Hacker in Haft: "Die Zeit des Indianer-Spiels ist zu Ende"
Ironie der Ereignisse: Steffen Wernéry wollte in Frankreich auf
einem Fachkongreß über Datenschutz referieren - und wurde als
Hacker verhaftet, Wir sprachen mit Hans Gliss, der die aktuellen Ereignisse
hautnah miterlebte.
PMC: Herr Gliss, Sie sind in Frankreich zusammen mit Steffen Wernéry
verhaftet worden. Weshalb?
Gliss: Man zeigte mir einen Arretierungsbeschluß und führte
mich ab - zum Verhör. Nach französischem Recht ist es möglich,
daß ein Zeuge zum Zweck des Verhörs arretiert wird, bis zu 24
Stunden. Sieht der Richter ein Informationsbedürfnis, kann das auf
48 Stunden verlängert werden, Spätestens dann muß der Betroffene
freigelassen oder unter Anklage gestellt werden,
PMC: Sie wurden nach vier Stunden freigelassen, IM Gegensatz zu Wernéry.
Gliss: Vorzuwerfen hatte ich mir eh nichts. Ich habe auf meine Verbindungen
zur bestimmten Sicherheitsbehörden hingewiesen, dort könne man
sich erkundigen, das haben sie offensichtlich getan. Und jemand wie ich
aus diesem
Umfeld wirkt offensichtlich vertrauter als Wernéry der erwiesenermaßen
direkten Kontakt zur Hackerszene hat.
PMC: Was wurde Wernéry vorgeworfen?
Gliss: Er wurde in Untersuchungshaft genommen, weil er tatverdächtig
sei, Daten ausspioniert, verfälscht und zerstört zu haben, und
zwar in zehn Fallen in Frankreich.
PMC: Der spektakulärste Fall hiervon ist ja beim französischen
Philips-Konzern passiert,
Gliss: Die haben die Verhaftung bewirkt.
PMC.- Was ist denn nun wirklich dran an den Vorwürfen?
Gliss- Ich halte das Vorgehen von Philips für dumm und infam.
Mir hat die Polizei gesagt, man wurde Wernéry daheim halten, weil
man nun jemanden ausquetschen könne, von dem man wisse, daß
er viel weiß. In Deutschland wäre das rechtlich nicht möglich.
PMC: Was ist denn bei Philips an Schaden entstanden?
Gliss: Es gibt da die wüstesten Behauptungen. üher Schäden
in Hohe von vier Milliarden Francs* wird spekuliert daß Daten zerstört
worden seien; daß Forschungsprojekte ausgespäht wurden, und
daß auf militärisch wichtige Daten zugegriffen worden sei. Ich
mag mich an diesen Spekulationen nicht beteiligen, ich berichte hier nur,
was in der Pariser Gerüchteküche umlief, ob sich der Schaden
wirklich beziffern läßt, ob das jemals genau geklärt wird,
ist eine andere Frage.
PMC: Weshalb hat Wernéry das Risiko auf sich genommen, nach Frankreich
zu fahren?
Gliss: Er sollte als Referent auf dem SECURICOM-Kongreß auftreten
und dort über die Vorfälle im NASA-Netz berichten. Wir haben
uns ja schon lange vorher erkundigt, ob für ihn Gefahr bei der Einreise
besteht, ob etwas gegen ihn vorliegt - das wurde dem Veranstalter gegenüber
verneint, Aber Wernéry hat einen großen Fehler gemacht. Er hat
der Firma Philips einen Brief geschickt, mit einem Hinweis auf seinen Auftritt
zum Thema NASA-Hack, und daß es nützlich wäre, sich zu
einem vertraulichen Gespräch zu treffen, denn er kenne die Umstände
der Philips-Vorfälle überhaupt nicht.
PMC: Und was meinte Philips dazu?
Gliss: Es wurde ein Termin vereinbart, aber am Flugzeug erschien ein
Empfangskomitee der Polizei.
PMC: Mit welcher Begründung?
Gliss: Der Untersuchungsrichter sagte Wernérys Anwältin,
man habe ihm zwar nichts Konkretes nachweisen können, man wolle ihn
aber dabehalten, um durch weitere Recherchen eine Mitwisserschaft nachzuweisen.
Außerdem wurde der Brief an Philips als Erpressungsversuch gewertet,
und das sei ein hinreichender Haftgrund.
PMC: Aber wirkliche Hinweise auf strafbare Handlungen gibt es nicht?
Gliss: Nein.
PMC: Wirklich überhaupt nichts?
Gliss: Ich weiß wirklich nichts davon. Und meine Einschätzung
von Wernéry ist: Hätte er sich nur das Geringste vorzuwerfen
gehabt, dann wäre er sicher nicht nach Frankreich gefahren. Er ist
ja nicht dumm.
PMC: Nun hatte es ja schon zuvor in Deutschland Ärger gegeben.
Hausdurchsuchung beim Chaos Computer Club und auch in Wernérys Wohnung.
Gliss: Selbst die deutschen Behörden waren von der Aktion der
Franzosen völlig überrascht. Die Staatsanwaltschaft Hamburg hat
selbst eine Art Ehrenerklärung für ihn abgegeben. Deren Ermittlungen
haben ergeben, daß er weder Täter noch Mittäter in dieser
Angelegenheit ist.
PMC: In der Öffentlichkeit hält sich aber immer noch die
Ansicht, der NASA-Hack ginge auf das Konto der Hamburger Computer-Chaoten.
Gliss: Diese Ansicht ist falsch. Die NASA-Hacker haben beim Chaos Computer
Club Beweismaterial abgeliefert. Dieses Material ist auf ausdrücklichen
Wunsch eines deutschen Sicherheitsdienstes gesammelt worden. Der hat Kopien
davon bekommen und dafür gesorgt, daß die Amerikaner, vor allem
die NASA und DEC als verantwortlicher Hersteller, informiert wurden. Ich
hin damals Zeuge dieser Verhandlungen gewesen. Nach sechsmonatigen Ermittlungen
wurde am 16. März Wernérys Anwalt mitgeteilt, Wernéry sei
nicht tatverdächtig. Vor allem was die französischen Vorwürfe
angehe, die ja nichts mit dem NASA-Netz zu tun haben, gebe es keine Anhaltspunkte.
Philips und NASA sind verschiedene Vorfälle. In den Augen der Staatsanwaltschaft,
so hieß es, gelte Wernéry als eine Art Informationsdrehscheibe.
PMC: Ha 'sich Wernéry die fatale Situation nicht selbst zuzuschreiben,
weil er nie klare Grenzen zwischen Hacker und Berichterstatter gezogen
hat?
Gliss: Aus meinen Gesprächen mit ihm weiß ich, daß
er die Grenzen sehr klar sieht. Der Unterschied ist, ob man in offene Rechner
eindringt oder Daten ausspäht. Wenn der Chaos Computer Club diese
Grenze nicht scharf sieht, dann darf er sich nicht wundern, wenn sein Bild
in der Offentlichkeit immer wieder in der Nahe krimineller Machenschaflen
angesiedelt wird.
PMC: Auch in offenen Netzen ist das Ausspähen strafbar...
Gliss: Richtig. nach Paragraph 202a Strafgesetzbuch. Nur gibt es eine
Reihe von Netzen, in denen keine geheimen Daten drinstehen. Die NASA hat
ja selbst nach dem Hack im Netz gesagt, das sei keine Sicherheitsbedrohung
gewesen. Die Daten seien vergleichbar mit öffentlichen Bibliotheken
mit freiem Zugriff für alle Wissenschaftler, was ich übrigens
für eine dumme Aussage der NASA halte. Denn zwischen dem Lesen frei
zugänglicher Daten im Netz und der Veränderung des Betriebssystems
liegen Welten. Im NASA-Computer gelang den Hackern, wie bekannt, eine tiefgreifende
Änderung des Betriebssystems durch die berühmt gewordenen "troianischen
Pferde".
PMC: Die Hackerszene geriet durch den Vorfall in Aufruhr. Es hat sogar
Drohungen gegeben.
Gliss: Ich habe durch einige Kontakte erfahren, daß das wohl
keine leeren Drohungen sind. Das wäre aber wohl das Schlimmste, was
man Wernéry in seiner Situation antun könnte, Das hieße
doch, aha, jetzt schlagen die Komplizen zu.
PMC: Bei den betroffenen Rechnern handelt es sich fast ausschließlich
um VAX-Rechner der Firma DEC. Ist durch die Vorfälle nicht jetzt die VAX
zum erklärten Gegner geworden, an der die Hacker ihre Wut auslassen,
egal, wer sie betreibt?
Gliss: Mit dieser ganzen Aktion hat Phi11ips der Firma DEC sicherlich
einen Dienst erwiesen. Das Problem ist doch folgendes: Wenn ein Betreiber
seine Anlage nicht schützt, darin versucht ist, wenn er blamiert ist,
die Schuld dem Hersteller zuzuschieben. Es gibt Installationen, wo Hacker
versucht haben, rein zukommen, aber von den Systemen prompt abgewiesen
wurden - weil die Systeme sicher organisiert sind.
PMC: Die Schuld liegt Ihrer Meinung nach also bei den Betreibern der
Anlagen.
Gliss: Ein Vergleich: Wenn Sie beim Autofahren zu faul sind, den Blinker
zu benutzen, und dann passiert was, dann sind sie nach landläufiger
Auffassung auch schuld. Bei Computern ist es üblich, daß die
Betreiber den Spieß umdrehen. Entweder ist der Hersteller schuld
oder der Idiot, der mir rein gefahren ist. Und die Zeugen, die da rumstehen,
sind auch noch schuld, weil sie darüber geredet haben.
PMC: Damit meinen Sie den Berichterstatter Wernéry.
Gliss: Im vorliegenden Fall betreibt da jemand einen Rechner, in dem
sich beliebig die Hacker tummeln können, und sucht dann nach Schuldigen.
PMC. Ist es denn so schwierig, einen Rechner vor unerwünschten
Eindringlingen zu schützen?
Gliss: Natürlich nicht, bei Polizei und Militär in Deutschland
sind die Rechner wasserdicht, und auch bei zahlreichen Industriebetrieben.
PMC: Wie viele Rechner, die an den durch Versäumnisse der Betreiber
als schlecht gesichert gelten, schätzen Sie ein?
Gliss: Das weiß ich nicht. Aber der NASA-Hack brachte ja zutage,
daß selbst einige renommierte Forschungsinstitute mit geklauter Software
arbeiten. Die haben sich einen gebrauchten. Rechner beschafft und das Betriebssystem
vom Kollegen draufgespielt. Die waren nie in der Kartei des Herstellers.
Das wirft ein Licht auf die Sorgfalt, die hier waltet. Daß es hier
Probleme mit der Sicherheit gibt, wundert mich nicht. Aber die Leute sollen
dann bitte nicht auf die Hacker schimpfen.
PMC: Wie einfach kommt man denn in einen schlecht gesicherten VAX-Rechner
rein? Schafft das jeder oder nur ein Spezialist?
Gliss: Ich dachte bis vor kurzem, daß man dazu wesentliche Erfahrungen
mit VAXen braucht. Wie ich jetzt weiß, genügt offenbar die Kenntnis
umfangreicher Systembroschüren und eine gewisse Begabung, in einer
Münchner Mailbox wurde ein Dokument gefunden, das genau beschreibt,
wie man angeblich in schlecht gesicherte VAXen übers Telefon rein
kommt. Das ist nicht der normale Weg, aber nach Ansicht von Sicherheitsexperten
dürfte es funktioniert haben, der Autor hat das nach eigenem Bekunden
aus frei erhältlichen Systembroschüren extrahiert und über
eins vor über zwei Jahren in jener Mailbox veröffentlicht. Das
wurde nach der Entdeckung vor einem halben Jahr natürlich gelöscht.
PMC: Was werden die Hacker jetzt nach Ihrer Meinung konkret unternehmen?
Gliss: Ich hoffe, daß sie ihre eigene Position überdenken
und sich auf Gebieten austoben, auf denen sie nicht straffällig werden
können. Da gibt es wahnsinnig große Betätigungsfelder wie
Virenprogramme, Systemoptimierung, die da auf ihren Hacker-Status stolz
sind, die sollen bitte mal erwachsen werden. Der Fall Wernéry beweist,
daß das Indianerspiel zu Ende ist.
PMC: Und was rät der Sicherheitsexperte Gliss den Betreibern von
Anlagen?
Gliss: Die sollten sich in vielen Fällen erst einmal Asche aufs
Haupt streuen und eine Sicherheitsanalyse machen. Und bevor sie auf Hacker
und Hersteller schimpfen, sollten sie Ihre individuelle Risikolage prüfen
und nachsehen, was der Hersteller zur Verminderung anbietet, Und notfalls
noch einiges drauf setzen. Weshalb installieren DV-Betreiber mit sensiblen
Anwendungen nicht eine Rückrufautomatik, wenn sie die Rechner schon
ans Netz hängen?
PMC: Die VAXen gelten als sehr sicher, sofern sie korrekt installiert
sind. Wie stets da bei anderen Systemen?
Gliss: Man muß hier unterscheiden, Wenn das System nicht an einem
Netz hängt, völlig abgeschottet ist, dann muß man sich
nur um die internen Benutzer kümmern. Das ist einfacher. Aber wenn
Leute von außen Zugriff haben, dann hat es keinen Sinn, einen Selbstbedienungsladen
ans Telefon zu hängen. Beim Betriebssystem UNIX etwa gibt es hier
einige Befürchtungen,
PMC: UNIX unsicher? Wer behauptet das?
Gliss: Unter Informatikern ist derzeit eine Diskussion im Gange, welche
Sicherheitseigenschaften man von UNIX in der Standardversion überhaupt
erwarten kann. Und es gibt Stimmen, wonach innerhalb von UNIX einfach zuviel
erlaubt ist, um absolut sichere Kontrolle zu bekommen. Da muß man
auf Ergebnisse dieser Diskussion warten. Es existiert schon eine sichere
Version von UNIX, die soll aber mit der Ausgangsversion nur wenig zu tun
haben.
|
![[Chaos CD]](../images/chaoscd.jpg){kind=small}
![[Gescannte Version]](../images/scan.jpg){kind=small}
![[ -- ]](../images/prev.jpg){kind=small}
![[ ++ ]](../images/next.jpg){kind=small}
![[Suchen]](../images/search.jpg){kind=small}