You are on page 1of 14

www.spiegel.

de :

Wir sind die Guten -


(Chaos Computer
Club & Schäuble´s
Fingerabdruck)
Von Ansbert Kneip

Sie hacken Wahlcomputer und Firmenrechner, kopieren den


Fingerabdruck
von Minister Schäuble. Sie wollen beweisen, wie
angreifbar die
digitale Welt ist - die Hacker vom Chaos Computer Club
haben die Rolle
des obersten Datenschützers übernommen.

Die Sache mit Schäubles Fingerabdruck, sagt Constanze


Kurz, die habe
eine Menge Arbeit gemacht. Hätte sie nicht mit gerechnet.
Constanze
Kurz, 34 Jahre alt, blondes Haar, Informatikerin an der
Humboldt-Universität Berlin, ist Sprecherin des Chaos
Computer Clubs.
Sie hat sich in der Böse Buben Bar verabredet, das ist ganz
in der
Nähe der Clubräume in Berlin-Mitte, und natürlich passt
der Name auch
so schön: Klar, Hacker sind böse Buben.

Hacker, das sind Leute, die dem Bundesinnenminister


heimlich einen
Fingerabdruck abnehmen, tausendfach auf Folie drucken,
verteilen, so
wie es der Chaos Computer Club getan hat. Und nun kann
sich jeder den
Abdruck auf den eigenen Zeigefinger kleben und damit
eine
Zugangskontrolle überwinden. Das Lesegerät würde
glauben, der Finger
gehöre tatsächlich zu Wolfgang Schäuble, so gut ist die
Kopie, und so
dumm sind die Lesegeräte.

Jeder kann Wolfgang Schäuble sein, zumindest in der


Theorie. Um aber
praktisch mit dem Abdruck etwas anzufangen, müsste
zunächst einmal
irgendwo eine Tür stehen, die sich selbst für den deutschen
Innenminister erst öffnet, nachdem er seinen Fingerabdruck
vorgezeigt
hat.

So eine Tür gibt es nicht.

Egal, "darauf kommt's nicht an", sagt Constanze Kurz. Es


ist eine
Frage des Prinzips.

Kurz fährt einen Kleinwagen, einen Smart, er parkt vor der


Tür. An
diesem Smart lässt sich sehr schön erklären, was für ein
Prinzip das
ist, um das es den Hackern vom Chaos Computer Club
geht, beim
Fingerabdruck, bei Wahlcomputern, Firmenrechnern oder
eben Kleinwagen.

Die Hackerin hat gelernt, ihr Auto selbst zu reparieren, sie


kann
Kleinteile auswechseln und in der Elektrik herumfrickeln,
aber das
reichte ihr nicht. Also versuchte sie das, was normalerweise
nur der
Fachmann in der Kfz-Werkstatt darf: das Auto an einen
Laptop
anschließen und ein Diagnoseprogramm laufen lassen. Sie
suchte im
Wagen nach der Schnittstelle, forschte nach einem
passenden Adapter
für den Rechner, fand irgendwo im Internet das
Diagnoseprogramm, und
als sie alles beieinander hatte, konnte sie einfach mal
nachschauen,
wie es im elektronischen Hirn ihres Autos denn so aussieht.

Jedes moderne Fahrzeug besitzt so ein


Computergedächtnis, es speichert
die Motordaten, die Fehlermeldungen der Elektronik oder
registriert
kritische Situationen, beispielsweise wenn der
Querbeschleunigungssensor ein Schleudern registriert. Die
Mechaniker
wissen dank des Rechners, welche Fehler sie beheben
müssen, welche
Bauteile austauschen. Laien sollten davon eigentlich die
Finger
lassen.

Constanze Kurz hat also einen Zugang benutzt, der nicht


für sie
gedacht war, und ein Programm benutzt, das nicht für sie
gemacht ist.
Sie hat ihren Smart gehackt. Und die Daten, auf die sie
stieß,
bewertet sie anders, als ein Kfz-Meister es tun würde: "Da
kann man
ein schönes Bewegungsprofil mit erstellen", sagt sie.

Das ist das Prinzip: Türen öffnen, Daten sichten, vor


Missbrauch
warnen. Ob es wirklich jemanden gibt, der sich dafür
interessiert,
wann Constanze Kurz morgens den Motor startet, spielt
dabei keine
Rolle.

Vor kurzem war Kurz zu Gast bei Peter Schaar, dem


Bundesbeauftragten
für den Datenschutz. Schaar mahnt von Amts wegen, er ist
meistens in
der Defensive. Datenschutz gilt vielen als hinderlicher
Luxus. Dann
muss Schaar zum Beispiel erklären, warum Daten aus den
Mautbrücken
über der Autobahn nicht zur Verbrecherjagd benutzt werden
dürfen.
Wahrscheinlich beneidet Schaar den Chaos Computer Club
(CCC) um die
Möglichkeit, einfach mal spektakulär zu zeigen, wie
einfach sich Daten
missbrauchen lassen.

Der Club stellt sogar Sachverständige am


Verfassungsgericht

Und so ist der CCC längst zum eigentlichen obersten


Datenschützer
geworden, zum Greenpeace für Computer.

Gut, etwa 80 Prozent aller Hacker im CCC, sagt Kurz,


"sehen
tatsächlich so aus, wie man sich Hacker vorstellt", also
bleich wie
ein Nachtalb, fast immer männlich, oft mit Fusselbart und
Kapuzenpulli. Viele reden nicht viel, und nicht alle riechen
gut. Sie
trinken Club-Mate, ein koffeinhaltiges Gesöff, das beim
Wachbleiben
hilft und besser verträglich sein soll als Kaffee oder Cola.
Oft haben
sie Magenprobleme. Diese Nerds bilden die Basis des
Clubs.

Es gibt eine Debatte im Club, was die eigentliche Aufgabe


ist: eine
Umgebung zu schaffen für ebendiese Tüftler, Freaks und
Experten. Sie
sollen in den Clubräumen herumforschen dürfen und
gleichsam nebenbei
die sogenannte Hackerethik des Clubs inhalieren: nicht
zerstörerisch
arbeiten, keine Daten plündern oder verkaufen, keine Viren
in die Welt
setzen.

Oder soll der Club noch politischer werden, eine


Lobbygruppe für den
Datenschutz? Dann müsste es etwa ein Büro geben, mit
bezahlten
Kräften, und die Sprecher müssten nicht mehr ehrenamtlich
und nach
Feierabend vor die Kameras treten. Das Chaos müsste
professionalisiert
werden.

Als Experten sind die Hacker längst anerkannt, der Club


stellt
Sachverständige am Bundesverfassungsgericht und bei
Anhörungen in
Bundestagsausschüssen. Er führt vor, wie unsicher die
digitale Welt
ist und wie einfach auszuhebeln. Und manchmal bewirkt
ein kleiner Hack
des CCC mehr als das sorgfältig zusammengetragene
Jahrbuch eines
Datenschutzbeauftragten.

Zum Beispiel in Hamburg: Dort sollte die


Bürgerschaftswahl im März
eigentlich mit einem elektronischen Wahlstift durchgeführt
werden. Das
Hamburger Wahlrecht ist furchtbar kompliziert, und
deshalb sollte
dieser elektronische Stift her: Durch eine kleine Kamera
sieht der
Stift, wo der Wähler sein Kreuz macht, und überträgt die
Daten an
einen Computer. Um kurz nach sechs drückt der Wahlleiter
auf einen
Knopf, und der Rechner spuckt das Ergebnis aus. So etwa
war es
geplant.

"Wir hielten das nicht für sicher", sagt Frank Rieger, auch
er ein
Sprecher des CCC. "Der Wähler weiß nicht, was im Innern
der Geräte
passiert, er kann nicht kontrollieren, ob seine Stimme
korrekt gezählt
wird." Beim herkömmlichen Auszählen der Stimmzettel
darf jeder Bürger
zusehen, beim Ausdrucken eines Computerergebnisses
bringt Zugucken
aber nichts.

Die Hacker baten den Wahlleiter um ein Exemplar des


Stifts, sie
wollten sich das Teil gern mal ansehen. Sie bekamen
keinen, natürlich
nicht. Also kauften sie einen fast baugleichen, öffneten ihn,
untersuchten Kamera, Software, Datenübertragung, sie
lasen die
Dokumentation, und am Ende hatten sie einen genialen
Weg gefunden, das
Gerät zu überlisten.

In den Stift kamen sie nicht richtig rein. Also haben sie
einfach das
Papier gehackt.

Damit der Stift "weiß", wo der Wähler sein Kreuz macht,


sind auf den
Wahlzettel sehr feine Muster aufgedruckt, mit bloßem Auge
praktisch
nicht erkennbar. Wer die CDU wählt, führt die Stiftkamera
über ein
anderes Muster als ein SPD-Wähler, der Stift erkennt also
nicht das
Kreuzchen, sondern das Papier darunter.

Die CCC-Leute stellten nun einen Wahlzettel vor, bei dem


alle Parteien
das gleiche Muster trugen. Nun wäre es egal, welche Partei
der Wähler
ankreuzt, der Stift sieht - und zählt - immer nur die eine.

Nachdem Rieger den Hack im Hamburger Rathaus


präsentierte, war der
Wahlstift erledigt. Über eine Million Wahlzettel hätten
manipulationssicher hergestellt und verteilt werden müssen.

Die meisten Hacks, meint Constanze Kurz, seien


vergleichsweise einfach.

Den Fingerabdruck eines Politikers zu knacken zum


Beispiel - "Dit kann
jeder." Kurz spricht schnell und berlinert stark, vor allem
aber kommt
sie ohne "Technobabbel" aus, wie sie das nennt. Sie kann
komplizierte
Dinge einfach erklären. So, dass auch Journalisten
verstehen, was sie
meint. Oder Politiker.

Also, ein Grundkurs Fingerabdruckklau in einfachen


Worten: Man braucht
einen möglichst sauberen Fingerabdruck, auf einem
Trinkglas
beispielsweise. "Autogrammkarte is ooch jut", sagt Kurz,
wegen des
Hochglanzpapiers.

Dann nimmt man einen kleinen Behälter, etwa den Deckel


einer
Trinkflasche, tropft ein bisschen Sekundenkleber hinein
und hält den
Deckel über den Fingerabdruck. Das Gas aus dem Kleber
reagiert mit dem
Fett vom Abdruck und macht die Linien schön sichtbar.
Nun lässt sich
ein Foto schießen, im PC bearbeiten und per Laserdrucker
auf Folie
ausdrucken. Fertig.

Neu ist das Verfahren nicht. Wie man einen Abdruck


vervielfältigt,
zeigte der Club schon 2004. Damals hatte die Ladenkette
Edeka in
einigen Geschäften das Zahlen per Fingerabdruck
ermöglicht, der CCC
monierte, das Verfahren sei nicht sicher. Niemand reagierte.
Im Jahr
2007 half der Club Redakteuren von "Plusminus" beim
Einkaufen - mit
gefälschten Abdrücken an den Fingern.

Ist das legal?


Hacken an der Grenze zur Illegalität

Constanze Kurz zögert ein wenig. Der Missbrauch ist


natürlich
verboten. Aber Schäubles Finger zu verbreiten, meint sie,
wohl nicht.
Aber weil sie nicht weiß, ob das Innenministerium trotz
aller
öffentlichen Gelassenheit nicht doch eine Klage plant, will
sie lieber
nicht genau sagen, wie der Club an den Abdruck des
Ministers gekommen
ist.

Als der CCC 1981 gegründet wurde, hieß der Feind noch
Deutsche
Bundespost. Der Post unterstand damals die
Telekommunikation, und an
den eigenen Telefonanlagen herumzuschrauben war
gesetzlich verboten.
Als die Post dann den BTX-Dienst gründete, eine ärmliche
Frühform des
World Wide Web, ging auch der CCC online.

1984 wurden die Hacker erstmals bundesweit bekannt: Sie


hatten eine
Lücke im BTX-System der Post entdeckt und konnten so
den Computer der
Hamburger Sparkasse dazu bringen, dem Club im Laufe
einer Nacht rund
135.000 Mark zu überweisen. Das Geld zahlten sie sofort
zurück.

Drei Jahre später schafften es CCC-Leute, sich in ein Netz


von
Großrechnern einzuklinken, sie landeten bei der Nasa, bei
der Esa, bei
Philips und bei der französischen Atomenergiebehörde. Der
damalige
Sprecher des Clubs wurde deswegen später in Frankreich
verhaftet und
saß neun Wochen in Haft.

Etwa zur gleichen Zeit hatten andere Hacker ihr Wissen


über die Lücken
in den westlichen Computern zu Geld gemacht und an den
sowjetischen
Geheimdienst KGB verkauft, das war der erste große
Sündenfall.

Heute gilt der Grundsatz, dass von den Räumen des CCC
aus fremde
Computer in Ruhe gelassen werden. Das klappt in der
Regel auch, nur
nicht bei den alljährlichen Kongressen, die der CCC
veranstaltet. Dann
sitzen einige tausend Hacker beisammen, die sich
gegenseitig gern
etwas beweisen wollen. Für angegriffene Unternehmen
unterhält der Club
eine eigene Beschwerdestelle.
Im Grunde aber geht es auch auf den Kongressen vor allem
um
Datenschutz, um die Gesundheitskarte, um Anonymität im
Netz oder um
das Ausschalten von Überwachungskameras.

Constanze Kurz, die Sprecherin des Clubs, hält die Sorge


vor dem
Überwachungsstaat nicht für übertrieben. Die meisten
Politiker, sagt
sie, seien im Grunde "merkbefreit", sie hätten ihren PC nur,
damit
ihre Sekretärin ihnen die E-Mails ausdrucken könne - und
wer von
Computern nichts verstehe, dem könne sie auch kaum
klarmachen, was an
Vorratsdatenspeicherung oder Online-Durchsuchung so
schlimm sei.

Vielleicht ist das paranoid. Viele Hacker wittern


Verfolgung,
Kontrolle und Geheimdienste, wo möglicherweise gar
keine sind. Aber
vielleicht ist das auch ein ganz natürlicher Prozess: Je mehr
einer
über die Lücken und Möglichkeiten der digitalen Welt
weiß, desto
größer seine Sorgen.

Vor der vermeintlichen oder tatsächlichen Bedrohung


schützt sich
Constanze Kurz also selbst: Sie telefoniert mit einem
abhörsicheren
Handy, das von vertrauenswürdigen Menschen entwickelt
und vertrieben
wird, nämlich von Veteranen des CCC. Sie verschlüsselt
ihre E-Mail,
gibt ihren Rechner nicht aus der Hand, lässt
Wachprogramme laufen und
verschlüsselt die Festplatte. "Hier kommt Schäubles
Bundestrojaner
nicht drauf", sagt sie.

10. Mai 2008, 00:00 Uhr


URL:
http://www.spiegel.de/spiegel/0,1518,553198,00.html
---------------------------------------------