07.01.2010 · Um es Maschinen nicht zu leicht zu machen, müssen wir sprechen wie Maschinen. Im Internet geben sich viele zu menschlich. Profis knacken den Code und sind schnell, wo sie nicht hinsollen.
Von Oliver Jungen
© dpa
Was nach wirren Zahlenkolonnen aussieht, erkennen Computerprofis schnell als schlecht gesichertes W-Lan Netzwerk
Am Ende des ersten digitalen Jahrzehnts stehen wir immer noch am Beginn des digitalen Jahrtausends, sind die Folgen der Internetrevolution für unser Leben noch kaum abschätzbar. Eine Sache aber kann bereits konstatiert werden, nämlich dass mit der Totalisierung der Öffentlichkeit – ein wahrer Strukturwandel – auch die Bedeutung des Verhüllens sprunghaft zunahm. So kam es zu einer erstaunlichen Renaissance der Geheimschrift. Wer verfasste vor zwei Jahrzehnten schon seine Postkarten nach kryptographischer Methode? Heute ist die Verschlüsselung jeder noch so nebensächlichen Botschaft selbstverständlich, die Aufholjagd der Dekrypter aber ebenfalls, vielleicht mit jener Goethe-Pointe: „Geheimer Chiffern Sendung / Beschäftige die Welt, / Bis endlich jede Wendung / Sich selbst ins gleiche stellt.“ Ginge es hier nur um die automatische Codierung und Decodierung zwischen Sender und Empfänger, könnte man das Problem getrost – oder auch ungetröstet – der Technik überlassen.
Doch damit hat es keineswegs sein Bewenden. Vielmehr hat uns das Internetzeitalter, ob wir wollen oder nicht, zu Geheimniskrämern gemacht. Passwörter verlangt es von uns in exponentiell wachsender Anzahl, Wörter, die ihrem ursprünglichen Sinn, dem der Mitteilung, ganz zuwiderlaufen, die wir mit niemandem außer der jeweils zuständigen Maschine teilen dürfen. Nicht nur Zunahme von Online-Diensten, auch die Warnung, auf keinen Fall dasselbe Passwort mehrfach oder gar ausschließlich zu verwenden (was dennoch ein Viertel der Internetnutzer naiverweise tut, wie jüngst eine Studie des Sicherheitssoftware-Herstellers Avira ergab), sondern selbiges vielmehr alle zwei Monate zu wechseln, stellt uns vor die Aufgabe, uns gut und gerne über hundert geheime Wörter im Jahr auszudenken zu müssen, die natürlich erst recht nicht auf Post-it-Zettel notiert und am Monitor befestigt werden dürfen.
Es beginnt schon beim Eintauchen ins Meer des Wahns: Der heute übliche WLAN-Zugang ist durch ein Passwort geschützt. Die Verschlüsselung übernimmt in der Regel der WPA-Algorithmus (Wi-Fi Protected Access), auch wenn hier und da noch der unsichere Vorgänger-Standard WEP (Wired Equivalent Privacy) zu finden ist. Aber auch WPA gilt nicht mehr als sicher, spätestens seit zwei deutsche Informatiker, Erik Tews (TU Darmstadt) und Martin Beck (TU Dresden), vor über einem Jahr eine Methode vorgestellt haben, mit der sich die WPA-Verschlüsselung in einer Viertelstunde teilweise knacken lässt. Japanische Forscher der Universitäten Hiroshima und Kobe haben selbiges jüngst in weniger als einer Minute geschafft. Die Passwörter wurden in beiden Fällen allerdings nicht dechiffriert.
Die Kombination ist 1,2,3,4,5,6
Das übernimmt jedoch nun ein neuer Internet-Dienst namens „WPA Cracker“, der dem Hacker Moxie Marlinspike gehört: Sollte man sein Passwort „vergessen“ haben, so bricht der Service, dem man mit wenigen Klicks ein Übertragungsprotokoll zur Verfügung stellt, gegen eine Gebühr von vierunddreißig Dollar in die Verschlüsselung ein und liefert – fast immer erfolgreich – innerhalb von zwanzig Minuten das zugehörige Passwort. Dafür greift der Anbieter auf eine „Wolke“ aus vierhundert leistungsstarken Computern zu, mit deren kombinierter Rechenleistung in Windeseile 135 Millionen empirisch optimierte Buchstabenfolgen durchprobiert werden. Neuerdings bietet „WPA Cracker“ auch die Suche nach deutschen Passwörtern an. Auf den Nachweis, dass es sich um das eigene Netzwerk handelt, dessen Zugang mit dieser „Sicherheitsüberprüfung“ freigeschaufelt wird, verzichtet Marlinspike großzügig. Auch er kann sich wohl mit Goethe identifizieren, der uns in „Geheimschrift“ freilich nur den Zugang zum Herzen verriet: „Was ich euch offenbaret, / War längst ein frommer Brauch, / Und wenn ihr es gewahret, / So schweigt und nutzt es auch.“
Möglich ist die flinke Entschlüsselung aber nur, weil es für viele Nutzer nicht leicht zu sein scheint, von der alten grammatischen Vorliebe für verbreitete und verständliche Worte auf das Erfordernis maximaler Unvorhersehbarkeit umzuschalten. Microsoft hat vor wenigen Tagen einen digitalen Honigtopf aufgestellt: Mit einem „Honeypot“ ist ein Server gemeint, der gezielt Hacker anlocken soll, um deren Methoden analysieren zu können. Und die Cyberkriminellen kamen in großer Zahl – fast immer getarnt, nämlich von befallenen Windows-Rechnern, auf die sich Trojaner geschlichen hatten – und versuchten, in den Administrator-Account einzubrechen, meist in Form von „Wörterbuch-Angriffen“, dem erwähnten Durchprobieren beliebter Passwörter. Die am häufigsten verwendete Sesam-öffne-dich-Formel war „password“, gefolgt von „123456“, „#!comment:“, „changeme“ und „Fuckyou“. Aus dem Nichts dürften die Hacker die plumpen Chiffren nicht haben. Es muss genug Surfer geben, die sich auf derart simple Passwörter verlassen.
Einblick ins Innerste
Dass dem tatsächlich so ist, dass es eine verbreitete Scheu vor Sonderzeichen gibt – man also auch mit Maschinen in ordentlicher Grammatik kommunizieren will –, zeigt eine im Netz aufgetauchte Liste mit Passwortdaten von Hotmail-Nutzern: „123456“ rangiert auch hier weit oben, daneben diverse Vornamen. Beim beliebten Twitter-Dienst gelten dreihundertsiebzig Passwörter als so verbreitet, dass sie von vornherein ausgeschlossen sind. Der Quellcode der Seite verrät, um welche es sich handelt, ein tiefenpsychologischer Blick ins mentale Universum unserer digitalen Eingeborenen: gängige Vornamen von „angela“ bis „xavier“, alltägliche Dinge („hammer“, „rainbow“, „marlboro“), Selbstkoseformeln („badboy“, „superman“, „theman“, „butthead“) und Sehnsüchte („iwantyou“, „iloveyou“, „biteme“, „sexsex“).
Das ist so sympathisch diesseitig wie gefährlich. Wer unsere Passwörter kennt, verfügt über unsere Identität, mehr und mehr auch über unsere Seele. Nicht nur einkaufen kann dieser dunkle Jemand, der uns allen auf den Fersen ist, in unserem Namen, sondern auch das gesamte Konto umschichten, Schulden machen, uns aus unserem Mail-Account aussperren und in Ruhe unseren Job kündigen, die Beziehung beenden oder gleich Al Qaida kontaktieren.
Hacker können uns töten
Am schlimmsten aber vielleicht: Der Passwort-Hacker kann uns virtuell töten. Das mag man vielleicht zugleich als Erlösung ansehen, aber dann doch bitte selbstbestimmt, schon um des Lerneffekts willen. Diesen letzten Dienst bietet seit wenigen Tagen die „Web 2.0 Suicide Machine“ an, hinter der das niederländische Medienkunstlabor moddr steckt: Hier darf man selbst Login und Passwort zu seinen Profilen in Sozialnetzwerken wie MySpace, Twitter, LinkedIn, Youtube oder Facebook preisgeben. Die Maschine loggt sich in das entsprechende Netzwerk ein, ändert das Passwort, ohne es dem Nutzer mitzuteilen, löscht nach und nach alle Daten, wirft die Freunde heraus, meldet sich bei allen Gruppen ab und hinterlässt einen leeren „Zombieaccount“.
Im zugehörigen Werbevideo ist ein digitaler Selbstmörder zu sehen: „Ich war einmal genau wie ihr“, sagt er, „ständig online, ständig chattend.“ Aber er habe etwas vermisst, seine Frau, seine Kinder, sein Leben. All die E-Mails von Menschen, die man meist nicht einmal kenne, machten das Leben nicht besser, im Gegenteil: „Sie machen dich vor allem immer dümmer.“ Aber das ist eine andere Geschichte.
