 |
|
„Phone Phreaking“ ist ein Beispiel für das Eindringen in Netze, in diesem Fall das Telefonnetz der USA.
In der Zeit von ca. 1965-1975 benutzte AT&T, die damals noch das absolute Monopol über den Telefonbetrieb in den USA hatte, ein akustisches Signal, um das Ende eines Telefonats und damit das Stoppen des Einheitenzählers zu signalisieren. Dieses Signal wurde gesendet, sobald mindestens ein Gesprächsteilnehmer den Hörer auflegte. Das Signal an sich wurde lediglich dazu benutzt, um den Einheitenzähler zu stoppen - die Verbindung hingegen wurde nicht dadurch unterbrochen. Im Normalfall war dies auch nicht kritisch, da das Signal ja nur bei dem Auflegen eines der beiden Gesprächsteilnehmer erzeugt wurde, und somit die Verbindung ohnehin getrennt war.
Nachdem nun einige Personen herausgefunden hatten, dass AT&T eben ein solches Signal sendete, um den Kostenzähler zu stoppen, wurden zahlreiche Versuche unternommen, dieses Signal zu bestimmen und nachzuahmen. Hierbei tat sich besonders ein Hobby-Elektroniker namens John Draper hervor, der mit Hilfe elektrotechnischer Hilfsmittel bestimmen konnte, dass es sich dabei um ein Signal mit der Frequenz 2600 Hertz handelte. Dieses Wissen konnte man offensichtlich einsetzen, um sich eine hohe Telefonrechnung zu sparen: Wenn man dieses spezielle Signal erzeugen konnte, ohne dass einer der beiden Gesprächsteilnehmer den Hörer auflegte, konnte man weitertelefonieren (da ja die Verbindung nicht unterbrochen wurde), ohne dafür weitere Einheiten angerechnet zu bekommen.
Es stellte sich nun heraus, dass dieses Signal von einer Kinderpfeife erzeugt werden konnte, wie sie der Cornflakespackung „Capt'n Crunch“ beilag. John Draper nahm als Schutz den Namen „Capt'n Crunch“ an und telefonierte eifrig im Land umher, wobei er dank der Pfeife enorme Telefongebühren sparen konnte: Nachdem sich der Gesprächspartner meldete, blies er einfach in die Pfeife und stoppte damit den Gebührenzähler; anschließend konnte er so lange weitertelefonieren, wie er wollte, ohne einen einzigen zusätzlichen Cent mehr zahlen zu müssen.
Natürlich behielt er diese Erkenntnis nicht für sich, so dass sich schließlich eine eigene Subkultur der „Phone Phreaks“ bildete, die ihrem Anführer nacheiferten. AT&T bliebt dieser Sachverhalt natürlich nicht verborgen, so dass Ermittlungen aufgenommen wurden und schließlich John Draper dingfest gemacht werden konnte. Es reichte indes lediglich zu einer Haftstrafe auf Bewährung sowie einer Geldstrafe.
John Draper alias „Capt'n Crunch“ entwickelte das von ihm gefundene System weiter, indem er die „blue boxes“ baute, die das gewünschte Signal automatisch erzeugten und ihm so die Arbeit abnahmen. Eines der letzten Modelle, das von ihm stammt, war in der Lage, beliebige Telefonnummern anzuwählen und herauszufinden, ob es sich bei dem Anschluss um einen Modemanschluss handelte oder nicht. Zusätzlich wurden alle gefundenen Modemanschlüsse protokolliert, so dass eine Liste von Modemanschlüssen produziert wurde. Hierfür wurde John Draper erneut verhaftet, doch diesmal sah das Gericht einen schwerwiegenderen Tatbestand und verurteilte ihn zu einer Haft von einem Jahr ohne Bewährung.
Kurz darauf stellte auch AT&T endlich sein Schaltsystem um, so dass nun bei Senden des Signals auch tatsächlich die Verbindung unterbrochen wurde, womit den Phone Phreaks zunächst ein Riegel vorgeschoben war.
Interessanterweise ist „Capt'n Crunch“ inzwischen als Präsident einer Software-Firma im Silicon Valley tätig.
Wie ist nun das „Phone Phreaking“ zu bewerten? Es stellt ein Eindringen in andere Netze dar, so dass es eigentlich sogar unter den engeren Begriff des Hackens fällt, wie wir ihn hier betrachten. Andererseits möchten wir unsere Betrachtung hier aber aufgrund der größeren Bedeutung auf das Hacken mit Computern begrenzen, so dass auf das „Phone Phreaking“ in den nachfolgenden Abschnitten nicht weiter eingegangen wird.
Beim „sportlichen“ Hacken steht der intellektuelle Reiz, ein bestehendes Sicherheitssystem zu durchbrechen oder vorhandene Lücken ausfindig zu machen, deutlich im Vordergrund.
Als Antrieb für die Tätigkeit wird - sofern überhaupt ein Grund angegeben wird - vielfach angegeben, dass man lediglich auf vorhandene Sicherheitsmängel aufmerksam machen möchte, ohne tatsächlichen Schaden anzurichten. Dies äußert sich vielfach darin, dass keine Manipulation oder gar Löschung von vorhandenen Daten stattfindet, sondern lediglich die Präsenz des Hackers erkennbar gemacht wird. Ebenso werden im Regelfall keine Daten gezielt gelesen oder gar kopiert, um sie zu kommerziellen Zwecken weiterzuverwenden.
Ein Beispiel für das „sportliche“ Hacken war eine Aktion des berühmt-berüchtigten „Chaos Computer Clubs“ (CCC) Hamburg, in der Sicherheitslücken des BTX-Systems der (damaligen) Deutschen Bundespost aufgedeckt werden sollten. Im BTX besitzt jeder Anbieter von Seiten eine Geheimnummer, die er zum aktiven Benutzen von kostenpflichtigen BTX-Diensten angeben muss. Ein Mitglied des CCC hatte nun herausgefunden, dass durch einen Fehler im BTX-Programm bei schnellem Seitenwechsel die BTX-Nummer der Hamburger Sparkasse lesbar war. Der CCC richtete nun eine eigene BTX-Seite ein, auf die er die Kosten von DM 9,99 erhob - die maximalen Kosten, die für den Zugriff auf eine einzelne Seite zulässig sind. Anschließend gab sich ein Mitglied des CCC mit Hilfe der gefundenen BTX-Nummer als ein Teilnehmer der Hamburger Sparkasse aus und griff mehrfach auf diese Seite zu, bis laufend Kosten von insgesamt DM 135.000 entstanden waren.
An dieser Stelle wurde die Aktion abgebrochen, da es dem CCC nicht darum ging, sich auf Kosten der Hamburger Sparkasse zu bereichern, sondern die vorhandene Sicherheitslücke im BTX-System aufzudecken. Es wurde daher mit dieser Aktion an die Öffentlichkeit herangetreten, um auf das Problem aufmerksam zu machen und somit die Deutsche Bundespost zu zwingen, den Fehler zu beseitigen.
Der CCC gab ebenfalls aus freien Stücken die DM 135.000 an die Hamburger Sparkasse zurück. Da dieser Vorfall im Jahr 1984 stattfand, also zwei Jahre vor dem Inkrafttreten des 2. Gesetzes zur Bekämpfung der Wirtschaftskriminalität, wäre die Handlung des CCC rechtlich schwer zu erfassen gewesen, da die entsprechenden Gesetze noch fehlten.
Obwohl die Aktion des CCC zweifelsohne nicht als akzeptabel zu bewerten war, zeigt sich doch bereits hier das Problem, inwieweit man sie tatsächlich ethisch-moralisch verurteilen kann. Denn tatsächlich wurde - wenn man von einem möglichen Imageverlust der Hamburger Sparkasse absieht - niemand durch die Aktion geschädigt, sondern eher der Allgemeinheit durch die Beseitigung eines Fehlers im BTX-System geholfen. Andererseits stellt sich die Frage, ob diese Tatsache bereits hinreichend schwer wiegt, um die Aktion als nicht strafbar zu betrachten. Diese Problematik ist typisch für das „sportliche“ Hacken, bei dem im Regelfall kein materieller Schaden eintritt und die Abwägung des immateriellen Schadens, vor allem durch Imageverlust oder Verlust des Vertrauens in die Rechner, mit dem oftmals erzielten Vorteil der Warnung vor kritischen Fehlern bzw. deren rechtzeitige Beseitigung, sich als schwer gestaltet.
Computersabotage betrifft das vorsätzliche Beschädigen oder Vernichten von EDV-Daten oder Hardware, unabhängig davon, ob es sich dabei um Rechner oder Datenträger handelt. Entscheidend ist hierbei, dass die Tat vorsätzlich ausgeführt werden muss. Im Zusammenhang mit Hacken ist vorwiegend die Beschädigung bzw. Löschung von Daten interessant, da die physikalische Beschädigung oder Vernichtung von Hardware zumindest eine tatsächliche persönliche Anwesenheit voraussetzt, die beim Hacken im allgemeinen nicht gegeben ist.
Bei der Computersabotage im Sinne des Löschens oder Veränderns von Daten gibt es zahlreiche Fälle, in denen beispielsweise Firmenangestellte nach einer Kündigung Daten aus Rache löschen beziehungsweise Daten verschwinden lassen, um zu versuchen, für die Wiederherstellung der Daten Gelder vom Betrieb zu erpressen.
Ein besonders negativer Fall hiervon waren die „AIDS-Disketten“ 1989. Hierbei wurden von England aus mehrere Tausend Disketten an medizinische Institute, Banken und andere Wirtschaftsstellen in ganz Europa verschickt, die ein Informationsprogramm über AIDS enthielten. Zusätzlich wurden aber einige Dateien auf der Festplatte verändert sowie die Zuordnung der Dateinamen zu den Dateien abgeändert. Bei Start des Programms wurde eine Information angezeigt, dass man das Programm bei einer Bank in Panama registrieren lassen könne. Dies war die einzige Chance des Benutzers, an die Dateien wieder heranzugelangen - sofern er sich auf dieses Wagnis einlassen wollte, und der Urheber des Programms überhaupt in der Lage war, den Schaden zu beheben.
In diesem Fall wurden also Daten gelöscht beziehungsweise manipuliert; auch die Frage nach dem Vorsatz kann man offensichtlich positiv beantworten.
Eine weitere Spielart der Computersabotage stellen die „Crasher“ dar, die in fremde Rechner lediglich mit dem Ziel eindringen, diese zum Absturz zu bringen, indem u.a. Systemdateien gelöscht werden. Die Motivation der Crasher ist meist entweder Rache - sofern es sich um ehemalige Angestellte des Zielunternehmens handelt - oder aber reine Zerstörungswut.
Wenngleich für das „Crashen“ das Hacken in den fremden Computer eine Grundvoraussetzung ist, würde man den „reinen“ Hackern unrecht tun, wenn man diesen Akt als Hacken im engeren Sinn bezeichnen würde. Ich grenze daher sowohl den Fall der AIDS-Disketten als auch den der „Crasher“ von meinem Begriff des Hackens aus. Man kann sogar konkret den ganzen Bereich der Computersabotage als vom Hacken getrennt betrachten, da zum Tatbestand der Sabotage ein Vorsatz vorliegen muss, der bei „reinen“ Hackern nicht gegeben ist -- auch wenn teilweise unabsichtlich Daten gelöscht oder verfälscht werden.
Bei der Computerspionage wird Hacking benutzt, um in fremde Computer einzudringen und sich dort private, geschäftliche oder militärische Daten anzueignen, die dann kommerziell genutzt werden. Sofern dies vorsätzlich geschieht, also beispielsweise für Daten, die erkennbar gesichert sind, entspricht dies dem Tatbestand der Computerspionage, der analog zum Tatbestand der Spionage zu betrachten ist, wie er außerhalb der Computer verwendet wird.
Üblicherweise werden die privaten Daten dazu benutzt, den Besitzer oder die betroffene Person damit zu erpressen bzw. andere Ziele zu erreichen, wie beispielsweise die Diskreditierung eines Politikers oder Geschäftsmanns. Es handelt sich hier also typischerweise um Erpressung.
Bei geschäftlichen Daten steht im Regelfall weniger die Erpressung oder Rufschädigung des betroffenen Unternehmens im Vordergrund als vielmehr das Ausnutzen von neuen Produktionserkenntnissen, so dass hier meist Industriespionage als Folgeverbrechen auftritt.
Militärische Daten hingegen werden beispielsweise an andere Staaten verkauft bzw. im Auftrag von Geheimdiensten ausgespäht.
Ein bekanntes Beispiel hierfür stellt der „KGB-Hack“ dar. In diesem Fall war ein junger deutscher Hacker von seinem Rechner in Hannover über Rechner der Universität Bremen in das amerikanische Netz eingebrochen. Von dort aus gelang es ihm unter Ausnutzung einiger Sicherheitslücken des Betriebssystems, sowie teilweise unzulänglicher Sicherheitsvorkehrungen, wie die Angabe von Passwörtern in Mails, in weitere Rechner einzudringen, insbesondere in einige Militärrechner. Es gelang ihm nun, sich dort einige militärische Daten zu beschaffen, insbesondere über Raketenbasen, SDI und Luftwaffenstützpunkte.
Obwohl die Aktivität des Hackers einem Verwalter eines Militärrechners auffiel und dieser daraufhin den Zugriff auf den Rechner sperrte, erwies es sich als sehr schwierig, die Aktivitäten des Hackers aufzuspüren. Einem Systemverwalter des Lawrence Berkeley Laboratory (LBL) in Kalifornien gelang es, die Spur des Hackers weit zurückzuverfolgen. Kurios war dabei, wie dieser Verwalter überhaupt erst auf die Anwesenheit eines Hackers stieß: Bei der monatlichen Kostenabrechnung trat ein Differenz von 75 Cent auf. Bei weiterer Verfolgung stellte er nun fest, dass dieser Betrag von einem Konto ausging, dass seit langem nicht benutzt worden war, und dessen Besitzer nicht als Verursacher der Kosten in Frage kam. Offensichtlich musste also eine andere Person unberechtigt das Konto benutzt haben.
Da dieser Fall einer der ersten bekannten Fälle der Computerspionage war, war es sehr schwer für den Systemverwalter, die erforderliche Unterstützung durch die Behörden zu erlangen. Andererseits wäre es zwar relativ leicht gewesen, den Hacker aus dem LBL zu vertreiben, dies hätte aber lediglich dazu geführt, dass er über andere Rechner in die gleichen Militärrechner eingedrungen wäre. Es wurde also entschieden, den Hacker gewähren zu lassen und ihn lediglich von wichtigen Militärgeheimnissen fernzuhalten, um die Spur verfolgen zu können.
Nach mehreren Monaten und der schließlich von höherer Stelle angeordneten Unterstützung durch FBI und CIA gelang es, die Spur des Hackers bis nach Deutschland zurückzuverfolgen, wo der Hacker in seiner Wohnung dingfest gemacht werden konnte. Auch seine Komplizen konnten gefasst werden.
Die Motivation der Hacker war schlicht - sie wollten Geld für die Militärdaten. Es sollte nicht allzu überraschend sein, dass der KGB dies bereitwillig zur Verfügung stellte.
Wie man hier deutlich erkennen kann, erfordert Computerspionage alleine schon definitionsgemäß - das Vorliegen von Vorsatz sowie die erkennbare Sicherung der Daten muss gegeben sein - den Akt des Hackens, um zunächst Zugang an die Daten zu erhalten. Es wäre aber den „reinen“ Hackern gegenüber nicht gerecht und würde zu einer Verwischung des Begriffs führen, wenn man Computerspionage als Hacking bezeichnen würde. Es handelt sich vielmehr um den (Basis-)Akt des Hackens, der dann von dem Tatbestand der (Computer-)Spionage gefolgt wird.
Gemäss meiner eingangs geschilderten Anschauungsweise betrachte ich also die Computerspionage nicht als Hacken, sondern als Folgeverbrechen, das auf dem Hacken als Basis aufsetzt.
Bei Computer-Betrug handelt es sich um die Ausnutzung von EDV-Anlagen zum Zweck der Bereicherung. Statistisch lässt sich dabei belegen, dass Delikte dieser Art meist von Insidern begangen werden; Hacker hingegen sind auf diesem Gebiet selten tätig.
Die oben in Abschnitt beschriebene Aktion des CCC kann zwar auch als Computer-Betrug interpretiert werden, doch dabei war das Tatmotiv eben nicht die Bereicherung. Man kann aber auch hieran schon erkennen, dass die Einteilung von Hackings in die verschiedenen juristischen Sparten teilweise sehr schwierig ist oder überhaupt nicht eindeutig durchgeführt werden kann.
Hierbei wird Software illegal kopiert und eventuell weiterverbreitet. Diese Straftat kann natürlich neben dem einfachen Kopieren der Disketten und CD's auch durch das Eindringen in Computer erfolgen. Im Regelfall tritt aber die Software-Piraterie nach wie vor mittels des Kopierens von CD-ROMs auf, und wird vielfach von durchschnittlichen Computerbesitzern und Jugendlichen ausgeführt.
<>Auch hier gilt wieder: Das reine Hacken kann zwar als Basis für die Software-Piraterie genutzt werden, ist aber mir ihr nicht gleichzusetzen.Zeitdiebstahl ist das unberechtige Verwenden von fremden Maschinen oder Software. Der Begriff rührt daher, dass vielfach der Gebrauch der Computer bezahlt werden muss bzw. abgerechnet wird, und dabei als Maß die verbrauchte Rechenzeit herangezogen wird. Offensichtlich benutzt ein Hacker automatisch die Rechenzeit der Maschine, in die er (unberechtigt) eindringt.
Allerding stellt Zeitdiebstahl keinen Diebstahl nach § 242 StGB dar, da keine beweglichen Sachen entwendet werden. Es kann also höchstens § 266 StGB (Untreue) Anwendung finden. Dazu muss aber ein Pflichtverhältnis zwischen dem Besitzer der Hard- bzw. Software und dem Nutzer bestehen, sowie die Nutzung vorsätzlich mit dem Ziel, das Vermögen des Besitzer zu schädigen, erfolgen.
Dies wird im Einzelfall einem Hacker nicht nachgewiesen werden können, da einerseits meist kein Pflichtverhältnis bestehen wird, und, wo dies doch der Fall ist, eine vorsätzliche Schädigung vermutlich nicht beweisbar sein wird.