HAMBURG/STUTTGART (bi/cmd) - Laute und leise Zweifel kommen auf, ob das Hackerspektakel, das die Btx-Freaks des Hamburger Chaos Computer Clubs (CCC) in Szene gesetzt haben (CW Nr. 48 vom 23. November 1984), auch nach den Regeln der Fairneß vorbereitet und schließlich vor einer großen Öffentlichkeit ausgebreitet wurde.

Neben den "Hauptangeklagten" des Hackertribunals, der Post und IBM, melden auch ernst zu nehmende Zeugen, wie zum Beispiel Hans Jürgen Leid, Vertreter des Hamburgischen Datenschutzbeauftragten Henning Schapper, ihre Bedenken an: Bemerkenswert viele "Zufälle" scheinen im Spiel gewesen zu sein. Fehler im Btx-System räumt Lieferant IBM immerhin mittlerweile selbst ein.

Leid hatte bisher mit den jungen Leuten der Szene keine "leidvollen Erfahrungen" gemacht und konnte ihnen deshalb vertrauen, als er am 17. November gebeten wurde, sich in den Räumen der Stadt-staatlichen Behörde wieder einmal einen "neuen Fehler im Btx-System" vorführen zu lassen. Mit kleiner Presse und einem freien Fernsehteam, wie er sagt, tauchten die Btx-Fehler-Fährtensucher kurzfristig am Montagmorgen, dem 19. November, in der Dienststelle auf.

Die Demonstration erschien ihm auf den ersten Blick plausibel und notwendig. Er selbst wirkte an der Hackerei mit, baute die Verbindung zur Hamburgischen Sparkasse mit auf etc. "Merkwürdigerweise" jedoch hätten die Computerclub-Mitglieder ihm die Hauptbeweisseite, aus der sie das persönliche Kennwort ermittelt haben wollten, nicht zeigen können. Auch, daß es ausgerechnet ein Hamburger und zudem sehr prominenter Btx-Kunde war, der "angespielt" wurde, machte ihn schließlich mißtrauisch. Ferner war der Anschluß ein Demonstrationsanschluß, dessen Kennung relativ leicht schon einmal quasi-öffentlich geworden sein konnte.

Heute ist sich Hans-Jürgen Leid keineswegs mehr sicher, ob nicht vielleicht bei dem spektakulären Btx-Bruch doch alles mit "rechten Dingen" zugegangen ist, also eine echte Hackeruntat gar nicht vorlag. Aber: "Es gibt auch Anhaltspunkte dafür, daß sie nur so getan haben, als ob", sagt er. Möglich sei es schon, daß sie die Zugangsinformationen auch auf andere Art und Weise bekommen haben. Grundsätzlich steht er jedoch zu der Behauptung: "Das Btx-System hat Sicherheitsmängel, und diese Mängel müssen offen diskutiert werden."

Schlüssige Nachweise nicht vorgelegt

Erstaunlich zurückhaltend verhielt sich bisher der Systemlieferant. Erst auf Anfrage übermittelte die IBM Deutschland GmbH, Stuttgart, der COMPUTERWOCHE folgende ausführliche Stellungnahme:

Anhand der vorliegenden Daten konnten inzwischen die Einzelheiten des angeblichen "Bankraubs über Btx"analysiert werden. Aufgrund der Art des Systemzugangs - der CCC (Chaos Computer Club, Anmerkung der Redaktion) benutzte sowohl die Anschlußkennung als auch das persönliche Kennwort der Sparkasse ist es heute auszuschließen, daß diese beiden fremden Kennungsdaten dem CCC durch einen Fehler im Btx-System bekanntgeworden sind. Schlüssige Nachweise für seine Behauptung konnte der CCC nicht vorlegen. Bezeichnenderweise gehörte die vom CCC verwendete Kennung der Sparkasse zu einem regelmäßig für öffentliche Btx-Vorführungen in Hamburg eingesetzten Anschluß. Es muß vermutet werden, daß hierbei die Eingabe der Kennung ausgespäht werden konnte. Auch bei einer unberechtigten Fremdbenutzung kann dem Btx-Teilnehmer kein ernster Schaden entstehen. Sofern ein belasteter Teilnehmer die ungerechtfertigte Zahlung von Anbietervergütungen verweigert, wird der Betrag von der Post nicht erhoben, sondern lediglich der betroffene Anbieter anhand der vorliegenden Verrechnungsdaten hiervon verständigt. Der "Räuber" müßte also seine Beute vom Opfer erst bei Gericht einklagen.

Der CCC hat behauptet, als Btx-Anbieter in den Besitz der fremden Kennung durch einen Programmfehler im Btx-Eingabesystem gelangt zu sein. Ein "Programmfehler", durch den beim Anlegen von Btx-Seiten in einer bestimmten Situation eine begrenzte Anzahl willkürlicher Speicherinhalte hinzugefügt wurde, bestand tatsächlich. Er wurde inzwischen kurzfristig beseitigt. Im wesentlichen waren hiervon Bestandteile anderer Btx-Seiten betroffen, jedoch war eine zufällige Einspielung von Elementen aus fremden Teilnehmerdatensätzen nicht auszuschließen. Der Zugang zu Btx ist jedoch durch die Anschlußkennung und das zugehörige persönliche Kennwort doppelt geschätzt, sofern der Btx-Teilnehmer nicht selbst durch Umschalten auf Freizügigkeit diese doppelte Sicherung aufhebt. Im vorliegenden Fall hätten durch den Systemfehler beide Zugangskennungen zusammen erfaßt werden müssen, was durch deren getrennte Verwaltung auszuschließen ist.

Kein Zusammenhang mit fremdem Bankkonto

Ergänzend sei darauf hingewiesen, daß die unbefugte Btx-Benutzung durch den CCC in keinem Zusammenhang mit einem fremden Bankkonto gestanden hat. Die elektronische Kontoführung über Btx ist durch besondere Kennung und nur einmal gültige Transaktionsnummern zusätzlich geschätzt. (Im Unterschied zu der offiziellen Stellungnahme, die IBM gegenüber der Post abgegeben hat, enthielt das Big-Blue-Statement gegenüber der CW folgenden Satz nicht: .Grundsätzlich gibt es kein absolut sicheres System, Anmerkung der Redaktion.) Bei Btx sind die Barrieren so hoch gesetzt, daß ein besonders kritisches Sicherheitsproblem nicht gegeben ist.

Es ist bedauerlich, daß in den Medien versucht wurde, Btx als unsicher darzustellen, ohne vorher genauere Recherchen anzustellen und sich von der Richtigkeit der Behauptung des CCC zu überzeugen.