Inzwischen hat der Begriff des Hackens eine negative Konnotation bekommen. Viren dienen der Erpressung und dem Betrug, Militärs setzen bei ihren Cyber War-Projekten auf die zerstörerische Wirkung von Viren auf feindliche Computersysteme. Im Sommer 2010 schmuggelten vermutlich Agenten den Stuxnet-Virus in Steuerungsmaschinen zur Aufbereitung von Brennelementen im Iran und China. Keiner weiß, warum. Wo das Hacken heute steht, und was es mit seinen Anfangsidealen zu tun hat, untersucht Maximilian Schönherr.
"Wir hatten nämlich eine Möglichkeit gefunden, Electronic Mail, also Bildschirmtext-Mitteilungen zu verändern, und zwar nachdem der Empfänger sie gelesen hat, und zwar im Briefkasten des Empfängers zu verändern! Das ist eine grobe Sicherheitslücke gewesen. Aber das hat damals kein Journalist verstanden."
Wau Holland, Gründer des Chaos Computer Clubs, 1999. Es gibt Begriffe, die sich uns so tief eingraben, weil sie täglich in den Nachrichten auf uns einhämmern. Wir können uns nicht vorstellen, dass diese Begriffe, diese Themen einmal völlig nebensächlich werden. Rinderwahn etwa, oder Vogelgrippe. Oder die Computerviren "I Love You" und "Conficker". Vergessen. Die letzten Wochen haben uns die Angriffe von Wikileaks-Befürwortern und Gegnern auf die Rechner der jeweils anderen Seite beschäftigt, Verteilte Ablehnungs-Angriffe, Distributed Denial of Service oder DDoS. Und das Stuxnet – ein Begriff, der vor einem Jahr selbst Programmierern von Industrieanlagen noch nicht bekannt war. Stuxnet ist der an aufwändigsten programmierte Virus aller Zeiten. Er setzt sich ganz dicht an technische Anlagen heran, auch Atomanlagen, und ist in der Lage, sie umzuprogrammieren, zu verhindern, dass sich bestimmte Ventile rechtzeitig schließen oder öffnen, und so weiter. Wir werden auch Stuxnet vergessen, denn neuen Viren stehen schon bereit, das Katz-und-Maus-Spiel der Hacker mit den Kriminalämtern geht weiter. Ein Spiel ist es seit Ende der 1980er Jahre nicht mehr. Das Eindringen in fremde Computersysteme und das unerlaubte Verändern von Daten anderer steht in fast allen Ländern unter Strafe. Wir ziehen in der nächsten halben Stunde eine Art Bilanz. Dabei wird uns vor allem ein Hacker helfen, Frank Boldewin. Er kommt aus Münster und besucht mich in meinem Büro in Köln.
"So, wollen Sie noch einen Schluck Tee?"
"Ja."
Während des Gesprächs berühren wir nicht ein einziges Mal eine Computertastatur. Wir trinken Tee. Frank Boldewin hat in den 1990er-Jahren gehackt und sich dabei die Finger verbrannt. Er nennt sich heute "Sicherheits-Architekt". Er gehört der zweiten Generation deutscher Hacker an. Die erste landete in den 1980er-Jahren ihre Coups. Die zentrale Figur ist Wau Holland gewesen, der im September 1981 in den Räumen der Tageszeitung Taz den Chaos Computer Club gründete.
"Weltweite freie ungehinderte Kommunikation war unser Ziel. Und bei der Definition bin ich noch heute."
Wau Holland in meinem letzten Interview mit ihm, 1999. Er starb zwei Jahre später. In den letzten Wochen fiel gelegentlich der Name "Wau Holland Stiftung" im Zusammenhang mit den Wikileaks. Man kann über die Stiftung Geld an Wikileaks spenden. Wau Holland hätte die freiheitskämpferische Grundidee der Wikileaks sicher gut gefallen, nämlich Informationen, die von öffentlichem Interesse sind, auch öffentlich zu machen. Die meisten Hacker zwischen damals und heute kümmern sich um solche ethischen Fragen überhaupt nicht. Kriminalhauptkommissar Mirko Manske leitet beim Bundeskriminalamt den Bereich "Cybercrime" und beschäftigt sich ausschließlich mit der so genannten "schweren organisierten Kriminalität". Seiner Meinung nach hat das Hacken seine Unschuld längst verloren und ist eine Großindustrie des Verbrechens geworden:
"In dem Phänomenbereich Computerkriminalität befinden wir uns gerade mitten in einem Strukturwandel. Wir gehen weg von der Kriminalitätsbegehung aus einer Hand, wo eine Tätergruppierung von der Wiege bis zur Bahre alle Einzelschritte des Verbrechens tatsächlich selber plant und realisiert, und gehen hin zu einer sehr viel moderneren und sehr viel vielfältigeren Form der Kriminalitätsbegehung."
Nämlich dem Dienstleistungs-Hacken. Der Hacker programmiert, ein anderer passt den Virus an die Gegebenheiten einzelner Länder an, andere vertreiben ihn, zum Beispiel über das massenhafte Versenden von ungewünschten Werbemails, "Spams". Die Viren landen dann, getarnt als Trojanische Pferde, auf den Festplatten unschuldiger Bürger. Beim nächsten Überweisungsgeschäft übers Internet krabbelt der Virus aus dem Trojaner heraus, schiebt sich zwischen Kunde und Bank, als "Man in the Middle", ohne dass es der Kunde und ohne dass es die Bank merkt, und dann wandern statt 55 Euro an Tante Lisl 388 Euro an Igor Popov, der wiederum nur ein Geldesel ist, sich seine zehn Prozent abgreift und die restlichen 350 Euro auf ein anonymes Konto auf einer Karibikinsel überträgt.
Weil der Vorgang massenweise passiert, sammeln sich dort große Beträge an, die sich derjenige auszahlen lässt, der als unsichtbarer Arbeitgeber für das ganze Netz hinter allem steht, aber auch nur für jemanden anderen arbeitet, der – und hier können wir nur spekulieren – vielleicht gar keine Ahnung von Computern hat, aber große Erfahrung mit Betrug, Erpressung und mafiösen Strukturen.
Die Gründer des Chaos Computer Clubs wollten in den 1980er Jahren Informationsmonopole wie das der Post brechen und auf Datenlücken aufmerksam machen, wie beim BTX-Hack 1984 in die Hamburger Sparkasse Haspa. Ohne den CCC gäbe es heute nicht den Datenschutz, wie wir ihn kennen. Aber wenig später gab es die ersten bösen Buben, die sich des technischen Know-hows des CCC und der allweihnachtlichen Chaos Communication-Kongresse bedienten – um damit Geld zu machen. Der ARD-Reporter Joachim Wagner in der Sendung "Im Brennpunkt" vom 2. März 1989:
"Der Vorwurf der deutschen Bundesanwaltschaft: Eine Gruppe von Hackern soll dem sowjetischen Geheimdienst KGB geholfen haben, in die wichtigsten Rechner der westlichen Welt einzudringen, um dort sensible Daten und Programme aus militärischen, wirtschaftlichen und wissenschaftlichen Geheimbereichen zu stehlen."
Es war das erste Mal, dass das Thema Hacking groß im Fernsehen vorkam. Mit dem so genannten KGB-Hack von 1989 verlor das Hacken seine Unschuld. Für die Hacker der jüngeren Generation wie Frank Boldewin verlor das Hacken zehn Jahre später noch einmal seine Unschuld. Damals strahlte das World Wide Web bereits in voller Pracht. Es war der Punkt, als er selbst ausstieg.
"Wenn man in dieser Geschichte des Hackens ein wenig zurückschaut, wird man sehen, dass es bereits im Jahr 1999 und auch 2000 sehr heftige Angriffe gegeben hat, damals mit Tools wie Tribe Flood Network von einem Hacker namens Mixter, oder auch mit Stacheldraht, eine andere DDoS-Angriffsart vom Team Teso. Die haben dazu geführt, dass zum Beispiel Yahoo und Amazon damals längere Zeit offline waren.
Es hat zumindest dazu geführt, dass das FBI aktiv wurde. Spätestens da hat man als Hacker gemerkt: Früher war es relativ entspannt, und jetzt ist es eben nicht mehr so. Zu dem Zeitpunkt sind auch viele Leute, die damals noch aktiv waren, sehr schnell inaktiv geworden."
"Haben Sie selbst eine Hacker-Vergangenheit?"
"Ich habe in der Vergangenheit durchaus Angriffscode gebaut und auch auf Webseiten veröffentlicht. Allerdings als ich bemerkte, dass diese Angriffscodes von Leuten benutzt wurden, die damit richtig Schindluder trieben, habe ich das sehr schnell eingestellt. Seitdem mache ich das eigentlich gar nicht mehr."
"Was interessiert Sie daran, an der Malware?"
"Das Interessante ist, dass man dort lernt, wie das Innerste eines Betriebssystems funktioniert, wie aktuelle Techniken ablaufen. Aktuelle Rootkits haben immer wieder gezeigt, dass die Leute, die das schreiben, sich dermaßen gut mit dem Betriebssystemkern auskennen, dass es kaum etwas anderes gibt, was so geschickten und so ausgeklügelten Code mit sich bringt. Es ist einfach interessant, zu studieren, wie haben sie es gemacht, welche Techniken benutzen sie, und wie untergraben sie aktuelle Sicherheitsmaßnahmen?
Beim Rootkit geht es ja tatsachlich darum, sehr tief in das Betriebssystem einzusteigen und den Betriebssystem-Kernel umzuprogrammieren. Beim Angriffscode dagegen geht es eher darum, sich eine sehr große Software zu schnappen, die sehr bekannt ist, wie zum Beispiel einen Apache-Web-Server, der sehr oft benutzt wird, oder auch einen Web-Server von Microsoft."
"Aber nicht zum Beispiel Photoshop?"
"Na ja, letztendlich sucht man sich natürlich die Dinge, die am meisten vom Benutzer genutzt werden, um diesen Angriffscode auch erfolgreich werden zu lassen. Die Breitenwirkung ist besonders interessant. Deswegen ist es auch so, dass in den letzten zwei Jahren sehr, sehr oft das PDF-Format von Adobe Opfer von Schwachstellen wurde, die auch aktiv ausgenutzt wurden, nicht nur bei Endbenutzern, sondern auch bei so genannten spear phishing-Angriffen, die gezielt auf Unternehmen und Leute gehen, um Blaupausen zu klauen, irgendwelche anderen interessanten Sachen in Unternehmen, Dokumente et cetera."
"Und warum haben Sie das damals veröffentlicht? Sie waren ja nicht ein 15-Jähriger, der beweisen musste was für ein toller Mann er wird?"
"Ja, man kommt dabei natürlich auch in Kontakt mit anderen Leuten, die sich für so etwas interessieren. Oft ist es so, dass die Leute, wenn sie nicht wissen, dass man selber eine gewisse Expertise in dem Gebiet hat, nicht unbedingt mit einem sprechen. Hat man etwas veröffentlicht und wird dadurch entsprechend bekannter, bekommt man Zugang zu Leuten, die man vielleicht sonst gar nicht kennengelernt hätte. Das war der Hauptgrund."
ARD, Im Brennpunkt, 2.3.1989, Gerhard Boeden, Präsident des Bundesamts für Verfassungsschutz:
"Wie Sie wissen, haben wir es hier mit jungen Leuten zu tun, die wir als so genannte Computerfreaks bezeichnen."
Klaus Brunnstein, Professor für Informatik, 1989, anlässlich des KGB-Hacks:
"Zunächst einmal gibt es unter den Hackern viele junge Leute, die einfach nur Spaß haben, mit dem Rechner zu arbeiten. Und das kann man ja auch gut verstehen. Täglich wird ihnen in der Öffentlichkeit, übrigens von denselben Politikern, die die Hacker beschimpfen, gesagt, wie toll das sei, dass sie in Zukunft mit dem Computer gut umgehen können."
Ross Anderson, Professor für Informatik, Universität Cambridge, 2010:
"This has really been a big change. Until about five years ago computer viruses have been written by amateurs, often by teenagers, to impress their friends or girl friends. But since this has become commercial, malware has been written by serious software engineers."
Frank Boldewin:
"Ich habe mit einem Ross Anderson gesprochen, ich weiß nicht, ob Sie ihn kennen. Er ist einer der gefragten englischen Informatikprofessoren, mit Sitz in Cambridge. Anderson sagte, der einzelne Hacker, der eine böse Software programmiert, der zu Hause sitzt und möglichst viele schädigen will und sich für besonders klug hält – den gibt es eigentlich nicht mehr.
Das sehe ich auch so. Denn heutzutage ist es so, dass es sicherlich einen Programmierer gibt, der irgendein bekanntes Trojaner-Kit baut, wie wir das beispielsweise beim Zeus- oder Spy-Eye-Trojaner sehen. Allerdings ist dieser Programmierer, der dahintersteckt, letztendlich auch nur einer von vielen, die nachher diese ganzen Aktionen, um Schaden zu verursachen, um Banking-Konten leerzuräumen, nur ein ganz ganz kleines Rädchen in einem großen Apparat."
Steffen Wernéry, Sprecher des Chaos Computer Clubs, 1988:
"In den meisten anderen Ländern sind es eher kleinere Gruppierungen, die was machen, die auch hin und wieder solche Aktionen machen, wie wir. Aber in der Stärke ist das in keinem anderen Land so ausgeprägt wie in der Bundesrepublik. Ich schätze mal, dass es daran liegt, dass in der Bundesrepublik sich zu einem ganz bestimmten Zeitpunkt eine Gruppe mit einer gewissen Eigendynamik entwickelt hat. In anderen Ländern war die Konstellation halt nicht so günstig."
Eva Sterzing, Anwältin von Steffen Wernéry nach seiner Verhaftung durch französische Sicherheitsbehörden wegen angeblichen Hackens in Computer der Firma Philips, 1988:
"Es sind sehr viele junge Leute drin, die alle so eine Art Sendebewusstsein haben und alles an die Öffentlichkeit bringen wollen. Die wollen das alles auch sehr richtig machen. Es ist hyperdemokratisch, und es dauert eben alles."
Frank Boldewin:
"Ich glaube, man muss das einfach so sehen, dass vor 20 Jahren kaum wirklich interessante Geschäfte abgewickelt worden sind. Das Klauen von Email-Adressen, von privaten Zugangskonten für das Internet-Banking et cetera, all das gab es vor 20 Jahren noch nicht. Dadurch wird natürlich das heute auch für den Endanwender auf ganz andere Weise gefährlich, eben durch Trojaner."
Mirko Manske, BKA:
"Wenn Sie an Ihr Amazon-, Ihr Ebay-, Ihr Paypal, an Ihr Facebook-Account denken, alles abgesichert mit Username und Passwort, vergleichsweise schwach gesichert, Kundenfreundlichkeit steht an allererster Stelle. Was wir sehen, ist, dass einer der größten neuen Infektionsvektoren von Opfersystemen die Nutzer der Sozialen Netzwerke sind. Die modernen Trojaner kratzt das nicht mehr wirklich."
Frank Boldewin:
"Jeder macht Ebay und benutzt Amazon. Und wenn ich dann auch noch durch Social Engineering denjenigen, den ich angreife, genau kenne, dann weiß ich auch, wo seine Schwächen liegen und welche Dateien er vielleicht öffnet, und womit er sich locken lässt, um sie zu öffnen."
Mirko Manske, BKA:
"Ja, meine Mutter war halt infiziert, mit einem Trojaner. Das dient halt als wunderbares, ganz anschauliches Beispiel, wo meine Mutter die Frage stellt: Ja, was soll ich denn dann noch machen, wenn ich nicht einmal mehr glauben kann, dass etwas, was Du postest, auch tatsächlich von dir kommt? Letztendlich ist das eine Frage, auf die auch wir im Moment keine Antwort haben. Vielleicht müssen wir das mit Kästner halten: Seien wir ehrlich, das Leben ist immer lebensgefährlich."
Tillmann Werner, Informatiker und Virenspezialist an der Universität Bonn, 2009:
"Also zunächst einmal geht es darum, ein möglichst großes Netz infizierter Systeme, ein so genanntes Bot-Netz, aufzubauen. Ein Bot-Netz sind Ressourcen, Ressourcen bedeuten Macht, und in welchen kommerziellen Nutzen diese Macht umgemünzt werden kann, ist flexibel: Man kann Spam versenden, man kann aber auch das Online-Banking und dergleichen angreifen. Viel wichtiger aber ist die mittelbare Bedrohung, die von solchen Bot-Netzen ausgeht, die sich nicht gegen die einzelnen Computerbesitzer richtet, sondern gegen Firmen, Regierungsorganisationen und dergleichen, die dann mit Angriffen quasi erpresst werden mit verteilten Angriffen aus diesen Netzen."
Kai Fuhrberg, Bot-Netz-Spezialist beim Bundesamt für Sicherheit in der Informationstechnik BSI:
"Wir haben ja heute die Möglichkeit, dass man durch Schadsoftware sehr, sehr viele Tausende, fast schon in die Hunderttausende gehende Rechner zusammenschalten und dann fernsteuern kann, diese zum Missbrauch so verwenden kann, um gleichzeitig auch reguläre an die Bundesverwaltung stellen kann, auf ganz reguläre Web-Server.
Solche Bot-Netze, solche Denial of Service/Verfügbarkeitsangriffe abzuwehren, ist eine der Hauptaufgaben. Wir haben Mechanismen geschaffen, um die Datenlast, die da entstehen kann, zu erden, abzuwehren, in andere Bereiche zu verschieben, sodass sie uns nicht betreffen. Aber diese Abwehrmaßnahmen haben gewisse Grenzen. Glücklicherweise sind alle bisherigen Angriffe, die wir entdeckt haben, abgewehrt worden. Ich würde nicht davon ausgehen, dass die Kommunikation der Bundesregierung komplett unterbunden werden kann. Es wird dann wahrscheinlich um Teilbereiche gehen, um die man sich kümmern muss.
Es gibt natürlich eine Reihe von Privatangeboten von Politikern und anderer zugeordneter Institutionen, da ist es schon vorgekommen, aber im Bereich der zu dem Regierungsnetz gehörenden Server nicht."
Frank Boldewin:
"Je klüger ein DDoS-Tool diese Anfragen stellt, desto schwieriger ist es, einen wirksamen Schutz einzurichten. Ein einfacher DDoS-Angriff wäre, dass jemand halb offene Verbindungen zu einer bestimmten Webseite schickt und die nicht mehr gescheit abbaut. Ich warte gar nicht, bis die ganze Seite erscheint, der Web-Server sieht das aber als offene Verbindung und hält sie, und wenn ich davon ausreichend zu dem Web-Server hinschicke, dann hat der sehr sehr viele offene Verbindungen, bevor ein Time-Out zuschlägt. Schaut man sich ein großes Rechenzentrum an, so hat man ja beispielsweise fürs Internet-Banking nicht nur eine Web-Server-Linie, sondern Sie haben vielleicht ein paar Hundert Web-Server-Linien. Wenn man sich aber anschaut, wie groß heutzutage Bot-Netze sind, die mit einer enormen Kapazität auf so eine Web-Server-Infrastruktur schlagen können, da reichen dann ein paar Tausend gleichzeitig kommende Requests, und der Server gerät ins Stocken."
Frage:
"Was heißt in diesem Fall 'gleichzeitig'? Innerhalb von einer Minute oder innerhalb von wenigen Sekunden?"
Boldewin:
"Sekunden, ja. Diese Aufrufe können von überall in der Welt herkommen. Deshalb ist es auch nicht ganz so einfach, sie zu filtern. "
Kai Fuhrberg
"In den meisten Fällen wäre es natürlich hilfreich, den Täter zu finden, um für zukünftige Fälle das abzustellen. Aber wenn Sie darüber nachdenken: Diese Bot-Netze, das sind 30.000, 40.000 Rechner von meist unwissenden, unbeteiligten Bürgern, die damit die Bundesregierung angreifen; da ist es viel wichtiger, mit dem BKA die Hintermänner auszumachen. Es sind ja im letzten und Anfang dieses Jahres einige Bot-Netze abgeschaltet worden durch die Zusammenarbeit der Strafverfolgungsbehörden."
Frank Boldewin
"Wir haben das jetzt gesehen, bei diesen DDoS-Attacken, die jüngst aufgrund der Wikileaks-Geschichte und der Verhaftung von Julian Assange gelaufen sind, von 'Hacktivisten', wie man das so nennt. Wir haben gesehen, dass bei Wikileaks die Angriffsfläche sehr hoch war und auch sehr erfolgreich war, weil die Hacktivisten im Internet mit Tools gearbeitet haben, bei denen man sich schon ein bisschen anstrengen muss, um sie sauber zu filtern.
Es handelte sich dort immer um legitime Anfragen von normalen Leuten, die sich ganz normal ins Internet eingewählt hatten und mit den Tools, die sie sich heruntergeladen hatten, dementsprechend diese Anfragen an Amazon, Paypal, Mastercard geschickt haben und es deshalb schwierig war, hier einen wirksamen Schutz aufzubauen."
Hack-Braten, eine Revue des Hackens. Die weitgehend anonymen Mitarbeiter der Wikileaks nutzten die Anonymität des Internets, um vertrauliche und geheime Daten der US-Regierung und des amerikanischen Militärs ungefiltert und in großen Mengen zu veröffentlichen. Mit der Veröffentlichung eines Hubschraubervideos, bei dem amerikanische Soldaten wie in einem Computerspiel harmlose Zivilisten am Boden abschießen und sich im Funkverkehr zynisch darüber unterhalten, haben sich die Wikileaks einen großen Namen gemacht. Freiheits-Hacker, Informations-Guerilleros, Hacktivisten.
Wau Holland 1989
"Im Internet ist jeder Teilhaber, er ist Informationsentnehmer und er ist Informationsanbieter."
Als Ende November 2010 Amazon die Wikileaks-Daten von seinem Rechenzentrum verbannte, möglicherweise auf Nachdruck durch US-Abgeordnete, musste die Wikileaks-Webseite umziehen, von einem Ort zum anderen. Egal, wohin, es verfolgten die Seite DDoS-Angriffe aus vermutlich US-patriotischem Lager. Erst als die Wikileaks sich eines weiteren Hackerkunstgriffs bedienten, nämlich ihre Seite offensiv zum Spiegeln, also zum 1:1-Kopieren auf Tausenden privater Internetrechner anpries, griffen diese Angriffe ins Leere. Die "Mirrors", also diese 1:1-Kopien, florieren auch heute noch. Anfang Dezember begannen die Sympathisanten der Wikileaks zudem, ganz im Sinne der alten Hacker-Ethik der frühen 1980er Jahre, all die Firmen bloßzustellen, die die Spendenzahlungen an die Wikileaks unterbanden, allen voran Paypal, Mastercard und Visa – durch verteilte Denial of Service-Angriffe.
Manche sprechen hier vom ersten Cyberwar, also einem Internetkrieg, bei dem die Waffen Bot-Netze samt den damit verbundenen Trojanern sind, die auf Befehl zu bestimmten Webseiten stürmen. Die neue Qualität besteht darin, dass sich Tausende von Hacktivisten solche Trojaner bewusst auf ihre Festplatte geladen haben, um an einem DDoS-Angriff teilzunehmen. Auch wenn der Hacker und Sicherheits-Architekt Frank Boldewin die Gewalt solcher Angriffe kennt, sieht er diese Art des zivilen Ungehorsams skeptisch:
"Wenn man schon die Wikileaks unterstützen möchte, ist es wesentlich mehr zielführend, die Mirrors der Originalseite irgendwo auf einen Web-Server zu schaffen, der nicht sofort heruntergenommen wird, um einer von mittlerweile Tausenden zu sein. Denn mit einem DDoS können große Firmen relativ schnell umgehen.
Ich glaube, da muss man jetzt unterscheiden zwischen dem, was die Hacktivisten machen, im Namen von Wikileaks, als Unterstützung, und dem, womit man Geld verdienen kann im Bereich des Distributed Denial of Service."
ARD, Im Brennpunkt, 2.3.1989:
"Bei Alkohol und Haschisch versprachen die beiden Mittelsmänner den drei Computerfreaks Drogen und Geld für den Datenschmuggel in den Osten. Ein verlockendes Angebot für einen Drogenabhängigen und seine beiden Freunde mit chronisch leeren Portemonnaies. Zuerst sammelten die drei bei ahnungslosen Hackerfreunden Zahlen und Codewörter für Computereinbrüche, beschafften Sicherheitsprogramme und Benutzerverzeichnisse. Ab 1986 hackten und lieferten sie Daten und Programme auf Bestellung."
Tillmann Werner:
"Ich denke, man kann sagen, dass die Hersteller solcher Schadsoftware mit ihren kommerziellen Interessen eigentlich in die Kategorie Mafia fallen. Also es sind mafiöse, organisierte kriminelle Strukturen."
Die schon immer ihre Schnittstellen mit Geheimdienststrukturen hatten, nicht nur beim inzwischen ein Viertel Jahrhundert alten KGB-Hack aus Hannover, sondern auch heute beim Stuxnet. Es ist unwahrscheinlich, dass brave Programmierer in Sicherheitsfirmen oder gar Geheimdienst-Informatiker bei der CIA das hätten auf die Beine stellen können. Jeder, der sich mit diesem Ende 2010 in den Steuercomputern von extrem abgeschotteten iranischen Industrieanlagen gefundenen Virus beschäftigt hat, kann sich nur wundern über seine brillante Bauweise und die tiefen Kenntnisse der Programmierer. Er zum Beispiel, unser Sicherheits-Experte mit Hackervergangenheit aus Münster, Frank Boldewin.
"Ja, Stuxnet, da ist ja das erste Mal offiziell etwas passiert, was lange Zeit sehr heruntergespielt wurde. Denn beim Stuxnet ist, wie man mittlerweile weiß, eine Atomanlage in Natans angegriffen worden. Dort wurde versucht, an zwei Stellen zu stören, unter anderem bei der Anreicherung von Uran, von Zentrifugen.
Also letztendlich ist es natürlich erst einmal ein Riesenaufwand, 25.000 Funktionen zu basteln, die mit geklauten Zertifikaten von Realtek und JMicron daherkommen, die vier unbekannte Angriffscodes verwendet haben, um ins System einzudringen, die Virenscanner ausgeschaltet haben, die gezielt wussten, wie die unterschiedlichen CPUs der Systeme in Natans aussehen. Das heißt, auch dafür musste schon einmal eine Vorarbeit geleistet werden, um überhaupt zu wissen, wie ich diesen Programmcode baue, damit er wirksam wird? Die Leute müssen wirklich gewusst haben, wo sie da eindringen."
Für uns die Gelegenheit, einem Sicherheitstechniker sozusagen dabei zuzusehen, wie er konkret mit dem Stuxnet-Virus umgeht, wie er ihn analysiert. Er besteht aus zwei Teilen, dem Windows-Code und dem Code, den nur die Industriemaschine selbst versteht. Der Programmierstandard für diese Anlagen weltweit heißt Scada. Frank Boldewin:
"Die Technik die dafür verwendet wird, nennt sich Reverse Engineering. Man darf sich nicht vorstellen, dass das sonderlich schnell geht, sondern es ist schon ein ordentlicher Aufwand, vor allem, wenn der Code so groß ist wie bei Stuxnet.
Einen normalen Trojaner, den hat man in so sagen wir mal in einer Woche relativ gut analysiert. Dort kennt man die Strukturen, wie so ein Trojaner beim Banking-Klau in der Regel so abläuft, einen gewissen Code, den man schon irgendwo einmal gesehen hat. Man zieht dann Vergleiche. Es gibt dafür Tools, die Binärstrukturen, die man schon angesehen hat, vergleichen. All das war bei Stuxnet nicht gegeben, denn wenn man schon die ganze Software von Siemens nicht hatte, dann hat der Trojaner im automatisierten Flug nicht sonderlich viel von sich gegeben."
Frage:
"Ist Stuxnet Teil eines Cyberwars?"
Boldewin:
"Ich würde sagen, ja. Ich meine, man darf nicht glauben, dass Stuxnet jetzt noch 20 Mal einsetzbar ist, denn man kennt mittlerweile jeden Trick, der dort eingesetzt worden ist. Die Macht durch digitale Waffen ist heutzutage schon deswegen gegeben, weil quasi alles vernetzt ist. Sämtliche Scada-Anlagen, die zur kritischen Infrastruktur gehören, aber auch Teil einer Automobilindustrie sind, in solchen Geräten steckt das Coca-Cola-Geheimnis, also auch das ist durchaus interessant, anzugreifen. Und nicht nur aus Sicht des Cyberwar, sondern aus Sicht der Spionage.Anlage zerstören beziehungsweise Informationen über Anlagen ausspionieren, sei es eine Atomkraftanlage, man kann auch ein Wasserwerk stören, man kann die Energiezufuhr stören, Gas- und Öl-Pipelines.
Von daher ist der digitale Angriff durchaus ein gutes Mittel für Länder, verdeckt zu arbeiten. Die Angriffe können so verdeckt laufen, dass nachher keiner weiß, woher sie stammen. Man geht über zig Länder und weiß nachher nicht, dass es Land A war, das Land B angegriffen hat. Das macht es so schwierig, nachher mit dem Finger auf jemanden zu zeigen."
Wau Holland:
"Wenn man den Strahlemann aus einer Mikrowelle ausbaut, in eine Satellitenschüssel montiert und diese 700 Watt-Mikrowellenstrahlung auf ein tief fliegendes Flugzeug richtet, Das sei dann wohl die Grenze des Hackens…"
"Wir hatten nämlich eine Möglichkeit gefunden, Electronic Mail, also Bildschirmtext-Mitteilungen zu verändern, und zwar nachdem der Empfänger sie gelesen hat, und zwar im Briefkasten des Empfängers zu verändern! Das ist eine grobe Sicherheitslücke gewesen. Aber das hat damals kein Journalist verstanden."
Wau Holland, Gründer des Chaos Computer Clubs, 1999. Es gibt Begriffe, die sich uns so tief eingraben, weil sie täglich in den Nachrichten auf uns einhämmern. Wir können uns nicht vorstellen, dass diese Begriffe, diese Themen einmal völlig nebensächlich werden. Rinderwahn etwa, oder Vogelgrippe. Oder die Computerviren "I Love You" und "Conficker". Vergessen. Die letzten Wochen haben uns die Angriffe von Wikileaks-Befürwortern und Gegnern auf die Rechner der jeweils anderen Seite beschäftigt, Verteilte Ablehnungs-Angriffe, Distributed Denial of Service oder DDoS. Und das Stuxnet – ein Begriff, der vor einem Jahr selbst Programmierern von Industrieanlagen noch nicht bekannt war. Stuxnet ist der an aufwändigsten programmierte Virus aller Zeiten. Er setzt sich ganz dicht an technische Anlagen heran, auch Atomanlagen, und ist in der Lage, sie umzuprogrammieren, zu verhindern, dass sich bestimmte Ventile rechtzeitig schließen oder öffnen, und so weiter. Wir werden auch Stuxnet vergessen, denn neuen Viren stehen schon bereit, das Katz-und-Maus-Spiel der Hacker mit den Kriminalämtern geht weiter. Ein Spiel ist es seit Ende der 1980er Jahre nicht mehr. Das Eindringen in fremde Computersysteme und das unerlaubte Verändern von Daten anderer steht in fast allen Ländern unter Strafe. Wir ziehen in der nächsten halben Stunde eine Art Bilanz. Dabei wird uns vor allem ein Hacker helfen, Frank Boldewin. Er kommt aus Münster und besucht mich in meinem Büro in Köln.
"So, wollen Sie noch einen Schluck Tee?"
"Ja."
Während des Gesprächs berühren wir nicht ein einziges Mal eine Computertastatur. Wir trinken Tee. Frank Boldewin hat in den 1990er-Jahren gehackt und sich dabei die Finger verbrannt. Er nennt sich heute "Sicherheits-Architekt". Er gehört der zweiten Generation deutscher Hacker an. Die erste landete in den 1980er-Jahren ihre Coups. Die zentrale Figur ist Wau Holland gewesen, der im September 1981 in den Räumen der Tageszeitung Taz den Chaos Computer Club gründete.
"Weltweite freie ungehinderte Kommunikation war unser Ziel. Und bei der Definition bin ich noch heute."
Wau Holland in meinem letzten Interview mit ihm, 1999. Er starb zwei Jahre später. In den letzten Wochen fiel gelegentlich der Name "Wau Holland Stiftung" im Zusammenhang mit den Wikileaks. Man kann über die Stiftung Geld an Wikileaks spenden. Wau Holland hätte die freiheitskämpferische Grundidee der Wikileaks sicher gut gefallen, nämlich Informationen, die von öffentlichem Interesse sind, auch öffentlich zu machen. Die meisten Hacker zwischen damals und heute kümmern sich um solche ethischen Fragen überhaupt nicht. Kriminalhauptkommissar Mirko Manske leitet beim Bundeskriminalamt den Bereich "Cybercrime" und beschäftigt sich ausschließlich mit der so genannten "schweren organisierten Kriminalität". Seiner Meinung nach hat das Hacken seine Unschuld längst verloren und ist eine Großindustrie des Verbrechens geworden:
"In dem Phänomenbereich Computerkriminalität befinden wir uns gerade mitten in einem Strukturwandel. Wir gehen weg von der Kriminalitätsbegehung aus einer Hand, wo eine Tätergruppierung von der Wiege bis zur Bahre alle Einzelschritte des Verbrechens tatsächlich selber plant und realisiert, und gehen hin zu einer sehr viel moderneren und sehr viel vielfältigeren Form der Kriminalitätsbegehung."
Nämlich dem Dienstleistungs-Hacken. Der Hacker programmiert, ein anderer passt den Virus an die Gegebenheiten einzelner Länder an, andere vertreiben ihn, zum Beispiel über das massenhafte Versenden von ungewünschten Werbemails, "Spams". Die Viren landen dann, getarnt als Trojanische Pferde, auf den Festplatten unschuldiger Bürger. Beim nächsten Überweisungsgeschäft übers Internet krabbelt der Virus aus dem Trojaner heraus, schiebt sich zwischen Kunde und Bank, als "Man in the Middle", ohne dass es der Kunde und ohne dass es die Bank merkt, und dann wandern statt 55 Euro an Tante Lisl 388 Euro an Igor Popov, der wiederum nur ein Geldesel ist, sich seine zehn Prozent abgreift und die restlichen 350 Euro auf ein anonymes Konto auf einer Karibikinsel überträgt.
Weil der Vorgang massenweise passiert, sammeln sich dort große Beträge an, die sich derjenige auszahlen lässt, der als unsichtbarer Arbeitgeber für das ganze Netz hinter allem steht, aber auch nur für jemanden anderen arbeitet, der – und hier können wir nur spekulieren – vielleicht gar keine Ahnung von Computern hat, aber große Erfahrung mit Betrug, Erpressung und mafiösen Strukturen.
Die Gründer des Chaos Computer Clubs wollten in den 1980er Jahren Informationsmonopole wie das der Post brechen und auf Datenlücken aufmerksam machen, wie beim BTX-Hack 1984 in die Hamburger Sparkasse Haspa. Ohne den CCC gäbe es heute nicht den Datenschutz, wie wir ihn kennen. Aber wenig später gab es die ersten bösen Buben, die sich des technischen Know-hows des CCC und der allweihnachtlichen Chaos Communication-Kongresse bedienten – um damit Geld zu machen. Der ARD-Reporter Joachim Wagner in der Sendung "Im Brennpunkt" vom 2. März 1989:
"Der Vorwurf der deutschen Bundesanwaltschaft: Eine Gruppe von Hackern soll dem sowjetischen Geheimdienst KGB geholfen haben, in die wichtigsten Rechner der westlichen Welt einzudringen, um dort sensible Daten und Programme aus militärischen, wirtschaftlichen und wissenschaftlichen Geheimbereichen zu stehlen."
Es war das erste Mal, dass das Thema Hacking groß im Fernsehen vorkam. Mit dem so genannten KGB-Hack von 1989 verlor das Hacken seine Unschuld. Für die Hacker der jüngeren Generation wie Frank Boldewin verlor das Hacken zehn Jahre später noch einmal seine Unschuld. Damals strahlte das World Wide Web bereits in voller Pracht. Es war der Punkt, als er selbst ausstieg.
"Wenn man in dieser Geschichte des Hackens ein wenig zurückschaut, wird man sehen, dass es bereits im Jahr 1999 und auch 2000 sehr heftige Angriffe gegeben hat, damals mit Tools wie Tribe Flood Network von einem Hacker namens Mixter, oder auch mit Stacheldraht, eine andere DDoS-Angriffsart vom Team Teso. Die haben dazu geführt, dass zum Beispiel Yahoo und Amazon damals längere Zeit offline waren.
Es hat zumindest dazu geführt, dass das FBI aktiv wurde. Spätestens da hat man als Hacker gemerkt: Früher war es relativ entspannt, und jetzt ist es eben nicht mehr so. Zu dem Zeitpunkt sind auch viele Leute, die damals noch aktiv waren, sehr schnell inaktiv geworden."
"Haben Sie selbst eine Hacker-Vergangenheit?"
"Ich habe in der Vergangenheit durchaus Angriffscode gebaut und auch auf Webseiten veröffentlicht. Allerdings als ich bemerkte, dass diese Angriffscodes von Leuten benutzt wurden, die damit richtig Schindluder trieben, habe ich das sehr schnell eingestellt. Seitdem mache ich das eigentlich gar nicht mehr."
"Was interessiert Sie daran, an der Malware?"
"Das Interessante ist, dass man dort lernt, wie das Innerste eines Betriebssystems funktioniert, wie aktuelle Techniken ablaufen. Aktuelle Rootkits haben immer wieder gezeigt, dass die Leute, die das schreiben, sich dermaßen gut mit dem Betriebssystemkern auskennen, dass es kaum etwas anderes gibt, was so geschickten und so ausgeklügelten Code mit sich bringt. Es ist einfach interessant, zu studieren, wie haben sie es gemacht, welche Techniken benutzen sie, und wie untergraben sie aktuelle Sicherheitsmaßnahmen?
Beim Rootkit geht es ja tatsachlich darum, sehr tief in das Betriebssystem einzusteigen und den Betriebssystem-Kernel umzuprogrammieren. Beim Angriffscode dagegen geht es eher darum, sich eine sehr große Software zu schnappen, die sehr bekannt ist, wie zum Beispiel einen Apache-Web-Server, der sehr oft benutzt wird, oder auch einen Web-Server von Microsoft."
"Aber nicht zum Beispiel Photoshop?"
"Na ja, letztendlich sucht man sich natürlich die Dinge, die am meisten vom Benutzer genutzt werden, um diesen Angriffscode auch erfolgreich werden zu lassen. Die Breitenwirkung ist besonders interessant. Deswegen ist es auch so, dass in den letzten zwei Jahren sehr, sehr oft das PDF-Format von Adobe Opfer von Schwachstellen wurde, die auch aktiv ausgenutzt wurden, nicht nur bei Endbenutzern, sondern auch bei so genannten spear phishing-Angriffen, die gezielt auf Unternehmen und Leute gehen, um Blaupausen zu klauen, irgendwelche anderen interessanten Sachen in Unternehmen, Dokumente et cetera."
"Und warum haben Sie das damals veröffentlicht? Sie waren ja nicht ein 15-Jähriger, der beweisen musste was für ein toller Mann er wird?"
"Ja, man kommt dabei natürlich auch in Kontakt mit anderen Leuten, die sich für so etwas interessieren. Oft ist es so, dass die Leute, wenn sie nicht wissen, dass man selber eine gewisse Expertise in dem Gebiet hat, nicht unbedingt mit einem sprechen. Hat man etwas veröffentlicht und wird dadurch entsprechend bekannter, bekommt man Zugang zu Leuten, die man vielleicht sonst gar nicht kennengelernt hätte. Das war der Hauptgrund."
ARD, Im Brennpunkt, 2.3.1989, Gerhard Boeden, Präsident des Bundesamts für Verfassungsschutz:
"Wie Sie wissen, haben wir es hier mit jungen Leuten zu tun, die wir als so genannte Computerfreaks bezeichnen."
Klaus Brunnstein, Professor für Informatik, 1989, anlässlich des KGB-Hacks:
"Zunächst einmal gibt es unter den Hackern viele junge Leute, die einfach nur Spaß haben, mit dem Rechner zu arbeiten. Und das kann man ja auch gut verstehen. Täglich wird ihnen in der Öffentlichkeit, übrigens von denselben Politikern, die die Hacker beschimpfen, gesagt, wie toll das sei, dass sie in Zukunft mit dem Computer gut umgehen können."
Ross Anderson, Professor für Informatik, Universität Cambridge, 2010:
"This has really been a big change. Until about five years ago computer viruses have been written by amateurs, often by teenagers, to impress their friends or girl friends. But since this has become commercial, malware has been written by serious software engineers."
Frank Boldewin:
"Ich habe mit einem Ross Anderson gesprochen, ich weiß nicht, ob Sie ihn kennen. Er ist einer der gefragten englischen Informatikprofessoren, mit Sitz in Cambridge. Anderson sagte, der einzelne Hacker, der eine böse Software programmiert, der zu Hause sitzt und möglichst viele schädigen will und sich für besonders klug hält – den gibt es eigentlich nicht mehr.
Das sehe ich auch so. Denn heutzutage ist es so, dass es sicherlich einen Programmierer gibt, der irgendein bekanntes Trojaner-Kit baut, wie wir das beispielsweise beim Zeus- oder Spy-Eye-Trojaner sehen. Allerdings ist dieser Programmierer, der dahintersteckt, letztendlich auch nur einer von vielen, die nachher diese ganzen Aktionen, um Schaden zu verursachen, um Banking-Konten leerzuräumen, nur ein ganz ganz kleines Rädchen in einem großen Apparat."
Steffen Wernéry, Sprecher des Chaos Computer Clubs, 1988:
"In den meisten anderen Ländern sind es eher kleinere Gruppierungen, die was machen, die auch hin und wieder solche Aktionen machen, wie wir. Aber in der Stärke ist das in keinem anderen Land so ausgeprägt wie in der Bundesrepublik. Ich schätze mal, dass es daran liegt, dass in der Bundesrepublik sich zu einem ganz bestimmten Zeitpunkt eine Gruppe mit einer gewissen Eigendynamik entwickelt hat. In anderen Ländern war die Konstellation halt nicht so günstig."
Eva Sterzing, Anwältin von Steffen Wernéry nach seiner Verhaftung durch französische Sicherheitsbehörden wegen angeblichen Hackens in Computer der Firma Philips, 1988:
"Es sind sehr viele junge Leute drin, die alle so eine Art Sendebewusstsein haben und alles an die Öffentlichkeit bringen wollen. Die wollen das alles auch sehr richtig machen. Es ist hyperdemokratisch, und es dauert eben alles."
Frank Boldewin:
"Ich glaube, man muss das einfach so sehen, dass vor 20 Jahren kaum wirklich interessante Geschäfte abgewickelt worden sind. Das Klauen von Email-Adressen, von privaten Zugangskonten für das Internet-Banking et cetera, all das gab es vor 20 Jahren noch nicht. Dadurch wird natürlich das heute auch für den Endanwender auf ganz andere Weise gefährlich, eben durch Trojaner."
Mirko Manske, BKA:
"Wenn Sie an Ihr Amazon-, Ihr Ebay-, Ihr Paypal, an Ihr Facebook-Account denken, alles abgesichert mit Username und Passwort, vergleichsweise schwach gesichert, Kundenfreundlichkeit steht an allererster Stelle. Was wir sehen, ist, dass einer der größten neuen Infektionsvektoren von Opfersystemen die Nutzer der Sozialen Netzwerke sind. Die modernen Trojaner kratzt das nicht mehr wirklich."
Frank Boldewin:
"Jeder macht Ebay und benutzt Amazon. Und wenn ich dann auch noch durch Social Engineering denjenigen, den ich angreife, genau kenne, dann weiß ich auch, wo seine Schwächen liegen und welche Dateien er vielleicht öffnet, und womit er sich locken lässt, um sie zu öffnen."
Mirko Manske, BKA:
"Ja, meine Mutter war halt infiziert, mit einem Trojaner. Das dient halt als wunderbares, ganz anschauliches Beispiel, wo meine Mutter die Frage stellt: Ja, was soll ich denn dann noch machen, wenn ich nicht einmal mehr glauben kann, dass etwas, was Du postest, auch tatsächlich von dir kommt? Letztendlich ist das eine Frage, auf die auch wir im Moment keine Antwort haben. Vielleicht müssen wir das mit Kästner halten: Seien wir ehrlich, das Leben ist immer lebensgefährlich."
Tillmann Werner, Informatiker und Virenspezialist an der Universität Bonn, 2009:
"Also zunächst einmal geht es darum, ein möglichst großes Netz infizierter Systeme, ein so genanntes Bot-Netz, aufzubauen. Ein Bot-Netz sind Ressourcen, Ressourcen bedeuten Macht, und in welchen kommerziellen Nutzen diese Macht umgemünzt werden kann, ist flexibel: Man kann Spam versenden, man kann aber auch das Online-Banking und dergleichen angreifen. Viel wichtiger aber ist die mittelbare Bedrohung, die von solchen Bot-Netzen ausgeht, die sich nicht gegen die einzelnen Computerbesitzer richtet, sondern gegen Firmen, Regierungsorganisationen und dergleichen, die dann mit Angriffen quasi erpresst werden mit verteilten Angriffen aus diesen Netzen."
Kai Fuhrberg, Bot-Netz-Spezialist beim Bundesamt für Sicherheit in der Informationstechnik BSI:
"Wir haben ja heute die Möglichkeit, dass man durch Schadsoftware sehr, sehr viele Tausende, fast schon in die Hunderttausende gehende Rechner zusammenschalten und dann fernsteuern kann, diese zum Missbrauch so verwenden kann, um gleichzeitig auch reguläre an die Bundesverwaltung stellen kann, auf ganz reguläre Web-Server.
Solche Bot-Netze, solche Denial of Service/Verfügbarkeitsangriffe abzuwehren, ist eine der Hauptaufgaben. Wir haben Mechanismen geschaffen, um die Datenlast, die da entstehen kann, zu erden, abzuwehren, in andere Bereiche zu verschieben, sodass sie uns nicht betreffen. Aber diese Abwehrmaßnahmen haben gewisse Grenzen. Glücklicherweise sind alle bisherigen Angriffe, die wir entdeckt haben, abgewehrt worden. Ich würde nicht davon ausgehen, dass die Kommunikation der Bundesregierung komplett unterbunden werden kann. Es wird dann wahrscheinlich um Teilbereiche gehen, um die man sich kümmern muss.
Es gibt natürlich eine Reihe von Privatangeboten von Politikern und anderer zugeordneter Institutionen, da ist es schon vorgekommen, aber im Bereich der zu dem Regierungsnetz gehörenden Server nicht."
Frank Boldewin:
"Je klüger ein DDoS-Tool diese Anfragen stellt, desto schwieriger ist es, einen wirksamen Schutz einzurichten. Ein einfacher DDoS-Angriff wäre, dass jemand halb offene Verbindungen zu einer bestimmten Webseite schickt und die nicht mehr gescheit abbaut. Ich warte gar nicht, bis die ganze Seite erscheint, der Web-Server sieht das aber als offene Verbindung und hält sie, und wenn ich davon ausreichend zu dem Web-Server hinschicke, dann hat der sehr sehr viele offene Verbindungen, bevor ein Time-Out zuschlägt. Schaut man sich ein großes Rechenzentrum an, so hat man ja beispielsweise fürs Internet-Banking nicht nur eine Web-Server-Linie, sondern Sie haben vielleicht ein paar Hundert Web-Server-Linien. Wenn man sich aber anschaut, wie groß heutzutage Bot-Netze sind, die mit einer enormen Kapazität auf so eine Web-Server-Infrastruktur schlagen können, da reichen dann ein paar Tausend gleichzeitig kommende Requests, und der Server gerät ins Stocken."
Frage:
"Was heißt in diesem Fall 'gleichzeitig'? Innerhalb von einer Minute oder innerhalb von wenigen Sekunden?"
Boldewin:
"Sekunden, ja. Diese Aufrufe können von überall in der Welt herkommen. Deshalb ist es auch nicht ganz so einfach, sie zu filtern. "
Kai Fuhrberg
"In den meisten Fällen wäre es natürlich hilfreich, den Täter zu finden, um für zukünftige Fälle das abzustellen. Aber wenn Sie darüber nachdenken: Diese Bot-Netze, das sind 30.000, 40.000 Rechner von meist unwissenden, unbeteiligten Bürgern, die damit die Bundesregierung angreifen; da ist es viel wichtiger, mit dem BKA die Hintermänner auszumachen. Es sind ja im letzten und Anfang dieses Jahres einige Bot-Netze abgeschaltet worden durch die Zusammenarbeit der Strafverfolgungsbehörden."
Frank Boldewin
"Wir haben das jetzt gesehen, bei diesen DDoS-Attacken, die jüngst aufgrund der Wikileaks-Geschichte und der Verhaftung von Julian Assange gelaufen sind, von 'Hacktivisten', wie man das so nennt. Wir haben gesehen, dass bei Wikileaks die Angriffsfläche sehr hoch war und auch sehr erfolgreich war, weil die Hacktivisten im Internet mit Tools gearbeitet haben, bei denen man sich schon ein bisschen anstrengen muss, um sie sauber zu filtern.
Es handelte sich dort immer um legitime Anfragen von normalen Leuten, die sich ganz normal ins Internet eingewählt hatten und mit den Tools, die sie sich heruntergeladen hatten, dementsprechend diese Anfragen an Amazon, Paypal, Mastercard geschickt haben und es deshalb schwierig war, hier einen wirksamen Schutz aufzubauen."
Hack-Braten, eine Revue des Hackens. Die weitgehend anonymen Mitarbeiter der Wikileaks nutzten die Anonymität des Internets, um vertrauliche und geheime Daten der US-Regierung und des amerikanischen Militärs ungefiltert und in großen Mengen zu veröffentlichen. Mit der Veröffentlichung eines Hubschraubervideos, bei dem amerikanische Soldaten wie in einem Computerspiel harmlose Zivilisten am Boden abschießen und sich im Funkverkehr zynisch darüber unterhalten, haben sich die Wikileaks einen großen Namen gemacht. Freiheits-Hacker, Informations-Guerilleros, Hacktivisten.
Wau Holland 1989
"Im Internet ist jeder Teilhaber, er ist Informationsentnehmer und er ist Informationsanbieter."
Als Ende November 2010 Amazon die Wikileaks-Daten von seinem Rechenzentrum verbannte, möglicherweise auf Nachdruck durch US-Abgeordnete, musste die Wikileaks-Webseite umziehen, von einem Ort zum anderen. Egal, wohin, es verfolgten die Seite DDoS-Angriffe aus vermutlich US-patriotischem Lager. Erst als die Wikileaks sich eines weiteren Hackerkunstgriffs bedienten, nämlich ihre Seite offensiv zum Spiegeln, also zum 1:1-Kopieren auf Tausenden privater Internetrechner anpries, griffen diese Angriffe ins Leere. Die "Mirrors", also diese 1:1-Kopien, florieren auch heute noch. Anfang Dezember begannen die Sympathisanten der Wikileaks zudem, ganz im Sinne der alten Hacker-Ethik der frühen 1980er Jahre, all die Firmen bloßzustellen, die die Spendenzahlungen an die Wikileaks unterbanden, allen voran Paypal, Mastercard und Visa – durch verteilte Denial of Service-Angriffe.
Manche sprechen hier vom ersten Cyberwar, also einem Internetkrieg, bei dem die Waffen Bot-Netze samt den damit verbundenen Trojanern sind, die auf Befehl zu bestimmten Webseiten stürmen. Die neue Qualität besteht darin, dass sich Tausende von Hacktivisten solche Trojaner bewusst auf ihre Festplatte geladen haben, um an einem DDoS-Angriff teilzunehmen. Auch wenn der Hacker und Sicherheits-Architekt Frank Boldewin die Gewalt solcher Angriffe kennt, sieht er diese Art des zivilen Ungehorsams skeptisch:
"Wenn man schon die Wikileaks unterstützen möchte, ist es wesentlich mehr zielführend, die Mirrors der Originalseite irgendwo auf einen Web-Server zu schaffen, der nicht sofort heruntergenommen wird, um einer von mittlerweile Tausenden zu sein. Denn mit einem DDoS können große Firmen relativ schnell umgehen.
Ich glaube, da muss man jetzt unterscheiden zwischen dem, was die Hacktivisten machen, im Namen von Wikileaks, als Unterstützung, und dem, womit man Geld verdienen kann im Bereich des Distributed Denial of Service."
ARD, Im Brennpunkt, 2.3.1989:
"Bei Alkohol und Haschisch versprachen die beiden Mittelsmänner den drei Computerfreaks Drogen und Geld für den Datenschmuggel in den Osten. Ein verlockendes Angebot für einen Drogenabhängigen und seine beiden Freunde mit chronisch leeren Portemonnaies. Zuerst sammelten die drei bei ahnungslosen Hackerfreunden Zahlen und Codewörter für Computereinbrüche, beschafften Sicherheitsprogramme und Benutzerverzeichnisse. Ab 1986 hackten und lieferten sie Daten und Programme auf Bestellung."
Tillmann Werner:
"Ich denke, man kann sagen, dass die Hersteller solcher Schadsoftware mit ihren kommerziellen Interessen eigentlich in die Kategorie Mafia fallen. Also es sind mafiöse, organisierte kriminelle Strukturen."
Die schon immer ihre Schnittstellen mit Geheimdienststrukturen hatten, nicht nur beim inzwischen ein Viertel Jahrhundert alten KGB-Hack aus Hannover, sondern auch heute beim Stuxnet. Es ist unwahrscheinlich, dass brave Programmierer in Sicherheitsfirmen oder gar Geheimdienst-Informatiker bei der CIA das hätten auf die Beine stellen können. Jeder, der sich mit diesem Ende 2010 in den Steuercomputern von extrem abgeschotteten iranischen Industrieanlagen gefundenen Virus beschäftigt hat, kann sich nur wundern über seine brillante Bauweise und die tiefen Kenntnisse der Programmierer. Er zum Beispiel, unser Sicherheits-Experte mit Hackervergangenheit aus Münster, Frank Boldewin.
"Ja, Stuxnet, da ist ja das erste Mal offiziell etwas passiert, was lange Zeit sehr heruntergespielt wurde. Denn beim Stuxnet ist, wie man mittlerweile weiß, eine Atomanlage in Natans angegriffen worden. Dort wurde versucht, an zwei Stellen zu stören, unter anderem bei der Anreicherung von Uran, von Zentrifugen.
Also letztendlich ist es natürlich erst einmal ein Riesenaufwand, 25.000 Funktionen zu basteln, die mit geklauten Zertifikaten von Realtek und JMicron daherkommen, die vier unbekannte Angriffscodes verwendet haben, um ins System einzudringen, die Virenscanner ausgeschaltet haben, die gezielt wussten, wie die unterschiedlichen CPUs der Systeme in Natans aussehen. Das heißt, auch dafür musste schon einmal eine Vorarbeit geleistet werden, um überhaupt zu wissen, wie ich diesen Programmcode baue, damit er wirksam wird? Die Leute müssen wirklich gewusst haben, wo sie da eindringen."
Für uns die Gelegenheit, einem Sicherheitstechniker sozusagen dabei zuzusehen, wie er konkret mit dem Stuxnet-Virus umgeht, wie er ihn analysiert. Er besteht aus zwei Teilen, dem Windows-Code und dem Code, den nur die Industriemaschine selbst versteht. Der Programmierstandard für diese Anlagen weltweit heißt Scada. Frank Boldewin:
"Die Technik die dafür verwendet wird, nennt sich Reverse Engineering. Man darf sich nicht vorstellen, dass das sonderlich schnell geht, sondern es ist schon ein ordentlicher Aufwand, vor allem, wenn der Code so groß ist wie bei Stuxnet.
Einen normalen Trojaner, den hat man in so sagen wir mal in einer Woche relativ gut analysiert. Dort kennt man die Strukturen, wie so ein Trojaner beim Banking-Klau in der Regel so abläuft, einen gewissen Code, den man schon irgendwo einmal gesehen hat. Man zieht dann Vergleiche. Es gibt dafür Tools, die Binärstrukturen, die man schon angesehen hat, vergleichen. All das war bei Stuxnet nicht gegeben, denn wenn man schon die ganze Software von Siemens nicht hatte, dann hat der Trojaner im automatisierten Flug nicht sonderlich viel von sich gegeben."
Frage:
"Ist Stuxnet Teil eines Cyberwars?"
Boldewin:
"Ich würde sagen, ja. Ich meine, man darf nicht glauben, dass Stuxnet jetzt noch 20 Mal einsetzbar ist, denn man kennt mittlerweile jeden Trick, der dort eingesetzt worden ist. Die Macht durch digitale Waffen ist heutzutage schon deswegen gegeben, weil quasi alles vernetzt ist. Sämtliche Scada-Anlagen, die zur kritischen Infrastruktur gehören, aber auch Teil einer Automobilindustrie sind, in solchen Geräten steckt das Coca-Cola-Geheimnis, also auch das ist durchaus interessant, anzugreifen. Und nicht nur aus Sicht des Cyberwar, sondern aus Sicht der Spionage.Anlage zerstören beziehungsweise Informationen über Anlagen ausspionieren, sei es eine Atomkraftanlage, man kann auch ein Wasserwerk stören, man kann die Energiezufuhr stören, Gas- und Öl-Pipelines.
Von daher ist der digitale Angriff durchaus ein gutes Mittel für Länder, verdeckt zu arbeiten. Die Angriffe können so verdeckt laufen, dass nachher keiner weiß, woher sie stammen. Man geht über zig Länder und weiß nachher nicht, dass es Land A war, das Land B angegriffen hat. Das macht es so schwierig, nachher mit dem Finger auf jemanden zu zeigen."
Wau Holland:
"Wenn man den Strahlemann aus einer Mikrowelle ausbaut, in eine Satellitenschüssel montiert und diese 700 Watt-Mikrowellenstrahlung auf ein tief fliegendes Flugzeug richtet, Das sei dann wohl die Grenze des Hackens…"