Chaos Communication Congress: Wenn die Festplatte schläft

Computer Hackers Meet For Annual Congress

Von wegen Selbsthilfegruppe: Die Teilnehmer des 29. Chaos Communication Congress nahmen fast alles mit Humor.

Hacker lachen gerne und viel. Das ist das eine Merkmal. Das andere, an dem man sie erkennt, ist ihre traditionstreue Terminplanung. Jedes Jahr lädt der Chaos Computer Club (CCC) in den ruhigen Tagen nach Weihnachten zum Congress, in diesem Jahr aus Platzgründen erstmals wieder in Hamburg. Die Befürchtungen waren groß aber grundlos: In der Hansestadt kann man sich ein ebenso gemütliches Nest bauen wie in der Hauptstadt. Die Hacker fühlten sich sofort zuhause.

Die Rahmenbedingungen des 29. Chaos Communication Congress stimmten also, doch die Gründe des Amüsements in diesem Soziotop sind andere. In sogenannten „Lightning Talks“ beispielsweise, stellten sich Hacker gegenseitig ihre Projekte aus den privaten Hobbykellern vor. Jeder bekam fünf Minuten Redezeit, auf jede Rede folgte unmittelbar die nächste, stundenlang. Zuhörer konnten dabei den Faden verlieren. Da Überforderung hier aber zum üblichen Umgang mit Technologie gehört, geradezu den Nervenkitzel ausmacht, und es mehr oder minder nur um Spielereien ging, wurde in den kleinen Runden viel gelacht. Hacker machen absurde Dinge, freuen sich darüber und ab und zu stellt jemand eine ernste Frage zwecks Nachahmung.

Ein Code, der alle Türen öffnet

Gelacht wurde beim „29C3“ aber auch aus genau dem entgegengesetzten Grund, wenn sich nämlich Tausende von Teilnehmern in einem Raum versammelten, was in Hamburg möglich ist, um gemeinschaftlich einer Rede zu folgen, die sie nicht überforderte, sondern die sie sofort verstanden, über die gesprochenen Worte hinaus. Das passierte beispielsweise, als der Bochumer Informatiker Timo Kasper erzählte, dass jede Keycard, mit der seine Studenten unter anderem ihr Mensaessen und ihre Kopien in der Universität bezahlen oder Türen für Labore öffnen, denselben geheimen Zahlenschlüssel vom Hersteller bekam, der sich zudem als gar nicht so geheim herausstellte.

Die Karten ließen sich manipulieren. Kasper probierte es an seiner zuerst aus, lud sie per Tastendruck mit Geld auf, ging einkaufen und ließ sich die Kassenzettel geben, um die Sicherheitslücke zu dokumentieren. Kasper gehört sozusagen zu den guten, forschenden Hackern. Er hielt einen der lustigsten Vorträge in den vier Tagen, der nebenbei die Zugangs- und Abrechnungssysteme von Universitäten und Tausenden von Unternehmen in Deutschland infrage stellte.

Wer fragt schon nach dem Passwort?

Gleiches galt für die Erörterung einer ganz anderen Frage. Ist eine hardwareverschlüsselte Festplatte eigentlich besser geschützt, als eine mittels Software verschlüsselte? Es wäre im Grunde so, wenn zehn von elf Festplatten verschiedener Hersteller, die der Erlanger Informatiker Tilo Müller untersucht hat, die Frage nach dem Passwort auch tatsächlich stellen würden. Nur eine tat es. Die Daten der anderen waren einfach auslesbar, nachdem Müller sie aus dem Standby-Modus geholt hatte. Die Festplatten hatten gar nicht mitbekommen, dass er sie während ihres Ruhezustands in einen neuen Computer einbaute. Auch hierbei wurde viel gelacht. Müller sind die Entschlüsselungstricks stets so schnell gelungen, dass er in seinem halbstündigen Vortrag ein halbes Dutzend Vorführvideos unterbringen konnte. Jeder Clip ein Lacher.

Nun könnte man sagen, der Chaos Computer Club unterrichtete potentielle Kriminelle darin, sich Zugang zu eigentlich verschlossenen Gebäuden zu verschaffen, um dort eigentlich verschlüsselte Daten zu stehlen. Passender ist aber die andere Lesart: Der Congress ist eine Selbsthilfegruppe mit erweitertem Anspruch, die sich jedermanns Probleme annimmt. Das galt nicht zuletzt bei dem Thema, das in dem Versuch, die absurde Wirklichkeit verständlich zu machen, selbst den Humor an Grenzen führte.

Lücken des Rechts

Vor mehr als einem Jahr veröffentlichte der Chaos Computer Club seine Analysen des „Staatstrojaners“. Man hätte sich, sagte Constanze Kurz, als sie die Hacker über den aktuellen Sachstand informierte, damals eigentlich einen anderen Namen überlegen müssen. Der Staat habe mit der Überwachungstechnologie nämlich gar nicht viel zu tun. Stattdessen seien private Unternehmen wie Digitask damit beschäftigt, im Geheimen eine Software zu entwickeln, mit denen sich Bürger online, also aus der Ferne, überwachen lassen, ohne dass auch nur ein Bundestagsabgeordneter die Technologie jemals zu sehen bekam. Digitask räumte die Möglichkeiten inzwischen dafür ein: Mandats- und Amtsträger könnten nach der Bezahlung eines vierstelligen Tagessatzes und der Abgabe einer Verschwiegenheitserklärung in den Räumlichkeiten des Unternehmens einen Blick auf den Quellcode der Software werfen. Dürfte der Bundesdatenschutzbeauftragte überhaupt unter solchen Bedingungen arbeiten? Eher nicht befand der Berliner Richter Ulf Buermeyer.

Es fehle überhaupt für alles an einer Rechtsgrundlage. Es sei, so Buermeyer, derzeit weder geregelt, unter welchen Bedingungen die Überwachungssoftware hergestellt werden dürfe, wie sie einzusetzen ist und wie mit den durch sie ermittelten Daten umzugehen sei. Es wisse auch niemand genau, wie oft die Software eingesetzt wird. Bekannt sei, dass die Polizeibehörden selbst durcheinander kommen und Methoden der Gefahrenabwehr auch zur Strafverfolgung einsetzen, dass sie nicht in der Lage sind, erfasste Daten, die den privaten Kernbereich der Überwachten offenbaren, „punktuell zu löschen“ oder dass ungeklärt ist, ob sich die Polizei im Einsatz an Rechtstexte oder Entscheidungen von Ermittlungsrichtern zu halten habe. Derzeit, so Ulf Buermeyer, gilt „das Worst-Case-Szenario, weil niemand weiß, was tatsächlich passiert und nichts hinreichend geregelt ist“.

Chaos Communication Congress Wenn die Festplatte schläft

Ein Code, der alle Türen öffnet

Wer fragt schon nach dem Passwort?

Lücken des Rechts