Wir gläsernen Surfer
Spätestens seit den Hackerangriffen auf Microsoft, Yahoo und eBay ist klar: Sicherheit im Internet ist eine Fiktion. Aber auch der Durchschnittsnutzer ist betroffen. Bei jedem Surfen hinterlässt er eine Datenspur
von DOROTHEE CHLUMSKY
Im August dieses Jahres meldet sich ein gewisser Cool Hack Man in einem Hackerforum im Internet und schreibt, er sei in die Computer des Softwaregiganten Microsoft eingebrochen. Er verfüge über Passworte und Zugangsdaten, die er auf Anfrage auch weitergebe. Die Reaktion folgt prompt. Im Namen der „Microsoft Rechtsabteilung“ wird Cool Hack Man aufgefordert, sich auf eine Hausdurchsuchung gefasst zu machen. Man habe, heißt es weiter, seine Leitung zurückverfolgt und wisse, wer und wo er sei. Der „Hacker“ gibt klein bei und beteuert, das alles sei nur ein Spaß gewesen. Die „Microsoft Rechtsabteilung“ erweist sich als Betreiber der Seite, der gegen diese Art von Aufschneiderei konsequent vorgeht. Einbrüche in große Rechenzentren, so scheint es, sind inzwischen Computergeschichte und der Hacker von heute ein kindischer Protagonist der Spaßgesellschaft.
Zwei Monate später ist von Spaß keine Rede mehr. Hacker brechen bei Microsoft ein und stehlen die Quellcodes neuer Entwicklungen. Microsoft bemüht sich um Schadensbegrenzung und betont die Unwichtigkeit der gestohlenen Dateien. Hätten die Einbrecher die Quellcodes gängiger Programme, wie etwa Office, gestohlen und veröffentlicht, wäre der materielle Schaden größer, da übelwollende Programmierer so effektivere Viren schreiben könnten. Doch der ideelle Schaden, der durch den Einbruch entstanden ist, ist groß. Wie will Microsoft „sichere“ Software verkaufen, wenn die Firma nicht einmal ihr eigenes internes Netz vor Angriffen von außen schützen kann?
Trotz aller Sicherheits- und Verschlüsselungstechnik, die seit Jahren mit großem Aufwand eingesetzt wird, ist es auch heute noch möglich, in Rechenzentren einzubrechen. Im Fall Microsoft schickten die Einbrecher per E-Mail einen so genannten Wurm in die Firma. Das Programm überträgt die Internetadresse (IP-Adresse) des infizierten Rechners und macht ihn so von außen ansprechbar. Wer die Tür zum Firmennetz einmal geöffnet hat, benötigt noch die entsprechenden Kennworte und hat damit Zugang zu den Geräten, die mit dem ursprünglichen Rechner verbunden sind.
Um an Kennworte zu kommen, verwendet ein Einbrecher entweder Programme, die unbemerkt die Eingaben der Benutzer mitschreiben, oder er versucht, die Passworte zu erraten. Und das ist einfacher, als man denken würde. Die schwedische Computersicherheitsfirma Defcom gibt an, dass Benutzer am häufigsten ihren eigenen Namen als Kennwort vergeben. Danach folgen Namen von Kindern oder Haustieren. Am dritthäufigsten wird auf einen Kennwortschutz vollständig verzichtet. Auch das Wort „password“ wird gerne als Kennwort verwendet.
Der Astronom und Computerexperte Clifford Stoll beschreibt in seinem Buch „Kuckucksei“ den Einbruch des deutschen Hackers Karl Koch in die Rechenzentren amerikanischer Rüstungskonzerne 1986. Die Benutzerkonten, die hochsensible Daten enthielten, waren häufig ungenügend oder gar nicht geschützt. Ein Großrechnertyp dieser Zeit hatte ab Werk drei Benutzerkennwortkombinationen eingestellt. Die Herstellerfirma wies Käufer der Rechner an, die Namen der Konten sofort zu ändern, sobald das System eingerichtet war. Genau das war nicht passiert. Für den Wartungsservice etwa verwendete man pauschal den Benutzernamen „field“ mit dem Kennwort „manager“. Karl Koch musste nichts anderes tun, als sich mit dieser Kombination bei der Air Force anzumelden, und erhielt umfangreiche Nutzungsrechte.
Sicherheitslücken treten oft auf Grund von Unachtsamkeit oder Leichtsinn auf. Systemadministrator und Benutzer verlassen sich aufeinander. Es ist üblich, beim Einrichten und Testen eines Rechners zunächst gängige Kennworte („root“, „admin“, „user“) zu verwenden. Ist das System installiert und läuft stabil, wird oft vergessen, die Kennworte im Nachhinein zu ändern.
Der Benutzer wählt sein Passwort in dem Bewusstsein, dass das interne Netz im Normalfall von außen nicht zugänglich ist, und entscheidet sich lieber für eine Kennung, die er sich merken kann, als für eine sichere, aber kryptische Kombination aus Buchstaben, Zahlen und Sonderzeichen. Cracker verwenden Programme, die innerhalb kurzer Zeit alle Worte abfragen, die im Wörterbuch stehen.
Die Anfälligkeit der Großrechner wird auch deutlich durch die viel beachteten Hacks, die Anfang und Mitte des Jahres die Server großer Internetunternehmen wie Yahoo, Amazon und eBay lahm legten. Diese Angriffe funktionierten nach der so genannten „Distributed Denial of Service“-Methode, bei der mehrere Rechner so viele Anfragen an das angegriffene System schicken, dass der Server nicht mehr alle beantworten kann und zusammenbricht. Ein Schutz gegen diese Art von Netzangriffen ist praktisch nicht möglich.
Die Sicherheit im Internet wird diskutiert, seitdem es vernetzte Rechner gibt. Die Rechenzentren der Siebziger- und frühen Achtzigerjahre, die an amerikanischen Universitäten zum Einsatz kamen, waren darauf ausgelegt, externe Benutzer zuzulassen. Da die Studenten nur selten zu Hause über Computer verfügen konnten, standen in den Bibliotheken Rechner, die jeder Student benutzen konnte. Häufig waren die Zugangsdaten auf einen Zettel geschrieben und an den Rechner geheftet. Das war unproblematisch, denn die Daten waren nur für Studenten interessant und enthielten keine geheimdienstlich relevanten oder sonstwie nicht öffentlichen Informationen. Erst als Cracker begannen, die Telefonleitungen der Universitäten zu nutzen, um in andere (meist militärische) Rechenzentren einzubrechen, mussten auch die Unis anfangen, ihre Datenleitungen vor fremdem Zugriff zu schützen – etwa mit einem so genannten Firewall. Dabei legt der Administrator fest, welche Daten diese Mauer passieren dürfen und welche nicht.
Absolute Sicherheit können aber weder Firewalls noch Passworte bieten. Das Internet ist ein durchlässiges System, und zwar in jeder Hinsicht. In der Computerszene (siehe Randspalte) wurde immer wieder auf Sicherheitslücken verschiedener Betriebssysteme aufmerksam gemacht, die Daten der Surfer an andere Rechner im Internet weitergeben, ohne dass der Benutzer etwas davon merkt. Findige Computerbenutzer geben auf ihren Seiten Auskunft darüber, welche Daten der Rechner, der gerade auf die Seite zugreift, an die Maschine am anderen Ende der Leitung übermittelt. Hierzu gehören neben der IP-Adresse auch das Betriebssystem, Art und Versionsnummer des Internetbrowsers sowie die Sprache, die der Browser verwendet.
Zudem legen E-commerce-Anbieter normalerweise Kundenprofile an, um Surfer besser bewerben zu können. Häufig werden so genannte Cookies auf der Festplatte des Surfers abgelegt, die es dem Server ermöglichen, den anfragenden Rechner wiederzuerkennen. Browser bieten zwar die Möglichkeit, Cookies abzulehnen, doch da Cookies in einigen Fällen gewünscht sein können, ist es sinnvoll, sich vor dem Akzeptieren des Cookies eine Warnmeldung anzeigen zu lassen und jeweils zu entscheiden, ob das Cookie gesetzt werden soll. Bei amazon.de beispielsweise findet bei der Suche nach einem Buch den Hinweis: „Kunden, die dieses Buch gekauft haben, haben auch folgende Titel gekauft ...“ Es folgt eine Auflistung von Titeln, die oft thematisch überhaupt nichts mit dem ursprünglichen Titel zu tun haben. Abgesehen davon, dass diese Information den Surfer nicht unbedingt interessiert, muss bei dem Händler eine Datenbank existieren, die dokumentiert, wer was bestellt hat. Da die bestellten Waren per Post verschickt werden, ist auch die Adresse des Kunden bekannt.
Das Wort vom Internet als Datenautobahn ist in doppelter Hinsicht treffend: Die schnelle Verbindung und der freie Informationsaustausch zwischen Rechnern sind einerseits praktisch und gewünscht. Andererseits gibt es nicht unerhebliche Risiken, über die sich jeder Surfer im Klaren sein sollte, um sich so frei wie möglich und so sicher wie nötig bewegen zu können.
DOROTHEE CHLUMSKY, 25, ist derzeit Hospitantin im taz.mag. Sie lebt in München und wird ab Dezember als Redakteurin bei der Computerzeitschrift Macwelt arbeiten
