Sicherheit

Kaum betritt Erwin Mustermann sein Büro, schaltet er seinen Computer an. Erwin ist Abteilungsleiter einer größeren Firma, das Gerät ist ihm unentbehrlich geworden.

Ein paar Mausklicks genügen, um eine elektronische Bestellung zu genehmigen. Am Bildschirm kontrolliert der Manager die Kalkulation für ein unter strenger Geheimhaltung entwickeltes neues Produkt, oder er sichtet die gespeicherte Bewerbung eines vielversprechenden Nachwuchsingenieurs.

Berichte einer amerikanischen Partnerfirma sind über Nacht per E-mail eingegangen. Doch neben solchen Managementinterna finden an diesem Tag auch öde Rundschreiben den Weg in Mustermanns digitalen Posteingangskorb - es ist ja so bequem, mit einem Tastendruck vermeintlich Wichtiges über die ganze Firma zu verbreiten. Heute morgen nervt zum Beispiel wieder irgendein Prinzipienreiter aus der Verwaltung mit Hinweisen auf die neuen Telefongebühren.

Der Manager ahnt nicht, daß er in dem Moment, als er den banalen E-Brief auf seinen Schirm holte, Opfer eines Überfalls geworden ist: Ein unbekannter Absender hat sich in den Besitz der Codes gebracht, die Erwin im Computernetz als Chef legitimieren. Als elektronischer Doppelgänger kann der Einbrecher nun Mustermanns Papiere lesen und in seinem Namen digital unterschreiben.

Was dem fiktiven Abteilungsleiter zugestoßen ist, kann jederzeit in jedem Konzern passieren. Sogar das elektronische Organisationssystem Lotus Notes, das für seine Schutzvorkehrungen hochgelobt wird und dem rund 7000 Firmen in aller Welt ihre intimsten Daten anvertrauen, ist vor Manipulationen nicht sicher.

Die Spezialisten der kleinen hannoverschen Software-Firma Information Management Gesellschaft (IMG) gaben letzte Woche auf den PC der SPIEGEL-EDV-Abteilung eine Probe davon, wie elegant der Datenklau vonstatten geht. Die IMG-Leute sind vom Fach, sie entwickeln Branchensoftware auf der Basis von Notes. Der Programmierer Oliver Bürger, 25, bringt als Einbrecherwerkzeug lediglich eine Diskette mit. Darauf befindet sich ein digitaler Vordruck, eine "Maske", zum Versenden elektronischer Post.

Bürger schickt eine Nachricht an einen anderen Notes-Benutzer, und nach wenigen Minuten kommt auf demselben Weg eine Kombination von dessen persönlichen Daten zurück - der digitale Passierschein . "Es ist wirklich erstaunlich, wie simpel das ist", meint der Programmierer, "das Grundproblem habe ich an drei Abenden geknackt."

Mit über vier Millionen weltweit verkauften Lizenzen verfügt Lotus über ein De-facto-Monopol bei der "Groupware". Diese Software-Gattung übernimmt die komplette Organisation des elektronischen Büros: Notes jongliert nicht nur mit Texten, Daten und Grafiken, es verknüpft Informationen und kontrolliert den Zugriff auf Datenbanken.

Wenn alles mit allem zusammenhängt und jeder mit jedem kommuniziert, ist Datensicherheit keine Marginalie. "Irgendwann wird jemand ein Flugzeug abstürzen lassen oder eine Volkswirtschaft ruinieren, indem er in ein Informationssystem eindringt", beschwor Ray Ozzie, der Vater der Notes-Software, am 17. Januar eine Versammlung hochrangiger Sicherheitsfachleute. "Die Gefahr ist allgegenwärtig, und sie entsteht, weil wir uns ins Informationszeitalter begeben haben, ohne unsere Daten adäquat zu sichern."

Ozzie sprach vor Verschlüsselungsexperten. Er kämpft schon lange dafür, daß die USA ihre Gesetze ändern, nach denen der Export von Codes der höchsten Sicherheitsstufe verboten ist. Ozzie mußte eigens eine Vereinbarung mit der US-Regierung aushandeln, damit auch seine europäischen Kunden in den Genuß des bestmöglichen Schutzes kommen. Stolz kann er nun verkünden, daß die Komplexität der sogenannten RSA-Codes von Lotus Notes so hoch ist, daß sie selbst mit allen Computern der Welt nur in astronomischen Zeiträumen zu knacken ist.

Auf den ersten Blick scheint die Methode perfekt: Jeder Notes-Benutzer bekommt eine Identifikationsdatei zugeteilt und wählt sich ein Paßwort. Nur die Kombination aus Paßwort und ID-Datei öffnet ihm die elektronischen Türen zu den Datenschätzen.

Doch das System gleicht einem Panzerschrank, dessen Rückwand aus Pappe ist. Denn für den Einbruch in die Datenwelt der Notes-Benutzer ist es gar nicht erforderlich, die raffinierten Codes zu knacken. Oliver Bürger beschreitet einen ganz anderen Weg.

Die elektronische Mail, die er als Trojanisches Pferd verschickt, enthält außer dem Text auch ein geschickt verstecktes Programm. Es nistet sich im Rechner des Opfers ein, sobald der unauffällige Text gelesen wird. Auch das kleine Büroklammersymbol auf dem Bildschirm, das die heimliche Fracht verraten könnte, scheint bei entsprechender Tarnung der vermeintlichen Dienstpost harmlos.

Das Spionageprogramm lauert auf den Moment, in dem der Benutzer das nächste Mal sein Paßwort eingeben muß. Das geschieht in festgelegten Intervallen, der Spion kann den Zeitpunkt durch bestimmte Manipulationen sogar selbst bestimmen.

In den Tiefen des Systems belauscht der Eindringling die Eingabe auf der Tastatur. Als elektronische Nachricht schickt er seine Beute, das begehrte Paßwort nebst ID-Datei, an den Auftraggeber und beseitigt dann alle Spuren seiner Anwesenheit.

Hat sich auf diese Weise ein Übeltäter erst einmal in den Besitz der digitalen Schlüssel gesetzt, kann ihn niemand aufhalten. Der kriminellen Phantasie sind kaum Grenzen gesetzt: Die Deutsche Bank zum Beispiel hat 30 000 Lizenzen von Notes geordert, weitere 20 000 sind vorbestellt. "Wir verteilen per E-mail konzernweite Rundschreiben", erläutert ein Firmensprecher. Auch wenn sich die Bank bei Prüfstellen oder ausländischen Partnern über die Bonität von Kunden rückversichert, läuft die sensible Korrespondenz über Lotus Notes.

Das Vertrauen in das System geht so weit, daß die Autorisierung von Krediten inzwischen papierlos erledigt wird: Der Antrag geht in den elektronischen Umlauf, die digitale Signatur der Prüfer ersetzt die Unterschrift.

Die Bank baut auf die Sicherheitsversprechen der Computerbranche. Die Diskussion um verschlüsselte Paßwörter und Codelängen täuscht darüber hinweg, daß PC immer noch wie Spielgeräte aufgebaut sind.

Solange schlimmstenfalls der Rechner abstürzte, wenn sich mal wieder die zahlreichen zusammengeflickten Systemroutinen verhedderten, war das kein großes Drama. Doch nun zeigt sich, daß die beeindruckenden Konstruktionen der Software-Industrie auf äußerst schwachen Fundamenten ruhen.

Als IMG einigen Vertretern von Lotus die Sicherheitslücke demonstrierte und Verbesserungen vorschlug, reagierte die Software-Firma desinteressiert. "Die heutige Systemarchitektur von PC ist einfach nicht sicher. Das ist ein Problem der gesamten Industrie, nicht nur von Lotus", gesteht Notes-Enwicklungschef Alex Morrow zu, meint aber: "Jeder Anwender weiß doch, worauf er sich einläßt."

Die Broschüren, in denen Lotus die mit Pomp vorgestellte neue Version Notes 4 anpreist, schwärmen zwar vom "Produktivitätsschub im Kreditgewerbe". Warnungen vorm Datenklau jedoch sucht man vergebens.

Nur wer im World Wide Web im Untermenü "Nachrichten" unter der Rubrik "weitere Informationen" den "Kundenratgeber" anklickt, stößt auf eine verräterische Mitteilung: Derzeit, so heißt es dort, kursierten im Internet Hinweise darauf, daß Programme, die im Betriebssystem von PC Tastaturdaten abfangen, "die Sicherheit von netzbasierten Sicherungssystemen in Frage stellen können".

Programme wie Notes verblenden die morsche Architektur der PC-Welt mit einer glänzenden Fassade. Und mit jedem Stockwerk an Software-Komplexität wächst die Wahrscheinlichkeit, daß die Konstruktion versagt. Andrea Nassler, die das Lotus-Marketing für Zentraleuropa leitet, mag über diese Art von Sicherheitsfragen nicht diskutieren: "Mit krimineller Energie kommt man überall heran. Was soll das, auf solchen Schwachstellen herumzureiten?"

Daß es an technischer Kompetenz und krimineller Energie in Teilen der Computerszene nicht mangelt, ist längst kein Geheimnis mehr. Auch soll es Geheimdienste geben, die Industriespionage als einträgliches Nebengewerbe entdeckt haben. Es werden sich also schon Leute finden, die den Notes-Slogan "Release the Power!" (Entfalte deine Kräfte) auf ihre Weise interpretieren.

An Daten, die für unbefugte Eindringlinge von Interesse sind, herrscht ebenfalls kein Mangel. Zu den Notes-Vorzeigeobjekten gehört beispielsweise die Digitalisierung des Amtsgerichts Böblingen mit seiner vollelektronischen Verwaltung von Prozeßakten, Sachverständigengutachten und Urteilen. Eine Kundendatei, die von der Deutschen Handelsbank zum Management ihrer stillen Beteiligungen geführt wird, könnte auch anderen von Nutzen sein. Ebenso dürfte ein Blick in die Berichte der Qualitätsprüfer von Mercedes-Benz manches Herz höher schlagen lassen.

Von einem Demonstrationsprogramm, wie es Programmierer Bürger geschrieben hat, zu einem universellen Panzerbrecher ist es nur ein kleiner Schritt. "Wenn irgend jemand diese E-mail-Bombe auf dem Internet verbreitet, ist der Teufel los", ahnt einer der Gutachter, die das Spionageprogramm unter die Lupe genommen haben.

Die Datenwelt von Lotus Notes ist ein Schlaraffenland, das Hacker magisch anziehen muß. Es ermöglicht den unbemerkten Zugriff auf die Innereien des Rechners, an die auf anderem Weg nur schwer heranzukommen wäre. Diese Erweiterungen sind die Grundlage der zahlreichen eleganten Arbeitshilfen des Programms. In den Händen skrupelloser Informationsjäger und Manipulateure werden sie zu gefährlichen Waffen.

Vorbei sind so die Zeiten, als Hacker sich in nächtelanger Arbeit Bit für Bit in einen Rechner vorarbeiten mußten. Wer den elektronischen Dietrich besitzt, muß nicht einmal selber programmieren können. Ein System wie Notes läßt sich bequem per Maus und Menü kommandieren.

Dazu müßte sich der Daten-Bösewicht nicht unbedingt ins Firmengebäude einschleichen: Der Online-Service Compuserve beispielsweise erlaubt es, Notes-mails an die angeschlossenen Firmennetze in 100 Länder weiterzuleiten. Auch der direkte Postempfang aus dem Internet ist bei Lotus Notes inzwischen Standard.

"Stellen Sie sicher, daß keine unautorisierten Programme auf ihren PC laufen", empfiehlt Lotus den Systemadministratoren. Wie das zu kontrollieren wäre, angesichts der zahllosen Helfer, die in den Tiefen der Betriebssysteme schuften müssen, um die Show auf dem Bildschirm am Laufen zu halten, weiß allerdings niemand.

"Die Vernetzung von Computern schafft zwangsläufig neue Risiken", erklärt Notes-Entwickler Morrow, "wer wirklich sicher sein will, muß seinen Computer abschotten" - wohl wahr, aber wissen das alle, die ihre Computer gerade mit so großem Enthusiasmus vernetzen?

Die Deutsche Bank zum Beispiel erklärte letzte Woche auf die Frage, ob besondere Vorkehrungen gegen den Schlüsseldiebstahl per Datenleitung getroffen worden seien: "Wir halten es für ausgeschlossen, daß so etwas möglich ist. Wir haben überhaupt keine Sicherheitsbedenken, schließlich nutzen ja auch Bundeswehr und CIA das Notes-System."