Tüftler, Warner und Piraten
Die nützlichen Quälgeister der Informationsgesellschaft von Jean-Marc Manach
Zu ihrer Überraschung fanden 2005 zwei französische Datenfachleute heraus, dass die in der „Carte Vitale“, der französischen Gesundheitskarte, gespeicherten persönlichen Daten nicht geschützt waren. Wer immer wollte, konnte sie lesen oder sogar ändern. Aus unbekannten Gründen war der Sicherheitsmechanismus nicht aktiviert worden.
Doch statt eines Skandals produzierte die Entdeckung nur ein paar Zeitungsartikel. Nachdem die Verantwortlichen das Problem eingeräumt und eine Lösung versprochen hatten, geriet sie schnell ins Vergessen. Als sich mehrere Monate lang nichts rührte, machte einer der beiden Männer von Neuem auf das Problem aufmerksam.
Doch weder die Medien noch die Gewerkschaften noch eine Patientenvereinigung griffen die Sache auf. Und auch die nationale Datenschutzbehörde CNIL, die den Schutz der Privatsphäre sicherstellen soll, rührte sich nicht. Ebenso passiv blieb die staatliche Regulierungsbehörde für Informationssicherheit DCSSI.1
In anderen Ländern ist man in Fragen der Privatsphäre, der Datenverarbeitung und der Freiheitsrechte wesentlich sensibler. Im Januar 2008 machten Wissenschaftler in den USA in Zusammenarbeit mit deutschen Hackern2 auf eine Sicherheitslücke in einer der meistverkauften kontaktlosen Guthabenkarten aufmerksam. Der Mifare Classic-Chip, von dem die Firma NXP über eine Milliarde Exemplare abgesetzt hat, ist zum Beispiel in der Bezahlkarte des öffentlichen Nahverkehrs in London eingesetzt, wird aber auch in Bezahlsystemen und bei der Zugangskontrolle zu staatlichen Einrichtungen in Hongkong und den Niederlanden genutzt.
Kurz darauf veröffentlichten niederländische Forscher eine Methode, diesen Kartentyp zu kopieren. Zwar versuchte NXP, die Publikation zu verhindern, doch wurde ihr von einem niederländischen Gericht beschieden: „Die der Firma NXP erwachsenden potenziellen Schäden sind nicht der Veröffentlichung des Artikels, sondern der Herstellung und dem Verkauf des fehlerhaften Chips zuzuschreiben.“ Dieses Urteil wie auch das internationale Medienecho auf den Prozess machen deutlich, welches politische Gewicht Hacker in diesen Ländern inzwischen erlangt haben.
In den offiziellen Sprachgebrauch eingeführt wurde der Begriff „Hacker“ vom berühmten Massachusetts Institute of Technology (MIT). Ursprünglich bezeichnete er einen Typus von Tüftlern, die es eigenständig und auf brillante und erfinderische Weise vermochten, ihr Umfeld zu beeindrucken und etwas zu tun, was weder vorgesehen noch erlaubt war.
In den 1970er-Jahren war die Datenverarbeitung zentralisiert und nicht allgemein zugänglich. Wem es gelang, die Sicherheitsmechanismen zu umgehen, etwa um einen Drucker zu reparieren, einen Programmfehler in einer Software zu beheben oder neue Funktionen zu programmieren, ohne dafür auf die Hilfe von autorisierten Technikern zurückzugreifen, der konnte sich mit dem durchaus prestigeträchtigen Titel Hacker schmücken.
Heute sind es diese Hacker, die die Sicherheitslücken in der Informationstechnologie aufspüren und schließen. Zugleich schützen sie aber auch die Systeme dieser „Datenpiraten“. Sie haben sich professionalisiert und ihre eigenen Vereinigungen gegründet, bewahrten sich aber den anarchistischen Undergroundgeist der Gegenkultur der 1970er-Jahre, der sie geprägt hatte. Ihre Kenntnisse sind überaus begehrt: Die US-Nachrichtendienste besuchen regelmäßig Hackertreffen, die manchmal ausschweifenden Festivals gleichen, um unter den Teilnehmern ihr Fachpersonal zu rekrutieren. Auch der US-Kongress hat Hacker schon als Auskunftsinstanz benutzt. Das Internet hat sich zu einer veritablen Industrie entwickelt und die ist auf Informationssicherheit angewiesen.
In Deutschland ist die Hackerszene noch stärker politisch engagiert. Zu verdanken ist dies dem 1981 gegründeten Chaos Computer Club mit seinen über 4 000 Mitgliedern, die sich regelmäßig in die öffentliche Diskussion einmischen, um Verletzungen der Privatsphäre oder Probleme mit bestimmten Informationssystemen anzuprangern. So etwa im Frühjahr 2008 bei der Diskussion über die Einführung der elektronischen Gesundheitskarte, der ein unzureichendes Sicherheitskonzept vorgeworfen wird. Das Gewicht des Chaos Computer Club bestätigte sich im Jahr 2000, als die Icann (Internet Corporation for Assigned Names and Numbers), die internationale Organisation zur Verwaltung des Internets, einen Anwendervertreter aus jedem Kontinent in ihren Aufsichtsrat wählen ließ. Damals entschieden sich die Europäer für den Kandidaten des CCC, den 28-jährigen Andy Müller-Maguhn.
Der universelle Abschalter für jedermann
In den USA, in Deutschland, Österreich oder den Niederlanden unterscheidet man zwischen Hackern, die das Programmieren als Kunst ansehen oder aus Spaß an der Freud an EDV-Systemen herumbasteln, und „Datenpiraten“, „Crackern“ oder „scriptkiddies“, die ihr Wissen nutzen, um strafbare Handlungen zu begehen.
Auf das Konto von Hackern geht aber auch ein Gutteil der Innovationen, die die Entwicklung der Datenverarbeitung und des Internets überhaupt ermöglicht haben: Steve Wozniak und Steve Jobs waren befreundete Hacker, bevor sie die Firma Apple gründeten. Und der Erfolg der freien oder Open-Source-Software, deren Bedeutung ständig zunimmt, erklärt sich zum Teil durch diese Szene, in der Informatiker unentwegt bestrebt sind, die Grenzen ihres Feldes zu erweitern.
Alle Piraten sind also Hacker, aber nicht alle Hacker sind Piraten. In Frankreich gehen die Begriffe dennoch seit den 1990er-Jahren durcheinander. Hier würde es kein professioneller Informatiker wagen, sich öffentlich als Hacker zu bezeichnen. Das liegt auch daran, dass der erste Verein französischer Hacker, der Chaos Computer Club von Frankreich (CCCF), der Anfang der 1990er-Jahre in allen Medien war, in Wirklichkeit ein Produkt des französischen Inlandsgeheimdienst DST (Direction de la Surveillance du Territoire) war. Über diesen CCCF wollte man Hacker anziehen und identifizieren, die dem Land schaden könnten oder deren Kenntnisse man sich zunutze machen könnte. Das brachte der DST den Vorwurf ein, zahllose Jugendliche und junge Erwachsene, deren Aktivitäten sich gelegentlich schon am Rande der Legalität bewegten, überwacht und instrumentalisiert zu haben.
Heute sind die Nachrichtendienste so fest in der französischen Hackerszene verwurzelt, dass das wichtigste landesweite Symposium zur EDV-Sicherheit (das an Niveau und Teilnehmerzahl von Hackertreffen in anderen Ländern durchaus herankommt) von der französischen Armee mitveranstaltet wird. Lange Zeit fand es sogar im militärischen Teil der Hochschule der Fernmeldetruppe (Ecole Supérieure et d’Application des Transmissions, Esat) statt, wo die Armee ihre Telekommunikationsspezialisten und Experten für elektronische Kampfführung und Cyberwar-Kriegführung ausbildet.
Dass sich auf diese Weise anarchistischer Geist und die Logik von Sicherheitsapparaten und Militär durchdringen, ist allerdings ein Problem. Während die Kontroll- und Überwachungstechnologien immer raffinierter werden, verweisen heute Hacker aus der ganzen Welt darauf, wie anfällig diese Technologien sind und wie sehr sie die Freiheit gefährden. So veröffentlichte der Chaos Computer Club im März in seiner Zeitschrift Datenschleuder den digitalen Fingerabdruck von Innenminister Wolfgang Schäuble und wies damit nach, dass biometrische Erkennungsverfahren keineswegs so zuverlässig sind, wie ihre Befürworter behaupten. Tatsächlich wurde bereits mehrfach nachgewiesen, dass man sich eine andere Identität verschaffen kann, indem man einen fremden Fingerabdruck in Plastilin oder einer speziellen Klebermasse reproduziert und am eigenen Zeigefinger befestigt.
Im selben Geist haben Hacker vom CCC eine Wegwerfkamera so manipuliert, dass man mit ihrem Blitzlicht die kontaktlosen RFID-Chips3 zerstören kann, die immer häufiger als Warensicherungsetikett benutzt werden, aber auch in angeblich sicheren elektronischen Ausweisen. Andere Hacker haben nachgewiesen, dass es mit diesen auf Distanz lesbaren Chips möglich wäre, den Lagerbestand eines Händlers oder die Ladung eines Lasters auszuspionieren, um einen Diebstahl zu organisieren.
Findige Köpfe haben tragbare Geräte gebastelt, mit denen man die Aufnahmen der Überwachungskameras anzapfen kann, die in Geschäften und Lagerhallen längst allgegenwärtig sind und zunehmend auch in Wohnhäusern eingesetzt werden. Ebenso kursieren Gebrauchsanweisungen zur Herstellung von Stiften oder Mützen, die Videoüberwachungskameras mit Laserstrahlen blenden. Ziel der Hacker ist es dabei nicht, das Geschäft der Diebe oder die Annahme einer falschen Identität zu erleichtern. Ihnen geht es vielmehr schlicht darum, auf die Ineffizienz dieser mit hohen Investitionen entwickelten Technologien hinzuweisen und/oder vor der Gefährdung der Privatsphäre und der Grundfreiheiten zu warnen, die sich in einigen Fällen bereits erwiesen hat.
So gibt es bereits Sender, die die GPS-Satellitenortungstechnologie oder auch Herzschrittmacher stören können, und Geräte, mit denen man die Daten in biometrischen Ausweisen oder Wahlmaschinen auslesen kann. Die meisten solcher Apparate existieren nur als Prototypen zum Beweis ihrer technischen Machbarkeit. Doch gibt es immer wieder auch echte Publikumserfolge: zum Beispiel Programme, mit denen sich die voreingestellte Netzbindung von Apples iPhone umgehen lässt. Man schätzt, dass auf diese Weise 25 Prozent der 2007 in den Vereinigten Staaten verkauften iPhones entsperrt wurden.
Aus der Tüftelei der Hacker kann sich also ein regelrechtes Geschäft entwickeln. Das TV-B-Gone ist eine kleine Universalfernbedienung von der Größe eines Schlüsselanhängers, die über einen einzigen Schalter verfügt. Mit dem kann der glückliche Besitzer heimlich alle Fernsehgeräte in seiner näheren Umgebung ausschalten. Der Erfinder dieser Fernbedienung, der ursprünglich einen Prototypen als Gag für seine Freunde entwickelt hatte, entschloss sich zum kommerziellen Vertrieb des Produkts und verkauft es nun in alle Welt.
In chinesischen Onlinestores bekommt man Handystörsender für unter 50 Dollar, Porto inklusive. Der FoeBuD, ein deutscher Verein zum Schutz der digitalen Selbstbestimmung, verkauft Badges, die in der Nähe von RFID-Scannern aufleuchten, und Schutzhüllen für Karten mit RFID-Chips, die das Auslesen der Informationen verhindern. Wer ein bisschen gewitzt ist, findet die Gebrauchsanleitungen für all diese Dinge auf verschiedenen, vor allem US-amerikanischen Websites.
Angesichts der Erfolge solcher Bastelanleitungen entstehen Clubs, die es ihren Mitgliedern ermöglichen, Werkzeuge und Technologien zu nutzen, die sie sich individuell nicht ohne weiteres leisten könnten. In den USA gibt es bereits neun sogenannte TechShops, die solche Geräte allen Interessierten zugänglich machen. Auch wird an der 3D-Druck-Technologie gearbeitet, die es einmal ermöglichen soll, in Heimarbeit Gegenstände herzustellen, die bislang nur im Handel zu finden sind.
Eine neue industrielle Revolution steht vor der Tür. Ihre ökonomischen und politischen Auswirkungen werden auch davon abhängen, ob die Anwender die Fähigkeit entwickeln, sich all diese Technologien anzueignen und sie zu beherrschen. Statt sie nur zu kaufen, um sich von ihnen gängeln zu lassen.
Aus dem Französischen von Michael Adrian
Jean-Marc Manach ist Journalist.