Angst vor den Bitnappern – Seite 1

Von Gunhild Lütge

Zum Jahreswechsel ging der programmierte Wunsch von Ernst Schott in Erfüllung: Gurugs – ein Computerprogramm, mit dem die studierenden Offiziere der Bundeswehrhochschule in München jahrelang gearbeitet hatten – funktionierte nicht mehr. Der Mitarbeiter des Hochschulrechenzentrums und Schöpfer von Gurugs legte die Software lahm, weil er sich über die Hochschulleitung geärgert hatte. Nur ihm war der Zugriff auf das eingebaute Verfallsdatum und dessen Verlängerung möglich. Die Auseinandersetzung wurde ein Fall für die Staatsanwälte und Richter; die Betroffenen hüllen sich derzeit in Schweigen.

Schweigen, so meinen manche Computerexperten sei auch die angemessene Reaktion auf das, was die noch junge Fachzeitschrift KES jüngst aufgriff: Sie berichtete von US-Untersuchungen über sogenannte Computerviren. Der Name kommt nicht von ungefähr. Eine ganz spezielle Art von Computer-Software wirkt nämlich wie eine Seuche für EDV-Systeme – ein Alptraum für Hersteller und Nutzer, die immer mehr Geld für die Sicherung ihrer Systeme ausgeben müssen.

KES-Chefredakteur Peter Hohl kommt sich vor wie einer, "der vor zehn Jahren vor dem Waldsterben gewarnt hat". Und der Autor des Beitrages, Rüdiger Dierstein von der Deutschen Forschungs- und Versuchsanstalt für Luft- und Raumfahrt (DFVLR), scheint in seiner Rolle als Mahner auf dem besten Weg zu sein, sich zum Hackethal der Informationstechnik zu entwickeln. Zu jenen, die auch lieber die Flucht nach vorn antreten, gehört außerdem Hans Gliss, Mitarbeiter der SCS Scientific Control Systems GmbH, ein führendes Software-Beratungsunternehmen: "Erst wenn ich weiß, wo Termiten sind, baue ich dort keine Holzhäuser mehr." Die Konsequenzen sind derzeit noch unüberschaubar.

Dierstein und Hohl waren nur die Überbringer der spektakulären Botschaft. Grundlage ihrer Veröffentlichung sind die Experimente und Arbeiten des jungen Amerikaners Fred Cohen. Acht Stunden brauchte er, so berichtet Dierstein, um ein Programm mit todbringenden Eigenschaften für ein ganzes Computersystem zu konzipieren. An der richtigen Stelle eingepflanzt, breiten sich die heimtückischen Computerbefehle wie eine Seuche aus, infizieren nach und nach alle Programme, mit denen ein Rechner arbeitet; der Verfallprozeß kann in der völligen Zerstörung enden.

Informatikern ist diese spezielle Art von Software schon lange bekannt – allerdings mit hilfreichen Funktionen. Sie nutzen das Prinzip beispielsweise zur Komprimierung von Texten, um Speicherplatz zu sparen. Daß Chefs von großen Rechenzentren hierzulande dennoch sehr zurückhaltend reagieren, wenn das Thema zur Sprache kommt, hat wohl mit der "Angst vor dem Ungewissen" zu tun, meint Peter Stürmann von der Unternehmens- und Sicherungsberatung Rainer, von zur Mühlen. Und Werner Schmid von der Softwaretest e. V. – ein Verein, der sich mit der Prüfung von Software befaßt – erklärt die scheinbare Gelassenheit damit, "daß die EDV-Chefs daran gewöhnt sind, auf einem Pulverfaß zu sitzen."

Derzeit werden rund zehn Milliarden Mark jährlich für die weiche Ware ausgegeben. Sie steuert ganze Fabrikanlagen, internationale Bankgeschäfte, ist bei der Abwicklung des Luftverkehrs nicht mehr wegzudenken und steckt nicht zuletzt in jedem Militärcomputer. Mit welchem Risiko die Verantwortlichen schon von je her zu leben haben, zeigt die 1979 von den USA gestartete Venus-Sonde, die ihr Ziel nie erreichte, weil in ihrem Kurskorrektur-Programm ein Komma mit einem Punkt verwechselt wurde. Eine Milliarde Mark war ins Jenseits entschwunden.

Angst vor den Bitnappern – Seite 2

Zur generellen Sensibilität und Zurückhaltung beim Thema Datensicherheit geben aber auch die sogenannten Hacker Anlaß, die sich – meist intellektuell herausgefordert – als Datenpiraten auf elektronische Wegelagerei spezialisieren. Per Telephonleitung treiben sie ihr Unwesen in fremden Rechnern und beschränken sich in der Regel auf Späße wie diesen: "Bitte, gib mir ein Plätzchen!" erschien eines Morgens auf der Mattscheibe eines Terminals. Gleichzeitig stellte das System seine Arbeit ein. Erst als der Mitarbeiter auf die Idee kam, "hier ist ein Plätzchen" einzutippen, lief das Programm wieder an. Der Unfug war nicht zu beseitigen, ohne die gesamte Software zu zerstören. Auch wenn die Grenze zwischen Phantasie und Realität bei der Überlieferung solcher Fälle aus den USA ab und an fließend verläuft, zweifelt kaum ein Informatiker an ihrer Möglichkeit.

Ein normales Unternehmen kann nach dem Ausfall seines Rechenzentrums etwa zwei bis fünf Tage überleben, schätzen Sicherheitsberater. Sie beklagen zugleich, daß die meisten Unternehmen für den Katastrophenfall viel zu schlecht gerüstet seien. Ihre potentiellen Kunden wittern hinter derlei Mahnungen manchmal eher Interessen an dem Geschäft mit der Sicherheit: "Mit der Angst vor der Katastrophe läßt sich viel Geld verdienen", gibt Stefan von Ungern-Sternberg von der Datev eG – dem größten Rechenzentrum für Steuerberater – zu bedenken.

Die Möglichkeiten, von außen in die Innereien eines Rechners einzudringen, der nicht – wie öffentlich zugängliche Informations-Datenbanken mit benutzerfreundlichen Zugriffsverfahren ausgestattet ist, sind in der Tat relativ gering, vorausgesetzt, alle Mitarbeiter halten sich an die Sicherheitsbestimmungen. Die größte Gefahr, darin sind sich die Experten einig, droht deshalb von jenen Insidern, die Systemkenntnisse und direkten Zugang zum Kern der Computer haben, also von den eigenen Systemspezialisten. Damit stehen Unternehmensleitungen vor einem großen Problem: Sie sind abhängig geworden von einigen wenigen Mitarbeitern, deren Know-how sie selbst nicht beherrschen.

Die Hermes Kreditversicherungs-AG fand durch eine Umfrage über Computer-Mißbrauch bei 1300 Unternehmen heraus, daß achtzig Prozent aller gemeldeten Schäden durch den Innendienst verursacht waren. Die gesamte Schadensumme pro Jahr geht mittlerweile in die Milliarden. Doch genaues weiß niemand, weil viele Delikte unentdeckt bleiben oder aus Sorge um das eigene Image und der Angst vor Nachahmung unter den Teppich gekehrt werden. Denn im Umgang mit Computergaunern, die ihre Spezialkenntnisse zur eigenen Bereicherung nutzen, zeigt sich die Unternehmensleitung in der Regel großzügig. Schon allein aus Angst vor dem Spott der Konkurrenz neigt sie dazu, "den Mitarbeiter auf eigenen Wunsch kündigen zu lassen und ihm auch noch ein gutes Zeugnis auszustellen", so berichtet das Fachblatt Computerwoche über die Ergebnisse einer Untersuchung der amerikanischen Universität Cincinnati.

Verführen lassen sich allerdings nicht nur Mitarbeiter des Rechenzentrums, sondern manchmal

  • Fortsetzung nächste Seite