Hacker-Angriff"Die Website war schlicht schlecht gesichert"

Chaos-Computer-Club-Sprecher Andreas Bogk wurde als Stratfor-Kunde ein Opfer des Hacker-Angriffs. Im Interview prangert er die Fehler des Unternehmens an. von Stephan Dörner

andreas-bogk

Andreas Bogk ist Mitglied des Chaos Computer Club (CCC)  |  © xjs-khaos

Frage: Über Weihnachten ist die US-Firma Stratfor Opfer einer Hacker-Attacke geworden – ob die Täter aus der Anonymous-Bewegung stammen, wird noch diskutiert. In den Medien wurde das Unternehmen meist als "Sicherheitsfirma" betitelt, teilweise war auch von einem Think Tank oder einer "Schatten-CIA" die Rede. Worum handelt es sich bei dieser Firma wirklich?

Andreas Bogk: Es handelt sich im Grunde genommen um einen privaten Nachrichtendienst – also so eine Art Nachrichtenagentur, die internationale Meldungen zu der politischen Lage analysiert und inhaltlich aufbereitet. Das sind also Leute, die sich mit verschiedenen Regionen und deren Machtstrukturen auskennen. Wenn dann so etwas passiert wie die Revolution in Ägypten oder etwas ähnliches, sind sie die ersten, die eine Analyse dazu schreiben. Sie sagen, was die Hintergründe und die Fraktionen sind. Im Prinzip also eine Art täglicher Nachrichtendienst.

Anzeige

Frage: Warum wurde ausgerechnet Stratfor Ziel einer Attacke von Hackern?

Bogk: Das ist schwer zu sagen. Stratfor hat sich unbeliebt damit gemacht, dass sie für viele brisante Informationen die entsprechenden Hintergründe und Informationen geliefert haben. Es ist also nicht unbedingt gesichert, dass es wirklich eine Anonymous-Aktion war. Es ist zwar vorstellbar, dass bei Anonymous die Vorstellung herrscht "da sind die bösen Geheimdienste Kunde, das muss also auch ein böses Unternehmen sein". Es kann aber auch sein, dass dort eher eine Gelegenheit ausgenutzt wurde: Die Website war schlicht schlecht gesichert. Vielleicht suchte man eine Ausrede, um die Gelegenheit auch noch in einen politischen Kontext zu stellen. Es ist aber auch denkbar, dass es jemand war, der Stratfor schaden will und den Angriff Anonymous angehängt hat.

Ohne Gesicht

Der Name ist Programm – die Gruppe Anonymous agiert als Bewegung ohne sichtbare Hierarchie und Gesichter. Anhänger ihrer Aktionen (Anons) verkleiden sich gern mit einer Maske von Guy Fawkes. Der hatte 1605 ein Attentat auf den englischen König versucht. Das wiederum inspirierte die Autoren der Comicserie V – wie Vendetta in den achtziger Jahren, ihren Protagonisten hinter einer Fawkes-Maske versteckt zu zeigen. Er protestierte mit seinen Aktionen gegen einen unterdrückenden und überwachenden Staat, was wiederum einige Anons als Symbol für den eigenen Kampf aufgriffen.

Ursprung der Bewegung und des Namens ist das Imageboard 4chan. Auf der Seite kann jeder unzensiert und unmoderiert Bilder und Botschaften hinterlassen und dabei auch seinen Namen angeben. Allerdings tut das kaum jemand, weswegen die meisten Texte mit dem Namen "Anonymous" gekennzeichnet sind.

Ohne Hierarchie

Anonymous existiert nicht als Organisation. Es ist viel mehr eine Idee, eine Bewegung, der sich jeder anschließen und derer sich jeder bedienen kann. Auch Koordination gibt es nicht direkt. Wichtigste Instrumente dieser Nicht-Koordination sind der Internet Relay Chat (IRC) für Diskussionen und Pastebin.com zum Veröffentlichen von Meiningen und Manifesten.

Doch muss niemand in solchen Foren und Kanälen auftauchen, um ein Anon zu sein. Es genügt, Anonymous öffentlich zu unterstützen, wie es der amerikanische Bürgerrechtler John Perry Barlow tut, oder sich an den Attacken auf Server zu beteiligen. Die Software dazu, Low Orbit Ion Cannon genannt, gibt es kostenlos im Netz.

Ohne Führer

Es gibt keinen Chef, Leiter, Anführer oder ähnliches. Im Gegenteil: Jeder, der sich als solcher in Medien oder Internet präsentiert, kann davon ausgehen, in kürzester Zeit von den Anhängern von Anonymous beschimpft zu werden oder selbst Ziel von Angriffen zu sein. Anonymous ist vielmehr eine Umsetzung der Idee des Hive Minds, der Schwarmintelligenz. In der Masse, so die Idee, lässt sich enorme Wirkung entfalten, also sollte auch nur die Masse das Ergebnis für sich beanspruchen.

Gleichzeitig legt Anonymous Wert darauf, Verantwortung für die Aktionen zu übernehmen, die durch das Netzwerk koordiniert wurden. Daher werden üblicherweise Bekennerschreiben verfasst. Jedoch hat die Bewegung keinen Einfluss auf "Einzeltäter", die ihren Namen benutzen und will den auch nicht haben.

In gewisser Hinsicht bildete die zeitweise mit Anonymous verbündete Hackergruppe LulzSec eine Ausnahme von der Führerlosigkeit. Sie hatte mit Hector Xavier Monsegur alias "Sabu" einen Gründer, Kopf und Sprecher. LulzSec hat eine Reihe von Regierungs- und Unternehmensserver angegriffen und sich dabei Zugriff auf E-Mails und Nutzerdaten verschafft. 2012 kam heraus, dass Sabu ein FBI-Informant war, der mehrere LulzSec-Mitglieder verraten hat.

Ohne Ziel

Anonymous versteht sich als Bewegung, die für Netzfreiheit und gegen Zensur kämpft. Darüber hinaus aber gibt es keine klar formulierten Ziele. Aktionen können sich gegen Sekten ebenso richten (die älteste bekannte ist eine gegen Scientology) wie gegen rechtsradikale Foren, Kreditkartenkonzerne oder Manager von Unterhaltungskonzernen.

Auch ist es im Kern eigentlich keine politische Bewegung. Ursprünglich ging es um Streiche – im Namen unliebsamer Personen beispielsweise Unmengen Pizza zu bestellen. Der Spaß stand im Vordergrund, oder im Jargon des Netzes: the lulz. Gemeint sind Lacher, vor allem im Sinne von Schadenfreude.

Für die Teilnehmer allerdings können die Aktionen im Zweifel durchaus riskant sein, da einige Länder wie die USA, Großbritannien und die Niederlande begonnen haben, Attacken von Anonymous strafrechtlich zu verfolgen.

Frage: Was hat Stratfor falsch gemacht?

Bogk: Man muss schon sagen, dass es ganz schön peinlich ist, dass Stratfor die Kreditkartennummern unverschlüsselt in der Datenbank gespeichert hat. Die Passwörter wurden zwar per Hashing verschleiert – aber so, dass eine Attacke per Wörterbuch möglich war. Die einzige noch schlechtere Variante wäre gewesen, die Passwörter im Klartext zu speichern.

Frage: Auch bei Sony war es ähnlich – Passwörter und Kreditkarteninformationen wurden unverschlüsselt auf den Servern gespeichert. Wie erklären Sie sich ein solches Vorgehen?

Bogk: Ich nehme an, dass es eine Mischung aus Unverständnis über die Bedrohungslage ist und möglicherweise der Behauptung des technischen Dienstleisters, dass alles in Ordnung ist. Es gibt ja den PCI-DSS-Standard zum Umgang mit Kreditkarteninformationen. Wäre der Standard eingehalten worden, wären die Auswirkungen weniger heftig gewesen. Das viel größere Problem meiner Meinung nach – und vielleicht sollen die Kreditkarten auch davon ablenken – sind die 200 Gigabyte E-Mails, die von den Stratfor-Mitarbeitern eingesammelt wurden. Denn die enthalten natürlich Informationen über die Informanten und Hintermänner von Stratfor. Das ist für mich der wesentlich brisantere Datensatz.

Leserkommentare
  1. Wenn die Website wirklich "schlecht gesichert" war (übrigens eine These, die noch auf ihren Beweis wartet), wäre es sinnvoll gewesen, den Betreiber auf die Sicherheitslücken aufmerksam zu machen - und zwar NICHT durch "Bankraub per Mausklick"!

    • Zack34
    • 28. Dezember 2011 17:33 Uhr

    <a>
    Interessant...

    • k2
    • 28. Dezember 2011 20:09 Uhr

    https://twitter.com/#!/AnonymousIRC

    Die illustre Gesellschaft der bei Stratfor sur Avon geschaedigten
    Staatskunden umfasst Offiziere und Geheimdienstchefs der Schweiz.
    In diesem Kontext handelt es sich vielmehr um eine Erscheinung
    des Korporationsstaates und nicht etwa um eine Auseinandersetzung
    zwischen Staatssicherheit versus Sicherheit als Geschaeftsgewinne.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Schlagworte CIA | Sony | Chaos Computer Club | WikiLeaks | Hacker | Ägypten
Service