C3D2 – Der Chaos Computer Club Dresden
C3D2 – Der Chaos Computer Club Dresden
Interview mit dem Dresdner CCC
Bereits im Jahr 1981 haben sich am Tisch der »Kommune I« der Tageszeitung »taz« die selbsternannten »Komputerfrieks« zum Chaos Computer Club formiert. Später sind diese Treffen in Hamburg weitergeführt worden. 1986 folgte die Vereinsgründung. Heute ist der CCC e.V. die größte Vereinigung zum Hacken Europas. Inzwischen gibt es in zahlreichen deutschen Städten dezentrale Organisationen, die sogenannten Erfas, des Hamburger Mutterschiffs – seit 2005 ganz offiziell auch in Dresden. Im September letzten Jahres ist der C3D2 in das Zentralwerk auf die Riesaer Straße 32 umgezogen. Ich traf mich mit Nek0 und Wolf, zwei Mitgliedern des CCC Dresden, in den neuen Räumlichkeiten.
 |
| Alle Bilder stammen aus dem Archiv des C3D2. |
Wie ist der CCC in Dresden strukturiert?
Es gibt dieses – sagen wir einmal – Projekt »Chaos Computer Club Dresden«, kurz »C3D2«. Dabei handelt es sich um eine Gruppe Menschen, die sich zugehörig fühlen, aber nicht notwendigerweise Vereinsmitglieder sind, nicht einmal im CCC e.V. Getragen wird dieses Projekt durch den »Netzbiotop Dresden e.V.« Das Konstrukt Verein hilft uns insbesondere Veranstaltungen und die Anmietung von Räumen zu organisieren. Zum Dunstkreis des »C3D2« zählen neben zahlreichen Unterstützern etwa 42 Menschen zum festen Kern. Etwa 23 davon sind wirklich regelmäßig vor Ort, aber darüber hinaus gibt es noch mehr Leute, die nur zeitweise oder unregelmäßig dabei sind.
Was macht eigentlich der C3D2?
Wir sind ein sogenannter Erfa, also Erfahrungsaustauschkreis. Generell beschäftigen wir uns neben eigenen Hobbies aktiv mit aktuellen Themen der Informationstechnologie. Menschen können zu uns kommen, wenn sie Fragen haben. Wir zeigen gerne Dinge, lernen voneinander und versuchen es entsprechend zu konservieren. Wir hatten auch heute schon wieder Anfragen wie: »Hilfe, mein Computer geht nicht mehr!« Das kommt auch häufiger vor. Und wir helfen gerne, sofern es in unseren Möglichkeiten liegt. Und wenn nicht, dann helfen wir auch gerne dabei, einen kommerziellen Support zu finden, den man dafür bezahlen kann, dass er dein Windows neu installiert. Wir aber beschränken uns bei Betriebssystemen meistens auf GNU/Linux und andere UNIX-artige Systeme, die alle freie Software sind. Das Grundprinzip heißt »Hilfe zur Selbsthilfe!« Damit ist gemeint, dass wir uns nicht als Service-Stelle verstehen. Zudem wollen wir uns dafür einsetzen, dass die Leute in erster Linie auf Freie Software zurückgreifen und damit selbstständig Probleme lösen können. Wenn jemand mit proprietären Systemen zu uns kommt, dann sind sie möglicherweise nicht sehr glücklich mit den Antworten. Andererseits helfen wir natürlich gerne bei der Suche nach freien Alternativen. Das Pentaradio ist eine monatliche Radio-Sendung über das Dresdner coloRadio. Und bei Themenabenden werden Vorträge zu vielfältigen Themen gehalten. Die Aufzeichnungen werden jeweils auf der Website angeboten. Beispielsweise Chaos macht Schule ist eine Initiative, wobei wir unterstützen, dass Technikverständnis bei Jugendlichen zeitgemäßer auszuprägen.
Was würdet ihr sagen, welche Unterschiede es seit den Gründerzeiten des CCC in den 80er Jahren und heute gibt?
Heutzutage benutzt beinahe jeder täglich, bewusst oder unbewusst, moderne Informationstechnologie. Damals war da nur sehr schwer ran zu kommen. Heute hat jedes Kleinkind schon ein Handy oder ein Tablet zum Spielen oder irgendwelche elektronischen Spielzeuge, in die vom Synthesizer bis zum Spielcomputer alles mögliche eingebaut ist. Bei der Arbeit des CCC geht es heutzutage daher nicht nur darum, die technischen Grundlagen zu erklären, sondern zunehmend um Aufklärungsarbeit. Es geht darum, begreiflich zu machen, welche technischen Möglichkeiten überhaupt existieren und wie diese sowohl für als auch gegen die Nutzer angewendet werden. Immer wichtiger wird damit die politische Komponente unserer Arbeit. Eine ehemalige Studentin aus Dresden unterstützt jetzt »netzpolitik.org«, ein Blog, das sich ja unter anderem mit Freiheitsrechten, staatlicher Überwachung und der freien Wissensgesellschaft beschäftigt. Ob Auto, Medienkonsum oder die Wohnung – kaum ein Lebensbereich bleibt von »der IT« heute noch verschont.
Gibt es eigentlich noch so etwas wie medienwirksam angelegte Hacks?
Also grundsätzlich ist bei uns niemand mediengeil und ich weiß von keinem medienwirksamen großen Fall aus Dresden. Falls jemand etwas findet, dann wird es in der Regel an die Betroffenen geschickt – zum Beispiel das kleine, mittelständische Unternehmen in Dresden. Viele sind dann dafür auch dankbar, nehmen das an und beheben die Fehler, gegebenenfalls mit Hilfe. Aber wenn beispielsweise die Deutsche Telekom mit De-Mail eine Werbeaktion in einem Dresdner Einkaufzentrum startet, dann kann es vorkommen, dass Aktive in der Fußgängerzone auftauchen und die Menschen darüber aufklären – am besten gleich neben der Telekom – was sie sich denn da gerade für einen Vertrag abholen wollten.
Ein anderes Beispiel wäre der WiFi-Hack bei der Deutschen Bahn. Bei der DB wurden WLAN-Installationen in den Zügen gemacht, die zu diesem Zeitpunkt noch nicht besonders sicher waren. Da gab es Leute, die auf dem Gebiet sehr genau wissen, was sie tun, die haben das dann verdeutlichen müssen bevor wirklich etwas Schlimmes damit angestellt wird. Das musste natürlich Aufmerksamkeit erfahren, denn bei der DB – das weiß man vielleicht als regelmäßiger Fahrgast – wird nicht sehr schnell auf E-Mails reagiert, sondern da wird eine gewisse Eskalationsschwelle benötigt, bevor sich die Mitarbeiter bemüßigt sehen.
Wir sind ein sogenannter Erfa, also Erfahrungsaustauschkreis. Generell beschäftigen wir uns neben eigenen Hobbies aktiv mit aktuellen Themen der Informationstechnologie. Menschen können zu uns kommen, wenn sie Fragen haben. Wir zeigen gerne Dinge, lernen voneinander und versuchen es entsprechend zu konservieren. Wir hatten auch heute schon wieder Anfragen wie: »Hilfe, mein Computer geht nicht mehr!« Das kommt auch häufiger vor. Und wir helfen gerne, sofern es in unseren Möglichkeiten liegt. Und wenn nicht, dann helfen wir auch gerne dabei, einen kommerziellen Support zu finden, den man dafür bezahlen kann, dass er dein Windows neu installiert. Wir aber beschränken uns bei Betriebssystemen meistens auf GNU/Linux und andere UNIX-artige Systeme, die alle freie Software sind. Das Grundprinzip heißt »Hilfe zur Selbsthilfe!« Damit ist gemeint, dass wir uns nicht als Service-Stelle verstehen. Zudem wollen wir uns dafür einsetzen, dass die Leute in erster Linie auf Freie Software zurückgreifen und damit selbstständig Probleme lösen können. Wenn jemand mit proprietären Systemen zu uns kommt, dann sind sie möglicherweise nicht sehr glücklich mit den Antworten. Andererseits helfen wir natürlich gerne bei der Suche nach freien Alternativen. Das Pentaradio ist eine monatliche Radio-Sendung über das Dresdner coloRadio. Und bei Themenabenden werden Vorträge zu vielfältigen Themen gehalten. Die Aufzeichnungen werden jeweils auf der Website angeboten. Beispielsweise Chaos macht Schule ist eine Initiative, wobei wir unterstützen, dass Technikverständnis bei Jugendlichen zeitgemäßer auszuprägen.
Was würdet ihr sagen, welche Unterschiede es seit den Gründerzeiten des CCC in den 80er Jahren und heute gibt?
Heutzutage benutzt beinahe jeder täglich, bewusst oder unbewusst, moderne Informationstechnologie. Damals war da nur sehr schwer ran zu kommen. Heute hat jedes Kleinkind schon ein Handy oder ein Tablet zum Spielen oder irgendwelche elektronischen Spielzeuge, in die vom Synthesizer bis zum Spielcomputer alles mögliche eingebaut ist. Bei der Arbeit des CCC geht es heutzutage daher nicht nur darum, die technischen Grundlagen zu erklären, sondern zunehmend um Aufklärungsarbeit. Es geht darum, begreiflich zu machen, welche technischen Möglichkeiten überhaupt existieren und wie diese sowohl für als auch gegen die Nutzer angewendet werden. Immer wichtiger wird damit die politische Komponente unserer Arbeit. Eine ehemalige Studentin aus Dresden unterstützt jetzt »netzpolitik.org«, ein Blog, das sich ja unter anderem mit Freiheitsrechten, staatlicher Überwachung und der freien Wissensgesellschaft beschäftigt. Ob Auto, Medienkonsum oder die Wohnung – kaum ein Lebensbereich bleibt von »der IT« heute noch verschont.
Gibt es eigentlich noch so etwas wie medienwirksam angelegte Hacks?
Also grundsätzlich ist bei uns niemand mediengeil und ich weiß von keinem medienwirksamen großen Fall aus Dresden. Falls jemand etwas findet, dann wird es in der Regel an die Betroffenen geschickt – zum Beispiel das kleine, mittelständische Unternehmen in Dresden. Viele sind dann dafür auch dankbar, nehmen das an und beheben die Fehler, gegebenenfalls mit Hilfe. Aber wenn beispielsweise die Deutsche Telekom mit De-Mail eine Werbeaktion in einem Dresdner Einkaufzentrum startet, dann kann es vorkommen, dass Aktive in der Fußgängerzone auftauchen und die Menschen darüber aufklären – am besten gleich neben der Telekom – was sie sich denn da gerade für einen Vertrag abholen wollten.
Ein anderes Beispiel wäre der WiFi-Hack bei der Deutschen Bahn. Bei der DB wurden WLAN-Installationen in den Zügen gemacht, die zu diesem Zeitpunkt noch nicht besonders sicher waren. Da gab es Leute, die auf dem Gebiet sehr genau wissen, was sie tun, die haben das dann verdeutlichen müssen bevor wirklich etwas Schlimmes damit angestellt wird. Das musste natürlich Aufmerksamkeit erfahren, denn bei der DB – das weiß man vielleicht als regelmäßiger Fahrgast – wird nicht sehr schnell auf E-Mails reagiert, sondern da wird eine gewisse Eskalationsschwelle benötigt, bevor sich die Mitarbeiter bemüßigt sehen.
Habt ihr selber schonmal Unternehmen auf Fehler in ihren Systemen aufmerksam gemacht?
Ja, aber meistens waren das nur Fehler in der Webpräsenz, einer App oder im Webshop. Allerdings haben wir auch den Fall mit den Hochschulen, wo Mailserver nicht so gut laufen, wie man das heutzutage gerne hätte. Ich habe einen privaten Mailserver und habe mitbekommen, dass dieser nicht mit denen der Hochschulen nicht kommunizieren kann, weil die Sicherheitsstandards so weit auseinander klafften, dass die Kommunikation unmöglich wurde. Da waren mehrere aktuelle Verschlüsselungsmethoden nicht vorhanden. Dafür war bei ihren Servern »RC4« noch aktiv, was längst schon nicht mehr benutzt werden sollte. Eine ähnliche Diskrepanz wurde dann auch mal vor drei Jahren auf dem Chaos Communication Congress ausgenutzt. Das betraf andere Universitäten in Deutschland. Identitäten anderer Personen wurden einfach nachgeahmt, weil die Mailserver es nicht prüften, ob der Absender sich mit dem zugehörigen Account eingeloggt hat. So wurden Mails unter anderem Namen versendet und Liebesbekundungen von vorgeblichen Kollegen übermittelt. Ähnliche Mängel sind übrigens in vielen Unis heute noch vorhanden. Das ist ein Grund E-Mail-Verschlüsselung und digitale Signaturen selbst in die Hand zu nehmen. Cryptoparties helfen hier nicht nur Einsteigern.
Sucht ihr gezielt nach Sicherheitslücken?
Wir sind keine Menschen, die sich ständig nur mit Sicherheitslücken auseinandersetzen. Es gibt aber auch eine regionale Gruppen zum Thema Sicherheit, das OWASP – Open Web Application Security Project. Die Teilnehmer geben regelmäßig Vorträge, haben oft auch beruflich damit zu tun und suchen nach Sicherheitslücken, die in Standardprodukten eingesetzt werden. Generell werden Fehler durch eine Mischung aus Neugier, dem spielerischen Umgang mit Technik und Zufall gefunden. Auffälligerweise treten Fehler in neuen Produkten wieder auf obwohl sie vermeidbar wären.
Was stört euch am meisten daran, wie die Leute mit ihren Daten umgehen?
Freizügigkeit ist das, was mich am meisten nervt. Wenn ich beobachte, wie die Leute persönliche Angaben an Facebook oder in Twitter gegeben werden ohne dabei zu bedenken, dass die Sachen im Zweifelsfall für ewig da stehen und öffentlich zugänglich sind. Es stört mich, nicht, wenn die Leute das mit ihren eigenen Daten machen, aber sehr wohl, wenn sie das mit meinen Daten machen oder den Daten von Bekannten, Kollegen, Freunden oder Lebenspartnern.
Das schönste Beispiel ist noch immer WhatsApp oder ähnliche Messenger-Dienste, die einfach ganze Adressbücher an die zentralen Anbieter schicken. Und selbst nach dem Datenaustausch von WhatsApp direkt mit Facebook, wo in den USA gezeigt wurde, wer beim gleichen Psychologen Patient war, sagen Leute trotzdem : »Naja, das ist halt so. Kann ich nichts dagegen machen.« Sie könnten es zwar schon, aber es ist ihnen halt nicht Grund genug Ihre Kommunikationsgewohnheiten zu ändern.
Was noch mehr stören sollte, ist wie Firmen mit unseren Daten umgehen: sie sammeln, sie werten teilweise aus und verkaufen oft ohne Kenntnis der Betroffenen. Da greift auch nicht das Argument »Ich habe nichts zu verbergen«! Da scheitert man ganz einfach an der Realität, denn die Daten würden nicht gesammelt werden, wenn sie nicht nützlich wären. Das Problem ist dann vor allem, dass man teilweise dazu gezwungen wird, manche Dienste zu nutzen. Manchmal auf Berufsebene, manchmal auch auf der Produktebene. Da kann ich meinen Rechner abschotten wie ich will, sobald ich bestimmte Dienste nutzen will, bringt das nicht viel.
Bei Unternehmen wird es dann zum Problem, wenn die Leute sich auf nicht-firmeninterne Kommunikationsstrukturen stützen. Es passiert zuhauf, dass per WhatsApp, Skype usw. kommuniziert wird und nicht etwa über einen firmeninternen Server, was ja auch gehen würde. Da braucht man sich dann auch nicht mehr zu wundern, dass Industriespionage so einfach ist. Die Politik stützt dann das Ganze auch noch mit der Förderung von »Big Data«. Das geht dann bis die Daten der Politiker selbst betroffen sind. Also gerade bei den Daten, die eigentlich transparent sein sollten – nämlich die unseres Staates – da ist dann ein »Durchstechen« oder ein »Hack« angeblich illegal und wird deshalb auch verfolgt. Diese Art des Ungleichgewichts stört uns ganz besonders.
Was bedeutet eigentlich »Hack« oder »Hacker«?
Mit »Hack« oder »Hacken« ist grundsätzlich der spielerische Umgang mit Technik gemeint, nicht etwa Missbrauch oder kriminelle Handlungen. Das kann es zwar auch manchmal darstellen, aber dieses Böse oder Zerstörerische, das dabei oftmals medial unterstellt wird, ist ja nicht der Inbegriff dessen, was die Leute suchen, die damit täglich spielen gehen möchten. Aber ja, es gibt immer mal wieder große »Brüche« in Datenbanken, seien das die Mailanbieter oder andere Dienstleister. Aber das hat weniger mit dem CCC oder dessen regionalen Gruppen zu tun, sondern das sind dann meistens Leute/Firmen, die das professionell machen und natürlich nicht nur auf legalem Wege, damit ihr Einkommen generieren – zum Beispiel mit dem Verkauf von Daten im sogenannten »Darknet« und dabei Anonymisierung einsetzen, um nicht erwischt zu werden. Das gibt es tatsächlich, wie wir zuletzt öfter in den Nachrichten hören dürfen. Und das setzen die Staaten auch immer wieder rhetorisch ein, um etwa zu sagen, »Das waren die Russen«, ohne einen Beweis dafür zu haben. Man weiß zum Beispiel immer noch nicht, wer die Spionage im Bundestag zu verantworten hat. Es könnte auch einfach eine Gruppe gewesen sein, die sich gedacht hat: »Wir nehmen das jetzt einfach mal auf's Korn und schieben denen was unter, dass es so aussieht, als wären es die Russen gewesen.«
Ja, aber meistens waren das nur Fehler in der Webpräsenz, einer App oder im Webshop. Allerdings haben wir auch den Fall mit den Hochschulen, wo Mailserver nicht so gut laufen, wie man das heutzutage gerne hätte. Ich habe einen privaten Mailserver und habe mitbekommen, dass dieser nicht mit denen der Hochschulen nicht kommunizieren kann, weil die Sicherheitsstandards so weit auseinander klafften, dass die Kommunikation unmöglich wurde. Da waren mehrere aktuelle Verschlüsselungsmethoden nicht vorhanden. Dafür war bei ihren Servern »RC4« noch aktiv, was längst schon nicht mehr benutzt werden sollte. Eine ähnliche Diskrepanz wurde dann auch mal vor drei Jahren auf dem Chaos Communication Congress ausgenutzt. Das betraf andere Universitäten in Deutschland. Identitäten anderer Personen wurden einfach nachgeahmt, weil die Mailserver es nicht prüften, ob der Absender sich mit dem zugehörigen Account eingeloggt hat. So wurden Mails unter anderem Namen versendet und Liebesbekundungen von vorgeblichen Kollegen übermittelt. Ähnliche Mängel sind übrigens in vielen Unis heute noch vorhanden. Das ist ein Grund E-Mail-Verschlüsselung und digitale Signaturen selbst in die Hand zu nehmen. Cryptoparties helfen hier nicht nur Einsteigern.
Sucht ihr gezielt nach Sicherheitslücken?
Wir sind keine Menschen, die sich ständig nur mit Sicherheitslücken auseinandersetzen. Es gibt aber auch eine regionale Gruppen zum Thema Sicherheit, das OWASP – Open Web Application Security Project. Die Teilnehmer geben regelmäßig Vorträge, haben oft auch beruflich damit zu tun und suchen nach Sicherheitslücken, die in Standardprodukten eingesetzt werden. Generell werden Fehler durch eine Mischung aus Neugier, dem spielerischen Umgang mit Technik und Zufall gefunden. Auffälligerweise treten Fehler in neuen Produkten wieder auf obwohl sie vermeidbar wären.
Was stört euch am meisten daran, wie die Leute mit ihren Daten umgehen?
Freizügigkeit ist das, was mich am meisten nervt. Wenn ich beobachte, wie die Leute persönliche Angaben an Facebook oder in Twitter gegeben werden ohne dabei zu bedenken, dass die Sachen im Zweifelsfall für ewig da stehen und öffentlich zugänglich sind. Es stört mich, nicht, wenn die Leute das mit ihren eigenen Daten machen, aber sehr wohl, wenn sie das mit meinen Daten machen oder den Daten von Bekannten, Kollegen, Freunden oder Lebenspartnern.
Das schönste Beispiel ist noch immer WhatsApp oder ähnliche Messenger-Dienste, die einfach ganze Adressbücher an die zentralen Anbieter schicken. Und selbst nach dem Datenaustausch von WhatsApp direkt mit Facebook, wo in den USA gezeigt wurde, wer beim gleichen Psychologen Patient war, sagen Leute trotzdem : »Naja, das ist halt so. Kann ich nichts dagegen machen.« Sie könnten es zwar schon, aber es ist ihnen halt nicht Grund genug Ihre Kommunikationsgewohnheiten zu ändern.
Was noch mehr stören sollte, ist wie Firmen mit unseren Daten umgehen: sie sammeln, sie werten teilweise aus und verkaufen oft ohne Kenntnis der Betroffenen. Da greift auch nicht das Argument »Ich habe nichts zu verbergen«! Da scheitert man ganz einfach an der Realität, denn die Daten würden nicht gesammelt werden, wenn sie nicht nützlich wären. Das Problem ist dann vor allem, dass man teilweise dazu gezwungen wird, manche Dienste zu nutzen. Manchmal auf Berufsebene, manchmal auch auf der Produktebene. Da kann ich meinen Rechner abschotten wie ich will, sobald ich bestimmte Dienste nutzen will, bringt das nicht viel.
Bei Unternehmen wird es dann zum Problem, wenn die Leute sich auf nicht-firmeninterne Kommunikationsstrukturen stützen. Es passiert zuhauf, dass per WhatsApp, Skype usw. kommuniziert wird und nicht etwa über einen firmeninternen Server, was ja auch gehen würde. Da braucht man sich dann auch nicht mehr zu wundern, dass Industriespionage so einfach ist. Die Politik stützt dann das Ganze auch noch mit der Förderung von »Big Data«. Das geht dann bis die Daten der Politiker selbst betroffen sind. Also gerade bei den Daten, die eigentlich transparent sein sollten – nämlich die unseres Staates – da ist dann ein »Durchstechen« oder ein »Hack« angeblich illegal und wird deshalb auch verfolgt. Diese Art des Ungleichgewichts stört uns ganz besonders.
Was bedeutet eigentlich »Hack« oder »Hacker«?
Mit »Hack« oder »Hacken« ist grundsätzlich der spielerische Umgang mit Technik gemeint, nicht etwa Missbrauch oder kriminelle Handlungen. Das kann es zwar auch manchmal darstellen, aber dieses Böse oder Zerstörerische, das dabei oftmals medial unterstellt wird, ist ja nicht der Inbegriff dessen, was die Leute suchen, die damit täglich spielen gehen möchten. Aber ja, es gibt immer mal wieder große »Brüche« in Datenbanken, seien das die Mailanbieter oder andere Dienstleister. Aber das hat weniger mit dem CCC oder dessen regionalen Gruppen zu tun, sondern das sind dann meistens Leute/Firmen, die das professionell machen und natürlich nicht nur auf legalem Wege, damit ihr Einkommen generieren – zum Beispiel mit dem Verkauf von Daten im sogenannten »Darknet« und dabei Anonymisierung einsetzen, um nicht erwischt zu werden. Das gibt es tatsächlich, wie wir zuletzt öfter in den Nachrichten hören dürfen. Und das setzen die Staaten auch immer wieder rhetorisch ein, um etwa zu sagen, »Das waren die Russen«, ohne einen Beweis dafür zu haben. Man weiß zum Beispiel immer noch nicht, wer die Spionage im Bundestag zu verantworten hat. Es könnte auch einfach eine Gruppe gewesen sein, die sich gedacht hat: »Wir nehmen das jetzt einfach mal auf's Korn und schieben denen was unter, dass es so aussieht, als wären es die Russen gewesen.«
Was gibt es überhaupt für Möglichkeiten, um zu beweisen, von wo einen Hackerangriff gestartet wurde?
Um das sicher sagen zu können, müsste man sich sehr detailliert damit auseinandersetzen. Die Angelegenheit hat man natürlich auch von Spezialisten untersuchen lassen und diese haben Hinweise gefunden, die zu einer Einschätzung gekommen sind. Aber dass die Veröffentlichungen hinreichend wären, um zu sicher zu sein »das waren die Russen«, kann man nicht sagen. Insbesondere Aussagen wie, sie hätten ein Programm benutzt, dass auch von den Russen verwendet wird, ist kein hinreichender Beweis. Ein Gegenbeispiel wäre staatliche Malware oder Angriffswerkzeuge aus Schmieden in den USA oder Israel, die inzwischen weltweit als »Virus« herumgehen und großen Schaden in der Wirtschaft anrichten.« Dazu sagt komischerweiser keiner unserer Politiker: »Das haben die USA oder Israel zu verantworten.« Es wird politisch sehr einseitig eingesetzt, wenn es opportun erscheint. Also »Stuxnet« und Co. oder der »Conficker« sind zum Beispiel Schadprogramme, die dann immer wieder rumgehen. Die haben es sogar in die Bundeswehr geschafft oder in Atomkraftwerke. Mancher fragt natürlich: »Moment mal! Atomkraftwerke haben Internet? Müssen diese Rechner denn wirklich einen Zugang haben?« Allerdings sind die Verbreitungsmöglichkeiten auch sehr vielfältig, ein USB-Stick kann schon genügen (oder ein Handy das am USB-Anschluss aufgeladen wird). Durch so etwas hatten unter anderem Krankenhäuser Probleme mit »Ransomware«. Das sind »Trojaner« – Schadprogramme, die Daten verschlüsseln und erst nach Lösegeldzahlung wieder verfügbar machen. Es ist zum Beispiel vorgekommen, dass bei uns Menschen, darunter auch Unternehmer, vorbeikamen, die hatten sich einen solchen Verschlüsselungstrojaner eingefangen. In einem Fall hatte der IT-Spezialist einer Firma gemeint: »Ich hab schon alles probiert, was ich finden konnte. Wisst ihr noch was?« Unsere generelle Empfehlung war Geduld. In der Regel dauert es nur ein bis zwei Wochen, dann ist eine entsprechende Lösung zum Entschlüsseln auch schon wieder verfügbar, ohne Bitcoin zu kaufen. Aber soviel Zeit haben die Firmen nicht. Vor allem wenn eventuell vorhandene Backups nicht aktuell waren und der Trojaner mit der unwiederruflichen Löschung der Daten droht. Es gibt da eigentlich nur zwei Arten von Menschen: welche, die noch nie Daten verloren haben und solche mit Backups.
Wann fängt Hackerkriminalität rein rechtlich an und wann fängt sie für euch an?
Das ist eine sehr schwammiger Begriff. Vor Gericht entscheidet der Richter dann je nach Sachlage, wann was kriminell ist. Für den Laien ist das nicht leicht verständlich. Es gibt ja den Straftatbestand der »Datenhehlerei« (StGB § 202d) oder den bekannteren sogenannten »Hackerparagraphen« (StGB § 202c Vorbereiten des Ausspähens und Abfangens von Daten). Aber auch das Urheberrecht kann schon zu empfindlichen Geldstrafen oder Freiheitsstrafen führen.
Es kann zum Beispiel sein, dass man Werkzeuge benutzt, wie etwa »nmap«, um Netzwerke zu scannen. Im einem Fall ist das völlig legitim und im anderen wurde es eingesetzt um damit Schaden anzurichten.
Häufig wird über einen Gerichtsbeschluss die IP-Adresse über den Internet-Provider ermittelt. Zum Beispiel bei Urheberrechtsverletzungen durch »File-Sharing« oder »DDoS-Angriffen« auf Server. Verdächtige können einen Gegenbeweis nur schwerlich erbringen beziehungsweise überhaupt Gegenbeweise finden, um ihre Unschuld zu beweisen.
Wenn dann der Betroffene oft nur den Anschein erwecken kann, dass er einen wirtschaftlichen Schaden erlitten hat, kann er dafür auch entsprechend Schadenersatz vor Gericht einfordern. Auch hier entsteht leicht ein Ungleichgewicht, weil man eine Falschbehauptung schlecht widerlegen kann und schnell horrende Kosten für einen Anwalt anfallen.
Um beim DDoS-Beispiel zu bleiben: Es kann leicht dazu kommen, dass unbedarfte Nutzer verdächtigt werden, dass deren Rechner an einem DDoS-Angriff beteiligt war, ohne ihn selbst initiiert zu haben. Das passiert schon, wenn er die falsche Nachrichtenseite ohne Ad-Blocker besucht.
Zur Frage kann man sagen, dass wir uns von Kriminellen distanzieren, indem wir die Hackerethik betonen. Der achte Punkt ist dazu sehr aktuell: »Öffentliche Daten nützen, private Daten schützen«. Das ist bei uns ein Schwerpunkt mit OpenData. In diesem Rahmen machen es sich Einzelne hier immer wieder zur Aufgabe, Möglichkeiten zu finden, Daten einzusetzen. Ein Kommilitone an der TU hat mal eine ParkplatzApp »ParkenDD« begonnen, die es mittlerweise nicht nur für Dresden gibt und recht erfolgreich ist. Dazu werden Schnittstellen der Parkplätze ausgelesen, die nicht für jeden Autofahrer gedacht waren. Die Parkplatzbetreiber hätten das als Missbrauch darstellen können. Auch hier hätten die Beitreiber mit einem denkbaren Schaden argumentieren können. Stattdessen wurde es aber dank der Umsicht der Beteiligten weitestgehend positiv aufgenommen. Es gibt zum Beispiel auch Apps, die Schnittstellen für öffentlichen Verkehrsmittel abfragen. Da waren die Verkehrsbetriebe auch erst ziemlich reserviert, aber mittlerweile wird es benutzt und bleibt benutzbar, weil es nicht überstrapaziert wird. Der Unterschied, ist eben ob man eine Schnittstelle im Takt von Stunden oder Sekunden abfragt. Dazu muss niemand austesten, ob das System irgendwann zusammenbricht. Niemand will, dass die Straßenbahn zu spät kommt, sondern Fahrgäste möchten wissen, »wann kommt jetzt eigentlich die Bahn?«. So etwas muss nicht wie ein Geschäftgeheimnis gehütet werden.
Könnt ihr mir mehr über die Hackerethik erzählen?
Im Wesentlichen geht es darin auch um Diskrimierungs- und Informationsfreiheit. Dass Lebewesen nicht anhand von Kriterien wie Rasse, Religion, Geschlecht oder Bildungsstand beurteilt werden. Eine Parallele dazu ist die Entkoppelung von Verein und dem C3D2. Es ist keine Voraussetzung, dass man Mitgliedsbeiträge bezahlt, um mitmachen zu dürfen. Voraussetzung ist, dass man mitmacht. Die Betonung liegt da bei dem Miteinander beim Umgang mit Computern, Dinge zu verstehen und Neues zu erschaffen, gleich ob innerhalb oder außerhalb von Gruppen.
Ist es euch schonmal passiert, dass ihr unrechtmäßig wegen Hackerkriminalität beschuldigt wurdet?
Ich habe selbst schon Abmahnungen erhalten, für Dinge, die ich nicht getan habe; genau wie viele andere Internetnutzer in Deutschland auch. Und ich habe deswegen lernen müssen, wie man sich dagegen effektiv wehrt. Inzwischen ist das von häufiger Betroffenen mit dem Abmahnbeantworter auch schon wieder automatisiert worden. Es gibt Anwälte, die sich darauf spezialisert haben wie auch Anwälte, die damit ihr Geld verdienen, indem sie massenhaft Abmahnungen schreiben. Manche Leute wollen den Automatisierungsversuch zur Gegenwehr gerne als Gerücht hinstellen. Das ist dann schon wieder ein sozialer Hack – wann ist ein Artikel ernst zu nehmen, den ein »Journalist«(?) geschrieben hat und wann ist es eine Fakenews? Anregung zum selber denken, recherchieren und diskutieren.
Treten oft Leute an euch heran, die euch um Hilfe beten oder haben viele eher Angst vor euch?
Nein, Angst haben sie nicht. Es kommt natürlich hin und wieder das zweifelhafte Bild des Hackers hoch, das die Leute aus irgendwelchen Filmen oder anderen Szenarien kennen. Aber im Prinzip würde ich nicht sagen, dass da große Vorbehalte herrschen. Vor allem dann nicht, wenn man im Rahmen öffentlicher Veranstaltungen einen Stand hat und sich persönlich gegenüber steht. Dann stellt sich die Frage ja auch nicht, ob jemand etwas »Dunkles« oder »Verborgenes« im Schilde führt. Zu den Datenspuren gibt es ja auch genug Leute, die uns – teilweise zufällig in den Technischen Sammlungen – besuchen und sich freuen, dass es mal wieder etwas Neues zu entdecken gibt.
Was glaubt ihr, warum trotzdem so viele Leute so ein negatives Bild von Hackern haben?
Das ist ganz klar Medienprägung, ein schlichter Stereotyp. Wenn ich Filme sehe, dann sind die Hacker meistens immer die, die etwas zum Ausfallen bringen oder kostenlos Leistungen in Anspruch nehmen – beispielsweise teure Telefonate, wie in den Filmen aus den 80ern. Das ist ja dann immer die Darstellung von Missbrauch des Wissensvorspungs. Und eine übliche Rolle ist, dass sie irgendetwas gegen große, böse Firmen oder gar Computer unternehmen.
Was leistet ihr in Dresden für politische Arbeit?
Wir führen da keine Bücher drüber. Jeder hat seine eigenen Projekte oder auch nicht. Ich mache in der »Hochschulgruppe für Freie Software und Freies Wissen« mit. Dann gibt es da noch eine kleine aber sehr aktive Gruppe, die sich im deutschlandweiten Projekt »Chaos macht Schule« einbringt. Die gehen dann unter anderem in Schulen und versuchen neben den Schülern auch Lehrern und Eltern ein gewisses Grundwissen im Umgang mit Informationstechnik und neuen Medien näher zu bringen. »Chaos macht Schule« wird regelmäßig gezielt von Stiftungen und Bildungsträgern angefragt, leider können wir allein aus Zeitgründen nicht immer zusagen.
Um das sicher sagen zu können, müsste man sich sehr detailliert damit auseinandersetzen. Die Angelegenheit hat man natürlich auch von Spezialisten untersuchen lassen und diese haben Hinweise gefunden, die zu einer Einschätzung gekommen sind. Aber dass die Veröffentlichungen hinreichend wären, um zu sicher zu sein »das waren die Russen«, kann man nicht sagen. Insbesondere Aussagen wie, sie hätten ein Programm benutzt, dass auch von den Russen verwendet wird, ist kein hinreichender Beweis. Ein Gegenbeispiel wäre staatliche Malware oder Angriffswerkzeuge aus Schmieden in den USA oder Israel, die inzwischen weltweit als »Virus« herumgehen und großen Schaden in der Wirtschaft anrichten.« Dazu sagt komischerweiser keiner unserer Politiker: »Das haben die USA oder Israel zu verantworten.« Es wird politisch sehr einseitig eingesetzt, wenn es opportun erscheint. Also »Stuxnet« und Co. oder der »Conficker« sind zum Beispiel Schadprogramme, die dann immer wieder rumgehen. Die haben es sogar in die Bundeswehr geschafft oder in Atomkraftwerke. Mancher fragt natürlich: »Moment mal! Atomkraftwerke haben Internet? Müssen diese Rechner denn wirklich einen Zugang haben?« Allerdings sind die Verbreitungsmöglichkeiten auch sehr vielfältig, ein USB-Stick kann schon genügen (oder ein Handy das am USB-Anschluss aufgeladen wird). Durch so etwas hatten unter anderem Krankenhäuser Probleme mit »Ransomware«. Das sind »Trojaner« – Schadprogramme, die Daten verschlüsseln und erst nach Lösegeldzahlung wieder verfügbar machen. Es ist zum Beispiel vorgekommen, dass bei uns Menschen, darunter auch Unternehmer, vorbeikamen, die hatten sich einen solchen Verschlüsselungstrojaner eingefangen. In einem Fall hatte der IT-Spezialist einer Firma gemeint: »Ich hab schon alles probiert, was ich finden konnte. Wisst ihr noch was?« Unsere generelle Empfehlung war Geduld. In der Regel dauert es nur ein bis zwei Wochen, dann ist eine entsprechende Lösung zum Entschlüsseln auch schon wieder verfügbar, ohne Bitcoin zu kaufen. Aber soviel Zeit haben die Firmen nicht. Vor allem wenn eventuell vorhandene Backups nicht aktuell waren und der Trojaner mit der unwiederruflichen Löschung der Daten droht. Es gibt da eigentlich nur zwei Arten von Menschen: welche, die noch nie Daten verloren haben und solche mit Backups.
Wann fängt Hackerkriminalität rein rechtlich an und wann fängt sie für euch an?
Das ist eine sehr schwammiger Begriff. Vor Gericht entscheidet der Richter dann je nach Sachlage, wann was kriminell ist. Für den Laien ist das nicht leicht verständlich. Es gibt ja den Straftatbestand der »Datenhehlerei« (StGB § 202d) oder den bekannteren sogenannten »Hackerparagraphen« (StGB § 202c Vorbereiten des Ausspähens und Abfangens von Daten). Aber auch das Urheberrecht kann schon zu empfindlichen Geldstrafen oder Freiheitsstrafen führen.
Es kann zum Beispiel sein, dass man Werkzeuge benutzt, wie etwa »nmap«, um Netzwerke zu scannen. Im einem Fall ist das völlig legitim und im anderen wurde es eingesetzt um damit Schaden anzurichten.
Häufig wird über einen Gerichtsbeschluss die IP-Adresse über den Internet-Provider ermittelt. Zum Beispiel bei Urheberrechtsverletzungen durch »File-Sharing« oder »DDoS-Angriffen« auf Server. Verdächtige können einen Gegenbeweis nur schwerlich erbringen beziehungsweise überhaupt Gegenbeweise finden, um ihre Unschuld zu beweisen.
Wenn dann der Betroffene oft nur den Anschein erwecken kann, dass er einen wirtschaftlichen Schaden erlitten hat, kann er dafür auch entsprechend Schadenersatz vor Gericht einfordern. Auch hier entsteht leicht ein Ungleichgewicht, weil man eine Falschbehauptung schlecht widerlegen kann und schnell horrende Kosten für einen Anwalt anfallen.
Um beim DDoS-Beispiel zu bleiben: Es kann leicht dazu kommen, dass unbedarfte Nutzer verdächtigt werden, dass deren Rechner an einem DDoS-Angriff beteiligt war, ohne ihn selbst initiiert zu haben. Das passiert schon, wenn er die falsche Nachrichtenseite ohne Ad-Blocker besucht.
Zur Frage kann man sagen, dass wir uns von Kriminellen distanzieren, indem wir die Hackerethik betonen. Der achte Punkt ist dazu sehr aktuell: »Öffentliche Daten nützen, private Daten schützen«. Das ist bei uns ein Schwerpunkt mit OpenData. In diesem Rahmen machen es sich Einzelne hier immer wieder zur Aufgabe, Möglichkeiten zu finden, Daten einzusetzen. Ein Kommilitone an der TU hat mal eine ParkplatzApp »ParkenDD« begonnen, die es mittlerweise nicht nur für Dresden gibt und recht erfolgreich ist. Dazu werden Schnittstellen der Parkplätze ausgelesen, die nicht für jeden Autofahrer gedacht waren. Die Parkplatzbetreiber hätten das als Missbrauch darstellen können. Auch hier hätten die Beitreiber mit einem denkbaren Schaden argumentieren können. Stattdessen wurde es aber dank der Umsicht der Beteiligten weitestgehend positiv aufgenommen. Es gibt zum Beispiel auch Apps, die Schnittstellen für öffentlichen Verkehrsmittel abfragen. Da waren die Verkehrsbetriebe auch erst ziemlich reserviert, aber mittlerweile wird es benutzt und bleibt benutzbar, weil es nicht überstrapaziert wird. Der Unterschied, ist eben ob man eine Schnittstelle im Takt von Stunden oder Sekunden abfragt. Dazu muss niemand austesten, ob das System irgendwann zusammenbricht. Niemand will, dass die Straßenbahn zu spät kommt, sondern Fahrgäste möchten wissen, »wann kommt jetzt eigentlich die Bahn?«. So etwas muss nicht wie ein Geschäftgeheimnis gehütet werden.
Könnt ihr mir mehr über die Hackerethik erzählen?
Im Wesentlichen geht es darin auch um Diskrimierungs- und Informationsfreiheit. Dass Lebewesen nicht anhand von Kriterien wie Rasse, Religion, Geschlecht oder Bildungsstand beurteilt werden. Eine Parallele dazu ist die Entkoppelung von Verein und dem C3D2. Es ist keine Voraussetzung, dass man Mitgliedsbeiträge bezahlt, um mitmachen zu dürfen. Voraussetzung ist, dass man mitmacht. Die Betonung liegt da bei dem Miteinander beim Umgang mit Computern, Dinge zu verstehen und Neues zu erschaffen, gleich ob innerhalb oder außerhalb von Gruppen.
Ist es euch schonmal passiert, dass ihr unrechtmäßig wegen Hackerkriminalität beschuldigt wurdet?
Ich habe selbst schon Abmahnungen erhalten, für Dinge, die ich nicht getan habe; genau wie viele andere Internetnutzer in Deutschland auch. Und ich habe deswegen lernen müssen, wie man sich dagegen effektiv wehrt. Inzwischen ist das von häufiger Betroffenen mit dem Abmahnbeantworter auch schon wieder automatisiert worden. Es gibt Anwälte, die sich darauf spezialisert haben wie auch Anwälte, die damit ihr Geld verdienen, indem sie massenhaft Abmahnungen schreiben. Manche Leute wollen den Automatisierungsversuch zur Gegenwehr gerne als Gerücht hinstellen. Das ist dann schon wieder ein sozialer Hack – wann ist ein Artikel ernst zu nehmen, den ein »Journalist«(?) geschrieben hat und wann ist es eine Fakenews? Anregung zum selber denken, recherchieren und diskutieren.
Treten oft Leute an euch heran, die euch um Hilfe beten oder haben viele eher Angst vor euch?
Nein, Angst haben sie nicht. Es kommt natürlich hin und wieder das zweifelhafte Bild des Hackers hoch, das die Leute aus irgendwelchen Filmen oder anderen Szenarien kennen. Aber im Prinzip würde ich nicht sagen, dass da große Vorbehalte herrschen. Vor allem dann nicht, wenn man im Rahmen öffentlicher Veranstaltungen einen Stand hat und sich persönlich gegenüber steht. Dann stellt sich die Frage ja auch nicht, ob jemand etwas »Dunkles« oder »Verborgenes« im Schilde führt. Zu den Datenspuren gibt es ja auch genug Leute, die uns – teilweise zufällig in den Technischen Sammlungen – besuchen und sich freuen, dass es mal wieder etwas Neues zu entdecken gibt.
Was glaubt ihr, warum trotzdem so viele Leute so ein negatives Bild von Hackern haben?
Das ist ganz klar Medienprägung, ein schlichter Stereotyp. Wenn ich Filme sehe, dann sind die Hacker meistens immer die, die etwas zum Ausfallen bringen oder kostenlos Leistungen in Anspruch nehmen – beispielsweise teure Telefonate, wie in den Filmen aus den 80ern. Das ist ja dann immer die Darstellung von Missbrauch des Wissensvorspungs. Und eine übliche Rolle ist, dass sie irgendetwas gegen große, böse Firmen oder gar Computer unternehmen.
Was leistet ihr in Dresden für politische Arbeit?
Wir führen da keine Bücher drüber. Jeder hat seine eigenen Projekte oder auch nicht. Ich mache in der »Hochschulgruppe für Freie Software und Freies Wissen« mit. Dann gibt es da noch eine kleine aber sehr aktive Gruppe, die sich im deutschlandweiten Projekt »Chaos macht Schule« einbringt. Die gehen dann unter anderem in Schulen und versuchen neben den Schülern auch Lehrern und Eltern ein gewisses Grundwissen im Umgang mit Informationstechnik und neuen Medien näher zu bringen. »Chaos macht Schule« wird regelmäßig gezielt von Stiftungen und Bildungsträgern angefragt, leider können wir allein aus Zeitgründen nicht immer zusagen.
Welche öffentlichen Auftritte sind bei euch geplant?
Der nächste geplante öffentliche Auftritt ist unser Stand auf den Chemnitzer Linux-Tagen (manchmal auch »Linuxer Chemnitz-Tage« genannt). Ansonsten gibt es, wie in den letzten Jahren, im Oktober unser Symposium »Datenspuren« in den Technischen Sammlungen. Zudem kann man auch jeden Dienstag- und Donnerstagabend zu unseren offenen Treffen in das Zentralwerk kommen. Allerdings wäre es schön, wenn ihr euch vorher über die Website informiert und per E-Mail oder im Chat Kontakt aufnehmt, wenn es um ein spezielles Thema geht. Nicht jeder der Anwesenden kennt sich mit allen Fragen aus, da hilft vorheriges Nachfragen gegen Enttäuschung nach einem längeren Anreiseweg.
Der nächste geplante öffentliche Auftritt ist unser Stand auf den Chemnitzer Linux-Tagen (manchmal auch »Linuxer Chemnitz-Tage« genannt). Ansonsten gibt es, wie in den letzten Jahren, im Oktober unser Symposium »Datenspuren« in den Technischen Sammlungen. Zudem kann man auch jeden Dienstag- und Donnerstagabend zu unseren offenen Treffen in das Zentralwerk kommen. Allerdings wäre es schön, wenn ihr euch vorher über die Website informiert und per E-Mail oder im Chat Kontakt aufnehmt, wenn es um ein spezielles Thema geht. Nicht jeder der Anwesenden kennt sich mit allen Fragen aus, da hilft vorheriges Nachfragen gegen Enttäuschung nach einem längeren Anreiseweg.
Weitere Informationen unter:
(Das Interview wurde für das Dresdner Kulturmagazin geführt.)
