Beruflich Dokumente
Kultur Dokumente
#94
ISSN 0930-1054 • 2010
Zweihundertundfünfzig Cent
Das GroSSe Datenschleuder-Leser-Bilder-Rätsel
C
hen eines Datenskandals zuzugucken. Dem ten würde das vielleicht beschleunigen. Daß wir
widmen wir uns auf Seite 45 ausgiebig. uns noch einmal brasilianische Verhältnisse
wünschen würden …
Wir hatten die einmalige Gelegenheit, einem
kulturellen Wandel beizuwohnen: Neuerdings Nerds, Hacker, Netzbewohner, Blogger haben
gehört es sich für jeden gestandenen Polit- sich fast ans helle Sonnenlicht beim auf der
nachwuchs, mangelnden Berufsethos durch Straße Demonstrieren gewöhnt – und mit
Netz-Anschleimerei zu kompensieren. Zufällig ihnen demonstriert der vielgespriesene Quer-
mischt man ein paar technische Fachwörter in schnitt der Bevölkerung mit passenden Paro-
jede Rede, was sie bedeuten, spielt dabei weni- len-Nickis und Kinderwagen. Zum dritten Mal
ger eine Rolle. Bei Nachfragen wird betont, daß schon kamen wir zu Tausenden zum Revolu-
das sicher die Experten erklären könnten. Ein tionstraining in der Mitte Berlins zusammen.
klitzekleines bißchen Lob spendet man her- Aufgrund immer wieder an die Redaktion her-
nach für die Segnungen des Netzes, nur um angetragener Fragen bezüglich mißverständ-
dann auf die entsetzlichen Abgründe zu ver- licher Spielregeln für das Demo-Adventure
weisen, welche die „Datenautobahn“ (Wtf?) mit publizieren wir daher auf Seite 48 ein nutzbrin-
sich brächte. Keine Rede ohne den strunzblö- gendes Regelbuch, das am 11. September dieses
den Verweis auf unter allen Umständen zu ver- Jahres praktisch eingesetzt werden kann.
meidende „rechtsfreie Räume“. Dies müssen
wir ihnen noch abgewöhnen. Zu den erfreulichsten Nachrichten der letzten
Erscheinungspause der Datenschleuder gehört
In anderen Ländern – wie etwa Brasilien – ist die Verleihung der Goldenen Nica 2010 des
schon seit vielen Jahren selbstverständlich, daß Prix Ars Electronica an den CCC. Der renom-
bei Parlamentsdebatten die E-Mail-Adresse des mierteste Preis, den es in puncto Digitales in
Redners in der Fernsehübertragung eingeblen- Europa so zu gewinnen gibt, wurde uns in der
det wird. Bis wir in Deutschland soweit sind, Kategorie „Digitale Gemeinschaften“ verliehen.
wird es wohl noch dauern: Die Konservativen Dankeschön! <die redaktion>
konnten sich in der Enquête-Kommission des
Deutschen Bundestages, die explizit das Inter- Inhalt
net zum Thema hat, nicht mal durchringen, Geleitwort/Inhalt 1
durchgehend öffentlich zu tagen. Das Antwort- Leserbriefe 3
verhalten auf Abgeordnetenwatch kann jeden-
Impressum 9
falls kaum als Maßstab für eine transparente
Regierung herhalten. In eigener Sache 10
No such number, no such zone? 11
In Deutschland hingegen haben viele Politi- Angriffe auf sichere Hardwarelösungen 12
ker erst kürzlich wirklich Selberklicken gelernt. Plastekarten im Nacktscanner 15
Doch sogar Wiefelspütz hat jetzt seinen eigenen
All Chips Reversed 17
Computer – und schweigt dankenswerterwei-
se seit dem Alltagskontakt mit der vernetzten Selbstversuch Datenbrief 37
Realität beharrlich. Selbst Frau Zypries mußte Zweites Leben für C-Netz-Telefone 39
auf die harte Tour erlernen, was ein Browser The dark side of cyberspace 40
ist. Die Internetausdrucker drucken jetzt nur Die Welt von morgen –
noch heimlich, wenn sie glauben, daß keiner FAQ Familieninternet 2017 43
zuschaut. Sie twittern bisweilen und vereinzelt Die Volkszählung 2011 45
sogar selber, eventuell hat ein Social-Media-PR- Demogrundregeln für Nerds 48
Beratersimulant ihnen dazu geraten. Zu echten
Psychologische Grundlagen
Online-Wahlkämpfen reichte es allerdings noch des Social Engineering 52
nicht, dafür brauchen sie wohl noch ein Jahr-
Gefährderanschreiben 60
zehnt. Ein paar sinnvolle Inhalte und Antwor-
Ja, es ist die Ethik des CCC, offensichtlich hilfe- www.ccc.de –, fällt für mich in die Kategorie: juri-
bedürftigen Menschen nahezulegen, professionelle stisch ohne Sinn und Verstand und moralisch
Hilfe in Anspruch zu nehmen. verkommen.
Ich denke also, daß padeluun damit für den Chaos Ursula von der Leyen, CDU Und deshalb noch
Computer Club spricht, und würde seine Empfeh- mal vielleicht ein Wort zu denen, die hier heute
lung unterstützen. <erdgeist> protestieren. Die dagegen protestieren, daß –
ich sag‘s noch mal: Die Bilder von Kindern,
Die nachfolgenden Zitate kann ich nur unter- die vor laufender Kamera geschändet werden,
streichen und muss fassungslos zur Kennt- wo vor laufender Kamera in Kauf genommen
nis nehmen, wie die Diskussion über „Zensur“ wird, daß diese Kinder an inneren Verletzun-
im Internet von Ihnen extrem einseitig, undif- gen verbluten, das sind genau die Themen die
ferenziert und vollkommen unangemessen unter „Kinderpornographie“ laufen, wenn Sie
geführt wird. Schade, daß Sie sich nicht für wir- Ihre Fachlichkeit, Ihre Fähigkeit als Chaos
kungsvolle und umsetzbare Maßnahmen gegen Computer Club im Internet einsetzen würden,
Kinderpornograhie einsetzen bzw. hier mit der um genau dieses zu verhindern, dann wäre Ihr
Politik zusammenarbeiten – das wäre ein ech- Engagement an der richtigen Stelle.
ter, bürgerlicher Beitrag.
Wir freuen uns, nun auch in bildungsfernen
Vielleicht sollten Sie einfach den Gesetzentwurf Schichten wahrgenommen zu werden. Herr Uhl
lesen, auf den Sie im Internet verweisen? fühlte sich übrigens nur drei Tage nach obiger Aus-
sage ein wenig nach Zurückrudern:
Ich gehe schon davon aus, daß in diesem
(besonderen) Falle die Politiker (ausnahmswei- Ich bezweifle nicht, daß z. B. die Angehörigen
se?) im Interesse der überwältigenden Mehrheit des Chaos Computer Club grundsätzlich Ernst
handeln – setzen Sie sich lieber dafür ein, daß zu nehmende Computerfachleute sind. Ich
das Handeln in wirkungsvollen Kanälen mün- bedaure, daß ich einen unnötig polemischen
det anstatt meiner Meinung nach völlig unaus- Ton in die Debatte gebracht habe. Schließlich
gewogene „Visionen“ vom Überwachungsstaat ist es ja richtig, geplante Maßnahmen von allen
zu entwerfen. <Oliver Marquardt> Seiten zu beleuchten und zu hinterfragen. Link:
http://www.abgeordnetenwatch.de/dr_hans_peter_uhl-
Hans-Peter Uhl, CDU Die ganze pseudo-bürger- 650-5550--f173841.html#q173841
rechtsengagierte Hysterie von Pseudo-Com-
puterexperten, man müsse um jeden Preis ein Wahrscheinlich hatte er bloß Angst, daß ihn mal
„unzensiertes Internet“ verteidigen etc. – vgl. jemand fragt, was ein Browser sei. <erdgeist>
Diese Maßnahmen erübrigen alle zukünfti- die aktuellen Machthaber? Könnte es sein, daß die-
gen Ärgernisse und Diskussionen in Bezug auf sen gerade jene Informationen nicht genehm sind,
Internet und Informationsfreiheit. die gegen ihre eigenen Interessen gehen? Könnte es –
gesetzt den Fall, es wäre so – nicht auch sein, daß
Genau. Die Informationsfreiheit im Internet (ja, dadurch die Grundsicherung einer freien, demokra-
die funktioniert hier bidirektional) gibt es dann tischen Gesellschaft (die Meinungsfreiheit *Zaun-
nämlich nicht mehr. pfahl, winkewinke*) gefährdet würde? <Alex>
Eine Zensur kann so nicht mehr stattfinden, Leider ist uns beim Versenden der Einladung
vorausgesetzt alle Beteiligte halten sich an die zur Konferenz „Datenschutz in der Informati-
Regeln. onsgesellschaft“ ein Fehler unterlaufen, indem
wir den Verteiler offen gehalten haben. Wir
Wenn sich „alle Beteiligten“ an „die Regeln“ hiel- bitten Sie, dieses Versehen zu entschuldigen.
ten, hätten wir schon ganz andere Probleme wie <Referat 212 Verbraucherschutz in der Informationsgesell-
Krieg, Hunger, Diskriminierung und <hier beliebi- schaft sowie in den Bereichen Verkehr und Energie Bundes-
ges Problemfeld einsetzen> gelöst. De facto werden ministerium für Ernährung, Landwirtschaft und Verbraucher-
Regeln gebrochen – auch und gerade wenn sie unsin- schutz>
nig sind. Das wissen Sie so gut wie ich. Ihr Katalog
von Forderungen verhindert keine Zensur, er imple- Keine Sorge, bei uns sind die Daten in guten Hän-
mentiert sie geradezu. Wenn ich nur daran denke, den. <Frank>
daß ich alles, was ich veröffentlichen möchte, erst
bei einer Behörde einreichen und genehmigen lassen Liebe Computerprofis, eine überflüssige Frage
soll, wird mir – mit Verlaub – speiübel. von einem eh Paranoiden: Ist der Gedanke,
daß mein lcd-Monitor mich fotografiert, total
Auf diese Weise ist sichergestellt das uner- abwegig? Mir ist seit längerem ein gelegentli-
wünschten Veröffentlichungen wirkungsvoll ches, nur millisekunden dauerndes Auf blitzen
begegnet werden kann. <Adolf H.> (We‘re not kidding des Bildschirms aufgefallen … (Verfolgungs-
you. Aber nicht Hitler. 2x überprüft.) wahn halt) aber immer werde ich das komische
Gefühl nicht los, daß an einem der anderen
Exakt. Alles, was der „Bundesanstalt für Infor- Enden der Leitung jemand sitzt, der unbedingt
mationshygiene im Internet“ nicht genehm ist, wissen will, wer bei mir grad‘ am pc sitzt .
wird zensiert. Dann bleibt natürlich die Frage: Wer
bestimmt, was genehm ist und was nicht? Eventuell Mein Gedankengang hierbei: Der Lichtblitz
trifft auf mein Gesicht, wird reflektiert auf
die Kristalle, und löst dort eine winzige Ver-
änderung aus, die in ein Bild umgewandelt
wird ?!?!? … aber Wahrscheinlich habe ich „zu
oft“ Fletschers Visionen angeschaut …
D a d e r A r t i k e l in d e r D a t e n -
schleuder auf anonym zugespielten
Informationen basierte (brauner
Umschlag an die Redaktion), können
wir leider kaum mehr Detailtiefe lie-
fern. Allerdings ist aufgefallen, daß
folgende Links ggf. hilfreich beim Ver-
ständnis der Technik sein könnten:
microcontroller.net, avrfreaks.net , Goog-
le zu ida pro und avr <constanze>
Man kann Premiere natürlich trotzdem gucken, Ich hätte gerne, daß mein Garmin navü 200
ohne selbst eine gültige Karte zu haben, und zwar bei Höhenänderungen piepst. (sh variometer
mit Key Sharing. Das CA-System ist bereits gehackt von Bräuninger). Schließlich kann das Ding die
und re-engineered worden, aber (soweit bekannt) Höhe und Geschwindigkeit anzeigen. Wer hat
sind Karten und Krypto noch intakt. Da gibt es ent- Lust, mir zu helfen? <Markus F.>
sprechende Server im Netz, wo man solche Keys pol-
len kann, oder aber man teilt sie mit seinen Freun- Ich! Ich! *piep* *pieppiep* *piep* <Bine>
den, das geht natürlich auch. Ohne daß mindestens
einer eine gültige Karte hat, geht’s aber nicht. Hi liebe CCC Betreiber, beim Stöbern im Internet
bin ich auch auf Eure Seite gestoßen. Es ist eine
By the way, Premiere heißt jetzt Sky. <constanze> Angewohnheit von mir, immer auf das Impres-
sum zu schauen, um die Solidität des Anbieters
Hack a Bike: Den Code der unter dem Bericht zu sehen. Denn ein korrektes Impressum zeigt
steht soll man den draufmachen? Oder kannst die Ernsthaftigkeit des Betreibers (egal ob gute
du mir erklären wie das geht <Max> oder schlechte Ersthaftigkeit). Es war für mich
enttäuschend, daß auch Euer Impressum feh- In der Akte Sendung vom 28. 07. 2009 sagten
lerhaft ist (schade). Sie was von sicheren Drucker. Wie sichere ich
meinen? <Michael R.>
Nach dem MDStV §10 Absatz 3 muß eine Per-
son benannt werden die als Verantwortlicher Loch bohren und Fahrradschloß durchziehen?
für die Website zeichnet und der auch direkt <Bine>
ansprechbar ist, also Telefon und Emailadres-
se. Leider ist das in Eurem Impressum nicht zu Mit Verwunderung habe ich festgestellt, daß die
finden. Es geht nicht um Besserwisserei, denn Vorkämpfer des Gemeineigentums an geistigen
andere bekommen keinen Hinweis von mir. Erzeugnissen ihre aktuelle Veröffentlichung
Mehrheitlich sind die Impressen nicht ok, das nicht zum Download anbieten.
ist mir egal – bei Euch war ich ein wenig ent-
täucht, denn Ihr habt immerhin einen reno- Gibt es dafür Gründe neben der Absatzförde-
mierten Namen. In Freundlichkeit! <Frank S.> rung der Printausgabe? <Matthias>
Offensichtlich fehlt uns die entsprechende Ernst- Statt einfach zu sagen: „Eyh, ich will Eure Zeitung
haftigkeit. Wir versprechen, auch in diesem Punk- runterladen und nix dafür bezahlen“, deklarierst
te in Zukunft viel ernsthafter zu werden. Ernsthaf- Du uns urplötzlich ganz überraschend zum „Vor-
te Grüße <VB> kämpfer des Gemeineigentums“. Und prompt müs-
sen wir uns quasi folgerichtig rechtfertigen, warum
Ich weiß, es gibt eine Hackerehtik und Hacker wir Dir nicht längst unser Vereinsmagazin ins Netz
sind dazu da Lücken auf zu decken deshalb gestellt haben. Kess!
schreibe ich Ihnen diese Mail. Ich weiß nicht,
ob sie das gemerkt haben, aber ich kann mich Die Online-Policy ist, daß die Abonnementen die
mit meinem FileZilla Client auf Ihrem ftp- Schleuder ungefähr zwei Wochen exklusiv in den
server einlogen. Mit folgenden Daten: Benutzer- Händen haben. Wenn wir dann nicht verpeilen,
name: admin (könnte auch anonymous gewesen gibt’s das PDF online. <erdgeist>
sein) Kennwort: quasi, Adresse: ftp.ccc.de Port 21.
Aufmerksame Leser werden die Änderung bereits auf dem Adreßaufkleber oder im
Impressum wahrgenommen haben, an dieser Stelle eine ausführlichere Darstellung.
Nach zwölf Jahren im Lokstedter Weg 72 verließ Postfach bezogen. Unser bisheriges Fach in der
der Chaos Computer Club Anfang 2010 seine Hauptpost im Hühnerposten geben wir daher
bisherige Dezentrale in Hamburg-Eppendorf auf.
und zog in die City-Nord nach Hamburg-Win-
terhude. In der ehemaligen Filiale der Haspa – Sämtliche Rufnummern bleiben dagegen
der wir ja in unserer Vereinsgeschichte bereits unverändert, ebenso die Mailadressen der Mit-
verbunden sind :) – am Mexikoring 27 fanden glieder- und Abonnementverwaltung.
wir ein neues Zuhause. Dort ist zeitgleich auch
der – nun als eigener Verein „Chaos Computer Postalisch erreicht Ihr uns demnach künftig via
Club Hansestadt Hamburg e. V.“ organisierte –
Erfa Hamburg sowie der Attraktor e. V. behei- Chaos Computer Club e. V.
matet. Postfach 60 04 80
22204 Hamburg
Aufgrund der günstigen Lage der Postfiliale 60
am Überseering 17 haben wir dort ein neues Besuchen könnt Ihr unseren Erfa Hamburg
hingegen jeden zweiten
bis fünften Dienstag im
Monat im
Mexikoring 21
22297 Hamburg
Für all jene, die nur noch Zahlensalat sehen und sich insbesondere fragen, warum das
Postfach eine andere Postleitzahl als die Clubräume haben, obwohl sie nur fünfzig Meter
entfernt liegen, hier ein kurzer Exkurs zur Numerierung deutscher Postfachadressen.
Im Rahmen der Zusammenführung der bei- Stand der Dinge wird es wohl zum Jahresen-
den deutschen Postleitzahlensysteme und der de eine Übertragung der Filialen von den Gel-
Entscheidung für die Einführung einer fünf- ben auf die Blauen, also zur Postbank, geben.
stelligen Postleitzahl zum 1. Juli 1993 („Fünf ist Zeitgleich wird versucht, durch Verkaufsschal-
Trümpf“ mit Maskottchen „Rolf“) wurde insbe- ter in Supermärkten die Grundversorgung trotz
sondere dem Wunsch nach einer weitgehenden Filialabbaus zu halten. Vermutlich wird es eine
Automatisierung der Briefverteilung und einer Konzentration von bestehenden Schrankanla-
Vorsortierung nach Postgroßempfängern oder gen in Postbankfilialen geben.
Stadtteilen Rechnung getragen.
Bislang jedoch ist durch die Postfachnummer
Die erste Stelle kodiert dabei die Leitzone (meist eindeutig gekennzeichnet, um welches Fach
ein Gebiet mit einem Verkehrsflughafen), die es sich handelt – selbst wenn der Absender die
ersten beiden Stel- Post leit zahl des
len die sogenann- Zustellbezirkes ver-
te Leitregion. Dort wenden sollte.
ist in den meisten
Fällen ein Briefzen- Durch die Auftei-
trum zur Weiter- lung der Postfach
verteilung angesie- nummer in Zweier
delt (einige Zentren gruppen von rechts
bedienen mehrere w ird d as deut-
Leitregionen). lich. Das Sche-
ma h ierbei ist
Innerhalb dieses [ X ] Y MM N N,
Nummernraumes wobei NN die Post-
gibt es dann die fachnummer (hier:
Leitbereiche, das sind Nummernbereiche für 80, Indikator für die verwendete Schrank
einzelne Orte oder Stadtteile. Die niedrigsten anlage), MM die Schranknummer (hier: 4,
Nummern darin sind für Postfächer, die höch- mit führender Null geschrieben) und XY die
sten für Zustellbezirke vorgesehen. Dazwischen Filialkennzahl (hier 60, Überseering 17) ist.
gibt es variabel viel Platz für Großempfänger, je Im Ergebnis also „60 04 80“.
nach Bevölkerungsdichte und Wirtschaftslei-
stung um 1991/92. Die überwiegende Zahl der Für unser bisheriges Fach ist das Fach 45 im
Postleitzahlen ist als Reserve vorgehalten. Schrank 22 in der Filiale 10, also „10 22 45“.
Durch dieses System können Postfachschrän- Ich sammele im Übrigen seit vielen Jahren Pho-
ke nach Bedarf eröffnet werden. Leider hat der tos von Schrankanlagen und freue mich – ähn-
privatisierte Gilb derzeit das Gegenteil, also die lich wie die 2600 über Telefonzellenbilder –
Reduktion der Filialen, vor. Nach momentanem über Zusendungen. ;)
Was haben die eGK, der elektronische Personalausweis, Telefon-, SIM- und Geldkarten
gemein? Die auffälligen Kontakte verraten es: Im Innern verbirgt sich eine Smart Card, die
vertrauliche Daten vertraulich und geheime Algorithmen verborgen halten soll. Game On!
Als sichere Hardware [1], [2] wird ein gesicher- innen gespeicherten Daten dürfen auf kei-
tes Modul bezeichnet, das normalerweise einen nen Fall aus diesem Speicherplatz kopiert wer-
Mikrokontroller enthält, in dessen Speicher den. Auf den ersten Blick sind die Chipkarten
Daten und Algorithmen mit einer (oder auch mit dem aktiven Schutz eine gute Lösung. Der
ohne) Sicherheitseinstufung abgelegt sind. Grund ist, daß zur Zeit keine direkte und einfa-
che Möglichkeit besteht, mit der man die Daten
Sichere Geräte können zu mehreren Zwecken „entwenden“ kann. Wenn wir die Möglichkeit
dienen. Einerseits handelt es sich um sichere des Abhörens der Kommunikation zwischen
Speicherplätze für empfindliche kryptographi- Lesegeräte und der Zielstation (bzw. eine Hin-
sche Daten (Schlüssel, zufällige Daten, Initia- tertür in der Software der Zielstation) vernach-
lisierungsvektoren usw.), andererseits führen lässigen, dann stellt die Chipkarte eine sichere
sie empfindliche Vorgänge durch, bei denen die Lösung dar.
Korrektheit gewährleistet werden muß (Berech-
nung der Kennzeichnungen der Nachrichten,
Seitenkanäle
Chiffrierung usw.). Selbstverständlich können
beide Funktionen kombiniert werden. Sichere Sichere Geräte produzieren jedoch auch uner-
Geräte ermöglichen damit den direkten Zugang wünschte Daten, mit denen der Entwickler
zu Informationssystemen und anschließend nicht rechnete. Diese sicherheitsbedrohlichen
die Kommunikation zwischen den Computern. Wege nennen wir Seitenkanäle (side channels).
Weiterhin dienen diese Systeme als Schlüssel- Als Angreifer sind wir fähig, diese Seitenkanäle
element zur Erweiterung der sicheren Systeme abzuhören oder zu überwachen und damit den
für die digitale Unterschrift. Zugriff zu den potentiell empfindlichen Daten
zu erlangen. In den meisten Fällen ist es aber
Eine sehr populäre Art der sicheren Geräte stellt notwendig, diese Daten einer speziellen Analy-
zur Zeit die Chipkarte (smart card) dar, die für se zu unterziehen. Diese ermöglicht eine Aus-
einen sicheren Speicherplatz der empfindli- filterung der Informationen, welche dann spä-
chen Daten gehalten wird. Die Chipkarten bie- ter für die Durchführung eines erfolgreichen
ten gegenwärtig interessante Möglichkeiten in Angriffes an den Mechanismus benutzt werden
Form eines relativ leistungsfähigen Prozessors können.
direkt in der Karte an, und das alles für einen
akzeptablen Preis. Die Angriffe mittels Seitenkanälen [4], [5], [6]
basieren auf der Überwachung der korrekten
Ist es aber wirklich möglich, die Chipkarten Aktivität des Gerätes. Allgemein kann man
für einen sicheren Speicherplatz für Daten zu sagen, daß diese Angriffe aus einem einfa-
betrachten? Der sichere Datenspeicherplatz chen Datensammeln und einer komplizierten
muß eine wichtige Bedingung erfüllen: Alle nachfolgenden Analyse bestehen. Von diesen
Das Gerät scsat04 ist in zwei autonome Teile in der Konzeption neuer Hardware und Softwa-
gegliedert. Der digitale Teil des Geräts enthält re für gesicherte Lösungen bemerkbar machen
das autonome Modul etrax mit dem Betriebs- sollen.
system Linux, das für die Verbindung mit der
Außenwelt verantwortlich ist. Für die Durch- [1] ISO/IEC 15408, Information technology –
führung der Messungen enthält scsat04 den Security techniques – Evaluation criteria for IT
Chip virtex pro, zu dem der Prozessor Power- security.
PC und das Torfeld fpga angeschlossen sind. [2] Security Requirements for Cryptographic
Modules, FIPS PUB 140-1, Federal Informa-
Der analoge Teil des Geräts enthält den power tion Processing Standards Publication, Natio-
glitch generator, den data glitch generator, die nal Institute of Standards and Technology, U. S.
Datenschnittstelle und zwei Stecker, einen für Department of Commerce, January 11, 1994.
die Chipkreditkarte (ISO 7810-7816 [3]) und den [3] ISO/IEC 7816, Identification cards – Inte-
anderen für einen allgemeinen sicheren Mikro- grated circuit(s) cards with contacts, 1998, Inter-
kontroller. national Organization for Standardization, Swit-
zerland.
[4] Hanáček P., Peringer P., Rábová Z.: Využití modelů při
Zusammenfassung
analýze bezpečnosti kryptografických modulů (Verwen-
Die Verwendung von sicherer Hardware ist zur dung von Modellen bei Sicherheitsanalyse der
Zeit ein unerläßlicher Bestandteil aller Lösun- kryptographischen Modulen), In: NETSS2004,
gen im IT-Bereich, wo mit empfindlichen Daten Ostrava, CZ, MARQ, 2004, s. 115-120, ISBN
gearbeitet oder wo die Identitätsverifizierung 80-85988-92-5.
der Kommunikationspartner gefordert wird. [5] Hanáček P., Peringer P., Rábová Z.: Analý-
Das entwickelte Gerät scsat04, das die Beob- za simulačních dat získaných z kryptografické-
achtung und Speicherung des Leistungsver- ho modulu (Analyse der Simulationsdaten aus
brauches eines Mikroprozessors eines sicheren einem kryptographischen Modul), In: Procee-
Geräts ermöglicht, bietet uns die Chance, zu dings of ASIS 2004, Ostrava, CZ, MARQ, 2004,
objektiven Informationen über die Sicherheit S. 6, ISBN 80-86840-03.
aller im Moment benutzten Lösungen zu kom- [6] Hanáček P., Peringer P., Rábová Z.: Získávání
men. vstupních dat pro modely bezpečnosti (Gewin-
nung der Eingangsdaten für Sicherheitsmodel-
Durch die anschließende Analyse der daraus le), In: Proceedings of ASIS 2005, Ostrava, CZ,
resultierenden Mängel auf der theoretischen MARQ, 2005, S. 68-73, ISBN 80-86840-16-6.
Ebene kann man Folgerungen ableiten, die sich
PayPal bietet nun also einen zusätzlichen ders gut zu erkennen sind die Batterie, der
Sicherheitsmechanismus in Form eines Token Elektronikteil und eine halbkreisförmige Linie
an, der bisher als kleiner und kompakter Schlüs- unten rechts. Irgendwie erinnerte uns diese
selanhänger bestellt werden konnte. Entwickelt Linie an eine kleine rfid-Antenne, und so ist es
wurde er von InCard Technologies [2] in Zusam- auch. Von PayPal unerwähnt verbirgt sich in der
menarbeit mit den Firmen NagraID [3], nCryp- „Super Smart-Card“ ein „Mifare ultralight“-Tag,
tone [4], SmartDisplayer [5] und SiPix [6]. welcher 512 Byte Speicher beinhaltet und in 16
Bänken von je vier Byte organisiert ist. Die drit-
Der Kontoinhaber loggt sich zunächst ganz nor- te Bank ist hierbei nur einmal programmierbar,
mal mit Benutzernamen – also seiner E-Mail- und die ersten 2,5 Bänke sind read-only.
Adresse – und Paßwort ein. Im nächsten Schritt
wird er gebeten, den Taster an seinem Token Nach dem Auslesen mit einem rfid-Reader
zu drücken. Auf diesem wird dann für dreißig wurde allerdings schnell klar, daß auf dem Tag
Sekunden eine sechsstellige Zahl angezeigt, die nichts gespeichert ist, außer dessen eindeutige
er eingeben muß, um endgültig für diese Sit- Seriennummer.
zung an seinen PayPal-Account zu gelangen.
Der Schlüssel verfällt nach dreißig Sekunden. 04 4a e0 26 00000100 01001010 11100000 00100110 .J.&
Mit anderen Worten: Selbst wenn jemand mit f9 8f 22 80 11111001 10001111 00100010 10000000 ..„.
d4 48 00 00 11010100 01001000 00000000 00000000 .H..
einer Phishing-Mail erfolgreich Benutzerna-
00 00 00 00 00000000 00000000 00000000 00000000 ....
men und Paßwort entwendet, kommt er ohne ff ff ff ff 11111111 11111111 11111111 11111111 ....
das Token nicht an das PayPal-Konto heran, es 00 00 00 00 00000000 00000000 00000000 00000000 ....
sei denn, er leitet die Login-Session direkt ein. 00 00 00 00 00000000 00000000 00000000 00000000 ....
00 00 00 00 00000000 00000000 00000000 00000000 ....
00 00 00 00 00000000 00000000 00000000 00000000 ....
Diese kleinen grauen eToken (Digipass Go 3) 00 00 00 00 00000000 00000000 00000000 00000000 ....
von VASCO[1] beinhalten eine Echtzeituhr und 00 00 00 00 00000000 00000000 00000000 00000000 ....
unterstützen des und 3des als Verschlüsse- 00 00 00 00 00000000 00000000 00000000 00000000 ....
00 00 00 00 00000000 00000000 00000000 00000000 ....
lungsarten. Sie sollen bei normalem Gebrauch
00 00 00 00 00000000 00000000 00000000 00000000 ....
eine Batterie-Lebensdauer von ca. fünf Jah- 00 00 00 00 00000000 00000000 00000000 00000000 ....
ren haben. Als ich mir einen neuen bestell- 00 00 00 00 00000000 00000000 00000000 00000000 ....
te, mußte ich allerdings feststellen, daß PayPal
Dump der Karte
mittlerweile von dieser Art Token abgekommen
scheint. Die Frage, ob der Chip von PayPal für einen
zukünftigen Gebrauch vorgesehen ist, konn-
Der Token kommt in der Form einer „iso 7816 te bisher noch nicht beantwortet werden. Bis
id1“-Karte daher und beinhaltet interessante zum Redaktionsschluß lag uns keine schriftli-
Technologien wie z. B. ein ePaper-Display. Hält che Stellungnahme von PayPal vor. Was bleibt,
man die Karte gegen eine helle Lampe, zeichnet ist der fade Beigeschmack, nicht darüber infor-
sich schemenhaft sein Innenleben ab: Beson- miert worden zu sein.
Im Dezember 2007 veröffentlichten Karsten Nohl und Henryk Plötz ihre Forschungser-
gebnisse über die Sicherheit des RFID-Systems Mifare Classic auf dem 24. Chaos Commu-
nication Congress [14, 15]. Sie gewannen ihre Erkenntnisse über die Funktionsweise des
Algorithmus Crypto1 durch Reverse-Engineering von Protokolldaten und der Integrierten
Schaltkreise (IC), die auf RFID-Transpondern vom Typ Mifare Classic eingebettet sind.
Die im Vortrag dargstellten Erkenntnisse zeigen, daß für eine Analyse einfacher Schalt-
kreise „Küchentechnik“ genügt. Crypto1 wird unter anderem für Zugangskontrollen und
Bezahlsysteme verwendet.
Der Bedarf an professioneller ic-Analyse ist ced Microcircuit Emulation Program. Dabei
groß. Jeder Hersteller von Integrierten Schalt- geht es u. a. darum, Baupläne aus undokumen-
kreisen benötigt dafür entsprechende Verfah- tierten anwendungsspezifischen Schaltkreisen
ren. Die Laboratorien verfügen über Werkzeuge, (asics) zurückzugewinnen. Anhand derer kön-
z. B. um festzustellen, warum Prototypen nicht nen Schaltkreise nachgebaut werden, wenn z. B.
funktionieren. Auch anderen Anwendungs- der ursprüngliche Hersteller nicht mehr exi-
zwecken dienen diese Analysen. Die folgenden stiert. [1]
Beispiele sollen dies zeigen.
Den genannten Beispielen ist gemein, daß hin-
Einige Firmen, z. B. die kanadische Firma ter den Programmen finanzstarke Institutionen
Chipworks [7], untersuchen Halbleiterbaustei- stehen. Diese können Integrierte Schaltkreise
ne und Mikroelektronik, um Auftraggeber über analysieren – zur Fehlersuche, um etwas über
Technologien der Konkurrenz in Kenntnis zu die Fähigkeiten der Konkurrenz zu erfahren,
setzen. Im Falle von Patentverletzungen haben um Manipulationen festzustellen oder „auszu-
die Auftraggeber damit Material in der Hand, schließen“, um Sicherheitslöcher aufzuspüren,
um gegen die Konkurrenz juristisch vorzuge- um geheime Chiffrierschlüssel aus Speichern
hen. Detaillierte Informationen über Technolo- auszulesen und dergleichen. Je nach Fragestel-
gien helfen, Produkte unter Einsparung eigener lung kosten kommerzielle Chipanalysen fünf-
Forschungsmittel zu verbessern. bis sechsstellige Beträge.
Im Bereich der „nationalen Sicherheit“ besteht Auf der anderen Seite können IC-Analysen
ebenfalls Bedarf an der Analyse Integrierter mit einfachen Mitteln durchgeführt werden.
Schaltkreise. Militärische, nachrichtendienst- Beispielsweise war das Reverse Engineering
liche und diplomatische Einrichtungen, die von Crypto1 ohne ein teures Labor mit einem
beispielsweise Chiffriertechnik oder hochtech- zusammengerechneten Zeitaufwand in weni-
nische Waffensysteme aus anderen Ländern ger als zwei Mannmonaten möglich. Mit einem
einkaufen, haben ein Interesse an „hintertür- fiktiven Tagessatz von 500 Euro wäre der Ver-
freier“ Hardware. Dahingehende Modifikati- schlüsselungsalgorithmus für etwa 30.000
onen können analysiert werden, auch wenn das Euro Kosten extrahiert. Mit den Erfahrungen
einen größeren Aufwand darstellt. [1,10,24] aus dem Projekt wäre ein erneutes Reverse-
Engineering von Crypto1 sogar in wenigen
Ein Projekt, das die US-amerikanische Defen- Tagen ohne nennenswerte Kosten möglich.
se Logistics Agency finanziert, ist das Advan-
Im Rahmen des Mifare-Hacks entstand der Basisstation gegen unbefugtes Abhören sichern
Wunsch, das Reverse-Engineering von Inte- soll. Ebenfalls ist der Eurochip-Algorithmus
grierten Schaltkreisen werkzeuggestützt zu ver- geheim. Dies ist ein Challenge-Response-Ver-
einfachen. Zu diesem Zweck wurde eine Soft- fahren, mit dem Kartentelefone die Echtheit der
ware namens degate entwickelt. Telefonkarten verifizieren. Der Algorithmus
wurde in den 1990er Jahren eingeführt, nach-
Dieser Text soll die Hintergründe des Reverse- dem es zu viele Betrugsfälle mit Telefonkarten-
Engineerings von Integrierten Schaltkreisen Emulatoren gab. [23]
beleuchten und beschreiben, wie man Schalt-
funktionen von Logikgattern aus ic rekonstru- „Legic prime“ und der dsc sind seit dem 26.
ieren kann. Chaos Communication Congress der Öffent-
lichkeit bekannt und gelten mittlerweile als
unsicher. Die Verschlüsselungsalgorithmen
Motivation
wurden mittels Firmware-, Protokoll- und Chip-
Die Sicherheit des Verschlüsselungsverfah- Reverse-Engineering ermittelt. [16, 25]
rens Crypto1 basiert auf dem Prinzip securi-
ty by obscurity, d. h. auf der Geheimhaltung Das Enthüllen von proprietären Verschlüsse-
des Verfahrens und weniger auf der Geheim- lungsalgorithmen ist die hauptsächliche Moti-
haltung der Schlüssel. Damit verletzt es Kerck- vation dafür, ein Verfahren zu entwickeln, mit
hoffs’ Prinzip, welches besagt, daß die Sicher- der sich kostengünstig Analysen von Chips
heit eines Systems nicht auf der Geheimhaltung durchführen lassen. Kostengünstig bedeutet,
des Verfahrens basieren darf. Üblicherweise ist daß für die Anschaffung aller notwendigen
die Geheimhaltung eines Verfahrens schwieri- Geräte keine höheren Kosten als etwa 1.000 bis
ger als die von Schlüsseln zu gewährleisten. Im 10.000 Euro entstehen.
Falle einer Offenlegung läßt sich ein Verfahren
nicht so leicht austauschen wie Chiffrierschlüs- Zahlreiche IT-sicherheitsrelevante Themen
sel. Das Kerckhoffs’sche Prinzip wurde bereits sind seit den 1980er Jahren in den Fokus der
1883 aufgestellt. Allerdings wird es in der Praxis zivilen Forschung gerückt, beispielsweise
oftmals ignoriert. [21] Betriebssysteme, Server-Software und Krypto-
graphie. Dies hat maßgeblich zur Verbesserung
Wären regelmäßig hardwareimplementier- von Sicherheitsstandards beigetragen. Sicher-
te Verschlüsselungsverfahren einer Low-Cost- heitsstandards im Bereich Integrierter Schal-
Analyse unterzogen, müßte sich zwangsläufig tungen werden zwar ebenfalls besser, insbeson-
das Sicherheitsniveau der Verfahren erhö- dere bei smart cards, es gibt aber nach wie vor
hen. Kryptosysteme, deren Umgehung n Euro fast keine öffentliche Sicherheitsforschung im
kosten, können keine Geheimnisse schützen, Bereich Integrierter Schaltkreise. Dies ist ins-
deren Umgehung n Euro Gewinn einbringt. besondere daran feststellbar, daß es nur sehr
Wenn die Umgehungskosten sinken, genügt wenige Aufsätze gibt, die speziell Reverse-Engi-
es nicht mehr, ein potentiell knackbares Ver- neering von (Logik-)Schaltkreisen behandeln
schlüsselungsverfahren zu verwenden, dessen und diese de facto keine Details preisgeben.
Sicherheit darin besteht, daß es niemand kennt.
Entwickler sicherheitsrelevanter Systeme über-
Neben dem bei „Mifare Classic“ verwende- legen sich zumeist, gegen welche Kategorien
ten sind auch andere Verschlüsselungsverfah- von Angreifern sie das System schützen wol-
ren von der Problematik Security by obscuri- len. Diese Kategorien orientieren sich i. d. R.
ty betroffen. Dazu zählen beispielsweise die an potentiellen Budgetgrößen, die den Angrei-
proprietären rfid-Systeme „Legic prime“ und fern zur Verfügung stehen. Die Bewertung von
„Felica“ sowie das Verschlüsselungsverfahren Budgetgrößen sollte jedoch kritisch betrachtet
„dect Standard Cipher“ (dsc), das Kommunika- werden.
tion zwischen „Schnurlostelefonen“ und deren
Der Arbeitsablauf im Überblick feld, bei denen Strukturen auf einem Chip
Ausgangspunkt für die Untersuchung von Inte- gezielt modifiziert werden, z. B. um Sicherun-
gierten Schaltkreisen sind Chips. Diese müssen gen zu deaktivieren, die ein Auslesen von Spei-
zunächst entkapselt werden, um ein Plättchen chern verhindern sollen.
aus Halbleitermaterial (engl. die) zu erhalten.
ic bestehen aus mehreren Schichten. Diese Der Schwerpunkt dieses Textes ist die statische
Schichten müssen Stück für Stück entfernt wer- Analyse von CMOS-basierten (digitalen) Logik-
den, um darunterliegende Schichten freizule- Schaltkreisen mit der Motivation, proprietäre
gen. Jede Schicht wird fotographiert. Dabei ent- Verschlüsselungsverfahren zu rekonstruieren.
stehende Teilbilder werden zusammengesetzt. Die Analyse soll mit geringem Budget möglich
Die Fotographien der einzelnen Schichten müs- sein.
sen in Übereinstimmung gebracht werden, so
daß man später den Verlauf von Leiterbahnen
Aufwand und Kosten
über mehrere Schichten hinweg nachvollziehen
kann. Der Reverse-Engineering-Prozess läßt sich
grob in drei Abschnitte unterteilen: die Ent-
Ich gehe davon aus, daß ein Chip-Layout über- kapelsung, die Bildgewinnung und die Analy-
wiegend auf Standardzellen basiert. Diese se der Schaltkreise. Jeder dieser Schritte kann
Annahme ist statthaft, denn sie trifft auf den bei externen Dienstleistern in Auftrag gegeben
überwiegenden Teil von anwendungsspezifi- werden. Während eine Chip-Entkapselung im
schen ic zu. Zunächst wird die Bildrepräsenta- Labor im Wesentlichen eine Finanzierung des
tion von Standardzellen ermittelt. Die verschie- reinen Arbeitsaufwandes darstellt, sind dar-
denen Instanzen von Standardzellen werden über hinausgehende Analysen bei spezialisier-
identifiziert. Anschließend wird deren Verdrah- ten Firmen zumeist teuer. Diese Kosten kön-
tung nachvollzogen. Man muß die Schaltfunk- nen eingespart werden, wenn man die Analyse
tion der Standardzelltypen analysieren. Diese selbst durchführt.
ergibt sich, wenn man die Verschaltung der ein-
zelnen Transistoren auswertet. Chip Anzahl Anzahl Verbin-
(analysierter Teil) Zelltypen Zellen dungen
Wenn diese Informationen ermittelt sind, kann NXP Mifare Classic 40-70 600 1500
man sich der Analyse auf „höherer Ebene“ Legic prime 25 600 2100
zuwenden. Bei der eingangs genannten Motiva-
tion, proprietäre Verschlüsselungsverfahren zu DSC im SC14421CVF 26 300 1000
extrahieren, ist nie ein vollständiges Reverse-
Komplexität des Reverse-Engineerings
Engineering des gesamten Chips notwendig. Es
genügt, sich auf relevante Bereiche zu konzen- Diese Tabelle gibt einen Überblick über die
trieren. Dieser Text geht ebenfalls darauf ein, Komplexität des Reverse-Engineerings aus-
wie man diese relevanten Bereiche identifizie- gewählter Integrierter Schaltkreise, bei der
ren kann. jeweils das Verschlüsselungsverfahren extra-
hiert wurde. Der Zeitaufwand für das Ermit-
teln der Zelltypen und jeweils deren Funkti-
Thematische Einschränkung
on beträgt etwa drei Tage und ist überwiegend
Das Reverse-Engineering von Integrierten von der Übung des Analysten abhängig. 300
Schaltkreisen ist ein beliebig komplexes Thema bis 600 Plazierungen von Standardzellen kann
und umfaßt konkrete Technologieauf klärung, man in maximal einer Woche halbautomatisiert
etwa das Design von Flashspeichern, das opti- ausfindig machen. Das manuelle Nachvollzie-
sche Auslesen von Masken-roms, den vollstän- hen von Leiterbahnen ist der aufwendigste Teil
digen Nachbau von ic oder das Auslesen von und dauert ein bis zwei Wochen. Die letzten
Speicherinhalten mittels Microprobing. Eben- beiden zeitintensiven Schritte können schnel-
falls gehören invasive Angriffe in das Themen- ler umgesetzt werden, wenn deren Automati-
sierungsgrad höher ist. Eine weitere Verkür- die Leiterbahnen von den Pins des Chips befe-
zung der Gesamtdauer ist durch kollaboratives stigt sind, ggf. manuell ermitteln werden muß.
Reverse-Engineering zu erreichen.
Bei einer chemischen Entkapselung sollten
Die in der Einleitung veranschlagten 1.000 bis mit jedem Durchgang mehrere Chips des glei-
10.000 Euro entfallen im Wesentlichen auf die chen Typs behandelt werden, damit bei mißlun-
Posten Mikroskop und Poliermaschine. Dabei genem Politurvorgang noch Ersatzchips übrig
handelt es sich um Einmalkosten, die eventuell sind.
vermeidbar sind. Poliermaschinen findet man
z. B. in Geologie- oder Optik-Instituten, Mikro- Eine nahezu vollständige Beschreibung ver-
skope mit Digitalkameras in nahezu jeder mate- schiedener Entkapselungsverfahren gibt Fried-
rialwissenschaftlichen Einrichtung. Ein Labor rich Beck. [3]
mit Rauchabzug ist für die chemische Entkap-
selung mit konzentrierten Säuren notwendig.
Aufquellen von Thermoplasten
Wenn man ein Auftragslabor für die Entkapse-
lung zur Hand hat, benötigt man dies nicht. Vergleichsweise ungefährlich ist das Aufquel-
len von Thermoplasten. Hersteller von Chip-
karten (Telefonkarten, Mensa-Karten, Zugangs-
Entkapselung
karten, usw. ) benutzen Thermoplaste, um den
Integrierte Schaltkreise werden je nach Anwen- Chip einzubetten. Thermoplaste lassen sich mit
dungsfall in verschiedenen Gehäusematerialien Aceton aus dem Baumarkt aufquellen. Der Pro-
verpackt. Meistens handelt es sich um Epoxid- zeß dauert etwa zehn bis zwanzig Minuten. Das
verbindungen, Keramik oder Metall. Die hier Material verliert dabei an Stabilität. Der Chip
beschriebene Methode bezieht sich auf die Ent- fällt dann heraus.
fernung von Epoxidverbindungen.
In Thermoplaste eingebettete Chips sind meist
Epoxidverbindungen gehören zu den Duropla- in einer weiteren Ummantelung aus Epoxid ver-
sten und zeichnen sich durch hohe chemische packt. In diesem Fall ist eine Behandlung mit
und mechanische Beständigkeit aus. Epoxide Säuren unumgänglich.
lassen sich nicht aufquellen und hauptsächlich
nur durch aggressive Säuren oxidativ zersetzen.
Der Anteil an Epoxiden in diesen Kunststoffge-
häusen beträgt aber lediglich 20 bis 25 Prozent.
Mit zwei Dritteln bilden Quarzmehl und Glas-
fasern den überwiegenden Anteil. [8]
gen Anwendungsfällen wird eine Mischung aus Das Experiment wurde mit rauchender Salpe-
konzentrierter Salpetersäure und konzentrier- tersäure (mehr als 99,5%-ige Konzentration) in
ter Schwefelsäure benutzt. Das soll für einige einem Labor in Auftrag gegeben, um in Epoxid-
Verpackungsmaterialien die Reaktion beschleu- masse eingeschlossene Chips aus einem rfid-
nigen und das Silber in den bond pads schonen. Transponder zu entkapseln. Das Labor berichte-
te, daß die Reaktion bei Raumtemperatur sofort
Nick Chernyy beschreibt seine Methode in [6] einsetzte und binnen kürzester Zeit abgeschlos-
wie folgt. Die Chips werden in ein Becherglas sen war.
(40 ml) gelegt. Konzentrierte Schwefelsäu-
re wird dazugegeben bis die Chips vollständig Wenn das Gehäuse entfernt ist, ist noch eine
bedeckt sind. Erste Lösungserscheinungen sind Behandlung im Ultraschallbad notwendig, um
sofort bemerkbar. Das Becherglas wird unter eventuelle Anhaftungen zu entfernen. Dazu
einem Rauchabzug erhitzt, um die Aktivität der stellt man ein mit Aceton gefülltes Becherglas
Säure zu erhöhen. Die Temperatur ist unkri- inklusive Chips in einen Ultraschallreiniger.
tisch, etwa 60°C bis 90°C genügen. Die Silizi- Werden mehrere Chips gleichzeitig gereinigt,
umscheibchen im Chip vertragen viel höhere sollte die Reinigung nicht länger als eine halbe
Temperaturen und sind mit der Säuremetho- Minute andauern. Die Chips könnten aneinan-
de praktisch nicht zerstörbar. Nach etwa zwan- der reiben und gegenseitig die Oberflächen zer-
zig Minuten sollte der Kunststoffanteil zersetzt kratzen. Bei Einzelbehandlung dauert die Ultra-
sein. Er bleibt als mehr oder weniger schwar- schallreinigung drei bis fünf Minuten.
ze Flüssigkeit bzw. als Schaum im Becherglas
zurück. Ist keine geeignete Arbeitsumgebung vorhan-
den, unterläßt man die Entkapselung. Der
In ein zweites Becherglas (500 ml) werden Umgang mit konzentrierten Säuren ist gefähr-
400 ml Wasser gegeben. Der Inhalt des ersten lich. Der Bedarf an einer geeigneten Arbeitsum-
Becherglases wird vorsichtig in das zweite gebung ist nicht aus Sicht der Bequemlichkeit
Becherglas gefüllt. Das Mischen von Wasser zu verstehen. Wenn die Arbeitsumgebung nicht
und Säuren ist bekanntlich exotherm und führt geeignet ist, entstehen zusätzliche Gefahren.
bei Fehlanwendung zu Unfällen! Die genannten Säuren sind Standardchemikali-
en im Labor. Laboratorien verfügen über geeig-
In ein drittes Becherglas (1000 ml) werden nete Arbeitsumgebungen. Eine Entkapselung
400 ml Wasser gegeben. Der Inhalt des 500-ml- im Auftragslabor ist preiswert verglichen damit,
Becherglases wird vorsichtig in das Literglas daß die Säure sonst selbst beschafft, transpor-
gegossen, so daß die Siliziumplättchen mit tiert, angewendet, gelagert und entsorgt werden
anhaftenden Metallteilen im 500-ml-Becher- müßte. Für weniger als hundert Euro kann man
glas verbleiben. Die Siliziumplättchen werden Laboratorien mit der Chip-Entkapselung beauf-
mit Wasser gereinigt, so daß keine Säure und tragen.
kein Schmutz mehr anhaftet.
Im Ergebnis erhält man den Chip als Plättchen
In einigen Fällen kann es passieren, daß die (engl. die), an dem meistens noch die Verbin-
Kunststoffummantelung nicht vollständig ent- dungsdrähte zur Außenwelt hängen. Kleine
fernt ist. Dann ist eine erneute Behandlung Chips haben eine Abmessung von etwa einem
mit Säure notwendig. Saubere Ergebnisse erge- Quadratmillimeter und eine Stärke von weni-
ben sich, wenn statt Schwefelsäure konzentrier- gen zehntel Millimetern.
te Salpetersäure verwendet wird. Die Rückstän-
de sind dann nicht so trübe, daß die Chips im
Chip-Entkapselung mittels
Becherglas nicht mehr sichtbar sind. Mit auf
90°C erhitzter Salpetersäure dauert die Entkap- Kolophonium
selung nur etwa fünf Minuten. Kolophonium nennt man den Rückstand des
Baumharzes von Kiefern, bei dem Wasser und
Terpentinöl abdestilliert wurden. Der Aggre- Zum Entkapseln nimmt man ein breites, lan-
gatszustand von Kolophonium ist fest. Kolo- ges und temperaturbeständiges Regagenzglas,
phonium selbst ist ungiftig, wenngleich dessen fülle es mit Kolophonium und den Chips. Der
Dämpfe Allergien auslösen können. Kolophoni- Inhalt wird – abhängig von der Chipgröße – 30
um wird z. B. als Flußmittel beim Löten, von bis 150 Minuten gekocht. Da das Halbleiterplätt-
Musikern zum Behandeln von Geigenbögen chen hohe Temperaturen verträgt, ist die Koch-
oder Gitarrensaiten und von Bergsteigern zur zeit unkritisch.
Erhöhung der Haftreibung verwendet. Kolopho-
nium ist billig, leicht zu beschaffen, zu lagern,
zu entsorgen und anzuwenden. Es ist ideal, um
Chip-Entkapselungen durchzuführen, die kei-
nen Laborstandards genügen.
Mit etwa vierzig Prozent ist Abietinsäure der Für den Poliervorgang benötigt man etwa
wirksame Hauptbestandteil von Kolophonium. 20 ml Poliersuspension mit einer Korngröße
Abietinsäure hat ähnliche Konsistenzeigen- von 0,1 µm.
schaften wie Kolophonium. Sie kann bei aus-
gewählten Chemikalienhändlern in Reinform
erworben werden. Damit ließe sich der Entkap-
selungsprozeß beschleunigen, was mangels
an Privatpersonen liefernden Händlern expe-
rimentell bisher nicht bestätigt werden konnte.
Die einzige Säure, die Siliziumdioxid angreift, Der Fortschritt des Poliervorgangs muß regel-
ist die Flußsäure (Fluorwasserstoffsäure, hf). mäßig unter einem Mikroskop kontrolliert wer-
Flußsäure ist geeignet, um die Transistor- den. Wenn der Materialabtrag unterschiedlich
schicht freizulegen. Der Nachteil besteht darin, stark ist, gibt es zwei Möglichkeiten. Entweder
daß Flußsäure auf den höheren Schichten zum wird das Bildmaterial durch manuelle Nachbe-
Unterätzen neigt (siehe Abbildung). Da Fluß- arbeitung korrigiert oder der Poliervorgang mit
säure schwierig zu handhaben ist, wird hier einem weiteren Chip erneut gestartet.
die mechanische Entfernung von Chip-Ebenen
bevorzugt.
Bildgewinnung: Mikroskopierung
Für das Polieren von Oberflächen gibt es spezi- Für die Aufnahme der Bilddaten benötigt man
elle Poliermaschinen, beispielsweise das Modell ein Mikroskop mit einem Kameramodul. Der-
Phoenix 4000 der Firma Buehler GmbH. [5] artige Geräte kann man zwar für wenig Geld
Mit mehreren tausend Euro ist das Gerät ent- erwerben, jedoch ist nicht jedes Gerät geeignet.
sprechend teuer. Vergleichbare Geräte findet Für die Aufnahme der Bilddaten des Chiptyps
man an Universitäten in Geologie-Instituten.
Mifare Classic wurde ein Labormikroskop vom Objektive verkauft, die mit Beleuchtungsmög-
Typ Olympus BX61 verwendet. [17] lichkeiten ausgestattet sind.
Die Grenze der optischen Auflösung bei kon- Wenn die Bilddaten zusammengesetzt sind,
ventioneller Lichtmikroskopie hängt von der kann es für eine spätere automatisierte Bild-
Wellenlänge der Beleuchtung und der Nume- analyse sinnvoll sein, das Bildmaterial zu ent-
rischen Apertur des Objektivs ab. Die Gren- rauschen. Dafür ist das quelloffene Werkzeug
ze liegt etwa bei 350 nm-Halbleiterprozessen. GREYCstoration geeignet. [26] Es entrauscht
CPUs basierend auf dieser Strukturgröße wur- Bilddaten, versucht aber, wesentliche Merkmale
den ab 1995 hergestellt. Zum Vergleich: führen- des Bildes beizubehalten. Insbesondere bleiben
de Halbleiterhersteller arbeiten derzeit an der dadurch Kanteninformationen erhalten.
Einführung von 22 nm-Prozessen.
Analyse von Integrierten
Um jenseits der Auflösungsgrenze operieren zu
können, bedarf es anderer Mikroskopiekonzep- Schaltkreisen anhand von Bilddaten
te. Beispielsweise lassen sich mittels Konfokal- Dieses Kapitel soll sich der Fragestellung wid-
mikroskopie oder Rasterelektronenmikroskopie men, was anhand der Bilddaten zu erkennen
höhere Auflösungen erzielen. ist. Es soll dargestellt werden, wie man bei ver-
gleichsweise einfachen Schaltkreisen, etwa
Chips vom Typ „Mifare Classic“, in Hardware
Zusammenfügen und
umgesetzte Algorithmen findet.
Nachbearbeitung der Bilddaten
Die zu untersuchenden Schaltkreise sind größer Für eine detaillierte Einführung in die cmos-
als der Bildausschnitt im Mikroskop, Einzelbil- Technik seien die einleitenden Kapitel aus dem
der müssen zusammengefügt werden. Manuell Buch CMOS VLSI Design [27] empfohlen. Das
kann man dazu Graphikbearbeitungsprogram- Buch erklärt anschaulich, wie cmos-Technolo-
me verwenden, beispielsweise das gnu Image gie funktioniert und wie Designs erstellt und in
Manipulation Program (gimp). Für das semi- Hardware umgesetzt werden. Die Darstellung
automatische Zusammensetzen sind sogenann- hier faßt die wesentlichen Punkte aus der Sicht
te Stitching-Programme geeignet. Man verwen- des Reverse-Engineerings zusammen.
det diese hauptsächlich zum Zusammensetzen
von Fotos zu einer Panoramaaufnahme.
Feldeffekt-Transistoren
Als gerade so brauchbare freie Software hat sich Feldeffekt-Transistoren (fet) sind Halbleiter-
das Programm „hugin“ erwiesen. Hugin ist die bausteine, die in Logikschaltkreisen als elek-
graphische Oberfläche zu den PanoTools. [18] tronische Schalter dienen. Die Abbildung zeigt
Das kommerzielle Stitching-Programm „Pana- den Auf bau beider Typen auf einem gemeinsa-
Vue ImageAssembler 3“ soll ebenfalls gute men Substrat.
Ergebnisse beim Zusammensetzen von fotogra-
SiO2
n-Kanal-FET unter dem Mikroskop (Chip: Mifare Classic)
n+ n+ p+ p+
VDD
mit dem man Source und der n-Kanal zwischen Source
Drain elektrisch verbinden und Drain im Pull-down-Netz.
kann. Der Ausgang wird quasi geer-
Drain
det. Gleichzeitig ist der p-Kanal-
In den Schaltkreisen wird p-Kanal-FET
fet im Pull-up-Netz gesperrt, so
Information als Spannungs- Source daß keine leitende Verbindung
potential gespeichert – low zwischen dessen Source und
oder high. Es ist deshalb Drain besteht. Ist das Eingangs-
nicht notwendig, sich zu über- signal low (0 V), ist der n-Kanal-
legen, in welche Richtung der fet gesperrt und der p-Kanal-fet
Drain
technische oder physikalische offen. Der Ausgang hat dann das
n-Kanal-FET
Strom fließt. Strom fließt im Potential V DD.
Source
Gegensatz zu Bipolartransi-
storen hauptsächlich nur beim In der Umsetzung im Chip durch-
Umschaltvorgang. ziehen parallele spannungsfüh-
VSS = 0 V
rende Leiterbahnen wie Schienen
Das Modell lautet also: Wenn CMOS-Inverter den Bereich, in dem die Logik-
das passende Signal am Gate anliegt, Gatter plaziert sind. In der Abbildung
sind Source und Drain elektrisch unten sind das die dunkel markierten Strei-
verbunden, und der Transistor schaltet durch. fen. Die Schienen für das Potential V DD und VSS
Anderenfalls sperrt der Transistor. wechseln sich dabei ab. Die Pull-up- und Pull-
down-Netze sind zwischen den Leiterbahnen
angeordnet.
Komplementäre Verwendung von FETs
cmos ist das Akronym für Complementary
Metal Oxide Semiconductor. Feldef-
fekt-Transistoren werden in cmos- VSS VDD VSS VDD VSS
Die hellen Punkte in der Abbildung sind Durch- Ebenen im Chip notwendig (back-end-of-line,
kontaktierungen zu höheren Schichten im beol).
Schaltkreis. Die Gate-Anschlüsse verlaufen zwi-
schen den Transistortypen und sind jeweils mit Eine besondere Bedeutung kommt der ersten
einer Durchkontaktierung versehen. Verdrahtungsebene über dem Transistor-Lay-
er zu. Sie bildet das Verbindungsgerüst, um
Die z. T. haken- und ösenförmigen Transisto- aus den darunterliegenden Transistoren die
ren weisen unterschiedliche Gate-Längen auf. logischen Grundfunktionen zu formen, bei-
P-Kanal-fet haben meist eine größere Gate- spielsweise nand und nor. Diese Schicht wird
Länge gegenüber n-Kanal-Typen. Das liegt Metal 1 oder kurz M1 genannt. Die Transitoren
daran, daß die Beweglichkeit der Löcher gerin- eines Gatters sind immer beieinander angeord-
ger ist als die der Elektronen. Um so größer der net.
Kanalquerschnitt zwischen Source und Drain
ist, desto mehr Defektelektronen können in der
gleichen Zeit durch den Kanal driften.
Tatsächlich ist es möglich, p- und n-Kanal- Der Materialabtrag beim Polieren der Chipoberfläche war
Typen vertauscht anzuwenden. N-Kanal-fet nicht gleichmäßig. Dadurch ergibt sich eine Blick auf drei
können besser low-Signale weiterleiten. Dage- verschiedene Ebenen. (Mifare Classic)
gen leiten p-Kanal-fet besser high-Signale wei-
ter. Beim Vertauschen der Typen sind die Span- Für die Anfertigung der Masken für den Her-
nungspotentiale am Ausgang des Transistors stellungsprozess können Chip-Designer grund-
etwas größer als VSS bzw. etwas kleiner als V DD. legende Funktionsblöcke aus vorgefertigten
Man spricht dann von degradierten oder schwa- Bibliotheken verwenden. Bei Mifare Classic
chen Signalen. Dies möchte man beim Design sind etwa siebzig verschiedene Grundbaustei-
von CMOS-Schaltkreisen vermeiden. [27] ne zu finden, u. a. etwas komplexere Typen wie
Flipflops und Volladdierer. Darunter sind aber
einige Formen enthalten, die gleiche logische
Aufbau von Logik-Gattern
Funktion umsetzen, nur daß leicht verschiede-
In den letzten zwei Abschnitten ist beschrie- nen Masken zur Anwendung kommen. Im „Sili-
ben, wie man Transistoren als Schalter benutzt con Zoo“ zeigt Karsten Nohl die bei Mifare Clas-
und wie Transistoren auf dem Substrat ange- sic verwendeten Grundbausteine. [13]
ordnet sind. Herstellungsbedingt ist die Anord-
nung der Transistoren auf mehreren Schichten Obige Abbildung stellt den schichtweisen Auf-
(front-end-of-line, feol) verteilt. Diese sollen bau von Logik-Schaltkreisen dar. In der Schicht
hier zur Vereinfachung als Transistor-Layer M1 sind die fingerförmig angeordneten Leiter-
bezeichnet werden. Um elementare Logik-Gat- bahnen für VSS und V DD untergebracht. Über
ter aufzubauen, müssen mehrere Transistoren dem M1 sind weitere Schichten, die Leiterbah-
zusammengeschaltet werden. Auf dem Tran- nen für die Verschaltung von Grundgattern
sistor-Layer sind bereits einzelne Leiterbah- beinhalten.
nen plaziert. Die Leiterbahnen müssen kreu-
zungsfrei verlegt werden. Dazu sind zusätzliche
Wie kann man nun anhand von Bilddaten die Für das Reverse-Engineering einfacher Gatter
Schaltfunktion eines Gatters ermitteln? ist es sinnvoll, die wenigen Transistoren und
VDD VDD VDD Leiterbahnen übersichtlich geordnet auf ein
Blatt Papier zu skizzieren. Oft ist der Gattertyp
sofort zu erkennen. Es kann sein, daß man auf-
Drain grund vorheriger Analyse anderer Gatter eine
p-Kanal-FET
Source Grundstruktur wiedererkennt. Beispielsweise
sieht ein 3-nand, d. h. ein nand für drei Eingän-
ge2, nicht wesentlich anders aus als ein 2-NAND.
A E
Im Pull-up-Netz sind drei statt zwei Transisto-
Drain
n-Kanal-FET ren parallel geschaltet und im Pull-down-Netz
Source sind drei FETs seriell verbunden (vgl. Abbil-
dung CMOS-NAND).
VSS = 0 V VSS VSS
2 3-NAND(A, B, C) = ~AND(A, B, C)
Anschaulichkeit. Insbesondere für den Fall, daß Leiterbahnen für die Versorgungsspannung
sich bei der Rekonstruktion Fehler einschlei- und Masse. VDD ist hierbei oben, VSS unten.
chen, sind diese schwierig festzustellen.
Die Transistoren findet man wieder anhand der
Gates. Die Transistoren eines Gatters werden
durchnummeriert. Z. B. von links nach rechts
P1…P17 und N1…N17. Dazu ist es hilfreich, das
Bild in einem Graphikbearbeitungsprogramm
zu öffnen und beispielsweise jedes fünfte Gate
mit einer Beschriftung zu versehen.
Anhand der Transistorgrößen – genauer der Die Ein- und Ausgänge des Gatters sind einfach
Gate-Längen – ermittelt man, welche Seiten zu finden. In der Mitte der Abbildung sind das
zum Pull-up-Netz gehören und welche zum die beiden senkrechten Striche, die von außen
Pull-down-Netz. P-Kanal-fet müssen nicht kommen und etwa bis zu Bildmitte verlaufen
zwangsläufig größer sein als n-Kanal-Typen. (blaue Färbung in der PDF-Version).3 Im allge-
Oben sieht man, daß die p-Kanal-Transistoren
3 Das Bild links wurde mit einem
an der oberen Seite angeordnet sind. Das mitt-
Konfokalmikroskop aufgenommen, das verschiedenen
lere Bild zeigt am oberen und unteren Rand die Tiefen im Untersuchungsobjekt verschiedene Farben
zuordnet.
meinen Fall findet man auf der Schicht M1 ent- Meistens hilft es, für jeden dieser Funktions-
sprechende Durchkontaktierungen und auf blöcke eine alternative gewohnte graphische
den darüberliegenden Verbindungslayern Lei- Darstellung zu finden. So sieht man beispiels-
terbahnen, die auf diese Kontakte geschaltet weise, daß das Transistorpaar 4 und 5 ein nand
sind. Wenn eine Verbindung von außerhalb bildet und das Transistorpaar 6 einen Inverter
mit einem Gate verbunden ist, muß es sich darstellt. In vereinfachter Form gezeichnet ent-
um einen Eingang handeln. Wenn Verbindun- steht ein Schaltplan wie in dieser Abbildung:
gen, die von einem Source oder Drain stammen,
in die Außenwelt des Gatters gerichtet sind,
muß es sich um einen Gatterausgang han-
deln. Folglich sind die Anschlüsse
A, B und C im Schema Eingänge
und X der Ausgang.
4 Für die Verifikation von Schaltkreisen Diese Abbildung eines vereinfachten Schemas
existieren Werkzeuge, um auf dem Substrat angeordnete zeigt zwei weitere Konstruktionsmechanismen,
Gatter anhand von Netzlisten darauf zu prüfen, ob sie wie man sie desöfteren findet. Deshalb sollen
die intendierte Funktion erfüllen. In [4] wird beschrieben,
sie hier kurz beschrieben werden.
wie man mittels eines Prolog-Programmes Schaltungen
analysieren kann. Für das Reverse-Engineering wäre das
ebenfalls praktisch.
Man sieht, daß die beiden Transistorenpaare Typen ein vollständig neues Layout aller Tran-
7 und 8 das Taktsignal B zweifach invertieren. sistoren, sondern nutzen vorgefertigte Grund-
gatter. Für diese Grundgatter existieren
vorgefertigte Masken für den lithographischen
Herstellungsprozeß. Die sind weitgehend opti-
miert und wurden bereits auf Praxistauglichkeit
hin untersucht.
Gezielte Suche
Das komplette Reverse-Engineering eines
Chips ist zu aufwendig und nicht notwendig.
Dies ist mit dem Reverse-Engineering von Soft-
ware mittels Disassemblern vergleichbar. In
der Regel sind vorab konkrete Fragestellungen
gegeben, z. B. wie ein Verschlüsselungsverfah-
ren implementiert ist. Deshalb muß kein Chip
komplett analysiert werden.
Manuelles Ermitteln der Gattergrenzen anhand von Verdrahtungsmasken (Chip: Mifare Classic)
falls in der Abbildung zu sehen sind, z. T. sogar Es ist möglich, daß die Schaltkreise in einem
paarweise, sind vergleichsweise klein. separaten Bereich plaziert sind. Dies ist bei-
spielsweise bei der Realisierung des dect Stan-
Daß die markierten Bereiche zu einem Stan- dard Ciphers im SC14421CVF der Fall (Bild
dardzellentyp gehören, ist ebenfalls am Grad unten). Insbesondere sind in derartigen Berei-
der „Verzahnung“ der Leiterbahnen auf der chen hohe Flipflop-Konzentrationen leicht fest-
Schicht M1 zu erkennen. Wenn man ein Gefühl stellbar.
dafür entwickelt, wieviele Flipflops unter der
Metall-Maske Platz finden, kann man die Mas- Darüber hinaus können Masken einzelner
kengröße als Indiz dafür werten, daß es sich Bereiche in Nachfolgern eines Chipdesigns
um einen Flipflop handelt. Diese Aussage ist übernommen werden, selbst wenn ein Tech-
jedoch nicht allgemeingültig. Es gibt Fälle, in nologiewechsel im Halbleiterprozeß stattfindet.
denen auf der Schicht M1 Unterschiede in den Dies ist nützlich, da man sich bei der Analyse
Verdrahtungsmasken zu finden sind, obwohl es auf Chips älteren Typs konzentrieren kann.
sich um den gleichen Typ Standardzelle handelt.
Fazit
Kenntnisse von Schlüsselgrößen kryptogra-
phischer Routinen helfen ebenfalls. Wird der Das Reverse-Engineering von Logikschaltun-
gesamte Schlüssel in der Hardware gespeichert, gen in Integrierten Schaltkreisen ist mit ein-
müssen sich mindestens entsprechend viele fachen finanziellen und technischen Mitteln
Flipflops finden lassen. möglich. Die Kosten für die Ausstattung hän-
gen hauptsächlich davon
ab, auf welche Geräte man
Zugriff hat und welche
Geräte man gegebenfalls
selbst bauen kann. Die Ein-
stiegshürden sind deshalb
vergleic hsweise ger ing.
Folglich ist die Annahme,
daß in Integrierten Schal-
tungen verborgene Algorith-
men gegen Angreifer mit
geringem Budget geschützt
sind, nicht haltbar.
sen. Die technischen Grenzen sind durch die 259. DOI: 10.1155/1994/67035. URL: http://www.
optische Auflösung des Mikroskops festgelegt. hindawi.com/getarticle. aspx?doi=10.1155/1994/67035
Würde man ein größeres Budget veranschla-
gen, könnte diese Hürde überwunden werden. [5] Buehler GmbH. Phoenix Grinder-Polishers.
Für 20.000 bis 30.000 US-Dollar kann man 2008. URL: http://www.buehler-met.de/produkte/
gebrauchte Rasterelektronenmikroskope erwer- schleifenpolieren.html
ben, die zur Analyse aktueller Halbleiterprozes-
se geeignet sind. Es ist ferner davon auszuge- [6] Nick Chernyy. HOW TO: write an IC Fri-
hen, daß die Preise für Gebrauchtgeräte weiter day post. 2008. URL: http: //microblog.routed.
fallen und geeignete Geräte in wenigen Jahren net/2008/07/15/how-to-write-an-ic-friday-post/
für unter 10.000 Euro gehandelt werden.
[7] Chipworks. Webseiten der Firma Chip-
Für das Reverse-Engineering von Logikschalt- works. URL: http://www.chipworks.com/
kreisen gibt es kaum Software. Die wenigen Fir-
men, die in diesem Marktsegment tätig sind, [8] Prof. Dr. rer. nat. H. Kück. Vorlesung: Auf-
machen ihre Softwarewerkzeuge nicht publik, bau- und Verbindungstechnik von Silizium-
da Programme Teil des Geschäftskonzeptes Mikrosystemen. 2002. URL: http://www.uni-stutt-
sind. Mangelnde Dokumentation der Prozesse gart. de/izfm/lehre/AVT_Geh.pdf
und unzugängliche Software sind höchstwahr-
scheinlich Ursache dessen, daß dem Reverse- [9] Sven Kaden. Image stitching. 2009. URL:
Engineering von ICs bisher kaum Beachtung http://degate.zfch.de/ HAR2009/
zuteil wurde.
[10] Samuel T. King u. a. Designing and imple-
Das Reverse-Engineering von Logikschaltkrei- menting malicious hardware. 2008. URL:
sen ist in vielen Teilen ein kreativer Prozeß, http://www.usenix.org/event/leet08/tech/full_ papers/
der sich jedoch durch Computerunterstützung king/king.pdf
wesentlich beschleunigen läßt. Es ist daher
unumgänglich, Software zu entwickeln, die zur [11] Oliver Kömmerling und Markus G.
Automatisierung beiträgt. Kuhn. Design Principles for Tamper- Resi-
stant Smartcard Processors. 1999. URL:
http://www.cl.cam.ac. uk/~mgk25/sc99-tamper.pdf
Literatur und Quellen
[1] Sally Adee. „The hunt for the kill switch”. [12] Karsten Nohl. Reverse-Engineering
In: IEEE Spectrum (Mai 2008). URL: Custom Logic (Part 1). Sep. 2008. URL:
http://www.spectrum.ieee.org/print/6171 http://www.flylogic.net/blog/?p=32
[2] L. R. Avery u. a. Reverse Engineering Com- [13] Karsten Nohl. The Silicon Zoo. 2008. URL:
plex Application-Specific Integrated Circuits http://www.siliconzoo.org/
(ASICs). 2002. URL: http://www.gemes.com/ compa-
ny_info/reverse_engineering_complex_ ASICS.pdf [14] Karsten Nohl und Henryk Plötz. 24C3
Video Recordings: Mifare – Little Security,
[3] Friedrich Beck. Präparationstechniken für Despite Obscurity. Dez. 2007. URL: http://cha-
die Fehleranalyse an integrierten Halbleiter- osradio.ccc. de/24c3_m4v_ 2378.html
schaltungen. VCH Verlagsgesellschaft mbH,
1998. ISBN: 3- 527-26879-9. [15] Karsten Nohl und Henryk Plötz. 24th Chaos
Communication Congress: Mifare – Little
[4] Inderpreet Bhasin und Joseph G. Tront. Security, Despite Obscurity. Dez. 2007. URL:
„Block-Level Logic Extraction from CMOS VLSI http://events.ccc.de/congress/2007/Fahrplan/events/2378.
Layouts”. In: VLSI Design 1 (3 1994), S. 243– en.html
Inspiriert durch einen Vortrag auf dem Chaos Communication Congress habe ich mich
mit dem Datenbrief auseinandergesetzt.
Die Forderungen waren im Rahmen des Kontaktdaten der Firmen, an die Sie eventuell die
Rechtes auf digitale Intimsphäre folgende: Daten weiterverkauft oder anderweitig weitergege-
ben haben. Dies betrifft sowohl die Papier- als auch
• jährlicher Datenbrief, die digitalen Medien.
• Infos zu Geschäftsforfällen wie Inkasso
und Schufa, Desweiteren möchte ich gerne einen jährlichen
• Auflistung sämtlicher Kontaktdaten, Datenbrief erhalten, in dem obige Aufzählungen
• Auflistung der Firmen, an die meine für das jeweils letzte Jahr enthalten sind. Prakti-
Kontaktdaten weitergeleitet wurden. scherweise könnte dies zum Jahreswechsel gesche-
hen. Der Datenbrief kann per E-Mail oder per Brief
Testweise habe ich drei sehr verschiedene Fir- versandt werden.
men kontaktiert, um deren Auskunftsfreudig-
keit zu überprüfen. Das waren Reichelt Elektro- Für künftige Datenerhebungen oder Datenwei-
nik, GMX und der Weltbild-Verlag. tergaben möchte ich gerne ein „Double Opt-In“, ein
Verfahren, das zweimal nachfragt, ob die Daten
Als Basis nutzte ich folgenden Formbrief, den verarbeitet werden dürfen. Sollten Sie mit diesen
ich erstellte: neuen Geschäftsbedingungen nicht einverstanden
sein, so betrachten Sie unsere Geschäftsbeziehungen
Änderung meiner geschäftlichen Bedingungen als beendet.
beauftragte Inkassobüro wurde aufgeschrieben. tergegeben haben, mit Adresse und Ansprech-
Somit bin ich da erstmal zufrieden. partner. Dann kommen Screenshots von der
Kundendatenbank: Kundendatenbank, Auf-
Als nächstest kam eine E-Mail der Rech- tragsübersicht und die Debitorenübersicht.
nungsstelle von Reichelt, die sich informieren Zuletzt haben Sie empfohlen, mich auf die
wollten, was ich überhaupt will? Sie haben den Robinsonliste zu setzen.
Brief nicht verstanden. Also habe ich es mög-
lichst einfach nochmal erklärt. Dann kam eine Es ist relativ klar, daß die letzte Antwort die
E-Mail, die verlangte, daß ich das Ganze per beste Lösung für meine Anfrage darstellt und
Brief beantragen soll. es bleibt zu hoffen, daß in Zukunft auch andere
Firmen dem Beispiel folgen.
Zuletzt kam ein Brief vom Weltbild-Verlag,
dafür aber gleich zwei Seiten, wo vor und Rück- Alles in allem kann ich jedem nur empfehlen,
seite bedruckt ist. Und die Abteilung im Welt- es ebenfalls auszuprobieren. Vielleicht kommen
bild-Verlag heißt „Datenschutz“. War mir sehr ja in Zukunft weitere Beiträge von anderen,
angenehm. Zuerst kam die Kontaktadresse und und vielleicht können wir unsere Erfahrungen
die Kundennummer. Dann haben sie zwei Fir- etwas austauschen.
men hingeschrieben, an die Sie die Daten wei-
WIKIPEDIA
DELETING YOUR KNOWLEDGE
INCE 2001.
2. einen Teelöffel braunen Zucker darüber 2. einen Teelöffel braunen Zucker darüber
streuen, streuen,
3. Limonen und Zucker mit einem Holz 3. Limonen und Zucker mit einem Holz
stößel zerdrücken, stößel zerdrücken,
4. Glas bis zur Hälfte mit crushed ice auf- 4. Glas bis zur Hälfte mit crushed ice auf-
füllen, füllen,
7. liebevoll mit Strohhalm und Deko verzie- 7. liebevoll mit Strohhalm und Deko verzie-
ren. ren.
Vor dem GSM-Netz gab es das C-Netz. Manch einer wird sich
erinnern, es war das letzte Mobilfunknetz, bei dem die Sprache
noch analog übertragen wurde. Als Abhörschutz verwendete
man eine Sprachverschleierung, die das Audiospektrum inver-
tierte und die Sprache so unverständlich machte. Das C-Netz
gibt es nicht mehr. Die Telefone allerdings schon, und es gibt
Hoffnung.
Es ist nämlich so, daß ganz in der Nähe des Relais auf einer dedizierten Karte speichern.
C-Netzes (450 Mhz), etwas weiter unterhalb bei Auch in Zukunft wird es um das C5 noch ein-
440 Mhz, das 70 cm Amateurfunkband beginnt. mal spannend werden, eine digitale D-Star-Kar-
Wenn man es schaffen könnte, den Transceiver te ist zur Zeit in Entwicklung.
eines C-Netz-Telefones so zu verbiegen, daß
er im 70cm-Amateurfunkband arbeitet und Um damit dann auch telefonieren bzw. fun-
zusätzlich eine neue Telefonsoftware schreibt, ken zu können, braucht man noch eine Ama-
könnte man sein C-Netz-„Handy“ als Funkgerät teurfunklizenz. Diese bekommt man von der
wiederbenutzen. Bundesnetzagentur, nachdem man die Ama-
teurfunkprüfung (ein Ankreuztest wie beim
Ein Informatiker [1] aus Hessen hat genau das Führerschein) bestanden hat.
für gleich mehrere C-Netz-Telefone gemacht. Je
nach Telefon müssen ein paar mehr oder weni- [1] http://www.digisolutions.de/
ger einfache Modifikationen am hf- und Digi-
talteil des Telefons durchgeführt werden. Eine PS: Auch der Skyper lebt im Amateurfunkband
neue Firmware erledigt den Rest. weiter – aber das ist eine andere Geschichte.
Grün ist nicht genug. Auf der CeBIT 2008 ferunternehmen produziert u. a. für fsc, Apple,
wurde erstmals „Green IT“ zum Thema Sony, Intel und amd. sacom ist eine Hongkonger
gemacht. Das ist begrüßenswert, allerdings Organisation, die sich aktiv für die Einhaltung
decken Umweltbelastung und Elektroschrott von Arbeitsrechten einsetzt und öffentlich das
nur die eine Seite der Medaille ab. Die ökolo- Fehlverhalten von Unternehmen kritisiert.
gischen Kosten der Produktion und Verschrot-
tung von PCs sind weltweit ungleich verteilt,
Die Einkaufsmacht der öffentlichen
und unter der Verwendung giftiger Stoffe lei-
den als erstes die Arbeiterinnen in den Fabriken. Hand
Die zweite Seite der Medaille sind folglich die Noch gibt es ihn nicht, den „fairen“ Computer,
sozialen Probleme. “Jeden Tag mache ich Leiter- der unter Einhaltung fundamentaler Arbeits-
platten mit einer Art Reinigungsmittel sauber.
Dieses Lösungsmittel benutze ich von
morgens bis abends. Es existie-
ren keine Hinweisschil-
der oder Erklärungen,
wie das Lösungsmittel
richtig zu handhaben ist.
Unser Aufseher hält es
nicht für notwen-
dig, irgendwelche
Schutzmaßnah-
men zu treffen,
ihm ist es völlig
egal“, berichtet
eine junge Arbei-
terin aus China in
einem Interview
mit sacom, die bei
Excelsior Electro-
nics Leiterplatten
reinigt. Das Zulie-
Die wahren Hardware-Spezialisten
rechte und minimaler Umweltbelastung pro- kauf. So müssen alle vom Bund gekauften
duziert wird. Individuelle Verbraucherinnen Güter, also auch Computer, unter Einhaltung
unterliegen hier ausnahmsweise mal nicht der der Kerna rbeitsnormen der Internationalen
Qual der Wahl. Ob das Notebook den Marken- Arbeitsorganisation produziert werden.
namen von Hewlett Packard, Dell, Lenovo oder
Fujitsu-Siemens-Computers trägt, in der Regel
Schlußlicht Deutschland
sind es eine begrenzte Anzahl von Kontraktfer-
tigern, die auf dem chinesischen Festland die In Deutschland wurde die Reform des Verga-
Notebooks unter zweifelhaften Bedingungen berechts aufgrund der Vereinheitlichung der
produzieren. Anders ist die Situation für öffent- Vergaberegelung in der Europäischen Union
liche Einrichtungen. Sie haben die Möglich- notwendig. Mit drei Jahren Verspätung hat die
keit, in ihren Ausschreibungen zum Einkauf Bundesregierung Anfang 2009 das neue Verga-
von Produkten und Dienstleistungen die Ein- begesetz verabschiedet. Den Trend hin zu einer
haltung von ökologischen und auch von sozi- sozialen und ökologischen Beschaffung hat sie
alen Standards von den Bietern zu fordern. In allerdings verschlafen. Es bleibt bei einer Kann-
der Europäischen Union beschafft die öffent- Regelung, wonach es der öffentlichen Einrich-
liche Hand jährlich ca. 600.000 Desktop-PC tung lediglich möglich ist, soziale Kriterien zu
(http://www.beschaffung-info.de/). Damit verfügt sie berücksichtigen. Eine Empfehlung hierzu oder
über eine enorme Einkaufsmacht, mittels derer gar eine Verpflichtung zur Anwendung sozi-
sie Handlungsdruck auf Unternehmen erzeu- aler und ökologischer Kriterien besteht nicht.
gen kann. Trotz dieser Schwäche herrscht nun mehr Klar-
heit über die praktischen Möglichkeiten der
Beschaffungsstellen. Noch im August 2007
Faire Beschaffung ist im Kommen
argumentierte ein Gutachten im Auftrag des
Schon jetzt nehmen immer mehr Gemeinden Bundesministeriums für Wirtschaft [1], daß
soziale Kriterien in ihre Ausschreibungen auf: soziale Kriterien bei der öffentlichen Auftrags-
Fair produzierte Kleider für das Feuerwehrper- vergabe vergabefremd und damit obsolet seien.
sonal, Pflastersteine ohne Kinderarbeit oder Dieses Gutachten kann nun getrost im Müllei-
fair gehandelte Nahrungsmittel in den Kanti- mer landen.
nen sind einige Beispiele. In punkto Computer
geht die Schweiz mit
gutem Beispiel voran.
Dort verfügen bereits
viele Städte über eine
sozial und ökologisch
ausgerichtete Beschaf-
fungsstrategie von
IT-Geräten, oder aber
sie haben das Postu-
lat „für eine nachhalti-
ge öffentliche Beschaf-
fung von Computern“
angenommen bz w.
zur Abstimmung in
den Gemeinde- bzw.
K a nton sr at e i n ge -
reicht. Auch der aktu-
elle Gesetzesentwurf
der Schweiz setzt auf
einen sozialen Ein-
Der Bedarf nach fortschrittlichen Präzedenzfäl- on und Verschrottung von Computern ein. Im
le ist da. Geiz ist bekanntlich geil – aber geht Jahr 2008 initiierte sie die europäische Kampa-
es auch anders? Die im neuen Gesetz erwähnte gne procureITfair. [2] weed unterstützt Einzel-
Variante sieht die Nennung der sozialen Kriteri- personen, die sich an ihrem Arbeitsplatz, ihrer
en in den sogenannten Auftragsausführungsbe- Uni, in ihrer Gemeinde für eine soziale und
stimmungen vor. Diese sind nur für den Bieter ökologische Beschaffung von Computern ein-
bestimmend, der die Ausschreibung gewonn- setzen wollen. Darüber hinaus berät weed auch
nen hat. Die Umsetzung erfolgt meist in Form Beschaffungsstellen bei ihren Ausschreibun-
einer standardisierten Bietererklärung, in der gen.
der öffentliche Einkäufer definiert, welche
Anforderungen vom Bieter erfüllt und nach-
Weitere Informationen
gewiesen werden müssen. Auf die Wertung
aller eingegangenen Angebote haben sie aller- Digitale Handarbeit – Chinas Weltmarktfa-
dings keinen Einfluß. Um in sozialer Hinsicht brik für Computer, dvd, 28 Minuten, 2008, (dt.,
progressive Bieter zu bevorzugen, wäre jedoch engl., frz.)
genau dies wünschenswert. So könnte bei-
spielsweise neben dem günstigsten Preis und Leitfaden für die soziale und ökologische
der Erfüllung der technischen Anforderung Beschaffung von Computern. Bestellung bei
auch die Einhaltung von bestimmten sozialen weed: http://www.weed-online.org/, E-Mail: weed@
Kriterien in die Gesamtbewertung jedes einzel- weed-online.org
nen Angebots einfließen.
[1] Stellungnahme des wissenschaftlichen Bei-
Es spricht also viel dafür, in Ausschreibungen rats beim Bundesministerium für Wirtschaft
auch progressivere Varianten zu erproben, die und Technologie: „Öffentliches Beschaffungs-
entsprechend größere Wirkung zeigen. Die wesen“, Mai 2007
Auslegung des Vergaberechts ist derzeit noch
umstritten und wird sich im Wechselspiel mit [2] http://www.pcglobal.org/ und
der Vergabepraxis entwickeln. Auch die Anwen- http://www.procureitfair.org/
dung ökologischer Kriterien war vor wenigen
Jahren noch nicht rechtssicher umzusetzen.
Mittlerweile ist grüne Beschaffung europaweit
fest etabliert. Durch ambitionierte Ausschrei-
bungen wurden hier Präzedenzfälle geschaffen.
Oft gestellte Fragen zum Familieninternet, aus einer Broschüre des Bundesministeriums
für Familie, Wahres, Gutes, Jugend und Sport (Stand: 1. Juni 2017)
Ist es unbedenklich, im Familieninternet zu sur- den könnten, denn die Bundesregierung geht
fen? davon aus, daß Kinder ab diesem Alter selbstän-
dig surfen sollen. Zudem sind alle Inhalte als
Ja, geeignete Internet-Filter sorgen dafür, daß gefährlich anzusehen, die geeignet sind, das
Inhalte, die in der Lage sind, potentiell gefähr- Wahlverhalten oder die Wertvorstellungen der
lich zu sein, von vornherein für alle Nutzer des Bürgerinnen zu beeinflussen.
Familieninternets unzugänglich gemacht wer-
den. Werden überall die gleichen Inhalte gefiltert?
Ist es möglich, die Filtermechanismen zu umge- ten werden könnten, und solche, die wichtige
hen? Rechte bestimmter Persönlichkeiten beein-
trächtigen könnten. Für die Bundesregierung
In Ausnahmefällen kann es sogenannten ist das ein sinnvoller Beitrag zum Datenschutz
Hackern – also Schwerstkriminellen – gelingen, – auch über die Wikipedia hinaus! Sollten Sie
durch illegale Anonymisierung Filter zu umge- dennoch Falschinform ationen auf Webseiten
hen. Schon das Ansinnen steht allerdings unter finden, zeigen Sie diese bitte zur einstweiligen
Strafe. Sperrung an.
Was geschieht, wenn ein Nutzer absichtlich oder Warum gibt es nicht auch für Rundfunk und Fern-
unabsichtlich eine gesperrte Seite ansurft? sehen solche effizienten Filtermaßnahmen?
Gelegentlich wird ein Stop-Schild angezeigt. In Rundfunk und Fernsehen sind in Deutsch-
den meisten Fällen wird jedoch gar nichts ange- land privat oder öffentlich-rechtlich. Die Bun-
zeigt, oder es erfolgt eine Umleitung auf eine desregierung hat hier also nicht die gleichen
harmlose Seite. In jedem Fall werden alle ver- Steuerungsmöglichkeiten. Allerdings gibt es
fügbaren Informationen über diesen Nutzer in inzwischen immer mehr Filtermöglichkeiten,
die zentrale Gefährderdatei aufgenommen. dadurch daß das Internet bevorzugter Übertra-
gungsweg für Rundfunk und Fernsehen wird.
Wie kann ich verhindern, daß meine Inhalte gefil- Auch der Telefonverkehr (VoIP) unterliegt den
tert werden? Filtermaßnahmen.
Als Anbieter von Inhalten sollten Sie nur Unbe- Handelt es sich bei diesen Maßnahmen um Zen-
denkliches im Netz publizieren (s. o.). In Zwei- sur?
felsfällen berät sie gern eine der von der Bundes-
regierung eingerichteten Wahrheitsagenturen. Nein, eine Zensur findet nicht statt.
Auf Gemeindeebene wird gern die leistungsge- Datenschützern gegeben hat. Die Alibi-Beteili-
rechte Bezahlung der Bürgermeister angeführt. gung der Datenschutzbeauftragten der Länder
Da solch eine Regelung nur schwer zu fin- und des Bundes haben offensichtlich nicht dazu
den ist, wird versucht, anhand der Einwohner- geführt, daß das Gesetz dem Grundsatz der
zahl das Gehalt zu begründen. Aber nicht nur Datensparsamkeit gehorcht.
das Gehalt des Stadtvorsitzenden hängt an der
genauen Zahl der Beherrschten, sondern auch Anstatt einer Auswahl wirklich nötiger Daten-
die fürs Ego enorm wichtige Frage, ob er denn bankfelder wird einfach eine Komplettsamm-
nur Bürgermeister oder etwa doch Oberbürger- lung aller Meldedaten festgeschrieben. Das
meister genannt wird. führt zu einer anschriftengenauen Speiche-
rung, die dann noch mit Hilfe der Daten von
Darüberhinaus hat der Zensus allerdings auch Beamten und der Bundesagentur für Arbeit
sehr viel großflächigere (und wohl für einige optimiert wird. Während 1987 noch eine soge-
Bundesländer schmerzhafte) Auswirkungen. nannte „blockweise Anonymisierung“ (im
Neben der bereits angesprochenen Stimmen- Sinne von „Häuserblock“) durchgeführt wurde,
anzahl im Bundesrat wird die Tatsache, daß der soll es diesmal also personengenau zugehen.
sogenannte Länderfinanzausgleich (der dazu Auf lästige Hindernisse wie die eigentliche exis
dient, die Finanzkraft der Bundesländer suk- tierende Zweckbindung der Meldedaten sowie
zessive anzugleichen) zu einem Großteil auf der die informationelle Selbstbestimmung eines
Einwohnerzahl basiert, und die zu erwarten- jeden Deutschen wird bewußt verzichtet.
den Korrekturen der Einwohnerzahlen sicher-
lich zu heftigen politischen Diskussionen füh- Eine Alternative für das Problem der Feststel-
ren. Denn eigentlich drückt sich die Politik seit lung der genauen Einwohnerzahl wäre daher
Jahren um die Veränderungen, die hier auf sie eine dem Subsidaritätsprinzip gehorchende
zukommen werden. Womöglich war einigen Summenerfassung. Anstatt also alle Einzelda-
Abgeordneten damals beim Handheben nicht ten in einer zentralen Datenbank zu speichern,
klar, welche Konsequenzen ein neuer Zensus könnte man eine reine Summenübermittlung
haben wird. (blockweise oder straßenweise) mit anschlie-
ßender Löschung der Einzeldaten durchfüh-
ren. Natürlich steigt hier der Erhebungsauf-
Gibt es eine Alternative?
wand, allerdings ist dies im Hinblick auf die
Wenn man sich das ZensG 2011 durchliest, Einschränkung der Grundrechte wohl eine der
stellt man recht schnell fest, daß es während der wenigen gangbaren Möglichkeiten zur daten-
Ausarbeitung keinerlei störende Einflüsse von schutzkonformen Zensusdurchführung.
In den vergangenen Jahren wurden Nerds vermehrt mit Ansammlungen von Gleichge-
sinnten zur Bekundung ähnlicher Absichten in der realen Welt konfrontiert. Dieses Kon-
zept ist für die meisten Bürger nicht neu und unter dem Namen „Demonstration“ bekannt.
Primäres Ziel ist es dabei, andere Menschen über die eigene Absicht und das meist politi-
sche Bestreben aufzuklären.
Überzeugung, Sendungsbe-
wußtsein, deutlich sichtbar
für alle.
Social Engineering ist eine Angriffsstrategie, die nicht die Technik als Opfer auserkoren
hat. Stattdessen wird hier lieber – und vor allem effizienter – der Mensch bzw. sein Verhal-
ten angegriffen. Ein Angreifer verwendet verschiedene Strategien und Taktiken, um aus
Benutzern der Systeme Informationen wie Paßwörter oder IP-Adressen herauszuholen.
Mit Hilfe dieser Informationen kann er erfolgreiche Angriffe gegen Zielsysteme fahren.
Die Motivation für einen Angriff kann unter- niert. Selbst jemand, der nur Grundwehrdienst
schiedlich sein, neben professionellen Gründen geleistet hat, kann mit etwas Geschick und Witz
wie Industriespionage oder Identitätsdiebstahl als Offizier auftreten und eine Dienststelle aus-
kommen auch soziale Gründe wie Rache oder einandernehmen. Wer das nicht glaubt, soll-
Spaß und Machtgefühl in Frage. Das „richtige“ te einmal die Abenteuer des Gefreiten Asch in
Social Engineering, Human Based Social Engi- Hans Helmut Kirst (1954) nachlesen oder den
neering genannt, setzt zum Großteil auf soziale Hauptmann von Köpenick anschauen.
Beziehungen als Angriffsvektor.
Aber auch in normalen Unternehmen gibt es
Zuerst benötigt der Angreifer möglichst viele Hierarchien, die sich ausnutzen lassen: So
Informationen über die anzugreifende Organi- kann sich der Angreifer als wichtiger Kunde
sation. Diese kann er aus freien Informationen, oder hoher Verantwortlicher einer anderen
wie beispielsweise der Webseite oder Werbebro- Filiale ausgeben. Unter Auf bau einer passen-
schüren, zusammensammeln und sich so ein den Drohkulisse kann man hier Mitarbeiter
Bild machen. Man kann auch den Müll durch- zur Herausgabe von Daten bewegen. Gerade
wühlen und so an relevante Daten kommen. bei Telefonaten muß der Angreifer über rhetori-
Außerdem können gewieftere Angreifer über sches Geschick und Intelligenz verfügen.
E-Mail oder Telefon Kontakte zu Mitarbeitern
herstellen und sich als jemand anderes ausge-
Psychologische Grundlagen der
ben: als ein Kunde oder Vorgesetzter beispiels-
weise, der dringend Informationen benötigt. Manipulation
Mit diesen kann er dann andere Opfer beein- Ein Social Engineer (auch Trickbetrüger oder
drucken oder einwickeln. So kann er anderen Hochstapler) verwendet als Angriffstech-
Mitarbeitern am Telefon beispielsweise inti- nik verschiedene Beeinf lussungsmethoden.
me Kenntnisse des Betriebs vorgaukeln oder Dabei helfen ihm Faustregeln und Stereoty-
schneller Kontakte knüpfen. pe des menschlichen Verhaltens. Dies sind
feste Handlungsmuster, die praktisch jedes-
Dieses Sympathie-Auf bauen läßt sich auf ver- mal gleich ablaufen. Sie verkürzen und verein-
schiedenen Wegen durchführen, beispielswei- fachen anhand von Urteilsheuristiken gedank-
se durch Verbrüderung mit Opfern, indem man liche Prozesse der Entscheidungsfindung.
einen gemeinsamen Gegner vorgibt. Ande- Hervorgerufen werden sie durch ein oder meh-
re Maschen sind Vorspiegelung von Autorität, rere Auslösemerkmale. Man bezeichnet eine
was insbesondere in strengen Hierarchien wie derartig mechanische Reaktion auf bestimmte
Polizei, Armee oder Feuerwehr gut funktio- Informationen als automatisches Verhalten.
Analysiert man solche psychologischen Reaktio- damit ihre Erfolgsc hancen wesentlich erhöhen
nen und Verhaltensweisen, kann man automa- können.
tische Reaktionen besser verstehen, aber auch
herbeiführen. Dazu ist es lediglich notwendig, Nun kann man natürlich die Frage stellen, ob
die Auslösemerkmale für automatische Hand- eine derartige Masche das „Opfer“ nicht doch
lungsmuster zu kennen und geschickt einzu- verärgern könnte und es eine gegebene Zusa-
setzen. ge nicht einhält. Miller et al. (1976) untersuch-
ten dies in einem Experiment, indem sie Stu-
denten um Blutspenden baten. Zuerst baten sie
Reziprozität
sie darum, drei Jahre lang alle sechs Wochen
Die Regel der Reziprozität (Wechselseitigkeit) zu spenden – was prompt abgelehnt wurde.
besagt, daß wir uns für erhaltene Gefälligkei- Danach wurde um eine einfache Blutspende
ten, Geschenke und dergleichen revanchie- gebeten. Es ist nun nicht überraschend, daß aus
ren. Da diese Regel enormes Potential für eine dieser Gruppe wesentlich mehr Studenten wirk-
Gesellschaft birgt, setzt sie alles daran, ihre lich zur Spende erschienen, als aus der Grup-
Mitglieder entsprechend zu sozialisieren. So pe, die nicht um eine regelmäßige Spende gebe-
werden Menschen, die nur nehmen anstatt zu ten wurden.
geben, schnell ausgegrenzt. Die Erwartung der
Gegenleistung gilt nur dann nicht, wenn der
Wer A sagt ...
Beschenkte nicht in der Lage ist, sich entspre-
chend zu revanchieren – schließlich würde nie- Den Menschen wohnt ein geradezu zwanghaf-
mand ein Gegengeschenk erwarten, wenn er tes Verhalten inne, in Konsistenz mit ihren frü-
seiner zweijährigen Nichte einen Teddybären heren Handlungen zu erscheinen, also kon-
schenkt. sequent zu sein. Wurde eine Entscheidung
getroffen, treten intra- und interpsyschische
Die Durchschlagskraft dieser Regel ist beein- Vorgänge in Kraft, die uns dazu drängen, kon-
druckend, sie wurde in Experimenten etwa von sistent zu bleiben. In einer Studie haben Knox
Denis Regan untersucht: Zwei Versuchsperso- und Inkster (1968) Menschen, die gern auf
nen sollten einige Bilder bewerten. Einer der Pferde wetten, untersucht. Nachdem die Wet-
Teilnehmer, der in Wirklichkeit ein Assistent ter einen Wetteinsatz auf ein bestimmtes Pferd
war, verschwand nach einer Weile und brach- gesetzt haben, steigt ihre Zuversicht, daß das
te zwei Cola mit zurück. Eine gab er dem ande- Pferd gewinnt.
ren – echten – Teilnehmer, die zweite trank er
selbst. Im Anschluß an die gestellte Bildbewer- Dieses Verhalten läßt sich auch in den beliebten
tung erzählte der Assistent, daß er Losverkäu- »Heiligen Kriegen« beobachten. Die wenigsten
fer sei und noch ein paar Lose verkaufen müsse. Benutzer eines Systems oder Texteditors wollen
Es verwundert nicht, daß der Verkäufer in ihre einmal getroffene Entscheidung rückgän-
der Gruppe, der er eine Cola spendierte, mehr
Umsatz generierte als in der Kontrollgruppe
ohne Cola.
Viele Vertreter oder Verkäufer beginnen eine Ein Versuch beweist diese These: Man verbot
»Spirale der Willfährigkeit« in Gang zu setzen. mehreren sieben- bis neunjährigen Jungen,
Dazu drängen Sie den Kunden dazu, eine Reihe mit einem besonders interessanten Spielzeug
kleinerer Commitments abzugeben. Drücker- zu spielen. Und wer Jungs kennt – insbeson-
kolonnen, die Zeitschriftenabos verticken, fan- dere in dieser Altersgruppe – weiß, daß Verbo-
gen beispielsweise immer mit der Frage »Sehen te etwas nur wesentlich interessanter machen.
Sie sich gerne gute Filme an?«, um das Opfer Eine Gruppe wurde mit einer Drohung dazu
einzuwickeln. Auch einige Tierschutzorgani- gebracht, die andere mit einer Begründung. In
sationen (die meist mehr an Geld als an Tier- beiden Gruppen, jeweils 22 Jungen stark, spiel-
schutz interessiert sind) beginnen häufig mit te nur ein Einziger verbotenerweise mit dem
der Frage, ob man Tiere möge.1 Spielzeug.
Die Taktik, mit einer kleinen Bitte zu begin- Sechs Wochen nach dem Test wurden die sel-
nen, um sich dann zur großen vorzuarbeiten, ben Gruppen wieder in Kontakt mit dem Spiel-
wird in der Sozialpsychologie und im Marke- zeug gebracht. Diesmal wurde kein Verbot
ting »Fuß-in-der-Tür-Taktik« genannt. Hat man ausgesprochen, so daß 17 Jungen aus der »Dro-
das Selbstbild einer Person erst einmal in eine hungsgruppe« sofort zum verbotenen Spiel-
neue Rolle manipuliert, tut die Person nahezu zeug griffen. Da sie nun nicht mehr mit der
alles, um mit dem neuen Selbstbild konsistent Bestrafung rechnen mußten, wurde das sechs
zu bleiben. Wochen vorher ausgesprochene Verbot quasi
wirkungslos. In der zweiten Gruppe, die mit
Allerdings wirken nicht alle Commitments einer Begründung vom Spielzeug abgehalten
gleich: Es muß aktiv, öffentlich, mit Anstren- worden waren, griffen nur sieben Jungen zum
gung verbunden und freiwillig sein. Ein akti- verbotenen Spielzeug.
ves Commitment ist das Versprechen, etwas
zu tun. In der umgekehrten Form – nicht ver- Die erste Gruppe hatte also sehr schnell erkannt,
sprechen, etwas nicht zu tun – zeigte es keinen daß der Testleiter nicht mehr da war, um seine
großen Einfluß. Ein öffentliches Commitment Drohung wahrzumachen. Nur wenn die Jungen
zeigt mehr Wirkung, als ein nicht-öffentliches, befürchteten, ertappt und bestraft zu werden,
schließlich wird dieses ja nicht bekannt und hielten sie sich an das Verbot. Die zweite Grup-
kann so das Bild einer Person ändern. Am effi- pe hingegen wurde nicht mit einer Strafandro-
zientesten ist eine schriftliche Verpflichtung. hung vom Spielzeug ferngehalten, sondern mit
Dies ist ein unumstreitbarer materieller Beweis einer Begründung. Das erste Testergebnis ent-
für eine Festlegung. Deshalb empfehlen auch sprach dem der ersten Gruppe – nur jeweils ein
viele Diät- oder Anti-Rauch-Ratgeber, die gefaß- Junge spielte mit dem verbotenen Spielzeug.
ten Vorsätze schriftlich niederzulegen. Das Entscheidende spielte sich im Inneren der
Jungen ab – in der zweiten Testgruppe gelang-
ten sie zu dem Entschluß, nicht mit dem Spiel-
1 Meine Standardantwort »Ja, am liebsten als
Chicken McNuggets!« läßt das Verkaufsgespräch sehr zeug spielen zu wollen.
schnell beenden.
Verhalten einzel-
ner Personen bes-
ser beurteilen und
voraussagen, wenn
sich diese konse-
quent verhalten.
Da her f ä l lt es
schwer, auf kon-
sistentes Verhal-
ten zu verzichten
und jede Entschei-
dung erneut abzu-
wägen. Es gibt aller-
dings Signale, auf
die man achten
sollte. Zum einen
ist es das Bauch-
gefühl, zum ande-
ren der »Grund des
Herzens«. Meist
merken Menschen
im Magen oder im
Ein im Marketing bzw. im Verkauf eingesetz- Herzen, ob sie betrogen oder ausgenutzt wer-
ter Trick des Commitments ist die sogenann- den sollen. Es gibt einige Studien, die belegen,
te »throwing a low ball«-Taktik. Hierbei wird daß wir Gefühle Sekundenbruchteile vor unse-
ein PKW unter dem üblichen Marktwert ange- rer verstandesgemäßen Antwort wahrnehmen.
boten. Natürlich erhöht dieses Schnäppchen
den Absatz, es werden mehr Kunden angelockt. Wenn Sie also Zweifel an der Ehrlichkeit einer
Wenn diese dann den Vertrag unter Dach und Person haben, stellen Sie sich folgende Frage:
Fach bringen wollen, bemerkt der Verkäufer »Bei dem, was ich jetzt weiß, wie würde ich
oder die Finanzierungsbank, daß der Betrag mich entscheiden?«. Achten Sie dabei auf ihre
aufgrund eines Fehlers zu niedrig ist und man erste Gefühlsregung oder Intuition, wenn Sie
den Preis auf das marktübliche Niveau erhöhen das so nennen wollen. Spätestens wenn sich hier
muß. Normalerweise würde man davon ausge- Zweifel einstellen, sollten Sie alle jetzt bekann-
hen, daß verärgerte Kunden diese Autohäuser ten Fakten neu überdenken und auf Basis dieser
scharenweise verlassen und nie wieder betreten. Informationen die Entscheidung treffen.
Das Gegenteil ist aber der Fall: Sehr viele Kun-
den kaufen den Wagen trotzdem – da sie eben
Sympathie
schon einige Commitments gemacht haben, als
sie den »Papierkram« ausfüllten. Nicht wirklich überraschend ist, daß uns sym-
pathische Menschen eher zu etwas verleiten
können. Jeder vernünftige Verkäufer versucht,
Abwehrstrategien
dem Kunden gegenüber besonders sympa-
Konsistentes Verhalten ist – wie auch alle ande- thisch zu erscheinen. Sympathie verstärkt alle
ren automatischen Reaktionen – von großem anderen eingesetzten Überzeugungstricks.
Nutzen für uns und die Gesellschaft. Es ermög-
licht uns, Situationen schnell und meist effi- Da die Sympathie eine sehr große Rolle spielt,
zient einzuschätzen und uns angemessen zu wird sie oft als Waffe eingesetzt – aber auch
verhalten. Die Gesellschaft hingegen kann das sehr gut erforscht. Daher gibt es Anhaltspunk-
te dafür, was uns jemanden als sympathisch mir ein anderer Verkäufer präsentieren würde?
erscheinen läßt. Würde ich die Information herausgeben bzw.
den Gefallen tun, wenn es sich um jemanden
Besonders stark lassen wir uns von besonders anderes handeln würde? Wurde die Sympathie
attraktiven Menschen beeinflussen. Hier führt zu schnell aufgebaut?
der sogenannte Halo-Effekt dazu, daß die her-
ausstechende Eigenschaft Attraktivität alle
Autorität
anderen Eigenschaften überstrahlt. Testperso-
nen schrieben einer besonders attraktiven Per- Besonders interessant ist, daß wir nicht unbe-
son automatisch besonders positive Eigenschaf- dingt auf »echte« Autorität reagieren, sondern
ten zu. auch auf vermeintlich zur Schau gestellte. In
den USA lief mehrere Jahre ein Werbespot für
Ein weiterer, leichter anzupassender Faktor ist entkoffeinierten Kaffee. Der Werbeträger war
Ähnlichkeit. Sympathie und Hilfsbereitschaft Robert Young – in seiner Fernsehrolle als Dr.
steigen gegenüber Menschen, die uns ähnlich med. Markus Welby. Obwohl alle Zuschauer
gekleidet sind, neben der äußeren Erscheinung wußten, daß Young kein Arzt ist, verhalf er dem
können auch die Herkunft oder ähnliche Inter- Produkt zum Durchbruch.
essen Sympathie erzeugen.
Verschiedene Untersuchungen identifizierten
So versuchen beispielsweise Autohändler, aus drei Autoritätssymbole: Titel, Uniformen und
dem Auto des Kunden Rückschlüsse auf seine Luxus.
Hobbies zu ziehen und diese dann als eigene
Hobbies auszugeben. Mehrere Untersuchun- Schon 1966 wurde ein interessantes Experi-
gen zeigten, daß selbst belanglos erscheinen- ment über Fehlmedikamentierungen in Kran-
de Ähnlichkeiten ihre Wirkung nicht verfehlten, kenhäusern durchgeführt. Einer der Forscher
so zeigte Evans () anhand von Verkaufsunter- rief in 22 Krankenhausabteilungen an, gab sich
lagen von Versicherungen, daß Kunden eher als dortiger Arzt aus und trug dem Pflegeper-
geneigt waren, eine Versicherung abzuschlie- sonal auf, einem bestimmten Patienten 20 mg
ßen, wenn zum Vertreter Ähnlichkeit hinsicht- Astrogen zu verabreichen.
lich Alter, Religion, politischer Einstellung und
Rauchen bestand. Aus vier guten Gründen hätte die Schwester
oder der Pfleger auf diese Anweisung mit Miß-
Schmeicheleien, Sympathiebekundungen oder trauen reagieren müssen:
Flirts sind Möglichkeiten, jemanden für ein
Anliegen zugänglich zu machen. Selbst wenn (1) Die Anordnung wurde per Telefon gegeben,
die Schmeicheleien offensichtlich der Mani- was eine Verletzung der Grundsätze des Kran-
pulation dienen, zeigen sie noch Wirkung. Die kenhauses bedeutete.
Komplimente müssen gar nicht unbedingt (2) Das Medikament durfte gar nicht verord-
zutreffend sein, um zu wirken. Positive Kom- net werden. Astrogen war weder zum Gebrauch
mentare brachten dem Schmeichler stets gleich freigegeben noch befand es sich regulär auf der
viel Sympathie ein, ob sie nun stimmten oder Bestandsliste der Station.
nicht. (3) Die verschrieben Dosis war eindeutig zu
hoch. Auf der Packung stand unmißverständ-
Abwehrstrategien lich, daß die Tageshöchstdosis bei zehn Mil-
ligramm lag, die Hälfte der verschriebenen
Es gibt auch hier wieder kein Abwehrrezept, Menge.
sondern nur verschiedene Punkte, die alarmie- (4) Die Anordnung kam von jemandem, den die
ren sollten. Finde ich das Gegenüber attrakti- Pflegekraft nie zuvor persönlich kennengelernt
ver/sympathischer/ähnlicher als es sein sollte? oder wenigstens telefonisch gesprochen hatte.
Würde ich das Produkt auch kaufen, wenn es
Ein weiteres Autoritätssymbol ist die Kleidung. Es reicht daher nicht, einfach Daten zu ver-
Verschiedene Studien zum Gehorsam zeigten, schlüsseln, zu sichern, zu löschen, oder die
daß lediglich 42% der Bitte eines Mannes in Systemcalls zu überwachen. Zur Abwehr wird
Straßenkleidung nachkamen, aber 92%, wenn die Fähigkeit benötigt, soziale Beziehungen
der Mann eine Wachdienstuniform trug. und Kontexte zu deuten. Daß dies von Compu-
tern nicht geleistet werden kann, zeigen schon
einfache automatische Übersetzungsversuche.
Abwehrstrategien
Vielmehr ist es notwendig, in Organisationen
Ein wichtiger Punkt ist die Ausschaltung des ein Sicherheitsbewußtsein zu schaffen.
Überraschungsmoments. In der Regel wird
Autorität nicht bewußt wahrgenommen, aber Dabei ist darauf zu achten, daß es zu Einstel-
trotzdem beachtet. Daher ist es sinnvoll und lungs- und Verhaltensänderungen kommt,
hilfreich, generell mehr Aufmerksamkeit auf sowie Lerntransfere sichergestellt werden.
die eigenen Entscheidungen zu legen. Daher ist es notwendig, eine Didaktik der