Computerworld vor 30 Jahren
09.12.2020, 13:29 Uhr
Der erste Hacker war Terrorist
Vor 30 Jahren wurde das erste Urteil wegen Computermissbrauch gesprochen. Der US-Amerikaner Robert Morris wurde als Terrorist verurteilt, berichtete Computerworld Schweiz.
Das «Herbstlaub»-Virus liess 1990 die Buchstaben auf die unterste Bildschirmzeile fallen
(Quelle: Computerworld)
Ähnlich schlimm wie der bis dahin grösste Anschlag auf die US-amerikanische Bevölkerung sei auch das Lahmlegen von landesweiten Computernetzen einzustufen. So lautete sinngemäss die Begründung des ersten Urteils gegen Robert Morris, den Programmierer des nach ihm benannten Computerwurms. Der «Morris»-Wurm hatte Ende der 1980er etwa einen Zehntel des damals noch jungen Internets befallen. Bei der Weiterverbreitung auf die rund 6000 Unix-Rechner verursachte der Wurm viel Schaden. Schätzungen für die Desinfektion rangieren zwischen 100'000 und 10 Millionen US-Dollar – je nach Lesart. Denn «Morris» legte die Computeranlagen lahm, sodass sie einerseits nicht mehr benutzt werden konnten, was mit einem Produktivitätsverlust einherging. Andererseits mussten die Administratoren teilweise mehrere Tage dafür aufwenden, den Wurm zu beseitigen.
Als bis dahin grösster Anschlag auf die US-Bevölkerung gilt das Lockerbie-Attentat aus dem Jahr 1988. Bei dem Terrorakt kamen 179 Fluggäste und elf Besatzungsmitglieder mit US-Pass beim Absturz des Pan-Am-Flugs 103 von Frankfurt via London nach New York ums Leben. Der «Morris»-Wurm kostete zwar keine Menschenleben, das Urteil müsse aber eine abschreckende Wirkung haben, argumentierte Staatsanwältin Ellen Meltzer.
Lockerbie und der Wurm
Die Geschworenen im ersten Prozess gegen Morris waren laut Computerworld grösstenteils EDV-Laien. Staatsanwältin Meltzer verzichtete in ihrem Plädoyer dann auch auf Informatikfachbegriffe. Vielmehr beschwor sie das Lockerbie-Attentat herauf, durch das die Gemeinde Syracuse, in der die Gerichtsverhandlung stattfand, schwer getroffen worden war: Mehr als 30 Familien der Stadt im Staate New York hatten Angehörige bei dem Absturz verloren. So fand Meltzers Argumentation, niemand sei «den Attentätern von Lockerbie dankbar, weil sie die Flugsicherheit verbessert haben», ein offenes Ohr bei den zwölf Geschworenen.
Sie befanden Morris dann auch für schuldig einer schweren kriminellen Handlung, die laut Strafregister ähnlich wie Terroranschläge zu ahnden sind. Die zwischenzeitige Berufung wegen des Lockerbie-Vergleichs schmetterte das Gericht allerdings ab: Die Bemerkungen von Staatsanwältin Meltzer seien «für den Ausgang des Prozesses unbedeutend» gewesen. So lautete das Urteil letztendlich auf eine bedingte Freiheitsstrafe von drei Jahren. Weiter hatte Morris 400 Stunden soziale Arbeit zu leisten und eine Busse von rund 10'000 US-Dollar zu zahlen. Das Strafmass hätte bis zu fünf Jahren Gefängnis und 250'000 US-Dollar Busse hergegeben. Richter Howard Munson erklärte jedoch, eine Haftstrafe hätte «nur primitive Rachegelüste eines Teils der Gesellschaft befriedigt und niemandem etwas genützt». Die gemeinnützige Arbeit sollte Morris bei der Einrichtung eines Systems ableisten, das Spendengelder verwaltet.
Vom Terrorist zum MIT-Professor
Morris legte dennoch Berufung ein, da er wegen eines Schwerverbrechens verurteilt wurde. Damit blieben seine bürgerlichen Rechte eingeschränkt, sodass er bestimmte Berufe wie Polizist nicht ausüben durfte und auch bei Wahlen zusehen musste. Wie Computerworld berichtete, befürchtete er, dass das Urteil «drastische Auswirkungen» auf seine berufliche Tätigkeit und sein Leben haben werde. Die Berufung wurde im März 1991 abgewiesen, womit das Urteil rechtskräftig wurde.
Die Befürchtungen des damals 25-jährigen Harvard-Absolventen sollten sich nicht bewahrheiten. 1995 gründete er zusammen mit dem Entwickler der Programmiersprache Lisp, Paul Graham, das Start-up Viaweb. Mit der gleichnamigen Internet-Applikation konnten Endanwender ihren eigenen Online-Shop eröffnen. Yahoo fand Gefallen an dem Produkt und übernahm Viaweb 1998 für fast 50 Millionen US-Dollar. Die zwei Gründer waren neu Multimillionäre. Morris setzte seine akademische Laufbahn fort, promovierte 1999 und wurde im gleichen Jahr vom Massachusetts Institute of Technology (MIT) zum Assistenzprofessor berufen. Dort lehrt er heute noch. Schon 2015 war er zum «Fellow» der Association for Computing Machinery ernannt und 2019 in die National Academy of Engineering gewählt worden.
Schäden trotz Millionen-Ausgaben
Der «Morris»-Wurm hatte laut Computerworld in der Schweiz keine Schäden angerichtet. Die einheimischen Unternehmen waren im Vergleich mit den Konzernen in den Nachbarländern allerdings auch gut aufgestellt. Eine Enquete der Zeitschrift für Kommunikations- und EDV-Sicherheit (KES) des Beratungsunternehmens Cap Gemini Sesa und der Zürich-Versicherung ergab, dass in der Schweiz viel in IT-Sicherheit investiert wurde: Während in Deutschland der Anteil von Sicherheitsaufwendungen im EDV-Budget bei 5,2 Prozent lag, war er in der Schweiz dreimal so hoch. Die hiesigen Grosskonzerne gaben im Mittel 4,4 Millionen Franken pro Jahr für die Sicherheit in der Datenverarbeitung aus – der europäische Durchschnitt betrug «lediglich» etwas mehr als 1 Million Franken.
Gelder in Höhe von 910'000 Franken nahm die Kantonspolizei Bern in die Hand, um die Arbeit auf EDV umzustellen. «Die Informatik ist nur ein Bereich der ganzen Reorganisation, mit der die entdeckten Schwachstellen der heutigen Organisation überwunden werden sollen», liess sich der Projektleiter, Polizeihauptmann Bernard Villiger, von Computerworld zitieren. Ihm schwebte ein kantonsweites EDV-Netz vor, mit dem die rund 150 Polizeiposten über Wählleitungen eingebunden werden sollten. Ein kritischer Punkt dabei ist der Datenschutz, wusste Villiger. «Die heutigen Chiffrierungsmöglichkeiten sind absolut ausreichend», suchte der Polizeihauptmann im Projektantrag die Geldgeber im Grossen Rat zu beruhigen.
Bundesrat Flavio Cotti musste eingestehen, dass die teilweise Öffnung der Datennetze der ETH Zürich auch Hacker angezogen habe. Verkehrsanalysen der Netze hätten gezeigt, dass etwa 3 bis 5 Prozent des Datenverkehrs auf missbräuchliche Nutzung zurückzuführen seien. Den Gesamtschaden bezifferte Cotti auf maximal 60'000 Franken. Da die Hackeraktivitäten nachgewiesen werden konnten, wurde die Summe von den PTT erlassen, berichtete Computerworld. Die ETH habe nun die Ausgänge in die externen Datennetze «speziell geschützt». «Allerdings kann es auch in Zukunft vorkommen, dass Unberechtigte das ETH-Rechenzentrum anzapfen», so der Bundesrat.
Als grösste Schwachstelle im Sicherheitskonzept von Ciba Geigy identifizierte Hans Jürgen Poschet, EDV-Leiter des Basler Chemieriesen, den Menschen. «Das Netz von Ciba Geigy ist in seiner Ausdehnung nicht mehr überschaubar. Und die Sicht des Managements ist vor allem auf die physische Sicherheit gerichtet. Die Mitarbeiter sind dagegen an einem einfachen und offenen Informationsaustausch interessiert», liess er sich von Computerworld zitieren. Zur Erhöhung der Sicherheit entwarf Poschet ein Konzept mit drei Hauptrichtungen: Es sollte das Bewusstsein für die Risiken wecken, Standardprozesse für Gefahren definieren und die Netzwerke gliedern. So wollte er verhindern, dass die Sicherheitsrichtlinien lediglich nachlässig befolgt werden.
Drei Jahre in der «Messagerie»
Die Kombination aus Nachlässigkeit der PTT, Fahrlässigkeit der Anbieter und krimineller Energie der Hacker brockte 1990 dem Videotex Millionenschäden ein. Die PTT verteilten von der Telefonnummer des Videotex-Teilnehmers abgeleitete vierstellige Passwörter. Videotex-Anbieter wie die Zürcher Telepress – notabene ein Gemeinschaftsunternehmen mehrerer Zeitungs- und Zeitschriftenverlage – legten die Anschlusskennung und die Passwörter ihrer Grosskunden unverschlüsselt auf ihren Rechnern ab. So gelangten Logins von Firmen wie Ciba Geigy, Coop oder Publicitas in die falschen Hände. «Ohne Insider-Kenntnisse wäre es nicht möglich gewesen, die Daten zu knacken», sagte Christoph Henn, Direktor der Telepress, der Computerworld. Er machte Personalwechsel für die Panne verantwortlich. «Keiner unserer Kunden kam zu Schaden», beruhigte Henn denn auch. So wurden die Telepress-Kunden nicht zur Kasse gebeten, da die Rechnungen erwiesenermassen aufgrund von Missbrauch zustande gekommen waren. Letztendlich blieben die PTT auf den Forderungen sitzen.
Geprellt wurden vor allem «Messagerien», die einen direkten Kontakt zwischen den Teilnehmern erlauben. Und die vor allem der Vermittlung persönlicher Bekanntschaften dienten. Dafür kauften die Benutzer sich Zeitgutschriften. Die Hacker erwarben mit den gestohlenen Logins diese Guthaben und veräusserten sie unter Pseudonym weiter. Laut Computerworld das «ideale» Opfer war der «Club Dialog» des Medienkonzerns Ringier. Er liess den Kauf von 1,5 Millionen Minuten Benutzerzeit zu – was einem etwa drei Jahre ununterbrochenen Dialog entsprach.
Hans Jakob Pfister, bei Ringier für Videotext zuständig, fiel der Missbrauch auf: Er begrenzte den Verkauf auf 2880 Minuten pro Teilnehmer. Wegen allfälliger Beschwerden der Benutzer des Clubs hatte Ringier wenig Sorgen. «Von den Betroffenen hat niemand reklamiert», berichtete Pfister. Für die Computerworld-Redaktoren war das auch kein Wunder: Denn wer damals reklamieren wollte, musste einen eingeschriebenen Brief an Ringier senden – und dabei natürlich seine Anonymität aufgeben.