Als Firewall-Systeme an Popularität gewannen, wurde durch die Medien und kommerziellen Anbieter fortwährend der populäre Irrtum geschürt, dass Sicherheit durch ein Produkt gewährleistet werden kann. Angeblich sei die Installation, Konfiguration und Wartung von Firewall-Lösungen ein Kinderspiel und bedürfe in keiner Weise hart erarbeitetes Wissen. Dieses Vorurteil hält sich auch noch Jahre nach dem grossen Firewall-Boom sehr hartnäckig und scheint sich auch langsam auf die nächste Etappe der Netzwerksicherheit retten zu können: Intrusion Detection-Systeme.

Mit diesem Buch möchte ich dieses laienhafte Vorurteil aus der Welt schaffen, auch wenn der eine oder andere Leser bei der Studie dieser Zeilen sein hübsches Glashaus zerbrechen sieht. Sicherheit ist nicht durch ein Produkt realisierbar. Ein Konzept ist in jedem Fall von Nöten. Dies ist ein Merksatz, der zum ersten mal im Informatik-Bereich in Bezug auf Firewalling an Bedeutung gewann. Übertragbar ist er auch auf die elektronische Einbruchserkennung. Moderne Firewall-Elemente sind mittlerweile stark fortgeschritten, was die Handhabung derer betrifft. In der Tat ist Firewalling heutzutage einfacher umzusetzen, als zu Beginn der 90er Jahre. Intrusion Detection-Systeme stecken vergleichsweise noch in den Kinderschuhen, was diese Materie vergleichsweise schwerer zu bewältigen macht. Hinzu kommt noch, dass neben konzeptionellen Grundsätzen bei der Auswertung der Ausgaben der ID-Systeme ein beachtliches Mass an breitflächigem Wissen über Netzwerksicherheit mitgebracht werden muss. Dies ist bis heute noch nicht bzw. nicht mehr wichtig, wenn es lediglich um die Betreuung eines Firewall-Systems geht, denn diese sollen in erster Linie ein Netzwerksegment vor drohenden Gefahren schützen, und nicht als Ausgangslage für Reaktionen dienen.

Einleitung

Ich habe es mir zum Standard gemacht in meinen eigenen Publikationen, die eine gewisse Quantität aufzuweisen haben, stets mit einem einführenden Kapitel zu beginnen. In diesen ersten Zeilen sollen die literarischen Aspekte, vorwiegend unabhängig von denen der technischen Seite, vorgetragen werden. So gilt es zu erläutern, für wen ich dies vorliegende Buch geschrieben habe und wie Sie es am besten benutzen. Dadurch will ich verhindern, dass Sie sich mit komplett falschen Vorstellungen oder Voraussetzungen durch diese Lektüre quälen.

Für wen ich dieses Buch geschrieben habe

Dieses Buch richtet sich in erster Linie an Netzwerk-Analysten, Administratoren und Sicherheitsexperten. Es wird, wie Sie sicher sehr schnell merken werden, ein gewisses Mass an Verständnis für die Computer- und Netzwerktechnologien vorausgesetzt. Klar, Sie müssen nicht über jedes einzelne Flag von TCP oder die Funktionsweise von IP-Fragmentierung bis ins Detail kennen – Sind Sie aber trotzdem mit solcherlei Fachwissen ausgestattet, werden Sie sich viel schneller in diesem Buch zurechtfinden und vorwärts kommen können.

Wie Sie dieses Buch verwenden

Wie immer habe ich mich darum bemüht, dass dieses Buch durchwegs einem roten Faden folgt. Dadurch soll es als Lehrbuch für Netzwerkanalysen und elektronische Einbruchserkennung genutzt werden können.

Trotzdem habe ich die Gratwanderung gewagt, ein möglichst hohes Mass an Modularität beizubehalten. Neben der Möglichkeit eines sequentiellen Lehrbuchs können diese Zeilen also auch als Nachschlagewerk bei Fragen und in heiklen Situationen gebraucht werden.

Ich lege Ihnen wärmstens ans Herz dieses Buch mindestens einmal von Vorne nach Hinten durchzulesen. Auch wenn Sie schon einige Jahre Erfahrung mit der Analyse von Datenkommunikationen haben, werden Sie vielleicht so manches in komplett anderem Licht sehen.

Zusätzlich sollten Sie versuchen, sich genauestens die beschriebene Theorie zu merken. Diese versuchen Sie möglichst auf die eingefügten Beispiele und Ihr eigenes Netzwerk anzuwenden. Dieser Schritt ist sehr wichtig, denn er wird dafür sorgen, dass Sie sehr schnell ein hohes Mass an Routine und Sicherheit auf dem Gebiet der Netzwerkanalysen erreichen können werden. Das staubige Wissen eines Theoretikers vermag zwar ein solides Fundament zu bieten. Geht es aber um die harte Realität, wird schnell Erfahrung und Weitblick zum einzigen Strohhalm, der einem noch retten können wird.

Was Sie von diesem Buch nicht erwarten können

Durch dieses Buch werden Sie weder in 21 Tagen zum erfahrenen Netzwerk-Administratior oder -Analysten oder -Sicherheitsspezialisten. Falls Sie wirklich mit dieser Hoffnung an dieses Buch herantreten, werden Sie mit höchster Wahrscheinlichkeit bitter enttäuscht werden. Solides Hintergrundwissen und einen grossen Schatz Erfahrung kann man erst nach vielen Jahren für sich beanspruchen – Diesen Grundsatz des Lebens zu brechen, ist ein utopischer Wunschtraum, den wir uns sofort aus den Köpfen schlagen sollten.

Das einzige was ich bieten kann, ist Ihnen die Grundlagen der elektronischen Einbruchserkennung näher zu bringen. Ohne Disziplin, Durchsetzungsvermögen und Ehrgeiz Ihrerseits werde ich mit diesem Buch aber noch nicht einmal dieses Ziel erreichen können. Ein Buch kann höchstens so gut sein, wie der Leser, der er liest.

Wohin wenden, wenn Fragen auftauchen

Beim einen oder anderen Kapitel werden Sie vielleicht mit auftauchenden Fragen auf verlorenen Posten stehen oder sich über Ihr fehlendes Wissen aufregen. Selbstverständlich können Sie sich in dieser Notfallsituation an mich wenden, und ich werde gerne versuchen, Ihre Fragen zur Problematik aus der Welt zu schaffen. Sie erreichen mich vorzugsweise per E-Mail auf marc.ruef@computec.ch. Sie müssen es verstehen und respektieren, dass ich unter Umständen auf eine Frage nicht antworten kann oder will. Ich darf Sie jedoch bitten, zuerst folgende Informationsquellen aufzusuchen, die Ihnen bei der Lösung Ihres Problems sicher eher kompetente Hilfe zur Verfügung stellen können:

Suchmaschinen

Befragen Sie doch einmal die mächtigen Index- oder Meta-Suchmaschinen, wie zum Beispiel Google. Dort werden Sie sicher früher oder später auf einen Hinweis stossen, der Ihnen bei der Lösung Ihres Problems behilflich sein könnte.

Usenet

Die themenorientierten Gruppen des Usenets diskutieren Tag für Tag über die jeweiligen Problematiken. Suchen Sie jene Gruppe auf, die sich noch am ehesten mit Ihrem Problem beschäftigen könnte, und stellen Sie dort höflich Ihre Frage.

Foren

Neben dem Usenet werden themenspezifische Foren eine gute Anlaufstelle sein. Auf einschlägigen Webseiten werden gerne solche Diskussionsrunden auf die Beine gestellt und Fragen zum Thema beantwortet.

Hersteller-Support

Bei Fragen zu einem spezifischen Produkt wenden Sie sich am besten direkt an den Hersteller. Der dortige Support wird sich bestens mit dem Produkt auskennen und Ihnen gerne mit der nötigen Kompetenz zur Verfügung stehen. Informationen, wie Sie den Hersteller-Support kontaktieren können, finden Sie vorzugsweise auf der Homepage des Produkts bzw. des Herstellers.

Mailinglisten

So mancher Hersteller bietet eine Mailingliste für Fragen bezüglich seines Produktes an. In diesen Kreisen werden Erfahrungen ausgetauscht und Fragen beantwortet.

IRC (Internet Relay Chat)

Eine gute Alternative zum Usenet oder den webbasierenden Foren ist der Internet Relay Chat. Falls Sie sich ein bisschen mit dem IRC-System auskennen, dann werden Sie relativ schnell eine entsprechende Gruppe finden, die Ihnen Ihre Frage beantworten können wird.

Literatur (Bücher, Manuals, RFCs, …)

Bücher, Manuals, RFCs, Howtos, Tutorials und Webseiten sind eine hervorragende Anlaufstelle, wenn es um das Beantworten von Fragen geht. Schauen Sie sich entweder einmal ausgiebig im Internet um oder besuchen Sie die lokale Bücherei. Dort werden Sie sicher Hinweise auf das Beantworten Ihrer Frage finden.

Einführung

Ein Thema hat in den letzten Jahren auch in Europa eine ungemeine Wichtigkeit in der Computerindustrie bekommen: Die Netzwerksicherheit. Die Kontroversen um das Thema des Schutzes von Daten und Systemen hat sich in einer ersten Phase auf das kompetente Protokollieren und Eindämmen des Datenverkehrs durch sogenannte Firewalls konzentriert.

Erst in einem weiteren Schritt wurde das bis dato noch junge Konzept der Einbruchserkennung (engl. Intrusion Detection) aufgegriffen und salonfähig gemacht. Klassische Intrusion Detection Systeme halten Ausschau nach als verdächtig eingestuften Gegebenheiten auf einzelnen Systemen oder in Netzwerken, melden etwaige Abweichungen der Richtlinien und lassen gar in Extremsituationen automatisiert Gegenaktionen in die Wege leiten. Man kann also sagen, dass die Sicherheit auf dem Computersektor in rasendem Tempo weiterentwickelt; und doch ist ein wichtiger Aspekt teilweise vergessen oder ignoriert worden: Auch in der Technik spielt die menschliche Psyche und die damit unweigerlich verbundenen sozialen Aspekte eine gewichtige Rolle, denn bis ins jüngste Jahrtausend wird die Entwicklung, Realisierung und Betreuung von technischen Geräten durch den Menschen begleitet. So ist es nicht verwunderlich, dass sich Angreifer psychologischen Tricks bedienen um ihre Opfer besser verstehen zu können. Wieso sollte also nicht auch das potentielle Opfer einen Angreifer analysieren und manipulieren können, wie es die Kriminalpolizei schon seit Jahren durch das Täterprofiling erfolgreich praktiziert?

Genau hier möchte ich mit dem ersten Teil meines Buches über die elektronische Einbruchserkennung diese klaffende Lücke schliessen. Ich versuche die theoretischen Grundlagen psychopathologischer und soziologischer Analysen bei computerkriminalistischen Delikten zusammenzufassen, um einer auf in diesem Gebiet nahezu unerforschter Ebene einem Problem Herr zu werden, das keineswegs in die Hände dumpfer Maschinen gegeben werden darf.

Genauso wie laut den alten Griechen ein gesunder Körper zu einem gesunden Körper gehört, darf nicht vergessen werden, dass die elektronische Einbruchserkennung auf meta-technischer Ebene ohne technische Hilfsmittel nur sehr schwer durchführbar wird oder gar zum Scheitern verurteilt ist. Eine Analyse und Auswertung macht ohne Daten, die wir aus zahlreichen Mechanismen zu extrahieren versuchen, keinen Sinn und so werde ich zwangsweise technische Aspekte in diesem vorwiegend nicht-technischen Teil einfliessen lassen müssen.

Ich habe mich bemüht je nach Möglichkeit und wo es Sinn macht Aspekte und bestehende Errungenschaften aus der Psychologie, Psychoanalyse, Soziologie, Kriminalistik, Historik, Historizistik, Philosophie und Ethik miteinzubeziehen, um ausgelatschte Pfade zu verlassen und neues, fruchtbares Terrain betreten zu können. Beileibe bin ich nicht auf allen Gebieten bewandert und das Wissen vieler Wissenschaften schöpfe ich lediglich aus Lehrbüchern und Fachartikeln. Trotzdem glaube ich eine neuartige Sichtweise aufzeigen zu können, der wir uns schnellstmöglich bewusst werden sollen. Der Computerkriminalität kann lange mehr nicht nur durch technische Hilfsmittel und juristische Alibiübungen entgegengetreten werden – Es ist endlich Zeit aufzuwachen und uns in der Handhabung vorhandener und durchschlagskräftiger Waffen zu üben!

Entschieden muss gesagt werden, dass das Ziel unserer Aufgabe weder das Zerschlagen noch das Zerstören des Feindes ist. Unser Bestreben gestaltet sich als erstes darin, ein Verständnis für die Problematik aufzubauen, um mit vereinten Kräften ein auf den ersten Blick technisches Problem auf viel tieferer, viel menschlicherer Ebene lösen zu können.

Jahrelange Forschungen und der Umgang mit der Materie sind in dieses Kapitel eingeflossen. Meine berufliche Tätigkeit als Sicherheitsberater für Computer- und Netzwerksysteme, sowie meine Kontakte zur internationalen Hacker-Szene bieten mir die entsprechenden Ansätze zur vertrauenswürdigen Analyse dieses verhältnismässig jungen Wissenschaftszweiges. Es ist mir klar, dass der Laie in dieser Niederschrift eine im stillen Studierzimmer, fernab jeglicher Realität, erzwungene Schablone für ein sehr aktuelles Problem zu erkennen versuchen könnte. Die ihm fehlende fachliche Kompetenz und das nicht vorhandene Wissen der Hintergründe lässt von solchen Personen wohl kaum mit genügend Authentizität ausgestattete Kritik an meinem Schaffen üben.

Nach Einsicht dieser Studie könnte mir ein feministischer Charakter arroganten Chauvinismus vorwerfen, denn gänzlich bin ich durch äussere Umstände gezwungen das weibliche Wesen grösstenteils bei dieser Niederschrift in den Hintergrund zu stellen. Der Bereich der Elektronik und Computertechnik ist leider noch immer eine Männerdomäne. Da auch die computerkriminalistischen Übergriffe vorwiegend von männlichen Jugendlichen und Erwachsenen durchgeführt werden, möchte ich aus Gründen der Lesbarkeit auf die rein maskulinen Termini zurückgreifen. Mein in der heutigen Zeit des sexuellen Umbruchs vielleicht archaisch anmutende Ausdrucksweise sei mir bitte verziehen. Jeder, der mich persönlich kennt, wird nachsichtig sein und keinerlei chauvinistische Ignoranz dahinter vermuten.

Es liess sich aufgrund der von mir sehr wissenschaftlichen angestrebten Struktur nicht verhindern, dass eine Fülle von Querverweisen auf literarische Werke anderer Gebiete eingebracht worden ist. In Klammern gebe ich den Nachnamen des Autors und die Jahreszahl seines relevanten Schriftstücks an. Im Anhang findet sich ein entsprechendes Literaturverzeichnis mit den jeweiligen Zusatzinformationen zu den Quellenangaben.

Warum Psychologie

Der Initialisierungsanlass für den Beginn dieser Untersuchungen ist in erster Linie die tendenziell starke Ansteigung der terroristischen Übergriffe zu Beginn des noch sehr jungen Jahrtausends. Die neue Welle der perversen, teilweise gar sadistisch erscheinenden Brutalität ist für mich unbegreiflich und erschüttert mich in meiner stoischen Ruhe mehr als jemals zuvor. Bis der organisierte Terrorismus von gestern, ich spreche von Bombenattentaten und dergleichen, den ersten Schritt in den Cyberspace machen wird, um auf einer neuen Ebene die unberechenbare Bedrohung von morgen zu werden, ist für mich nur noch eine Frage der Zeit.

Der undifferenzierten Postulierung der Kategorisierung jeglicher Form von Hacking als Terrorismus stemme ich mich trotzdem mit aller Kraft entgegen. Noch nie hat eine Verallgemeinerung zur Glaubwürdigkeit eines Disputs beigetragen, egal ob in der Religion oder Wissenschaft. Hacker und Terroristen unterscheiden sich in der Motivation und Zielsetzung durch so vielen wichtige Punkte, dass eine Gleichstellung als naive und törichte Lächerlichkeit angesehen werden muss. Diese These zum aktuellen Geschehen werde ich in späteren Kapitel entsprechenden Halt zu geben versuchen. Als ich vor über drei Jahren mit der Niederschrift dieses Buches anfing habe ich die Schwierigkeiten, auf die ich stossen würde, stark unterschätzt. Anfangs auf rein technische Seite der Computersicherheit konzentriert, wurde mir schlagartig bewusst, dass ich keine Umfassende Studie dieses Themas zu Papier bringen könne, wenn ich mich nur auf mein kleines Themengebiet beschränken würde. Probleme können stets von verschiedenen Seiten und auf verschiedenen Ebenen betrachtet und gelöst werden. Zusammenhänge und Wechselwirkungen zu leugnen ist noch nicht einmal durch Blindheit oder Blendung zu rechtfertigen.

Hinzu kommt die Problematik des Wandels der Zeit: Ein technisches Buch zum Thema Computersicherheit ist meist bei seinem Erscheinen nicht mehr viel Wert weder Altpapier von gestern – Ein solches würde aufgrund der fehlenden Aktualität nur noch von der puren Hoffnung der durch die Werbung verkündeten neuen Erkenntnisse an die Leserschaft verkauft werden.

Es lag also für alle an diesem Schaffen beteiligten Personen auf der Hand, dass ein möglichst zeitloses Werk umgesetzt werden sollte. Ich musste aus diesem Grunde zwangsweise die technische Seite verlassen – oder wenigstens einen gesunden Abstand zu ihr wahren – und archaisch anmutende Fachgebiete wie die Psychologie, Psychoanalyse, Soziologie, Kriminalistik, Historik, Historizistik, Philosophie und Ethik betreten. Jeder, der vor rund fünf Jahren mit meinem Wesen vertraut gewesen ist, der hätte es mir nicht zugetraut, dass ich meinen geliebten emotionslosen Bits und Bytes untreu werden könnte, um mich mit den menschlichen Zusammenhängen einer solch unmenschlichen Materie wie dem Computer auseinanderzusetzen – Ich muss jedoch gestehen, dass ich durch eine unfassbare Freude getragen neue Gebiete für mich erschliessen durfte, die an Interessantheit keinen Mangel aufzuweisen hatten. Ausschlaggebend für diesen mentalen Wandel war die Studie des Buches Homo Faber des schweizer Schriftstellers Max Frisch – Aber dies ist eine komplett andere Geschichte, die nicht hierhin gehört…

Damit wir uns der eigentlichen Problematik widmen können, müssen wir einführend einen einheitlichen Grundbaustein legen. Neben der Definition der für uns wichtigsten Begriffe aus vielen Bereichen sollen die Ziele und Wege unserer Reise kurz umrissen werden.

Begriff der Computerkriminalität

Jede Diskussion benötigt zur konstruktiven Durchführung eine mindestens skizzenhaft ausgelegte Einheitsdefinition der jeweiligen Inhalte und angestrebten Ziele. In diesem Kapitel geht es um eine umfassende nicht-technische Analyse der Computerkriminalität und so sehen wir uns als erstes vor die Frage gestellt, was denn nun unter diesem Stichwort – dank den Halbwahrheiten der Medien ist es schon fast eher ein abgenutztes Schlagwort – zu verstehen ist. Die menschliche Sprache bringt die besondere Eigenart mit sich, dass Ausdrücke je nach Situation, Umfeld und Hintergrund verschieden ausgelegt und absolut different eng definiert werden können. Zwar bleibt so genügend Spielraum für musische Meisterwerke der lyrischen Dichtkunst, doch entstehen dadurch sehr schnell Missverständnisse. So meint zum Beispiel Person X unter der Computerkriminalität das illegale Kopieren von Software zu verstehen; Person Y will darunter lediglich ein nichtiges Kavaliersdelikt erkennen und schreibt erst das Stehlen von wichtigen Daten der eigentlichen Computerkriminalität zu. Es gibt so viele Postulierungen bei der Begriffsdefinition, wie es Menschen gibt.

Zu Beginn wollte ich mich bei der Ausarbeitung einer einheitlichen Definition des Begriffs der Computerkriminalität an die juristischen Schriften halten, sah mich aber schon nur durch die geographischen und kulturellen Differenzen in meinem Bestreben gehindert. Viele der von mir hier vorgelegten Fallbeispiele würden in der Realität vor Gericht nicht als computerkriminalistische Handlung betrachtet werden oder zu einer Verurteilung dieser Richtung führen. Ich bin kein Jurist und sehe in den entsprechend festgehaltenen Gesetzen keine vertretbare Gradlinigkeit, die für diese Arbeit so dringend erforderlich gewesen wäre. Im Grunde ist der Begriff Computerkriminalität ein Kunstgebilde, zusammengesetzt aus den beiden Nomen Computer und Kriminalität. Das Bertelsmannlexikon versteht unter Computer die allgemeine Bezeichnung für eine elektronische Rechenanlage; Die Kriminalität findet ihre Definition als Straftat. Ich fasse die Definition des Begriffs Computerkriminalität nicht sehr eng, halte mich an die gradlinige Zusammensetzung der beiden einzelnen Substantive und beziehe mich in diesem Schreiben daher auf folgenden neutralen Umriss:

Der Computerkriminalität ist jegliche Form von krimineller, illegaler, ethisch verwerflichen oder in irgendeiner Weise aggressiven Handlung zuzuschreiben, die den Computer als Medium, Instrument oder Ziel nutzt.

Laut meiner Definition zählt zum Beispiel das Raubkopieren von Software, das Verbreiten von oder Werben für illegale Inhalte, das Stehlen von Daten, der Missbrauch von technischen Ressourcen oder die obszöne Belästigung eines Menschen über elektronische Wege zur Computerkriminalität. Es ist mir klar, dass es diese Begriffsdefinition unvermeidbar als subjektiv anzusehen gilt und sich grösstenteils nicht auf andere Teilbereiche der gleichen oder angrenzenden Themengebiete übertragen lässt. Ziel meiner Bestrebung zur wenigstens in diesem Schreiben einheitlichen Definition war das gesamte Feld der kriminellen Handlungen mit oder durch elektronische Geräte möglichst genau zu skizzieren, und so lag diese Definition des Begriffs der Computerkriminalität sehr nahe.

Soziologisch-historische Entwicklung der Computerkriminalität

Das Computer Security Institute führt seit mehreren Jahren Befragungen bei amerikanischen Firmen durch, um mit einer statistischen Auswertungen zur computerkriminologischen Lage aufwarten zu können. In diesen Umfragen geben im Schnitt 97 % aller Institutionen an, Gebrauch von Firewall- und Antiviren-Technologien zu machen. Doch lediglich 61 % der durch das Computer Security Institute befragten Firmen nutzen IDS-Systeme zur elektronischen Einbruchserkennung. 64 % der befragten Firmen lassen verlauten, dass sie Einbrüche während des gesamten Jahres erkannt haben, 25 % behaupten hochmutig oder leichtsinnig, dass sie während dieser Zeit keinen erfolgreichen Einbruch zu verbuchen hatten und 11 % der Befragten müssen gestehen, dass sie ihre Umgebung nicht im Griff haben und nichts über Attacken aussagen können.

Der Kapitalismus erhob sich wie Phoenix aus der Asche und postulierte in einer ersten Phase der Geschichte der Computerkriminalität, ich spreche hier die 80er und den Anfang der 90er Jahre an, den Einsatz von Antiviren-Software zur Bekämpfung von korruptem Programmcode. Phase zwei dieses technischen Umbruchs kennzeichnete das Firewalling, bei dem durch geschickte Werbung – ich erdreiste mich das Kind beim Namen Propaganda zu nennen – das Bedürfnis der Benutzer zur Netzwerkkontrolle geschürt werden sollte. Das Ende der 90er Jahre war beherrscht vom regelrechten Drang nach Hard- und Softwarelösungen dieses Bereichs: Produkte schossen wie Pilze aus dem Boden – Doch richtig bedienen konnte sie aber fast niemand. Ein Produkt ohne Konzept ist noch lange keine Lösung. Aber Menschen müssen oft aus eigener Kraft auf die Nase fallen, bis sie das Problem wenigstens seinen Grundzügen entsprechend erfassen können. Der dritte Stufe der sicherheits-evolutionären Entwicklung auf dem EDV-Sektor werden die Intrusion Detection Systeme darstellen. Zwischen netzwerk- und hostbasierenden Lösungen unterscheidend wird auf das sogenannte Pattern-Matching gesetzt: In der Umgebung wird auf bekannte verdächtige Aktivitäten geachtet und bei deren Eintritt entsprechende Massnahmen eingeleitet. Verhindert man beim Firewalling den unerlaubten Zugriff, so wird beim IDS das unerlaubte Verhalten erlaubter Zugriffe überwacht.

Wieso dieser Trend zustande kommt ist aus technischer und wirtschaftlicher Sicht leicht nachzuvollziehen: Obwohl das Problem des unerlaubten Eindringens in Computersysteme schon seit Anbeginn des Netzwerkzeitalters als harte Realität angesehen hätte werden müssen, wurde diese grenzgängerische Handlungsweise nur einem kleinen individualistischen Kreis von Eigenbrödlern zugeschrieben. Im Laufe der Zeit wurden die Systeme jedoch billiger und für den normalen Durchschnittsbürger verständlich, so dass die Computerindustrie einen wahren Boom geniessen durfte. In dieser historischen Epoche haben sich die Ereignisse regelrecht überschlagen, denn eine Vielzahl von Benutzern hat ihr gesammeltes Wissen und den gemeinschaftlichen Ehrgeiz konzentriert der neuen Technologie gewidmet und dadurch fortwährend die Grenzen des scheinbar Unmachbaren gesprengt. Das Programmieren von Maschinen war sodann nicht mehr einer kleinen elitären Gruppe vorbehalten, sondern konnte auch von zahlreichen Schülern und Studenten in höchst konstruktiver Weise genutzt werden. So entwickelte sich eine Schaar von freien Programmierern, die ihr Wissen in den Dienst ihrer Ideologie setzten und eine schier unübersichtliche Anzahl guter Software wurde unters Volk gebracht. Dieser Antrieb veranlasste die Softwareindustrie zu einem Spurt, der darin gipfelte, dass ihre Produkte immer komfortabler und einfacher zu bedienen waren. Unter dem zusätzlichen Konkurrenzdruck, der Komfortabelität und Einfachheit eines Systems leideten ihre Qualität und so auch die Sicherheit. Die Ignoranz dieses logischen Grundsatzes ist den Entwicklern nicht alleine zuzuschreiben, denn das Sicherheitsbewusstsein der euphorischen Technikgeneration war generell nicht sonderlich ausgeprägt: Wieso auch? Es ist ja nie etwas schlimmes passiert – Schöne neue Welt!

Die lange anhaltenden Debatten um die künstliche Intelligenz fand in der Umsetzung des ersten Computervirus einen bis dahin ungeahnten Höhepunkt: Zum ersten Mal konnte ein Programm entwickelt werden, das die Grundzüge eines biologischen Virus’ aufwies. Er konnte sich selber replizieren und schien dadurch ein sonderbar anmutendes Eigenleben entwickeln zu können. Science-Fiction wurde plötzlich zur Realität und sollte nicht nur deswegen viele Nachahmer zur Programmierung ihres eigenen Computervirus bewegen. Neben dem Amiga war besonders das damals sehr populäre Betriebssystem MS-DOS sich sich von reproduzierenden Programmen genötigt, die oft mit einer ärgerlichen oder gar schädlichen Routine gespickt worden waren. Als eine Vielzahl von Viren die Computerwelt zu überschwemmen drohte, wurden die ersten Stimmen laut, die durch Antiviren-Software dem anarchistischen Treiben auf den Datenträgern und in den Systemen ein Ende bereiten wollten. Es war ein von den Medien mit Jubeln empfangener elektronischer Krieg entbrannt, der bis heute anhält: Virenprogrammierer und Antiviren-Spezialisten halten sich hartnäckig die Stirn und versuchen sich gegenseitig mit immer ausgeklügelterer Software zu übertrumpfen. Doch im Grunde ist es ein Spiel von vier verschiedenen Mannschaften, die allesamt verschiedene Ideologien vertreten und Ziele anstreben: Die Software-Programmierer, die Endanwender, die Virenprogrammierer und die Antiviren-Hersteller. Der Software-Programmierer steht unter dem Druck der Konkurrenz und versucht den Bedürfnissen der Endanwender nach mehr Komfortabelität gerecht zu werden. Die Virenprogrammierer überlistet einerseits die Sicherheitsmechanismen der Software-Programmierer und Antiviren-Hersteller. Der einzige, der in dieser Schlacht keine Aussicht auf einen Sieg hat ist der Endanwender…

Der Markt der Antiviren-Software wurde schnell durch die heutigen Branchenriesen aufgeteilt. Die Technik stand jedoch nicht still, und die Netzwerkfähigkeit von Computersystemen rückte immer mehr in den Mittelpunkt des Interesses. Das Internet, ehemals Tummelplatz einiger Studenten und Wissenschaftler, wurde plötzlich zum Hexenkessel für die zivilisierte Menschheit. Jeder, der etwas auf sich hielt, wagte euphorisch den Schritt ins Netz. Keinem war zu Anfang bewusst, dass dank dieser Verbindung aus dem heimischen Wohnzimmer genauso Tor und Angel für die Bösewichte des Datenhighways geöffnet werden würde. Da das technische Verständnis des durchschnittlichen Bürgers nicht über das Aufsetzen eines der populären Betriebssysteme herausreicht und sie sich der durch das Internet drohenden Gefahr nicht bewusst waren, waren sie beliebte Angriffsziele für die elektronische Elite von Internetanarchisten.

Als die eingesetzten Technologien, Protokolle und Standards etwas populärer wurden, stieg gleichzeitig auch das Sicherheitsbewusstsein der Datenreisenden. Firewall-Systeme wurden so zum Renner, und jeder, der sich mit Netzwerksicherheit auszukennen glaubte, der musste natürlich mit einem solchen aufwarten können. Da der Grossteil der Nutzer sich nicht der konzeptionellen Arbeit beim Einsatz eines solchen Systems bewusst waren, wurden immerwieder ungewollt fehlerhaft konfigurierte Firewall-Elemente ans Internet gehängt. In jedem Fall stellt ein Firewall-System nicht den Superlativ eines Sicherheitsdispositivs dar, und muss aufgrund dessen durch zusätzlich Vorkehrungen geschützt werden. Intrusion Detection Systeme wurden zu einem wichtigen Element, um an strategisch wichtigen Punkten vorbeigeschleuste Daten erkennen und abfangen zu können. Dank ihnen werden verdächtige Kommunikationen und Zugriffe genauestens Protokolliert. Solche Zusatzgeräte wurden zu einem der wichtigsten Geräte auf dem Bereich der Verhinderung von konstruktiven und destruktiven Attacken über vernetzte Systeme. Aber auch Intrusion Detection Systeme alleine oder im Verbund mit Firewall-Elementen können keine ultimative Lösung darstellen. Zusätzlich müssen kryptographische Protokolle oder biometrische Authentifizierungen die Sicherheit eines Systems auch auf anderen Ebenen gewähren können.

Grundsätzlich darf aber, egal ob von Antiviren-Software oder Firewalling die Rede ist, nie vergessen werden, dass nicht ein Produkt vor unerlaubten Übergriffen schützt, sondern ein solide ausgedachtes, umgesetztes und betreutes Konzept. Dieser organisatorische Grundgedanke darf nicht dem speziell ausgebildeten Administrator oder Sicherheitsberater vorbehalten werden, sondern muss auch dem Endanwender bewusst sein, damit er potentiellen Angriffsversuchen vorbeugen, sie rechtzeitig erkennen und notfalls kompetent abwehren kann. Das Umsetzen dieses Wunschtraumes erfordert noch sehr viel mehr Schweiss und Blut, die viele während ihrer langwierigen und schwierigen Aufklärungsarbeit lassen werden müssen: Sicherheit ist ein Prozess; ebenso das Verständnis dafür.

Technische Aspekte

So paradox es auch klingen mag, kann eine nicht-technische Analyse im Bereich der Computerkriminalität nur dann die Möglichkeit der Vollständigkeit erreichen, wenn technische Hilfsmittel sie unterstützen. So werden einzelne Schritte von Seiten des Angreifers erst durch elektronische Vorrichtungen erkannt und zur späteren Analyse protokolliert. Das erste Netzwerkelement, dass uns beim Profiling gute Dienste leisten können wird, dürfte den meisten Netzwerkadministratoren und Sicherheitsspezialisten bekannt sein: Die Firewall. Ein Firewall-Element ist ein System, dass zur Protokollierung und Eindämmung des Datenverkehrs genutzt wird. Besonders der erste Punkt der Protokollierung ist für unsere analytischen Zwecke von Bedeutung. Ein Firewall-System, egal welche Funktionalität bereitgestellt wird, sollte nach Möglichkeiten einen Grossteil des Datenverkehrs festhalten. In den meisten Fällen wird jedoch konzeptionell oder technisch das Aufzeichnen der gesamten Kommunikationen nicht möglich sein, so dass lediglich heikler Datenverkehr oder misslungene Transfers protokolliert werden.

Das weitere technische Hilfsmittel ist ein Intrusion Detection System (IDS). Man unterscheidet hier grundsätzlich die beiden Typen host- und netzwerkbasierend. Ein hostbasierendes Intrusion Detection System überwacht ein Betriebssystem lokal und meldet bzw. verhindert unerlaubte Zugriffe. So können Manipulationen durch Dritte einfach erkannt und schnell Gegenmassnahmen eingeleitet werden. Ein netzwerkbasierendes IDS entdeckt Anomalien bei der Netzwerkübertragung. Kommandos eines Angreifers, die nicht RFC-konform sind werden entdeckt, gemeldet und unterdrückt. Offensichtliche Bufferoverflows und Format String-Attacken gehören so schnell der Vergangenheit an. Ein System bleibt zwar immernoch verwundbar, doch werden Angriffe regelrecht ausgefiltert.

Jetzt fragt sich, auf welche Lösungsansätze sollte man den Schwerpunkt legen. Grundsätzlich ist es von Vorteil, wenn ein Sicherheitselement ein anderes beschützt. So kann ein netzwerk- und hostbasierendes IDS ein Firewallsystem vor Attacken schützen, welches wiederum die internen Workstations absichert. Das Konzept und dessen Umsetzung ist der erste Grundstein für ein sicheres Netzwerk. Eine Analyse wird zudem nur dann als sinnvoll einstufbar, wenn kompetente Beobachter die Anomalien in den Logdateien erkennen können, und schnell mit entsprechenden Gegenmassnahmen zur Hand sind. Sicherheit wird nie durch ein Produkt erreicht, sondern in erster Linie durch ein Konzept.

Historismus

Die Geschichte der Welt ist ein Buch vieler tausend Seiten und im Gegensatz ihrer erscheint das dünne Kapitel der Menschheit als geradezu lächerlich kurz. Historiker und Philosophen, versuchen in einer ihrer Disziplinen – dem Historizismus – eine gewisse Gesetzmässigkeit der geschichtlichen Abläufe zu entdecken, um Zusammenhänge besser verstehen und gar die Zukunft deuten zu können.

Die Geschichte des Computers und der durch ihn als Mittel zum Zweck missbrauchten Kriminalität wird höchstens zwei Sätze im kleinen Abschnitt der gesamten Menschheitsgeschichte zuteil. Das Betreiben von Historizismus auf diesem spezifischen Gebiet ist schwierig und spannend zugleich – Der Grund ist der schier unendliche Freiraum für Thesen und Spekulationen. Eines vorweg: Nietzsches ewige Wiederkehr wird wohl auch hier nicht halt machen – Die Zeit ist zeitlos, weil sich alles wiederholt.

Mich bei solchen Kapazitäten wie Nostradamus einzureihen halte ich für töricht, denn mir fehlt schlichtweg das spirituelle Fundament, oder soll ich lieber sagen Talent? Wer den Schluss eines Buches erraten möchte, muss sich in der privilegierten Position des Besitzes möglichst vieler Daten in dessen Zusammenhang befinden: Wie verläuft der Anfang des Buchs, in welchem Zusammenhang wurde es geschrieben, auf welche Ereignisse lässt der Titel schliessen, wer ist der Autor, was hat er für eine Ausbildung, was für einen sozialen Status oder theologische und philosophische Grundhaltung, wie verlief seine Kindheit, sowie sein beruflicher Werdegang?

Man muss das Umfeld und die Zusammenhänge sehen, um etwas über den Verlauf sagen zu können. Für die Voraussage der Zukunft eines Genres gelten dieselben Regeln. Ich stütze mich daher in dieser historischen und historizistischen Analyse auf bestehende Fakten und Thesen aus allen mir als wichtig erscheinenden Bereiche: Paläontologie, Anthropologie, Soziologie, Psychologie, Philosophie, Ethik, Moral, Aggressionstheorie und Kriegsgeschichte sind meine Eckpfeiler, die mich kompetent zu stützen und die Integrität meiner Aussagen zu unterstreichen vermögen.

60er und 70er Jahre: Phone Hacking

Die von uns heute als Hacker bezeichnete Generation von Computerbenutzern fand ihren Ursprung in den 60er und 70er Jahren. Damals konzentrierte sich eine kleine Gruppe von Technikwütigen auf die Schwachstellen der Telefonsysteme, um solche zu ihrem technisch-spielerischen oder finanziellen Vorteil nutzen zu können.

Das vor allem durch die Technik des Amerikaners John Draper, alias Captain Crunch, populär gewordene Blueboxing entwickelte sich zu einem wahren Volkssport: Durch das Erzeugen von bestimmten Tönen konnten Telefonvermittlungsanlagen für einen Missbrauch unter Kontrolle gebracht werden [Moschitto und Sen 2000]. Draper fand 1970 per Zufall heraus, dass die bei einer Cornflakes-Packung beigelegte Pfeife zur Erzeugung der speziellen Tonsequenz gebraucht werden konnte. Der Grundstein für eine ganze Subkultur wurde mit diesem simplen Ereignis gelegt.

1971 veröffentlichte Abbie Hoffmann und Al Bell die erste Ausgabe des Untergrundmagazins Youth International Party Line (YIPL), das sich zu einem Insider-Fanzine für alle Phreaker – Kunstwort aus dem englischen Phone und Hacker – entwickeln sollte. In ihrem Untergrund-Magazin publizierten sie Anleitungen zum Bau von elektronischen Schaltungen, mit denen man in der Lage war, die Gebührenerfassung der US-amerikanischen Telefonnetzwerke auszutricksen. Nach der Bluebox folgte die Blackbox, mit welcher durch das Vortäuschen eines Freizeichens kostenlose Gespräche geführt werden konnten. Die Redbox konnte für das Replizieren der beim Einwurf von Münzen an öffentlichen Telefonen hörbaren Töne gebraucht werden, um entsprechende Kosten zu sparen. YIPL wurde 1973 in TAP (Technological Assistance Program) umbenannt und blieb bis in die 80er Jahre die wichtigste Informationsquelle für die gesamte Phone-Phreak-Bewegung.

Zehn Jahre später, 1983, wurde der Computer von TAP-Herausgeber Tom Edison – dem Nachfolger von Al Bell – gestohlen und sein Haus von einem Brandstifter niedergebrannt, was das Ende der Zeitschrift bedeutete. Die Aufnahme der Ideologie wurde 1990 noch einmal unter demselben Namen versucht, erreichte aber niemals die Popularität und Originalität des Originals.

Im Jahre 1984 gründete Emmanuel Goldstein (bürgerlicher Name Eric Corley) das bis heute regelmässig erscheinende Magazin 2600: The Hacker Quarterly. Neben Phrack ist dies die zweite allseits bekannte und gut geschätzte Zeitschrift aus dem Milieu, in der neben technischen Aspekten auch politische Meinungen vor- und ethische Kontroversen ausgetragen werden.

80er Jahre: Die ersten Hacker

Als Ende der 70er Jahre der Kauf und die Nutzung von Personal Computern auch für Privatpersonen interessant wurde, begann sich die erste Computerhacker-Generation zu formen. Die ersten Gehversuche der Computerkriminalität beschränkten sich in dieser Zeit auf das internen Missbrauch von Firmen-Computern. 1973 erleichterte ein Angestellter der New York Dime Savings seinen Arbeitgeber durch die Manipulation eines Firmen-Computers um 1 Million US$.

Nun wurden auch erstmals Einbruche von Ausserhalb festgestellt, vorwiegend durch Einzeltäter wie Amerikas Superhacker Kevin Mitnick – in der Szene Condor genannt -, der schon mit achtzehn Jahren 1982 wegen Einbruchs in private Computersysteme vorbestraft wurde, durchgeführt.

1984 wurden zwei der bekanntesten Hacker-Vereinigungen gegründet: Lex Luthors Legion of Doom (LoD) und der Hamburger Chaos Computer Club (CCC). Die bis heute andauernde grundlegende ideologische Zielsetzung des CCC besteht darin, das vom Computer-Untergrund definierte Menschenrecht auf freien Informationsaustausch durchzusetzen. Die seit den Anfängen unregelmässig erscheinende vereinsinterne Zeitschrift Die Datenschleuder berichtet über die Aktivitäten des Clubs und verbreitet Informationen über Themen, die die Szene tangieren.

90er Jahre: Die neue Generation

Den grössten Aufschwung, ein wahrer Boom, erlebte das Internet in den 90er Jahren. Vor allem die deutschsprachige Hacker-Szene nahm unvorhersehbare Dimensionen an. Hacker-Vereinigungen wie die Kryptocrew oder Parallel Minds machen sich neben dem Chaos Computer Club stark und vertreten das anarchistische Lebensgefühl einer jungen Generation.

Historizismus – Was bringt die Zukunft

Wie anfangs dieses Kapitels gesagt, ist Historizismus eine generell wankelmütige Disziplin; Vor allem auf Gebieten, die noch in ihren Kinderschuhen zu stecken scheinen. Trotzdem versuche ich die kommenden Trends sowie ihre Auswirkungen vorzustellen und zu analysieren. Vor allem soziologische Einwirkungen auf die Privatsphäre des Menschen, ethische Grundsätze, Manipulation durch falsche oder fehlerhafte Informationen und die Verkommerzialisierung sind von Belang.

Privatsphäre

Viele Diskussionen der aktuellen Stunde widmen sich der Zukunft der Computertechnologie und den daraus resultierenden Risiken. Grundsätzlich ist eine zwiespältige Meinung bezüglich der Trends auszumachen, die zwischen begeisterter Faszination und beklemmender Angst hin und her pendelt. Diese ambivalente Grundhaltung ist durch alle Schichten auszumachen und es ist kein eindeutiger soziodemographischer Einfluss nachweisbar.

Die grundlegende Angst ist beherrscht von der Furcht vor dem gläsernen Menschen, bei dem der Staat zum Überwachungsorgan schlechthin mutiert und so eine unanfechtbare Gewalt über das Volk ausüben kann.

Sich dieser Vorstellung entgegenzustellen ist momentan die Aufgabe der Bürgerrechtler, die die Wahrung der individuellen Privatsphäre als ihren Dienst an die Menschheit verstehen. Mit kryptographischen Methoden und den entsprechenden Mitteln kann sich der normale Endverbraucher der Einsicht seiner privaten Daten durch Big Brother entziehen.

Doch jede Medaille hat zwei Seiten, und so werden kriminelle Aktivitäten durch Chiffrierung und Steganographie vor dem wachsamen Auge des beschützenden Staates und seinen Organen im Verborgenen initiiert und koordiniert. Es liegt also an uns, den mühsamen Spagat zwischen Wahrung der Privatsphäre und Unterbindung der heimlichen kriminellen Aktivitäten zu meistern.

Das Verbot oder die Einschränkung der kryptographischen Methoden halte ich in Bezug auf das Wohl des Kollektivs für kontraproduktiv, denn jeder Mensch soll in unserer zivilisierten Welt das Recht einer Privatsphäre für sich in Anspruch nehmen dürfen. Zudem wird die technische Einschränkung vorwiegend den unbeholfenen Endanwender treffen. Denn ist in zwielichtigen Kreisen genügend kriminelle Energie vorhanden, so werden auch trotz Einschränkungen und Verboten Mittel und Wege zur kryptographischen und steganographischen Kommunikationsförderung gefunden werden: Security by Obscurity (Sicherheit durch Geheimhaltung) sollte schon lange nicht mehr zur Diskussion stehen, denn die Vergangenheit hat uns fortwährend klar gemacht, dass dieser Lösungsansatz auf Dauer nicht gut gehen kann.

Computerethik

Doch nicht nur die Privatsphäre ist ein Thema, bei dem sich alle angesprochen fühlen sollten: Obwohl vorwiegend philosophische Techniker in der Forschung zur künstlichen Intelligenz sich mit ethischen Fragen der technokratischen Gesellschaft auseinandersetzen, ist dieser Aspekt schlussendlich für jedermann von Bedeutung. Der Film Artificial Intelligence – Künstliche Intelligenz von Stephen Spielberg (2002) illustriert die Problematik der Computerethik sehr eindrucksvoll: In einer nicht allzu fernen Zukunft entsteht in einem Forschungslabor der erste intelligente Roboter mit menschlichen Gefühlen in der Gestalt des elfjährigen David. Aber seine Adoptiveltern sind mit dem künstlichen Ersatzkind überfordert und setzen ihn aus. Auf sich allein gestellt versucht der junge David, seine Herkunft und das Geheimnis seiner Existenz zu ergründen. Damit beginnt eine tragische Odyssee voller Abenteuer, Gefahren und geheimnisvoller Begegnungen. Die wirklich hartgesottenen Experten auf dem Bereich der Bioinformatik und künstlichen Intelligenz sehen in den seit Jahrhunderten bestehenden theologischen Konzepten ihren Hauptfeind Nummer eins. Durch die Errungenschaften auf ihrem Fachgebiet wollen sie den gemeinen Menschen mit einer ausgeklügelten Maschine gleichsetzen, was den Theologen natürlich gar nicht zuspricht.

Apokalyptische Szenarien wie solche in den Filmen Terminator (James Cameron, 1984) oder 2001 – Space Odyssee im Weltall (Stanley Cubrick, 1968) sind für jene weniger pendent – Sie sehen darin eher eine Gefahr für das Bewusstsein des modernen Menschen dieser Gesellschaft, egal ob gläubig oder nicht.

Der Schriftsteller Isaac Asimov veröffentlichte neben zahlreichen Science-Fiction-Geschichten auch die drei Gesetze der Robotik:

1. Ein Roboter darf weder ein menschliches Wesen verletzen noch zulassen, dass durch seine Untätigkeit ein Mensch zu Schaden kommt.
2. Ein Roboter muss menschlichen Wesen stets gehorchen, es sei denn, dies stünde im Widerspruch zum ersten Gesetz.
3. Ein Roboter muss sich selbst vor Schaden schützen, es sei denn, dies stünde im Widerspruch zu erstem Gesetz.

Die Computerethik aus der KI-Forschung und die Gesetze der Robotik tangieren höchstens unser Fachgebiet und sind daher von jeglicher ernstzunehmender Relevanz entbehrt. Vielmehr stehen moralische und ethische Entwicklungen der Informationsgesellschaft im Vordergrunde.

Desinformationen

Ein weiteres Gewitter, das am Himmel des Informationszeitalters aufzuziehen scheint, ist das Problem des Desinformierens. Dank dem Internet wurde aus unserem Planeten ein kleines globales Dorf, in dem jeder ohne viel Aufwand mit jedem kommunizieren kann: Der Informationsfluss ist gigantisch – Ja im Grunde unüberschaubar.

Oft wird dabei jedoch die primäre Gefahr übersehen, dass das Verbreiten fehlerhafter Informationen eine sehr gefährliche Waffe darstellen kann. Der Wahrheitsgehalt einer Meldung auf einer Webseite wird genauso wenig überprüft, wie ein gut zusammengeschnittener Informationswürfel aus dem Fernsehen oder Radio – Eine Verifizierung der Authentizität ist oft auch aufgrund fehlender Informationskanäle gar nicht erst möglich.

In diesem Zusammenhang spielt sicherlich auch die enorme Informationsflut eine Rolle, denn in der Hitze des Gefechts bleibt oft gar nicht die Zeit, sich intensiv mit einer Nachricht auf skeptische Weise auseinanderzusetzen: Es wird einfach mal konsumiert. Wer denkt ohne zu lernen ist genauso töricht, wie jemand, der lernt ohne zu denken.

Unsere Epoche wird gerne als das Informationszeitalter bezeichnet, in dem der Austausch von Daten das Hauptanliegen unseres Seins auszumachen scheint. Die grosse Frage ist jedoch, wer Informiert wen? Staatliche und wirtschaftlich starke Institutionen werden die nötigen Mittel haben, um Daten zu sammeln und nach Belieben in angepasster Form weiterzugeben. Das fiktive Horror-Szenario, wie es im James Bond-Streifen Goldeneye (1995) inszeniert wurde, ist schon lange Realität – Und niemand hat es wirklich gemerkt. Lässt man einmal den kritischen Blick die Medien betrachten, so wird man sich plötzlich des Propaganda-Kriegs gewahr: Fehlerhafte Informationen werden mit fehlerhaften Informationen vergolten – Ein Teufelskreis.

Verdummung

In der Hacker- und Cracker-Szene spürt man, dass ein neues Zeitalter anzubrechen droht: Die Verkommerzialisierung des Internets schafft eine eigene Dynamik, die Trends hervorbringt, die nicht allen gefallen werden. Das Internet war bis Mitte der 90er Jahre vorwiegend der Spielplatz einiger Freaks, die sich sehr techniknah den neuen Grenzen zu nähern versuchten. In dieser Zeit wurde eine Vielzahl ungeschriebener Gesetze eingeführt, die durch die mittlerweile immer mehr ins Internet eindringende Schar von normalen Endanwendern unwissentlich nicht gekannt oder ignorant verkannt werden. Die alteingesessenen Datenreisenden halten sich strikt an die soziale und technische Netiquette des Netzes (z.B. kein HTML in E-Mails) und versuchen auf sozialistisch-kommunistische Art die intellektuelle Menschheit zusammenzuführen. Es ist quasi ein Privileg, Mitglied dieser Gemeinschaft zu sein: Jeder nimmt dafür Anpassungen des eigenen Verhaltens in Kauf, um in einem möglichst agilen Kollektiv mitwirken zu können.

Durch die Vielzahl der jüngsten Internetbenutzer ist prozentual das technische Niveau des Netzes gesunken. Der Grund für das fehlende Verständnis der eingesetzten Techniken, Protokolle und Standards ist die stetige Erleichterung von Seiten der Softwareindustrie. Der bis dato anhaltende exponentielle Wachstum der Technik lässt die Kluft zwischen den Computergrossmeistern und den unbeholfenen DAUs (Dümmster anzunehmender User) immer grösser werden: Früher mussten noch auf der Kommandozeile wahre Kunststücke vollführt werden, um einen Druckertreiber zu installieren und konfigurieren. Heute kann dies dank Plug and Play und Drag and Drop auch ein absoluter Beginner innert Sekunden erfolgreich umsetzen. Social Hacking und Social Engineering wird auch heute noch gross geschrieben, denn der Mensch ist und bleibt der grösste Risikofaktor in einer sicherheitsrelevanten Umgebung.

Resultat dieser Wandlung: Die alten Netz-Hasen schliessen sich immer mehr zu kleinen, in sich geschlossenen Gruppen zusammen, und ein Eintritt in eine solche wird immer schwieriger; der elitäre Kreis verweigert die Weitergabe ihres Wissens und die Computereinsteiger sind auf kommerzielle Lösungen (Software, Lehrgänge und Literatur) angewiesen. Doch das wirklich Traurige dieses Umstandes ist die fehlende Einsicht der Neulinge: Viele von ihnen sind sich ihres Status’ gar nicht bewusst und können mit ihrer Unbeholfenheit anscheinend ganz gut leben. Dass sie sich mit dieser Einstellung jedoch querlegen und eine ganze Subkultur negativ beeinflussen, wird in Kauf genommen oder ignoriert.

Was heute eindeutig vielerorts fehlt ist die Weitergabe und Schulung von Informationskompetenz. Gewisse Althacker postulieren gar einen Führerschein fürs Internet: Ohne ihn soll keine Internetbenutzung erlaubt sein. Diese Massnahme erscheint mir ein bisschen zu drastisch, und so postuliere ich das Einführen eines Fachs wie Internetnutzung im staatlichen Schulsystem zivilisierten Länder. Bei diesem Studium soll durch einen auf diesem Bereich kompetenten Lehrer das technische Verständnis für Computertechnologien und die Informationskompetenz gefördert werden.

Seit es erschwingliche Speichermedien für Texte, Bilder und Töne gibt, geht kaum mehr Wissen zwischen den Generationen verloren. Dennoch behauptet die These einiger kritischer Zeitgeister, dass wir zur kulturellen Amnesie verdammt sind, weil unsere technische Gedächtnisstützen uns der Fähigkeit des Erinnerns berauben. Eine Studie der medizinischen Fakultät an der Hokkaido-Universität erklärt sieben Prozent der zwischen 20 und 35 Jahre alten Testpersonen als unter schweren Gedächtnisproblemen leidend.

Der Mensch wird sich in eine schwere intellektuelle Krise stürzen, verlässt er sich weiterhin in solch extremen Ausmasse auf externe Gedächtnisse der Computertechnik.

Gleichzeitig herrscht im Internet, und auch dem echten Leben, mehr denn je eine Informationsflut vor und die Selektion zwischen relevanten und irrelevanten Daten fällt zunehmends schwerer. Schon vor 2400 Jahren warnte Platon in seinem Dialog Phaidros vor den Schattenseiten der durch die Menschheit genutzten Hilfsmittel:

Denn im Vertrauen auf die Schrift werden sie ihre Erinnerungen mithilfe geborgter Formen von Aussen heranholen, nicht von innen aus sich selbst herausziehen; […] so dass sie sich vielwissend dünken werden, obwohl sie grösstenteils unwissend sind, und schwierig im Umgang sein, weil sie scheinweise geworden sind statt weise.

Platon muss gewiss in einem Punkt Recht gegeben werden, denn das Internet schürt die fälschlicherweise als Vielwissenheit bezeichnete Informationsflut. Seine Verdammung der Schrift ist in meinen Augen jedoch abwegig, denn ohne Schriftzeichen und -symbole hätte die vorgegangene Entwicklung der Spezies Mensch auf intellektueller und sozialer Ebene nie in solchem Ausmass stattfinden können.

Einige Prognostiker behaupten, dass die Schrift durch Bilder verdrängt wird, da sich dadurch effizienter und effektiver Informationen übertragen lassen. Drei nicht zu verleugnende Eigenheiten unserer Zeit scheinen diese These in ihren Grundzügen zu stützen:

• wachsender funktionaler Analphabetismus in den USA
• zunehmender Einsatz von Bildern und Tönen (Comics, MindMaps, Präsentationen, …)
• Fähigkeit moderne Computer ohne Texteingabe/-ausgabe (Stimmerkennung/-ausgabe, Icons und Drag and Drop) zu nutzen

Wäre das Bandbreitenproblem gelöst, so wären multimediale Riesenmails alsbald an der Tagesordnung. Da Bilder oft mehr als tausend Worte sagen, würde sich doch niemand mehr die Mühe machen, Lesen und Schreiben zu lernen.

Doch so apokalyptisch wird die Zukunft wohl kaum über uns hereinbrechen: Bildern ohne Text fehlt sehr schnell die Tiefe und die Begegnung wird schnell wieder vergessen. Das Gehirn setzt sich nämlich, anders als beim gelesenen Wort, nicht wirklich aktiv mit dem Inhalt auseinander.

Hinzu kommt der audio-visuelle Informationsüberfluss, würde das geschriebene Wort verleumdet werden. Kollaborierend könnten sich die Sinne dann gegen eine weitere Aufnahme sträuben und so alternative Kommunikationswege erfordern.

Verkommerzialisierung

Das Internet wurde seit seinem explosionsartigen Wachstum zur Goldgrube erklärt: Ob Mitarbeiter durchs World Wide Web surfen oder gar auf dem Informatiksektor schlechthin mitmischen, keine zeitgenössische Firma, die etwas auf sich hält, hat nicht schon den Schritt ins Netz der Netze gewagt. Des Gefahrenpotentials durch elektronische Angriffe nicht bewusst, sollten die gewaltigen Summen der Umsätze alsbald durch raffinierte technische Methoden geschützt werden. Ausgeklügelte Antiviren-, Firewall- und Einbruchserkennungs-Systeme gehören mittlerweile zu jedem modernen Netzwerk; Geld zur Umsetzung der Konzepte spielt oft keine so gewichtige Rolle mehr, wie vor etwa zehn Jahren. Dadurch werden für die vielen Hacker und Cracker künstliche Hürden in den Weg gestellt, an denen sie sich oft die Zähne ausbeissen. Viele sind froh um die neuen Herausforderungen, mögen den neuen Schwierigkeitsgrad, um sich von den weniger versierten Benutzern besser abheben zu können. Die unerfahrenen und technisch weniger versierten Angreifer scheitern hoffnungslos und werden zur kriminalistischen Passivität verdammt.

Die Frage ist nur, ob durch propagandistische Werbung nicht zwanghaft ein Markt erschlossen werden will, der im Grunde gar nicht existent sein dürfte. In mancher Anpreisung der neuesten Desktop-Firewall wird eine angeblich vertrauenswürdige Statistik rezitiert, die besagt, dass man nach acht Minuten nach Anschluss ans Internet schon den ersten Angriffen ausgesetzt sei.

Meine empirischen Feldversuche haben gezeigt, dass hier im grossen Masse übertrieben und die Paranoia der unbeholfenen Anwender und Administratoren geschürt werden soll. Zudem mögen vielleicht Angriffe erfolgen, doch schlussendlich sind nur die erfolgreichen Versuche wirklich interessant: Script-Kiddies, die sich einer uralten WinNuke-Version bedienen, können höchstens eine Gefahr für sich selbst darstellen. Man sollte also den Werbeslogans (Don’t get burned by Hackers) sehr kritisch entgegentreten und nicht jede halbwegs populäre Bewegung auf dem Security-Sektor mitmachen. Am Ende ist Sicherheit kein Produkt und schlussendlich vermag der gesunde Menschenverstand am kompetentesten vor den Gefahren aus dem bösen Internet zu schützen.

Die Verkommerzialisierung bringt neben dem neuen finanziellen Gewicht von Netzwerklösungen auch die technische Vereinheitlichung mit sich. Protokolle werden zu festen Standards, wodurch eine plattform- und produktübergreifende Kommunikation möglich wird. Schon heute ist mittels des OPSEC-Standarts die Rekonfiguration eines Firewall-Elements durch ein Intrusion Detection-System möglich. Diese Vereinheitlichung der Kommunikationsschnittstellen ist der erste Schritt zu neuronalen Netzen mit künstlicher Intelligenz. Die Zukunft wird also noch viel bringen.

Künstliche Intelligenz

Zur zeit werden immer mehr Stimmen laut, die eine Zusammenführung zwischen den traditionellen technischen Sicherheitsmechanismen und der künstlichen Intelligenz (K.I. engl. A.I. für Artificial Intelligence) befürworten. Intelligente Firewall-Elemente oder lernfähige Intrusion Detection-Systeme könnten vollkommen autonom Anomalien und neuartige Angriffstechniken erkennen und ihnen dementsprechend entgegenwirken.

Verlässliche Zukunftsprognosen auf diesem Gebiet sind sehr schwierig zu treffen und gehören beinahe ins Land der Utopien verdammt. Es ist zwar vorhersehbar, dass lernfähige Systeme mittels regulären Ausdrücken Abweichungen von abgespeicherten Angriffsmustern erkennen können, aber in welchem Umfang der Schritt Richtung künstlicher Intelligenz getätigt werden kann, wird uns lediglich die Zukunft zeigen können.

Doch ersteinmal müssten wir eine Definition des Schlagworts Künstliche Intelligenz darlegen; und auf diesem Bereich sind sich die Spezialisten nicht gerade einig. Die meisten Definitionen setzen ausdrücklich oder in versteckter Weise voraus, dass intelligentes Verhalten an den kontrollierten Einsatz von Verstand im Sinne des lateinischen Wortes ratio geknüpft ist. Unter Ratio versteht man in diesem Zusammenhang das Vermögen in Begriffen zu denken und logische Schlüsse zu ziehen. Eng mit dieser rationellen Intelligenz verknüpft ist die Symbolverarbeitung, wie sie tagtäglich von Mathematikern und Programmierern gebraucht wird. Klammern wir uns an diese Begriffsdefinition, so wäre jeder Schachcomputer mit künstlicher Intelligenz ausgestattet; ein bisschen weniger bekannt aber durchaus eindrucksvoller wären in diesem Zusammenhang Computer, die selbstständig mathematische Beweise finden können. Auch die sogenannten Expertensysteme – das sind auf die Interaktion mit Menschen angelegte gross angelegte Datenbanken – wären nach dieser Definition mit künstlicher Intelligenz ausgestattet.

Nun gibt es aber einer Gilde von Denkern, die unter künstlicher Intelligenz etwas gänzlich anderes versteht. Schon zu beginn der Debatte um K.I. schlug der britische Mathematiker Alan M. Turing einen einfachen Weg vor, um entscheiden zu können, ob ein System intelligent sei oder nicht. In dem nach ihm benannten Turing-Test verwendet er die menschlichen Kommunikationsfähigkeiten als Massstab: Ein Mensch muss über ein Computerterminal eine Kommunikation mit einer anderen Person führen. Der menschlichen Testperson ist zu Beginn des Forschungsstadiums nicht bekannt, ob das Gegenüber aus Fleisch und Blut besteht oder durch eine Maschine simuliert wird. Vermag die mit künstlicher Intelligenz ausgestattete Maschine die Testperson so überzeugend von ihrer Intelligenz zu überzeugen, kann nach Turing dem Gerät Intelligenz per se zugeschrieben werden. Aber auch dieser Ansatz zur Messung von Intelligenz scheitert an der Menschlichkeit der Involvierten Protagonisten: Sass der Testperson ein Mensch gegenüber, der sehr schnell, exakt und ausführlich über ein Thema zu berichten wusste, wurde dahinter sofort eine Maschine vermutet. Quasi gehört die Fehlerlosigkeit nicht zur menschlichen Intelligenz: Wer so intelligent wie ein Mensch sein möchte, der hat auch Fehler zu begehen.

Sie sehen, lieber Leser: Es ist noch nicht aller Tage Abend, und solange wir uns noch nicht einmal darüber einig sind, wie Intelligenz gemessen werden kann und dementsprechend aussieht, können wir sie theoretisch auch nicht sehen, auch wenn sie vor unseren Augen tanzen würde.

Die von Alan Turing vorgeschlagene Messvariante scheint für den Bereich der Computersicherheit nicht von Bedeutung zu sein, denn in erster Linie ginge es bei der Umsetzung intelligenter Netzwerkelemente um das Vermögen des Ziehens logischer Schlüsse (z.B. „Wird dieses TCP-Flag in diesem Zusammenhang gesichtet, dann ist wahrscheinlich dies im Gange“). Mit künstlicher Intelligenz ausgestattete Firewall-Elemente und Intrusion Detection-Systeme wären also schon heute möglich und befinden sich, ohne das Wissen vieler, gar schon im Einsatz. Ein netzwerkbasiertes IDS hält Ausschau nach verdächtigen Aktivitäten im Netzwerk und schlägt gegebenenfalls aus. Das unabhängige Entdecken und Lernen neuer Angriffsmuster stand bisher noch nicht im Mittelpunkt des Interesses und es bleibt abzuwarten, wann die ersten Gehversuche auf diesem Gebiet gemacht werden.

Emotionale Intelligenz zur Interaktivität mit einem Angreifer wäre sicher auch interessant: Honeypot-Versuche würden eine neue Dimension erreichen.

Spätestens ab dem Einsetzen der Bestrebung einer Realisierung von Bewusstsein bei den jeweiligen sicherheitsrelevanten Netzwerkelementen macht es keinen Sinn mehr, denn diese Eigenschaft könnte gar die Leistung eines Netzwerkelements negativ beeinflussen. Oder können Sie sich eine Firewall mit Emotionen vorstellen, die man kränken könnte? In Bugtraq würden dann plötzlich Meldungen wie Denial of Service-Attacke auf Firewall-1 mittels Beschimpfungen möglich, oder Wie kann ich meine Bridge vor Kränkungen schützen? gesehen.

Charakterstudien

In diesem Teil dreht sich alles um die Charaktereigenschaften potentieller Angreifer. Die Wechselwirkung ist natürlich in keinster Weise ausgeschlossen: So können aufgrund des Wissens des sozialen Umfelds eines Angreifers seine Motivation abgeleitet werden, genauso wie bestimmte Motivationen das soziale Umfeld erahnen lassen.

Lange Zeit habe ich mir den Kopf über den Aufbau dieses Kapitels zerbrochen. Viele Jahre habe ich mit dem Studium der Schriften zur Entwicklung der Persönlichkeit und der psychologischen Typen aus der Feder Carl Gustav Jungs verbracht und so lag es für mich nahe, mich in meinem Bestreben auf seine geistigen Errungenschaften zu stützen. Der Aufbau und die Struktur seiner bekanntesten Abhandlung zu den Typenproblemen der verschiedenen Epochen und Wissenschaftszweigen enthielt für mich leider nichts greifbares, so dass ich diesen rettenden Strohhalm alsdann wieder loslassen musste. Auch das Heranziehen der durch Friedrich Nietzsche in seiner Geburt der Tragödie hervorgebrachten apollinischen und dionysischen Denkweise bot einen viel zu philosophisch-psychologischen Ausgangspunkt für meine Arbeit, und so bin ich plötzlich bei der Typendefinierung aus dem Profiling von Serientätern gelandet. Diese sehr gewaltorientierte Variante mit den Resultaten aus der Aggressionsforschung zu kombinieren erschien mir als ausserordentlich fruchtbar. In einer neuartigen Kombination mit der zur Zeit in der computerkriminalistischen Literatur vorwiegend dargelegten Täterkategorisierung sah ich das lang erhoffte Licht am Ende meines dunklen Tunnels, und so begann die Aufteilung der Täterschaft in vier Grundtypen – Die einzelnen Prototypen habe ich versucht möglichst nach ihrem Gefahrenpotential zu ordnen:

• Der normale Endanwender ohne tiefschürfende technischen Kenntnisse
• Script-Kiddies, vorwiegend aus dem schulischen Umfeld
• Semi-professionelle Angreifer aus dem Computeruntergrund oder traditionell kriminellen Kreisen
• Professionelle Angreifer, wie zum Beispiel Wirtschafts-/Industriespione und Sicherheitsexperten

Als erstes findet sich die Analyse der Gelegenheitsangreifer, zu denen ich den normalen Endanwender und Script-Kiddies zähle. Bei ihnen wird es sich vorzugsweise um eine Frustrationsaggression mit sadistischer Färbung handeln. Einem in diesem Bereich zwar verhältnismässig nichtigen, aber schon fast zu Unrecht gern vergessenen Typus enthält eine sexuelle oder sexualisierte Komponente, die den Hauptantrieb ausmacht: Attacken obszöner oder vulgärer Natur werden des öfteren von technisch weniger versierten Benutzern (z.B. Script-Kiddies) vom echten Leben in die virtuelle Welt übertragen. Die Durchführung solcher Angriffe kann in der Quantität und Qualität sehr individuell ausfallen und in extremen Beispielen schon an eine sadistische Perversion herankommen. Diesen Tätern geht es bei ihren Psychospielen meist um die Ausübung von Macht über ihr Opfer und sie ergötzen sich am Leiden derer. Die Unfähigkeit eines Rückschlag ihres Opfers verleiht ihnen ein uneingeschränktes und dennoch nur sehr kurz anhaltendes Gefühl der Macht.

Desweiteren geht es um semi-professionelle Angreifer, die narzisstische, finanzielle oder sadistische Hintergründe haben. Dies sind Täter, wie zum Beispiel die einzelnen Mitglieder des Computeruntergrunds, die aufgrund psychpathologischer und soziologischen Faktoren zu ihren kriminellen oder aggressiven Handlungen verleitet werden. Ihre Verhaltensmuster werden meist in der Kindheit und Jugend durch ein erheblich gestörtes Verhältnis zur Familie geprägt. Im Elternhaus wird gedroht, geschimpft und gedemütigt – Aggressionen gehören zum Alltag und scheinen ein sich zu bewährendes Lösungsmittel für Konflikte zu sein. Die Motive dieser Tätergruppe sind sehr vielschichtig und die einzelnen Faktoren spielen stets zusammen: Angst, Verzweiflung, Wut, Hass und aufgestaute Aggressionen stellen einen nährhaften Boden dar. Ein Täter mit diesem Hintergrund ist meist als infantil, emotional labil, egoistisch, egozentrisch, narzistisch und sadistisch einzustufen. Diese explosive Mischung und die in den meisten Fällen vorherrschende Kontaktarmut züchtet im Stillen ein durch Verwahrlosung gekennzeichnetes Individuum, das entbunden jeglicher ethisch-humanistischer Grundsätze ist, heran. Bei wiederholtem Versagen oder Abweisung kann das Fass zum Überlaufen gebracht werden und eine aggressive Handlung geradezu herausfordern. Taten solcher Angreifer können selten als spontan abgetan werden, denn sie geraten in eine bestimmte, für sie unerträgliche Konfliktsituation, die sie mit ihrem Verhaltensmuster zu bewältigen versuchen. Bei solchen Vorkommnissen sind keine ritualtypischen Vorgehensmuster erkennbar, denn die Tat ansich ist kein Lustvoller Akt: Dahinter wird stets ein höheres Ziel verfolgt – Der Täter meint provoziert worden zu sein und trachtet nach Vergeltung.

Schliesslich widmen wir uns den professionellen Computerverbrechern, den Wirtschaftsspionen und Sicherheitsberatern, die mit ihrem Wissen aus den jeweiligen Sicherheitsbereichen ihren Lebensunterhalt verdienen. Diese brechen also vorwiegend aus egoistischer Habgier in fremde Systeme ein. Der Drang nach Ruhm oder Geld verleitet sie zu grenzenlosem Egoismus, der sie zusammen mit einer pragmatisch emotionslosen und kalkulierten Vorgehensweise zu einer gefährlichen Täterschaft werden lässt. Im Regelfall handelt es sich bei dieser Täterschicht um gelangweilte Eindringlinge mit einem hohen Mass an Wissen und Erfahrung auf dem Gebiet der Computersicherheit. Eine fehlende Bindungsfähigkeit, verminderte Frustrationstoleranz, Verantwortungslosigkeit und die chronische Missachtung sozialer Normen begünstigt das ihnen vollkommen als kriminell bewusste Handeln. Ein für viele als unverständlich erscheinender Antrieb kann die Durchsetzung einer höheren Macht sein. Ob diese nun moralischer, religiöser oder politischer Natur ist, spielt lediglich in wenigen Punkten eine Rolle. Dieser Täter unterscheiden sich vor allem in den Punkt von den anderen Angreifern, dass sie in keinster Weise einen direkten Vorteil aus ihren Aktionen ziehen können, lässt man mal die fremd- und selbstbeweisenden Optionen ausser Acht.

Ein typischer Charakterzug, der im Grunde jeder erfolgreiche Angreifer mit sich bringen sollte, ist eine gehörige Portion Durchhaltevermögen und logische Intelligenz. Im Gegensatz zu erfolgreichen Gewaltverbrechen muss im mindesten ein technisches Verständnis der Materie vorhanden sein. Weitere, durchaus als typisch einordbare Eigenarten, die der gemeine Computerverbrecher mit sich bringt, ist eine Persönlichkeitsstörung im Sinne von emotionaler Labilität, Gemütsarmut, Verantwortungslosigkeit, Egoismus, Egozentrik, eingeschränkte soziale Impulskontrolle und ausgeprägten Minderwertigkeitsgefühlen.

Gelegenheitsangreifer

Gelegenheit macht Diebe, so lautet eine alte Binsenweisheit. Allgemein gesagt machen entsprechende Gelegenheiten im Informationszeitalter Angreifer. Doch Gelegenheit ist nicht wirklich die Ableitung, die es zu postulieren gilt. Viel mehr ist bei näherer Betrachtung das adjektiv gelegentlich jenes Wort, dass den Nagel auf den Kopf zu treffen versucht. Die in diesem Kapitel besprochene Angreiferschicht lässt sich nur unter seltenen Umständen zu Attacken verleiten. Diese Umstände gilt es nun zu erläutern. Ein pauschales Zuschreiben von fehlender oder vorhandener emotionsloser Berechnung kann nicht getan werden, da solche Wesenszüge ganz individuell auftreten. Ein Vorhandensein von einem gewissen Mass an technischem Verständnis und der Wahrung eines kühlen Kopfes kann auch den Normalbenutzer zu Höchstleistungen bringen. Stark emotionsgeladene Handlungen werden in der Hitze des Gefechts zusätzlich Fehler aufkommen lassen und dadurch den Erfolg einer unerkannten Attacke in weite Ferne rücken lassen.

Eines haben jedoch alle Gelegenheitsangreifer, vorwiegend sind dies normale Endanwender, gemein: Jene, dessen computertechnische Intelligenz nicht über das Bedienen einer Textverarbeitung hinausgeht, sind vorwiegend in der Form von auf dem nicht-teschnischen Gebiet arbeitenden Benutzern anzutreffen. Natürlich kann sich auch ein spezialisierter Programmierer als normalen Endanwender propagieren und zum Beispiel für das Bearbeiten eines Textes dessen Verhalten annehmen; aber was das technische Verständnis und damit unweigerlich verknüpfte computerkriminelle Potential betrifft, wird der Programmierer dem wahren Endanwender einige Nasenlängen voraus sein.

Viele Endanwender sind in beruflicher und privater Hinsicht nicht auf das Nutzen von Computern angewiesen und bringen zusätzlich ein fehlendes Geschick im Umgang mit elektrotechnischen Werkzeugen mit. Solche Benutzer, in der Regel handelt es sich um Hilfskräfte niedrigeren oder mittleren Bildungsstandes, werden von erfahreneren Benutzern gerne abschätzig als DAUs (Dümmster anzunehmender User) oder Newbies bezeichnet.

Die Script-Kiddies machen eine weitaus gefährlichere Schicht der Gelegenheitsangreifer aus. Script-Kids bringen oft einen enormen Elan und spezielles, wenn auch nur sehr lückenhaftes, Hintergrundwissen mit. Diese technische Intelligenz ist seltenst mit der eines semi- oder voll-profesionellen Angreifers vergleichbar, denn schon nur aufgrund des Alters (im Durchschnitt 16 Jahre) kann mit einer fehlenden Erfahrung von Seiten des Script-Kids gerechnet werden.

Narzissmus und Sadismus

Der narzisstisch-sadistisch veranlagte Charakter macht einen Grossteil der generellen nicht-professionellen Angreifer aus. In erster Linie wird durch den Sadismus geprägte Aktionen zum Wohle des eigenen natzistischen Ichs durchgeführt. Oft werden dies irgendwelche Computertricks sein, die mal per Zufall irgendwo aufgeschnappt wurden. Eine Vielzahl der Winnuke-Attacken aus den mittleren 90er Jahren ging auf dieses Konto. Die Beherrschung des Opfers zu Postulierung der eigenen Überlegenheit steht dabei im Vordergrund. Ein Beispiel für das typische Verhalten eines Script-Kiddies, dass sich gerne zum kriminell-gefährlichen Computeruntergrund gezählt sehen möchte, folgt:

Eines Abends des Jahres 2000 fand ich in meiner Mailbox ein Schreiben vor, dass mich aus meinem Halbschlaf hochschrecken liess: Jemand mit kryptischem Pseudonym (|\|30) richtete die Worte an mich, dass er sich im Besitze der Passwortliste eines Servers der Universität Duisburg befinde. Er sei an einem für beide Seiten lukrativen Tausch sensitiver Daten interessiert. Die Wahl seines Nicknames (eine Anlehnung an den Helden aus dem Film The Matrix) und sein unsorgfältiger Schreibstil (einige Grammatik- und Interpunktionsfehler) liessen mich stutzig werden, ob diese Person wirklich den entsprechenden Hintergrund für das Erlangen des besagten Passcodeliste besässe. Ausserdem war ich verdutzt, dass gerade mich eine solche Zusendung erreicht, da ich mich noch nie in der Öffentlichkeit für den Tausch solcher Daten ausgesprochen habe.

Mein Antwortschreiben ist sehr zurückhaltend und ich habe versucht meinen Gesprächspartner mit der kecken Antwort So etwas halte ich für sehr schwierig durchzuführen – Diese Liste will ich erst mal sehen! aus der Reserve zu locken. Prompt wurde mit der von mir berechneten Offenheit geantwortet, und nach einer halben Woche empfing ich per E-Mail ohne viele Worte die entsprechende Passwortliste, der Titel der Datei lautete passwd. Enttäuschung machte sich bei der Einsicht des entsprechenden Textdokuments breit, denn dahinter schien sich lediglich eine shadowed Unix-Passwortdatei zu verbergen – Eine solche Passwortdatei ist in jeglicher Hinsicht wertlos. Dieser Umstand liess mich vermuten, dass mein Mailpartner nur sehr wenig von den Eigenheiten des von ihm gerne penetrierten Betriebssystems verstünde.

In meiner letzten Sendung wies ich ihn knapp aber höflich auf seinen Fehlgriff hin und frage, wie er denn zu dieser vermeintlichen Passwortliste gekommen sei. Seine letztes Schreiben bestätigte meine Vermutung, dass er sich als anonymer Benutzer per FTP eingeloggt hatte, um sich der dort lagernden und unbrauchbaren Pseudo-Passwortliste zu bemächtigen. Im Internet finden sich immerwieder Anleitungen, wie ein solcher Hack durchgeführt wird. Vorwiegend Script-Kiddies nutzen dieses Halbwissen, um das Internet nach FTP-Servern, die anonyme Logins erlauben, zu durchsuchen. Es gibt auch spezielle Anonymous-FTP-Scanner, die diesen Vorgang automatisieren.

Frustration

Um die Hemmschwelle für eine solcherart computerkriminalistisch motivierten Tat zu erreichen, spielt in den meisten Fällen der dritte Faktor in Form von Frustration mit.

• Eine Hilfskraft verübt Denial of Service-Attacken auf ihren jähzornigen Chef.
• Ein entlassener Mitarbeiter richtet sich vor seinem Weggang Hintertüren im Firmennetzwerk ein.
• Ein Mitarbeiter manipuliert die Gehaltsliste zu seinen Gunsten.

Im Falle einer Frustration als Antrieb wird der Angreifer von seinen Attacken ablassen, sobald die in seinen Augen gerechte Vergeltung verübt werden konnte. Die Vergeltung hat das Ziel den eigenen Selbstwert vor sich selber oder den anderen durch die Unterdrückung des Opfers wiederherzustellen.

Selbstschutz

Um einer Frustration vorzubeugen, könnte ein Angreifer einen mittels technischen Mitteln durchgeführten präventiven Selbstschutz anstreben. Dass ein normaler Endanwender diese Sorte Angriffe durchführt, liegt nicht besonders nahe und darf ins Land der Märchen verdammt werden. Ohne Grund möchte ich diese Verdammung natürlich nicht im Raume stehen lassen. Für mich liegt es nahe, dass ein normaler Endanwender ohne technisches Hintergrundwissen sehr viel Aufwand in Form von Recherche tätigen müsste, um in die nähe der Möglichkeit eines Erfolgs kommen zu können. Ich zweifle stark daran, dass sich ein wirtschaftlich denkendes Individuum so viel Arbeit zumuten würde, käme es mit einem alternativen Lösungsweg effizienter und effektiver zu einem für es befriedigen Resultat (z.B. das Gespräch mit dem Gegenüber).

Kindliche Neugierde

Der andere Hauptmotivationsgrund ist bestehende Neugierde eines kindlichen Mitarbeiters. Der Benutzer wird ohne Rücksicht auf Verluste ihm nur halbwegs bekannte Aktionen durchführen und eventuell durch seine Ungeschicktheit Schaden anrichten. Nicht selten werden bei solchen Kreuzzügen Daten versehentlich gelöscht oder wichtige Ressourcen unermüdlich aufgebraucht. Erfolgreiche, gewollte und konstruktive Attacken durch DAUs sind also sehr selten gesehen. Viel mehr richten sie in ihrer Unbeholfenheit unwillkürlich Schaden an, und stellen so eine gewisse Gefahr für ein Netzwerk dar.

In meiner Inbox finde ich ein Mail eines gewissen Otto F. vor, der sich auf sehr höfliche Art und Weise wegen eines Problems an mich wendete. Seine Zuschrift schilderte kurz die Umstände, dass er von einer durch ihn sehr lieb gewonnenen Chatpartnerin des öfteren an der Nase herumgeführt wurde. Sein Anliegen bestand nun darin, sich einer ihrer Mail- oder Chataccounts zu bemächtigen und dadurch den Spiess einmal umdrehen zu können. Anhand seines gepflegten Schreibstils, das sehr an einen offiziellen Brief erinnerte (z.B. übersichtliche Gliederung und nur wenige Schreibfehler), nahm ich an mit einem gebildeten und sorgfältig arbeitenden Mann zu korrespondieren. Damit zu rechnen, dass mein Gegenüber ein tiefgründiges technisches Verständnis aufzuweisen habe, hielt ich jedoch aufgrund seiner etwas unbeholfenen und unkonkreten Frage für töricht.

Ich wies ihn in meiner sofort folgenden Antwort höflich darauf hin, dass ich eine solche Aktion weder befürworten noch unterstützen könne und wolle. Weiterhin gab ich ihm subtil den Hinweis, dass sein Vorhaben durchaus mit dem entsprechenden technischen Hintergrundwissen zielsicher zum Erfolg gelenkt werden könnte. Das Mail abschliessend richtete ich beiläufig die Frage nach seinem Beruf an ihm, um mir ein Bild seines Potentials verschaffen zu können.

Zwei Tage später erhielt ich sein nächstes, wiederum sehr höfliches Schreiben, in dem er mir als erstes seine Bewunderung für meine Arbeiten zum Ausdruck brachte; er habe meine Webseiten besucht und sei von der Qualität und Quantität meiner selber verfassten Dokumente fasziniert. Dies war ein sehr typisches Merkmal für die berechnende Unterwürfigkeit, um mich trotzdem, wenigstens auf emotionaler Ebene, umstimmen zu können – Er hat mir mit anderen Worten versucht Honig ums Maul zu schmieren. Desweiteren tischte er mir diverse soziale und psychische Gründe auf, warum er sich selbst zur Durchführung einer dieser hochkomplexen Attacken nicht in der Lage sähe: Durch einen nicht selber verursachten Autounfall trug er einen angeblichen Hirnschaden davon, der ihm eine längerfristige Konzentration, und somit auch das Lesen entsprechender Literatur und durchführen der dokumentierten Vorgänge, verhinderte. Diese Selbstdenunzierung lässt neben der schon zuvor vermuteten Manipulation auf emotionaler Ebene einen typischen Script-Kiddie-Charakter vermuten, der möglichst ohne viel Aufwand Erfolg verbuchen können mochte.

Ein mit der Neugierde und der Frustration ebenso mitschwingender Handlungsgrund kann der Drang zur Selbst- oder Fremdbeweisung sein. Die durch Kombination mit der Neugierde hervorgerufene Tätigkeit kann als konstruktiv betrachtet werden, da durch den Geltungsdrang eine positivistische Maxime verfolgt wird. Ist die Kombination aus Frustration und Egozentrik der Inhalt des Übergriffs, wird von einem destruktiven Handlungskontext gesprochen. Die pure Destruktivität ansich kommt dann zur Sprache, wenn Verluste bewusst und gewollt in Kauf genommen werden, ja sogar ein Ziel darstellen.

Das Gefahrenpotential

Zu beachten ist, dass vieler in solcher Weise motivierter Angreifer Insider sind. Dies bedeutet, dass sie entweder eine direkte Beziehung zum Opfer haben oder indirekt wenigstens an einer güldenen Informationsquelle sitzen. Interne Angreifer in der Form durchschnittlicher Computerbenutzer machen einen hohen Prozentsatz der computerkriminalistischen Übergriffe aus: So wird stets seit jeher in diversen Studien davon ausgegangen, dass 60 bis 80 % der Angriffe auf die EDV-Infrastruktur einer Firma von einem sich im erlaubt im internen Netzwerk befindlichen Mitarbeiter durchgeführt werden. Dieser Umstand ist daher so bedrohlich, weil den Mitarbeitern a) das eben touchierte hohe Mass an Vertrauen entgegengebracht wird und b) Schutzmassnahmen gegen Angriffe von intern, wenigstens im Gegensatz zu externen Attacken, meist nicht ausgereift genug sind. Es gilt daher auch das lokale Netzwerk mittels Firewall-Elementen und Intrusion Detection Systemen vor internen Attacken zu schützen.

Wird durch einen Mitarbeiter ein sicherheitsrelevantes und dementsprechend gut isoliertes System angegriffen (z.B. Web- oder Mailserver), so wird in den seltensten Fällen ein Erfolg für den Eindringling zu verbuchen sein. Zu niedrig ist das technische Niveau, dass zwingend zur konstruktiven Durchführung der Aktion vorhanden sein muss. Über das Benutzen der populären grafischen Sicherheitstools, vorwiegend für Windows, wie zum Beispiel einen Portscanner oder ein Remote-Control-Programm, wird der Mitarbeiter nicht hinauskommen. Von Glück für ihn ist gar schon zu sprechen, wenn er mit diesen simplen Utilities zurecht kommt: Viele Endanwender ohne das Verständnis der eingesetzten Netzwerktechniken werden noch nicht einmal aus der Funktionalität eines simplen Portscanners schlau.

Das öffentliche Verhalten eines technisch weniger versierten Benutzers wird sich schon alleine deshalb auf das voraggressive Verhalten in Form möglichst pompöser verbaler Drohgebärden minimieren lassen.

Für einige Monate war ich offiziell der Moderator der Hacking-Sektion des Forums der Kryptocrew. Während dieser Zeit habe ich mich um die Wahrung eines möglichst hohen Niveaus bemüht und versucht technisch weniger versierte oder ethisch verwerfliche Postings fern zuhalten. So kam es nicht selten vor, dass ich mich aufgrund meiner strikten Sanktionen regelmässigen verbalen Attacken ausgesetzt sah. Einer dieser Angriffe war zu beobachten, als ich mich zu einem Posting eines Benutzers negativ geäussert und im selben Atemzug den Thread geschlossen habe. Die von mir attackierte Person reagierte emotional mit einer prompten Rückantwort durch Eröffnung eines neuen Threads an selbiger Stelle:

Du hälst Dich wohl für den Grössten. Meine IP-Adresse ist 195.23.5.42 – Hack mich doch, wenn Du kannst!

Alleine am Schreibstil und der offensichtlich fehlenden technischen Kompetenz war hinter diesem verbalen Rückschlag ein Neuling im Bereich der Netzwerksicherheit zu vermuten. Ich hielt es daher nicht für nötig, diese Nachricht in irgendeiner Weise mit einer Reaktion zu würdigen, und so ist gesamte Angelegenheit auch schon nach wenigen Tagen ohne weitere Zwischenfälle in Vergessenheit geraten.

Das Einschätzen des Gegners bei einem solchen verhältnismässig harmlosen Übergriff ist relativ einfach: Diese Person bringt scheinbar höchstens die Kenntnis mit, wie am eigenen System die IP-Adresse herauszufinden ist. Dass eine solche Adresse in der Regel bei jeder Einwahl durch eine Wählverbindung (auch viele Kabelinternet- und DSL-Anbieter vergeben keine statischen IP-Adressen) neu zugeteilt wird, scheint dem Anfänger in punkto TCP/IP entgangen zu sein. Ob er sich mit der hochkomplexen Materie der Computersicherheit auskennt, bleibt schon alleine aufgrund dieses Indizes sehr fragwürdig. Hinzu kommt die unkonkretisierende Wortwahl in Form von Hack mich doch. Wahrscheinlich ist darunter ein konstruktiver Angriff zu vermuten, der sich bei einer Normalinstallation von Windows 9x in der Regel nicht durchführen lässt – Es ist nämlich kein aktiver Dienst ansprechbar und für konstruktive Zwecke ausnutzbar. Hinzu kommt sein höchst emotionales Entgegnen in erregtem Zustand. Ein kalkulierender Kopf könnte zwar durchaus vorhanden sein, doch wird er in diesem Falle bei weiteren technischen Übergriffen sehr schnell Fehler machen.

Ob die Attacken konstruktiver oder destruktiver Natur sind ist den Script-Kiddies egal; und genau dieser Umstand und die damit verbundene Unberechenheit macht sie so gefährlich: Sie folgen keiner ethischen Grundhaltung und sind sich oft der Tragweite ihrer Aktionen nicht bewusst. Ich vermute, dass überhaupt das soziale und moralische Verständnis solcher Individuen zu einem gewissen Grade gestört ist. Oft ist es wohl zudem eine Frustration (z.B. Familie, Schule), die Jugendliche zu ihren Handlungen beflügeln und die Aggression die moralischen Schranken ihres Seins überschreiten lässt.

Da Script-Kiddies der Kontakt zum kriminellen Computeruntergrund und das intellektuelle Potential für eigene Neuentwicklungen fehlt, hinken sie in technischer Hinsicht stets den anderen Tätergruppen (ausgenommen den DAUs) hinterher. Oft sind es hoffnungslos veraltete Tools oder Exploits, die ein Script-Kiddie per Zufall auf einer dieser zahlreichen und zwielichtigen Webseiten findet und mal eben ausprobieren möchte. Ob jetzt ihr neues Denial of Service-Tool nur gegen einen alten Linux-Kernel erfolgreich einsetzen lässt wissen sie meist gar nicht und wollen sie auch gar nicht erst wissen: Sie setzen das Utility einfach mal gegen das erstbeste Ziel ein um danach eventuell ein ganzes IP-Range wahllos damit zu terrorisieren. Manchmal wissen sie gar nicht einmal, wie sie ihre Erfolge fachgerecht ermitteln können. Sehr selten muss daher mit einem konstruktiven Angriff gerechnet werden, da für einen solchen schlichtweg ein gewisses Mass an Wissen mitgebracht werden müsste. So ist es nicht verwunderlich, dass sich die Mehrheit der aktiven Script-Kiddies auf Denial of Service-Attacken verlegt hat. Das stupide Ausführen von DoS-Attacken erfordert meistens kein Wissen über die involvierten Computersysteme oder das genutzte Netzwerk. Dank vieler simpler Tools kann ein Script-Kiddie somit sehr schnell und effizient gegnerische Systeme in die Knie zwingen. Script-Kiddies haben den Hang zu Remote-Control-Utilities und Denial of Service-Tools. So ist es am einfachsten durch den Einsatz eines gut umgesetzten Firewall-Systems, aktueller Antiviren-Software und gesicherten (z.B. durch Patches) Betriebssystems entgegenzuwirken. Diese Angreifergruppe lässt sich relativ einfach durch das eigene Fachwissen überlisten und stellt somit für einen verlässlichen Administrator keine Gefahr dar.

Script-Kiddies haben den Drang sich so schnell wie möglich zu verwirklichen und so schnell wie möglich erste Erfolge feiern zu können. Alleine aus diesem Grund sind sie auf möglichst simple und benutzerfreundliche Betriebssysteme (z.B. Windows 9x) angewiesen. Hinzu kommt, dass Script-Kiddies aufgrund ihres (nicht vorhandenen) Einkommens den Computer ihrer Eltern nutzen müssen. Die Chance ist also aufgrund der fehlenden technischen Kompetenz, des schnellen Drangs nach Erfolgen und den sozialen bzw. wirtschaftlichen Verhältnissen relativ gering, dass man einem Script-Kiddie mit einem UNIX-Derivat (z.B. Linux oder SunOS). Da aber auch Linux immer mehr an Popularität erreicht – dies geschieht vor allem, weil solche Distributionen wie SuSE vornehmlich nun die Benutzerfreundlichkeit an erste Stelle setzen -, wird die Windows-Tendenz rückläufig werden: Heutzutage kann praktisch jedes Kind sein SuSE-Linux produktiv ans Netz hängen wodurch der Zugriff auf tausende von potenten Exploits ermöglicht wird.

Semi-professionelle Angreifer

Der Terminus semi-professioneller Angreifer schreibe ich jener Benutzergruppe zu, die einen Grossteil ihrer Freizeit zur Ausführung ihrer zwielichtigen Aktivitäten nutzt. Semi-professionelle Angreifer unterscheiden sich in diversen Punkten von Endanwendern, Script-Kiddies und vollprofessionellen Angreifern. In die Gruppe der semi-professionellen Angreifer zähle ich traditionelle Kriminelle, Cyberkriminelle aus dem Computeruntergrund und Studenten.

Studenten

Die in diesem Kapitel betrachteten Schüler und Studenten sind meist in der Mittelklasse zu suchen. Aufgrund der meist im echten Leben fehlenden Aggressivität wage ich zu bezweiflen, dass man nicht gar das soziale Umfeld auf gutbürgerliche Mittelklasse einengen kann. Da Studenten ein verhältnismässig hohes Mass an Intelligenz und Ehrgeiz mitbringen müssen, wird sich dies a) auf ihre privaten Tätigkeiten ausweiten und b) durch ihr privates soziales Umfeld geprägt haben. Die Eltern von Studenten werden meist selber eine beachtliche schulische oder berufliche Laufbahn hinter sich haben und direkt oder indirekt ihr Kind in dieselbe Haltung gedrückt haben.

Als Freaks würden sich viele Leute dieser Angreifergruppe bezeichnen und sie benutzen dementsprechend die unpopuläreren Betriebssysteme, die für ihre Zwecke (Programmieren und Cracking) mehr Potential bieten. So kommt es wohl kaum in Frage, dass ein Student produktiv ein Windows 9x nutzen wird. Viel mehr wird er sich zur OpenSource-Bewegung (z.B. Linux) hingezogen fühlen und sich dementsprechend mit UNIX und seinen Derivaten auskennen. Vereinzelt kann es zwar auch vorkommen, dass ein solcher Angreifer Windows NT/2000 benutzt. Der naheliegendste Grund dafür dürfte sein, dass der Hang zu Computerspielen sie weiterhin zum Betriebssystem aus dem Hause Microsoft hinzieht.

Die Motive

Vornehmlich Studenten nutzen ihre meist sehr guten Kenntnisse über Computer und Netzwerke für konstruktive Attacken. Eventuell wollen sie sich durch den Nervenkitzel von ihren Frustrationen im Alltag ablenken lassen oder suchen durch grossartige Aktionen seelische Befriedigung. Vor etwa zwanzig Jahren war man auf der Suche nach einem Grossrechner, dem man etwas Rechenpower abknüpfen konnte. Solche Aktionen gingen meist auf das Konto intelligenter Jugendlicher aus der Mittelschicht, die aufgrund ihrer finanziellen Notlage auf fremde Rechnleistung angewiesen waren. Dieses Phänomen verliert sich aufgrund der starken Preissekungen im Hardwarebereich immer mehr. Schlussendlich ist es fraglich, ob man solche Rechenpower-Diebe wirklich hart bestrafen soll. Solange man ungenutzte Rechnleistung fremder Personen für eine gute Sache nutzt (z.B. das Kompilieren grossen Programmcodes) sehe ich keine eigentlich aggressive Handlung vorliegen. Der mitunter berühmteste Fall eines kollektiven Eindringens in die Rechenanlagen eines Grossbetriebs ist der berühmt berüchtigte NASA-Hack einiger Mitglieder des Berliner Chaos Computer Clubs.

Die ethischen Grundsätze

Ein wichtiger Punkt, der dieser Angreifergruppe zugeteilt werden kann, ist in vielen Fällen ihre ethische Überzeugung. Ob diese Grundsätze der landläufigen Meinung entsprechen ist meist fraglich, doch halten sich Angreifer oft an einen strengen Ehrenkodex. Der mitunter bekannteste, welche immerwieder bei Computerbegeisterten angetroffen wird, ist die sogenannte Hacker-Ethik aus den 60er Jahren:

Der Zugriff zu Computersystemen – und allen anderen Dingen, die Auskunft darüber geben, wie die Welt funktioniert – muss für jeden uneingeschränkt möglich sein.

• Alle Informationen müssen kostenlos sein.
• Misstraue Autoritäten – Unterstütze Dezentralisierung.
• Hacker sollten nach ihrem Tun und nicht nach Diplomen, Alter, Rasse oder Position beurteilt werden.
• Mit dem Computer kann auch Kunst und Schönheit geschaffen werden.
• Computer können das Leben zum Besseren verändern.

Frustrationen in der Familie oder der Schule können einen Schüler schnell zu aggressivem Verhalten in Computernetzwerken bringen. Und so wird es umso problematischer , wenn diese intelligenten jungen Erwachsenen ihre Fähigkeiten für rein destruktive Zwecke nutzen – Das versehentliche Durchführen einer destruktiven Aktion ist weitaus geringer als bei den eigentlichen Script-Kiddies: Moralische Grundsätze können bei Studenten schnell unbewusst oder bewusst in den Hintergrund geraten. Vergeltungsschläge gegen Personen und Insititutionen sind dann keine Seltenheit: Man denke zum Beispiel nur mal an den grossen Denial of Service-Vorfall im Jahre 1997, als diverse Rechner von Ebay, Yahoo und Amazon ausgefallen sind. Wird die Aggression durch eine Ungerechtigkeit hervorgerufen, so werden öfters politisch motivierte Aktionen in die Wege geleitet. Das Verunstalten von Webseiten um auf Missstände hinzuweisen ist eine sehr populäre Form. Nicht selten vergehen sich Jugendliche an Kinderpornographischen Webseiten und weisen auf die Ungerechtigkeit dieser Kinder hin. Ein solches Vorgehen zu verurteilen und zu bestrafen halte ich persönlich für absolut sinnlos. Man sollte solche Übergriffe gar belohnen; sei dies nun finanziell oder durch Publicity, denn die Behörden verfügen oft gar nicht über die Kompetenz oder Kapazität um kriminelle Auftritte im World Wide Web zu unterbinden. So kommen diese Robin Hoods aus dem semi-kriminellen Computerbereich doch nur recht, die selbstlos eine Minderheit beschützen wollen. Wie bei jeder Selektion wird es dann aber wiederum schwierig, welche Übergriffe als gutartig, welche als bösartig gewertet werden sollen. Destruktive Übergriffe im Zusammenhang mit Kinderpornographie ist in den Augen vieler eine heldenhafte Tat. Für strenge Christen wird auch ein Angriff auf eine Webseite, die homosexuelle Inhalte bereitstellt als positives Verhalten aufgefasst werden können. Jedes Land, jedes Umfeld und jede Person hat seine eigenen Wertvorstellungen. All diesen Ethiken und Moralen gerecht zu werden ist eine weitere Utopie, der man versuchen muss Herr zu werden.

Das Gefahrenpotential

Die Angriffstaktiken von Angreifern aus dem schulischen Umfeld sind meist weitaus gerissener aus die der oberflächlich orientierten Script-Kiddies. Oft werden von Studenten ausgeklügelte Tools zur Automatisierung des Ausnutzens einer Schwachstelle geschrieben. Ihre technische Intelligenz und moralische Überzeugung lässt vermuten, dass sie sich lieber konstruktiven Attacken zuwenden. Denial of Service dürfte lediglich in Fällen enormer Frustration vorkommen.

Cyberkriminelle des Computeruntergrunds

Die Grenze zwischen reellen Kriminellen und Individuen aus dem Computeruntergrund zu ziehen ist sehr schwierig: Die beiden Bereiche verschmelzen an vielen Stellen, so dass aber auch Ableitungen möglich werden. Das verkaufen von gestohlenen Kreditkartennummern oder geklonten Telefonkarten ist im Grunde mit dem Handel von Drogen oder gestohlenen Wahren zu vergleichen. Auch die Hierarchien von organisierten Banden sind vergleichbar: Der Kopf wird sich um die Logistik kümmern, eine Stelle für das Anschaffen neuer Wahren und eine andere Stelle versucht die Wahre abzusetzen. Es ist also wichtig die Position eines Mitglieds eines Verbrecherrings richtig einschätzen zu können. Die drei Eckpunkte Anführer, Besorger und Verkäufer sind nicht miteinander zu vergleichen: Weder der technische, noch der intellektuelle oder soziale Hintergrund zielt in die gleiche Richtung. Für uns von Interesse ist aber in erster Linie der Besorger, also jener, der zwecks Beschaffung in Systeme einbricht und Daten stielt.

Bei dieser Gruppe kommt zum ersten mal ein neuer Aspekt ins Spiel, der eine gewisse Dynamik hervorruft: Das organisierte Verbrechen. Der Computeruntergrund ist sehr gut organisiert und es werden immerwieder neue Wege gefunden um die Behörden zu übergehen. Seit dem Einzug starker Verschlüsselung kann der Computeruntergrund unbeobachteter den je kommunizieren. Programme, Protokolle und Standarts wie PGP, SSH und SSL verhindern die Einsicht privater Daten. Die gute Organisation des Computeruntergrunds übertrumpft meistens die archaisch anmutende Kommunikation der Behörden. Im Untergrund werden Informationen ausgetauscht, lange bevor sie an die Öffentlichkeit gelangen. Nun aus diesem Grund das private Nutzen von kryptographischen Mitteln unterbinden zu lassen halte ich für gefährlich und unsinnig. Auch die Privatperson hat ein Recht darauf ihre Privatsphäre zu wahren. Würde man kryptographische Protokolle für den privaten Gebrauch verbieten, so müsste man auch gleichzeitig alle Waffen verbieten. Denn auch dort kann man schlussendlich sagen: Der Mensch tötet, nicht die Waffe.

Die Organisation muss etwas ignoriert werden, spricht man von Einzelkämpfern aus dem Computeruntergrund. Eine beachtliche Anzahl von Crackern meidet den offensichtlichen Kontakt zu vermeintlich Gleichgesinnten. Viele tun dies aus Angst vor einem schwachen Glied in der Kette ihrer Kontakte. Wird der Kontakt zum Computeruntergrund gemieden, so ist wird es unwahrschenlicher, dass hochbrisante Informationen zu einer nützlichen Zeit in Erfahrung gebracht werden können: Was bringt der beste Exploit, wenn schon seit einem halben Jahr vom Hersteller der betroffenen Software ein Bugfix herausgegeben wurde? Auch ein Einzelkämpfer wird also gewisse Kontakte aufrecht erhalten. Der Vorteil eines Einzelkämpfers ist eindeutig, dass er nicht über Umwege belangt werden kann: Niemand wird ihn verraten, weil ihn niemand kennt. Ein typisches Beispiel eines Einzelkämpfers war nach eigener Aussage amerikas Supercracker Kevin Mitnick. Auch beim Fall Mitnick wurde ein Technik (IP-Spoofing), die wenigstens in der Theorie als alt betrachtet werden musste das erste mal konstruktiv eingesetzt.

Die Motive

Wer sich gut und gerne im zwielichtigen Computeruntergrund bewegt, der wird auch in sozialer Hinsicht kein normales Leben aufzuweisen haben. Oft nimmt das technische Hobby solcher Freaks sie so in Anspruch, dass sie weder den Kontakt zur Familie noch zum Freundeskreis anständig pflegen können. Diese Angreifer werden sich also ihre Zuneigung im Computeruntergrund suchen; und genau dieser Aspekt macht sie für eine Manipulation und Ausbeutung sehr verletzlich: Ein bösartiger Cracker will sich a) beweisen und reagiert b) sehr heikel auf Angriffe auf seine Männlichkeit. Hat jemand einen tollen Hack gemacht, so wird er ihn unter Umständen sofort publik machen wollen, um sich dadurch Ruhm verschaffen zu können. Gibt er dabei zu viel von sich preis, kann er schnell aufgespürt werden. Zudem lassen sich solche Angreifer auch gerne durch Unterstellungen und Provokationen aus der Reserve locken (z.B. Du sollst das gemacht haben? Das glaube ich Dir nicht. Beweis es mir!). Ein gutes Beispiel für den typischen Profilierungs-Drang eines Mitglieds des Computeruntergrunds ist die folgende Skizze eines Mailverkehrs:

Die liebsten E-Mails sind mir solche wie folgendes: Eine mir bis dato nur vom Hörensagen bekannte Person Arno O. lässt mir auf elektronischem Wege ein Perl-Programm zur Ausnutzung einer Schwachstelle des Webservers von Microsoft zukommen. Seine mitgesandten Worte waren kurz und prägnant: “Viel Spass mit dem Exploit: Vielleicht kannst Du ihn ja für was nützliches brauchen.”

Spätestens nachdem ich mich der Funktionalität des Scrips überzeugt hatte – es liess einem beliebige Kommandos auf MS IIS 4.0/5.0 ausführen -, war ich ein bisschen verwirrt. Ich war mir dessen bewusst, dass Arno O. in der Szene einen guten Ruf für hochpotente Software aufzuweisen hatte, doch stand ich bisher in keinster Weise mit ihm in direktem Kontakt. Mein Bestreben galt in erster Linie, meinen aufkommenden Fragen so schnell wie möglich entgegenzuwirken. Ich schrieb deshalb noch am selben Abend eine Antwort, in der ich um mehr technische und nicht-technische Informationen bezüglich seines IIS-Exploits bat.

Er beantwortete mir in einem nach einer Woche ankommenden E-Mail anstandslos alle Fragen. So stiess er zusammen mit einigen Bekannten per Zufall auf das Problem. Den Exploit zur gefundenen Sicherheitslücke hatte er selber geschrieben und verteilte kurz vor der Veröffentlichung seinen engsten Kollegen die Software. Warum er mich trotz vorherig nie vorhandenen Kontakts freundlicherweise zu seinem engeren Kollegenkreis zählt, bleibt für mich auch heute noch ein kleines Rätsel. Wahrscheinlich sah er damals den geeigneten Zeitpunkt, um mit mir auf pompöse Art und Weise in Kontakt zu treten. Wie ich über die Jahre gemerkt habe, ist er generell eine etwas exzentrische Natur.

Es ist damit zu rechnen, dass die technischen Vorlieben von Leuten aus dem Computeruntergrund mit denen aus dem Studentenbereich vergleichbar ist. Wiederum werden unpopuläre Betriebssysteme und UNIX-Derivate aufgrund ihrer Flexibilität vorgezogen werden. Es gibt aber auch eine beachtliche Anzahl von Crackern, die rein auf Windows setzen und sich über illegale Kanäle kommerzielle Software besorgen. Diese Angreifer verfügen seltener über ein ausgeklügeltes Fachwissen, mehr über eine beachtliche Menge teurer und eventuell gefährlicher Software.

Das Gefahrenpotential

Kein anderer Bereich dürfte in der Sicherheitstechnik solche Massstäbe setzen und in Richtungen lenken, wie der Computeruntergrund. Eigentlich werden dort die Trends und Spezifikationen von morgen definiert. Die Sicherheitsberater können meist nur reaktionär auf die Aktivitäten im Computeruntergrund reagieren. Es ist daher nicht verwunderlich, dass die durchdachte Organisation und die beharrliche Ausdauer einen Angreifertyp hervorbringt, der sehr gefährlich sein kann.

Traditionelle Kriminelle

Die Gruppe der Kriminellen ist jene, mit welcher ich bisher wohl am wenigsten in Kontakt war. Meine Aussagen beziehen sich daher mehr aus Büchern und wurden durch mich indirekt abgeleitet. Ich beziehe mich hierbei zwar auf die Kriminellen ansich, fokussiere jedoch mein Betrachten auf ihre Computeraktivitäten. Das Medium Internet wird durch Kriminelle höchstens für den Informationsaustausch oder den An- und Verkauf von Wahren genutzt. Somit ist ihr elektronischer Gang nur ein beiläufiger Teil ihres Geschäfts.

Das Gefahrenpotential

Selten ist also durch Übergriffe durch Kriminelle zu rechnen, da solche wegen ihrer fehlenden Effizienz für sie sehr wenig Sinn machen. Nehmen wir als Beispiel die Einschüchterung: Klar ist es möglich, dass ein Drohbrief in Form eines E-Mails an das Opfer geschickt wird. Die Wirkung wird jedoch wohl kaum mit einem echten Brief vergleichbar sein. Der Grund liegt wohl darin, dass bis zur heutigen Generation das Medium E-Mail als sehr unemotional und unecht empfunden. Wer sich also über einen elektronischen Liebesbrief weniger freut als über ein handschriftliches Pendant, der wird wohl auch vor eketronischen Drohungen weniger angegriffen sein. Dessen sind sich sicher auch die drohenden Personen bewusst und setzen daher eher auf Telefonanrufe oder Postbriefe.

Spätestens die physische Einschüchterung oder Vergeltung durch kriminelle Elemente muss vor dem Computer halt machen, da sie schlichtweg nicht durchgeführt werden kann. Diese Tätergruppe ist also für uns relativ uninteressant und gewinnt erst in der Kriminologie an Bedeutung.

Professionelle Angreifer

Unter einem professionellen Angreifer ist eine Person zu verstehen, deren Haupttätigkeit das vorwiegend konstruktive Angreifern von technischen Systemen ausmacht. Zwangsweise fallen in diesen Täterkreis jegliche Form von Spionage (wirtschaftliche, industrielle, politische und militärische) und Sicherheitsberatung durch sogenannte Experten.

Die Brisanz einer Angreiferschicht steigt mit der Qualität ihrer Motivation, Kompetenz und Ziele. Aus diesem Grunde sind halb- oder vollprofessionelle Angreifer die mitunter qualitativ bedrohlichste. Die in diesem Kapitel beschriebenen Tätertypen heben sich daher in diversen Punkten von den restlichen Angreifergruppen ab: Sie sind meist sehr intelligent, besitzen kompetentes Fachwissen, sind gut organisiert und haben einen finanziellen Antrieb. Zwar kann zu einem gewissen Grade auch der Antrieb in Form von Selbst- und Fremdbeweisung oder einem Nervenkitzel gesucht werden, aber unbestreitbar ist der finanzielle Aspekt der attraktivste. Wirtschaftsspione kommen meist aus der gehobenen Mittelschicht und gehen eventuell nebenbei einem Beruf nach, der sehr eng mit ihren kriminellen Aktivitäten verknüpft ist. So ist es nicht selten, dass ein Sicherheitsberater ins kriminelle Milieu abdriftet, da dort eventuell die Bezahlung besser ist. Ein Beispiel von (vorgetäuschter) Wirtschaftsspionage ist der Fall Karl Koch, in dem sehr schön der Aufbau, Ablauf und Hintergründe behandeln werden.

Spione der Behörden

Behörden bilden zunehmends unter der Hand oder aus Publicity-Gründen mit einem riesen Tamtam Spione aus, die die Staatssicherheit bewahren und im Einzelfall gar Gegenschläge ausführen können müssen. Die elektronische Kriegsführung bezieht sich in diesem Zusammenhang aber nicht nur auf das Aufdecken, Verhindern und Vergelten von elektronischen Attacken, sondern auch auf das konstruktive Ausspionieren des Gegners: Wirtschafts- und Industriespionage, die nicht nur von den Behörden betrieben wird, ist heute auf elektronischem Wege aufgrund der vorherrschenden Computerisierung der gewinnträchtigste Zweig. Die offensichtlichen direkten konstruktiven und destruktiven Ziele der Spionage können sein:

• Stehlen wichtiger Daten einer gegnerischen Vereinigung
• Zerstören wichtiger Daten eines gegnerischen Vereinigung
• Verfälschen wichtiger Daten eines gegnerischen Vereinigung

Das Gefahrenpotenatial

Vor allem die Weltmacht USA wurde immerwieder in den Medien im Zusammenhang mit ihrer Cyberarmee genannt. Auch Deutschland und die anderen Länder versucht in dieser Hinsicht nachzuziehen. Ob der Aufwand Sinn macht und auch für die ausbildenden Insititutionen Erträge abwerfen können, bleibt noch abzuwarten. Wird bei solchen Schulungen der ethische Standpunkt in den Hintergrund gerückt und spielen soziale Umstände mit, können Cybersoldaten eventuell ihr Wissen, ihre semi-professionellen Aktivitäten zeugen meist von hochspezialisiertem und -kompetenten Verhalten, gegen Unschuldige missbrauchen. Solche Umkehrreaktionen wurden auch bei traditionellen Soldaten oder Experten in der Vergangenheit brutale Realität (siehe Bombenattentat in Oklahoma, USA).

Wirtschafts- und Industriespione

Wirtschaftsspione sind für Privatpersonen im Gegensatz zu Organisationen ansich nicht gefährlich. Eine Gefahr ist aber auch dann für den nromalen Endanwender existent, wenn über eine Privatperson an Daten zur Organisation gekommen werden soll oder kann. In den vergangenen Jahren wurde dies immerwieder vergessen, und so hat man zwar ausgeklügelte Firewall-Systeme am Perimeter der Organisation aufgestellt, aber die Mitarbeiter, welche über Remote-Zugriff von zu Hause arbeiten, nicht genügend geschützt. Ein in diesem Zusammenhang immerwieder gerne rezitiertes Beispiel ist Folgendes:

Die japanische Reagierung sah sich der Entscheidung gegenüber, welchen Hochgeschwindigkeitszug für das Nutzen im eigenen Land gekauft werden soll. Zur Auswahl standen der deutsche ICE und der französische TGV.

Technisch gesehen waren sich die beiden ebenbürdig, doch schlussendlich machte der TGV das Rennen: Die Franzosen befanden sich bei der Abgabe der Offerte im Besitz des Preisanschlags der Deutschen.

Antiviren-Software, Personal Firewalls, sichere Authentifizierung und kryptographische Methoden rücken daher immer mehr in den Mittelpunkt. Anhand ihrer und einer entsprechenden Konzeption kann man auf technischer Ebene ein abgesichertes System zustande bringen. Aus den Augen verloren wird dabei jedoch immerwieder, dass der menschliche Verstand die grössten Sicherheitslücken zutage fördert. Ohne das entsprechende Hintergrundwissen wird ein unbeholfener Anwender heikle Informationen herausrücken, was immerwieder von Angreifern ausgenutzt wird. Bestes Beispiel hierzu ist folgendes:

Beruflich musste ich für einen Kunden, eine namhafte schweizer Bank, einen Penetration Test auf die IT-Infrastruktur durchführen. Wir kamen bei der Vorbesprechung überein, dass auch Social Engineering als Angriffsform erlaubt sei und ich dementsprechend nicht sparsam mit dieser Möglichkeit umgehen solle.

Während der ersten Phase des Penetration Testings, der Informationsbeschaffung, schrieb ich ein E-Mail mit gefälschter Absenderadresse an den Kundendienst des Finanzinstituts. Ich gab mich darin als einen guten und technisch versierten Kunden aus, der sich über die IT-Sicherheitsinfrastruktur seiner Bank erkundigen wolle. Auf mein freundliches Schreiben hin erhielt ich folgende Antwort, die mich in meinem Belang ungemein forwärts kommen liess:

[…] Ich darf Sie darüber informieren, dass Ihre Daten sehr gut geschützt werden: Die Transaktionen (Onlinebanking) werden per SSL vor Lauschangriffen geschützt und unser Netzwerk ist mit einer Raptor Firewall vor unerlaubten Eingriffen abgesichert. […]

Die Motive

In der Wirtschaft und Industrie ist das oberste Gebot die finanzielle Kraft. So ist es nicht verwunderlich, dass dies ein Teil- oder Endziel eines computerkriminalistischen Übergriffs durch wirtschafts- oder industrie-orientierte Angreifer darstellt. Ob nun teure Forschungsdaten gestohlen, Korrespondenzen zur Erpressung abgefangen oder Kommunikationsmöglichkeiten bhindert werden, stets steht der eigene wirtschaftlich-finanzielle Vorteil im Vordergrund.

Das Gefahrenpotenatial

Die Kraft und Macht der Industrie- und Wirtschaftsspione muss als relativ hoch eingeschätzt werden. Man kann davon ausgehen, dass sich professionelle Angreifer, eventuell ehemalige Sicherheitsberater, für ein solches Vorhaben einspannen lassen. Die moralische Degeneration und die damit zwangsweise verbundene finanzielle Gier macht sie zu skrupellosen Zeitgenossen, die vor keiner Angriffsform zurückschrecken.

Ein Faktor, der zwar bei allen Spionage-Aktivitäten zum Tragen kommt, ist jener, dass dieser Art von Angreifer der Rücken finanziell gestärkt wird. Hitech-Geräte werden ein sehr effektives und effizientes Vorgehen ermöglichen und so die Arbeit der Angreifer qualitativ und quantitativ für sie im positiven beeinflussen.

Sicherheitsberater/-experten

In den professionellen Bereich der Computer- und Netzwerksicherheit gehören auch die Sicherheitsberater und -experten. Von einem Sicherheitsberater ansich mit soliden ethischen Grundsätzen geht im Grunde genausowenig eine Gefahr aus, wie bei einem normalen Endanwender. Problematisch wird es erst dann, wenn ihn Emotionen und Energien zu einem kriminellen Handeln verleiten.

Die Motive

Der Status und die Motivationen des Sicherheitsberaters ist meist der der eines herkömmlichen Mitarbeiters zu vergleichen. Da Sicherheitsexperten grundsätzlich ein beachtliches Mass an logischer Intelligenz und fachlicher Kompetenz (besonders im Bezug auf die von ihm betreuten Systeme) zur Ausübung ihres Berufes mitbringen müssen, ist das schlummernde Gefahrenpotential natürlich enorm. Viele von ihnen pflegen gute Kontakte zum Computeruntergrund um stets schnellstmöglich über kriminelle Aktivitäten und heisse News aus der Szene informiert zu werden. Diese Verbindungen können natürlich besonders für eigene zielgerichtete kriminelle Handlungen missbraucht werden. Hierbei sei jedoch angemerkt, dass der Sicherheitsberater bei der Durchführung von kriminellen Handlungen automatisch zu einem hochqualifizierten Mitglied des Computeruntergrunds degradiert werden muss. Der einzige Unterschied zu einem normalen Cracker aus der Untergrund-Szene ist die (ehemalige) Ausübung des ehrenwerten Berufes des Sicherheitsberaters. Wie Leo Tolstoi schon sagte: bq. Vergangenheit und Zukunft gibt es nicht, es gibt nur eine unendlich kleine Gegenwart und die ist jetzt. Folgend nun ein Beispiel eines übergelaufenen Sicherheitsberaters:

Ich war vor einigen Jahren als freier Mitarbeiter für ein privates Sicherheitsunternehmen in Deutschland tätig. Mit Funktion beschränkte sich auf Auditing, Assessment und Penetration Testing – Alles in allem das, was ich am liebsten mache. Ich wurde zusammen mit zwei weiteren freien Mitarbeitern zu einem lokalen Securityscan bei einem Softwareunternehmen in Köln berufen. Meine Mitstreiter waren mir schon vorher bekannt und mit einem von ihnen pflegte ich gar schon seit rund drei Jahren eine solide Freundschaft.

Der Securityscan vor Ort verlief ohne Komplikationen: Wir teilten uns aus zeitgründen das Netzwerk auf und ich sollte schlussendlich die Daten konsolidieren und die Leitung der Ausarbeitung des Reports übernehmen. Mir wurden alle Firewall-Elemente (eine Checkpoint-Firewall und ein Cisco-Router) zugeteilt. Mein langjähriger Kollege prüfte alle Workstations auf ihre Sicherheit und der dritte im Bunde war für den Linux-Server (einen Webserver, der auch Mail und Samba zur Verfügung stellte) zuständig.

Im Besitz der Daten habe ich mich zu Hause an die Auswertung gemacht. Dabei fiel mir ein nmap-Portscan auf den Linux-Server auf, der einen Schreibfehler zu enthalten schien: Auf einer Zeile fehlte der letzte Buchstabe. Ich vermutete eine nachträgliche Manipulation der Ausgabe und setzte mich sofort mit dem Kunden in Verbindung. Ich behauptete eine letzte Verifikation eines Datensatzes einhlen zu müssen. Ich bat ihn telefonisch einen weiteren TCP-Portscan durchzuführen und mir das Resultat vorzulesen. Mein Verdacht erhärtete sich, denn auf der besagten Linux-Maschine, so ergab der jüngste Portscan, sei der TCP-Port 135 offen: Dieser Port fehlte in meinem vorliegenden Scan-Resultat. Wie sich schnell herausstellte wurde an den besagten Port eine Hintertür gebunden.

Ich stellte sogleich den dritten Sicherheitsberater zu Rede und erkundigte mich, wieso ihm diese Lücke entgangen sei: Sein TCP-Portscan hätte diese Anomalie sofort aufdecken müssen. Er stritt zwar ab, an der Umsetzung dieser Sicherheitslücke beteiligt gewesen zu sein. Meines Erachtens sprechen aber alle Indizien gegen ihn: 1) Es ist nicht vorgesehen oder nötig die Ausgabe eines nmap-Portscans mit einem ASCII-Editor zu manipulieren. 2) Hätte ihm der Scan keine fehlerhafte Rückgabe geben dürfen, denn das Remote-Control-Programm wurde nicht mit einer Zeitfunktion ausgestattet. Es machte also alles den Anschein, als hätte er sich eine Hintertür eingerichtet, dank derer er immerwieder in das System eindringen hätte können. Der weiteren Verlauf dieser Affäre ist für unsere Analyse nicht weiter interessant, und so werde ich nicht weiter darauf eingehen.

Das Gefahrenpotenatial

Wie zu erwartet war ist das Gefahrenpotential von Sicherheitsberatern und -experten sehr hoch. Ihr technisches Wissen ist beachtliche und finden sie genügend Antrieb für eine kriminelle Handlung, werde die vormals gefassten ethischen Grundsätze plötzlich nichtig.

Die Entwicklung

Wie bei der Entwicklund des Körpers gilt für die Seele das jungsche biogenetische Grundgesetz. Nach diesem Gesetz wiederholt sich bekanntlich die Entwicklungsgeschichte der Spezies in der embryonalen Entwicklung des Individuums. Von der aktiven Kriminalität, sei dies nun in gewalttäiger oder computerbezogener Form, als Teil der Entwicklung kann meiner Meinung eine Übertragung dieses Leitspruchs getätigt werden. Die vier Stufen der Computerkriminalität sind folgende:

• Normaler Endanwender
• Script-Kiddie
• Semi-professioneller Angreifer
• Professioneller Angreifer

Es ist nicht zwingend erforderlich, dass dieses vierstufige Modell in jedem Falle die Biographie eines Angreifers zu decken vermag. Durchaus kann es vorkommen, dass gewisse Phasen nur passiv oder sehr kurz durchlebt werden, oder gar eine Stufe übersprungen wird. So überhüpfen potentielle professionelle Angreifer die Phase 2 (Script-Kiddie), denn ihr Interesse liegt vor dem Einschlag in die kriminelle Laufbahn im konstruktiven Schaffen (z.B. Programmieren). Eine dem Intellekt und dementsprechend Gefahrenpotential degenerativ entgegentretendes Verhalten kann nahezu ausgeschlossen werden. Zwar kann auch ein semi- oder vollprofessioneller Angreifer während einer Attacke das Ungestüm eines Script-Kids aufweisen, aber ein regelrechtes Einleben und Annehmen der Eigenschaften, die für die zweite Phase so typisch sind, machen für den Protagonisten in keinster Weise Sinn.

Beim Fortschritt der in diesem Teil im Mittelpunkt stehenden Charakterstudien ist eine steigende Bedrohlichkeit des intellektuellen Potentials, das ein Angreifer in der Regel mitbringt, festzustellen. So kann man bei Endanwendern und Script-Kiddies und in den seltensten Fällen von fachgerechtem Hintergrundwissen sprechen. Erst semi-professioneller Angreifer bringen hier eine wirklich gefährliche Portion Wissen und Erfahrung mit. Der letzte Typus professioneller Angreifer ist unumstritten auf intellektueller Ebene am gefährlichsten.

Aggressionstheorien

In diesem dritten Teil geht es um die auf psychologischer Ebene um die Aggressionstheorien. Ich habe mich bei der Ausarbeitung dieser Angriffs-Theorien stark von den wisschenschaftlichen Arbeiten zur Aggressionstheorie beeinflussen lassen. Die potente Inspiration wird dann deutlich, macht man sich die Parallelen zwischen aggressivem Verhalten im richtigen Leben, und solchem auf technischer Ebene bewusst. Schlussendlich ist der Computer lediglich ein Instrument, mit dem Emotionen genauso weitergegeben werden können, wie dies mit einer Waffe oder einem Instrument möglich ist.

Als erstes ziehe ich kurz den Trieb zu kriminellen und aggressiven Handlungen in Betracht um danach direkt zu abwehrenden und vergeltenden Angriffen überzugehen. Im Zusammenhang mit konstruktiven Attacken wird alsdann der Erlangungs-Angriff interessant. Schlussendlich untersuchen wir spontane Angriffe und die Gruppendynamik.

Der Begriff “Aggressivität”

Wir haben nun den Boden der Charakterstudien verlassen und befassen uns nun mit der Verhaltensforschung. Zwar kann heutzutage immer mehr der Computer der menschlichen Hand die Arbeit abnehmen und die Technik in dieser Studie muss einiges an Bedeutung zugesprochen werden, doch schlussendlich bleibt der Mensch das agierende Subjekt und verdammt die Elektronik als plumpes Werkzeug. Überall wo Menschen sind, da geht es menschlich zu: Mit all seinen Vor- und Nachteilen. Ein wichtiger Punkt, der uns Menschen vom Computer unterscheidet sind unsere Gefühle. Emotionen wie Freude, Trauer, Angst und Aggression können zwar von einer Maschine reproduziert werden, doch sind diese Abbilder vergleichsweise plumpe Karikaturen eines grossartisten Meisterwerke der Natur. Immer da wo Menschen aneinander geraten, spielt die Aggressivität eine wichtige Rolle. So natürlich auch bei der Computerkriminalität, denn nicht selten ist ein technischer Übergriff der Aus- oder Nachdruck einer verursachten Aggression beim Täter. Ich möchte mich nun nicht darin üben, welche sozialen oder biologischen Erklärungen zur Aggression am ehesten meine Thesen zu stützen oder populäre Meinungen zu schüren vermögen. Und doch möchte ich gerne auf ein dreistufiges Aggressionsprinzip hinweisen, welches die Härte eines Wutausbruchs zu charakterisieren versucht.

Als voraggressives Verhalten könnte man die schlechte Laune ansich bezeichnen. Sie selber bringt keine direkte, personengerichtete Handlung hervor. Hinzu kommen auch verbale Attacken durch E-Mails oder Chatrooms, die meistens sehr zielgerichtet sind und gar die Vorstufe eines überhitzten Vergeltungs-Angriffs darstellen können. Ist dies der Fall, so hat der Angreifer sich nahezu schon im Vorfeld verraten, denn durch seine emotionale Ausdrucksweise hat er ganz offensichtlich seine Antipathie seinem zukünftigen Opfer entgegen kundgetan. Es ist mir grösster Wahrscheinlichkeit zutreffend, dass auch die etwaigen nachfolgenden Handlungen und Attacken sehr emotional, unüberlegt und überheblich durchgeführt werden können. Dies verschafft dem Opfer natürlich einen enormen Vorteil, denn in der Hitze des Gefechts wird der Angreifer sehr schnell Fehler machen. Das eigentlich aggressive Verhalte findet man in jeglicher Form konstruktiver oder destruktiver Attacken, die eine direkte oder indirekte technische Verbindung mit dem Zielsystem benötigen. Ein wirklich kühler Angreifer wird die voragressive Phase direkt überspringen und sich bestmöglich durch eine konstruktive Attacke einen Vorteil einholen wollen.

Von sadistischer Aggressivität wage ich zu sprechen, wird in übertriebenem Masse das Zielsystem penetriert. So sind grossflächige Distributed Denial of Service-Attacken oder längerfristige Penetrationen als sehr aggressiv einzustufen. Diese überhitzten Manöver sind, so wie alle voraggressiven Massnahmen auch, als enorm emotional einzustufen. Emotionalität bereitet sehr oft den Boden für Fehler, die dem Angreifer zum Verhängnis werden können.

Triebtheorie

Wie so oft, wenn die Sprache als Übermittlung von Informationen genutzt wird, muss man sich auf exakte Definitionen von Begriffen einigen. In diesem Kapitel liegt unser Augenmerk auf trieborientierten Angriffen, und so liegt es nahe, dass wir uns zuerst einer Definition des Wortes Trieb widmen. Ich definiere nach Hans-Peter Nolting den Trieb als im Organismus vorhandene angeborene Quelle, die spontan und fortwährend Impulse produziert. Diese müssen zum Ausdruck kommen, da sie sonst zu seelischer Zerstörung führen.

Die Triebtheorie in der Aggressionspsychologie ist im Grunde nur noch von historischer Bedeutung. Trotzdem ist interessant zu sehen, dass in vielen Fällen bei Computerkriminalität das Verhalten auf einen gewissen Trieb abgeschoben wird. Ein schönes Beispiel wo die Triebtheorie geschürt wird ist im Film Hackers (1995) zu suchen: Ein jugendlicher Cracker, gespielt von Person X, wird nach der Verhandlung wegen seines Einbruchs in einen Bankcomputer zur Suchttherapie geschickt. Ich zweifle stark daran, dass ein Mensch den Trieb haben kann, kriminelle Aktionen mittels einem Computer durchzuführen. Doch kann natürlich der Drang vorhanden sein, sich mit Computern zu beschäftigen (z.B. auch die Internetsucht). In einem extremen Fall, wo zum Beispiel der finanzielle oder soziale Aspekt des gestörten Angreifers leidet, mag das Aufsuchen einer Therapiestelle von Vorteil sein. Ein interessanter Einwurf bezüglich der Triebtheorie wäre, dass weil Computerkriminalität überall auf der Welt auftritt, deshalb auch diese universelle Verbreitung für einen Trieb spricht. Dem entgegenzusetzen habe ich, dass Frustration und Aggression auf der ganzen Welt vorkommt, überall Abwehr-Angriffe und Vergeltungsschläge gefahren werden. Die Computerkriminalität ist ja nicht ein eigenständiges Problem, sondern lediglich ein Ventil für vielschichtige Probleme. Der Einwurf wäre vergleichbar damit, dass weil auf der ganzen Welt gerne Schokolade gegessen wird, auch automatisch das Essen von Schokolade ein menschlicher Trieb sei.

Dass ich in diesem Zusammenhang die Theorie des Todestriebs aus der Feder Sigmund Freuds zum Besten gebe, macht auch keinen Sinn. Es ist also ganz offensichtlich, dass trieborientierte Übergriffe im Zusammenhang mit Computerkriminalität eine absolute Fehleinschätzung sind; so denken auch diverse Psychologen bezüglich der Triebkonzepte in der Aggressionspsychologie (z.B. Fenichel, K. Horney und E. Fromm). Interessant dürfte in diesem Zusammenhang jedoch die philosophische Betrachtungsweise sein, definiert man diverse kriminelle Übergriffe im Computerbereich als trieborientierter Wille zur Macht. Mit diesem Text strebe ich ein Dokument an, dass sich an empirische Fakten klammert, und nicht in philosophischen Mutmassungen untergeht: Ernsthafte Einwürfe von Arthur Schopenhauer und Friedrich Nietzsche haben hier leider nichts zu suchen, auch wenn ich sie sehr gerne einbringen würde. Neurophysiologische und biologische Einflüsse, die zur Schürung aggressiven Verhaltens führen habe ich ein separates Kapitel gewidmet, obwohl sie kategorisch auch im Zusammenhang der Triebtheorie genannt werden könnten.

Frustrationstheorie

Die weitaus populärste Aggressionstheorie geht davon aus, dass jegliche Aktion als Reaktion auf ein negeatives Ereignis oder eine frustrierende Erfahrung anzusehen ist. Das Geschehen im Alltag lässt diese Theorie als sehr plausibel und am naheliegendsten Erscheinen. Eine Forschungsarbeit in Australien zeigt, dass für den Cyberspace genau die gleichen Verhaltensmuster und Reaktionen bei Ausgrenzung, Ignoranz und Provokation abzusehen sind. Eine Studie aus Deutschland und Forschungen an der Yale-Universität belegen, dass Aggression stets eine Folge von Frustration ist. Einmal mehr müssen wir uns aber einer Begriffsdefinition, diesesmal dreht es sich um das Wort Frustration, zuwenden. Was ist denn eine Frustration genau? Ich schliesse mich den Yale-Autoren an und definiere Frustration als eine Störung einer zielgerichteten Aktivität. In der Frustrationstheorie wird in drei verschiedene Typen unterteilt, der ich mich einzelnen widmen werde: Hindernisfrustration, Provokationen und physische Stressoren. In erster Linie geht es mir um die direkte Reaktion auf ein frustrierendes Erlebnis, und ich lasse daher die Langzeitwirkungen bewusst etwas ausser Acht.

Hindernisfrustration

Man spricht von einer Hindernisfrustration, wenn eine zielbezogene Aktivität durch eine Barriere gestört wird. Es reicht dabei nicht aus, dass der Wunsch unerfüllt bleibt, sondern es muss eine direkte Entgegenwirkung vorgekommen sein. Eine Frustration ruft die Tendenz zu einer Reihe verschiedener Reaktionen hervor, eine davon ist diejenige zu irgendeiner Form von Aggression. Nun zu definieren, welche Frustrationen nun zu aggressivem Handeln bewegen ist nahezu unmöglich, denn sehr individuell reagieren Menschen auf Anreize. Grundsätzlich kann man sagen, dass der Wandel von Frustration in Aggression von diversen Faktoren abhängt. Das blosse Scheitern alleine ist sehr selten der durchschlagende Aggressionsfaktor. Vergleichbar ist dies mit der Neurosenlehre von Sigmund Freud: Eine Neurose oder Aggression trat dann auf, wenn negative Affekte in Qualität oder Quantität ein Höchstmass überschreiten.

Protovaktion als Frustration

Ein anderer Teil in der Frustrationstheorie wird Provokationen (Angriffe, Belästigungen und Obstruktionen) zugeschrieben. Am Anfang des Entgleisens einer solchen Begegnung steht meist ein Verstoss gegen eine Regel oder Anweisung. Menschen können zum Beispiel in ihrem Stolz durch Unterstellungen und Diskreditierung verletzt werden und so zu einem Rückschlag ausholen. Man spricht hierbei von einem Vergeltungs-Angriff, der das Selbstwertgefühl und zuweilen die Gerechtigkeit wiederherstellen soll. Der typische Fall von einem sprachlichen Angriff, der zu aggressivem Verhalten führen kann sind Beleidigungen oder ungerechte Kritik, zum Beispiel in E-Mails, dem Usenet oder Chatrooms. In vielen aversiven Situationen lauten die beiden elementaren Lösungen Flucht oder Angriff. Im richtigen Leben wird bei gefährlichen Situationen die Flucht meistens vorgezogen werden, da im Extremfall mit physischen Angriffen gerechnet werden muss. Da sich bei der Computerkriminalität aber meist ein beachtlicher Abstand zwischen Angreifer und Opfer befindet, wird in den meisten Fällen der Angriff gewählt werden: Der Angreifer hat ja im Grunde nichts zu verlieren.

Physische Stressoren als Katalysator

Physische Stressoren können genauso eine Rolle spielen. Zum Beispiel Hitze oder die Zusammenballungen bei Konzerten, Sportveranstaltungen oder Festen können die Gemüter erhitzen. Dieser Aspekt der Frustrationstheorie muss jedoch in unserem Zusammenhang wieder verworfen werden, denn schliesslich werden viele Angriffe alleine vor dem heimischen PC durchgeführt. Psychischer Stress, Hitze oder Lärm können zwar auch da vorkommen, doch wird sich dessen Einfluss auf die computertechnischen Aktivitäten in Grenzen halten.

Lerntheorie

In der Aggressionsforschung wird davon ausgegangen, dass neben der Trieb- und Frustrationstheorie auch ein lernbedingter Faktor mitspielt. Das entsprechende Verhalten wird also wie jedes andere gelernt. Lernen bedeutet in diesem Fall spezifisch ein Verhalten aufgrund einer Erfahrung für sich zu verinnerlichen und bei entsprechender Gelegenheit wieder anzuwenden. Das Spektrum reicht dabei von Einstellungen über Fähigkeiten bis hin zu Motiven.

Das populärste Lernmodell wird in der Psychologie als Beobachtungslernen betitelt. Dabei kann davon ausgegangen werden, dass das (destruktive) Verhalten bei einer anderen Person beobachtet und als nützlich eingestuft wurde. Hat diese vorzeigende Person für die lernende Person gar einen sehr hohen Status inne, wird das Verhalten ihrer gar noch viel eher als anstrebenswert gewertet:

Ein Script-Kiddie penetriert mittels einer Denial of Service-Attacke eine Webseite. Es kann davon ausgegangen werden, dass dieses oder ein ähnliches Verhalten durch den Bekanntenkreis oder die Medien hochgejubelt wurde.

Besonders Kinder, Jugendliche und psychisch labile Menschen ohne gefestigten sozialen Status neigen dazu ohne eine individuelle Filterung das Verhalten der von ihnen höher gewerteten Menschen anzunehmen. Besonders deutlich wird dieses Modelllernen bei extremen Handlungen: So entwickelt sich in einigen Newsgroups eine Eigendynamik an Arroganz und Ignoranz, so dass ein produktives Arbeiten in angenehmen Klima gar nicht erst möglich wird. Daraus entstehen regelrecht ansteckende Flamewars, in denen sich gegenseitig beleidigt wird und man sich für emotionale Schlammschlachten auf tiefstem Niveau hingibt.

Gruppendynamik in der Lerntheorie

Ein kleiner Abstecher in die Gruppendynamik ist nun angesagt, denn in einer Gruppe ist der Lernfaktor ungemein hoch. Taten von Vorbildern in einer Subkultur werden oft aus Angst vor der Ausgrenzung willenlos als positiv gewertet – Ist für die Nachahmung gar ein Lohn zu erwartet, ist die Entscheidung für die meisten klar. Jugendliche mit einer Neigung zum antisozialen Verhalten suchen meist den Anschluss zu einer gleichgesinnten Gruppe. Klar definierte Regeln und Ideale herrschen in einer solchen Gemeinschaft vor, und wer dabei sein möchte, der hat sich ihrer bewusst zu sein. Da der gedankliche Austausch in einer Gruppe sich nicht verhindern lässt, werden sich die Mitglieder dessen auch auf technisch-intellektueller Ebene gegenseitig beeinflussen: Das Schwergewicht wird in einer Crew meist auf ein bestimmtes Betriebssystem, ein Dienst, eine Angriffstechnik oder eine Programmiersprache gelegt sein. Natürlich ist der Gruppenkompetent das gegenseitige Ergänzen vorteilhaft, jedoch nicht immer auf allen Gebieten angestrebt. Aber auch die soziale, moralische und politische Ebene kann einen Gleichschritt in einer Vereinigung erzwingen oder herbeiführen. Dadurch können ganze Verhaltensmuster entstehen, an denen sich Mitglied einer bestimmen Gruppe eindeutig identifizieren lassen.

Wirkung der Medien

Von der Gruppendynamik abgewandt sind nun die Medien für uns von Interesse. Seit jeher wird in psychologischen Kreisen der negative Einfluss von Gewalt in den Medien auf die Menschlichkeit debattiert. Jüngere Untersuchungen zielen eindeutig darauf ab, dass das Modellverhalten auch durch die Medien zieht. Auch und besonders in der Computerkriminalität ist dem Medium Film ein hohes Mass an Gewalt zuzuschreiben. Filme wie War Games (1983) oder 23 (1998) animieren ganze Generationen von Jugendlichen zur Nachahmung. Auch wenn in Filmen wie The Matrix (1999) der Akt der Manipulation von elektronischen Geräten nur als übertriebener und effektheischerischer Gag eingestuft werden muss, empfinden es doch viele Script-Kiddies als cool, sich mal wie der Held Neo zu fühlen. Diese masslose Beeinflussung durch Science-Fiction-Filme ist vielerorts durch die eindeutige Wahl der Pseudonyme feststellbar: Es gibt seit dem Actionknüller The Matrix keinen Chatraum ohne Neos und Morpheus’, oder nach jeder Ausstrahlung von Hackers (1995) tauchen duzende von ZeroCools und Acid Burns im Internet auf. Die Imitation der Namensgebung ist aber dann auch schon meist das Ende der Imitation, da schlichtweg der technische Hintergrund für die ernsthafte Nachahmung von trickreichen Attacken fehlt. Und ist das technische Wissen vorhanden, wird sich das Individuum wohl kaum von den fiktiven Filmen beeinträchtigen lassen. Keinesfalls möchte ich hier die Medien als stupides Machinstrument zur Manipulation psychisch labiler Marionetten verdammen. Doch der Trend zielt eindeutig darauf ab, in absolut unrealistischen Filmen einen Mythos zu erschaffen, an dem jeder gerne aktiv teilhaben möchte. Wären Hacker-Filme realistischer, so würden sich wohl nicht soviele DAUs und Script-Kiddies davon begeistern lassen. Oder wieviele Matrix-Fans würden sich wohl gerne ernsthaft vom Kompilieren eines Kernels unterhalten lassen? Aber nicht nur überspitzte Filme finden Nachahmer: Auch die Publikationen in der Tagespresse mit Titeln wie Hacker haben Pentagon gehackt animieren zur Beschäftigung mit der Materie der Computersicherheit. Die Vertrauenswürdigkeit der Nachrichtenerstattungen anzuzweifeln halte ich in jedem Fall für sinnvoll, denn da wird sich oft ohne technisches oder subkulturelles Verständnis an ein Thema herangewagt, dass ganze Bücher gefüllt hat. Natürlich ist auch eine Wechselwirkung festzustellen: Wer sich für Computerkriminalität interessiert, der wird sich gerne Filme mit solchem Inhalt zu Gemüte führen, und umgekehrt.

Das Lernen am Effekt

Ein weiterer wichtiger Grundpfeiler der Lerntheorie ist das Lernen am Effekt. Dabei werden von einem Angreifer der Erfolg oder Misserfolg seines Handels verinnerlicht und bei der Wiederkehr eines gleichen oder ähnlichen Situation statistisch zu Rate gezogen. Ein Mensch merkt sich sein Tun und die daraus resultierenden Gegebenheiten (z.B. Erfolglosigkeit oder Bestrafung) in jedem Falle, um bei der nächsten Gelegenheit auf die dadurch entstandenen Erfahrungen zurückgreifen zu können. Enden aggressives und kriminelles Verhalten im Erfolg, sprich wird das Ziel des Täters erreicht, wird er in der Hoffnung auf einen für ihn ähnlich positiven Konfliktverlauf seine Handlungsweise bei der nächsten Gelegenheit reproduzieren. Ein typisches Beispiel hierzu:

Ein Schüler ist sich seiner seinem Lehrer überlegenen technischen Kompetenz sehr genau bewusst. Er möchte aufgrund dessen sein Wissen zur Manipulation seiner Noten missbrauchen und infiziert den Laptop seines Lehrers mit dem Serverteil eines Remote-Control-Programms (z.B. SubSeven). Sein Manipulationsversuch verläuft erfolgreich, denn er kann sich seine Schulnoten nach Belieben setzen, ohne, dass der Lehrer in irgendeiner Weise Verdacht schöpft.

Neurophysiologische Dispositionen

Biologische Anomalien im Hirnbereich – vorwiegend können dies Tumor-Bildungen, Ventrikulie oder Abnormität des Temporallappens sein – periodische Affektstörungen provozieren. Darunter versteht man aus neurologischer Sicht eine von der Norm abweichende Veränderung in der Ansprechbarkeit und Äusserung emotionaler Empfindungen. Diese abnorme gefühlshafte Interpretation bzw. Assoziation dürfte Aggressivität in verschiedentlich abgestuften Ausmassen begünstigen oder gar fördern. Diese biologisch-psychopathologische Konstellation wird durch den Aggressor in einer frühkindlichen Zeit (vom sechsten Schwangerschaftsmonat bis zum Ende des ersten Lebensjahres) erworben und lässt sich lediglich medikamentös oder operativ eindämmen.

Vor über 200 Jahren konnte erstmals vom russischen Neurologen Ivan Secenov in seinem Werk Reflexes of the Brain (Gehirnreflexe) nachgewiesen, dass das Nervensystem dem ständigen Bedürfnis nach Reizen unterworfen ist – Namhafte Forscher wie zum Beispiel R. B. Livingston und Erich Fromm sind ebenso dieser Meinung. Diese These wird auf biologischer Ebene durch den überdurchschnittlichen Sauerstoffverbrauch des Gehirns (ca. 20 %) und den hohen Gehalt an Traumphasen während des Schlafs (ca. 25 %) gestützt. Wird der Mensch gar seinen Träumen beraubt, so können halb-pathologische Reaktionen auftreten; auch der Stimmulationsmangel bei Kleinkindern ruft Schäden auf dieser Ebene hervor.

Einen Schritt weiter soll uns die Erkenntnis bringen, dass dieser besagte Drang nach Reizen primitive Formen ihres Auftretens schnell als langweilig klassifizieren lässt. Gar Kleinkinder lassen ihren Blick länger auf einem Bild mit komplexen Muster ruhen, denn auf einer sehr simplen Darstellung. Doch wieso ist etwas einfaches schnell langweilig? Die Gier nach stimulierenden Einflüssen verlangt fortwährend nach Unterhaltung. Diese Unterhaltung ist in ihrer Qualität umso bedeutender, desto mehr die Psyche des Beeinflussten aktiviert wird. Ein Roman aus der Feder von Hermann Hesse, ein lyrisches Gedicht von Goethe, eine warmherzige Symphonie von Wagner oder ein surreales Meisterwerk von Dahli bringt einem viel eher zum Nachdenken und selber Handeln, weder ein stupider Groschenroman: Man entdeckt in grossen Meisterwerken viel mehr Raffinessen, die einem auch nach merhmaligem Genuss noch wachzuhalten vermögen. Ich gebe zu, dass dieses Beispiel stark meinen Vorlieben entspricht, sich aber trotzdem sehr leicht auf die Bedürfnisse des Lesers abbilden lassen.

Auch Individuen, die der Computerkriminalität verfallen können diesem biologischen Trieb nach neuen Reizen, Stimulationen und Einflüssen nachgehen. Ein Angreifer, der in seinem Wissen sehr weit fortgeschritten, der wird schnell gelangweilt von einem ihm wohlbekannten System ablassen – Es sei denn, er will seine narzistische Gier nach Selbstbeweisung befriedigen. Ist Langweile der entscheidende Faktor für das Ablassen von einem Ziel, so wird er sich schnell einer neuen Herausforderung widmen wollen.

Motivationsdynamiken

Die hinter einer Attacke liegende Motivation ist ausschlaggebend für die Richtungs- und Zielsetzung eines Angreifers. So sind angstbehaftete Emotionen bei Abwehr-Angriffen am Werk, Rachegelüste für Vergeltungs-Angriffe von Bedeutung und die Gier als Antrieb für Erlangungs-Angriffe anzusehen. Kann die treibende Kraft eines Attackers ermittelt werden, werden schnell seine Absichten klar, und welchen Kraftaufwand er für eine erfolgreiche Umsetzung gewillt ist.

Ein schwieriges Thema sind die sogenannten spontanen Angriffe, bei denen tiefgründige psychologische und soziale Analysen getätigt werden müssten, um die intrensischen Zusammenhänge besser verstehen zu können. Die Aussage, dass ein Übergriff ohne Motiv stattgefunden hat, ist schlichtweg als falsch abzutun, denn dahinter verbirgt sich vom Analysten lediglich eine trügerisch simple Betrachtungsweise eines meist hochkomplexen Problems. Ist der Täter von sich aus nicht in der Lage über den Antrieb Auskunft zu geben, muss halt die Motivation aus seinen Handlungen abgeleitet werden, was unter Umständen ein ganzes Stück Arbeit darstellen kann.

Ein wichtiger Aspekt der Motivationsdynamiken ist die Gruppe, die auf differente Art und Weise Druck auf das einzelne Individuum ausüben kann, um ganz spezielle Muster zu Tage zu fördern.

Abwehr-Angriffe

Der Schutz der eigenen Person ist das Ziel eines Abwehr-Angriffs. Da durch Computer selten eine wirkliche Bedrohung vorhanden ist, wird diese Motivation sehr selten gesehen. Beispiele für Abwehr-Angriffe:

• Auf eine Webseite wird gegen die eigene Person gelästert oder gehetzt
• Ein Benutzer/Administrator startet einen Denial of Service-Angriff auf ein Script-Kiddie, der zum wiederholten male einen Portscan durchführt

Heftige Emotionen spielen bei Abwehr-Angriffen nicht selten eine beachtliche Rolle. Es macht nun Sinn eine Abwehr-Attacke weiter in eine ärgerliche und eine ängstliche zu differenzieren; je nachdem wie das aversive Ereignis empfunden wird. Wird eine Belästigung als Provokation empfunden, wird mit einem ärgerlichen Gegenangriff zu rechnen sein. Ein Verschmelzen mit Vergeltung ist dann nicht mal so abwegig. Wird das Ereignis jedoch als Bedrohung empfunden, so wird Angst die treibende Kraft sein. Da Sicherheit einen hohen Rang bei den Motivgefühlen von Menschen spielen, muss diese Variante als sehr bedeutsam eingestuft werden.

Der Abwehr-Angriff ist dann von Erfolg, ist das Ziel der Zerstörung der Bedrohung erreicht. Im selben Atemzug wird der Angreifer normalerweise auch von seinem Opfer ablassen. Einen Abwehr-Angriff liesse sich zum Beispiel durch die Aufhebung der Bedrohung oder Belästigung vermeiden.

Vergeltungs-Angriffe

Die nicht nur im richtigen Leben als das wichtigste der auftretenden emotionalen Motive ist die Vergeltung. Oft wird in der Aggressionspsychologie von Ärger-Aggression gesprochen. Eine Vergeltung wird in erster Linie auf eine schlechte Behandlung oder Kränkung zurückgeführt: Der Täter sieht sich als Opfer. Beispiele hierfür:

• Missverständnis in Chatraum führte zu Groll
• ISP erhöht plötzlich die Preise
• Ethisch verwerfliche Inhalte (z.B. Kinderpornographie) werden auf einer Webseite publiziert

Reaktive Vergeltungs-Angriffe müssen nicht zwangsweise gegen diejenige Person gerichtet sein, die die Frustration ausgelöst hat. So kann es sein, dass ein Schüler aufgrund schlechter Noten nun wahllos im Internet Denial of Service-Attacken auf Besucher von Chaträumen durchführt. In den meisten Fällen wird es jedoch stets etwas treffen, dass mit dem Ärger-Verursacher in möglichst enger Beziehung steht. Solche Angriffe sind aufgrund ihrer starken Emotionalität meist sehr impulsiv und unkontrolliert. Ein Angreifer wird sehr unvorsichtig vorgehen und dadurch eher Fehler begehen.

Weniger müssen konstruktive Angriffe erwartet werden, denn die Vergeltung ist am einfachsten durch eine Denial of Service-Attacke einzuleiten. Folgend nun die drei wichtigensten Formen eines Vergeltungs-Angriffs:

• Denial of Service-Attacke
• Defaceing/Tagging (Verunstalten von Webseiten)
• Stehlen von Daten oder Rechenleistung

Das Stehlen von Daten ist zwar in der Theorie möglich, kann aber meist nur mit kühlem Kopf durchgeführt werden. Ist die Motivation zu einem Vergeltungs-Angriff durch Groll gegeben, wird der Angreifer wohl kaum genügend kühl die notwendigen Schritte einleiten: Sein Ziel wird es sein so schnell wie Möglich seinem Gegener die Provokation zurückzuzahlen. Die Vergeltung will also dem Provokateur Schmerz oder Schaden zufügen und findet darin ihre Befriedigung. Die reine Vergeltung nimmt gar eigenen Schaden auf sich und erscheint daher absolut irrational. Ein Beispiel:

Ein Angreifer schickt über sein KabelModem mit 2 MBit/Sek. seinem Provokateur (hat nur ein 56 kbit-Modem) ein 100 MByte grosses Mail, um eine Denial of Service-Attacke durchzuführen. Der Angreifer kann während der Dauer des Versands der Mailbombe (ca. 7 Minuten) seinen Computer aufgrund der Netzwerkauslastung nicht anständig nutzen und ist ebenso zur Passivität verdammt.

Es kann natürlich sein, dass ein äusserst gewiefter Angreifer seinen Hass unterdrückt, um einen konstruktiven Angriff durchführen zu können. Ein solches Verhaltensmuster ist am ehesten durch semi-professionelle Akteure zu erwarten.

Das Befriedigende an einer Vergeltungs-Aktion ist, dass der Provokateur einen Fehler begangen hat und dafür zu zahlen hat. Damit soll die Gültigkeit der Normen bestätigt und die Gerechtigkeit wiederhergestellt werden. Wird ein provokatives Verhalten nicht Vergolten, so könnte es als schlechtes Beispiel dienen und andere ebenso zur Verletzung der Normen animieren (z.B. Webseiten mit kinderpornographischem Inhalt).

Wird man selber provoziert, so kann es auch um die Wiederherstellung des Selbstwertgefühls gehen. Ein alltägliches Beispiel:

In einem IRC-Kanal wird die Person A als inkompetent beschimpft. Kurz darauf startet Person A einen Denial of Service-Angriff auf Person B um sie aus dem Chatraum zu befördern. Person A kann nun zu sich (und den anderen) sagen: Ja, ich bin gar nicht inkompetent, denn ich habe den anderen aus dem Channel verjagt und dadurch meine Macht demonstriert.

Dass die in den meisten Fällen einer Vergeltung nur durch destruktives Verhalten erreicht wird, kann damit zusammenhängen, dass dadurch am offensichtlichsten die eigene Überlegenheit demonstriert wird. Könnte man die Kreditkartennummern seines Provokateurs in Erfahrung bringen, so interessiert niemand den emotionalen Hintergrund; der finanzielle wird sich in den Vordergrund rücken.

Mögliche Folgen für den Aggressor

Problematisch wird dieses Zurückzahlen, sobald beide Parteien in die selbe Routine verfallen und sich gegenseitig auf ihrer Datenreise behindern. Dies tritt insbesondere im IRC auf, da dort direkte Verbindungen ermöglicht werden (IP-Adressen sind leicht herauszufinden). In manchen Fällen ist eventuell zu erwarten, dass es dem destruktiven Angreifer hinterher leid tut. Da er jedoch nur indirekt mit seinem menschlichen Opfer in Kontakt steht, wird dies weitaus weniger der Fall sein, als bei der Vergeltungs-Aggression ohne Computer als Medium.

Normalerweise sind bei solchen Situationen männliche Protagonisten involviert, die sehr empfindlich auf Angriffe auf ihre Männlichkeit und ihr Selbstwertgefühl reagieren und diese, im gegensatz zum weiblichen Wesen, eher schnell und notfalls brachial vergolten sehen wollen.

Erlangungs-Angriffe

Ein Abwehr-Angriff hat in erster Linie den Charakter, dass der Angreifer auf ein bedrohlich erscheinendes Ereignis aggressiv reagiert, um die für ihn entstehende Gefahr abzuwenden. Eindeutig anders sieht es bei einem proaktiven Übergriff in der Form eines Erlangungs-Angriffs aus. Hierbei werden vom Täter eindeutig Ziele verfolgt und Aktionen nur daher durchgeführt, um persönliche Vorteile zu erlangen. Zu den Erlangungs-Angriffen sind jegliche Formen von Attacken zu zählen, die auf Durchsetzung und Gewinn abzielen. Beispiele hierfür werden gut und gerne in der fiktiven oder non-fiktiven Belletristik geliefert:

• Ein Hacker dringt in einen Grossrechner ein, um die Rechenleistung für eigene Arbeiten zu nutzen
• Ein Cracker stiehlt gegen Endgeld wirtschaftlich Relevante Informationen
• Ein Programmierer entwickelt eine Software zur automatischen Ausnutzung von Sicherheitslücken, um sich in Fachkreisen Ruhm zu verschaffen

Personen setzen in diesen Beispielen ein aggressives Verhalten ein, um einen persönlichen, wirtschaftlichen oder sozialen Vorteilen zu erlangen. Dieses Verhalten ist quasi ein Zwang, Drang oder gar Trieb, dem die entsprechenden Protagonisten scheinbar nicht entfliehen können; was in erster Linie für die Triebtheorie spricht. Von instrumentellen Übergriffen ist nicht nur zur sprechen, wenn persönliche Ziele verfolgt werden, sondern wenn auch die Durchsetzung höherer Werte in den Mittelpunkt gerückt wird (z.B. religiöse, moralische und politische). Das letzte Beispiel verdeutlicht, dass Beachtung und Anerkennung nicht vergessen werden darf. Ein kriminelles Verhalten in Computerkreisen kann durch die Gruppendynamik ganz besonders geschürt werden. In diesem Zusammenhang kann durch einen Angreifer zusätzlich durch die externen positiven Fügungen auch eine positive Selbstbewertung angestrebt werden, dabei geht es jedoch schlussendlich um die Erreichung nicht-agressiver Ziele: Sich zum Beispiel als Profi zu beweisen, gute Arbeit zu leisten oder eine Pflicht getan zu haben. Das aggressive Verhalten in Form des Erlangungs-Angriffs ist sodann lediglich ein Instrument.

Erlangungs-Angriffe werden nicht zwingend von aggressiven Menschen durchgeführt und richtet sich meist nicht gegen Feinde, denn eher gegen Gegner. Übergriffe sind in erster Linie kühl kalkuliert und werden ebenso durchdacht durchgeführt; am häufigsten dort, wo Gewinn angestrebt oder ein dienstlicher Auftrag durchgeführt wird. Oftmals kann aber eine gehörige Portion Ärger oder Neugierde mitschwingen, die die Professionalität der Attacke schwinden lassen kann. Im Besonderen kann diese für den Angreifer höchst unproduktive Aversion durch einen Widerstand hervorgerufen werden: Ein besonders ausgeklügeltes Firewallsystem wird einen Eindringling eventuell aus der Reserve locken und ihn Fehler machen lassen.

Spontane Angriffe

Der Grossteil aller Attacken lassen sich problemlos Vergeltungs-, Abwehr- oder Erlangungs-Angriffen zuschreiben. Nur sehr schwer darunter einzuordnen sind verselbstständigte spontane Aggressionen, wie sie in besonders brutalen und brachialen Gewaltverbrechen ihre Höhepunkte finden. Dieses Erscheinungsbild menschlicher Aktivität ist in jederlei Hinsicht sehr wenig Erforscht und für Sozialforscher und Psychologen bis dato ein Buch mit sieben Siegeln. Der grösste Unterschied zwischen spontaner Aggression und den andere ist jener, dass sie nicht von ausseraggressiven Zielen bestimmt werden, sondern intrinsisch bestimmt werden. Zudem sind verselbstständige Übergriffe nicht als direkte Reaktion in Form einer Vergeltung oder Abwehr zu registrieren, sondern werden Anlässe lediglich zu einem herzlich willkommenen Vorwand. So werden Aktionen aus nichtigen Gründen gestartet und die Aggressivität in ihrem Kern eigentlich selbst initiiert.

Hans-Peter Nolting unterscheidet die spontane Aggression in zwei Teile: Streit- und Kampflust einerseits und Sadismus andererseits. Die erste Form spontaner Aktivität könnte man durch folgende Beispiele wiedergeben:

• Einzelne Cracker tyrannisieren und schickanieren harmlose Chatbenutzer durch Attacken und Unterdrückungsversuche
• Manche Männer begeben sich absichtlich in Situationen, in denen Angriffe auf ihr Selbstwertgefühl zu erwarten sind oder leicht provoziert werden können)
• Ein absichtliches offensichtliches provokatives Posting wird im Usenet abgesetzt

Eine These der Begründung solchen Verhaltens ist, dass der Angreifer eine emotionale Befriedigung durch Erhöhung des Selbstwertgefühls sowie Selbststimulierung sucht. Geht man hypothetisch davon aus, dass der Grossteil von Angreifern im echten Leben sozial unterdrückt werden (z.B. Schule), sie somit gerne ihre intellektuelle Überlegenheit hinter dem Computer geniessen und beweisen wollen. Das verbotene Abenteuer ist der andere wichtige Aspekt zur Durchführung von Attacken, der in den meisten Fällen wohl auf Langweile aufbaut.

Der Sadismus ist die ausgeprägteste Form der spontanen Aggressivität und ist auch im technischen Umfeld anzutreffen. Sie zielt auch hier primär auf die Erhöhung des Selbstwertgefühls durch das Erleben eigener Stärke ab. Beispiele hierfür können sein:

• Ein Chatbenutzer belästigt sein Opfer fortwährend mit obszönen Nachrichten
• Ein Angreifer schickaniert sein unbeholfenes Opfer fortwährend mit Denial of Service-Attacken

Die weiteren Formen von bösartiger Aggression wie zum Beispiel Nekrophilie und andere Formen der Perversion sind für meine Untersuchungen im technischen Umfeld nicht von Belang und werden daher nicht genauer erläutert. Ebenso möchte ich, um unhaltbaren Hypothesen meinerseits vorzubeugen, auch schon hier meinen Rücken diesem unerforschten Gebiet der menschlichen Psyche zuwenden.

Gruppendynamik

Attackiert ein einzelner Angreifer ein Unternehmen oder verunstaltet eine Webseite, so sprechen wir eindeutig von individuellen Angriffen. Vielfach erhöht jedoch der Zusammenhalt einer Gruppe von Angreifern die Qualität oder Quantität von Angriffen:

• Eine Gruppe von Angreifern verunstaltet aus politischen oder ethischen Gründen eine Webseite
• Mehrere Benutzer eines Chatraums schmieden Intrigen gegen einen anderen Chatbesucher
• Zwei Gruppen von Crackern liefern sich einen Informationskrieg mittels Denial of Service-Attacken
• Mehrere Cracker stehlen aus finanziellen Gründen industriell oder wirtschaftlich relevante Daten
• Eine Hackergruppe verbreitet fehlerhafte Informationen über ein Produkt oder eine Person

Von der Gewalt in einer Gruppe sprechen wir sobald mindestens zwei Personen zusammen bei der Ausübung einer aggressiven Handlung wirken. Das Tun muss nicht zwingend gleichartig sein, sondern lediglich gleichgerichtet. So kann jemand zum Beispiel ein Angriffsprogramm schreiben und der andere wird es dann einsetzen.

Man könnte nun davon ausgehen, dass kollektive Übergriffe eine simple Summe individueller Aktionen darstellt. Diese Aussage ist leider falsch, denn die Faktoren für das Handeln der einzelnen Personen hat eine komplett andere Gewichtsverteilung. So beeinflusst sich der Kollektiv selbst und entwickelt unter Umständen eine regelrechte Gruppendynamik. Unter diesem Einfluss, der eventuell ein psychischer Druck darstellen kann, werden gar Taten begangen, die der einzelnen nie umzusetzen gewagt hätte. Im Gegensatz zum reellen Leben kann im Cyberspace jegliche Form von Gewalt in kollektiver Art und Weise vorkommen; wenigstens in abgeschwächter Form. Kann zwar im echten Leben kaum ein einzelner Soldat einen Krieg anzetteln, können im Internet ganze Schlachten durch eine einzelne Person heraufbeschworen werden.

Individuelle Aggression tritt normalerweise nur gegen eine Einzelperson in Kraft. Höchstens in Situationen, wo sich der Attacker als besonders mächtig fühlt, wird er es auch gegen eine Gruppe aufnehmen. Da beim Informationskrieg im Internet die technische Intelligenz am meisten Gewicht hat und ein Angreifer sich hinter seinem Computer verstecken kann, wird die Hemmschwelle für den Angriff eines vermeintlich unterlegenen Kollektivs viel niedriger sein, als im echten Leben.

Kollektive Angriffe wenden sich in den seltensten Fällen gegen einzelne Individuen auf. Zwar können Chatbesucher im kollektiv mit Obszönitäten belästigt werden, oder Distributed Denial of Service-Attacken gegen einen Surfer richten, doch sind dies eher Ausnahmefälle und grenzen teilweise schon an die sadistische Variante von Attacken. Im Normalfall treffen zwei Gruppen unterschiedlicher Gesinnung aufeinander. Der Leitspruch wird in diesem Fall Wir gegen Die heissen und die Aggression sich gegen jegliches Mitglied der Opposition richten. Diese Varianten kann man sehr schön bei Rivalitäten zwischen Gruppierungen betrachten, in denen jemand oft ohne erfindlichen Grund angegriffen wird, nur weil er zur Gegenpartei gehört. Offensichtlich publizierte Gesinnungen (z.B. Rechtsradikalität) können dann sehr schnell als Reiz empfunden werden und dementsprechend das aggressive Verhalten fördern. Sich selber betrachtet ein Angreifer in einem solchen Fall lediglich als Mitglied in einer Gruppe; ebenso sieht er sein Gegenüber. Dieser Umstand der Anonymität kann natürlich die Brachialität von Übergriffen schüren, da kein direkter Bezug zum Gegner erkannt werden kann und sich der Angreifer sicher fühlt. Ein weiterer wichtiger Punkt in der Gruppendynamik ist die Vorbildfunktion der anderen: Direkte Aufforderungen, Befehle, Anerkennung und Belohnungen animieren zu Taten – Missbilligung und Verachtung bei einer Verweigerung ebenso.

Täteranalyse

Die technischen Informationsquellen ansich werden nie der Aufgabe gerecht werden, ein halbwegs vollkommenes Bild der Persönlichkeitsstruktur eines Täters darstellen zu können. Um seine Gedankenwelt vor, während und nach der Tat verstehen zu können, muss man sich eventuell intensiv mit seiner psychosozialen Entwicklung und seinen Lebensumständen auseinandersetzen.

Im fünften und letzten Teil dreht sich zusätzlich alles um die möglichen Lösungsrichtungen um Übergriffe im Computerbereich zu verhindern oder wenigstens einzudämmen. Als erstes wird versucht der Anreger durch psychologische und technische Tricks zu verändern, um so sein Denken und Handeln zu beeinflussen. Zusätzlich kann versucht werden die Aggressionshemmung zu fördern um präventiv oder aktiv einen kriminellen Übergriff abzuwenden.

Phasen eines Tatablaufs

Sadistisch und sexuell motivierte Serienmörder durchlaufen während ihrer Irrfahrt einen durch sieben Verlaufsphasen gekennzeichneten, spezifischen und gleichbleibenden Handlungszyklus. Eine Übertragung dieser Analyse auf die computerorientierten Kriminalitätsformen gestaltet sich in meinen Augen als sehr schwierig und grösstenteils ungerechtfertigt, da lediglich sexuell motivierte Computerdelikte von sadistischem und perversem Ausmasse ein vergleichbares Verhaltensmuster offenlegen würden. Ein gut durchdachter, geschickt und erfolgreiche durchgeführter Computereinbruch weist jedoch auch einen phasenweise darstellbaren Ablauf dar.

Der Konflikt

In der ersten Phase wird die Aggression durch den Konflikt zwischen späterem Opfer und Täter geschürt. Dies kann eine Beleidigung in einem Chat oder eine Diffarmierung auf einer Webseite sein.

Abstecken des Angriffsziels

Der zweite Schritt wird das Auskundschaften des Angriffsziels sein. Footprinting in der Form des Sammelns jeglicher Daten über das Angriffsziel ist nun der aktuelle Inhalt des Bestrebens. So wird der Rahmen der Aktivität festgelegt, die Webseite des Opfers ausgekundschaftet, um Kontaktinformationen (Namen, Adressen, Telefonnummern, Mail-Adressen, …) zu erhalten, die für das weitere Vorgehen – vor allem bei Social Hacking – von Interesse sein werden. Zu dieser Phase zählt auch das Auswerten der Netzwerkdaten: Die verschiedenen whois-Abfragen liefern eine Fülle an wertvollen Informationen über das Angriffsziel. Ebenso werden mittels DNS-Abfragen die ersten technischen Informationen über das Ziel in Erfahrung gebracht. Durch das Nutzen von Traceroute wird ein Zugriffspfaddiagramm erstellt, um die Struktur des vorliegenden Netzwerkes vor Augen führen zu können. Dabei kann die Netzwerktopologie, das Routing-Verhalten und etwaige Sicherheitsmechanismen (z.B. Firewall-Elemente) entdeckt werden.

Umsetzung erster Auswertungen

Das Scanning ist der Inhalt der dritten Phase: Ping-Suchläufe ermitteln das ICMP-Verhalten der im Netzwerk vorhandenen Hosts. Auch Wardialing wird hier zu einem wichtigen Schlagwort, denn mit speziellen Tools lassen sich ansprechbare Telekommunikationsanlagen (z.B. Telefone, Faxe oder Wählmodems) finden. Zusätzliche ICMP-Abfragen können die Zeit- und Netzwerkeinstellungen auf den Zielsystemen offenbaren. Portscanning ist ein sehr wichtiger Aspekt, denn dank dessen können Betriebssysteme und laufende Dienste erkannt werden. Auch das Verhalten von Firewall-Systemen lässt sich durch spezielle Scanning-Techniken ermitteln. Das aktive Erkennen der eingesetzten Betriebssysteme ist der nächste Schritt: Portscans haben uns erste Informationen geliefert, der Fingerabd ruck des Stapels und passives Stack-Fingerprinting versuchen alle Zweifel aus der Welt zu räumen. Desweiteren ist diese Phase durch die Auswertung der entdeckten Systeme gekennzeichnet. Jedes Betriebssystem weist seine Eigenarten, wie zum Beispiel spezielles Verhalten bei exotischen TCP-Flags oder abnormalen ICMP-Anfragen, auf. Zudem verraten viele generische Dienste, bei Windows ist Netbios der Schlüssel zum Erfolg, eine Fülle von sicherheitsrelevanten Informationen über das System.

Der Angriff

Erst als vierte Phase ist der eigentliche Hacking-Angriff auf das System zu nennen. Durch das Ausnutzen einer Schwachstelle wird ein Angreifer versuchen erweiterte Rechte auf dem Ziel zu erlangen. Diese Eingriffe können dank fehlerhaften Konfigurationen (z.B. fehlerhafte NFS-Freigaben) oder unsauber programmierte Software (z.B. Bufferoverflows) erfolgreich verlaufen. Verläuft der Angriffsversuch nicht erfolgreich, da keine Sicherheitslücken durch den Angreifer ausgenutzt werden können, wird er je nach Motivation eine Denial of Service-Attacke in seiner Frustration starten. Nach dem Ausbau der Zugriffsprivilegien ist der Missbrauch von Vertrauensbeziehungen angesagt: Jegliche Form von IP-basierender Authentifizierung kann zu diesem Zeitpunkt ausgetrickst werden. Ist ein Schlüsselsystem im Besitz des Angreifers, wird er versuchen mit einem Sniffer Passwortsequenzen, die über das Netzwerk geschickt werden, abzufangen, auszulesen und zu replizieren.

In diesem Schritt ist zur Erleichterung des späteren Wiedereintritts das Einrichten von Hintertüren (engl. Backdoors) möglich. Dies ist vorwiegend bei, wenigstens in einem ersten Anlauf, als konstruktiv bezeichnete Angriffe gegeben.

Fürchtet der Angreifer Repressalien, seien diese nun juristischer oder technischer Natur, versucht er die Spuren seiner Tat zu verwischen. Dies soll ein Belangen des Angreifers verhindern. Sehr viele Eindringlinge scheitern kläglich bei ihren Aufräumarbeiten: Manche sind sich gar nicht der Gefahr bewusst, die durch die von ihnen verursachten Einträge in den Log-Dateien existent ist. Anderen fehlt schlicht die technische Kompetenz, um saubereren Tisch zu machen. Vor allem auf Unix-Systemen herrscht ein wahrer Protokoll-Dschungel vor: Jede Applikation hat ihre eigenen Protokoll-Mechanismen – Es ist nahezu unmöglich etwas (in während einer Netzwerkkommunikation) zu löschen, ohne neue Log-Daten zu verursachen.

Welche Informationsquellen

Der Kernpunkt jeder Form der Einbruchserkennung lässt sich auf das, wie der Namen schon sagt, Erkennen des Eindringlings herunterbrechen. Die Umsetzung dieses primären Grundsatzes erfordert eine entsprechende technische Infrastruktur, zur Sammlung der für die in Echtzeit oder zu einem späteren Zeitpunkt durchgeführten Analyse. Grundsätzlich muss im Zweifelsfalle gegen den Angeklagten entschieden werden. In diesem paranoiden Zustand wagt man daher hinter jeder Anomalie des Computer- und Netzwerkverhaltens einen potentiellen Eindringling zu erkennen. Diese Abweichungen des tagtäglichen Ablaufs der Systeme kann von dubiosen Anfragen, über fehlerhafte Login-Versuche bis hin zu verdächtigen Dateien gehen. Das Erkennen einer Anomalie ist eine Sache. Hinter dieser Anomalie den effektiven Eingriff und die damit verbundenen Absichten und Hintergründe korrekt deuten zu können, ist eine andere. Als erstes muss bei einer analytischen Absicht durch einen Administrator oder Auditor das entsprechende Material definiert und ausfindig gemacht werden. Dazu gehören natürlich jegliche Art von Log-Dateien und Protokollen:

• System-Logs (z.B. syslog bzw. Event-Log)
• Anwendungs-Logs (z.B. Webserver, FTP-Server, Mailserver)
• Firewall-Logs
• IDS-Logs (hostbasierende bzw. netzwerkbasierende)
• Protokoll-Analyzer-Logs

Systemdateien, wie zum Beispiel syslog auf Unix-Systemen oder Event-Log auf Windows-Systemen, sind der Grundbaustein für die Analyse. Darin finden sich typische systemspezifische Fehlermeldungen, die in erster Linie das jeweilige System ansich betreffen. Eine besonders hohe Detailtiefe ist hierbei nicht zu erwarten. Diese Information erlaubt uns einen systemorientierten Angreifer zu erkennen: Werden bestimmte Angriffe gegen die typische Verwundbarkeit eines Betriebssystems ausprobiert (z.B. OOB-Attacken)?

Besonders auf Systemen, die bestimmte Dienste wie HTTP oder Mail anbieten sind die spezifischen Anwendungs-Logs von enormer Wichtigkeit. Darin werden im besten Fall natürlich dubiose Zugriffe (z.B. Bufferoverflow-Anfragen) aufgelistet. Je nach Anwendung können sehr detaillierte Angaben erwartet werden. Diverse Anwendungen schreiben ihre Meldungen jedoch auch in die Systemlogs und trumpfen dann meist auch nicht mit einer überragenden Detailtiefe auf. Anwendungsspezifische Logdateien lassen bei Angriffen auf bestimmte Dienste die Absichten eines Angreifers vermuten: Werden ganze Subnetze nach einem bestimmten Dienst abgesucht (z.B. FTP, da gerade eine neue Sicherheitslücke im ProFTPd bekannt wurde)?

Die Firewall-Logs gewinnen in Extremsituationen an grösster Bedeutung. Anhand der Protokolle eines Paketfilters können die Kommunikationen auf den OSI-Schichten 2 bis 4 genauer unter die Lupe genommen werden. Es wird zwar auch für einen geübten Netzwerkadministrator eine Herausforderung sein, ohne Anhaltspunkte Anomalien bei der Netzwerkkommunikation erkennen zu können. Sind jedoch Anhaltspunkte vorhanden, zum Beispiel ist im Nachhinein die Tatzeit ziemlich exakt bestimmbar, so wird sehr schnell der Tathergang rekonstruierbar. Application Gateways bzw. die entsprechenden Proxies werden zusätzlich auf höherer Ebene für Klarheit sorgen können. Die meisten populären Produkte bieten sehr detaillierte Kommunikationsprotokolle, aus denen gar die entsprechenden Eingaben von Seiten des Angreifers einsehbar bleiben. Besonders Angriffe, die die Firewall tangieren, werden mittels der Firewall-Logs analysierbar.

Protokolldateien, die durch die jeweiligen IDS-Produkte generiert werden, seien diese nun host- oder netzwerkbasierend, sind in der psychologischen Intrusion Detection natürlich Gold wert. Viele Angriffsformen werden auf technischer Ebene frühzeitig erkennt und die entsprechenden Massnahmen eingeleitet. Sehr schön ist natürlich das Feature vieler populärer Produkte, ganze Sessions für eine spätere Wiedergabe und Analyse aufzuzeichnen. Gut platzierte und konzeptionierte Intrusion Detection Systeme erleichtern die elektronische Einrbuchserkennung ungemein und sind daher in jedem Falle zu empfehlen.

Als Eventualität bei der Auflistung aller Quellen bleibt noch die Protokollierung eines Protokoll-Analyzers zu nennen. Ein solcher vermag in einem ungeswitchten Netzwerk den gesamten Datenverkehr aufzuzeichnen. Anomalien werden, wie dies auch bei einem Paketfilter der Fall ist, von einem geübten Auge erkannt werden. Da jedoch in den seltensten Fällen rund um die Uhr ohne ersichtlichen Grund von der Administration Protokoll-Analyzer in einem Netzwerk platziert werden, kann auf diese Quelle meist nur bei präventiven Massnahmen oder vorhersehbaren Attacken zurückgegriffen werden.

Vorgehen bei einer Analyse

Wir haben eindeutig gesehen, dass Computerkriminalität nicht gleich Computerkriminalität ist. Verschiedene Motivationen, Ziele, intrensische und extrensische Gegebenheiten lassen eine Vielzahl verschiedener Angriffsformen und -muster zu und verdammen somit die Vereinheitlichung als stupide Verallgemeinerungen. Für aggressives Verhalten, bei dem der Computer als Medium oder Werkzeug dient kann es keinen typischen Grund geben. Stets beruht die Aktivität und deren Hintergründe auf verschiedenen, zusammenspielenden und je nach Fall unterschiedlich gewichtigen Faktoren. Aber einzelne Grundmuster, die ein offensichtliches Zusammenspiel zwischen Aktivität, Hintergrund und Umfeld erzeugt, sind nicht zu verleugnen. Die Frage, warum Computerkriminalität und die damit verbundene Aggression auftritt ist ebenso wie in der Aggressionsforschung ansich in drei Teilfragen aufzugliedern:

• Wann tritt das Verhalten auf?
• Was für Menschen neigen zu diesem Verhalten?
• Auf welchen Einflüssen beruht das Verhalten?

Auf die erste Frage, wann denn das sonderbare Verhalten auftritt, kann eine zweiteilige Antwort gegeben werden: Das Verhalten tritt auf, wenn sich in einem Menschen bestimmte Gedanken und Emotionen treffen, die mit bestimmten Situationsfaktoren zusammentreffen.

Die zweite Frage nach dem typischen Typus Mensch, der zur Computerkriminalität neigt, müssen wir mit einer sehr pauschalen Antwort vorlieb nehmen: Jeder Mensch kann zu diesem Verhalten neigen. Sie unterscheiden sich nach Situation und Form. Manche Menschen wollen permanent ihre Intelligenz unter Beweis stellen und verüben daher regelmässig das Tagging von Webseiten. Andere nutzen ihre Kompetenz nur als Vergeltung bei besonders schlimmen Vergehen. Interessant ist sich daher drei Fragen zu stellen, um den individuellen Personenfaktor möglichst genau zu hinterfragen:

• Was sind die Motive für den Übergriff?
• Welches sind potentielle Aggressionshemmungen?
• Wie ausgeprägt ist das individuelle Verhaltensrepertoire?

Die dritte und letzte Frage dieses Unterkapitels versucht die Einflüsse zur Steigerung des kriminellen Verhaltens darzulegen. Wiederum ist das Geben einer pauschalen ntwort auf diese Frage als unmöglich einzustufen. Zu individuell ist das Wesen des Menschen, als dass es auf typische Reize mit vorhersehbaren Aktionen reagiert. Jemand verachtet Homosexualität, ein anderer ist bekennender Feind einer religiösen Richtung. Auch diese Frage muss daher im Kontext betrachtet werden, und darf nicht herausgelöst als einzelnes Studienobjekt gelten. Physische Einflüsse können aggressives Verhalten stark beeinflussen. Bestes Beispiel hierzu ist der physische Stressor durch übermässige Hitze oder Kälte.

Qualität eines Angriffs

Wir haben nun die sechs typischen Täterkategorien und die zwei daraus resultierenden Splittergruppen etwas näher kennengelernt. In diesem Kapitel geht es nun darum einen Angreifer anhand seiner Aktivität einzuschätzen. Pauschalisierend möchte ich mein System verweisen, anhand dessen durch die Aktivitäten eines Angreifers sein Charaktertyp ermittelt werden kann (siehe Tab. 9). Damit das Vorgehen eines Angreifers analysiert werden kann, empfehle ich das protokollieren der Aktionen mittels einem Intrusion Detection System (z.B. Black ICE Defender), einem Firewall-System (z.B. Symantec Raptor), Protokoll-Analyzer/Sniffer oder systeminternen bzw. dienstspezifischen Protokolldateien (z.B. syslog). Während der Auswertung der Daten muss der Beobachter natürlich die Aktivität in einem zwielichtigem Kontext erkennen können müssen. Ein einmaliger TCP-Zugriff auf Port 80 (HTTP) ohne vorangehende oder folgende Aktivität darf wohl getrost als menschliches Versehen oder technisches Versagen betrachtet werden. So ist ein gewisses Mass an technischer Kompetenz für eine verlässliche Analyse unabdingbar. Ich bin zwar in vielen Bereichen ein Freund der Laienanalyse, doch auf technischen Fachgebieten halte ich eine solche für total unangebracht.

Sich bei einer Auswertung strikt und ohne Kritik an diese Liste zu halten ist unumstritten sehr unproduktiv. Dieser Punkt wird spätestens dann klar, wenn man in Betracht zieht, dass diverse Angriffsversuche gut automatisiert werden können, und somit auch für technisch weniger versierte Angreifertypen auf produktive Weise zugänglich wird (z.B. neuer Exploit für einen unpopulären Bufferoverflow). Damit ich meinen Leitfaden ein bisschen relativieren, vertiefen und dadurch etwas ausbessern kann, möchte ich mich den einzelnen Angriffsvarianten, ihrem technischen Potential, ihren psychologischen und sozialen Zusammenhängen widmen.

Quantität eines Angriffs

Die Zeitfenster von miteinander korrellierenden Taten kann unter Umständen bruchstückweise Informationen zur Psyche des Täters offenbaren. Bei sexuell motivierten Serientötungen wird davon ausgegangen, dass die Rückfallgeschwindigkeit sich generell erhöht. Elektronische Angriffe mit sexuellem Hintergrund mit seriellen Gewaltverbrechen gleichzusetzen fällt sehr schwierig; Parallelen können jedoch durchaus ausgemacht werden.

Verallgemeinernd ausgedrückt werden in der Regel Attacken in einer ersten Phase nur sehr zaghaft durchgeführt, um die eigenen Grenzen in etwa abschätzen zu können.

Ist der Täter sich seines Sieges sicher bzw. rechnet er mit einem Entkommen, wird er in der zweiten Phase schamlos mit seiner Penetration beginnen. Spätestens nach dem zweiten erfolgreichen Übergriff ohne Festnahme wird ein Täter zusehends selbstbewusster. Die Angst zur Rechenschaft gezogen zu werden verblasst und verliert ihren bedrohlichen Inhalt. In dieser Phase ist zu erwarten, dass der Angreifer Fehler machen wird. Einen abrupten Einhalt der Angriffe werden drei Zustände bieten können:

• Das Ziel wurde durch den Angreifer erreicht (z.B. weil er in den Besitz der gewünschten Daten gekommen ist).
• Er bangt um seine Entdeckung und die entsprechenden Folgen (z.B. da er ein Intrusion Detection System entdeckt hat).
• Er ist sich des Scheiterns seines Vorhabens bewusst (z.B. da keine Ports offen sind)

Chiffrierte Angriffe

Wird von Chiffrierung gesprochen werden viele an kryptographische Methoden zur Verschlüsselung von geheimen Botschaften denken. Als chiffrierte Angriffe bezeichnen wir nun jedoch eine symbolische Tat, bei der der Täter sein Handlungsmuster codiert, um vom wahren Motiv abzulenken:

• Nach dem Bruch einer langjährigen Freundschaft wird das Opfer auf diversen Webseiten ungerechtfertigt als Rassisten denunziert.
• Ein Beziehungskonflikt wird nicht über E-Mail, sondern mittels anonymen und undurchschaubaren Denial of Service-Attacken ausgetragen.
• Es werden absichtlich Konfigurationsdateien gelöscht, obwohl die Einsicht persönlicher E-Mails durch den Angreifer das Hauptziel seiner kriminellen Handlung war.

Der Hintergrund des chiffrierten Angriffs ist in den Augen des Täters entweder lächerlich oder er schämt sich dessen: Zurückweisungen oder Demütigungen stehen auf der emotionalen Initialisierungsliste ganz oben. Im Gegensatz zu Deckangriffen weisen chriffrierte Angriffe durch den Täter gewollte Muster auf. Zudem kann auch eine kühle Berechnung das Legen falscher Fährten ausmachen. Ein emotionsloser und intelligenter Eindringling wird eventuell offensichtliche Spuren legen (z.B. simple Telnet-Hintertür) und im Geheimen auf sehr ausgeklügelte Mechanismen zurückgreifen (z.B. mittels Port Knocking verstecktes ICMP-Backdoor).

Ist die Kompromittierung eines Systems durch den Administrator oder Benutzer augenscheinlich, so empfiehlt sich deshalb die komplette Neuinstallation der Maschine. Die üblichen Hintertüren mögen zwar bei den Aufräumarbeiten entdeckt werden; die trickreichen durch den Angreifer hinterlassen Notfall-Hintertüren aufzufinden wird jedoch sehr viel Energie und Zeit in Anspruch nehmen. Wiedereinmal kann ich nur betonen, dass präventive Massnahmen (vorwiegend Firewall-Elemente, Intrusion Detection-Systeme sowie Antiviren-Software) in Krisensituationen den finanziellen und wirtschaftlichen Schaden verhindern oder wenigstens eindämmen können.

Deckangriffe

Bei Deckangriffen geht ein psychodynamischer Verschiebungsprozess beim Täter voran. Unbewältigte feindselige Gefühle werden bewusst oder unbewusst auf andere Personen projeziert. Die Opfer nehmen in solchen Fällen die Sündenbock-Funktion ein und provozieren durch ihr Auftreten oder Handeln den Angreifer zu seinen Taten. Ein gutes Beispiel ist der gehörne Ehemann, der nach dem Seitensprung seiner Ehefrau grundsätzlich alle Frauen missachten will. Die Bildung von Klischees sowie Verallgemeinerungen generell werden voraussichtlich ebenfalls ihren Ursprung hierin haben.

Der fruchtbarste Nährboden für Deckangriffe sind emotionale Frustration, zum Beispiel durch Beziehungsstress (nicht nur zwingend auf erotischer Ebene) hervorgerufene Wut und Hass. Der Täter sieht sich wiederum als Opfer langjähriger Demütigung, Provokation oder Angst (negative Dinge wurden stets hinuntergeschluckt) und sucht ein Ventil zur Abreaktion seiner überschüssigen destruktiven Energie.

Solche Deckangriffe sind jedem Charaktertyp zuzuschreiben und nicht an bestimmte extrensische Gegebenheiten geknüpft:

• Ein Angreifer belästigt auf obszöne Art und Weise in einem Chat die Person mit dem Pseudonym Sandra, weil des Angreifers Freundin mit demselben Namen ihn vor kurzem verlassen hat.
• Ein Angreifer löscht die Kundendatenbank seines Arbeitgebers, weil ihn sein Chef heute im Büro etwas rüde angefahren hat.
• Ein Angreifer übt eine Denial of Service-Attacke auf sämtlichen staatlichen Webserver der Behörden aus, weil er durch eine Verkehrsbusse genötigt wurde.

Eine Welle von ungezügelten Emotionen begleitet das Erscheinen eines Deckangriffs. Wäre der Täter in der Lage seine Emotionen in den Hintergrund zu stecken und die Lage ganz sachlich zu analysieren, käme es wohl nicht zum vorwiegend destruktiven Übergriff. Emotionalität birgt für den Angreifer stets die Gefahr in sich, dass unüberlegtes Handeln Fehler provoziert und er sich so in handfeste juristische Schwierigkeiten bringen kann.

Ein wahrer Teufelskreis ist bei Deckangriffen auszumachen, denn durch die Projizierung des Hasses auf ein unschuldiges Opfer wird der Vorgang zur Sysiphus-Arbeit und das Ziel keinen Schritt näher kommend. Auch nach erfolgreichem Angriff (z.B. Denial of Service) ist das wahre Problem (z.B. die Ehekrise) existent und des Problems Lösung genauso weit entfernt, wie vor der kriminellen Handlung. Dies ist mitunter auch der Hauptgrund, warum Deckangriffe eine wahre Welle von Widerholungen erfordert: Der eigentliche innere Konflikt wird niemals auf diese Weise gelöst werden können. Andere Mittel und Wege müssen vom Angreifer gefunden werden, um sein Problem zu bewältigen. Oft sind die Täter so eingefahren und die Konfliktsituation so brisant, dass eine unvorhersehbare oder durch den Täter eingeleitete Problemlösung gar nicht möglich ist. Spätestens ab diesem Zeitpunkt müsste man auf absolut nicht-technischer Ebene dem Täter zu Hilfe kommen. Aber eine bidirektionale Kommunikation aufzubauen fällt oft sehr schwer.

Lösungsrichtungen

Die technischen Informationsquellen ansich werden nie der Aufgabe gerecht werden, ein halbwegs vollkommenes Bild der Persönlichkeitsstruktur eines Täters darstellen zu können. Um seine Gedankenwelt vor, während und nach der Tat verstanden zu haben, muss man sich mit dem sozialen Umfeld und der Biographie des Täters auseinandersetzen. Die individuelle Kombination von wirtschaftlichen und emotionalen Interessen erlaubt eine sehr feine Abstufung der Persönlichkeitsbilder und der entsprechenden Ausdrucksweisen.

In diesem Kapitel üben wir uns an der systematischen Aggressionsvorbeugung, -verhinderung und -korrektur. Die durch Studien in der Aggressionsforschung zu Tage geförderten Lösungsrichtungen sollen genauso zur Diskussion stehen, wie die populären Ansichten. Im Vordergrund steht eindeutig der direkte konfliktvermeidende Weg psychologisch-pädagogischer Natur: Ein Angreifer soll nicht zur Abweichung und Aufgabe gezwungen werden – Er soll sich selber auf einen konfliktarmen Pfad begeben wollen. Komplett ausklammern werde ich die medizinischen Methoden (medikamentös, hirnchirurgisch), die höchstens in klinischen Ausnahmefällen einen akzeptablen Ausweg bieten können.

Ich habe versucht die Lösungsrichtungen anhand ihrer Ansatzpunkte zu gliedern und bin auf drei relevante Wege gestossen:

• Der Aggressor reagiert sich in einem kalkulierbaren Rahmen ab
• Die anregenden Faktoren einer Konfliktsituation können verändert werden.
• Die Aggressionshemmung kann gefördert werden.

Aggressionen abreagieren

Ein populärer Irrtum besagt, dass man aggressive Gefühle auf möglichst harmlose Art und Weise abreagieren soll. Der Gedanke dabei ist, dass aggressive Bedürfnisse an einer kalkulierbaren Stelle befriedigt werden können. Eine Binsenweisheit besagt, dass aggressives Verhalten ein Ventil braucht und man durch Dampf ablassen das innere Gleichgewicht wieder herstellen könne – Quasi eine auf die Aggression angewendete katharsische Methode. Einige Psychotherapeuten ermuntern ihre Patienten sich auszutoben, sich gegenseitig anzuschreien oder mit wattierten Schlägern zu prügeln. Besonders bekannt ist die These geworden, dem Aggressionstrieb in sozial akzeptablem Umfang Befriedigung zu verschaffen; zum Beispiel durch sportliche Wettkämpfe. Auch dem passiven Ansehen aggressiven Verhaltens wird zeitweilens eine aggressionsvermindernde Wirkung zugeschrieben.

Die empirische Psychologie ist seit den 60er und 70er Jahren mit diesem Thema, der sogenannten Katharsis-Hypothese, fertig und sieht die Sache allgemein als erledigt an; lediglich um einige theoretische Aspekte wird noch gestritten. Die Katharsis-Hypothese wird vorwiegend von Triebtheoretikern vertreten und stellt gleichzeitig einen Teil der Frustrations-Theorie dar. Durch Frustration wird ein Aggressionsbedüfrnis erzeugt, das nur durch einen aggressiven Akt wieder Entspannung herleiten kann. Wird diese Wirkung durch Unterdrückung verhindert, steigert dies Aggression zusätzlich.

Ein Beitrag zur Aggressionsverminderung kann von der Katharsis-Hypothese nicht erwartet werden. Eine intensive Studie der Katharsis-Methode ergibt das Bild, dass es viele verschiedene Varianten ihrer gibt, die unterschiedliche Wege des Auslebens aggressiver Muster vorschreiben.

Katharsis-Theorie in der Computerkriminalität

Will man die Katharsis-Theorie auf die Computerkriminalität applizieren, muss man eine strenge Differenzierung der Übernahme umsetzen. Die durch Computerkriminalität beschriebene Form der aggressivität könnte man als intellektuelle Aggression bezeichnen. Der Aggressor geht nicht, wie ansonsten bei aggressivem Verhalten, mit vollem Einsatz seines Körpers (z.B. Gewalt oder Schreien) auf sein Opfer los. Viel mehr will mitunter durch Disziplin die Überlegenheit demonstriert werden.

Anreger verändern

Gelingt es dem Opfer einen personalen oder emotionalen Bezug zum Täter herzustellen, könnten weitere destruktive Übergriffe verhindert werden. Es gilt also durch uni- oder bestmöglich bi-direktionale Kommunikation einer ausbreitenden Anonymität vorzubeugen.

Im Computerbereich kann dies durch ein spezielles Auftreten in den Medien geschehen. Durch eine – in aggressionstechnischer Hinsicht – neutralen Webseite können Übergriffe unter Umständen von Vornherein uninteressant gemacht werden. Eine politische Seite mit extremistischen Aussagen wird eher den Drang zu einem Angriff fördern, weder eine schlichte Firmenwebseite, auf der lediglich einige unpopuläre Produkte angepriesen werden.

Ein gutes Beispiel in diesem Zusammenhang kann mit einer Sicherheitsfirma illustriert werden. Ein Unternehmen, das sich auf Sicherheit in Computerumgebungen spezialisiert hat und sich selbst in der Öffentlichkeit als führend anpreist, ist enorm interessant für einen Angreifer. Dieser wird durch die vermeintliche Arroganz der Firma zu einem Übergriff regelrecht angestachelt. Der Angreifer denkt sich:

Sehr schön, die meinen die Sind gut – Nun werde ich es denen zeigen.

Die Möglichkeiten der Veränderung des Anregers ist relativ schwierig, wenn wir von statischen Auftritten (z.B. Webseite) oder schon geschehenen Ereignissen (z.B. vorangehende Absage nach einem Bewerbungsgespräch) reden. Politische Webseite müssen und wollen provozieren – Ihr Standpunkt muss klar gemacht und zwecks besserer Verständlichkeit beim Leser gar übertrieben werden.

Vor allem wichtig ist es, so scheint es mir, in einer Umgebung auf provozierende Massnahmen zu verzichten. In erster Linie sind dabei Fehler- und Warnmeldungen gemeint. Ein Zugriff auf einen privaten Webserver sollte nicht mit einem provozierenden Verschwinde quittiert werden. Neutrale Fehlermeldungen, die gar keine persönliche Angriffsfläche bieten, sollten stets vorgezogen werden.

Ein grundsätzilcher Fehler wird auch gerne bei Namenskonventionen gegeben. Ein System, dessen Hostname „securefirewall“ oder „secretweb“ lautet, wird immer interessant sein und Neugierde bzw. den Spieltrieb wecken. Auch hier gilt es, auch eine neutrale Namenskonvention auszuweichen und einen internen Webserver vielleicht lieber nur als wwwi oder intern zu bezeichnen.

In hochdynamischen Situationen, wie zum Beispiel direkten Gesprächen, ist die Möglichkeit der Anregerveränderung durchaus ad-hoc gegeben. Konflikte, wie sie in Chats vorkommen können, können oftmals durch eine neutrale und nüchterne Weiterführung entschärft werden. Dem potentielle Aggressor wird dabei quasi die Luft aus den Segeln genommen, so dass er gar keinen Wunsch mehr verspürt, einen Angriff umzusetzen (z.B. wegen Frust).

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)