Diese Webpräsenz des Datenschutzbeauftragten der Evangelischen Landeskirche Württemberg ist im Oktober 2011 umgezogen.
Die neue Webpräsenz finden Sie unter http://www.kirche-datenschutz.de
Geschichtliche Betrachtung des Hackens
Fr, 09/05/2008 - 16:29 – DSB
Der nachfolgende Text ist eine Baccalaureatsarbeit des Fachbereichs Informatik der Universität Hamburg (siehe unten).
Definition
Erste Anfänge
Was ist ein Hack?
Computer für alle: der PC
In Deutschland: Der Chaos Computer Club
Software-Piraterie
Viren, Würmer, Trojaner
Autoren
Definition
Der "Jargon File" definiert einen "Hacker" (oder eine "Hackerin") als eine Person, die Gefallen daran findet, intellektuelle Herausforderungen anzunehmen und dabei kreativ über Grenzen hinwegzusetzen oder faktische Möglichkeiten bis an die Grenze auszuloten.
Des weiteren wird man eine Person dann als Hacker bezeichnen, wenn zusätzlich ein Ethos erkennbar ist, lediglich Sicherheitslücken aufzuspüren und bekannt zu machen, und so sein Können zu demonstrieren, aber nicht wirklich zu schaden. Zu dieser Geisteshaltung gesellt sich ein Auflehnen gegen die Dominanz geschäftlicher Interessen. Dieser Personenkreis reklamiert für sich eine basis-demokratische Mitgestaltung der Informationsgesellschaft.
Personen, bei denen ein solcher Ethos nicht erkennbar ist, werden im allgemeinen als "Cracker" bezeichnet, also so etwas wie die schwarzen Schafe unter den Hackern. Dieser Personenkreis ist darauf aus, über möglichst viele Ressourcen Verfügung zu erlangen (aus dem Netz etwas "heraussaugen" ist eine typische Redewendung).
Sehr oft bedienen sich Cracker Methoden, die von Hackern entwickelt und bekanntgemacht wurden
Erste Anfänge
Typisch für Hacker ist, dass sie sich an der Front der informations-technischen Entwicklung betätigen. Eine solche Front war auch einmal die Telephonie. In den Anfängen mußten die Gespräche noch manuell vermittelt werden (Kabel gesteckt werden). Die damit beschäftigten Jugendlichen machten sich bald einen Spaß daraus, falsche Telephonpartner zu vermitteln, Gespräche mitzuhören und mit frechen Kommentaren zu würzen oder eine Leitung über den Kontinent und zurück zu schalten, um mit dem Nachbarn in der Vermittlungszentrale zu telephonieren. Hier waren wohl Langeweile und Neugierde die entscheidenden Antriebe, es war wohl auch ein typisch männliches Verhalten zur Technik. Die amerikanische Telefongesellschaft stellte nach entsprechenden Erfahrungen nur noch Frauen für den Vermittlungsdienst ein, das "Fräulein vom Amt" (nach Bruce Sterlings, "Hacker Crackdown").
Was ist ein Hack?
Ein "Hack" ist eine im technischen Sinne besonders elegante Lösung eines Problems, hat also nichts mit dem naheliegenden deutschen Wort "hacken" oder "zerhacken" zu tun, das einen eher zerstörrerischen Bedeutungsgehalt hat (letzteres ist das "Cracken"). In diesem Sinne wurde der Begriff wohl zuerst vom Signal und Enerige Subkomitee (Signal and Power - S and P) des Tech Model Railroad Clubs (TMRC) am Massachusetts Institut of Technology (MIT) benutzt. Ein "Hack" ist es beispielsweise auch, für eine komplexe Modelleisenbahnanlage mit vielen Zügen, Weichen und Signalen eine automatische Abfolge von Steuersignalen zu finden, so dass alle Züge fahren, ohne irgendwann zusammenzustoßen oder aufeinander aufzufahren.
"Hacks" hatten in den Anfängen zur Voraussetzung, dass Zugang und Umgang mit modernster Informationstechnologie gegeben war, typischerweise öffentliche oder private Forschungseinrichtungen. Als für die Vermittlung von Telefongesprächen Rechner eingesetzt wurden, war ein typischer Hack die Programmierung einer Schnittstelle zum Telefonnetz. Damit konnten dann wie gehabt kostenlose Telefonate vermittelt oder zum Spaß möglichst wirre interkontinentale Verbindungen geschaltet werden.
Eine Politisierung erfuhr das Ganze, als die US-Regierung zur Finanzierung des Vietnamkrieges die Telefonsteuer auf 10% erhöhte. Daraufhin wurde das Hacken der Telefonnetze von vielen als legitimer ziviler Ungehorsam angesehen.
Ebenfalls ein Hack ist die Programmierung eines Spiels, etwa eines Schachspiels. Es war für das Ansehen der Forschungsarbeiten zur künstlichen Intelligenz ein wohl nicht unwesentlicher Achtungserfolg, als ein Schachprogramm von Richard Greenblatt den Sozialwissenschaftler Herbert Dreyfus schachmatt setzte. Allerdings wurden solche Spiele wohl eher heimlich und unbeobachtet entwickelt, schließlich sollten die damals sehr teuren Rechner der Forschungsinstitute zu Forschungszwecken und nicht dem Spieltrieb der Studenten dienen.
Wie nicht anders zu erwarten, erging es dem vom amerikanischen Verteidigungsministerium entwickelten ARPANET nicht anders. Diese Netz sollte Studenten und Wissenschaftlern eine Kommunikationsbasis bieten, wurde von den Studenten aber bald auch für ihre Freizeitaktivitäten genutzt, etwa zum Austausch über Neuigkeiten der Science Fiction in der "SF-Lovers"-Liste.
Daneben entwickelten sie jedoch auch verschiedene Protokolle und zeigten damit auf, welche Möglichkeiten die zugrundeliegende Technik beinhaltete. Diese Protokolle wurden bewußt und konsequent an den in Frage kommenden zentralen Standartisierungsinstanzen vorbei entwickelt. Um dennoch die erforderliche Einheitlichkeit herzustellen, wurden diese Protokolle in den bekannten RFC's (Request of Comments) zur Diskussion gestellt und weiterentwickelt. Diese RFC's definieren nach wie vor viele im Internet zum Datenaustausch verwendete Protokolle, womit demonstriert wrrd, dass die für eine gelingende Kommunikation unabdingbaren Regeln nicht unbedingt einer zentralen Autorität bedürfen.
Computer für alle: der PC
Personen, die auf dem aktuellen Stand der Elektronik waren, erkannten bald, dass der Stand der Technik die Möglichkeit bot, kleinere, aber dafür einem wesentlich größeren Personenkreis zugänglichere Computer zu bauen.
In vielen bekannten Elektronik-Zeitschriften wurden Schaltpläne und Bezugsquellen für die verschiedensten Funktionen und Schnittstellen veröffentlicht, die ein "Personal Computer" (PC) haben mußte. Andere (z.B. Bill Gates, der Microsoft-Gründer) entwickelten die benötigte Software. Als ein bekanntes Forum für einen gegenseitigen Austausch entwickelte sich der "Homebrew Computer Club" mit engen Beziehungen zur Stanford University. Dieser Club forderte den Zugang zu den Computern für alle. Hier war wohl der Ursprung der PC-Industrie, also nicht bei großen Firmen wie Texas Instruments oder IBM. Eine Reihe bekannter Computergründer fanden sich in diesem Club zusammen. Schon damals kam die Frage nach dem "geistigen Eigentum" auf. 1976 warf Bill Gates in einem "Offenen Brief an Computerhobbyisten" den Computerfans vor, sie würden sich die Software zusammenstehlen. Andererseits erkannte Bill Gates auch, dass es galt , den Kreis der Personen, die Software entwickelten, möglichst auszuweiten. Erst die Software macht Computer nützlich und weckt damit Kaufinteresse. Konsequenterweise machte er die Schnittstellen seines Betriebssystems öffentlich, im Gegensatz zu anderen, die diese geheim hielten und sich damit für die Softwareentwickler unentbehrlich machen wollten. Damit setzte das bekannte MS-DOS seinen Siegeszug an.
Allerdings setzte das MS-Dos eine bestimmte Hardware, nämlich IBM-Rechner voraus. Bald wurde erkannt, dass auch Betriebssysteme in einer Hochsprach geschrieben werden konnten, bis auf einen kleiner Kernel, der der jeweiligen Hardware angepaßt werden mußte. Mit dem auf C basierenden Unix stand dann ein Betriebssystem zur Verfügung, das auf mehreren Hardware-Plattformen einsetzbar war. Es war dann nur konsequent, den offengelegten Quellcode zum Markenzeichen zu machen, es entstand die "Open-Source-Bewegung", deren Forderungen heute aktueller sind denn je.
Die ganze Entwicklung macht deutlich, dass von Anfang an den Behörden und großen Firmen eine nur wenig organisierte Gruppe von Personen gegenüber stand, die entstehende oder gegebene Möglichkeiten früh oder besser erkannte und ohne lange zu fragen oder sich um Rechte oder Besitzstände zu kümmern nach Kräften realisierte, vielleicht so etwas wie eine Wiederholung der Eroberung des Wilden Westens, also wohl ein typisch amerikanisches Element.
In Deutschland: Der Chaos Computer Club
In Deutschland versuchte die Deutsche Bundespost den Zugriff auf die Datennetze völlig unter ihrer Kontrolle zu halten. Konsequenterweise entstand eine Vereinigung von Personen mit einer tiefen Abneigung gegen die Deutsche Bundespost, die in ihren Zeitschriften erklärte, wie Modems gebaut und an das Telefonnetz angeschlossen werden konnten: der Chaos Computer Club (CCC). Der Datendienst der Deutschen Post, BTX, wurde bevorzugtes Angriffsziel. Hackern des CCC gelang es, Trickfilme in BTX-Seiten einzuschmuggeln, abgesendete BTX-Mitteilungen nachträglich zu ändern und kostenpflichte BTX-Seiten zu erstellen, deren Aufrufe bei der Hamburger Sparkasse mit DM 135.000 zu Buche schlugen.
In dem Maße, wie der Zugriff auf die Netze einfacher wurde, wurden im Netz stehende Rechner zu einem bevorzugten Angriffsziel. Die Hacker deckten auf, dass Sicherheitslücken bestanden oder selbst einfache Schutzmaßnahmen nicht getroffen wurden. Am 15. September 1987 veröffentlichte der CCC eine Liste mit 138 gehackten Computern, darunter solchen des CERN, der NASA und der ESA.
Etwa 10 Jahre später versuchte eine kleiner Gruppe von Personen, die sich über den CCC kennengelernt hatte, im Auftrag des KGB Rechner des amerikanischen Militärs und von mit militärischen Entwicklungen befaßten Labors auszuspionieren. Einem Administrator von Computern, die als Sprungstelle benutzt wurden, fielen kleinere Unregelmäßigkeiten auf, denen er nachging und anhand derer er schließlich die Spionageversuche rekonstruierte. Damit wurde ein von vielen bislang nicht für möglich gehaltenes Gefahrenpotential offenkundig.
Heute hat der CCC eher einen gesellschaftlich anerkannten Status, gelegentlich wird sein Rat von der Industrie nachgefragt.
Software-Piraterie
Softwareentwickler wollen, wie alle anderen auch, für ihre Arbeit bezahlt werden. Von den Anfängen der Softwareentwicklung an wurde versucht, diesen Anspruch durchzusetzen (siehe den oben genannten "Offenen Brief" von Bill Gates). Dass dieser Durchsetzungswille auf Widerstand stoßen würde, war zu erwarten. Es war immer nur eine Frage der Zeit, bis zu jeder soft- oder hardwarebasierten Lizenzschutzmethode ein Verfahren bekannt wurde, wie diese zu umgehen sei.
Oft sind es lediglich tiefergehende Systemkenntnisse, die ausgenutzt werden, ein "Hack" im oben genannten Sinne steckt nur selten dahinter. Der dadurch entstandene Schaden wird in Deutschland auf mehrere Milliarden Mark geschätzt. Personen, die solche Verfahren erkunden und publiziern, werden im heutigen Sprachgebrauch "Hacker" genannt, obwohl nach der obigen Definition die Bezeichnung "Cracker" in den allermeisten Fällen zutreffender sein dürfte.
Eine völlige Verurteilung ist indes insofern nicht angebracht, als die heutigen Software- und Betriebssystempreise und die ständig anfallenden Aktualisierungskosten vielen Menschen den Zugang zum Computer verwehren würde, müßten sie immer bezahlt werden. So gesehen stünde das cracken eines Softwareschutzes durchaus in der bisherigen Hackertradition. Dies dürfte jedoch nur bei einer kleinen Minderheit der eigentliche Antrieb sein. Das Risiko ist, dass es zu einer völligen Mißachtung des geistigen Eigentums anderer und des Rechts, für in Anspruch genommene Arbeit entlohnt zu werden, kommen könnte.
Dies ist letztlich nicht mit einer demokratischen Weiterentwicklung der Informationstechnologie vereinbar.
Viren, Würmer, Trojaner
Viren, Würmer, Hoaxes und Trojaner werden m.E. korrekt unter dem Begriff "Malware" zusammengefaßt. Hier ist kaum noch irgend eine Art von Ethos zu erkennen. Auch von einem "Hack" im obigen Sinne kann nur noch in wenigen Fällen die Rede sein, oft werden schlicht fertige Programme eingesetzt. Teilweise handelt es sich um von Hackern entwickelte Programme, die aus Angst vor Strafverfolgung publiziert wurden.
Damit haben diese Hacker zwar verhindert, dass Ihnen bestimmte mitprotokollierte Angriffe juristisch haltbar zugerechnet werden können, der Preis dafür war jedoch, dass nun Personen in die Lage versetzt werden, Angriffe zu fahren, die dies sonst aus eigener Kraft nicht vermocht hätten. Es wird kein tieferstehendes Verständnis für die dahinter stehende Technik mehr benötig, sondern lediglich die Insider-Information, wo was im Internet zu finden ist. Damit ist das Risiko für Firmen, Behörden und Unternehmen, einen beträchtlichen Schaden zu erleiden, typischerweise durch Netzwerkausfälle, erheblich angestiegen.
Bedenklich ist zum einen, dass die sehr dynamische Weiterentwicklung der Betriebssysteme und Softwareprodukte es kaum zulässt, alle in Frage kommenden Umstände und Konfigurationen systematisch und vollständig daraufhin zu untersuchen, ob Sicherheitslücken vorhanden sind. Damit ist immer ein Restrisiko gegeben. Desweiteren führen die getroffenen Schutzmaßnahmen immer mehr dazu, dass versucht wird, Benutzer zu überlisten (Trojaner, Hoaxes). Auch dies ist nicht mit dem oben genannten und der bisherigen Entwicklung durchaus förderlichen Ethos zu vereinbaren.
Aktuell muß den heute agierenden Crackern wohl ein Hang zur "Zerstörung" attestiert werden, aus welchen Gründen auch immer. Möglicherweise ist eine Ursache dafür, dass die Cracker nicht direkt die Folgen ihres Tuns mitbekommen, vielleicht einfach nur ein weiterer Ausdruck einer sich immer weiter verbreitenden Gleichgültigkeit gegenüber den Interessen anderer Menschen. Vielleicht ist es auch nur ein unbewußtes Aufbegehren gegen die mit der aufziehenden Informationsgesellschaft einhergehenden Zwänge oder der verlorene Glaube, dass diese gerecht und menschenwürdig zu gestalten sei.
Wie dem auch sei, man wird davon ausgehen müssen, dass das Risiko, geschädigt zu werden, im steigen begriffen ist.
Autoren
Die oben gemachten Ausführung wurden nicht alle selbst recheriert, sondern stellen zu großen Teilen eine Zusammenfassung des sehr gelungenen ersten Kapitels der folgenden Arbeit dar:
Intrusion Detection Systeme in Firewalls
Baccalaureatsarbeit
Fachbereich Informatik
Universität Hamburg
Benjamin Hoherz
Silvio Krüger
Jan Menne
Nils Michaelsen
Betreuer: Prof.Dr.Klaus Brunnstein
Hamburg, im Juli 2000
