30 Jahre Btx-Hack: Wau Holland-Stiftung und CCC feiern

"Es erfordert ein bemerkenswertes Team, den Gilb zurückzudrängen und ein Volk von 60 Millionen Menschen zu befreien." Im damaligen Btx-Angebot des Chaos Computer Clubs konnte diese Veralberung der Bundespost ("der Gilb") kostenpflichtig für 9,97 DM abgerufen werden. Das geschah in der Nacht zum 17. November 1984 mit einem kleinen BASIC-Programm geschlagene 12 Stunden und 59 Minuten lang, bis 134634,88 DM virtuell von der Hamburger Sparkasse "erbeutet" waren. Zum Geburtstag dieses Btx-Hacks als der "zweiten Geburtststunde des CCCs" laden die Wau Holland-Stiftung und der Chaos Computer Club am 17.11. um 18:00 Uhr ins Berliner Congress Centrum zu einer Soirée ein. Auf dem Podium unter anderem: der Btx-Hacker Steffen Wernéry und Btx-Projektleiter Eric Danke. Der Eintritt ist frei.

Als kleinen Vorgeschmack auf die Geburtstagsfeier aus der Zeit, in der Hacker in die Medien katapultiert wurden, gibt es bei der Wau Holland-Stiftung einen "Countdown", der nicht nur für IT-Historiker interessant ist. Veröffentlicht werden Dokumente aus dem Umfeld des Btx-Hacks, etwa das bereits weiter oben verlinkte BASIC-Programm oder den Btx-Vortrag von Wau Holland, gehalten einen Tag, bevor der Hack von ihm und Steffen Wernéry angestoßen wurde. Die Organisatoren der Gedenkveranstaltung setzen die Aktion hoch an und sprechen von einer stilbildenden Tat von Robin Data a.k.a. Chaos Computer Club: "Dieses positive Image der Hacker als 'die Guten', die sich um Datenschutz und informationelle Selbstbestimmung verdient machen, ist bis heute geblieben."

Mit der Geburtstagsfeier des Btx-Hacks geht eine Frage einher, die seit den Anfängen des Chaos Computer Clubs zu den Dauerbrennern der deutschen Hackergeschichte gehört: Wie Wau Holland selbst gegenüber der c't ausführte, besaß der CCC die Btx-Zugangsdaten der Hamburger Sparkasse, insbesondere das Passwort usd7000. Einen Tag nach dem Hack beschrieben die beiden glücklichen Einsteiger ihren Bruch des Btx-System dem Hambuger Datenschutzbeauftragten und der protokollierte, wie aus einem Hacker-Experiment mit dem "Datenüberlauf" des Btx-Systems der Hack mit dem Abgriff des Passwortes entstand:

"Sie nutzten diesen Fehler im Editiersystem mehrere Stunden lang, um sich Daten am Bildschirm anzeigen zu lassen. Nach ungefähr 4 Stunden erschienen auf dem Bildschirm plötzlich Daten, von denen sie vermuteten, dass es Teilnehmer-Informationen seien. Diese Vermutung ergab sich z.B. aus einer 12-stelligen Ziffernkombination, die mit 3 Nullen begann und daher als von Hand einzugebende Hardware-Kennung erkennbar war. Diese Daten konnten aus den o.g. Gründen nicht maschinell aufgezeichnet werden. Da sie dieses aber wussten, waren sie vorbereitet und konnten während der kurzen Zeit, da die Daten sichtbar waren (etwa 2~4 sec.) die Daten auf einem bereitgelegten Zettel notieren. Dies geschah in der Nacht des 15.11.1984. Da sie müde waren, legten sie die Notizen beiseite und gingen zur Nachtruhe."

Ob diese Darstellung zutreffend ist, darüber wird bis heute gestritten. Im längsten und höchst informativen Fernsehfilm über den Btx-Hack, den Rüdiger Proske in seiner leider nicht online verfügbaren Reihe Auf der Suche nach der Welt von morgen als Nummer 79 unter dem Titel "Datensicherheit – Die Herausforderung für die Gesellschaft von morgen" veröffentlichte, dementierte Wolfgang Heidrich, der damalige Pressesprecher der Bundespost, die Darstellung sichtlich gereizt:

"Herr Proske, wir haben den Fall sehr genau analysiert. Wir haben die Software sehr genau uns angeschaut. Durch diesen [Überlauf]-Fehler war lediglich ein Übergriff auf Teile der Seitendatei möglich, das Herauslesen, das Herausbekommen des Passwortes war zu keiner Zeit möglich, da diese Teile in einem ganz anderen Speicherbereich abgelegt sind."

Dem Aufschreibe-Hack von Wau Holland und Steffen Wernéry stehen auch Erinnerungen aus der Hackerszene gegenüber, die etwas anderes besagen. So kommentierte ein frühes CCC-Mitglied gegenüber heise online trocken:

"Auf meinem Planeten ist der Sohn des HaSpa-Menschen, der für das Btx-Angebot der Bank zuständig war (und nur deshalb den Account hatte) damals einfach dienstags in den 'Schwarzmarkt' spaziert und hat abgeliefert. Also noch nicht einmal viel 'Social Engineering'. So wird es jedenfalls von mehreren gewöhnlich glaubwürdigen Quellen kolportiert, aber mangels eigener Beteiligung akzeptiere ich halt die offizielle Version. Das war aber ein gutes Beispiel für 'Social Engineering' bei euch Journalisten. Eine noch nicht einmal gedruckte Fernmelderechnung publikumswirksam zurückzuerstatten, das war schon genial."

So oder so, Stoff genug für eine ordentliche Geburtstagssause ist jedenfalls vorhanden. (jk)