Hans Gliss, SCS Unternehmensberatung, Büro Köln

In den letzten Wochen sind in Deutschland die Zeitungen und Magazine geradezu von Berichten über die "Hacker" überschwemmt worden: amerikanische Jugendliche, die hohläugig und übernächtigt vor irgendwelchen Terminals hocken und so lange auf der Tastatur herumklopfen, bis ihnen der gewünschte Erfolg beschert wird, nämlich des Eindringen in einen Computer, zu dem sie eigentlich keinen Zugang haben sollten. Schule und Hobbies werden bei dieser Art Tätigkeit solange vernachlässigt, bis das FBI vor der Tür steht und dem Treiben am Rande oder jenseits der Legalität ein jähes Ende bereitet. Inwieweit diese Berichte aufgebauscht sind oder nur einen Teil der US-amerikanischen Wirklichkeit zeigen, vermag der europäische DV-Anwender, dem in der Regel die eigene Anschauung fehlt, nicht zu entscheiden. Dennoch geht dieses Thema inzwischen jeden Rechenzentrumsverantwortlichen an. Denn die Erfahrung lehrt, daß eine Entwicklung innerhalb der Datenverarbeitung die sich in den Vereinigten Staaten vollzieht, in der Regel mit einer Zeitverzögerung von zwei bis drei Jahren so oder ähnlich auch bei uns ankommt. Und diese Zeit braucht man zur Präventation.

"Unfug" einplanen

Dabei spielt natürlich keine Rolle, was amerikanische Hacker innerhalb der Vereinigten Staaten oder Kanadas an grobem Unfug anstellen mögen - die technischen Verhältnisse sind nicht ohne weiteres übertragbar. Die Frage muß daher ganz anders lauten: Wenn es Mode wird, vom Home-Computer aus in fremde Datennetze und DV-Anlagen einzubrechen, wenn sich also hier gewissermaßen eine "Neue Anwendung" ergibt, dann ist für uns in Europa wichtig, aus den amerikanischen Erfahrungen insofern zu lernen, daß wir technische und organisatorische Voraussetzungen schaffen, die das "Hackertum" in Europa eben nicht ermöglichen. Oder, reduziert auf die bundesdeutschen Verhältnisse: wenn jetzt mit staatlichen Impulsen der Aufbau von Kommunikationsnetzen und die Einbeziehung des Privathaushaltes in einen Datenverbund (vor allem über Btx) forciert werden dann liegt es an den Betreibern von DV-Anlagen und Datennetzen, entsprechende Gegenmaßnahmen gegen unbefugte Eindringlinge zu entwickeln.

Diese Forderung ist bei genauer Betrachtung eigentlich trivial. Es ist schlimm genug - wenn die Bereiche aus den Vereinigten Staaten stimmen - was Einzelne oder Gruppen von "Hackern" dort schon lange angerichtet haben. Wenn erst einmal Beträge in Millionenhöhe erforderlich sind, um von einem zufälligen Eindringling zerstörte Datenbanken zu rekonstruieren, dann spricht dies nicht unbedingt für die Findigkeit des Eindringlings, sondern in erster Linie für eine ungeheure Schlamperei bei der Datenorganisation. Es ist allgemein bekannt, daß in Amerika verschiedene konkurrierende Datennetze existieren, die unter anderem auch aus Konkurrenzgründen eine große Benutzerfreundlichkeit anbieten. Aber das ist nur eine Seite der Medaille: denn wenn Eidringlinge durch das Herumprobieren mit zwei- bis vierstelligen Codes bereits im System "drin" sind, wenn man sich bei der Absicherung von Datenbanken mit einfachen Paßworten begnügt, die ein geschickter Eindringling vorher auch noch telefonisch abfragen kann, wenn beliebige Rechnerfunktionen zur Verfügung gestellt werden, für Benutzer, die über die Leitung kommen, und wenn diese Benutzer dann den Service des gesamten Rechners in Anspruch nehmen (einschließlich Programmierung und Compilierung), dann darf es einfach nicht wundern, wenn es eine Reihe von Leuten gibt, die mit diesem Instrument spielen. Daß die Home-Computer eine rasche Verbreitung finden würden, war bei ihrer Einführung hinreichend sicher zu prognostizieren. Spätestens zu diesem Zeitpunkt hätten sich die Verantwortlichen Gedanken darüber machen müssen, wie ihre für jederman offenen Systeme besser abgesichert werden können. Ich sage hier "spätestens", und das mit gutem Grund. Denn: Das Eindringen in Rechner, die an Kommunikationsnetze angeschlossen sind, ist keine Erfindung der "Hacker", man darf den "Hackern" nur dafür dankbar sein, daß sie endlich dieses Problem an die Öffentlichkeit gebracht haben. Ein Problem, mit dem sich Datensicherungsexperten seit gut zehn Jahren herumschlagen.

Nur harmlose Spitze

Denn die "Hacker" sind nur die harmlose Spitze eines gefährlichen Eisbergs. Harmlos nicht wegen der Auswirkungen, die sie anrichten können, sondern wegen der Offenheit ihres Vorgehens. Das Opfer hat zumindest eine gute Chance, den Spuk zu entdecken - auch wenn es möglicherweise hinsichtlich der eingetretenen Schäden schon zu spät sein sollte. Viel beängstigender dagegen ist die wahrscheinlich zahlenmäßig viel geringere, von der Seite des Schadenspotentials ungleich wichtigere Gruppe derjenigen, die mit Hilfe eines Rechners, eines Modems und einer Datenverbindung Wirtschaftsspionage, betreiben oder die Datenverarbeitungsvorgänge in krimineller Absicht beeinflussen. Machen wir uns nichts vor: Man muß einfach damit rechnen, daß es eine Reihe von gut ausgebildeten DV-Spezialisten gibt, die die Möglichkeiten erkannt haben, durch Beeinflussung von DV-Systemen diskret Geld zu machen. Auf diesem Gebiet sind einschlägige Erfahrungen bekannt; sie werden allerdings nur in Fachblättern und recht vorsichtig berichtet, weil zum Verständnis dieser Vorgänge viele Detailkenntnisse erforderlich sind, mithin sich das Thema weniger für die Massenmedien eignet. Oder nehmen wir den Bereich der Wirtschaft und vor allem der sogenannten Ostspionage (dar(...)er wird die Wirtschaftsspionage der Comecon-Länder verstanden, daneben allerdings auch die entsprechenden nachrichtendienstlichen Aktionen dieser Länder): Einer der prominenten Überläufer, der 1979 aus Ostberlin geflüchtete Major Stiller, gab seinerzeit den bundesdeutschen Behörden Einblick in Art und Intensität der Ostspionage. Nach diesen Erkenntnissen mußte man bereits Ende der 70er Jahre davon ausgehen, daß sich ein gutes Drittel der illegalen Aktivitäten östlicher Dienste in Westdeutschland innerhalb der Datenverarbeitung abspielt oder Datenverarbeitung zum Gegenstand der Ausspähung hat.

Das Phänomen der "Hacker" schafft erstmals ein öffentliches Bewußtsein für die Verletzbarkeit moderner Datenverarbeitungssysteme. Sie werfen damit grundsätzlich kein neues Problem auf, aber die Art des Vergehens und vor allem die Quantität der berichteten Vorgange - all das ist geeignet, die Verantwortlichen wachzurütteln. Natürlich haben die Probleme in Deutschland noch nicht die US-amerikanischen Ausmaße, denn Wählleitungsverbindungen sind hierzulande bisher relativ selten. Auch ist nicht zu erwarten, daß wir derartigen Timesharing-Service hier erleben, wie er in Nordamerika weit verbreitet ist. Angesichts der neuen Komunikationstechnologien jedoch darf nicht länger gewartet werden, wenn es um vernünftige Sicherheitsvorkehrungen in der Datenverarbeitung, vor allem aber um hinreichend verläßliche Zugriffssicherungen und Diagnoseverfahren zur Erkennung von Integritätsproblemen des Systems geht. Nicht, daß solche Verfähren nicht nötig gewesen wären - man wird nur in Zukunft zu diesem Thema mehr Anstrengungen unternehmen müssen, weil eine neue Risikolage entstanden ist. Die "Hacker" sind gerade rechtzeitig gekommen, rechtzeitig vor der im großen Stil zu erwartenden Vernetzung von DV in Deutschland.

Hans Gliss ist Vorstandsmitglied Gesellschaft für Datenschutz und Datensicherung e. V., Bonn.