It's all about trust
Der 23c3 definiert die Gretchenfrage des Web 2.0 und holt sich den Zankapfel ins Logo
Schlaglichter des ersten Tages: Wenn Software zum Testen der Systemsicherheit verboten wird, kann man nicht mehr auf Sicherheitssoftware vertrauen. Wenn Bankkarten problemlos geklont werden können, kann man nicht mehr auf Rechtssicherheit für Schadenersatz vertrauen. Das Motto des 23. Chaos Communication Congress vom 27. bis 30. Dezember in Berlin - "Who can you trust" - hat es in sich und die Vorträge sind gehaltvoll, aber der Spaß und die Auseinandersetzung mit der Identität als "Hacker" kommen nicht zu kurz. No, sir!
Um 10.34 Uhr am 28. Dezember im BCC am Alexanderplatz ziehen die Reinkommenden einen Flunsch, denn der Saal inklusive Treppen und Wände ist bis auf den letzten Platz belegt. Auf jedem zweiten Schoß wird in aller Ruhe gesurft oder in eine Shell getippt, auf dem Podium laufen hektisch die letzten Vorbereitungen, in der Luft liegt relaxte Erregung.
Als die Eröffnungsveranstaltung des Kongresses mit einem spektakulären Videosample schließlich ihren Anfang nimmt, übergibt man sich gebannt dem auf eine vier mal drei Meter große Leinwand projiziertem Schauspiel. Nach zwei Minuten frage ich mich, ob es dazu gehört, wenn jetzt das Bild hakt und die Musik zeitweise aussetzt. Dann betritt der langjährige Hauptorganisator des Kongresses, Tim Pritlove, die Bühne und klärt die Sache auf: "Well, it worked in the demo..." Während der Begrüßungsrede weist er auf Sputnik hin, das diesjährige Do-it-yourself-Überwachungsprojekt auf dem Kongress: RFID-Chips kann man beim Infodesk ("Ministry of Information") erwerben ("They are limited. Run!") oder auch selber bauen, und im Chaos Positioning System (CPS) sind die Wege der Teilnehmenden im Kongressgebäude dann zu verfolgen. Und er erklärt das diesjährige Logo, das nicht etwa einen Apple-Apfel imitiert, obwohl sich der Mac-Anteil auf dem Kongress sichtlich erhöht hat, sondern sich den Zankapfel der Eris anverwandelt.
Unbequeme Fragen
Anknüpfend an Pritloves Botschaft ("Trust is the absence of fear. Working towards trust creates security") schlug John Perry Barlow, Mitbegründer der Electronic Frontier Foundation (EFF), gleich mal in die Kerbe. Er hielt die Keynote des Kongresses und sprach zunächst harmlos und besinnlich vom Zusammenhang zwischen Identität und Vertrauen im Cyberspace. Hackeridentität und Ver- beziehungsweise Misstrauen, nämlich in Obrigkeiten, liegen hier ja sozusagen in der Luft, genauso wie der virtuelle Raum hinter den TFT- und Röhrenmattscheiben. Plötzlich aber wandte er sich dem Publikum zu und verkündete: "I don't trust you." Er differenzerte: "I don't trust you, if you are writing viruses." Und dann ging es los: Er appellierte an die Versammelten, ihre Fähigkeiten nicht für Kreditkartenhacking einzusetzen. Vor allem Jüngere müssten in dieser Hinsicht mentoriert werden. Prompt kam aus dem Publikum der Hinweis, dass dieser Appell in Europa oder zumindest im CCC weniger angebracht sei als vielleicht in den Vereinigten Staaten, denn hier praktiziere man dieses Mentoring bereits: "Maybe you're barking up the wrong tree."
Die Frage nach der Legalität des Hackens hat es allemal in sich. Auf der Pressekonferenz des 23c3 erkundigte sich jemand mal danach, was denn eigentlich ein Hacker sei. Constanze Kurz vom 23c3-Presseteam antwortete kurz und bündig: "Ein Hacker ist, wer die Hackerethik befolgt." Nun ist die 'Hackerethik' nicht fest umrissen und wird ständig weiter entwickelt. Aber ethische Grundsätze enthalten per se die Verantwortung gegenüber anderen. Es ist zum Beispiel wohl von Nutzen für die Allgemeinheit, Schwachstellen in Sicherheitstechnologien aufzudecken. Um das zu tun, braucht man gewisse Hackertools, worunter Programme und Hardware fallen. Eben die werden mit einem neuen Gesetz der Bundesregierung verboten, das am 15.3.2007 in Kraft treten soll. Auf dem Kongress hielten Rechtsanwalt Peter Voigt und Marco Gercke (Jurist mit Schwerpunkt Internetstrafrecht) Vorträge zu diesem Gesetz. Das Gesetz kriminalisiert auch die Anwendung sogenannter Dual-Use Tools, die sowohl zum Nutzen als auch zum Schaden angewendet werden können. Sie fallen zukünftig in den Bereich der strafbaren Vorfeldhandlungen. Die Frage aus dem Publikum, wie denn Sicherheitssoftware von da an legal getestet werden und also vertrauenswürdig sein soll, konnte der an OpenSource-interessierte Rechtsanwalt nur mit einem Schulterzucken beantworten. Expertenmeinungen seien bei der Gesetzesformulierung auch nicht gehört worden. Marco Gercke, der schon auf dem 22c3 auf diese Entwicklung hingewiesen hatte, weiß zu berichten:
Will man ein Gesetz durchkriegen, sage man: Wir müssen den Terrorismus bekämpfen. Dann muss man nichts mehr erklären.
Einen ganz anderen Bereich als den der Sicherheit von Computersystemen beleuchtete Manfred Fink, Sachverständiger für Abhörsicherheit, in seinem Vortrag über Gästeüberwachung in Hotelzimmern - den "unsichersten Orten überhaupt", wie er erklärte. Erläutert wurden Abhörtechniken und -methoden am Beispiel des Stasi-Hotels Neptun in Warnemünde und des Marriott-Hotels in Wien, in dessen Nachbarschaft Anfang der Neunziger die OPEC-Tagungen stattfanden. Hier wurden 1997 zufällig ganze Anlagen in der Zimmerwand freigelegt, berichtete Fink. Auch heute noch gebräuchliche Methoden der Zimmerüberwachung sind Störsender für Mobilfunkgeräte, so dass Gäste gezwungen sind, die Telefonanlage des Hauses zu nutzen.
Vor allem in Suiten von Luxushotels sei solche Überwachung geradezu wahrscheinlich. Übrigens müsse der Hotelbetreiber davon nicht unbedingt Kenntnis besitzen: Präparierte Telefonhörer mit Sender, Akku und Fernsteuerung sind schnell ausgetauscht. Telefon- und Tastaturwanzen zum Beispiel sind im Internet problemlos erhältlich. Als Gegenmaßnahme zumal in Verantwortlichkeit für ein größeres Unternehmen oder bedeutende Personen "kann man nicht paranoid genug sein": Die Schlitze der Klimaanlage auf Kameras überprüfen, generell kleineren Hotels den Vorzug geben, Pseudonyme bei der Anmeldung benutzen, Informationen auf verschiedene Wege aufsplitten. Oder sich in einen Faradayschen Käfig setzen, der Funkwellen nicht durchläßt. Ein alter Trick für Faxgeräte: Das Blatt diagonal beschreiben, was per Scan nicht erkannt werden kann.
Unbequeme Hinweise
Von Sicherheitsproblemen mit Luxussuiten ist vielleicht nicht jeder betroffen. Von unsicheren Bankkarten schon. Fast jeder zweite Schweizer benutzt die Postcard. Die Postcard ist eine Debit Card der Schweizer PostFinance, ein Äquivalent zur Deutschen Post. Diese PostFinance hatte davon Wind bekommen, dass es auf der 23c3 einen Vortrag geben würde mit dem Titel A not so smart card. How bad security decisions can ruin a debit card design und schickte dem Redner am 14. Dezember noch schnell einen Brief, in dem sie ihn aufforderte, auf dem Kongress keine Unwahrheiten zu erzählen: Die Postcard sei sehr wohl sicher, und das Sicherheitssystem funktioniere eh ganz anders.
Die Vorsitzenden dieses Kreditinstituts hatte der Referent schon 2002 höchstpersönlich getroffen, weil er sie auf die gravierenden Sicherheitsmängel hingewiesen hatte. Die Postcard identifiziert sich nämlich gegenüber dem Terminal mit Hilfe eines Schlüsselpaares, das mit RSA zu 320 Bit arbeitet - während angesichts der fortschreitenden Rechenleistung Algorithmen zu 1.024 Bit bereits zur Diskussion stehen. Zwar braucht man eine PIN, um Transaktionen vorzunehmen. Aber die PIN beschützt nicht etwa das Schlüsselpaar, von dem beide Teile in einem read-only Speicher auf der Karte hinterlegt sind. Sondern die PIN wird gebraucht, um sich Zugang zu einem anderen read/write-Speicher der Karte zu verschaffen, auf dem sämtliche Transaktionsdaten gespeichert werden. Nach Auslesen und Knacken der ungeschützten Schlüssel kann die Karte geklont und zu einer "YesCard" programmiert werden, die jeden PIN annimmt.
Übrigens waren alle nötigen Informationen zum Cracken der Karte im Internet zu finden: Die französische Carte Bleue, die genauso funktionieren soll wie die Postcard, wurde schon 1999 von dem Franzosen Serge Humpich kompromittiert. Die Franzosen haben ihre Schlüssellänge inzwischen auf 768 Bits erhöht. Der Vortragende verlieh seinem Anliegen Nachdruck, dass die Schweizer Postbank ihre Kunden nicht weiterhin um die vermeintliche Sicherheit ihrer Karten betrügen dürfe. Er berichtete von einem alten Mann, dessen Postcard während eines Krankenhausaufenthalts im Schrank aufbewahrt wurde und der hinterher um rund 20.000 CHF (ca. 12.500 €) ärmer war. Zugesprochen wurde ihm nur ein minimaler Schadensersatz. Denn die PostFinance sichert sich in ihren Geschäftsbedingungen bei Vertragsabschluss dahingehend ab, dass sie nur bei Ausschluss von Fahrlässigkeit handelt. Das bedeutet, dass der Kunde beweisen muss, dass er die PIN nicht weitergegeben hat, was praktisch unmöglich ist.
Wenn man die PIN nun aber gar nicht benötigt, um die Karte unautorisiert zu gebrauchen, ist das eine heikle Angelegenheit. Die Karte ist dann nicht sicher, was den Haftungsausschluss von PostFinance in Frage stellt. Daher der böse Brief, mutmaßt der Vortragende. Denn bei einem Test mit Karten von Freunden aus der Schweiz vor einigen Monaten habe sich gezeigt, dass die Karte sicherheitstechnisch immer noch so leicht geknackt werden kann wie 2002.
Weibliche Hacker: Just another geek
Bei solch schwerer Kost ist Entspannung nötig auf der 23c3. Man findet sie in der Lounge, die angenehm "chillig" gelungen ist, wie ein Besucher vernehmen läßt. Hier sind Mini-Blinkenlights zu bewundern, Bausätze zu erstehen, mehrere Leinwände zeigen Visualisierungen der musikalischen Untermalung, die von den Video Jockeys der AVIT besorgt wird.
Hier sind übrigens auch die meisten Frauen zu sehen. Vielleicht nicht alle hier sind weibliche Hacker - mit Sicherheit nicht. Als aber am Abend des ersten Tages Annalee Newitz, Herausgeberin des Buches She's such a geek, eine Diskussion über Rollenbilder im Technikbereich anstieß, erzählte sie von ihrem Schlüsselerlebnis: Auf Computermessen wurde sie immer gefragt, wessen Freundin oder Schwester sie denn sei. Daraufhin wollte sie ein für allemal klarstellen, dass Frauen sich ebenso für Technik interessieren wie Männer. Am Ende des ersten Tages auf dem 23c3 erhält das Zitat einer Besucherin während der Rollendiskussion das gebührende Gewicht:
I want to talk about security, cryptography. I don't wanna be asked, 'How is it to be a female hacker?' It's aways about 'You're a girl, you're a girl'. But I'm just another geek!