Die Hacker sind an gar nichts schuld

Sehr geehrte Damen und Herren beim Deutschlandfunk,

seit Tagen berichten Sie immer wieder von dem Angriff auf die IT-Systeme des Deutschen Bundestags. Während ich der Berichterstattung bislang nur äußerst wenige technische Details zu Art und Umfang des Angriffs entnehmen konnte, ist mir aufgefallen, dass Sie regelmäßig von „Hackern“ sprechen, die den Angriff ausgeführt haben sollen. Während es nach meinem aktuellen Kenntnisstand nicht gänzlich auszuschließen ist, dass dem tatsächlich so gewesen sein könnte, halte ich es doch für äußerst unrealistisch, und bitte Sie, von dieser unbegründeten Anschuldigung in Zukunft Abstand zu halten.

Die genaue Definition dessen, was einen Hacker ausmacht, ist durchaus subtil. Für eine differenzierte Diskussion möchte ich Sie unter anderem auf das Jargon File [1] und die private Webseite von Richard Stallman [2] verweisen. In aller Kürze möchte man vielleicht sagen, dass ein Hacker eine technisch und mathematisch gebildete Person ist, die durch kreative Anwendung von Technologie neue und für den durchschnittlichen Betrachter verblüffende Ergebnisse erzielt, und dabei spielerische Freude empfindet. Viele Hacker interessieren sich für Sicherheit und hegen insbesondere eine tiefe Abneigung gegenüber Pseudo-Sicherheit, die maßgeblich auf dem (vermeintlichen) Unwissen der potentiellen Angreifer basiert. Diese Hacker sind sich in aller Regel ihrer Verantwortung für die Öffentlichkeit bewusst, und informieren aktiv über Gefahren und ihre Behebung. Leider finden sie häufig nicht das ihnen gebührende Gehör. Um ihren Thesen mehr Nachdruck zu verleihen, entschließen sich Hacker gelegentlich, durch spektakuläre Demonstrationen unter Beweis zu stellen, dass die Gefahren, vor denen sie gewarnt haben, alles andere als hypothetischer Natur sind. Ethisch verantwortungsvolle Hacker legen dabei großen Wert darauf, mit ihrer Demonstration keinen ernsthaften Schaden anzurichten, und informieren die Öffentlichkeit umgehend und umfassend über ihre Aktion. Schließlich war der gesamte Zweck der Aktion von Anfang an, Bewusstsein zu schaffen, und nicht kriminelle Ziele zu erreichen. Da im Fall des aktuellen Angriffs auf den Bundestag alle Anzeichen für einen solchen Hintergrund fehlen, halte ich es für sehr unwahrscheinlich, dass Hacker hinter dem Angriff standen.

Demgegenüber hat in den vergangenen Jahren das organisierte Verbrechen die Internet-Kriminalität für sich entdeckt, und versucht, Schwachstellen in IT-Systemen – nicht selten solche, auf die ehrliche Hacker zuvor vergeblich hingewiesen hatten – für ihre kriminellen Machenschaften auszunutzen. Die Personen, die solche Angriffe tätigen, sind in der Regel nicht übermäßig intelligent und ihr Tun ist jedenfalls nicht durch die Freude an technologischen Herausforderungen, sondern der Gier nach schnellem Geld und nicht selten wohl auch dem blanken Trieb ums Überleben motiviert. Zu diesen Kriminellen haben sich in jüngerer Zeit auch Geheimdienste und andere staatliche Organisationen gesellt, die dieselben Mittel benutzen, um ihre jeweiligen Ziele zu verfolgen. Bitte bezeichnen Sie solche Täter nicht als „Hacker“. Wie ich hoffentlich nachvollziehbar darlegen konnte, erschöpfen sich die Gemeinsamkeiten beider Gruppen darin, dass beide häufig Computer benutzen. Eine Eigenschaft, die sie mit vielen weiteren Personengruppen teilen. Wenn Sie einen generischen Begriff verwenden möchten, um Personen zu bezeichnen, die mit kriminellen Absichten in fremde IT-Systeme eindringen, benutzen Sie bitte den von Stallman vorgeschlagenen Begriff „Cracker“ oder meinetwegen auch „Cyber-Kriminelle“. Diese Begriffe beschreiben die Täter besser und verunglimpfen nicht gleichzeitig eine gesellschaftliche Gruppe, die das in keiner Weise verdient hat.

Hätte das IT-Management des Bundestags auf das gehört, worauf Hacker seit langem öffentlich hinweisen, wäre der Angriff im Gegenteil vielleicht gar nie gelungen. Zum Ersten und am Wichtigsten ist, dass alle Hacker, die ich kenne, großen Wert darauf legen, ihr Wissen weiterzugeben, sich dafür erhebliche Zeit nehmen, und alles andere als einen esoterischen Zirkel bilden wollen. Menschen, die gut über Informatik und Sicherheit informiert sind, sind ein weniger leichtes Ziel für plumpe Angriffe. Professioneller IT-Support kann dem Benutzer einen Teil dieser Verantwortung abnehmen, aber eben nur einen Teil. Ebenso wie auch der beste Service einer Autowerkstatt nicht ersetzen kann, dass in der Fahrschule grundlegende technische Kenntnisse vermittelt werden, die es dem Fahrer erlauben, verantwortungsvoll mit der ihm anvertrauten Technik umzugehen.

Zum Anderen entnehme ich Ihrer Berichterstattung vom heutigen Tag [3], dass zumindest ein Teil des Angriffs auf den Bundestag äußerst plump gewesen zu sein scheint. Wie in dem Beitrag berichtet wird, scheinen E-Mails im Namen der Kanzlerin verschickt worden zu sein, die dazu aufgefordert haben, dubiose Software zu installieren. Nun scheint diese Masche zwar selbst CSU-Politikern suspekt gewesen zu sein, jedoch dürfte das allenfalls am fragwürdigen Inhalt der Nachricht gelegen haben. Seit Jahren werden Hacker nicht müde zu betonen, dass E-Mail per se keinerlei Schutz für die Vertraulichkeit und Authentizität der übermittelten Nachrichten bietet. Allerdings belassen es Hacker nicht dabei, auf solche Unzulänglichkeiten hinzuweisen, sondern haben mathematische Verfahren (OpenPGP [4, 5]) entwickelt, um diese Lücken zu schließen, diese implementiert und als freie Software für jedermann zur Inspektion, Benutzung und Weiterentwicklung veröffentlicht (GnuPG [6]). Mit den unvollständigen Informationen, die mir über den konkreten Angriff zur Verfügung stehen, will ich mich nicht leichtfertig zu überzogenen Äußerungen hinreißen lassen, aber es scheint mir plausibel zu sein, dass korrekter Einsatz von OpenPGP den Angriff vereiteln hätte können.

Leider scheint das IT-System Ihrer Redaktion ebenfalls auf Bundestags-Niveau zu sein. Jedenfalls habe ich vergeblich versucht, einen PGP-Key zu finden, mit dem ich diese Nachricht an Sie verschlüsseln könnte. Nachdem nun ohnehin die halbe Welt mitlesen kann, habe ich mich entschlossen, diesen Text gleich selbst auf meiner Webseite zu veröffentlichen. Allerdings habe ich dieses E-Mail mit einer OpenPGP-Signatur versehen. Falls Sie sich entscheiden, demnächst doch auf den Stand der Technik aufzurüsten, was ich sehr begrüßen würde, können Sie also nachträglich die Authentizität dieser Nachricht überprüfen – sofern Sie den Fingerprint meines Schlüssels auf vertrauenswürdigem Weg erhalten haben, wobei ich Ihnen nötigenfalls gerne behilflich sein werde.

Um meine vorherige Aussage besser zu motivieren, habe ich Ihnen auch ein E-Mail im Namen der Bundeskanzlerin geschickt, in dem Sie zu einer Telefonkonferenz eingeladen werden. Am Ende der Nachricht steht ein Text, der Sie darüber aufklärt, dass das E-Mail nicht von Angela Merkel stammt, keine Schadsoftware enthält und Sie dazu motivieren sollte, OpenPGP zu benutzen. Nachdem eine solche Fake-Nachricht trivial zu verschicken ist, und keinerlei intellektuelle Raffinesse meinerseits erforderte, weigere ich mich, dafür die Ehre der Bezeichnung eines „Hacks“ anzunehmen. Davon abgesehen, erfüllt diese Demonstration aber alle oben genannten Eigenschaften, die einen Hack von einem kriminellen Angriff aus niedrigen Beweggründen unterscheiden. Wenn auch Sie der Meinung sind, dass gut gemeinte Hinweise auf Schwachstellen im IT-System zusammen mit Anleitungen zu deren Behebung von kriminellen Machenschaften abgegrenzt werden sollten, und man sich die intellektuellen Menschen in diesem Land besser zu Partnern als zu Feindbildern machen sollte, hoffe ich, dass Sie zukünftig auch in Ihrer Berichterstattung sorgfältig zwischen Hackern und Crackern unterscheiden werden.

Mit freundlichen Grüßen

Moritz Klammler

Referenzen:

  1. Appendix C. Helping Hacker Culture Grow In: The Jargon File. Version 4.4.7, abgerufen am 15. Juni 2015. http://www.catb.org/~esr/jargon/html/appendixc.html
  2. On Hacking In: Richard Stallman’s personal site. Abgerufen am 15. Juni 2015. https://www.stallman.org/articles/on-hacking.html
  3. Bundestagsvizepräsident nimmt Verwaltung in Schutz. Deutschlandfunk, ausgetrahlt und online abgerufen am 15. Juni 2015. http://www.deutschlandfunk.de/cyber-angriff-auf-bundestag-bundestagsvizepraesident-nimmt.694.de.html?dram:article_id=322619
  4. J Callas, L Donnerhacke, H Finney und andere, OpenPGP Message Format. RFC 4880, November 2007, abgerufen am 15. Juni 2015. https://tools.ietf.org/html/rfc4880
  5. M Elkins, D Del Torto, R Levien und andere, MIME Security with OpenPGP. RFC 3156, August 2001, abgerufen am 15. Juni 2015. https://tools.ietf.org/html/rfc3156
  6. W Koch und andere, The GNU Privacy Guard. Version 2.1.5, veröffentlicht von der Free Software Foundation. https://gnupg.org/

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s