Von Thomas von Randow

Wer sich in den kommenden zwei bis drei Jahren dem Btx-System anschließt, gehört wegen Dummheit bestraft." Dieses vernichtende Urteil über den neuen Service der Bundespost, Bildschirmtext, war vorige Woche auf der achten Datenschutzfachtagung in Köln zu hören – aus berufenem Munde. Gefällt hatte es der Vorsitzende der veranstaltenden Gesellschaft für den Datenschutz (GDD), Professor Reinhard Vossbein, nachdem ihm die Ausführungen eines Computerfreaks zu Ohren gekommen waren. Mit Witz und lockeren Sprüchen hatte Herwart ("Wau") Holland vom Hamburger "Chaos Computer Club" (CCC) geschildert, wie es seinem 23jährigen Clubfreund Steffen Wernéry gelungen war, den Bildschirm-Dienst aufs Kreuz zu legen.

Eher tippe einer sechs Richtige im Lotto, als daß er sich illegal das Paßwort eines Btx-Teilnehmers verschaffen könne, hatten Bildschirmtext-Experten der Post geprahlt. Just das aber gelang den Hamburger Computerchaoten auf Anhieb. Ein Fehler, zünftig Bug (engl. Käfer) genannt, im Computerprogramm des Systems machte es den Hackern kinderleicht. Daß etwas mit dem Programm nicht stimmte, war schon vielen Bildschirmtextanbietern aufgefallen.

Anbieter gestalten schirmfüllende Bilder mit Informationen darüber, was sie zu offerieren haben, Waren aus dem Versandkatalog, Urlaubsreisen, mit Kontoauszügen für Bankkunden oder schlichten Mitteilungen an Freunde. Diese "Seiten" können dann von – hierzu berechtigten – Btx-Teilnehmern abgerufen und die darin enthaltenen Fragen, etwa nach einer Flugbuchung, oder Geldüberweisung, auf der Tastatur am heimischen Btx-Zusatzgerät beantwortet werden.

Doch der Platz auf einem Fernsehbildschirm ist beschränkt; die Btx-Seite kann nur 1626 Zeichen fassen. Und damit der Gestalter beim Editieren weiß, wieviel Zeichen er jeweils noch in seinem Werk unterbringen kann, wird ihm diese Zahl am unteren Bildrand angegeben. Bis vor kurzem stimmte aber diese Angabe nicht – Programmierer sind notorisch schlechte Kopfrechner. Die Seite war schon voll, ehe die Zahl der verfügbaren Zeichen Null erreicht hatte. Aus diesem Grund erlebten viele Anbieter, was eigentlich nicht passieren darf, einen chaotischen Zeichenüberlauf.

Plötzlich geistern auf der Seite allerlei Wörter, Zahlen oder unverständliche Buchstabenfolgen. Der Grund für diesen Zeichensalat: Der Schöpfer des Btx-Programms hat offenbar vergessen, für die "Müllabfuhr" zu sorgen, nämlich dafür, daß überschüssiger Text vom Programm ignoriert oder irgendwie beiseite geschafft wird. Darum schieben die zuviel getippten Zeichen Teile aus dem Programmschreiber ins Bild; und die sind, wie die Hamburger Hacker herausfanden, manchmal verräterisch. Sie können ausgerechnet das Geheimnis preisgeben, daß ein Btx-Teilnehmer strengstens zu hüten hat, seine Kennung. Dieses Paßwort ist der Schlüssel für den Zugang zum System. Damit kann zwar noch niemand ein fremdes Bankkonto plündern, aber doch eine Menge Unfug stiften. Waren können bestellt, Urlaubsreisen gebucht, Zeitschriften abonniert werden. Für den dabei entstandenen Schaden haftet laut Vertrag der rechtmäßige Besitzer des Sicherheitscodes.

Steffen Wernéry und seine Genossen brachten – der Club ist eingetragener Anbieter – Btx-Seiten in Massen zum Überlauf und studierten dann die Geisterzeichen auf dem Bildschirm. Darunter entdeckten sie das Paßwort "usd 70 000" der Hamburger Sparkasse (Haspa). Damit ließ sich veranstalten, was die Chaoten lange geplant hatten, eine eindrucksvolle Demonstration der Unzulänglichkeit des Bildschirmtextes. Sie richteten eine "Spendenseite" ein. Anbieter dürfen für den Abruf ihrer Seiten eine Art Schutzgebühr oder Spende verlangen, die jedoch nicht höher als 9,99 Mark sein darf. Wer eine solche Seite aufruft, dessen Konto wird automatisch mit der Gebühr belastet. Mit dem Sparkassen-Paßwort riefen die Hacker jetzt ihre eigene kostenpflichtige Seite ab – und 9,97 Mark waren verdient.