• „Does Hacktivism Matter? How the Btx hack changed computer law-making in Germany“, Vortrag am 27. Dezember 2011, im Rahmen des 28. Chaos Communication Congress: Behind Enemy Lines, 27.-30. Dezember 2011 in Berlin. [Video] [Presse: Süddeutsche Zeitung, Deutsche Welle]

Nun würde es dem durchaus qualifiziert besetzten Podium – geladen waren Stefan Katzenbeisser (TU Darmstadt), Claus Lehners (Daimler AG), Ulrich Sieber (MPI für Ausländisches und Internationales Strafrecht) und Michael Waidner (TU Darmstadt) – Unrecht tun, das naheliegende Wortspiel „Knacker gegen Hacker“ ins Feld zu führen, doch ändert das nichts an dem real-satirischen Charakter der Veranstaltung. Trotz des schwierigen Namens ließ das Podium dennoch eine halbwegs spannende Diskussion erwarten. Ich melde mich also an, trug mich am Eingang in die Teilnehmerliste ein, worauf großer Wert gelegt wurde und ließ mich mit meinem Notebook auf dem Schoß in die letzte Reihe, um einigermaßen ungestört Notizen zu machen und den ein oder anderen gehässigen Tweet abzusetzen. Ich hatte mich allerdings zu früh gefreut: O₂ machte mich zu einem Einzelfall und die Gastgeberin Madga Schirm nicht die geringsten Anstalten ein Passwort für das sich freundlich und in ausreichender Signalstärke präsentierende Gast-WLAN des lokalen Kongresszentrums herauszurücken. Als einziger Notebook-Benutzer im Raum ein beklagenswertes, aber dennoch marginales Einzelschicksal.

Die Gastgeberin steckte stattdessen die Leitplanken der kommenden zwei Stunden ab: Sie stellte sich als gleichzeitig netzaffin und wenig computerversiert vor, als jemand, der von einer Update-Meldung des Browsers irritiert wird. Der eigentlich völlig anachronistischen Selbstverortung im Bereich der digitalen Spätzünder ließ sie dann eine Reihe bekannter Namen von Firmen folgen, die es als „Internet-Firmen“ mittlerweile in jede schlechtere Talkshow geschafft haben. Ihr diente diese Reihe, wie sie sagte, die politische Bedeutung des Feldes heraus zu streichen, um schließlich in die unvermeidliche Auflistung mehr oder weniger bekannter beziehungsweise mehr oder weniger glaubwürdiger Zahlen zu fallen: 50 Milliarden Dollar weltweit in IT-Sicherheit investiert, laut BKA 31.000 Fälle von Wirtschaftskriminalität im Internet im Jahr 2010, natürlich mit großer Dunkelziffer, 4 Milliarden Euro Schaden durch Hacker-Angriffe 2010 – und erst die bösen Viren!

Schutzlos ausgeliefert ist man den Angriffen aber nicht mehr, denn es gibt „Pentester“, was aus ihrem Munde mangels Betonung der ersten Silbe wie eine Variante des Polyester klingt. Gemeint waren aber Penetration-Tester, „professionelle Hacker“ also, die empfindliche Systeme wie etwa die speicherprogrammierbaren Steuerungen von Kraftwerken, so Schirm weiter, auf Lücken untersuchen. Dennoch blieben „unzufriedene oder raffgierige Mitarbeiter für die IT-Sicherheit von Firmen die größte Bedrohung.“ Es reiche also nicht aus, so schloss sie, nach technischen Lösungen zu suchen, sondern man müsste auch etwas für das Klima in den Firmen tun. Ah-ja.

Damit war also das grobe Feld abgesteckt und längst fraglich geworden, ob die Veranstaltung, deren Untertitel „Aspekte und Folgen der Internetnutzung für Wirtschaft und Gesellschaft“ hinreichend wolkig war, über dumpfen Alarmismus hinauskommen könne. Prof. Dr. Stefan Katzenbeisser, Leiter der Security Engineering Group an der TU Darmstadt, beseitigte trotz offensichtlicher fachlicher Kompetenz diese Sorgen allerdings nicht. In seinem Vortrag reihte er Angriffsszenarien, deren Gefährlichkeit ohnehin dank der oberflächlichen Darstellung im Schnelldurchlauf von einem halbwegs informierten Laien kaum abzuschätzen gewesen ist, in einer Eskalationsrhetorik aneinander, die sich sehen lassen konnte. Selten habe ich in einem Vortrag derartig viele Steigerungsfloskeln der Form „heute ist es schon schlimm, aber morgen erst…!“ erlebt.

Halb belustigt, halb entsetzt notierte ich, doch wurde jäh von einem herrischen „Können Sie mal aufhören zu tippen…!?“ der Dame vor mir unterbrochen. Ich hatte durchaus schon gemerkt, dass sie einige Zeit mürrisch auf ihrem Stuhl hin und her rutschte und offenbar war ihr die Bedienung eines Computers in einem derart heiligen Moment wie einem öffentlichen Vortrag ein Gräuel. Sie beschied mir jedenfalls, das Notieren zu unterbrechen oder mir hilfsweise einen Platz „in der Ecke“ zu suchen, wo man vermutlich früher auch gerne renitente Kinder unterbrachte. Sie erinnerte mich vermutlich nicht ohne Grund an meine alte Sozialkundelehrerin, Frau Fritz, unter deren als Erziehung verpackten Launen ich stets sehr gelitten hatte. Anders als damals lehnte ich diesmal aber ab, mich durch die Sitzordnung maßregeln zu lassen und wies den Vorschlag ab. Sie drehte sich darauf zu ihrer Sitznachbarin, um die penetrante Lautstärke meiner Thinkpad-Tastatur durch beklagendes Geschwätz über mich bei dieser zu verdoppeln. Nun breitete sich der Herr zu meiner Rechten aus, um durch unhöfliche Armhaltung mit der Tippen zu vergällen – hatte ich es doch gewagt, den andächtigen Moment weiterhin zu stören. Nun bin ich allerdings öfter unterwegs und genieße das Arbeiten in vollen Zügen, habe also entsprechende Erfahrung mit überbreiten Sitznachbarn und drücke gerne einfach zurück. Schließlich verlor auch er die Fassung und schalt mich für meinen Arbeitseifer: „Wollen Sie jetzt etwa die ganze Zeit mitschreiben?!“ Ich bestätigte, worauf er sich erhob, die Suche eines anderen Sitzplatzes ankündigte und ob meines „Machen Sie das!“ vermutlich auch nicht gerade wohllauniger wurde. Zugegeben, wenn man in einer völligen Offline-Welt lebt, kann es mitunter irritierend sein, dass jemand öffentlich ein technisches Gerät betreibt. Ich wollte also nicht so sein und bemühte mich sodann bewusst leise zu tippen, was sich gleichwohl ungünstig auf die Ausführlichkeit meiner Notizen auswirkte und mir so das ein oder andere Bonmot der anschließenden Diskussion auf dem Podium abhanden kam.

Dort wurde nämlich unter der länglichen, aber dennoch überraschend gut vorbereiteten Moderation von Eckart Hohmann, Präsident des Statistischen Landesamts Hessen, erst recht angenehm diskutiert: Mehr Gesetze brächten nicht viel, forderte der Jurist Ulrich Siebel, man müsse auf technische Vorrichtungen setzen. Man sei besser geworden, aber es müsse noch viel passieren, stimmten die Informatiker ein. Welche Probleme man schließlich beim Automobilbau habe, steuerte Lehners von der Daimler AG bei. Dennoch könne man die Hacker und die internationale organisierte Kriminalität, die Daten im Netz stehle und auf dem Schwarzmarkt neben Sicherheitslücken, Viren und Malware anbot, nicht effektiv vorgehen, solange man – Sie raten es! – die Speicherung von Verkehrsdaten nicht habe, wozu, so Sieber die Sache auf den Kopf stellend, eben auf die Vorratsdatenspeicherung gehöre. Diese sei nötig und zwar nicht nur in Deutschland oder Europa, sondern Weltweit. Wenigstens Katzenbeisser schaffte es noch, auf die Illusion völliger Sicherheit auf Kosten der Freiheit knapp zu verweisen, als ich ein Herr in der Mitte des Raums fuchtelnd Gehör verschaffte: Software-Updates, ja schön und gut, aber er habe beim Windows-Update immer ein mulmiges Gefühl. Schließlich könne der Server ja gehackt sein. Katzenbeisser antwortete wie erwartet, dass es durchaus technische Möglichkeiten zum Schutz gebe, was den Fragenden kaum überzeugte.

Gut, solche Fragen mögen Ausrutscher sein… auf anderen Diskussionsveranstaltungen vielleicht. Das Eis war gebrochen und die nächste Frage lautete von einer Dame, was denn nun sicherer sei: E-Mail oder Fax? Intuitiv, so Katzenbeisser, wohl das Fax, aber auch da gebe es Manipulationsmöglichkeiten. Vermutlich glücklich über diese Antwort ging die Dame sogleich zum nächsten Anliegen über: „Facebook – soll man da jetzt rein?“ Überraschtes Raunen erreichte mein linkes Ohr, wo sich einige Mitglieder des örtlichen Chaos-Treffs niedergelassen hatten. Aber doch, diese Frage hatte sie tatsächlich gestellt und sogar wiederholt. Katzenbeisser parierte wieder wie erwartet. Sie müsse das selbst wissen, aber er habe kein Facebook-Profil. Glücklich mit professoralem Segen für Fax und Fluch für Facebook ließ sie es dann damit bewenden. Es lohnt kaum, die weiteren Fragen im einzelnen zu berichten. Die Diskutanten hatten längst das Problem erkannt und begannen die Schwierigkeiten in Automobil-Metaphern nachzuerzählen, womit vor allem die Notwendigkeit möglichst einfach zu bedienender Tools unterstrichen werden solle. Der Nutzer müsse in die Lage versetzt werden, ein System so einfach zu bedienen wie ein Auto. Sicherheits-Tools seien zu kompliziert. Man sei zwar schon besser geworden, aber gerade für Administratoren, die schließlich auch nur Menschen seien, gebe es noch viel zu tun. Überhaupt, der Nutzer… Ich konnte mich dann doch nicht mehr zurückhalten, ergriff das Wort und kritisierte, dass der Bürger in solchen Diskussionen nicht als politisches Subjekt auftrete, sondern immer nur als Nutzer und Verbraucher, sodass man die Diskussion besser mit „Wirtschaft und Verbraucher“ überschrieben hätte. Entsprechend, so beklagte ich weiter, würde man auch immer nur von dem Dilemma von Sicherheit vs. Freiheit reden, um dann nur über Sicherheit und nie über Freiheit zu reden, was schließlich zum dritten Punkt führe, dass Hersteller durch ihre Produktpolitik „atyptisches Benutzerverhalten“ geradezu provozierten – oder um im Auto-Bild zu bleiben: Viele technische Produkte glichen einem Mercedes, bei dem die Sicherheitsgurte versagen, wenn man vorne den Stern abbricht. Bevor Katzenbeisser mir in diesem Punkt zustimmte, es aber für eine Frage des Business-Models hielt, erreichte mich aus der linken vorderen Ecke der Ruf „Ja, wir wissen es jetzt!“ Ich meine den Herrn, der sich zum Umsetzen genötigt sah, wiedererkannt zu haben. Auf den politischen Aspekt meines Einwandes wurde leider nicht geantwortet.

Bald moderierter man ab und kündigte ein Gläschen an, was Schirm sofort enttäuschte: Wein gibt es bei Friedrich-Ebert offenbar ebenso wenig wie WLAN-Passwörter, dafür aber Coca-Cola. Wenigstens die Dame, die unter den zur Anfertigung dieses Textes nötigen Notizen so unsagbar gelitten hatte, ließ noch einige andere von meinem Arbeitseifer und ihrer mangelnden Erziehung wissen.

Da ich kein Ruby kann und dachte, dass ein so naheliegendes Feature existieren müsse, fragte ich auf irc.oftc.net in #pentabarf nach: keine Antwort. Auch Google wusste nichts, das Bugtrackingsystem nicht etc. – Ich glaube bis heute nicht, dass niemand dieses Feature requestet hat… naja.

Ich kann jetzt übrigens so viel Ruby, dass ich das Problem selbst gelöst habe. Mal sehen ob eine Reaktion auf den Patch erfolgt %-)

Nun erschreckt es mich ja gar nicht so sehr, dass Benutzer mit der Installation von Root-Zertifikaten Probleme haben. Das ist ja, sofern man nicht weiß, was man da tut, ein etwas seltsamer Vorgang. Irritierender finde ich eher, dass so wenig Klagen gekommen sind: Vermutlich haben viele Benutzer die Warnung des Browsers, dass er das alte Zertifikat nicht verifizieren kann, einfach ignoriert und “Ich kenne das Risiko” angeklickt. Ich frage mich nur, wie viele von denen das Risiko wirklich kannten… gut, zugegeben: Es war eh gering

Der Computer selber sah auf dem ersten Blick einfach nur etwas älter aus und man musste schon zweimal hinsehen, um zu entdecken, dass das Gehäuse falschherum angebracht war, weswegen die Seitenwände abstanden. Besonders kreativ war aber der Einschaltmechanismus:

Da es sich um ein ATX-Netzteil aber um ein AT-Gehäuse handelte, das einen richtigen Schalter und nicht nur einen Taster verwendete, musste man improvisieren. Manch einer hätte vielleicht einfach einen Taster angelötet, aber man kann natürlich auch einfach die beiden Drähte kurz aneinander halten. Diese kreative Bauweise setzte sich beim Netzteil natürlich fort:

Das Netzteil war an keiner Stelle fixiert, sondern lag halb auf dem Gehäuse, halb auf den Flachbandkabeln der Laufwerke auf. Ein Stoß hätte wohl gereicht, damit …

das Netzteil auf die frei schwebenden PCI-Karten herabgefallen wäre. Die Kabelstumpen recht kann man hier übrigens noch deutlicher sehen:

Neben den Spinnweben kann man jetzt auch deutlich sehen, dass man ein Board mit ATX-Formfaktor gedreht in ein AT-Gehäuse eingebaut hatte. Entsprechend waren die Anschlüsse nicht da, wo man sie vermuten würde:

Unter den Anschlüssen ist das Stück Pappe zu erkennen, auf dem das Board befestigt war. Ich musste übrigens vor der Demontage Daten vom Rechner herunterkopieren und stellte einfach nur das Fehlen eines USB-Ports für meine externe Festplatte fest. Ich wusste ja nicht, dass ich an dieser Stelle hätte suchen sollen…

Nach einiger Zeit hatte ich dann die Daten auch auf das neue Notebook (Baujahr 2004) kopiert. Dann sollte es nur noch ans Internet angeschlossen werden. Mir war allerdings nicht klar, dass das Windows XP noch nie in der Nähe einer Netzwerksbuchse gewesen war: Das Herunterladen von Servicepack 2 habe ich dann nicht mehr erlebt…