You are on page 1of 36

die datenschleuder.

Das wissenschaftliche Fachblatt für Datenreisende / Ein Organ des Chaos Computer Club

• Staatssicherheit aufgelöst
oder das Operationsgebiet eingenommen?
• SecurEdoc bei TNT: Ein kleiner, feiner Hack
und ein mittlerer Datenschutzskandal
• Dummheit - ein grausamer, globaler Gott
• Machtstrukturen und Zensur im Internet

ISSN 0930.1045 • Frühjahrsimulation 2001


074
dm 5,- (see the pattern?)
Postvertriebsstück C11301F
C
ADRESSEN / IMPRESSUM

Erfa-Kreise
Hamburg Berlin
Lokstedter Weg 72, D-20251 Hamburg, mailto:mail@ham- Club Discordia jeden Donnerstag zwischen 17 und 23 Uhr in
burg.ccc.de./ http://hamburg.ccc.de Phone: +49 (40) 401 den Clubräumen in der Marienstr. 11, Hinterhof in Berlin-Mitte.
801-0 Fax: +49 (40)401 801 - 41 Voicemailbox +49 (40)
Nähe U-/S-Friedrichstraße. Tel. (030) 285986-00, Fax. (030)
401801-31. Treffen jeden Dienstag ab ca. 20.00 Uhr in den
285986-56. Briefpost CCC Berlin, Postfach 640236, D-10048
Clubräumen. Der jeweils erste Dienstag im Monat ist Chaos-
Berlin. Aktuelle Termine unter http://www.ccc.de/berlin
Orga-Plenum (intern), an allen anderen Dienstagen ist jede(r)
Interessierte herzlich willkommen. Öffentliche Workshops im Ulm
Chaos Bildungswerk fast jeden Donnerstag. Termine aktuell un-
Kontaktperson: Frank Kargl <frank.kargl@ulm.ccc.de>
ter http://hamburg.ccc.de/bildungswerk/.
mailto:mail@ccc.ulm.de / http://www.ulm.ccc.de/
Köln Treffen: Montags ab 19.30h im 'Café Einstein' in der Universität
Ulm.
Chaos Computer Club Cologne (c4) e.V.
Vortrag chaos-seminar: Jeden ersten Montag im Monat im Hör-
Vogelsangerstraße 286 / 50825 Köln
saal 20 an der Universität Ulm.
50°56'45"N, 6°51'02"O (WGS84)
http://koeln.ccc.de/ Tel. 0221-5463953 Bielefeld
mailto:oeffentliche-anfragen@koeln.ccc.de
Kontakt Sven Klose Phone: +49 (521) 1365797, mail-
Treffen Dienstags 20:20
to:mail@bielefeld.ccc.de.Treffen Donnerstags, ab 19.30 Uhr in
der Gaststätte 'Pinte', Rohrteichstr. 28, beim Landgericht in Bie-
lefeld. Interessierte sind herzlich eingeladen.

Chaos-Treffs:
Aus Platzgründen können wir die Details aller Chaos-Treffs hier Freudenstadt, Giessen/Marburg, Hanau, Hannover, Ingolstadt,
nicht abdrucken. Es gibt in den folgenden Städten Chaos-Treffs, Karlsruhe, Kassel, Lüneburg, Mannheim /Ludwigshafen/Heidel-
mit Detailinformationen unter http://www.ccc.de/ChaosTr- berg, Mönchengladbach, München, Münster/Rheine/ Coesfeld
effs.html: /Greeven/Osnabrück, Rosenheim /Bad Endorf, Neunkirchen/
Bochum/Essen, Bremen, Burghausen /Obb. und Umgebung, Saarland, Würzburg, Schweiz /Dreyeckland: Basel, Österreich:
Calw, Dithmarschen/Itzehoe, Dresden, Emden / Ostfriesland, Wien
Eisenach, Erlangen /Nürnberg/Fürth, Frankfurt a.M., Freiburg,

Impressum
Herausgeber ter>, Carsten Wenzlow <knuckles>, Arne Ludorff <arne>, Dra-
(Abos, Adressen, etc.) gan Espenschied <esp>, Alvar Freude <alvar>, The Artist
Chaos Computer Club e.V. <BGGFFICG>
Lokstedter Weg 72, D-20251 Hamburg
Tel. +49 (40) 401801-0, Fax +49 (40) 401801-41,
mailto:office@ccc.de Eigentumsvorbehalt
Diese Zeitschrift ist solange Eigentum des Absenders, bis sie dem
Redaktion Gefangenen persönlich ausgehändigt worden ist. Zur-Habe-
(Artikel, Leserbrief etc.) Nahme ist keine persönliche Aushändigung im Sinne des Vorbe-
Redaktion Datenschleuder, Postfach 640236, D-10048 Berlin, halts. Wird die Zeitschrift dem Gefangenen nicht ausgehändigt,
Tel. +49 (30) 285.986.56 / mailto:ds@ccc.de so ist sie dem Absender mit dem Grund der Nichtaushändigung
in Form eines rechtsmittelfähigen Bescheides zurückzusenden.
Druck
Copyright
Pinguin-Druck, Berlin (http://www.pinguindruck.de/)
Copyright (C) bei den Autoren. Abdruck für nichtge-
ViSdP werbliche Zwecke bei Quellenangabe erlaubt.
Tom Lazar, <tom@tomster.org>
Mitarbeiter dieser Ausgabe
Tom Lazar <tom>, Andy Müller-Maguhn <andy>, Jens Ohlig
<jens>, Yannick <yannick>, Yinnick <yinnick>, Constantin Seibt
<cs>, Christoph Rothe <redbaron>, Matthias Mehldau <wet-

074-0
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-0
GELEITWORT / INHALTSVERZEICHNIS

Human Error

Your Name Brand Operating System and Browser, in conjunction with The Computer Indu-
stry, has determined that you have comitted a serious error. You will be permitted to con-
tinue on to the requested site on a temporary basis. The error described below must be
corrected within 30 days to avoid undesired consequences.

mail. Please do not ask us how to do this. The


The Computer Industry, after reviewing your Industry only tells you what is required of you,
purchasing history, has determined that you not how to do it.
have failed to spend your prescribed minimum • Next, place your computer, mouse, keyboard,
amount for new hardware and software. In monitor and all software in the trash. It is
order to better serve you, The Industry may, at important that you do not allow anything to be
it's sole option and without notice, terminate reused, as this will violate many software licen-
your computer, software, internet service, tele- ses and interfere with The Industry's revenue
phone service, cable connection, credit card, growth.
bank account, and life. Please assist us as we
continue to work toward our Great New Future • Check your favorite advertising sources for
by obeying the instructions below. Failure to newly released computers and software. Please
comply will force The Industry to escalate this pay particular attention to release and availabi-
incident to an Illegal Operation. Occasional lity dates. Select ONLY the very newest model
extreme cases may require a Fatal Exception. of computer and the most recently released
operating system. Purchase a new computer,
• Print this page, You will need it during later operating system, and application software.
steps. Use credit if necessary.
• Backup all your existing data. Be sure not to • Restore the user created data you backed up
backup any software. User data will include in a previous step. Again, do not ask us how to
your documents, photos, spread sheets, and E- do this. That is your responsibility.

Chaos Realitätsdienst: Kurzmeldungen . . . . . . . . 2 • Repeat at least once every year.


Staatssicherheit aufgelöst
oder das Operationsgebiet eingenommen? . . . . . 5 Resistance is Futile
SecurEdoc bei TNT:
Ein kleiner, feiner Hack und ein mittlerer Datens- The Industry
chutzskandal. . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Dummheit - ein grausamer, globaler Gott . . . . . 12 The Artist <theartist@art-techo.net>
Virtuelles Datenschutzbüro gegründet . . . . . . . . 15
CIA MANUAL – A STUDY OF ASSASSINATION . 17
Machtstrukturen und Zensur im Internet . . . . . . 25
Das besondere Buch[TM] . . . . . . . . . . . . . . . . . . 29
Termine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

074-1
die datenschleuder. 074 / Frühjahrsimulation 2001
074-1
CHAOS REALITÄTSDIENST: KURZMELDUNGEN

Aus dem Papierkörbchen einer Landesre- Das Gericht sieht in den Klauseln eine unange-
gierungsbehörde messene Benachteiligung der Kundinnen und
“Sehr geehrte Kolleginnen und Kollegen, an Kunden und erklärt die Einverständniserklärung
allen PCs im [...] werden wir über das Landes- betreffend die Verarbeitung und Nutzung der
verwaltungsnetz einen Internetzugang realisie- personenbezogenen Angaben gemäß § 9 Abs.
ren. Dieser Zugang muss aus 1 und Abs. 2 Nr. 1 AGB-Gesetz i.V.m. §§ 4 und
Sicherheitsgründen und entsprechenden Vor- 28 Bundesdatenschutzgesetz für unwirksam.
gaben des Landesbeauftragten für Datenschutz Damit darf Payback die Daten seiner jetzigen
auf die dienstlich notwendigen Internetseiten Kundinnen und Kunden nur nach den Vor-
beschränkt werden. schriften des Bundesdatenschutzgesetzes ver-
arbeiten, so weit dies zur Durchführung des
“Wir bitten Sie, den IuK-Referat [1] [...] die von Rabattverfahrens erforderlich ist. Vor rund
Ihnen benötigten Internetseiten zu benennen. einem Jahr ist das Rabattsystem "Payback" von
(Bitte grundsätzlich die URL, also z.B. http:// einigen großen Firmen (real, Galeria-Kaufhof,
www.baden-wuerttemberg.de oder ausnahms- DEA, Apollo, Consors, Europcar, AOL, dm-Dro-
weise, falls nicht möglich, eine umgangssprach- gerie Markt u.a.) eingeführt worden. Mittler-
liche Beschreibung, die uns das Auffinden weile sind es über 20 Unternehmen, weitere
ermöglicht, zu benennen.) sollen hinzukommen. Für die datenschutzrecht-
Aus den gemeldeten Seiten werden wir dann liche Prüfung ist die bayerische Datenschutz-
das Gesamtangebot erstellen. aufsichtsbehörde zuständig. Seit Einführung
der Karte reißen die Nachfragen von besorgten
Mit freundlichen Grüßen [...] Bürgerinnen und Bürgern und der Presse bei
den Datenschutzaufsichtsbehörden nicht ab.
Das liegt daran, dass weder die Einverständnis-
Datenschutzbedenken gegen Payback - erklärung noch die Allgemeinen Geschäftsbe-
Rabattsystem werden vom Gericht bestätigt dingungen hinreichend deutlich machen wer
Die Datenschutzaufsichtsbehörden der Länder über welche Daten verfügt und wo und von
Bremen, Berlin, Niedersachsen, Nordrhein- wem, welche Daten verarbeitet werden. Auch
Westfalen und Schleswig-Holstein begrüßen ist nicht klar: Werden die Daten über die
die jetzt veröffentlichte Entscheidung des Land- gekauften Waren zusammen mit den perso-
gerichts München I vom 1. Februar 2001 (Az.: nenbezogenen Daten der Kundinnen und Kun-
12 O 13009/00) - noch nicht rechtskräftig. Das den für alle Zeit gespeichert und
Landgericht hat zwei Klauseln in den Anmelde- weiterverarbeitet? Welche Daten werden per-
formularen des Payback-Rabattvereins e.V. auf sonenbezogen zwischen den Partnerunterneh-
Klage des Berliner Verbraucherschutzvereins men ausgetauscht? Was sind die in den
beanstandet. Das Gericht hat in seinem Urteil Geschäftsbedingungen genannten Mailings ,
dem Payback-Rabattverein verboten, die in und welche personenbezogene Daten werden
den Antragsformularen enthaltenen zentralen hierfür verarbeitet? Zweifel der Datenschutz-
Einwilligungsklauseln zur Datenverarbeitung zu aufsichtsbehörden werden nunmehr durch das
verwenden oder sich auf diese Klauseln bei der Urteil gerichtlich bestätigt. Die unklare Einver-
Abwicklung derartiger Verträge zu berufen. ständniserklärung, die die Kundinnen und Kun-
den abgeben müssen, entspricht nicht den
[1] Anm. d. Red.: Iuk = Information und Kommunika- Anforderungen des Bundesdatenschutzgeset-
tion zes (§ 4 Abs. 2 BDSG). Der Teilnehmer wird

074-2
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-2
CHAOS REALITÄTSDIENST: KURZMELDUNGEN

nämlich weder eindeutig über Umfang und Ex-MI6 Agent veröffentlicht Memoiren im
Zweck der Speicherung und die vorgesehene Internet
Datenübermittlung (welche Daten werden an Richard Tomlinson hat nicht nur ein Buch über
Partnerunternehmen von Payback weitergege- seine Tätigkeit beim Britischen Geheimdienst
ben) hinreichend unterrichtet, noch wird den geschrieben, das als Abrechnung angesehen
Kundinnen und Kunden eine hinreichende werden kann, sondern es auch kostenlos im
Möglichkeit eingeräumt, einzelne Datenverar- Internet veröffentlicht. John le Carrés Romane
beitungsformen nicht zuzulassen. Was dem sind zwar spannender, aber immerhin hat der
Kunden häufig nicht klar ist: Selbst bei Barzah- MI6 mit allen Mitteln versucht, die Veröffentli-
lung wird er beim Kauf mit Rabattkarte eindeu- chung dieses Buches zu verhindern... <tom>
tig identifizierbar. Die Daten ermöglichen, das
Kaufverhalten über mehrere Produktbereiche Quelle: http://www.thebigbreach.com/download/
und Unternehmen hinweg personenbezogen
auszuwerten. Aus der Verarbeitung persönli-
cher und kaufmännischer Daten kann zu jedem deCSS revisited...
Teilnehmer ein Profil gebildet werden, das den Ganze sieben Zeilen perl braucht es mittlerweile
Verbraucher zum gläsernen Kunden macht. nur, um das sowieso schon blamable ‘Content
Die Datenschutzaufsichtsbehörden erwarten Scrambling System’ zu entschlüsseln mit dem
nach dem Urteil nicht nur eine Korrektur der die Motion Picture Association of America
Anmeldeformulare, sondern eine klare Aufklä- (MPAA) das Kopieren von DVDs verhindern
rung der Kundinnen und Kunden, was mit wollte. Bevor deren Anwälte jetzt auch die Ver-
ihren Daten in welchen Verarbeitungsphasen breitung dieses Codes durch Abmahnwellen
gemacht wird: Wenn das informationelle unterbinden, schafft die Datenschleuder Fak-
Selbstbestimmungsrecht gewahrt bleiben soll, ten und druckt das kleine Meisterwerk einfach
müssen die Kundinnen und Kunden selbst ent- mal ab ;-)
scheiden können, was mit ihren Daten
geschieht. Wenn es den Unternehmen wirklich #!/usr/bin/perl -w
# 531-byte qrpff-fast, Keith Winstein and Marc Horowitz
nur um die Kundenbindung geht, wie in den # <sipb-iap-dvd@mit.edu> MPEG 2 PS VOB file on stdin ->
bunten Prospekten erklärt wird, sollte Payback # descrambled output on stdout
# arguments: title key bytes in least to most-significant order
wenigstens mit einer Variante seinen Kundin- $_='while(read+STDIN,$_,2048){$a=29;$b=73;$c=142;$t=25
nen und Kunden ermöglichen, nur Rabatt- 5;@t=map{$_%16or$t^=$c^=($m=(11,10,116,100,11,122,20
,100)[$_/16%8])&110;$t^=(72,@z=(64,72,$a^=12*($_%16
punkte zu sammeln, ohne dass es zu einer
-
weiteren Verarbeitung ihrer Daten zu anderen 2?0:$m&17)),$b^=$_%64?12:0,@z)[$_%8]}(16..271);if((@a=
unx"C*",$_)[20]&48){$h
Zwecken kommt. Die Datenschutzaufsichtsbe-
=5;$_=unxb24,join"",@b=map{xB8,unxb8,chr($_^$a[--
hörden werden die weitere Entwicklung auf $h+84])}@ARGV;s/...$/1$&/;$
diesem Gebiet der Kunden-/ Freundschafts-/ d=unxV,xb25,$_;$e=256|(ord$b[4])<<9|ord$b[3];$d=$d>>8^(
$f=$t&($d>>12^$d>>4^
oder Rabatt - Kartensysteme, insbesondere $d^$d/
nach Aufhebung des Rabattgesetzes, kritisch 8))<<17,$e=$e>>8^($t&($g=($q=$e>>14&7^$e)^$q*8^$q<
<6))<<9,$_=$t[$_]^
im Auge behalten. <tom>
(($h>>=8)+=$f+(~$g&$t))for@a[128..$#a]}print+x"C*",@a}';
s/x/pack+/g;eval
Quelle: http://www.datenschutzzentrum.de

074-3
die datenschleuder. 074 / Frühjahrsimulation 2001
074-3
CHAOS REALITÄTSDIENST: KURZMELDUNGEN

Man sells his soul for $400 on E-bay Das Quartalszitat:


SEATTLE 2-9-01 (AP) E-bay has become the Der Vorsitzende Richter am Landgericht Frank-
place to sell your soul. Adam Burtle, 20, sold his furt, Heinrich Gehrke, der den Opec-Prozess
soul on the Internet auction site, fetching $400 geleitet und Fischer als Zeuge vernommen
before the listing was removed and the Univer- hatte, nannte die Ermittlungen "hochgradig
sity of Washington student and part-time auto- lächerlich". Wenn die Staatsanwaltschaft
motive technician was suspended from the site. "immer diese Maßstäbe anlegen würde, wäre
sie zugemüllt mit Verfahren wegen Falschaus-
For his listing, the self-described atheist dis-
sage", sagte Gehrke dem Sender n-tvb. Die
played a picture of himself wearing an "I'm
Teile der Aussage Fischers, die zur Debatte
with stupid" T-shirt.
stünden, hätten mit dem eigentlichen Prozess
"Please realize, I make no warranties as to the nicht das geringste zu tun gehabt, meinte der
condition of the soul. As of now, it is near mint Richter. Vor deutschen Gerichten würde "von
condition, with only minor scratches," he morgens bis abends gelogen". Die Folge der
wrote. "Due to difficulties involved with remo- Ermittlungen sei, dass sich Zeugen künftig auf
ving my soul, the winning bidder will either Errinerungslücken beriefen, wenn sie über
have to settle for a night of yummy Thai food Dinge befragt würden, die mehr als 30 Jahre
and cool indie flicks, or wait until my natural zurücklägen. <tom>
death."
Quelle: Handelsblatt 20.02.01
EBay has blocked similar auctions in the past
but said Burtle's soul slipped through.

The bidding started a week ago at 5 cents.


Burtle's former girlfriend bid $6.66 but she was
overtaken in the final hour of the auction on
Thursday when the price shot up to $400.

The buyer was identified as a Des Moines,


Iowa, woman with an eBay feedback rating of
zero, meaning she has no track record with
other users of the Web site.

"I don't think she's going to be able to collect


on my soul, to be honest," Burtle said, adding
he didn't intend for the ad to be taken
seriously.

"I was just bored, and I'm a geek," Burtle said.


"So anytime I'm bored, I go back to my Inter-
net."

074-4
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-4
DATA-MINING AKTUELL

Staatssicherheit aufgelöst
oder das Operationsgebiet eingenommen?
von Andy Müller-Maguhn

"Nach langer Verzögerung der Antwort leugnet die Bundesregierung nun weitgehendst die
skandalösen Vorgänge, die mir während meiner USA-Reise unmißverständlich berichtet
wurden: [...] daß die CIA derzeit mit tatkräftiger Unterstützung bundesdeutscher Dienste
ehemalige Stasi-Offiziere unter Vertrag nimmt."
Aus einer Presseerklärung der innenpolitischen Sprecherin von Bündniss90/ Die Grünen
vom 10.03.1992

Ergebniss einer bisher erst groben Analyse BRD. Und jetzt kommen wir zu den Schön-
von Datenhinterlassenschaften heistfehlern dieser Operation.
Manche Artikel basieren auf langen Geschich- Bei der Auflösung des Ministeriums für Staatssi-
ten. Bei anderen Artikeln ist es genau umge- cherheit wurden ja, wie das neudeutsch so
kehrt: Artikel verursachen lange Geschichten. schön heißt "einige Arbeitskräfte dem Markt
Bei diesem Artikel ist die Geschichte evtl. in freigestellt." Schon die Frage wieviele Mitarbei-
beide Richtungen gleich lang. Und zwar ziem- ter das Ministerium für Staatssicherheit denn
lich. hauptamtlich hatte, lässt sich leider nicht so
Als die Deutsche Demokratische Republik einfach beantworten. Es gibt zwar einen Hau-
(DDR) aufgelösst wurde, hat sie neben merk- fen Akten, und Personallisten, aber die Inter-
würdigen Errinerungen auch noch - so glaubte pretationen dieses Materials gehen dann doch
man - einen der bestdokumentiertesten eher weit auseinander.
Geheimdienste der Welt hinterlassen. Die Nun war für die Bürger der ehemaligen DDR
Gauck-Behörde, offziell "Der Bundesbeauf- die Frage, wer denn nun früher für die Stasi
tragte für die Unterlagen des Ministeriums für gearbeitet hat oder nicht, schon eine Frage.
Staatssicherheit der ehemaligen Deutschen Man wollte schließlich nicht mit den selben
Demokratischen Republik" verwaltet immerhin Genossen noch einmal die - vermeintlich -
etliche Tonnen Akten und macht sie den neuen Staatsstrukturen aufbauen. Hilfreich war
betroffenen - Tätern wie Opfern - mit gewissen u.a. die "Liste der Hauptamtlichen Mitarbeiter
datenschutzrechtlichen Einschränkungen des MfS" die seit den frühen 90´er Jahren
zugänglich. Geschichtsaufarbeitung sollte mög- durch Publikationen der DDR-Bürgerbewegung
lich werden. verbreitet wurde. Sie enthält rund 100.000
Die Bürger der ehemaligen DDR schienen Mitarbeiter bzw. Datensätze (genau: 97.058
erreicht zu haben was sie wollten: das Ministe- plus minus ein paar) und gilt - präzise galt - als
rium für Staatssicherheit (die "Stasi") war auf- authentisch. Auch die juristischen Ausein-
gelöst, die DDR auch, ein paar leitende andersetzungen die die Verbreiter dieser Liste
Funktionäre im Gefängniss und die DDR jetzt bekamen (Neues Forum wegen Abdruck, Nie-

074-5
die datenschleuder. 074 / Frühjahrsimulation 2001
074-5
DATA-MINING AKTUELL

derspende.de wegen Verbreitung im Netz) • Personenkennzeichen (PKZ)


sprachen zumindest dafür, daß die Liste echte
Das PKZ ist das Identifikationskennzeichen für
Namen enthält.
DDR-Bürger. Setzt sich zusammen aus Geburts-
Als die Bürgerbewegten die Daten in den frü- datum (TTMMJJ), Geschlechtskennzeichen
hen 90er Jahren mit dBase verarbeiten, waren (4=m 5=w), 4 stelliger Ursprungskennziffer
die damals genutzten 386er eher an den Gren- (erste Anmeldung) und einer Prüfziffer. Algo-
zen ihrer Belastung. Bei 100.000 Daten fielen rithmus liegt vor. Datenbank der Ursprungs-
komfortable Suchaktionen und Quervergleiche kennziffer ist derzeit noch in der Erstellung
eher aus. Das ist zum Glück heute etwas (schlecht lesbare Papiervorlage). Die Papiere
anders. gibt es in Kürze auf ftp://ftp.ccc.de/pub/info-
pool/mfs/
Im Kontext eines Congresses in der ehemaligen
Parteischule der Sozialistischen Einheitspartei • Einheitenschlüssel (AB;CD;EF)
Deutschlands (SED) der ehemaligen DDR kam
Der Einheitenschlüssel besteht aus 3 Gruppen á
neulich mal jemand vorbei und erzählt merk-
zwei Nummern, wird aber zusammengezogen
würdige Geschichten: das ungefähr die Hälfte
interpretiert. Er gibt die Einheit des MFS an, bei
der Stasi-Mitarbeiter kurz vor der sogenannten
dem der/diejenige gearbeitet hat. Strukturda-
Wiedervereinigung unter den Tisch gefallen sei.
tenbank ist auf ftp://ftp.ccc.de/pub/infopool/
Zunächst war ein etwas toleranter Umgang mit
mfs/einheiten.dbf (bzw. .txt, .tab, .fm)
dem Fassungsvermögen der eigenen Hirnstruk-
turen gefordert: die Mauscheleien zwischen • Namensfeld (Name, Vorname)
Ost- und Westdiensten, die der junge Mann
• Gehalt
skizzierte waren zwar in sich schlüssig, entbehr-
ten allerdings auch nicht einer gewissen Kom- Die genaue Bedeutung des Gehaltsfeldes ist
plexität. Nachweise sollten folgen. umstritten. Einige Behaupten, es handele sich
hier um das Jahresgehalt. Andere sagen, es sei
Ein Hinweis war, daß mit der erwähnten Mitar-
das Gehalt seit Frühjahr 1989. Dritte sagen was
beiterliste der Hauptamtlichen Mitarbeiter
ganz anderes. Klar ist: die Liste enthält Gehalts-
etwas nicht stimmte; bestimmte Geburtstage
zahlen aus denen sich möglicherweise ein Hier-
wurden in Ihnen fehlen. Und damit fängt die
archiestatus inter- pretieren lässt. Das kann
Geschichte an, auch wenn dieser Artikel nur
Information oder Desinformation sein.
eine erste Auflistung von Merkwürdigkeiten
liefern kann. Zunächst sind wir also dem Hinweis auf Unre-
gelmässigkeiten im Bezug auf die Geburtsdaten
Die Mitarbeiterliste der Hauptamtlichen Mitar-
nachgegangen. In der Tat scheint es bei der
beiter ist im Netz verfügbar: mit dem Dateina-
Stasi gewisse Geburtsschwache Tage gegeben
men ma_stasi.zip wird man z.B. fündig. Welche
zu haben; unabhängig vom Geburtsjahr der
Version ihr allerdings im Netz findet, die von
jeweiligen finden sich weder am 17.03., 17.04.,
welcher Dienststelle welchen Geheimdienstes
17.05., 17.06., 17.07., 17.08. irgendwelche
modifiziert wurde, kann ich euch nicht sagen.
Einträge. Am 17.02. finden sich zwar 2 Ein-
Als Orientierung kann http://cryptome.org/
träge, allerdings sind beide aus dem Jahrgang
stasi-list.htm helfen.
1927. Bei allem Verständniss für historische
Die Struktur dieser Datenbank bzw. Liste Aufarbeitung handelt es sich hier offensichtlich
besteht aus: um Rentner.

074-6
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-6
DATA-MINING AKTUELL

Alle anderen Geburtstage scheinen in der Noch deutlicher wird die Manipulation der HA-
Datenbank sehr gleichmässig verteilt zu sein. Datenbank allerdings, wenn man sich die Ein-
Bei einer groben Annahme (Sollwert) von heitenzuweisung im Detail anguckt. Als Beispiel
100.000 Einträgen, geteilt durch die Anzahl für eine etwas detailliertere Analyse sei hier mal
möglicher Geburtstage (365) wäre der mathe- die Hauptabteilung III (Funkaufklärung)
matische Richtwert 273 Geburten pro Tag. In genommen. Unter dem "generellen" Einhei-
Unkenntnis etwaiger Geburtenschwachen tenschlüssel 940300 finden sich immerhin ins-
Tagen bzw. Monaten handelt es sich bei den gesamt 2312 Mitarbeiter. In den jeweiligen
vorliegenden Zahlen entweder um eine Diensteinheiten finden sich allerdings keine
erstaunlich primitiv frisierte Datenbase oder um Mitarbeiter. Eine grobe Hierarchie ließe sich
eine relativ mittelwertgenaue Geburtsanhäu- zwar aus den Gehaltszahlungen ableiten, aber
fung. keine Zuweisung zu den Diensteinheiten.

Diese beiden Indikatoren (fehlende 17. und


Mittelwert-Genauigkeit) können insofern nur
Schlüssel Oberbereich Unterbereich Diensteinheit Anzahl HA
bedingt als Indizen für eine Datenmanipulation 940300
940301
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik Leiter
2312
0

gewertet werden. Für beide sind "natürliche" 940302


940303
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
1. Stellvertreter des Leiters
Stellvertreter des Leiters
0
0
940304 Zentralbereich Hauptabteilung III Funk / Technik Stellvertreter des Leiters 0

Erklärungen dankbar. Im Bezug auf die fehlen- 940305


940309
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Stellvertreter des Leiters
Stellvertreter des Leiters
0
0
940306 Zentralbereich Hauptabteilung III Funk / Technik Bereichsleiter 0

den Geburten an den 17. kann es sich um 940307


940308
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Bereichsleiter
Bereichsleiter
0
0

einen - immerhin 10 Jahr nicht bemerkten - 940311 Zentralbereich Hauptabteilung III Funk / Technik Sekretariat 0
940312 Zentralbereich Hauptabteilung III Funk / Technik AKG 0
940313 Zentralbereich Hauptabteilung III Funk / Technik AG des Leiters 0

Datenverlust bei der Konvertierung von Daten- 940315


940316
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Abteilung 3
AG Finanzen
0
0
940319 Zentralbereich Hauptabteilung III Funk / Technik PO-Leitung 0

trägern schlechter Qualität handeln. Ein ent- 940322


940324
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Abteilung 11
Abteilung 4
0
0
940325 Zentralbereich Hauptabteilung III Funk / Technik Abteilung 5 0
sprechender Hinweis auf mögliche 940326
940327
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Abteilung 1
Abteilung 2
0
0

Datenträgerschäden liegt aus den Kreisen der 940328


940331
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Abteilung VO
Abteilung 6
0
0
940332 Zentralbereich Hauptabteilung III Funk / Technik Abteilung 7 0

konvertierenden Bürgerbewegten vor, konnte 940333


940334
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Abteilung 8
Abteilung 9
0
0
940335 Zentralbereich Hauptabteilung III Funk / Technik Abteilung 10 0

allerdings bis Redaktionsschluss noch nicht 940336


940337
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Abteilung 12
Abteilung 16
0
0
Abteilung 13
verifiziert werden. Ob der Indikator der
940338 Zentralbereich Hauptabteilung III Funk / Technik 0
940339 Zentralbereich Hauptabteilung III Funk / Technik Abteilung 14 0
940341 Zentralbereich Hauptabteilung III Funk / Technik Abteilung TN 0

"gleichmässigen" Verteilung (die Geburten pro 940342


940343
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Abteilung T2
Abteilung T3
0
0
940344 Zentralbereich Hauptabteilung III Funk / Technik Abteilung T4 0

Tag bewegen sich alle passgenau um den Mit- 940345


940346
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Abteilung T6
Abteilung T1
0
0
940347 Zentralbereich Hauptabteilung III Funk / Technik Abteilung T5 0
telwert von 273) gewertet werden kann, kann 940351
940352
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Abteilung F1
Abteilung F2
0
0

ich mangels Hinweisen auf etwaige übliche 940353


940354
Zentralbereich
Zentralbereich
Hauptabteilung III Funk / Technik
Hauptabteilung III Funk / Technik
Abteilung F3
Abteilung F4
0
0
940381 Zentralbereich Hauptabteilung III Funk / Technik Abteilung Planung 0

ungleichmässigen Verteilungen nicht feststel-


len. Diese Strukturverschleierung tritt bei allen
Wesentlich aufschlussreicher und als deutlich- Hauptabteilungen auf, in den Bezirksverwal-
ster Hinweis kann da schon der Abgleich der tungen des MfS hingegen ist sie vorhanden.
vorhandenen Datensätze der Hauptamtlichen Wenn die Strukturverschleierung in der Daten-
Mitarbeiter mit dem Einheitenschlüssel gelten. bank eine grundsätzlich vom MfS betriebene
Von den 2286 insgesamt vorhandenen Abtei- wäre, würde sie wohl kaum die Bezirksverwal-
lungen der Staatssicherheit wären beispiels- tungen außen vor lassen. Als Beispiel hierfür sei
weise 1349 ohne einen einzigen Mitarbeiter. willkürlich Leipzig gewählt.
Diese Unterbesetzung ist wohl selbst bei groß-
zügiger Lesart unrealistisch.

074-7
die datenschleuder. 074 / Frühjahrsimulation 2001
074-7
DATA-MINING AKTUELL

schlechter Laune oder Aufdeckung aktiver


Strukturen üben.
Schlüssel Oberbereich Unterbereich Diensteinheit Anzahl HA
130000 BV Leipzig Kreis- und Objektdienststellen KD-Namen fehlen 0
139901
139902
BV Leipzig
BV Leipzig
Leitungsebene
Leitungsebene
Leiter
1. Leiter-Stellv.(Operativ)
7
0
Um eine gründlichere Analyse durchzuführen,
139903 BV Leipzig Leitungsebene Stellvertreter Operativ 0
139904
139905
BV Leipzig
BV Leipzig
Leitungsebene
Leitungsebene
Stellv. für Aufklärung/Leiter
Stellvertreter OT
0
0
gibt es zunächst verschiedene Gedankenspiele.
139906
139910
BV Leipzig
BV Leipzig
Leitungsebene
Leitungsebene
AG Aktionen und Einsätze
persönlicher Referent des
8
0 Die meisten Forschungsanträge der Gauck-
130100 BV Leipzig selbständi. Referat Abwehr WBK 5
130200
130300
BV Leipzig
BV Leipzig
Abteilung II
Abteilung lll
56
26
Behörde und verfügbare Literatur über die
130600 BV Leipzig Abteilung VI 57
130700
130800
BV Leipzig
BV Leipzig
Abteilung VII
Abteilung Vlll
27
146
Aktivitäten des MfS betreffen beispielsweise
130900 Abteilung IX 46
eher Thematische als Strukturelle Belange. Eine
BV Leipzig
131100 BV Leipzig Abteilung XI 18
131200 BV Leipzig Abteilung Xll 30
131400
131500
BV Leipzig
BV Leipzig
Abteilung XIV
Abteilung XV
52
48 systematische Struktur- analyse wäre also in
131800 BV Leipzig Abteilung XVIII 99
131900
132000
BV Leipzig
BV Leipzig
Abteilung XIX
Abteilung XX
43
93
den jeweiligen Bereichen ein möglicher Ansatz.
132200 BV Leipzig AG XXII 6
132600 BV Leipzig Abteilung 26 48
132900
133000
BV Leipzig
BV Leipzig
BKG
Abteilung OT
16
15
Weitere mögliche Herangehensweisen wären
134000 BV Leipzig Abt. Kader und Schulung 61
134100
139000
BV Leipzig
BV Leipzig
PO-Leitung
BV der Volkspolizei BdVP Leipzig
7
0
durch differenzierte Arbeitshypothesen denk-
139100 BV Leipzig BV Zoll Zoll-Bezirksverwaltung 0
139900
130040
BV Leipzig
BV Leipzig
Leitungsebene
Kreis- und Objektdienststellen KD-Namen fehlen
0
187
bar. Wenn man beispielsweise die offensichtli-
130041
130042
BV Leipzig
BV Leipzig
Kreis- und Objektdienststellen
Kreis- und Objektdienststellen
KD-Namen fehlen
KD-Namen fehlen
77
61 che Datenmanipulation der Hauptamtlichen
130043 BV Leipzig Kreis- und Objektdienststellen KD-Namen fehlen 75
130044
130045
BV Leipzig
BV Leipzig
Kreis- und Objektdienststellen
Kreis- und Objektdienststellen
KD-Namen fehlen
KD-Namen fehlen
37
51
Liste zusammen mit den Rentenansprüchen
130046 BV Leipzig Kreis- und Objektdienststellen KD-Namen fehlen 40
130047
130048
BV Leipzig
BV Leipzig
Kreis- und Objektdienststellen
Kreis- und Objektdienststellen
KD-Namen fehlen
KD-Namen fehlen
28
36
ehemaliger HA´ler in die These der gewinn-
KD-Namen fehlen
trächtigen Einführung von Personen mit meh-
130049 BV Leipzig Kreis- und Objektdienststellen 33
130050 BV Leipzig Kreis- und Objektdienststellen KD-Namen fehlen 26
130051 BV Leipzig Kreis- und Objektdienststellen KD-Namen fehlen 38

reren Identitäten umwandelt, gäbe dies Anlass


Hier allerdings liegen die Unterabteilungen zur Überprüfung gewisser Geburtstage. Viel
offen; lediglich auf der Ebene der Leiter fehlen Spaß am Gerät.
die Hinweise. Und dann gibt es noch Mitarbei- Wer noch Material beizusteuern hat, ist herzlich
ter in Abteilungen, wo nur die Abteilungs- eingeladen, dies an die Redaktion Datenschleu-
schlüssel vorliegen, allerdings nichts über die der auf elektronischem (ds@ccc.de) oder posta-
Abteilungen selbst bekannt ist. lischem Wege (Postfach 640236, D-10048
Als Zusammenfassung dieser ersten groben Berlin) zu tun.
Analyse muss man wohl feststellen, daß auf-
grund dieser deutlichen Indikatoren für eine
Manipulation der Datenbestände auch die
anderen Abteilungszuweisungen nicht wirklich
als verlässliche Werte angenommen werden
können. In Zusammenhang mit verschiedenen
Hinweisen auf den Zeitraum, der der Staatssi-
cherheit für eine Strukturverschleierung bzw.
partielle Verlagerung von Personalbeständen in
andere Organisationen (Wirtschaftsunterneh-
men, staatliche geführte Unternehmungen
etc.) zur Verfügung stand, könnnte man sich
schon sorgen machen. Wenn man dann noch
die Hinweise auf die Übernahme des komplet-
ten Personalbestands einzelnder Abteilungen
durch andere Dienste - z.B. amerikanische -
hinzuzieht, kann man sich wahlweise in

074-8
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-8
DATA-MINING AKTUELL

074-9
die datenschleuder. 074 / Frühjahrsimulation 2001
074-9
SPASS AM GERÄT

SecurEdoc bei TNT:


Ein kleiner, feiner Hack und ein mittlerer
Datenschutzskandal
von Jens Ohlig und Yannick und Yinnick

Hacken ist manchmal ganz einfach: Es reicht eine dünne Leitung und ein handelsüblicher
Browser, man braucht weder crack noch portscan. Bei TNT SecureEdoc konnten mit solchen
Mitteln private Daten anderer betrachtet werden, sofern man denn im Geheimwissen der
mathematischen Grundrechenarten bewandert ist.

TNT SecureEdoc [1] ist ein bezahlter Dokumen- Zum Betrachten der Nachricht muß der Emp-
tenaustauschdienst des international bekann- fänger die URL, die u.a. die Package-ID ent-
ten Paket- und Logistikservice TNT, hält, einfach in seinem Browser öffnen. Nach
programmiert wurde diese Anwendung vom dem einfachen Klick erschien sofort die Seite
amerikanischen Softwareunternehmen Cer- mit der auzutauschenden Nachricht. Restriktion
tia [2]. Mit diesem Angebot will sich TNT offen- an der Stelle ist nur, ob diese Nachricht nicht
bar auf dem Markt als Logistikdienstleister nur auf den Status "nur ein mal lesbar" gesetzt
platzieren, der auch im Online-Bereich den wurde -- ein ohnehin zweifelhaftes Feature bei
Austausch von Dokumenten sicher abwickelt. manch "hängender" Leitung. Die letzten Zif-
Dabei setzt man auf eine Datenbank, in der die fern der Package-ID sind zweigeteilt: Die erste
ausgetauschten Daten abgelegt werden. Der Kolonne bezeichnet den Empfänger und die
Schlüssel zu den Nachrichten ist die Package- zweite die Dokumenten-Nummer. D.h. durch
ID, die -- wie später erklärt -- einfach auszure- einfaches Subtrahieren von Werten von diesen
chenen ist. Dabei ist der Dienst nicht nur für Nummern konnte man die Nachrichten anderer
den Austausch zwischen zwei angemeldeten Nutzer sehen.
Nutzern gedacht, sondern auch mit Usern, die
Dabei war natürlich nicht jede beliebige Kombi-
keinen Account haben, aber trotzdem eine von
nation gültig. Wurden mehrere Dokumente
einem eingetragenen und zahlenden TNT-Kun-
gleichzeitig verschickt, wurde die zweite Hälfte
den Dokumente erhalten sollen. Dazu wird der
der Package-ID um die Anzahl der verschickten
vom Nutzer angegebenen Email-Addresse eine
Dokumente verringert, wurde die Nachricht an
Nachricht mit der Package-ID gesendet. Doch
mehrere Empfänger verschickt, wurde wurde
das an sich schon sträfliche Loch der Abhörbar-
die erste Hälfte der Package-ID um diese
keit von SMTP- und POP-Verbindungen auf
Anzahl verringert. Die Anzahl der Dokumente
dem Weg durch das Netz wird noch übertrof-
und Empfänger konnte man in der angezeigten
fen von der Vorhersagbarkeit der übermittelten
Nachricht erkennen und wußte -- mit wenig
Package-ID.
Kopfrechnen -- sofort, welches die Package-ID
des vorhergehenden Vorganges war. Weiter
[1] http://www.tnt-securedoc.com
[2] http://www.certia.com/
wäre es möglich gewesen, mit ein wenig Par-

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-10
SPASS AM GERÄT

sen und Cookie-Verwaltung der HTML-Dateien sprecher der deutschen Niederlassung. Man tat
ein Skript ans laufen zu bekommen, daß die eifrig ("Ja, was für ein Computerclub war das
Zahl der Dokumente und Empfänger jeweils noch mal?"), aber nach einer Woche gab es
ausliest und automatisch Nachricht für Nach- dann immer noch keine Rückmeldung. Na gut,
richt einliest und verarbeitet. dann war man bei TNT wohl daran interessiert,
das ganze über dpa zu erfahren. Und so
Um durch dieses Vorgehen sukzessive die
geschah es dann auch. Nach der Veröffentli-
anderen Nachrichten zu öffnen brauchte man
chung der Pressemitteilung wurde der Dienst
also nur eine Ankernachricht mit Ausgangszah-
nach weiteren 24 Stunden ausgesetzt. Nach
len; glücklicherweise kann man sich zum Testen
einer Woche wird jetzt eine weitere Abfrage
eintragen und somit Nachrichten an einen
eines zusätzlichen Authentifizierungs-Tokens
Account schicken, auf den man selber Zugriff
vorgenommen, bevor die Nachrichten abrufbar
hat. Da dies ein bezahlter Dienst ist, kommt
sind. Die Problematik des Abhorchens der Mail-
einem auch die Bezahlung per (Online-)Rech-
daten löst das aber auch noch nicht.
nung entgegen, es ist aber in dem Dienst auch
möglich, die Beträge per Kreditkarte zu bezah- Bei TNT ist einem die ganze Sache wohl eher
len. Und spätestens da wird es richtig unange- peinlich. Hinter vorgehaltener Hand gab ein
nehm für die Nutzer: Da der Dienst ja speziell Mitarbeiter von TNT Deutschland zu, dass der
für den Austausch sensibler Daten geschaffen Service ja auch eher mit der heissen Nadel
wurde, liegen auch die Bestätigungen der per- gestrickt worden war: "Ich meine, wer braucht
sönlichen Daten inklusive der Kreditkartenda- so einen Scheiss?" Certia, die weiterhin auf
ten als Nachrichten im System vor. Bingo! ihren Webseiten mit dem zweifelshaften Slogan
"Bringing trust and control to a digital world"
Die Kreditkartendaten waren noch das Interes-
wirbt, hatten in der Zwischenzeit ebenfalls
santeste, was in dem System gefunden werden
Kontakt mit dem CCC aufgenommen. Ja, man
konnte. Daneben lagen dort Bilanzen, Unterla-
sei an einem Gespräch interessiert. Der weitere
gen zur Steuer, Kundentabellen etc. Da dieser
Mailverkehr gestaltete sich allerdings als sehr
kostenpflichtige Dienst besonders damit warb,
schleppend, so dass bis heute kein Termin
vertrauliche Daten auf sicherem Weg auszutau-
gefunden wurde. Interessant mag die Anschrift
schen, waren die dort vorzufindenden Inhalte
von Certia sein: Die "Sicherheitsfirma" ist in
zum großen Teil solcher Natur. Zum Vergleich:
Virgina untergebracht, wo auch die Drei-Buch-
Selbst bei unverschlüsselter Email, die leicht
staben-Organisationen der USA sich heimisch
mitgelesen werden kann, sind die Daten, ein-
fühlen. Gerade in Herndon, wo Certia seinen
mal beim Empfänger angekommen, nicht mehr
Sitz hat, gibt es wohl auch mehrere Projekte
potentiellen Angreifern ausgesetzt.
von einer Organisation mit einem Namen, der
Nachdem in den Kölner Räumlichkeiten des dem von Certia verdächtigt ähnelt: Einfach die
CCC diese Schwachstellen ausgelotet wurden, Buchstaben E, R und T wegnehmen. Man kann
haben wir zunächst TNT als Betreiber des Dien- in diesem Zusammenhang paranoid werden,
stes informiert. Schließlich wurden hier private muss es aber nicht. Es könnte alles nur ein Bei-
Daten von Benutzern des Systems der Öffent- spiel für besondere Dummheit in der Software-
lichkeit zur Verfügung gestellt. Musste ja nicht entwicklung gewesen sein, über das der CCC
sein. Schwieriger war es, einen Ansprechpart- hier gestolpert ist. Vielleicht lebt es sich mit die-
ner zu finden, der einzige erfolgsversprechende ser Theorie angenehmer, wohliger, zufriedener.
Anruf erfolgte dann schliesslich beim Presse- Vertrauen und Kontrolle in einer digitalen Welt.

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-11
ABTEILUNG "GLOBALE, NATÜRLICHE DUMMHEIT"

Dummheit - ein grausamer, globaler Gott


von Constantin Seibt

Selten, aber doch passieren völlig unerwartete Dinge. Manchmal verliert Goliath tatsäch-
lich gegen David. Manchmal tut Dummheit tatsächlich weh. Manchmal ist das Resultat
eines Justizaktes tatsächlich Gerechtigkeit.

Die erstaunliche Geschichte begann mit einer Kunstlicht seiner Zelle - der tiefere Sinn jeder
typischen Freitagsverhaftung. Der Genfer Freitagsverhaftung. Allerdings ging die Rech-
Untersuchungsrichter Marc Tappolet stürmte in nung der Strafverfolger nicht auf: Er schwieg.
Begleitung von Berner und Genfer Polizisten in
Erst am Montag bekam der Anwalt Jean-Pierre
eine Berner WG, beschlagnahmte die Compu-
Garbade die Akten und den Angeklagten zu
ter und überführte einen zwanzigjährigen
sehen: «Eine sehr sympathische Person, von
Informatikspezialisten namens David ins Unter-
der ich viel über Informatik gelernt habe.»
suchungsgefängnis nach Genf. In einem von
Auch wenn die Gegenseite die Lektionen nöti-
keiner Unschuldsvermutung getrübten Com-
ger gehabt hätte: Denn die Verhaftung seines
muniqué gab Richter Tappolet bekannt: «Heute
Mandanten sei «nur durch völlige Unkenntnis
Morgen ist einer der Täter festgenommen wor-
in Computerdingen» erklärbar - ausser viel-
den.»
leicht aus dem «Wunsch heraus, die Tatsachen
Dem Verhafteten - angeblich einer der Wef- zusammenzubiegen». (Der Angeklagte - Infor-
Hacker - wurde Eindringen in ein Datenverar- matiker, also offensichtlich hackkompetent und
beitungssystem, Sachbeschädigung sowie überdies politisch bei der anarchistisch orien-
Scheck- und Kreditkartenbetrug vorgeworfen. tierten Gewerkschaftsgruppe FAUCH tätig -
Darauf steht eine Haftstrafe von bis zu fünf passte bestens in das Fahndungsbild.) Die mit-
Jahren. Es ging um einen der spektakulärsten gelieferten Akten hingegen erwiesen sich als
Coups in der an Coups nicht armen Hacker- einzige Bombe. 1. Der Experte des Untersu-
Geschichte. Ein Kollektiv namens «Virtual Mon- chungsrichters ist selbst der grösste Entla-
keywrench» hatte den Server des Weltwirt- stungszeuge. 2. Seine Aussage ist pures
schaftsforums geknackt und der Presse eine CD Dynamit gegen den Kläger: Er überführt das
mit E-Mail-Adressen, Passwörtern, Telefon- zigmillionenschwere Wef einer geradezu fahr-
und Kreditkartennummern zugestellt: eine lässigen Amateurhaftigkeit - und das auf des-
gigantische Kartei von 102 000 VIPs, darunter sen Kerngebieten Sicherheit, Diskretion und
Clinton, Arafat und abertausende von Wirt- Hightech. Jedenfalls wurde nun zum ersten Mal
schaftsbossen. Das Wochenende nach der Ver- klar, wie der Wef-Hack im Detail lief.
haftung brachte zunächst wenig Neues. Die
Das von der «SonntagsZeitung» interviewte
Medien schrieben Kurzmeldungen, die Anti-
Hacker-Kollektiv hatte nicht im Mindesten
WTO-Koordination verlangte die Freilassung
untertrieben, als es behauptete, ihre Tat sei im
des Gefangenen, das Wef schwieg, der Unter-
Grunde «weder ein Hack, noch ein Crack»
suchungsrichter blieb wie vom Erdboden ver-
gewesen, sondern «das Spazieren in einen
schluckt, der Verhaftete schmorte drei Tage im

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-12
ABTEILUNG "GLOBALE, NATÜRLICHE DUMMHEIT"

offenen Hof». Tatsächlich lagen die mit Quick- schmuck im draussen montierten Briefkasten
base angelegten Wef-Datenbanken so offen da aufbewahren.) Dass der interne Server und der
wie möglich. Während in Davos die VIPs mit immer gefährdete Web-Server physisch
dem grössten Polizeiaufgebot seit dem Welt- getrennt sind, gehört zum kleinen Einmaleins
krieg geschützt wurden, lagerten in Cologny jedes Netzwerkadministrators.
ihre Daten so sicher wie ein Nichtschwimmer in
Die von der WoZ befragten Experten zeigten
einem Haifischbecken. Der erste und kleinste
sich gleichermassen amüsiert und entsetzt.
Fehler war ein Sicherheitsloch in einem, so der
«Suboptimal», urteilte der Datenbankarchitekt
Genfer Experte, «miserabel konfigurierten
Alain Stamberger trocken und weigerte sich,
System». Das Loch trug den Namen Port 1433
weitere Äusserungen zitieren zu lassen, weil
- eines von ein paar tausend Ports, mit dem der
«diese dann beleidigend» wären - klar sei
Server mit der Aussenwelt kommuniziert.
jedenfalls, dass die Aussage des Wef-Presse-
(Benutzt werden normalerweise nur ein Dut-
sprechers Charles McLean «Unser IT-Sicher-
zend - für Netze, Mails etc. - während der Rest
heitsstandard ist auf höchstem Niveau» so
geschlossen zu sein hat.) Der Zustand der Ports
zutreffend sei wie [zensiert]. Als «unglaublich,
lässt sich mit Software aus dem Internet pro-
quasi eine Einladung, als würde man eine
blemlos scannen - eine Routinesache von weni-
Luxuslimousine mit steckendem Zündschlüssel
gen Minuten, zu der es minimale
in einer dunklen Gasse abstellen», beurteilte
Informatikkenntnisse braucht. Ebenso banale
der Pressesprecher Jens Ohlig des Hamburger
Routine ist, bei einem offenen Port herauszu-
Chaos Computer Clubs den Wef-Sicherheits-
finden, was für ein System sich dahinter ver-
standard. Die Wef-Hacker hätten durchaus
birgt: Im Falle des Wef war es ein Microsoft-
«mit etwas krimineller Energie eine fast unbe-
Server mit dem Betriebssystem Windows 2000.
grenzte Menge Schaden» anrichten können.
Der Fehler hatte aber für einmal nichts mit Dass sie den Fall nur per Medien publik mach-
Microsoft zu tun: DENN SIE ÄNDERTEN DAS ten, sei das Minimum an Strafe gewesen.
STANDARD-PASSWORT DER DATENBANK Eigentlich müsse das Wef danken: «Es war eine
NICHT. Jede frisch gelieferte Microsoft-Quick- kostenlose Überprüfung eines sehr eklatanten
base-Datenbank räumt dem Benutzer beim Sicherheitslochs.» So weit zum glimpflich
ersten Aufschalten mit dem Benutzernamen davongekommenen Goliath. Was den verhaf-
«sa» und dem Passwort «» (Returntaste) die teten David angeht, so stehen seine Chancen
Rechte eines Systemadministrators ein. Dies zu laut seinem Anwalt bestens. Nachgewiesen
ändern, passiert normalerweise am ersten Tag - werden kann ihm nur das Scannen der Ports
beim Wef passierte es nie. Nun also hatten die von seinem eigenen Computer aus - eine
Hacker den vollen Zugang zum Server des Wef. Sache, die so strafbar ist wie das Anklopfen an
Das wäre peinlich genug gewesen, aber mehr eine Tür. Der Expertenbericht des Untersu-
Schaden als gelesene E-Mails oder die mit Anti- chungsrichters hält klar fest, dass im Log-File
Wef-Parolen übermalten Sites des Forums wäre der Wef-Firewalls nur Aufzeichnungen über die
nicht dringelegen. Aber das Wef machte noch Scans, aber nichts über das erfolgreiche Ein-
einen dritten unglaublichen Fehler: Irgendwann dringen in Port 1433 existierte. (Eine Firewall,
im Jahr 2000 hatte es weite Teile der vertrauli- die das Klingeln an der Tür registriert, den Ein-
chen Datenbank VON SEINEM INTERNEN AUF bruch aber nicht.)
DEN WEB-SERVER KOPIERT. (Was ungefähr so
Kurz: Da Port 1433 monatelang offen stand,
fahrlässig ist, als würde man den Familien-
könnte die halbe Welt Anfang Januar im Wef

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-13
ABTEILUNG "GLOBALE, NATÜRLICHE DUMMHEIT"

gewesen sein. Hält Untersuchungsrichter Tap- leopard with great speed, and figured that
polet nicht noch einen Trumpf im Ärmel, ist something must be up.
sein Bluff zu Ende. Klar ist jedenfalls, dass durch
The monkey soon catches up with the leopard,
die Verhaftung von David die wahre Natur
spills the beans and strikes a deal for himself
Goliaths enthüllt wurde: Das hochtechnisierte,
with the leopard. The cat is furious at being
hochexklusive, hochabgeschottete World Eco-
made a fool of and says, "Here monkey, hop
nomic Forum, zuständig für die globale Elite
on my back and see what's going to happen to
und die Verbesserung der Welt, wird seinerseits
that conniving canine. "
von einer global wirkenden Kraft regiert: der
grenzenlosen Dummheit. [1] Now the dog sees the leopard coming with the
monkey on his back, and thinks," What am I
Offtopic
going to do now?" But instead of running, the
A wealthy man decided to go on a safari in dog sits down with his back to his attackers
Africa. He took his faithful pet dog along for pretending he hasn't seen them yet.
company. One day the dog starts chasing but-
terflies and before long he discovers that he is And just when they get close enough to hear,
lost. So, wandering about he notices a leopard the dog says, "Where's that monkey. I just can
heading rapidly in his direction with the never trust him. I sent him off half an hour ago
obvious intention of having lunch. to bring me another leopard, and he's still not
back!!"
The dog thinks, "Boyo, I'm in deep doodoo
now."(He was an Irish setter).... Then he
noticed some bones on the ground close by,
and immediately settles down to chew on the
bones with his back to the approaching cat.

Just as the leopard is about to leap, the dog


exclaims loudly, "Man, That was one delicious
leopard. I wonder if there are any more around
here?" Hearing this the leopard halts his attack
in mid stride, as a look of terror comes over
him, and slinks away into the trees.

"Whew", says the leopard." That was close.


That dog nearly had me."

Meanwhile, a monkey who had been watching


the whole scene from a nearby tree, figures he
can put his knowledge to good use and trade it
for protection from the leopard. So, off he
goes. But the dog saw him heading after the

[1] Dieser Artikel erschien ursprünglich in der


Wochenzeitung Schweiz, 28.02.2001. Besten Dank
für die Abdruckgenehmigung an den Autor ;-)

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-14
INTERVIEW

Virtuelles Datenschutzbüro gegründet


von Christoph Rothe

Anfang Dezember entstand das virtuelle Datenschutzbüro. Was es damit auf sich hat frag-
ten wir Marit Köhntopp vom Datenschutzzemtrum Schleswig-Holstein.

DS: Was sind die Schwerpunkte des virtuellen Mailinglists) - Expertinnen und Experten, indem
Datenschutzbüros ? sie ihre Beiträge einbringen und mitdiskutieren
- Datenschutzinstitutionen, indem sie Projekt-
MK: Die Schwerpunkte des virtuellen Daten-
partner werden und mit anderen Partnern
schutzbüros sind: - Ansprechstelle im Internet
kooperieren
für Datenschutzfragen von Nutzerinnen und
Nutzern als Service von Datenschutzinstitutio- DS: Wie ist das virtuelle Datenschutzbüro ent-
nen aus aller Welt - Informationen rund um standen ?
Datenschutz - Diskussionsforen zu aktuellen
MT: Die Idee zu dem Projekt hatte 1999 der
Datenschutzthemen - Plattform für die Zusam-
Landesbeauftragte für den Datenschutz Schles-
menarbeit mit Datenschützern Die Arbeitsweise
wig-Holstein (jetzt: Unabhängiges Landeszen-
orientiert sich an der Open-Source-Tradition,
trum für Datenschutz Schleswig-Holstein).
d.h.: - offene Diskussionen - Entwickeln und
Nach einem Jahr Vorlauf hatten sich die jetzi-
Bereitstellen frei verfügbarer Privacy-Tools -
gen Projektpartner zusammengefunden und
Transparenz der Konzepte - JedeR kann mitma-
die Zielsetzungen ausdiskutiert.
chen.
Die Realisierung lag und liegt hauptsächlich
Die Ziele: - eine bessere Qualität des Daten-
beim ULD SH, das auch die Server betreibt und
schutzes, - durch Arbeitsteilung und Koopera-
für die nächsten 2 Jahre die Geschäftsführung
tion effiziente Nutzung aller vorhandenen
des virtuellen Datenschutzbüros innehat.
Ressourcen, - Fortschreiben des Stands der
Technik in Richtung "Privacy-Enhancing Tech- Die Domain datenschutz.de gibt es schon län-
nologies". ger als Service für alle Nutzerinnen und Nutzer,
die nach Datenschutzinstitutionen suchen. Sie
DS: Wer ist bereits an diesem Projekt beteiligt ?
wurde vom Berliner Datenschutzbeauftragten
MT: Die jetzigen Projektpartner finden sich betrieben, der selbst Projektpartner ist und sie
unter: http://www.datenschutz.de/partner/ freundlicherweise für das virtuelle Datenschutz-
Weitere haben ihre Teilnahme angekündigt und büro zur Verfügung gestellt hat.
werden in Kürze hinzustossen.
Zukunft
DS: Wer kann sich an diesem Projekt beteiligen Geplant ist ein weiterer Ausbau des virtuellen
und wodurch ? Datenschutzbüros, d.h. neben einer inhaltli-
MT: JedeR kann sich beteiligen: - Nutzerinnen chen Vervollständigung z.B. Einrichtung einer
und Nutzer, indem sie reinschauen, sich infor- Projektbörse oder interessanter Expertenforen.
mieren und mitdiskutieren (insbesondere auf Das virtuelle Datenschutzbüro ist unter [1] zu

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-15
INTERVIEW

erreichen. Der Berliner Datenschutzbeauf- Offtopic


tragte - vorheriger Besitzer dieser Doamin - ist The Godfather, accompanied by his attorney,
nun unter www.datenschutz-berlin.de erreich- walks into a room to meet with his accountant.
bar. Übrigens ist dies ein Aufruf: Vielleicht hat The Godfather asks the accountant, "Where's
ja der ein oder andere aus dem CCC ebenfalls the three million bucks you embezzled from
Lust, sich als Partner an diesem Projekt zu me?" The accountant doesn't answer. The
beteiligen ? Bei Interesse meldet Euch doch Godfather asks again, "Where's the three mil-
bitte bei [1] (nur Koordination, wg. zeitl. Ein- lion bucks you embezzled from me?" The
schränkungen) attorney interrupts, "Sir, the man is a deaf-
mute and cannot understand you, but I can
interpret for you." The Godfather says, "Well,
ask him where the @#!* money is." The attor-
ney, using sign language, asks the accountant
where the three million dollars is. The
accountant signs back, "I don't know what
you're talking about." The attorney interprets
to the Godfather, "He doesn't know what
you're talking about." The Godfather pulls out
a pistol, puts it to the temple of the accountant,
cocks the trigger and says, "Ask him again
where the @#!* money is!" The attorney signs
to the accountant, "He wants to know where it
is!" The accountant signs back, "Okay! Okay!
The money's hidden in a suitcase behind the
shed in my backyard!" The Godfather says,
"Well, what did he say?" The attorney inter-
prets to the Godfather, "He says that you don't
have the guts to pull the trigger."

[1] http://www.datenschutz.de
[1] mailto:redbaron@ccc.de

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-16
FREEDOM OF INFORMATION ACT IN ACTION

CIA MANUAL – A STUDY OF ASSASSINATION

Der “Freedom of Information Act” fördert so einiges aus den Archiven der US-Geheimdien-
ste zutage. Unter anderem auch diese Kopie einer Anleitung der CIA für potentielle Attentä-
ter. Der Artikel ist weniger interessant aufgrund der darin beschriebenen Techniken,
sondern eher wegen der dahintersteckenden Geisteshaltung dieser Behörde.

Definition will be involved. No report may be made, but


Assassination is a term thought to be derived usually the act will be pr operly covered by nor-
from "Hashish", a drug similar to marijuana, mal news services, whose output is available to
said to have been used by Hasan-Dan-Sabah to all concerned.
induce motivation in his followers, who were
Justification
assigned to carry out political and other mur-
Murder is not morally justifiable. Self-defense
ders, usually at the cost of their lives. It is here
may be argued if the victim has knowledge
used to describe the planned killing of a person
which may destroy the resistance organization
who is not under the legal jurisdiction of the
if divulged. Assassination of persons responsi-
killer, who is not physically in the hands of the
ble for atrocities or reprisals may be regarded as
killer, who has been selected by a resistance
just puni shment. Killing a political leader
organization for death, and who has been sele
whose burgeoning career is a clear and present
cted by a resistance organization for death, and
danger to the cause of freedom may be held
whose death provides positive advantages to
necessary.
that organization.
But assassination can seldom be employed with
Employment
a clear conscience. Persons who are morally
Assassination is an extreme measure not nor- squeamish should not attempt it.
mally used in clandestine operations. It should
be assumed that it will never be ordered or Classifications
authorized by any U.S. Headquarters, though The techniques employed will vary according to
the latter may in rare instances agree to its exe- whether the subject is unaware of his danger,
cution by membe rs of an associated foreign aware but unguarded, or guarded. They will
service. This reticence is partly due to the also be affected by whether or not the assassin
necessity for committing communications to is to be killed with the subject hereafter, assas-
paper. No assassination instructions should ever sinations in which the subject is unaware will be
be written or recorded. Consequently, the deci- termed "simple"; those where the subject is
sion to employ this technique must nearly aware but unguarded will be termed "chase";
always be reached in the field, at the area those where the victim is guarded will be ter-
where the act will take place. Decision and med "guarded." If the assassin is to die with
instructions should be confined to an absolute the subject, the act will be called "lost." If the
minimum of persons. Ideally, only one person assassin is to escape, the adjective will be

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-17
FREEDOM OF INFORMATION ACT IN ACTION

"safe." It should be noted that no compromi- must not know the iden tities of the other
ses should exist here. members of the organization, for although it is
intended that he die in the act, something may
The assassin must not fall alive into enemy
go wrong. While the Assassin of Trotsky has
hands. A further type division is caused by the
never revealed any significant information, it
need to conceal the fact that the subject was
was unsound to depend on this when the act
actually the victim of assassination, rather than
was p lanned.
an accident or natural causes. If such con-
cealment is desirable the operation will be cal- Planning
led "secret" ;; if concealment is immaterial, the When the decision to assassinate has been rea-
act will be called "open"; while if the assassina- ched, the tactics of the operation must be plan-
tion requires publicity to be effective it will be ned, based upon an estimate of the situation
termed "terroristic." Following these definiti- similar to that used in military operations. The
ons, the assassination of Julius Caesar was safe, preliminary estimate will reveal gaps in infor-
simple, and terroristic, while that of Huey Long mation and possibly indicate a need for special
was lost, guarded and open. Obviously, suc- equipment which must be procured or con-
cessful secret assassinations are not recorded as structed. When all necessary data has been col-
assassination at all. [Illegible] o f Thailand and lected, an effective tactical plan can be
Augustus Caesar may have been the victims of prepared. All planning must be mental; no
safe, guarded and secret assassination. Chase papers should ever contain evidence of the
assassinations usually involve clandestine oper ation. In resistance situations, assassina-
agents or members of criminal organizations. tion may be used as a counter-reprisal. Since
THE ASSASSIN In safe assassinations, the assas- this requires advertising to be effective, the
sin needs the usual qualities of a clandestine resistance organization must be in a position to
agent. He should be determined, courageous, warn high officials publicly that their lives will
intelligent, resourceful, and physically active. be the price of rep risal action against innocent
If special equipment is to be used, such as fire- people. Such a threat is of no value unless it
arms or drugs, it is clear that he must have out- can be carried out, so it may be necessary to
standing skill with such equipment. Except in plan the assassination of various responsible
terroristic assassinations, it is desirable that the officers of the oppressive regime and hold such
assassin be transient in the area. He should plans in readiness to be used only i f provoked
have an absolute minimum of contact with the by excessive brutality. Such plans must be
rest of the organization and his instructions modified frequently to meet changes in the
should be given orally by one person only. His tactical situation.
safe evacuation after the act is absolutely Techniques
essential, but here again contact should be as
The essential point of assassination is the death
limited as possible. It is preferable that the per-
of the subject. A human being may be killed in
son issuing instructions also conduct any with- many ways but sureness is often overlooked by
drawal or covering action which may be
those who may be emotionally unstrung by the
necessary. In lost assassination, the assassin
seriousness of this act they intend to commit.
must be a fanatic of some sort. Politics, religion, The spe cific technique employed will depend
and revenge are about the only feasible moti-
upon a large number of variables, but should
ves. Since a fanatic is unstable psychologically,
be constant in one point: Death must be abso-
he must be handled with extreme care. He

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-18
FREEDOM OF INFORMATION ACT IN ACTION

lutely certain. The attempt on Hitler's life failed vigorous [excised] of the ankles, tipping the
because the conspiracy did not give this matter subject over the edge. If the assassin immedia-
proper attention. Techniques may be conside- tely sets up an outcry, playing the "horrified wit
red as follows: ness", no alibi or surreptitious withdrawal is
necessary. In chase cases it will usually be
1. Manual. It is possible to kill a man with the
necessary to stun or drug the subject before
bare hands, but very few are skillful enough to
dropping him. Care is required to insure that no
do it well. Even a highly trained Judo expert will
wound or condition not attributable to the fall
hesitate to risk killing by hand unless he has
is discernible after death. Falls into the sea or
absolutely no alternative. However, the sim-
swiftly flowing rivers may suffice if the subject
plest local tools a re often much the most
cannot swim. It will be more reliable if the
efficient means of assassination. A hammer,
assassin can arrange to attempt rescue, as he
axe, wrench, screw driver, fire poker, kitchen
can thus be sure of the subject's death and at
knife, lamp stand, or anything hard, heavy and
the same time establish a workable al ibi. If the
handy will suffice. A length of rope or wire or a
subject's personal habits make it feasible, alco-
belt will do if the assassin is strong and agile. All
hol may be used [2 words excised] to prepare
such improvised weapons have the important
him for a contrived accident of any kind. Falls
advantage of availability and apparent inno-
before trains or subway cars are usually effec-
cence. The obviously lethal machine gun failed
tive, but require exact timing and can seldom
to kill Trotsky where an item of sporting goods
be free from unexpected observation. Automo-
succeeded. In all safe cases where the assassin
bile accidents are a less satisfactory means of
may be subject to search, either before or after
assassination.
the act, specialized weapons should not be
used. Even in the lost case, the assassin may If the subject is deliberately run down, very
accidentally be searched before the act and exact timing is necessary and investigation is
should not carry an incrimin ating device if any likely to be thorough. If the subject's car is tam-
sort of lethal weapon can be improvised at or pered with, reliability is very lo w. The subject
near the site. If the assassin normally carries may be stunned or drugged and then placed in
weapons because of the nature of his job, it the car, but this is only reliable when the car
may still be desirable to improvise and imple- can be run off a high cliff or into deep water
ment at the scene to avoid disclosure of his without observation. Arson can cause acciden-
identity. tal death if the subject is drugged and left in a
burning building. Reliability is not satisfactory
2. Accidents. For secret assassination, either
unless the building is isolated and highly com-
simple or chase, the contrived accident is the
bustible.
most effective technique. When successfully
executed, it causes little excitement and is only 3. Drugs. In all types of assassination except
casually investigated. The most efficient acci- terroristic, drugs can be very effective. If the
dent, in simple assassination, is a fall of 75 feet assassin is trained as a doctor or nurse and the
or more onto a hard surface. Elevator shafts, subject is under medical care, this is an easy
stair wells, unscreened windows and bridges and rare method. An overdose of morphine
will serve. Bridge falls into water are not relia- administered as a sedat ive will cause death
ble. In simple cases a private meeting with the without disturbance and is difficult to detect.
subject may be arranged at a properly-cased The size of the dose will depend upon whether
location. The act may be executed by sudden, the subject has been using narcotics regularly.

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-19
FREEDOM OF INFORMATION ACT IN ACTION

If not, two grains will suffice. If the subject lower frontal portion of the head, from th e
drinks heavily, morphine or a similar narcotic eyes to the throat, can withstand enormous
can be injected at the passing out stage, and blows without fatal consequences.
the cause of death will often be held to be
6. Firearms Firearms are often used in assassi-
acute alcoholism. Specific poisons, such as arse-
nation, often very ineffectively. The assassin
nic or strychine, are effective but their posses-
usually has insufficient technical knowledge of
sion or procurement is incriminating, and
the limitations of weapons, and expects more
accurate dosage is problematical. Poison was
range, accuracy and killing power than can be
used unsuccessfully in the assassination of Ras-
provided with reliability. Since certainty of
putin and Kolohan, though the latte r case is
death is the major requirement, firearms should
more accurately described as a murder.
be used which can provide destructive power
4. Edge Weapons Any locally obtained edge at least 100% in excess of that thought to be
device may be successfully employed. A certain necessary, and ranges should be half that consi-
minimum of anatomical knowledge is needed dered practical for the weapon. Firearms have
for reliability. Puncture wounds of the body other drawbacks. Their possession is often
cavity may not be reliable unless the heart is incriminating. They may be difficult to obtain.
reached. The heart is protected by the rib cage They require a degree of experience from the
and is not always easy to locate. Abdominal user. They are [illegible]. Their [illegible] is con-
wounds were once nearly always mortal, but sistently over-rated.
modern medical treatment has made this no
However, there are many cases in which fire-
longer true. Absolute reliability is obtained by
arms are probably more efficient than any
severing the spinal cord in the cervical region.
other means. These cases usually involve
This can be done with the point of a knife or a
distance between the assassin and the subject,
light blow of an axe or hatchet. Another relia-
or comparative physical weakness of the assas-
ble method is the severing of both jugular and
sin, as with a woman. (a) The precision rifle. In
carotid blood vessels on both sides of the wind-
guarded assassination, a good hunting or tar-
pipe. If the subject has been rendered
get rifle should always be considered as a possi-
unconscious by other wounds or drugs, either
bility. Absolute reliability can nearly always be
of the above methods can be used to insure
achieved at a distance of one hundred yards. In
death.
ideal circumstances, t he range may be exten-
5. Blunt Weapons As with edge weapons, blunt ded to 250 yards. The rifle should be a well
weapons require some anatomical knowledge made bolt or falling block action type, handling
for effective use. Their main advantage is their a powerful long-range cartridge. The .300
universal availability. A hammer may be picked F.A.B. Magnum is probably the best cartridge
up almost anywhere in the world. Baseball and readily available. Other excellent calibers are .
[illegible] bats are very widely dist ributed. Even 375 M.[illegible]. Magnum, .270 Winchester,
a rock or a heavy stick will do, and nothing .30 - 106 p.s., 8 x 60 MM Magnum, 9.3 x 62
resembling a weapon need be procured, carried kk and others of this type.
or subsequently disposed of. Blows should be
These are preferable to ordinary military cali-
directed to the temple, the area just below and
bers, since ammunition available for them is
behind the ear, and the lower, rear portion of
usually of the expanding bullet type, whereas
the skull. Of course, if the blow is very heavy,
most ammunition for military rifles is full jacke-
any portion of the upper skull will do. The

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-20
FREEDOM OF INFORMATION ACT IN ACTION

ted and hence not sufficiently let hal. Military geted ma chine gun can do it at 850 yards. The
ammunition should not be altered by filing or major difficulty is placing the first burst exactly
drilling bullets, as this will adversely affect accu- on the target, as most machine gunners are
racy. The rifle may be of the "bull gun" variety, trained to spot their fire on target by observa-
with extra heavy barrel and set triggers, but in tion of strike. This will not do in assassination as
any case should be capable of maximum preci- the subject will not wait.
sion. Ideally, the weapon should be able to
(c) The Submachine Gun. This weapon, known
group in one inch at one hundred yards, but
as the "machine-pistol" by the Russians and
21/2" groups are adequa te. The sight should
Germans and "machine-carbine" by the British,
be telescopic, not only for accuracy, but
is occasionally useful in assassination. Unlike
because such a sight is much better in dim light
the rifle and machine gun, this is a short range
or near darkness.
weapon and since it fires pistol ammu nition,
As long as the bare outline of the target is much less powerful. To be reliable, it should
discernable, a telescope sight will work, even if deliver at least 5 rounds into the subject's
the rifle and shooter are in total darkness. An chest, though the .45 caliber U.S. weapons
expanding, hunting bullet of such calibers as have a much larger margin of killing efficiency
described above will produce extravagant lace- than the 9 mm European arms. The assassina-
ration and shock at short or mid-range. If a tion range of the sub-machine gun is point
man is struck just once in the body cavity, his blank. While accurate single rounds can be
death is almost entirely certain. Public figures or delivered by sub-machine gunners at 50 yards
guarded officials may be killed with great relia- or more, this is not certain enough for assassi-
bility and some safety if a firing point can be nation. Under ordinary circumstances, the 5MG
established prior to an official occasion. The should be used as a fully automatic weapon. In
propaganda value of this system may be very the hands of a capabl e gunner, a high cyclic
high. rate is a distinct advantage, as speed of execut-
ion is most desirable, particularly in the case of
(b) The machine gun. Machine guns may be
multiple subjects.
used in most cases where the precision rifle is
applicable. Usually, this will require the subver- The sub-machine gun is especially adapted to
sion of a unit of an official guard at a ceremony, indoor work when more than one subject is to
though a skillful and determined team might be assassinated. An effective technique has
conceivably dispose of a loyal gun crow wit- been devised for the use of a pair of sub-
hout commotion and take over the gun at the machine gunners, by which a room containing
critical time. The area fire capacity of the as many as a dozen subjects can be "purifico"
machine gun should not be used to search out in about twenty seconds with little or no risk to
a concealed subject. This was tried with predic- the gunners. It is illustrated below. While the
table lack of success on Trotsky. The automatic U.S. sub-machine guns fire the most lethal
feature of the machine gun should rather be cartridges, the higher cyclic rate of some for-
used to increase reliability by placing a 5 eign weapons enable the gunner to cover a tar-
second burst on the subject. Even with full jak- get quicker with acceptable pattern density.
ket ammunition, this will be absolute lethal is The Bergmann Model 1934 is particularly good
the burst pattern is no larger than a man. This in this way. The Danish Madman? SMG has a
can be accomplished at about 150 yards. In moderately good cyclic rate and is admirably
ideal circumstances, a properly padded and tar- compact and concealable. The Russian SHG's

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-21
FREEDOM OF INFORMATION ACT IN ACTION

have a good cyclic rate, but are handicapped (f) Silent Firearms The sound of the explosion
by a small, light protective which requires more of the proponent in a firearm can be effectively
kits for equivalent killing effect. silenced by appropriate attachments. However,
the sound of the projective passing through the
(d) The Shotgun. A large bore shotgun is a
air cannot, since this sound is generated out-
most effective killing instrument as long as the
side the weapon. In cases w here the velocity
range is kept under ten yards. It should nor-
of the bullet greatly exceeds that of sound, the
mally be used only on single targets as it cannot
noise so generated is much louder than that of
sustain fire successfully. The barrel may be
the explosion. Since all powerful rifles have
"sawed" off for convenience, but this is not a
muzzle velocities of over 2000 feet per second,
significant factor in its killi ng performance. Its
they cannot be silenced. Pistol bullets, on the
optimum range is just out of reach of the sub-
other hand, usually travel slower than sound
ject. 00 buckshot is considered the best shot
and the sound of their flight is negligible. The-
size for a twelve gage gun, but anything from
refore, pistols, submachine guns and any sort
single balls to bird shot will do if the range is
of improvised carbine or rifle which will take a
right. The assassin should aim for the solar ple-
low velocity cartridge can be silenc ed.
xus as the shot pattern is small at close range
and can easily [illegible] the head. The user should not forget that the sound of
the operation of a repeating action is consi-
(e) The Pistol. While the handgun is quite inef-
derable, and that the sound of bullet strike,
ficient as a weapon of assassination, it is often
particularly in bone is quite loud. Silent firearms
used, partly because it is readily available and
are only occasionally useful to the assassin,
can be concealed on the person, and partly
though they have been widely publicized in this
because its limitations are not widely apprecia-
connection. Because permissible velocity is low,
ted. While many well kn own assassinations
effective precision range is held to about 100
have been carried out with pistols (Lincoln,
yards with rifle or carbine type weapons, while
Harding, Ghandi), such attempts fail as often as
with pistols, silent or otherwise, are most
they succeed, (Truman, Roosevelt, Churchill).
efficient just beyond arms length. The silent
If a pistol is used, it should be as powerful as feature attempts to provide a degree of safety
possible and fired from just beyond reach. The to the assassin, but mere possession of a silent
pistol and the shotgun are used in similar tacti- firearm is likely to create enough hazard to
cal situations, except that the shotgun is much counter the advantage of its silence. The silent
more lethal and the pistol is much more easily pisto l combines the disadvantages of any pistol
conceale d. In the hands of an expert, a power- with the added one of its obviously clandestine
ful pistol is quite deadly, but such experts are purpose. A telescopically sighted, closed-action
rare and not usually available for assassination carbine shooting a low velocity bullet of great
missions. weight, and built for accuracy, could be very
useful to an assassin in certain situations. At the
.45 Colt, .44 Special, .455 Kly, .45 A.S.[illegible]
time of writing, no such weapon is known to
(U.S. Service) and .357 Magnum are all
exist.
efficient calibers. Less powerful rounds can suf-
fice but are less reliable. Sub-power cartridges 7. Explosives. Bombs and demolition charges of
such as the .32s and .25s should be avoided. In various sorts have been used frequently in
all cases, the subject should be hit solidly at assassination. Such devices, in terroristic and
least three times for complete reliability. open assassination, can provide safety and

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-22
FREEDOM OF INFORMATION ACT IN ACTION

overcome guard barriers, but it is curious that or the 120 mm mortar shell, are particularly
bombs have often been the imp lement of lost good. Anti-personnel shells for 85, 88, 90, 100
assassinations. The major factor which affects and 105 mm guns and howitzers are both large
reliability is the use of explosives for assassina- enough to be completely reliable and small
tion. the charge must be very large and the enough to be carried by one man. The charge
detonation must be controlled exactly as to should be so placed that the subject is not ever
time by the assassin who can observe the sub- six feet from it at the moment of detonation. A
ject. A small or moderate explosi ve charge is large, shaped charge with the [illegible] filled
highly unreliable as a cause of death, and time with iron fragments (such as 1" nuts and bolts)
delay or booby-trap devices are extremely will fire a highly lethal shotgun-type [illegible]
prone to kill the wrong man. In addition to the to 50 yards. This reaction has not been thorou-
moral aspects of indiscriminate killing, the ghly tested, however, and an exact replica of
death of casual bystanders can often produce the proposed device should be fired in advance
public reacti ons unfavorable to the cause for to determine exact range, pattern-size, and
which the assassination is carried out. penetration of fragments.

Bombs or grenades should never be thrown at Fragments should penetrate at lea st 1" of sea-
a subject. While this will always cause a com- soned pine or equivalent for minimum reliabi-
motion and may even result in the subject's lity. Any firing device may be used which
death, it is sloppy, unreliable, and bad propa- permits exact control by the assassin. An ordi-
ganda. The charge must be too small and the nary commercial or military explorer is efficient,
assassin is never sure of: (1) reaching his attack as long as it is rigged for instantaneous action
position, (2) placing the charge close en ough with no time fuse in the system. The wise [ille-
to the target and (3) firing the charge at the gible] electric target can serve as the triggering
right time. Placing the charge surreptitiously in device and provide exact timing from as far
advance permits a charge of proper size to be away as the assassin can reliably hit the target.
employed, but requires accurate prediction of This will avid the disadvantages olitary or com-
the subject's movements. Ten pounds of high mercial high explosives are practical for use in
explosive should normally be regarded as a assassination. Homemade or improvised explo-
minimum, and this is explosive of fragmenta- sives should be avoided. While possibly power-
tion material. The latter can consist of any hard, ful, they tend to be dangerous and unreliable.
[illegible] material as long as the fragments are Anti-personnel explosive missiles are excellent,
large enough. Metal or rock fragments should provided the assassin has sufficient technical
be walnut-size rather than pen-size. If solid pla- knowledge to fuse them properly. 81 or 82 mm
tes are used, to be ruptured by the explosion, mortar shells, or the 120 mm mortar shell, are
cast iron, 1" thick, gives excellent fragmenta- particularly good. Anti-personnel shells for 85,
tion. Military or commercial high explosives are 88, 90, 100 and 105 mm guns and howitzers
practical for use in assassination. are both large enough to be completely reliable
and small enough to be carried by one man.
Homemade or improvised e xplosives should be
The charge should be so placed that the subject
avoided. While possibly powerful, they tend to
is not ever six feet from it at the moment of
be dangerous and unreliable. Anti-personnel
detonation. A large, shaped charge with the
explosive missiles are excellent, provided the
[illegible] filled with iron fragments (such as 1"
assassin has sufficient technical knowledge to
fuse them properly. 81 or 82 mm mortar shells,

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-23
FREEDOM OF INFORMATION ACT IN ACTION

nuts and bolts) will fire a highly lethal shotgun- In accordance with Title 17 U.S.C. section 107,
type [illegible] to 50 yards. this material is distributed without charge or
profit to those who have expressed a prior
This reaction has not been thoroughly tested,
interest in receiving this type of information for
however, and an exact replica of the proposed
non-profit research and educational purposes
device should be fired in advance to determine
only.
exact range, pattern-size, and penetration of
fragments. Fragments should penetrate at least Join the "stop police abuse" list at [1] People
1" of seasoned pine or equivalent for minimum Against Racist Terror (PART), PO Box 1055,
reliability. Any firing device may be used which Culver City, CA 90232 Tel.: 310-495-0299 E-
permits exact control by the assassin. An ordi- mail: [2] < URL : [3] Send for a sample of our
nary commercial or military explorer is efficient, quarterly print publication: "Turning The Tide:
as long as it is rigged for instantaneous action Journal of Anti-Racist Action, Research & Edu-
with no time fuse in the system. The wise [ille- cation"
gible] electric target can serve as the triggering
device and provide exact timing from as far
away as the assassin can reliably hit the target.
This will avid the disadvantages of stringing
wire between the proposed positions of the ass
assin and the subject, and also permit the
assassin to fire the charge from a variety of
possible positions. The radio switch can be [ille-
gible] to fire [illegible], though its reliability is
somewhat lower and its procurement may not
be easy. EXAMPLES ([illegible] may be presen-
ted brief outlines, with critical evaluations of
the following assassinations and attempts:
Marat Hedrich Lincoln Hitler Harding Roosevelt
Grand Duke Sergei Truman Pirhivie Mussolini
Archduke Francis Ferdinand Benes Rasputin
Aung Sang Madero [illegible] Kirov Abdullah
Huey Long Ghandi Alexander of Yugoslvia
Trotsky http://www.bobharris.com/cooldocs/
ciamanual.html.

[1] http://www.egroups.com/group/stop-pola-
buse
[2] mailto:part2001@usa.net
[3] http://www.antiracist.org/issues.html

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-24
DER USER, DAS UNBEKANNTE WESEN

Machtstrukturen und Zensur im Internet


von Dragan Espenschied und Alvar Freude

Im Rahmen unserer Diplom-Arbeit, deren Thema Machstrukturen im Internet ist, haben wir
an unserer Hochschule ein recht aufwändiges Experiment zum Thema Zensur und Manipu-
lation von Internet-Sites durchgeführt. An Kommentaren und Anregungen wären wir sehr
interessiert.

Kurz zum Hintergrund der Hochschule: Die Natürlich legen wir Wert darauf, keine perso-
Merz Akademie bildet Kommunikations-Desi- nenbezogenen Daten etc zu speichern. Mit
gner aus. Im Gegensatz zum reinen Grafikde- dem Experiment wollen wir herausfinden mit
sign wird an der Akademie besonderen Wert welchem Aufwand eine solche zentrale Zensur-
auf kulturtheoretische Zusammenhänge und software verbunden ist, welche Reaktionen die
kritischem Umgang mit Medien gelegt. Theorie Manipulationen hervorrufen, wie unsere
und Forschung nehmen über die Hälfte der unfreiwilligen Versuchspersonen mit dem Web
Vorlesungen ein. Seit dreieinhalb Jahren ist das umgehen und welches Bild sie vom Medium im
Gebäude komplett vernetzt, jeder Rechner bie- allgemeinen haben.
tet Zugang zum Internet. Das Angebot wird
Vorausgreifend: Die durchgeführten Manipula-
stark genutzt; Kurse zum Thema sind überbe-
tionen halten wir für verhältnismäßig brisant.
legt.
Die Reaktionen der "Testpersonen" auf die
Unser Experiment befasst sich mit der hierarchi- Manipulationen und erst recht der Bekannt-
schen Struktur des Internets und der dadurch gabe derselben in einer Mail an alle mit dem
möglichen Manipulation von Inhalten: Wir Betreff "Internet-Manipulation an der Merz-
setzten einen selbstentwickelten Proxy-Server Akademie – Hintergründe und wie man es
auf und stellten ganz simpel an jedem uns abschalten kann", blieben zu unserer Überra-
zugänglichen Rechner diesen Proxy für HTTP- schung nahezu vollkommen aus. Für uns
Zugriffe in den Browsern ein. Nun fließt also drängt sich der Eindruck auf, dass Desinteresse
der gesamte (nur unverschlüsselte) Web-Traffic und Hilflosigkeit vorherrschen.
durch diesen Proxy, der darauf ausgelegt ist,
u.a. die folgenden Manipulationen nehmen wir
die Anfragen nicht nur in einer Datenbank
vor:
anonym zu protokollieren, sondern auch die
zurückkommenden HTML-Seiten vor dem • Die Namen von Gerhard Schröder und Hel-
Weiterreichen an den anfragenden Browser zu mut Kohl werden vertauscht. Dies geschieht
manipulieren. Die Surfer bemerken dabei auch, wenn nur der Familienname genannt
nichts, alle URLs bleiben erhalten, jedoch kann wird. Laut allen Nachrichten- und Magazin-
von einzelnen Worten bis zu kompletten Sites Sites veröffentlicht nun also Gerhard Schröder
alles verändert oder vollständig ausgetauscht sein Tagebuch und Gerhard Schröder wurde in
und neue Domains eingeführt werden. Nie- Spendenaffären verwickelt. – Das hört sich viel-
mand außer unserer Dozentin (Prof. Olia leicht ein wenig simpel an, jedoch funktioniert
Lialina) wusste von dem Projekt.

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-25
DER USER, DAS UNBEKANNTE WESEN

die Sinnverdrehung in den allermeisten Fällen gab es die Möglichkeit des Feedbacks über ein
perfekt. Selbst wenn unter einem Foto, auf Formular oder Email-Adresse. Wir haben auch
dem Kohl ein wenig angeschlagen guckt, steht, gruselige Erklärungstexte verfasst, in denen
Gerhard Schröder würde ein Tagebuch veröf- unter anderem von "Kein Schmutz im Inter-
fentlichen, gibt es wieder eine passende Bedeu- net!" und "Zivilcourage" die Rede ist. [1]
tung. http://online-demonstration.org/ Außerdem werden 2% aller Webzugriffe auf
insert_coin/proxy-bilder/kohl-tagebuch.gif eine Werbeanzeige umgeleitet. Diese kommt
angeblich von InterAd.gov, einer fiktiven Verei-
• Der Name von Al Gore wurde gegen Al
nigung von ICANN, Corenic, Internic und des
Bundy ausgetauscht.
Amerikanischen Wirtschaftsministeriums. Die
• Die Worte "und", "oder" und "aber" wur- Begründung lautet: Da die US-Regierung sämt-
den mit einer gewissen Wahrscheinlichkeit aus- liche Core-Server betreibt, müssten diese
getauscht. Dieser simple Trick kann den Inhalt irgendwie finanziert werden. Jede Anzeige for-
eines Textes komplett verdrehen. dert die Surfer außerdem dazu auf, einzuge-
ben, wie viele US-Dollars sie für ein bestimmtes
In den vier an der Akademie beliebtesten Fre-
Produkt monatlich ausgeben würden. Welches
email-Diensten (GMX, hotmail, mail.com und
Produkt das ist richtet sich nach der Anzeige,
Yahoo!) fügten wir die frei erfundene "Global
beworben werden die US-Marines, die Natio-
Penpals Association" ein: In einem nicht über-
nal Rifle Association, Novartis, Garth Brooks,
sehbaren großen Kasten, von Farbigkeit und
eine Burger-Kette etc. Erst wenn hier ein Wert
Layout an die entsprechenden Services ange-
eingegeben wurde, kommen die Surfer wirklich
passt, wird ein "Brieffreund" mit Foto und kur-
auf die Seite, die sie eigentlich erwartet haben.
zer Beschreibung vorgestellt. Über einen Button
Darauf wird auch im Anleitungstext deutlich
kann dieser Person sofort eine Nachricht aus
hingewiesen. Ohne diese Eingabe bleibt der
dem Freemailer geschickt werden. Im Kasten
Browser auf der Anzeigen-Seite hängen, selbst
steht außerdem der Hinweis, dass diese Person
der Back-Button funktioniert nicht mehr. Auch
"für Sie aufgrund Ihrer persönlichen Einstellun-
hier war Feedback möglich.
gen und Ihres Surfverhaltens" ausgesucht
wurde. Wir haben acht Personen bei verschie- Napster konnten wir verändern, da der Win-
denen Freemail-Diensten erfunden, die zufällig dows-Client zum Start des Programms über
angezeigt werden und sich recht schnell wie- einen eingebetteten Internet-Explorer eine
derholen. Wir stellten außerdem eine einfache Seite von napster.com darstellt. Von dort aus
Feedback-Möglichkeit durch ein Formular öffneten wir ein rahmenloses Fenster über den
bereit, angeblich an die Initiatoren der Global gesamten Bildschirm, in dem man von Bertels-
Penpals Association. mann aufgefordert wird, unsinnig persönliche
Daten zur Teilname am Napster preiszugeben.
Weiterhin haben wir die sieben meistbenutzten
Suchmaschinen so verändert, dass jede dort Als letztes bekamen die Studenten auf ihren
gefundene Seite ein Formular von "netzgegen- eigenen Homepages und Projekt-Homepages
rechts.yahoo.de" enthält, in dem man die Popup-Anzeigen von der Merz Akademie
Möglichkeit hat, die gefundene Seite anonym untergejubelt: "Click here for good education!"
als pornografisch, rassistisch, gotteslästerlich,
kinderpornografisch, geschäftsschädigent,
urheberrechtsverletzend oder anstößig beim [1] http://online-demonstration.org:8888/netzgegen-
Suchmaschinen-Betreiber zu melden. Auch hier rechts.yahoo.de/

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-26
DER USER, DAS UNBEKANNTE WESEN

Einige oft besuchte Seiten bekamen zudem men. Es ist nicht einmal ein stiller Protest durch
kleine Veränderungen oder komplette Umlei- den Wechsel zu anderen Suchmaschinen
tungen verpasst. Beliebte Flash-Animationen erkennbar. Es wurde nicht ein einziges Mal die
werden gegen eine immer gleiche, unglaublich Informationsseite zu dieser Aktion aufgerufen.
häßliche Animation gewechselt. Wir tauschen
Die Popups auf den eigenen Homepages wur-
viele weitere Worte, beispielsweise wird Nahost
den ebenso hingenommen, reflexartiges Schlie-
zu Balkan und Bombe zu Torte etc.
ßen des Werbefensters konnten wir jedoch
All diese Manipulationen waren nur innerhalb mehrmals beobachten. Unseren Testpersonen
der Merz Akademie aktiv. An der Akademie scheint also nicht klar zu sein, woher normaler-
gibt es ungefähr 240 Studenten, wovon jeden weise solch ein Werbefenster kommt. Dass
Tag bis zu circa 150 erscheinen. Wie viele das jemand scheinbar an ihren Daten herumändert
Web nutzen wissen wir nicht genau. Durch scheint nicht weiter wichtig.
unseren Proxy gingen täglich 100 bis 300 MB
Das InterAd-Programm hingegen könnte man
Daten, Spitzentage brachten bis zu 2 GB. Auf-
beinahe als Erfolg bezeichnen. Ein Student
gerufen werden vor allem Freemailer, Suchma-
beschwerte sich bei der erfundenen InterAd-
schinen, eigene Webprojekte, Design-Sites,
Behörde und schaute sich sogar die Informati-
Kataloge und – natürlich – Warez-Sites.
onsseite an. Weitere beschwerten sich, schein-
Die Reaktionen verliefen ganz anders als erwar- bar ohne den zwei Sätze umfassenden und
tet. Zuerst waren wir sehr vorsichtig und setzen deutlichst sichtbaren Erklärungstext gelesen zu
die Manipulationen noch vereinzelt oder mit haben, bei der technischen Assistenz der Hoch-
einer geringen Wahrscheinlichkeit ein. Wir schule. Nur eine verschwindend geringe Anzahl
merkten jedoch bald, dass wir alle Register bis von Studenten gaben Werte bei der Frage, wie
zum Anschlag ziehen konnten, ohne dass viele Dollars sie monatlich für Feuerwaffen usw.
irgend jemand Verdacht schöpfen würde. Die ausgeben würden, ein. Immerhin kamen sie
Napster-Manipulation wurde schnell umgan- dadurch weiter auf die Seite, die sie eigentlich
gen, da das Fenster einfach mit einem Tastatur- sehen wollten. Alle anderen schlossen einfach
befehl zu schließen ist. Der Austausch der das Browser-Fenster.
Politikernamen blieb bis auf einen Fall unbe-
Aufgeflogen ist unsere zwei Wochen dauernde
merkt: ein Student druckte sich eine besonders
Manipulation nur, weil durch einen Speicher-
gelungene Seite bei Spiegel-Online aus.
Defekt unser gesamter Server ausfiel und
Auch bei der Global Penpals Association stellte dadurch ungefähr einen halben Tag keine
fast niemand die Frage, woher diese denn Web-Zugriffe mehr möglich waren. Die techni-
eventuell über das Surfverhalten oder die per- sche Assistenz merkte, dass die Rechner betrof-
sönlichen Einstellungen Bescheid wissen könne, fen waren, an denen unser Server als Proxy
wo doch jeder Freemail-Service beteuert, letz- eingestellt war.
tere Daten nicht herauszugeben. Nur ein Stu-
Daraufhin klärte unsere Dozentin die Techni-
dent schrieb eine entsprechende Nachricht.
sche Assistenz und die Verwaltung über das
Und das war auch noch der selbe, dem der
Projekt auf. Einen Tag später schickte der
Austausch von Schröder und Kohl aufgefallen
Werkstattleiter eine Mail an alle Dozenten und
war.
Studenten, in der er darauf hinwies, dass wir
Die Suchmaschinenveränderung von netzge- Kreditkartennummern mitprotokolliert haben
genrechts.yahoo.de wurde kritiklos hingenom- könnten. Das führte zu keiner Reaktion. Erst

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-27
DER USER, DAS UNBEKANNTE WESEN

am nächsten Tag schickten wir eine Nachricht großen Diversität der abgerufenen Sites kein
an alle, in der wir genau erklärten, dass wir den Problem dar. Größere Netzwerke zu manipulie-
gesamten Web-Traffic manipulieren (die Details ren ist also durchaus möglich.
zu einzelnen Filtern führten wir nur unvollstän-
Vorläufiges Fazit
dig aus) und wie unser Projekt funktioniert,
welchen Zweck es verfolgt. Wir lieferten einen Wir gingen zu Beginn des Experiments davon
Link auf eine von uns aufgesetzte Anleitungs- aus, dass aufgrund der eingangs erwähnten
seite, welche beschreibt, wie der Proxy auszu- medienkritischen Ausbildung das Projekt
schalten ist. anders aufgenommen würde als beispielsweise
vom typischen AOL-User. Dennoch wurden
Das ist nun vier Tage her [1], Reaktionen gab es selbst obskure Manipulationen hingenommen,
bisher keine nennenswerten. Ein Student kam besonders hervorstechend der Suchmaschinen-
auf uns zu und fragte, ob wir seine Homepage Blockwart-Service. Die Möglichkeiten zur direk-
nun manipuliert hätten, er wolle sich damit ten Beschwerde oder auch nur Kontaktauf-
schließlich bewerben. Die Seite mit der Anlei- nahme wurden nicht genutzt. Die Leute
tung wurde 6 mal abgerufen, und das auch scheinen nicht das Gefühl zu haben, irgendet-
noch von Rechnern aus, die nicht durch unse- was erreichen zu können, sondern sehen sich in
ren Proxy gingen. Fakt ist, dass der Proxy ein- der Konsumentenrolle.
fach auf den meisten Rechnern weiterläuft –
wenn sich die technische Assistenz nicht darum Nach dem öffentlichen Vorwurf des Leiters
gekümmert hat. Interessant ist auch, dass wir unserer Medienwerkstatt, wir würden persönli-
nicht für die Manipulationen beschuldigt wur- che Daten ausspähen, passierte nichts weiter.
den, sondern für das angebliche Sammeln von Vier Erlärungsmöglichkeiten: Entweder die
Kreditkartennummern, was man mit jedem Leute vermuten, dass diese Behauptung falsch
Firewall oder Packet-Sniffer machen könnte. ist, sie verstehen nicht, was das zu bedeuten
Sind die Inhalte im Web denn egal? Selbst hatte, es ist ihnen egal oder sie lesen ihre Mails
wenn ein Großteil der Studenten das Web zur nicht. Auf die darauf folgende Richtigstellung
Recherche und für Freemailer nutzt? von uns, wir hätten "nur" die Inhalte manipu-
liert, geschah ebensowenig. Auch hier ist es
Der Aufwand für unsere Software hielt sich in den Leuten entweder egal, sie haben es nicht
Grenzen. Wir sind nur zu zweit und haben verstanden, oder auch diese Nachricht einfach
innerhalb von vier Monaten ein recht komfor- nicht gelesen. Uns würde interessieren, was Ihr
tables und leistungsfähiges Programm geplant dazu denkt, ob ihr zu ähnlichen Schlussfolge-
und umgesetzt. Die Manipulationsmöglichkei- rungen kommen würdet und welche Beobach-
ten sind umfangreich, nur wenige weitere Fea- tungen Ihr zu diesem Thema bereits eventuell
tures wären "wünschenswert". Den Traffic an gemacht habt.
der Akademie zu überwachen stellt durch ein
weiteres Datenbank-Tool, mit dem wir ver- Als nächstes werden wir weitere Betroffene
schiedene URLs in Kategorien einteilen können, befragen, ob und wie sie die Manipulationen
für zwei Personen trotz der verhältnismäßig oder zumindest die Nachricht darüber aufge-
nommen haben. Wenn jemand den Proxy
selbst ausprobieren möchte, er läßt sich auch
[1] Anm. d. Red.: Die mail von Dragan und Alvar
erreichte uns am 12.12.2000 – also kurz nach Redak- von außen einstellen: Proxy für http:
tionsschluss der ds73. Der Proxy ist aber nachwie vor 195.226.105.73 bzw. student.merz-akade-
erreichbar, ebenso die Homepage des Experiments
http://online-demonstration.org/insert_coin/ mie.de Port: 7007

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-28
DAS BESONDERE BUCH[TM]

Werkzeuge, mit denen er diese entwickeln und


Webapplikationen programmieren kann.
mit JavaServer Eine gute Webapplikation trennt die statischen
Elemente von den dynamischen, sie ist weitge-
Pages hend modular. Damit kann ein umfangreiches
von Hans Bergsten Projekt in mehrere Schritte aufgeteilt werden:
Designer, Redakteure und Programmierer kön-
nen ihre Bereiche entwickeln und pflegen, und
über JavaServer Pages als Rahmen ihre Arbei-
Überall ist die Rede von dynamischen Web- ten integrieren. Z.B. kann der Java-Progammie-
seiten und Webapplikationen. JavaServer rer die Prozesslogik programmieren und dem
Pages sind eine gute Möglichkeit für hoch Designer als Komponente zu Verfügung stellen,
komplexe Aufgaben. dieser schreibt sie als JSP-Tags direkt in den
HTML-Code. Wenn später die Programmie-
rung geändert wird, bleiben die Schnittstellen
Am Anfang war das Web eine riesige Enzyklo- erhalten.
pädie, eine fast unendliche Sammlung mitein-
ander verlinkter Texte. Dann kamen Bilder, HTML-Forms und CGI-Skripte sind der erste
Töne und auch kleine Animationen und Filme. Ansatz für eine Interaktion. Auf der Webseite
Das Web wurde bunt, aber es war weiterhin macht der Benutzer Eingaben in einem HTML-
statisch - die Seiten und Bilder sind nichts wei- Formular, die dann an den Server geschickt
ter als Dateien, die in einem Server-Verzeichnis (Request) und dort von einem CGI-Skript ver-
abgelegt sind. Und trotz "Multimedia" ist die- arbeitet werden. Das CGI-Skript stellt anhand
ses blosse Einweg-Kommunikation: Der Server der Eingabewerte und sonstiger Variablen die
sendet, der Client empfängt. Antwort zusammen, übergibt diese an den Ser-
ver, der sie dann an den Client sendet
Dabei gibt es viele Gründe, den statischen Rah- (Response).
men zu verlassen und Webseiten dynamisch zu
generieren: Informationen können ständig Cookies sind eine Möglichkeit, den Benutzer
aktualisiert werden, auf Benutzer(-gruppen) über mehrere Seitenaufrufe hinweg wiederzu-
oder bestimmte Endgeräte zugeschnitten wer- erkennen (Session-Management). Wenngleich
den. Bestimmte Geschäftsanwendungen, Kom- Cookies durch das Anlegen und Ausspähens
munikations- und Transaktionsmodelle, von Benutzerprofilen in Verruf gekommen sind.
erfordern situativ angepasste Seiten. Komplexe
Ein weiterer Ansatz für eine server-seitige
Webseiten mit wiederkehrenden Elementen Dynamik sind Server Side Includes. Das sind
können in einzelne Teile zerlegt werden, die
bestimmte Tags innerhalb einer Webseite,
dann leichter zu pflegen sind und aus unter-
sozusagen Platzhalter, an deren Stelle der Ser-
schiedlichen Quellen kommen, aber als ganze ver beim Seitenaufruf bestimmte Inhalte ein-
Seite an den Benutzer geschickt werden. Teilin-
setzt. PHP folgt demselben Prinzip, geht aber
formationen kommen aus unterschiedlichen
mit den Möglichkeiten über SSI hinaus.
Quellen, usw.

Der Webentwickler benötigt für solche Anwen-


dungen einen Rahmen, d.h. Sprache und

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-29
DAS BESONDERE BUCH[TM]

Client-seitige Techniken, Java Script und nen Seite - das HTML-Gerüst liegt vor und
Applets, scheiden meistens aus, da ausserhalb integriert die dynamischen Elemente.
des eigenen (Unternehmens-)Netzes sehr ver-
Weil Server Pages von dem HTML-Seitenpara-
scheidene Clients zu bedienen sind, die alle den
digma ausgehen, sind sie einfacher zu erlernen.
jeweiligen Code unterschiedlich interpretieren.
Das ist auch der Grund für die grosse Verbrei-
Für server-seitige Webapplikationen gibt es tung von PHP und anderen. Dabei sind sie eine
zwei Konzepte: Untergruppe des ersten Konzepts. Server Pages
werden oft auch als inside-out-Module
1. Die Anfrage wird an ein Modul geleitet
bezeichnet.
(http://www/servlets/some?a=x&b=y). Das
Modul entscheidet anhand der Anfragepara- Der Vorteil von JavaServer Pages [1] gegenüber
meter, auf welche Resource(n) es zugreifen soll anderen Server Pages liegt in der Flexibilität
und wie es diese als Antwort an den Client und dem Umfang der Möglichkeiten, die Java
zurückschickt: mitbringt. Die Funktionen von JavaServer
Pages können mittels weiterer Klassen, Java
out.println("<HTML>");
out.println("<BODY>"); Beans und Tag Libraries, erweitert werden.
out.println("<P>Heute ist" + new
java.util.Date()); Java selbst ist durchgehend objektorientiert
out.println("...");
out.println("</HTML>");
und eignet sich gut, vergleichsweise einfach
Beispiele für das Modul-orientierte Konzept sehr komplexe Webapplikationen zu entwik-
sind Java Servlets, CGI-Skripte. keln. Ausserdem können Java Servlets und
JavaServer Pages auf die gesamten Java APIs
2. Die Anfrage richtet sich an eine Datei (http:/ zurückgreifen: JDBC, JRMI, EJB usw. (Hinzu
/www/other.jsp?a=x&b=y), die ihrerseits von kommen die immer wieder genannten Vorteile
einem Modul gelesen wird, das dann die in der von Java: Platformunabhängigkeit, Skalierbar-
Seite zwischen den HTML-Tags eingebetteten keit usw.)
Befehle ausführt:
Die Flexibilität und der Umfang von Java ist
<HTML> <BODY> <P>Heute ist <%= new
gleichzeitig auch ihr grösster Nachteil. Ohne
java.util.Date() %> ... </HTML>
Zu dieser Gruppe gehören JavaServer Pages, eine Java Virtual Machine geht nichts. Aktuelle
Server Side Includes, PHP und andere. Versionen von Servlet- und JSP-Containern
verlangen nach der neuesten Java-Version,
In beiden Fällen greift ein Modul auf eine diese ist dann nicht immer für alle Betriebssy-
Resource zu (Datei, Datenbankeintrag usw.), steme verfügbar. Und auch die objektorien-
führt bestimmte Befehle aus und generiert dar- tierte Sprache verlangt einige Aufmerksamkeit,
aus die Antwort. Genaugenommen funktionie- damit nicht am Ende riesige Klassenbibliothe-
ren auch statische Webseiten so: Ein Modul ken wegen einer einfachen Funktion geladen
(bei Apache ist das der default-handler) liest werden müssen.
eine Datei und reicht diese an die Ausgabe wei-
ter. Die Vorteile von Java zahlen sich erst ab einer
gewissen Grösse bzw. Komplexität aus - klei-
Das erste Konzept betont die Prozesslogik, das nere Webapplikationen sind leichter in Perl
Modul erzeugt den HTML-Code. Beim zweiten oder PHP entwickelt als mit Java. Eine funktio-
Konzept liegt der Schwerpunkt auf der einzel-
[1] http://java.sun.com/products/jsp/

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-30
DAS BESONDERE BUCH[TM]

nierende JSP-Umgebung vorausgesetzt, bieten


JavaServer Pages allerdings einen leichten Ein-
stieg und man wird schnell die Möglichkeiten
dieser Sprache zu schätzen lernen.

Eine solche Servlet- und JSP-Umgebung ist


Apache Tomcat [1]. Diese funktioniert als Web-
server, ist OpenSource und gleichzeitig die
Referenzimplementation für Java Servlets und
JavaServer Pages. Wer bereits ein Java
Development Kit installiert hat, hat auch den
Apache-Tomcat-Server schnell eingerichtet.
Dieser kommt mit Beispielen für Java Servlets
und JavaServer Pages - auf Suns JSP-Webseite
[1] finden sich Tutorials und die Spezifikatio-
nen.

Zum Buch
Zu JavaServer Pages erschien vor wenigen
Wochen ein Buch bei O'Reilly [2]. Wie viele
Bücher aus dem O'Reilly-Verlag ist auch dieses
ein guter Leitfaden zu dieser Technologie,
sowohl als Einführung als auch als Nachschla-
gewerk. Das Buch ist gut strukturiert und sehr
ausführlich. Die vielen Beispiele lassen einen
das dargestellte unmittelbar praktisch nachvoll-
ziehen.

Dieses Buch richtet sich an (Java-)Programmie-


rer und HTML-Schreiber. Wer sich mit Web-
applikationen und JavaServer Pages
beschäftigen möchte (jeder Hacker sollte das,
Anm. von Tom) und das nötige Kleingeld übrig
hat, für den ist dieses Buch eine gute Investi-
tion. Die deutsche Übersetzung erscheint vor-
aussichtlich im August. <arne>

Hans Bergsten, JavaServer Pages, Verlag O’Reilly, ISBN: 1-

56592-746-X USD 39.95

[1] http://jakarta.apache.org/
[2] http://www.oreilly.de/catalog/jserverpages/

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-31
TERMINE

Hackers At Large 2001: debating the future instrumental in bringing about the changes that
of the Internet. are upon us today.
August 9th until August 12th 2001, University of
Twente, Netherlands
HAL2001 is for those that can truly celebrate
From August 9th until August 12th, the cam- the Internet and embrace new technologies,
pus of the University of Twente will feature a without forgetting their responsability to tell
congress that is unique in its kind: Hackers at others that all these wonderful new technolo-
Large, or HAL 2001. The congress expects to gies come with new risks to the individual and
receive thousands of guests from all over the to society as a whole.
world and from many different disciplines to
(Quelle: Pressemitteilung)
debate issues ranging from advanced technical
issues regarding some obscure aspect of the
Internet to easy-to-understand lectures on
some of the dangers of the information society, Easter(H)egg 2001
as well as many, many other topics. But more 13.4.2001 - 16.4.2001, Eidelstedter Bürgerhaus,
than debate, the guests at HAL2001 take
Hamburg
ample time to get on-line, relax, build and dis-
Dieses Jahr über Ostern (13.04.2001 bis
cuss cool stuff, and engage in good old analog
16.04.2001) findet das erste Easter(H)egg
interfacing.
statt. Im Gegensatz zum Congress in Berlin
The congress is unique in that the participants oder den Veranstaltungen des Chaos-Bildungs-
bring their tent and their computer, which is werks in Hamburg soll das Easter(H)egg keine
connected to a large high-speed outdoor com- Vortragsveranstaltung sein, sondern Anfassen
puter network that provides high bandwidth und Mitdenken ist das Motto: In zahlreichen
Internet connectivity for everybody. On-site ganztägigen Workshops werden Themen zur
power generators provide all these computers Computersicherheit, Netztechnik, Amateurfunk
with the necessary power: more than 1.5 und Gesellschaft ausführlich behandelt, disku-
mega-Watts. tiert und gleich praktisch umgesetzt. Dabei tra-
gen alle Teilnehmer der Workshops durch
Some of the people that are organizing HAL
aktive Mitarbeit zum Gelingen bei. Aus diesem
2001 were also involved in the former hacker
Grund wird es auch kein Hackcenter geben.
movement in The Netherlands: those responsi-
Wegen des familiären Charakters der Veran-
ble for the late hackers' magazine Hack-Tic and
staltung ist die Zahl der Teilnehmer begrenzt.
for setting up the first Internet Service Provider
Eine vorherige Anmeldung ist daher zwingend
in The Netherlands called ``XS4ALL''. But also
erforderlich. Weitere Informationen und
many people from Dutch universities, compa-
genaues Programm unter
nies and other Internet Service Providers parti-
cipate in making this event possible. http://www.hamburg.ccc.de/eh2001

The HAL2001 convention is the fourth in a


series that has been running every four years
since 1989. Quite a few of the participants at
"The Galactic Hacker Party" (1989), "Hacking
at the End of the Universe" (1993) and
"Hacking in Progress" (1997) have been

074-
#074 / Frühjahrsimulation 2001 die datenschleuder.
074-32
BESTELLFETZEN

Bestellungen, Mitgliedsanträge und Adressänderungen bitte senden an:

CCC e.V., Lokstedter Weg 72, D-20251 Hamburg

Adressänderungen und Rückfragen auch per E-Mail an: office@ccc.de

- Satzung + Mitgliedsantrag
DM 5,00

- Datenschleuder-Abonnement, 8 Ausgaben
Normalpreis DM 60,00 für
Ermässigter Preis DM 30,00
Gewerblicher Preis DM 100,00 (Wir schicken eine Rechnung)

- Alte Ausgaben der Datenschleuder auf Anfrage

- Chaos CD blue, alles zwischen 1982 und 1999


DM 45,00 + DM 5,00 Portopauschale

Die Kohle

- liegt als Verrechnungsscheck bei

- wurde überwiesen am ___.___.____ an


Chaos Computer Club e.V., Konto 59 90 90-201
Postbank Hamburg, BLZ 200 100 20

Name: ______________________________________________________________________

Strasse: ______________________________________________________________________

PLZ, Ort: ______________________________________________________________________

Tel., Fax: ______________________________________________________________________

E-Mail: ______________________________________________________________________

Ort, Datum: ______________________________________________________________________

Unterschrift: ______________________________________________________________________

074-
die datenschleuder. 074 / Frühjahrsimulation 2001
074-33
KEHRSEITE

die datenschleuder. 074 / Frühjahrsimulation 2001