Friendly Hack

Der Chaos Computer Club war vor 15 Jahren bereits selbst Anbieter im Btx-System. Bei der Verwaltung der Angebotsseiten stießen Steffen Wernéry und Wau Holland auf einen Fehler: Für eine Bildschirmtextseite standen maximal 1626 Bytes zur Verfügung. Nutzte man diesen Platz bis zum letzten Zeichen aus, so erschienen fremde Daten aus dem System auf dem Bildschirm. Diese Daten ließen sich nicht abspeichern, doch Wernéry und Holland probierten herum und machten sich Notizen. Dabei stießen sie auf ein Zahlenmuster, bei dem es sich um eine fremde Anschlusskennung handelte. Sie fanden heraus, dass sie zu einer Filiale der Hamburger Sparkasse gehörte. In ihren Notizen fanden sie auch das passende Passwort dazu: ‘USD70000’. Damit waren sie in der Lage, auf Kosten der Sparkassen-Filiale ein kostenpflichtiges Angebot des Chaos Computer Clubs aufzurufen. In einer Nacht kamen so knapp 134 000 Mark zusammen.

Sie wandten sich mit ihren Erkenntnissen an den Hamburger Datenschutzbeauftragten und an die Medien. Das ZDF zeigte den Hack im heute-journal, und der Ruf des Btx als absolut sicheres Datennetz war ruiniert. Doch Eric Danke, einer der Urväter des Btx und spätere Managing Director der Deutschen Telekom Online Service GmbH, ist noch heute der Überzeugung: ‘Es ist kein Hack gewesen.’ Wernéry und Holland haben seiner Auffassung nach die Eingabe einer Kennung beobachtet, die die Hamburger Sparkasse für öffentliche Informationsveranstaltungen benutzte.

Wau Holland ist heute Alterspräsident beim Chaos Computer Club.

Maximilian Schönherr sprach mit Wau Holland, der heute Alterspräsident des Chaos Computer Club ist und in Jena im Internet-Raum eines Jugendzentrums arbeitet, wo er den Kiddies beim Umgang mit dem Internet hilft.

c't: Seit wann gibt es den CCC?

Holland: Gegründet wurde der Chaos Computer Club 1981 in den Räumen der Tageszeitung in Berlin am großen Tisch der Kommune 1. Die Redakteure der TAZ haben das 1981 überhaupt nicht begriffen, was da irgendwelche Leute, die mit Computern anreisten, wollen. Aber da war eine Frau von der TAZ-Abo-Abteilung, die, glaube ich, heute eine Computerschule für Frauen macht, und damals wusste, wie wichtig Computer sind, und uns das Treffen und den Zugang zu den Räumen ermöglicht hat.

c't: Wenige Tage vor dem Hack wart ihr zu Gast bei der Dafta in Bonn. Was hat der Underground bei einer so industrienahen Veranstaltung zu suchen?

Holland: Die Datenschutzfachtagung beschäftigte sich damals schon mit Problemen des Datenschutzes, etwas mehr aus der Sicht der Wirtschaft. Unsere Sicht war eher die von Bürgerrechtlern - die Risiken, die durch Datensammlung entstehen. Aber da gab es gemeinsame Gedankengrundlagen. Ich habe auf der Dafta einen Vortrag von Joschka Fischer erlebt, und der hat sich dort warnend an die CDU-Kollegen gewandt, sie mögen sich doch überlegen, dass Datenschutz auch für sie eine Bedeutung hat, denn auch sie wollen nicht, dass alles, was sie tun, in der Presse steht.

c't: Wie kam es dazu, dass du selbst dort gesprochen hast? Wer hat dich eingeladen?

Holland: Es gab einen Informationsdienst, der im Handelsblattverlag vertrieben wurde. Ich verstand mich mit Hans Gliss gut, der da redaktionell verantwortlich war, und Hans Gliss fand die Sachen, die wir als Chaos Computer Club machten, interessant und berichtenswürdig, auch die Probleme, die wir mit der Bundespost hatten. Und so hatten wir da die Gelegenheit zu einem Vortrag.

c't: Welche Probleme waren das?

Holland: Das Btx-System hatte einen Haufen Kinderkrankheiten, und wir haben einige davon herausgefunden und sind bei der Post immer auf Granit gestoßen. Wenn wir meinten, da ist ein Problem, dann hieß es: ‘Unfug.’ Und wenn wir nachweisen konnten, was exakt das Problem ist, sagte man uns: ‘Das wussten wir schon.’ So was frustriert auf Dauer.

c't: Was hast du auf der Dafta erzählt?

Holland: Wir haben uns bemüht, die Schwächen und Probleme, die wir bis dahin kannten, in einem Vortrag zusammenzufassen. Den Vortrag haben Steffen und ich gemeinsam verfasst, und ich habe ihn gehalten. Hier hat Steffen noch zu wenig Ehre gekriegt, denn er hat sehr, sehr viel an den Inhalten mitgewirkt.

Mir fällt zunächst etwas ein, was ich nie vergessen werde: Unser Vortrag wurde gedruckt und lässt sich irgendwo da noch nachlesen, und zwar mit einem Geleitwort von Innenminister Zimmermann! Ich hätte mir nie träumen lassen, dass ich mich mal drüber freuen könnte, dass ein Text von uns mit einem Geleitwort dieses doch schon am rechten Rand stehenden Politikers erscheint! Der hat gar nicht begriffen, was da hinter seinem Geleitwort stand.

c't: War der Vortrag provozierend?

Holland: Er war recht provozierend. Ich habe am Anfang versucht, die Grenzen des Hackens ein wenig auszuloten, und eine Fragestellung war: Wenn man den Strahlemann aus einer Mikrowelle ausbaut, in eine Satellitenschüssel montiert, und diese 700 Watt Mikrowellenstrahlung auf ein tief fliegendes Flugzeug richtet, das sei dann wohl die Grenze des Hackens. Denn damit kann man Tiefflieger abschießen. Da ist die Elektronik am Flugzeug so durcheinander, dass es herunterkommt.

c't: Meinst du, da würden heutige Flugzeuge auch noch runterkommen?

Holland: Ich glaube, dagegen haben sie auch schon versucht, etwas zu tun. Aber wenn man überlegt, dass man ein Handy oder einen Laptop, die ja nur im Milliwattbereich strahlen, nicht im Flugzeug benutzen darf, dann ist die Mikrowelle schon eine recht kräftige Strahlung, die man auf die Elektronik draufhaut. In dem Vortrag diente das Beispiel nur dazu, die Zuhörer auch mal zum Nachdenken über solche Dimensionen zu bringen.

Das andere Provozierende war Steffens Heftstreifen: Mit einem Heftstreifen, dem dünnen Metallteil mit zwei Löchern, hat Steffen das DBT 03, die Bildschirmtext-Anschlussbox, geöffnet, und zwar ohne die Plombe zu beschädigen. Das fanden die Postler im Publikum überhaupt nicht gut. Und auf der DAFTA waren schon die höheren Chargen der Bundespost anwesend. In der Box steckte die individuelle Teilnehmerkennung als Hardware-Bausteinchen, und wenn man das verplombte Teil aufkriegte, konnte man das Ding auswechseln. Damit ist die Teilnehmer-Identifikation fälschbar.

c't: Hattet ihr in der Zeit kurz vor dem Hack konkrete Zusammenstöße mit der Post?

Holland: Wir hatten die Zugangskennung zum FTZ, zum Fernmeldetechnischen Zentralamt in Darmstadt, herausgekriegt. Dieses Amt war für die Sicherheit im Bildschirmtext zuständig. Und wir überlegten dann eines Morgens, was das FTZ wohl als Passwort verwendet? Steffen sagte: ‘Ach, nehmen wir einfach mal die Telefonnummer vom FTZ.’ Das war der erste Versuch, und das war ein Treffer. Wir hatten zuvor bei Steffen in der Wohnung die Nacht durchgehackt, und jetzt war es sieben Uhr früh am Morgen, wir lagen bei Steffen auf dem Bett und haben fünf Minuten lang nur schallend gelacht, dass ausgerechnet die Sicherheitsabteilung beim FTZ als geheimes Passwort die Telefonnummer der eigenen Dienststelle verwendet. Das ist so typisch, aber andererseits so unglaublich!

c't: Was habt ihr gemacht, nachdem ihr das Passwort hattet? Euch in Ruhe in dem Rechner umgesehen?

Holland: Ganz so einfach ist das bei Bildschirmtext nicht. Man hat nur eine relativ einfache Teilnehmerschnittstelle, wo man nur begrenzt herumexperimentieren kann. Das haben wir zwar weidlich ausgenutzt, aber den Rechner selbst habe ich bis heute noch nicht besichtigt.

Wir haben ja damals unsere 1000 Mark pro Monat als Informations-Anbieter im Bildschirmtext gezahlt. Für einen kleinen, ehrenamtlich arbeitenden Club war das eine ganze Menge Geld. Und da kam uns der Gedanke: Wenn diese Sicherheitsfuzzis so trottelig sind, eine Telefonnummer als Zugangskennung zu verwenden, dann könnte man auch einfach sagen: Buchen wir doch mal paar tausend Mark - also das, was wir bisher so an Gebühren für Bildschirmtext bezahlt haben - auf das Spendenkonto des CCC.

Wir überlegten, ob man das machen kann, und dann kamen uns sehr große rechtliche Bedenken, was alles passieren würde, wenn man das macht. Dann haben wir überlegt, wie man das juristisch sauber machen könnte, und kamen darauf, dass Abgeordnete im Bundestag immun sind. Wir fragten uns, ob es also vielleicht einen Abgeordneten der Grünen gab, der für uns auf den Knopf drückt. Relativ schnell kam die Antwort: Das genehmigt der Schily nie! Der war damals ja noch bei den Grünen. Wir kamen dann zu dem Schluss, die Geschichte der Presse vorzuführen, luden eine Reihe von Journalisten ein. Und als wirs nun vorführen wollten, war das Passwort des FTZ geändert.

c't: Warum hat das FTZ wohl das Passwort geändert?

Holland: Entweder hat ein Journalist nicht dicht gehalten, oder wir haben - das war alles in der Größenordnung einer Woche - einfach zu lange gewartet.

Wir waren frustriert, die Journalisten waren sauer. Wir haben uns gesagt: Wenn uns so was noch einmal in der Art und Weise passiert, dann kennen wir keine Rücksicht mehr. Dann ziehen wir das Ding durch, ohne jede weitere Debatte. Und genauso haben wir es ja wenig später dann auch mit dem Kreditinstitut gemacht.

c't: In welcher Nacht fand nun der Sparkassen-Hack statt?

Holland: Ich meine, es war Freitag auf Samstag, aber es liegt einfach 15 Jahre zurück. Freitag war die ganze Sache schon klar. Daraufhin habe ich noch mit dem Landesbeauftragten für Datenschutz beziehungsweise mit seinem Vertreter telefoniert und gemeint, wir hätten da ein größeres öffentlichkeitsrelevantes Problem bei Bildschirmtext und wollten das am Montag den Medien vorstellen. Macht man das in den Klubräumen des Chaos Computer Club, oder macht man das in den Räumen des Landesbeauftragten für Datenschutz?

c't: Was sagte er darauf?

Holland: ‘Ach, kommen Sie doch zu uns!’ Er wusste nicht genau, was ihn am Montag da erwartete. Dann haben wir uns abends als dieses Kreditinstitut in Btx eingeloggt und dieses Progrämmchen auf meinem kleinen Taschenrechner gestartet. Der hatte eine Schnittstelle für den Kassettenrecorder, im Grunde ein Datenrecorder zum Aufzeichnen von Daten. Mit dem BASIC-Befehl ‘Motor On, Motor Off’ konnten wir einen Kontakt schließen. Den Kontakt haben wir an der Raute-Taste der Tastatur von Bildschirmtext angeschlossen, denn die Raute-Taste muss man immer zwei Mal drücken, um einen Bezahlvorgang auszulösen. Ich musste dann die Geschwindigkeit so justieren, dass Bildschirmtext mit der Geschwindigkeit mitkam, das waren zwei Tastendrücke, die man mit dem Timing ein bisschen hinkriegen musste. Das rund 20 Zeilen lange BASIC-Programm wurde später übrigens in der Hackerbibel abgedruckt. Mit diesem Aufbau schätzten wir, pro Stunde 10 000 Mark abzuziehen, und das hat sich ja dann auch so bewahrheitet.

Eine andere Überlegung war die: Ein durchschnittlicher Banküberfall bringt so 10 000 Mark. Damit es für die Öffentlichkeit relevant wird, muss das um den Faktor zehn mehr sein.

Wir haben das Ding also bei Steffen in der Hütte gestartet, ich bin dann nach Hause. Steffen hat dort geschlafen, und ich weiß, Steffen hat wunderbar geschlafen, weil das Relais immer ‘Klack-Klack, Klack-Klack’ machte, und er wusste: zweimal Klack-Klack heißt 9 Mark 97. Wir hatten nicht 9 Mark 99 als Spendenbetrag an den Chaos Computer Club genommen, sondern 9 Mark 97. 997 ist die höchste Primzahl unter 1000, und es ist irgendwie blöd, wenn man den höchsten Betrag nimmt.

c't: Was hat euch dann veranlasst, den Vorgang abzubrechen? Es hätte doch noch so schön das Wochenende über weitergehen können?

Holland: Es hat gereicht. Am nächsten Morgen waren es um die 137 000 Mark, und damit war die Summe von 100 000 überschritten, die wir haben wollten.

c't: Dann seid ihr am Montagmorgen beim stellvertretenden Datenschützer von Hamburg auftaucht?

Holland: ... und haben unser Ausrüstung mitgebracht.

c't: Die passte in einen VW-Käfer rein?

Holland: Also, Steffen fuhr zwar schon immer andere Autos, aber das war alles im tragbaren Bereich. Wir haben uns von dort aus noch einmal bei dem Kreditinstitut eingeloggt, den Hack kurz vorgeführt und gezeigt, dass es prinzipiell geht. Dann haben wir bei dem Kreditinstitut angerufen. Da war dann am Montagmorgen ein leicht verschreckter Sachbearbeiter am Telefon. Kein Wunder, wenn man da so anruft: Hallo, da ist der Chaos Computer Club, bei Ihnen fehlen beim Bildschirmtext über 100 000 Mark, aber machen Sie sich keine Sorgen, wir wollen das Geld nicht haben! Für diesen Bankmitarbeiter war das schon ein gewisser Schreck in der Morgenstunde.

c't: Hat der das überhaupt richtig verstanden?

Holland: Die können sich relativ gut vorstellen, was es heißt, wenn Geld fehlt.

Es war gut, dass wir in der Behörde waren, das nahm uns einiges an Angst und Aufregung. Aber der richtig große Schreck kam dann, als das passierte, was wir in der Dimension nicht wussten: dass die Medien so voll drauf einstiegen. Wir waren dafür die ganze nächste Zeit, also mehr als nur ein paar Tage lang, voll damit beschäftigt, den Hack noch und nöcher zu erklären. Am Montagabend kam das heute-journal bei uns vorbei. Und dadurch, dass das im heute-journal gebracht wurde - damals war das Privatfernsehen noch nicht so verbreitet -, ging das Ding in der Nation rund.

c't: Die Tagesschau hat gepennt, obwohl die doch in Hamburg sind?

Holland: Dazu sage ich gar nichts. Das heute-journal war einfach fit, und da gewinnt eben der, der zuerst da ist. An dem Vormittag kam ein Rundfunkredakteur vom Norddeutschen Rundfunk bei uns vorbei und quetschte Steffen und mich eine halbe Stunde lang aus, was wir denn eigentlich wollen? Nach dieser halben Stunde waren wir beide in der Lage, in verständlichen Sätzen zu formulieren, was vorher doch wohl eher zum Teil auf der Gefühlsebene war. Dann schaltete er sein Aufnahmegerät an, nahm ein Fünf-Minuten-Interview mit uns auf und ging. Steffen und ich hockten da, schauten uns an und waren uns einig: Das ist eine solide handwerkliche Leistung! Und ab diesem Zeitpunkt waren wir auch gebrieft und konnten präzise ausdrücken, was wir wollten, und haben gelernt, dass es notwendig ist, dass wir selbst diese Arbeit leisten, die dieser Redakteur mit uns gemacht hat. Das war für uns beide der wesentliche Lernerfolg. Nur so konnten wir die nächsten Tage sauber überstehen.

c't: Der Hack ging durch die deutsche und auch internationale Presse. Ohne den Hack wärt ihr nicht das geworden und hättet auch nie das erreicht, was ihr dann erreicht habt?

Holland: Das ist so. Ich sage ein Stück weit: Das ist leider so. Denn wir hatten noch ein anderes Problem bei Bildschirmtext entdeckt, deutlich vorher. Und zwar hatten wir eine Möglichkeit gefunden, Electronic Mail, also Bildschirmtextmitteilungen, zu verändern, nachdem sie der Empfänger gelesen hatte, also im Briefkasten des Empfängers zu verändern. Das war eine grobe Sicherheitslücke. Aber es hat damals kein Journalist verstanden.

Dann haben wir uns überlegt, wie können wir das wenigstens den Datenschutzbeauftragten vermitteln? Um Datenschützer zu beeindrucken, musste die Sache erstens juristisch relevant sein, sich also etwa ein Vertragsinhalt ändern. Und es muss auf der anderen Seite aufs Gemüt schlagen, damit Betroffenheit aufkommt. Wir formulierten dann einen Text: ‘Liebe Datenschützer, wir werden Sie mit diesem Schreiben fernbeleidigen und bitten schon jetzt um Verzeihung. Wir werden den Inhalt dieser Nachricht, nachdem Sie sie gelesen haben, in Ihrem Briefkasten verändern. Um das durchzuführen, rufen Sie uns bitte zurück. Senden Sie uns außerdem 1 Stück Ihres letzten Datenschutzberichtes.’

Die frei definierbaren Sonderzeichen wie zum Beispiel für die Farbgebungen lagen im Absenderbereich, weil die Bundespost damals Bits für Farben und Sonderzeichen sparte und einfach nicht bis zum Empfänger übertrug. Diese Informationen blieben also beim Absender liegen. Wir hatten beim Verfassen der Mail hinter ‘1’ (Stück) drei Leerzeichen gesetzt, die wir später zu Nullen machen wollten. Da würde dann drinstehen: ‘1000 Stück Datenschutzbericht’. Und den Unterschied, ob er uns 1 oder 1000 Stück schickt, begreift jeder Datenschutzbeauftragter. Das ist nicht nur Papier, sondern auch Porto und, und, und. Das darf nicht sein.

Nachdem wir die Nachricht mehrfach versandt hatten, riefen die alle der Reihe nach aus dem ganzen Bundesgebiet an und sagten: Das Schreiben ist doch überhaupt nicht beleidigend, und wie wollen Sie das überhaupt ändern? Na ja, Steffen hat dann die Information bei uns umkopiert, sodass statt der Leerzeichen dann die Nullen auftraten und sich die erste Zeile nicht mehr ‘Liebe Datenschützer’ las, sondern aus dem n ein i und aus dem ütz ein eiß wurde, und dann stand in der ersten Zeile: ‘Liebe Dateischeißer, schicken Sie mir 1000 Stück’.

Das war für die irgendwo ein Hammer.

Aber sie konnten uns ja nicht böse sein, weil wir ihnen schließlich ein Problem aufgezeigt hatten, was sie begriffen. Sie begannen von da an, der Bundespost Druck zu machen, dass sie uns ernst nimmt. Wir hatten etwas gemacht, was sie zwar nicht so ganz verstanden haben, aber wo sie wussten, hier ist ein Problem, und du, liebe Bundespost, löse dieses! Zumindest bei den kritischen unter ihnen hatten wir damit einen Stein im Brett. Wir wurden von da an von der Post ernst genommen und konnten etwas ruhiger mit den Menschen reden.

c't: Gab es deiner Einschätzung nach damals schon eine kriminelle Variante eures Friendly Hack im Btx-System?

Holland: Ich sage mal so: Das Problem mit allen neuen Medien ist, dass als Erstes das passiert: Sex. In Bildschirmtext waren eine ganze Menge dieser rosa Anbieter, die - wenn man sich das heute anschaut, ist es einfach lächerlich - für irgendwelche leicht bekleideten Menschenbilder 9 Mark 99 verlangten. In dieser Branche ist eine ganze Menge unseriöser Kram. Dabei macht aber nur die Summe den Schaden aus, anders als bei einem so spektakulären Ding wie bei der Sparkasse. In Btx wurden ungeheuer viele Leute abgezockt, und zwar so viele, dass zum 31. 12. 1999 das Micropayment von Bildschirmtext abgeschaltet wird.

Die Bundespost/Telekom hat das juristische Problem, dass sie Anbieter, die mit Schmuddelmethoden arbeiten, nicht rauswerfen kann. Denn Bildschirmtext stammt noch aus den Monopolzeiten, und da gibt es den so genannten Kontrahierungszwang, das heißt, derjenige, der sagt: ‘Ich will Informationen anbieten’, den muss die Post nehmen. Das hat sich durch das Vertragsrecht bis heute durchgesetzt, sodass jetzt das ganze Geldeinzugsverfahren im Bildschirmtext abgeschafft wird, weil man die unseriösen Anbieter anders nicht rauskriegt.

In größerem Rahmen gibt es natürlich immer die Möglichkeit des Kennungsmissbrauchs: Einer loggt sich mit einer anderen Teilnehmerkennung ein. Aber da ist mir nichts von größeren Missbrauchsgeschichten bekannt.

c't: Die Post hätte dazu natürlich auch nichts gesagt. So wie heute beim Kreditkartenmissbrauch die Geldinstitute tunlichst auch nichts sagen.

Holland: In der Regel ist es so, dass Missbrauch verschwiegen wird, um den eigenen Ruf nicht zu gefährden.(ad) (ad)