacker ist ein anderer und wurzelt in der "Hacker-Ethik" die als Idealbild eines gemeinsamen, offenen und ungehinderten Hineinwachsens in die künftige Informationsgesellschaft verstanden wird. Die Kernsätze dieser Hacker-Ethik sind: "Zugriff auf Computer und alles, was Dir zeigen kann, wie diese Welt funktioniert, soll unbegrenzt und vollständig sein." - "Alle Information soll frei und unbeschränkt sein." - "Man kann mit einem Computer Kunst und Schönheit schaffen." - "Computer können Dein Leben zum Besseren verändern". (Wer dazu mehr lesen möchte, dem sei Steven Levys Buch "Hackers" - Heroes of the Computer Revolution" wärmstens anempfohlen.) Diese Gedanken in die Informationsgesellschaft einzubringen, ist das primäre Ziel der Hacker.

Aus diesem gedanklichen Ansatz heraus wird deutlich, daß sich die Frage nach der Sicherheit von Computersystemen für den Hacker nicht stellt. Computer sind nicht sicher; sie können es nicht sein, weil sie von Menschen programmiert und eingesetzt werden.

Sie sind lediglich ein Spiegelbild menschlicher Denk- und Machtstrukturen. Es geht nicht darum, die Computer sicherer zu machen, es geht um die Erkenntnis, daß es Dinge gibt, die man mit Computern einfach nicht macht. Der fatale Drang der Technik, das technisch Machbare auch zu machen, hat uns letztlich die Atombombe beschert, und

eine Fortführung dieses Dranges wird uns SDI bringen, das sehr wohl mittels der ultimativen Fehlermeldung von tausend künstlichen Sonnenaufgängen einen Schlußstrich unter das Kapitel Menschheit ziehen kann.

Konsequenterweise folgt daraus, daß es keinen Hacker geben kann, der Computersicherheit verkauft. Wenn gelegentlich als Ergebnis von Hackeraktivitäten ein Plus an Sicherheit herauskommt, so hat dies andere Gründe. Dies geschieht nämlich immer nur dann, wenn sich herausstellt, daß die Sicherheitslücken so groß sind, daß von ihnen eine konkrete Gefährdung der Gesellschaft und des Einzelnen ausgeht. Gerade die spektakulären Hacks, die in den letzten Jahren durch die Weltpresse gingen, zeigen, wie sehr es in weiten Bereichen der Computertechnik an Sicherheit mangelt und wie groß das Gefahrenpotential ist, das in diesem Mangel verwurzelt ist.

Die Gefahr für Datennetze und Daten liegt nicht im Tun von Hackern. Sie liegt im menschlichen Tun und Unterlassen auf seiten derer, die diese Daten verwalten oder die technischen Voraussetzungen zum Verarbeiten der Daten schaffen. Es gibt keine fehlerfreien Programme, und daher kann es letztlich keine Sicherheit geben. Wenn dazu noch mangelndes Sicherheitsbewußtsein der Betreiber kommt entsteht sogar Unsicherheit dann öffnen sich Hangartore im Netz, durch die jeder hindurchkann. Der Betreiber, der es in so einem Fall "nur" mit Hackern zu tun hat, kann sich glücklich schätzen. Kritisch wird es, wenn er dieses Glück nicht hat und ein Konkurrent - sei es ein wirtschaftlicher oder politischer - die offenstehende Tür findet. Solange Fehler in Computersystemen nicht mit absoluter Sicherheit ausgeschlossen werden können, kann es keine absolute Sicherheit der Systeme geben. Solange es diese Sicherheit nicht gibt, besteht ein Restrisiko. Solange dieses Restrisiko den Untergang der Menschheit bedeuten kann, muß man sehr genau überlegen, welche Aufgaben man mit dem Computer erledigen darf, welche nicht. Und solange diese Situation besteht, bedarf es eines Höchstmaßes an Sensibilität für dieses Problem. Insofern sollte die medienspezifische Berichterstattung der Presse nicht als "Hochspielen" aufgefaßt werden, sondern als Versuch, das Problembewußtsein zu fördern. Gerade die immer schneller fortschreitende Entwicklung der Computertechnologie braucht die steten Mahner, sonst läuft sie Gefahr, den Menschen hinter sich zu lassen.

Rolf Supper

Rechenzentrum Universität Stuttgart zuständig für Betreuung und Sicherheit auf den Systemen Cray 2 und Unix

Wir nehmen das Problem unerwünschter Eindringlinge durchaus ernst. Früher hatten wir nur die Cyber-Rechner, schon damals gab es Probleme mit unerwünschten Eindringlingen, allerdings geringerer Art. An Universitäten, wo viele Studenten arbeiten, ist die Problematik schon seit zehn Jahren bekannt. Dort sind es natürlich meistens Studenten, die versuchen, die Systeme zu knacken. Wir hingen aber bis jetzt noch nicht an einem großen Netz. In einem Netz ist der Hacker anonym und kann gegebenenfalls sogar von einem anderen Erdteil aus in fremde Systeme eindringen.

Schutzmittel teilen wir in zwei Kategorien ein. Einmal softwaremäßig, so daß das System den Schutz übernimmt. Und zweitens natürlich hardwaremäßig. Da ist der physikalische Zugang von Personen zu den Rechnern oder Konsolen. Und andrerseits der physikalische Netzwerkzugang, also, welche Leitungen an welchen Rechner gehen und welche Funktionen über diese Leitungen ausgeübt werden.

Das sind die Schutzmittel, die wir auch anwenden. Jetzt werden die Hacker-Fälle immer spektakulärer, weil die Netze immer größer und die Rechner immer attraktiver werden. Mit einem weltweiten Netz, wie wir es jetzt durch die IBM-Rechner, mit den VAX-Rechnern oder mit Unix-Rechnern haben, wird das schon zu einem größeren Problem. Wenn man dann, wie wir, so einen Rechner wie die Cray 2 dastehen hat, die für Hacker sehr interessant ist, dann wird das doppelt problematisch.

Die harmlosesten Hacker versuchen nur einfach reinzukommen und teilen einem dann mit, daß sie ein "Loch" gefunden haben. Dafür sind wir sogar dankbar, denn wir können das "Loch" dann stopfen.

Andere sehen sich dann bereits die Daten an, und das Schlimmste sind dann die, die Daten verändern oder zerstören. Das gilt sowohl für Daten von Benutzern - wovon wir erstmal gar nichts merken - als auch für Systemprogramme und Systemdaten, also Password-Files und User-Accounts. Die werden dann so manipuliert, wie es kürzlich spektakulär bei den VAX-Rechnern der Fall war. Die Hacker bauen sich da Löcher ein, in die sie immer wieder reinkommen.

Auf den Großrechnern hat es bei uns noch keine größeren Schäden durch Hacker gegeben. Lediglich auf den VAX-Rechnern gab es im Zuge der weltweiten VAX-Eindringlinge einige Probleme.

Sämtliche Sicherheitsvorkehrungen treffen wir selbst hier im Hause. Leider haben wir nicht genügend Zeit und nicht genügend Leute, die sich ausgiebig mit diesen Dingen beschäftigen können. Wir hatten auch schon Fälle, wo Studenten, die Wege gefunden hatten, in das System einzudringen, uns zeigten, wie ihnen das gelang und uns Hinweise gaben, wie wir das System sichern könnten. In so einem Fall gehen wir auch nicht gegen die Leute vor, sondern sind eigentlich dankbar für die Hilfe. Wenn wir aber merken, daß ein Hacker im System ist, dann gehen wir dem mit allen Mitteln nach.

Von Virusprogrammen hört man zwar immer wieder, aber meistens bezieht sich das auf den PC-Bereich. Wir hatten auch einmal einen Virus im System, der durch Unvorsichtigkeit eines Anwenders eingebracht wurde. Man muß sich Dateien, die aus eher unsicheren Quellen stammen, vorher ganz genau anschauen. Aber auch hier liegt die Gefahr in der Vernetzung, denn durch die Netze könnten Viren in die Großrechner kommen.

Die Zukunft kann ich hier schwer abschätzen. Im Moment ist das noch so eine Art Wettlauf wie zwischen Hase und Igel. Einmal ist der eine vorne ein anderes Mal wieder der andere. Es wird noch eine Weile dauern, bis sich da eine Lösung anbietet. Meine persönliche Meinung ist die, daß eine 100prozentige Sicherheit nicht gibt. Wer die will der muß seine Maschine in einen Berg einschließen.