Die Betrachtungen der Geschichte der Computersicherheit hilft zu verstehen, wie das Genre und die Subkultur gewachsen sind. Dabei wird ihre Entstehungsphase mit den Phone Hackern (Phreaker) in den 60er Jahren datiert, um danach die Etablierung der Personal Computer (PC) und dem Wandel zum Computer-Hacker Ende der 70er Jahre einzuleiten. Die rasante Entwicklung des Computerbereichs in den 90er Jahren hat auch dazu beigetragen, dass sich im Bereich der Informationssicherheit die Dinge überschlagen haben.

Phone Hacker der 60er und 70er Jahre

Der Ursprung des Themas Computersicherheit, so sagt man, findet sich in den 60er Jahren. Damals waren Computersysteme noch nicht für jedermann zugänglich und die schwindende Anzahl der an Technik interessierter Personen fokussierte sich auf Telefonsysteme. Durch die Manipulation dieser und dem Umgehen von Sicherheitsmassnahmen entstand der Bereich des Phreakings. Dies ist ein Kunstwort, das aus den beiden englischen Wörtern Phone (dt. Telefon) und Hacking (dt. Hacken) besteht. In der modernen Literatur populistischer Couleur wird wehmütig auf diese Zeit zurückgeblickt.

Das Buch Der Hacker (1997) von Christian Zimmermann bespricht sehr schön die technischen Aspekte damaliger Techniken. Allen voran das populäre Blueboxing. Bei diesem wird mittels einem speziellen Ton, der durch ein Telefon geschickt wird, Einfluss auf das Steuerungssystem genommen. Durch diesen exakt 2600 Hz hohen Ton liess sich beispielsweise der Gebührenzähler deaktivieren oder Umleitungen speichern. In Hackertales (2000) von Denis Moschitto und Evrim Sen wird die Geschichte der Entwicklung dieser Möglichkeit durch John T. Draper (aka. Captain Crunch) erzählt.

Zur damaligen Zeit entwickelte sich das Phreaking schon fast ein bisschen zu einem Volkssport. Vor allem Studenten mit Interesse für Elektronik und Elektrotechnik erachteten das staatliche Telefonnetz als Spielwiese. Immerwieder wurden neue Techniken entwickelt, mit denen gebührenfrei telefoniert oder andere Spielereien umgesetzt werden konnten. So entwickelten sich auch Untergrund-Gruppierungen und Magazine (z.B 2600). Damit war der Informationsaustausch der Phreaker gewährleistet, was den Telefongesellschaften natürlich gar nicht behagte, denn diese mussten sich von nun an mit immer raffinierterer Telefon-Piraterie herumärgern. Ursprünglich als kleines Übel abgetan, realisierten die Betreiber das Problem und versuchten sich in der Umsetzung effektiver Gegenmassnahmen.

Das Thema Phone-Hacking verlor in den 90er Jahren fortwährend an Reiz. Die Telefongesellschaften hatten mittlerweile ausgeklügelte Systeme etabliert, so dass das Umsetzen klassischer Boxing-Techniken nicht mehr ohne weiteres möglich war. Aber auch mit dem Fall der Telefon-Preise war das Interesse am freien Telefongespräch nicht mehr wirklich gegeben. Dennoch gab und gibt es weiterhin Techniken, die vereinzelt angewendet werden.

Das Thema Beigeboxing, bei dem sich in eine bestehende Telefonleitung eingeklinkt wurde, ist vor allem in Bezug auf öffentliche Telefone interessant geblieben. Durch das Wardialing werden Nummernbereiche nach verwertbaren Systemen (z.B. Voicemail-System oder Remote-Modem) abgesucht. Das Thema Chipkarten-Hacking ist nach wie vor interessant, erfordert aber ein sehr hohes Mass an technischem Verständnis und oftmals das Vorhandensein teurer Hardware. Mit der ISDN-Technologie wurden neue Möglichkeiten für Angriffe gewährt, die vor allem die 90er Jahre dominiert haben, aber nicht mehr zu einer sehr hohen Verbreitung des Phreakings beitragen konnten.

Das Thema GSM wurde bis vor einigen Jahren noch eher stiefmütterlich behandelt, wobei das zugrundeliegende System mittlerweile als gänzlich gebrochen angesehen werden muss. Nachfolgende Generationen wie UMTS wird voraussichtlich das gleiche Schicksal ereilen.

Gegenwärtig ist der Bereich von Voice-over-IP (VoIP) in aller Munde. Durch die Telefonnutzung über bestehende IP-Kanäle wird einmal mehr die Zusammenführung klassischer Phreaking-Technik und modernem Netzwerk-Hacking gegeben sein.

Die ersten Hacker der 70er und Anfang 80er Jahre

Als Ur-Hacker werden jene Persönlichkeiten bezeichnet, die sehr früh zur Entwicklung und Mitgestaltung der Computer-Technologien beigetragen haben. Der Begriff Hacker wurde dabei mehr als Titel für eine Person verliehen, die ein komplexes Problem sehr effizient adressieren und lösen konnte. Neben den Entwicklern traditioneller Betriebssysteme sind auch die Autoren von Programmiersprachen typische Hacker der alten Generation.

Spieltrieb und kriminelle Interessen haben dazu geführt, dass das Thema Computerkriminalität schon sehr früh gegeben war. Interessant dabei ist, dass schon zu Beginn der 70er Jahre computergestützte Betrugsfälle dokumentiert sind. Eine Auflistung zu wichtigen historischen Ereignissen im Bereich der Computersicherheit wird hier zur Verfügung gestellt. Beispiele:

• 1973 betrügt ein Angestellter der New York Time Savings Bank seinen Arbeitgeber um 1 Million US$.
• 1980 gelingt dem sechzehnjährigen Kevin Mitnick mit seiner Roscoe-Bande ein Einbruch in US Leasing.
• 1984 stellt der Berliner Chaos Computer Club (CCC) den BTX-Hack vor.
• 1987 dringen Mitglieder des Berliner Chaos Computer Clubs in das SPAN-Netzwerk der NASA ein.
• 1988 infiziert das Wurmprogramm von Robert Tappan Morris innerhalb weniger Stunden 6‘000 Internet-Hosts.

Die neue Generation der 90er Jahre

Mit der Popularisierung des Internets entwickelt sich das Thema Computersicherheit mit einer ebenso rasanten Geschwindigkeit. Errungenschaften auf der Seite von Sicherheitsspezialisten gehen mit neuen Angriffsvarianten der Hacker-Community einher. Neue Technologien, Techniken und Methoden werden am laufenden Band vorgestellt und übertrumpfen sich immerwieder mit einer neuen Qualität und Raffinesse. Es bilden sich eine Vielzahl an Hacker-Vereinigungen, die sich mitunter für das Aufdecken neuer Schwachstellen stark machen und die Internet-Gemeinschaft vor korrupten Übergriffen warnen wollen. Eine schöne Illustration der damaligen Entwicklungen ist im Artikel Die Entwicklung der (deutschsprachigen) Hacker-Szene festgehalten.

Der Spieltrieb und Neugierde der Angreifer hat Kosten für Industrie und Wirtschaft verursacht. Fortwährend werden neue Fällen von umfangreichen Einbrüchen oder Sabotage-Akten bekannt. Mitte der 90er Jahre spitzt sich der Fall um den US-Amerikaner Kevin Mitnick zu. Nach zweijähriger Fahndung wird er vom FBI verhaftet. Eine etwas einseitige literarische Erzählung der damaligen Ereignisse ist im Buch Data Zone (1996) von Tsutsomu Shimomura und John Markoff festgehalten. Ersterer war massgeblich an der Ergreifung von Mitnick beteiligt. Die mit dem Titel Takedown (2000) erschienene Verfilmung des Buches erschien ebenso voreingenommen und wurde durch eine Gegendarstellung der schönen Dokumentation Freedom Downtime (2001) von Emmanuel Goldstein, einem engen Freund Kevin Mitnicks, relativiert.

Historizismus: Was bringt die Zukunft?

Die Entwicklung im Computerbereich zeigt, dass eine immer grössere Abstraktion gegeben ist. Wobei früher noch mittels Assembler auf einzelne Register des Speichers zugegriffen wird, erfordern moderne Programmiersprachen wie Microsoft .NET nur noch das Ansteuern symbolischer Objekte. Das Verständnis für die innere Funktionsweise der Systeme schwindet aufgrund dieser Meta-Schichten zunehmends. Davon ist ebenfall der Bereich der Computersicherheit betroffen, in dem Transparenz und Verständnis für einzelne Abläufe unabdingbar bleibt. So gibt es immer mehr eine Kluft zwischen normalen Endanwendern ohne tiefschürfende technische Kenntnisse und semi-professionellen Angreifern mit solidem technischem Verständnis. Letztere sehen sich aber zunehmends mit einer Professionalisierung im Bereich der Computersicherheit konfrontiert, so dass moderne Schutzsysteme es überhaupt immer schwieriger machen, ein System erfolgreich anzugreifen. Dies ist mit einem militärischen Wettrüsten vergleichbar, bei dem Angreifer neue Angriffstechniken entwickeln und die Industrie neue Gegenmassnahmen dagegen verkaufen will.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• http://twitter.com/kevinmitnick
• http://www.2600.com
• http://www.imdb.com/title/tt0159784/
• http://www.imdb.com/title/tt0309614/
• https://www.computec.ch/download.php?view.671
• https://www.computec.ch/history.php