8/9/2019 Datenschleuder #62
1/32
Die Datenschleuder
ISSN 0930-1045
Mrz 1998, DM 5,00
Postvertriebsstck C11301F
Das wissenschaftliche Fachblatt fr Datenreisende
Ein Organ des Chaos Computer Club
#62
w Kryptodebatte verschrft sichw Im Fadenkreuz: SAP R/ 3
w Dokumentation Congress 97
8/9/2019 Datenschleuder #62
2/32
Mrz 1998 Die Datenschleuder #62
AdressenInfo: http:/ / w w w.ccc.de
Diskussion: de.org.ccc
Anfragen: ccc@ ccc.deDie Datenschleuder Nr. 62
I. Quartal, Mrz 1998
Herausgeber:(Abos, Adressen etc.)Chaos Computer Club e.V.,Schwenckestr. 85, D-20255 Hamburg,Tel. +49 (40) 401801-0,Fax +49 (40) 4917689,EMail: [email protected]
Redaktion:(Artikel, Leserbriefe etc.)Redaktion Datenschleuder,Postfach 642 860, D-10048 Berlin,Tel +49 (30) 285 986 00Fax +49 (30) 285 986 56EMail: [email protected]
Druck: St. Pauli Druckerei HamburgViSdP: Andy Mller-Maguhn
Mitarbeiter dieser Ausgabe:Andreas Bogk ([email protected]),Andy Mller-Maguhn ([email protected]),Frank Rieger ([email protected]), TimPritlove ([email protected]), Tobias([email protected]), Wau Holland([email protected])Eigentumsvorbehalt:Diese Zeitschrift ist solange Eigen-tum des Absenders, bis sie dem Ge-fangenen persnlich ausgehndigt
worden ist. Zur-Habe-Nahme istkeine persnliche Aushndigung imSinne des Vorbehalts. Wird die Zeit-schrift dem Gefangenen nicht ausge-hndigt, so ist sie dem Absender mitdem Grund der Nichtaushndigungin Form eines rechtsmittelfhigenBescheides zurckzusenden.Copyright (C) bei den AutorenAbdruck fr nichtgewerbliche
Zwecke bei Quellenangabe erlaubt.
Erfa-Kreise des CCCHamburg: Treff jeden Dienstag, 20 Uhr in den Clubrumen in derSchwenckestr. 85 oder im griechischen Restaurant gegenber. U-BahnOsterstrae / Tel. (040) 401801-0, Fax (040) 4917689,EMail: [email protected]
Berlin: Club Discordia Donnerstags alle zwei Wochen 17-23 Uhr inden Clubrumen, Marienstrae 11, Hinterhof, Berlin-Mitte, NheBahnhof Friedrichstrae, Tel. (030) 28598600, Fax (030) 28598656,EMail: [email protected]. Briefpost: CCC Berlin, Postfach 642 860, D-10048 Berlin.
Chaosradio auf Radio Fritz i.d.R. am letzten Mittwoch im Monat von
22.00-01.00 Uhr, Aufzeichnungen der Sendungen im Internetabrufbar, Feedback an [email protected], http://chaosradio.ccc.de.
Sachsen/Leipzig: Treffen jeden Dienstag ab 19 Uhr im CafAmbiente, Petersteinweg, Nhe Neues Rathaus/Hauptpolizeiwache.Veranstaltungen werden p. Mail ber den Sachsen-Verteiler (Uni-Leipzig) angekndigt. Infos fr Neueinsteiger gibts [email protected]. Briefpost: Virtueller CCC-Sachsen, c/oFrohburger Medienhaus, Leipziger Str. 3, 04654 Frohburg,Tel: (034348) 51153, Fax (034348) 51024, EMail: [email protected],http://www.sachsen.ccc.de
Bielefeld: CCC Bielefeld: Treff jeden Dienstag um 20 Uhr in der
Gaststtte Extra, Siekerstrae 23, Bielefeld. Kontakt: M. Gerdes (0521)121429, EMail: [email protected].
Kln: Treff jeden Dienstag um 19:30 im ChaosLabor, Bobstrae 28(Ecke Clemensstrae), 50676 Kln.http://koeln.ccc.de, EMail: [email protected].
Mnchengladbach: Treff: Surfers Paradise, Bahner 19 in Mnchen-gladbach vorerst einmal im Monat jeden letzten Freitag, Ab 1.August dann immer Dienstags um 20 Uhr. EMail: [email protected]
Ulm: Treff jeden Montag um 19 Uhr im Cafe Einstein an der UniUlm. Kontakt: [email protected].
Frankfurt/Mainz: kriegen sich noch nicht zusammengerauft. Drfenwir noch hoffen?
Chaos FamilyBielefeld: FoeBud e.V., Treff jeden Dienstag um 19:30 im Cafe Durstin der Heeperstr. 64. Monatliche Public Domain Veranstaltung,siehe Mailbox. Briefpost: Foebud e.V., Marktstr. 18, D-33602 Bielefeld,Fax. (0521) 61172, Mailbox (0521) 68000 und Telefon-Hotline (0521)175254 Mo-Fr 17-19 Uhr. EMail [email protected]
Stuttgart: Computerrunde Suecrates, [email protected].
sterreich: Public Netbase, http://www.t0.or.at/
Engagierte ComputerexpertInnen, Postfach 168, A-1015 Wien.USA: 2600, http://www.2600.com
Impressum
8/9/2019 Datenschleuder #62
3/32
Die Datenschleuder #62 Mrz 1998
auch unser Web Server direkt an einer
Datenautobahnzufahrt geparkt und kann endlichmit der bentigten und gewnschten Bandbreitedem Ansturm der Klickenden entgegentreten.
Da sich die Zusammenarbeit mit SNAFU dabeistets extrem unkompliziert gestaltet hat, bedan-ken wir uns auch schn artig und knallen dafrauch das SNAFU-Logo fett auf diese Seite frPyramiden haben wir ja eh ne Schwche [EndeWerbeblock].
Diese Datenschleuder bringt die aktuelleThemenlage vor allem durch einen Rckblick aufVeranstaltungen des letzten Congresses auf denTisch. Der Kampf um die Freiheit der Privat-sphre scheint erst richtig loszugehen (lausch,lausch) und der nicht abreiende Trend in Rich-tung Totalvernetzung und Globalisierung wirft
auch schon seine Schatten voraus. Eine Betrach-tung der Sicherheitskonzepte der diesen
Systemen zugrunde meist zugrundelie-genden Software ndet Ihr
auch in diesem Heft.
Apropos Sicherheit. Dieist brigens berechen-
bar! Das ist doch mal was neues. Den Beleg dafrndet Ihr auch auf den nchsten Seiten. brigens:wer in Zukunft prima Artikel fr die Daten-schleuder schreibt, wird mit einem Abo belohnt!
Viel Spa am [email protected]
IndexWenn was nicht stimmt Impressum sAdressen sEditorial sLets Pie! Lets Pie! Das Interview ssKrypto-War und PGP-Verkauf ssIm Fadenkreuz: SAP R/3 sssNokia Security Code Generator ssLauschangriff & Jesaja 8,10 sss
Liebe
Zielgruppe,
Situation Normal All Fucked Up?Der diskordische Lebenswandel ist manchmal
ganz schn schlecht fr die Gesundheit. DerCongress ist gerade vorbei, da wlzt man sich aufdie andere Seite und schon steht die CeBIT vorder Tr. Also wieder volles Chaosprogramm: DerClub ist nun zum zweiten Mal mit einem eigenenStand vertreten und wird wieder einen kleinenCongress durchfhren tglicheWorkshops zu den aktuellen Themen.
Das letzte Vierteljahr warerfreulich ereignisreich. Der BerlinerErfa-Kreis hat sich neue Clubrumegesucht und auch die Klner habenihren Erfa-Kreis gestartet und ihnmit einer Party eingeweiht. Bei denBerlinern ndet mit dem Club
Discordia zustzlich noch einregelmiger, ffentlicherDonnerstags-Treff statt. Und das Chaosradio hatmittlerweile seine 25. Sendung ber den thergejagt. Na bitte.
[Beginn Werbeblock] Dank des InternetService Providers SNAFU (a.k.a. InteractiveNetworx) konnte nicht nur der letzte Congressproblemlos mit Internet bestckt werden, nun ist
Editorial
CRD Kurzmeldungen ssssCCC97: Sicherheit bei der Telekom ssCCC97: Krypto-Einfhrung ssCCC97: Open Source Processing ssssCCC97: ISDN fr Anfnger sssCCC97: Packet-Radio Einfhrung sssCCC97: Dummheit in Netzen ssssMedien / Termine ssssDas Allerletzte ssssMitgliedsfetzen / Bestellfetzen sssss
8/9/2019 Datenschleuder #62
4/32
Mrz 1998 Die Datenschleuder #62
sharpened imagination and his power to the
governments and to the world as it is today that is to say gloomy, unjust and nauseating. Hecould have been a utopist, but he prefers beingthe lackey of the establishment. His power iseffective and bigger than that of the leaders of thegovernments, who are only many-coloredservants. So Bill Gates was at the top of our listsof victims. The attack against him is symbolic, itsagainst hierarchical power itself. Our war cry wasexplicit: Lets pie! Lets pie the polluting lolly!So you have a whole list of people you want topie?Yes, we have meetings here in my house. Theseare funny meetings; we have a good time withgood drinks and at the same time we plot. Wealways agree on the target choice and then wehave to study how to reach the target.How did you prepare to pie Bill Gates?For several years, theres been a newphenomenon. Traitors appear in the entourage ofour victims who contact us to give us rsthand
information. Our victims, at rst sight, are veryunpleasant and they are far from being loved intheir own circle; this is our trump. For instance,these last years, Patrick Poivre DArvor,[producer] Daniel Toscan du Plantier and [Frenchminister] Nicolas Sarkozy have been betrayed. Inthe case of Bill Gates, a member of the staff ofMicrosoft Belgium contacted us and gave us amysterious rendezvous. Thanks to him, the opera-tion was a success. Of course we wont give hisname. Its a secret; only a few know his identity.
But we want to tell it because we would be veryamused if there was suspicion in the staff ofMicrosoft. Whos the traitor?!
It happened one week before the arrival of BillGates in Belgium. We received, little by little, veryprecise information about the planning of the Bill.Some Parisian accomplices followed him the day
before, step by step, notably when he rst metLionel Jospin [French prime minister]. Forinstance, we learned that he was always escorted
by ve armed bodyguards but no more. InBelgium, he had four motorcycle policemen and
Lets pie! Lets pie!
Until last week, Noel Godin was relatively
unknown in the United States. A 52-year-oldBelgian author, lm historian, actor (The SexualLife of the Belgians), writer (Cream andPunishment) and entarteur (a Godin coinagethat roughly translates as encaker or pie-er),Godin led the gang that gave to Bill Gates whatso many of us only dream of: a big wet pie in theface. The attack took place at the entrance of LeConcert Noble on Arlon Street in Brussels andwas widely reported in the press.
Godin doesntown a computer anddidnt even knowwhat a URL is. Hisgirlfriend, however,uses a PC. (Thisinterview wasconducted andtranslated byHugues Henry.)
Who are you, NoelGodin?Im part of a gang of
bad hellions thathave declared thepie war on all theunpleasant celebrities in every kind of domain(slogan: Lets pie! Lets pie! Nincompoopguys!). We began to act against emptycelebrities from the artistic world who werethinking they were the cats whiskers. Then we
attacked the TV news business in France, forinstance, Patrick Poivre DArvor [a famousFrench TV presenter]. Then it became politicalwith Philippe Douste-Blazy in Cannes, the Frenchminister of culture, or the other French ministerNicolas Sarkozy last year in Brussels.When did you rst pie someone?In November 1969, with French writer MargueriteDuras, who represented for us the empty novel.Why did you choose Bill Gates?
Because in a way he is the master of the world,and then because hes offering his intelligence, his
8/9/2019 Datenschleuder #62
5/32
Die Datenschleuder #62 Mrz 1998
So you werent paid by someone from Netscape
or Oracle?Certainly not; I wasnt even aware of theirexistence.Werent you afraid of the armed bodyguards and
the police?This time, yes, wewere afraid. Wedidnt sleep verywell the night
before. We thought,since the
bodyguards of BillGates areprofessional, theywont re. I told mymen, Be happyand show it is onlycream. To bestrong, we dranksome good Trappist
beers. So they were
laughing and jokingwhen they went to
the front... Of course I wasnt in the commandobecause the authorities, the press... they know myface. It would have been a mistake, even with adisguise. So I was on an adjacent street.How many pies were thrown?Four touched Bill Gates in the face. There were 25pies in all. One of the secrets of the gloupinesqueoperation is that you dont have to throw the pies.You must put the pies point-blank in the face of
the victim. One of the members of the victoriouscommando is the lmmaker Rmy Belvaux (ManBites Dog). He unfortunately lost his papers andso the cops revealed his identity.What were their feelings just the second afterthey touched Bill Gates with the pie?The exhilaration of victory. Exquisite pleasure.The gloupinesque operations have a 95 percentsuccess rate. But each time we are stressed, andeach time its the same pleasure.
How did Bill Gates react?
he had ve important rendezvous that day. So, to
succeed, we only had one solution: our number.We were 30 individuals. Thats why wesucceeded. We were extremely determined, wewere in a good mood. We were a funnycommando.
We were dividedin gloupinesques[from hispseudonym, LeGloupier] ghtingunits of three onArlon Street, wherepeople were waitingfor him in Le ConcertNoble. There wastrafc in the street sothe plotters were ano-nymous. When BillGates arrived withscreaming sirens, hewalked outside his
car and as he wasclimbing the stepsseveral of our ghting units gathered and theycreated a kind of pie whirl that fell on him. The
bodyguards were completely distraught. None ofthem even took out his gun. They were as dazedas Bill was.Do you know why theres a traitor in the staff ofMicrosoft Belgium? What were his motivations?
This man told us he really loved Bill Gates inthe past, saying that he was very cool and
passionate. But little by little he considered thathis power had tainted him, and that he was
becoming more and more haughty with his owncollaborators. So the man who gave us theinformation considered, and hes not alone, that itwouldnt be bad to teach Bill a lesson, to bringhim back to reality.
Thats how he explained to us why he wasdoing it. Hes far from being a member of our
band, hes not an anarchist and he likes his work
with Microsoft, but he thought it had to happen.
Nincompoop guys!
8/9/2019 Datenschleuder #62
6/32
Mrz 1998 Die Datenschleuder #62
He had a kind of promotional smile that became a
kind of smile made of sand...When you touch your victim, dont you have thefeeling of being powerful? You had pies, but itcould have been a knife.Yes, but this is not ourproblem. We are comicalterrorists and the pie issymbolic. The victim isonly injured in his self-esteem. We take a lot ofcare that the pies canthurt psysically. Thepastry is soft and full ofcream.Do you cook the pies?No, we are very lazy. We buy the pies in a shopnearby the place of the crime. This time, the pieswhere coming from a little shop called Au PetitPain Frais, chausse de Haecht.Will Bill Gates pursue your commandos?No, it would be catastrophic for him and his
reputation.If someone gave you money to pie his enemy,would you accept it?We have never been pie mercenaries. But wevehad several offers of a good amount of money.For instance, I had an offer to pie CatherineDeneuve in Cannes and also Sharon Stone. Irefused. I love Catherine Deneuve and the moviesof Jacques Demy; and that year Sharon Stone wasin a western I really liked. So I had nothingagainst her. We are pie pirates. But if we receive
money when we pie someone, we are not puritanleftists. We received money once: in the case of[famous French singer and actor] Patrick Bruel.We offered the money to the anarchist Parisianmagazine Mordicus. So if someone wants to giveus money we wont misuse it. I could really enjoylife if I could earn much money doing this job! Itsa big game and we have fun together. We want tolive fast and to laugh as much as we can. Wewant to transform our lives just like Oscar Wilde
wanted to. Everything is awful around us, so letstry to have fun.
If Bill Gates had to come back in a few months
in Belgium, would pie him again?We shall see. But we declare war on all thegovernments of the world, on Tony Blair, on BillClinton, on the pope... When the pope last came
to Belgium, if wed hada traitor sponsoring us,wed have pied him.We had a strategy. Forus, the pope is a dange-rous serial killer
because he is againstthe preservative [birthcontrol]. On our
blacklist, you will alsond Demi Moore; Tom Cruise and John Travolta,who are both members of the Scientology; BillGraham... On the other hand, we have more andmore sympathizers everywhere. We hadthousands of propositions to help us, evenabroad. We also have many enemies. But we arelike the characters of a cartoon. We are like Laurel
& Hardy, Bugs Bunny, the Marx Brothers, theyippies of May 1968.
The Netly Newshttp://cgi.pathnder.com/netly/0,1039,1733,00.htmlInterview by Hugues Henry February 9, 1998
Tortenwerferterroristeninterview
8/9/2019 Datenschleuder #62
7/32
Die Datenschleuder #62 Mrz 1998
Auf dem Chaos Communication Congress
1997 haben wir eine intensive und mituntererhitzte Debatte ber die Kryptoregulierung, ihredeutsche Variante und die vermeintlichen Hinter-grnde gefhrt. Der eigentlich zur Podiumsdis-kussion geladene und mageblich fr eine Regu-lierung von Kryptographie (Verbot allerVerfahren, wo der Schlssel nicht hinterlegt ist
bzw. so kurz ist, da staatliche Stellen mitlesenknnen) eintretende Ministerialdirektor desInnenministeriums Reinhard Rupprecht hattekurz vor dem Kongress leider abgesagt.
Dies fhrte zu einer eher heftig gefhrtenPodiumsdiskussion Wirtschaftsspionage undInnere Sicherheit, die letztlich auch die ehermittelrelevante Frage aufstellte, warum sicheigentlich das deutsche Innenministerium sokompatibel zu den amerikanischen Plnen einesglobalen Key-Escrow verhlt. Inwieweit diedeutsche Regierung dabei ferngesteuert vonamerikanischen Stellen ist, sei dahingestellt.
Mittlerweile ist jedenfalls klar, da die ffent-
liche Stille des Innenministeriums nichts Gutes zuverheien hat. Es ist nicht etwa so, da Innenmi-nister Kanther seine Vorstellungen nach dem eherheftigen Protest auch aus Kreisen der Industrie fallengelassen hat. Vielmehr versucht das Innen-ministerium derzeit ber das BSI in einem ETSIPolicy Gremium auf der Ebene der europ-ischen Normungen der de-facto-Standards -dafr zu sorgen, da hier entsprechende Regulie-rungen implementiert werden. Ein solches Ver-halten des deutschen Innenministers mu nicht
unbedingt das ist durchaus plausibel aufDruck amerikanischer Stellen bzw. des Auenmi-nisteriums herrhren. Der Kanthersche ber-wachungswahn knnte sich auch durchaus dieamerikanischen Vorstellungen zu eigen gemachthaben. In den Auswirkungen kann uns das aberauch ziemlich egal sein mit berzeugungstternhaben wir es in der Debatte zwar nicht durchge-hend, aber doch in zunehmendem Mae zu tun.
Insofern scheinen mir zunchst andere Fakten
wichtiger. Anla zur Sorge bietet die Entwicklungum PGP. Nachdem Phil Zimmermann unter
Beibehaltung gewisser Entscheidungshoheiten
seine Firma PGP Inc. an die Firma NetworkAssociates (NETA) verkauft hat, ist die weitereEntwicklung unbersichtlich geworden. NETAwar nach dem Kauf zunchst aus der KeyRecovery Alliance (http://www.kra.org) ausgetre-ten. Die Key Recovery Alliance ist dabei einZusammenschlu von Firmen, die dieVorstellungen der amerikanischen Regierunguntersttzen und im vorauseilenden GehorsamKey Recovery untersttzen. Dies klingt vielleichtetwas unglaublich, ist aber nur logisch, wennman dazu wei, da nur Firmen, die KeyRecovery untersttzen, in diesem Technologie-
bereich noch Auftrge der amerikanischen Regie-rung bekommen. Auch die deutsche (!) SiemensAG ist beispielsweise Mitglied der KRA.
Nachdem NETA vor kurzem die Firma TrustedInformation Systems (TIS) gekauft hat, erwgt sienun der KRA wieder beizutreten (Quelle:http://www.news.com/News/Item/0,4,19402,0
0.html). Der Hintergrund erscheint wiederum aus
geschftlicher Sicht logisch. Der Geschftsfhrervon TIS ist eine der treibenden Krfte der KRA,das Kerngeschft der Firma die Belieferung vonRegierungsstellen. Wenn man die KRA-Mit-gliedschaft von TIS durch den Kauf beenden wr-de, wrde man automatisch auch einen Groteilder Kunden verlieren:
Its highly likely that Network Associates will be
a member, Network Associates chief executive Bill
Larson said today. The Key Recovery Alliance is a
very important organization... Philosophically, we
are bridging two discrete worlds the PGP-Internet world and the TIS intelligence world.
TIS has major consulting contracts with U.S.
government agencies.
Das sieht mit Verlaub ziemlich Scheie frdie Zukunft aus. Am besten wir gewhnen unsgar nicht erst an die Oberche von PGP 5, son-dern rufen lieber nach Programmierern, dieanstndige 2.6.2 Implementationen oderAlternativen liefern. Aufpassen!
Krypto-War und PGP-Verkauf
8/9/2019 Datenschleuder #62
8/32
Mrz 1998 Die Datenschleuder #62
Einer unser Autoren hatte vor einigen Monaten das
Glck (oder sagen w ir angesichts des geringenUnterhaltungsfaktors besser: die Gelegenheit) eine
Administrator- Schulung fr SAP R/ 3 zu besuchen.
Untenstehend geben w ir seine Not izen, subjektiven
Anmerkungen und persnlichen Bemerkungen w ieder,
damit der geneigte Leser einen ersten Eindruck von den
Zustnden in einem System bekommt, mit dem 80% der
Buchhaltung der deutschen Wirtschaft betrieben wird.
Konzeptionelle Features von R/3:
1. Drei-Schichten-ModellDie SAP unterscheidet logisch zwischenDatenbank, Applikation undPrsentation.R/3 ist prinzipiell ein Interpretermit einer 4GL-Sprache namens ABAP/4.
2. Der Datenbankserver ist ein traditionellerSQL-Server wie Oracle. Es gibt aus der Sichtvon R/3 immer genau einen zentralenDatenbankserver. Es gibt verteilteDatenbankserver, die aber nur auf
Datenbankebene verteilt werden, d.h. fr SAPsehen sie immer noch wie eine Datenbankaus.
3. Die Application-Server interpretieren dieABAP-Programme und machen die Daten-
bankzugriffe.Die Prozesse mssen nicht aufdem gleichen Rechner wie die Datenbank lau-fen, sie mssen nicht mal untereinander aufder gleichen Hardware laufen.
4. Die Prsentation wird von einem speziellenTerminal-Programm namens SAPGUI
erledigt. Der Trafc zwischen GUI undApplication Server ist Low-Volume und auchfr WAN-Verbindungen gedacht und so stelltsich die SAP auch eine Verteilung vor.
5. Alle Daten liegen in der Datenbank.Auch dieABAP-Programme und die Kongurations-dateien. R/3 kommt mit ber 10.000 Tabellen.
6. Wilkrliche Limits wo man hinguckt.Welchedavon historisch bedingt sind, welchetechnisch, welche inzwischen nicht mehr
ntig wren, ?
SAP wirbt gerne
mit dem Schlag-wort Sicherheitfr R/3. Leider istdamit nicht dieSicherheit vor mut-willigen Angriffengemeint, sondernvor versehent-lichem Daten-verlust, z.B. durch
Plattenausfall.In der Tat geht R/3 in punctoAusfallsicherheit ziemlich weit. Dieser Aspektvon R/3 soll hier aber nicht unser Thema sein.
Fr eine Security-Prfung von R/3 mu mansich natrlich zuerst fragen, welches Ziel einAngriff haben knnte. Bei R/3 ist die Angriffs-che natrlich besonders hoch, weil R/3 potenti-ell sehr sensible Daten beinhaltet, wie z.B.Gehlter, Rechnungen, Lagerbestnde, Produk-tionszahlen oder Personaldaten. Wir denierenalso als hchstes Ziel fr einen Angreifer den
Zugriff auf R/3-Tabellen. Besondere Beachtungverdient hierbei der Umstand, da mehr als 80%aller Angriffe auf Computersysteme vonsogenannten Innenttern, also frustrierten oderabgeworbenen Mitarbeitern begangen werden.
Das erste Thema ist also das Berechtigungs-konzept von R/3. Da bei R/3 die Daten nichtdirekt im Filesystem abgelegt sind, sondern inDatenbank-Tabellen, bernimmt die User-berprfung nicht das Betriebssystem. Das isteinerseits erfreulich, weil man dann auf OS-Ebene
den R/3-Usern keine Accounts einrichten mu.Andererseits ist das bedenklich, weil aufBetriebssystem-Ebene die Zugriffssicherung eingut verstandenes Problem ist.
Die offensichtliche Alternative fr die Rechte-Prfung wre, auf Datenbank-Ebene den Zugriffzu regulieren. Die SAP entschied sich aber dafr,die Zugriffsberechtigungen komplett selber zuimplementieren. Auf Nachfrage wurde alsBegrndung genannt, da die Datenbanken das
alle unterschiedlich machten und man ja portabel
Im Fadenkreuz: SAP R/ 3
8/9/2019 Datenschleuder #62
9/32
Die Datenschleuder #62 Mrz 1998
bleiben wolle. Seltsam, wo es doch sowieso fr
jedes Datenbank-Backend eigenen Code gibt.An dieser Stelle freut sich der Sicherheits-
Fachmann, da bei R/3 die ABAP-Quellenmitgeliefert werden. Man kann sich alsoanschauen, wie die Berechtigungen implementiertwerden. Und ein erster Blick sieht vielver-sprechend aus, hat sich die SAP doch ent-schieden, die Rechte rein kumulativ zu vergeben,d.h. was nicht explizit erlaubt wurde, ist ver-
boten.Leider stellt sich heraus, da die Rechte nicht
pro Datenbank-Objekt vergeben werden, sonderndie ABAP-Programme von Hand (und nur vonHand!) die Berechtigungen prfen. Wnschens-wert wre gewesen, einem User den Lesezugriffauf die Gehalts-Tabelle zu verweigern, unddann sicher zu sein, da er keinen Zugriffhat. Bei R/3 mu man alle zugreifendenProgramme daraufhin untersuchen, ob siedem User Zugriffe ermglichen, die ernicht haben drfte. Bei einem Tabellen-
umfang von ber 50 MB bei den ABAP-Quellen ist das sicher keine trivialeAufgabe.
Schlimmer noch: das eherne Prinzip derSicherheit ist so verletzt, das Prinzip derminimalen Berechtigung! Es ist nichtmglich, einem Developer Zugriff nur aufseinen Bereich einzurumen. Wenn eineFirma jetzt einen Consultant einstellt, derfr sie ein ABAP-Programm schreibt, undder Mann fhlt sich schlecht behandelt,
kann er in seinem kleinen Buchungs-Programm auch vollen Zugriff auf die User- undPayroll-Tabellen nehmen oder gar das ganzeSystem zum Stillstand bringen. Wnschenswertwre ein zweistuges Sicherheitsmodell, wo fr
jedes Programm genau wie fr jeden User explizitder Zugriff erlaubt werden mu.
Der einzige Schutz gegen maliziseProgramme ist die sogenannte System-Land-schaft. Eine R/3-Installation besteht gewhnlich
aus mehreren Systemen. SAP empehlt drei
Systeme: ein Development-System, ein Quality-
Assurance-System und ein Production-System.Die Idee ist, da der Developer mit seinem Pro-gramm nur auf dem Development-System spielendarf, und das Programm dann nur vomAdministrator zum jeweils nchsten Systemtransportiert werden kann. Das mag zwar gegenversehentlichen Datenausfall helfen, aber gegenDatums- oder System-ID-Trigger ist so kein Krautgewachsen.
Halten wir also fest: jeder Entwickler kanneine R/3-Installation kompromittieren. Prinzipiellkann der Administrator natrlich alle ent-wickelten Programme nach offensichtlichentrojanischen Code-Fetzen absuchen, aber das ist
nicht zumutbar und auch keine prinzipielleLsung fr das Problem.
Um die Tragweite dieses Problems zubegreifen, mu man einen Blick in den Stellen-markt einer fast beliebigen IT-Publikation werfenund mit Erstaunen feststellen, da praktisch alleFirmen hnderingend R/3-Experten suchen. DerMarkt konnte dem explosiven Wachstum der SAPnicht folgen. Es wre also ein leichtes fr eine
Firma (oder einen Nachrichtendienst), der Kon-
Eine erste Sicherheitsbetrachtung
8/9/2019 Datenschleuder #62
10/32
Mrz 1998 Die Datenschleuder #62
...SAP R/ 3...
Root-Zugang einbaute, aber auch eine ber-
setzung von sich selber erkannte und diesen Codewieder einbaute in das Kompilat, so da alleQuellcodes sauber waren. Wenn man bedenkt,um welche Geldmengen es geht, wenn man einenAngriff wie diesen gegen die deutschenGrobanken oder Automobil-Hersteller richtenwrde (der Angriff mte nur einmal entwickeltwerden und wre sofort weltweit einsetzbar!),wird einem das Ausma der Problematik bewut.Weil auch innerhalb von SAP mit der Workbench
gearbeitet wird, wrdenauch die SAP-Entwickler von so einemtrojanischen Pferd nichtsmitbekommen, und esab dem nchsten Updatemit ausliefern. Da dasnicht schon lngstgeschehen ist, kann inmeinen Augen auchniemand wirklich
ausschlieen.Vielleicht als
Anmerkung am Rande: R/3 bersetzt die ABAP-Quellen in einen Zwischencode, der natrlichauch in einer SQL-Tabelle gespeichert wird. Eswrde also wahrscheinlich reichen, diesen kompi-lierten Zwischencode in der Tabelle zumodizieren, um den gewnschten Effekt zuhaben.
Nach diesen allgemeinen berlegungen nochein paar konkrete Betrachtungen: Ein Interpreter-
Kernel ist ein sehr gutes Konzept. Er kann ganzeFehlerklassen ausschlieen, wie Pufferberlufeund Memory-Leaks. Aber ein Interpreter machtdas Gesamtprogramm nur vertrauenswrdiger,wenn er klein und berschaubar ist. Der R/3-Kernel ist ber 11 Megabytes gro (das ist
bereits das gestrippte Binary!).Insgesamt heit Security auch Schutz gegen
Denial-Of-Service-Attacken, d. h. es darf nichtmglich sein, ein System durch einen Bug zum
Komplett-Absturz zu bringen. Bekanntermaensteigt die Wahrscheinlichkeit fr die Existenz
kurrenz einen SAP-Consultant unterzuschieben,
mit dem Ziel, Intelligence zu sammeln oder einenBankrott zu erzeugen (Backups werden sichernicht ewig aufgehoben und ein trojanisches Pferdmit Datumssteuerung mu nur den Backup-Zyklus berleben, um auf allen Backupsvorhanden zu sein). Wenn man jetzt bedenkt, dapraktisch alle greren Unternehmen R/3einsetzen, ist die strategische Bedeutung einerR/3-Kompromittierung fr einenNachrichtendienst offensichtlich.
Das Problem liegtaber noch tiefer. Wieoben bereits angedeutet,liegen alle ABAP-Quellen in einerDatenbank. Ein direktesEditieren scheidet alsoaus. Bei R/3 werdenABAP-Quellen mit demSAPGUI in einer R/3-Transaktion editiert,
hnlich wie man dieUser-Tabelle bearbeitenwrde. Diese Workbench-Transaktion ist genauwie die anderen Transaktionen selber in ABAPgeschrieben. Dieser Umstand ermglicht eineAttacke, gegen die praktisch kein Krautgewachsen ist. Es ist nmlich denkbar, den ABAP-Quellcode der Workbench-Transaktion so zundern, da es malizisen Code nicht anzeigt,inklusive dieser nderung an sich selbernatrlich. Das Ergebnis wre ein R/3-System, das
genau aussieht wie immer, und sogar eineAnalyse der ABAP-Quellcodes zeigt einunverndertes System. Tatschlich knnten imHintergrund aber praktisch beliebige Datenbank-Modikationen laufen.
Das klingt mglicherweise nicht oder nurunter gewaltigem Aufwand umsetzbar. DieGeschichte zeigt aber einen hnlichen (sogar kom-plizierteren Fall), bei dem nicht mal materielleGesichtspunkte der Hintergrund waren, nmlich
ein C-Compiler, der erkannte, wenn er das Login-Programm bersetzte, und dort einen weiteren
8/9/2019 Datenschleuder #62
11/32
Die Datenschleuder #62 Mrz 1998
Schlielich sorgen bei R/3 noch Details fr
einen bitteren Nachgeschmack wie dieLimitierung von Passwrtern auf 8 Zeichen,wobei Gro- und Kleinschreibung egal ist. DieErfahrung sagt auerdem, da SAP-Installationengewhnlich von Nicht-Pros gemacht werden.Meistens wird fr die Installation und dasCustomizing ein Consultant eingestellt, derdanach aber weg ist. Und R/3-Pros haben seltengleichzeitig ein tieferes Verstndnis fr daszugrundeliegende Betriebssystem. So ist inpraktisch allen Fllen auf den R/3-Servern noch
jeder Standard-Dienst des Betriebssystems undder Datenbankaktiviert, ja telnetund ftp werdensogar stndignoch benutzt(telnet zurFernwartung undftp weil die einge-
bauten Methoden
zurDateibertragungzu langsam sind).Schlimmer noch SAP setzt eineNFS-Installationzwischen denSystemen voraus!
Aber auch alte Bekannte wie rexec werden vonR/3 benutzt.
Wem diese Probleme noch nicht reichen: die
eigentlichen Transaktionen zwischen R/3 unddem SAPGUI werden nicht verschlsselt. Siegehen zwar nicht im Klartext ber das Netz, weilsie komprimiert sind, aber von Sicherheit kannauch hier nicht die Rede sein. Wenigstens stehendie Passwrter nicht im Klartext in derDatenbank
Sozusagen als Salz in der Suppe bietet SAPjetzt auch einen Internet Transaction Server an,der den Web-Server mit dem Warenwirtschafts-
System verbinden soll. Dieser Server wird nur frNT angeboten.
eines Bugs exponentiell mit der Programmgre.
Bei einem 11-MB-Kernel und 50 MB ABAP-Quellen kann von berschaubarkeit bei R/3keine Rede sein. Die Software-Industrie hat sichin den letzten Jahrzehnten Konzepte berlegt, umein Projekt berschaubar und wartbar zu halten.An erster Stelle steht, da der Code kommentiertsein mu und da Bezeichner aussagekrftig ver-geben werden. Bei R/3 scheinen Bezeichner auf10 Zeichen beschrnkt zu sein, so da Bezeichnergrundstzlich Namen wie Line Noise haben.hnlich sieht es bei den Namen von Tabellen undTablespaces aus. So erkennt man den R/3-Newbiedaran, da er nochnicht wei, wofrPSAPBTABD steht.(Das ist der Datenteil(im Gegensatz zumIndex-Teil, derPSAPBTABI heit) derBewegungsdaten-Tabelle (d.h. Buchun-
gen). Der Wartbarkeitist das natrlichextrem abtrglich.Hinzu kommt, dainnerhalb von R/3sehr oft Codedupliziert wird, dervon anderen(gewhnlich besser) erledigt wird. U. a. handeltes sich um: Userverwaltung
Editor fr ABAP-Programmierung (edlin-Niveau)
Versionsverwaltung (kein Undo auer berDatenbank-Backups)
Scheduler (deutlich weniger leistungsfhig alscron)
Backup Drucken (fr Remote-Drucken zu NT haben
sie ein SAPLPD. EXE geschrieben) OS-Monitor (sammelt Statistiken ber das
System)
...eine erste Sicherheitsbetrachtung...
8/9/2019 Datenschleuder #62
12/32
Mrz 1998 Die Datenschleuder #62
...SAP R/ 3
Um es auf den Punkt zu bringen: R/3 istunsicher. Betriebssysteme sind meistens auchunsicher. Sobald jemand Shell-Zugriff auf einemSystem hat, hat er gewhnlich auch schnellZugriff auf die Oracle-Datenbank, und damit hat
er Total-Zugriff auf die R/3-Datenbasis. In diesemMoment hat der Systembetreiber verloren.Andersherum kann ein Developer in einem R/3-System die Datenbank komplett ndern und auch
beliebige Shell-Kommandos ausfhren, d. h. sicheine Shell erzeugen.
Neben den blichen netzwerkbezogenenSicherheitsmanahmen bleibt also fr denSystembetreiber eigentlich nur: Auf keinen Fall Windows NT einsetzen!
Schon gar nicht als Server.
Zu hoffen, da keine trojanischen Pferde inder Datenbasis sind
Darauf achten, da die Consultant-Firmahaftbar und gut versichert ist
Die Account-Daten in einer SAP R/3-Standardinstallation sind: Es gibt einen Client 066, genannt Early
Watch, mit dem die SAP das gleichnamigeSupport-Programm fahren kann, d.h. sie
gucken sich dann remote die Installation anund sagen, ob sie gut ist. Passwort ist sup-
port. Client steht bei SAP nicht fr User,sondern fr einen Parameter beimDatenbankzugriff. Normalerweise brauchtman eigentlich nur einen Client, aber wennman mchte, kann man auch einen weiteren
Client haben, der alle Daten extra herum-liegen hat (obwohl physikalisch in dergleichen Datenbank). Mit dem Extra-Clientkann man sich also theoretisch nur die client-unabhngigen Daten anschauen (das sind soSachen wie in welchem Tablespace liegt wel-che Tabelle).
Auf Oracle-Ebene:User Passwort
SYS CHANGE_ON_INSTALL
SYSTEM MANAGER
SAPR3 SAP
Auf R/3-Ebene:User Passwort
DDIC 19920706
SAP* 06071992
(6.7.1992 war das Datum der ersten R/3 Produktiv-
Installation)
Passwrter auf Systemebene werden bei derInstallation abgefragt.
8/9/2019 Datenschleuder #62
13/32
Die Datenschleuder #62 Mrz 1998
Das Programm berechnet aus der 15-stelligen IMEI
(International Mobile Equipment Identifier) denwerksseitig eingestellten Sicherheitscode von Nokia-
Mobiltelefonen. Wenn bei einem Nokia-Telefon die
Sicherheitsstufe Telefon ausgew hlt ist, kann man
ohne den Sicheheitscode keine andere SIM-Karte
benutzen.
Der Algorithmus kann den Sicherheitscode fralle Gerte der Serien NHB, NHE und NHK
berechnen, d.h. fr entsprechende 20**, 21**, 31**,38** und 81**. Das funktioniert natrlich nur,
Nokia Security Code Generator
/ *
* security_code.c
* /
unsigned char data_1[] =
{ 0x17,0x2D,0x25,0x29,0x17,0x2D,0x11,0x20,0x12,0x27,0x0E,0x23,0x1B,0x0B,0x27 };
unsigned char data_2[] = { 2,6,9,4,9 };
unsigned char data_3[5][15] = {
{ 0x17,0x2C,0x43,0x0E,0x22,0x13,0x43,0x4D,0x59,0x16,0x22,0x4E,0x37,0x58,0x5C },
{ 0x4B,0x2D,0x5A,0x12,0x24,0x43,0x35,0x4A,0x47,0x36,0x13,0x17,0x53,0x24,0x13 },
{ 0x22,0x47,0x1D,0x4E,0x62,0x22,0x41,0x17,0x26,0x30,0x2C,0x57,0x38,0x36,0x12 },
{ 0x42,0x2E,0x18,0x2D,0x4E,0x20,0x0E,0x23,0x4A,0x60,0x47,0x25,0x30,0x39,0x3F },
{ 0x21,0x24,0x19,0x13,0x1A,0x25,0x1F,0x36,0x4F,0x20,0x2E,0x43,0x36,0x21,0x15 }
};unsigned char data_4[] = { 1, 5, 7, 6, 3 };
int security_code(char* imei, char* sec_code) {
int i,j;
unsigned char k;
char local_1[15];
if(strlen(imei) != 15)
return 0;
for(i = 0; i < 15; i++) {
local_1[i] = imei[i] - data_1[i];
}
for(i = 0; i < 5; i++) {
k = 0;
for(j = 0; j < 15; j++) {
k += (local_1[j] local_1[(j + data_2[i]) % 15]) * data_3[i][j];
}
k = (k + data_4[i]) % 10;
sec_code[i] = k + 0x30;
}
return 1;
}
main(int argc, char** argv) {
char sec_code[6];
security_code(argv[1], sec_code);
sec_code[5] = 0;
printf(%s\n, sec_code);
}
wenn der werksseitig eingestellte Code nicht
gendert wurde. Ansonsten bentigt man den10stelligen Mastercode, der brigens ebenfalls ausder IMEI berechnet wird und nicht nderbar ist.
Die IMEI kann man bei Nokia-Telefonen (undden meisten anderen GSM-Telefonen auch) mit*#06# abfragen. Auerdem steht sie in denmeisten Fllen auf dem Etikett auf der Rckseiteunter dem Akku.
[email protected] Code von [email protected]
8/9/2019 Datenschleuder #62
14/32
Mrz 1998 Die Datenschleuder #62
CDU/CSU: Ulrich Adam, Peter Altmaier, Anneliese Augustin,
Jrgen Augustinowitz, Dietrich Austermann, Heinz-GnterBargfrede, Franz Peter Basten, Dr. Wolf Bauer, Brigitte
Baumeister, Meinrad Belle, Dr. Sabine Bergmann-Pohl, Hans-
Dirk Bierling, Dr. Joseph-Theodor Blank, Renate Blank, Dr.
Heribert Blens, Peter Bleser, Dr. Norbert Blm, Friedrich Bohl,
Dr. Maria Bhmer, Jochen Borchert, Wolfgang Brnsen
(Bnstrup), Wolfgang Bosbach, Dr. Wolfgang Btsch, Klaus
Brhmig, Rudolf Braun (Auerbach), Paul Breuer, Monika
Brudlewsky, Georg
Brunnhuber, Klaus Bhler
(Bruchsal), Hartmut Bttner
(Schnebeck), Dankward
Buwitt, Manfred Carstens
(Emstek), Peter Harry
Carstensen (Nordst), Wolfgang
Dehnel, Hubert Deittert, Albert
De, Renate Diemers, Wilhelm
Dietzel, Werner Drflinger,
Hansjrgen Doss, Dr. Alfred
Dregger, Maria Eichhorn,
Wolfgang Engelmann, Rainer
Eppelmann, Heinz Dieter Emann, Horst Eylmann, AnkeEymer, Ilse Falk, Jochen Feilcke, Ulf Fink, Dirk Fischer
(Hamburg), Leni Fischer (Unna), Klaus Francke (Hamburg),
Herbert Frankenhauser, Dr. Gerhard Friedrich, Erich G. Fritz,
Hans-Joachim Fuchtel, Michaela Geiger, Norbert Geis, Dr.
Heiner Geiler, Michael Glos, Wilma Glcklich, Dr. Reinhard
Ghner, Peter Gtz, Dr. Wolfgang Gtzer, Joachim Gres, Kurt-
Dieter Grill, Wolfgang Grbl, Hermann Grhe, Claus-Peter
Grotz, Manfred Grund, Horst Gnther (Duisburg), Carl-
Detlev Freiherr von Hamm, Gottfried Haschke (Grohenner),
Gerda Hasselfeldt, Otto Hauser (Esslingen), Hansgeorg
Hauser (Rednitzhemb), Klaus-Jrgen Hedrich, Helmut
Heiderich, Manfred Heise, Detlef Helling, Dr. Renate Hellwig,
Ernst Hinsken, Peter Hintze, Josef Hollerith, Elke Holzapfel,
Dr. Karl-Heinz Hornhues, Siegfried Hornung, Joachim
Hrster, Hubert Hppe, Peter Jacoby, Susanne Jaffke, Georg
Janovsky, Helmut Jawurek, Dr. Dionys Jobst, Dr.-Ing. Rainer
Jork, Michael Jung (Limburg), Ulrich Junghanns, Dr. Egon
Jttner, Dr. Harald Kahl, Bartholomus Kalb, Steffen
Kampeter, Dr.-Ing. Dietmar Kansy, Manfred Kanther, Irmgard
Karwatzki, Volker Kauder, Peter Keller, Eckart von Klaeden,
Dr. Bernd Klauner, Ulrich Klinkert, Dr. Helmut Kohl, Hans-Ulrich Khler (Hainspitz), Manfred Kolbe, Norbert
Knigshofen, Eva-Maria Kors, Hartmut Koschyk, Manfred
Koslowski, Thomas Kossendey, Rudolf Kraus, WolfgangKrause (Dessau), Andreas Krautscheid, Arnulf Kriedner,
Heinz-Jrgen Kronberg, Dr.-Ing. Paul Krger, Reiner
Krziskewitz, Dr. Hermann Kues, Werner Kuhn, Dr. Karl A.
Lamers (Heidelberg), Karl Lamers, Dr. Norbert Lammert,
Helmut Lamp, Armin Laschet, Herbert Lattmann, Dr. Paul
Laufs, Karl Josef Laumann, Vera Lengsfeld, Werner Lensing,
Christian Lenzer, Peter Letzgus, Editha Limbach, Walter Link
(Diepholz), Eduard Lintner, Dr.
Klaus W. Lippold (Offenbach),
Dr. Manfred Lischewski,
Wolfgang Lohmann
(Ldenscheid), Julius Louven,
Sigrun Lwisch, Heinrich
Lummer, Dr. Michael Luther,
Erich Maa (Wilhelmshaven),
Dr. Dietrich Mahlo, Erwin
Marschewski, Gnter Marten,
Dr. Martin Mayer
(Siegertsbrunn), Wolfgang
Meckelburg, Rudolf Meinl, Dr.
Michael Meister, Dr. Angela Merkel, Friedrich Merz, RudolfMeyer (Winsen), Hans Michelbach Meinolf Michels, Dr. Gerd
Mller, Elmar Mller, (Kirchheim), Engelbert Nelle, Bernd
Neumann (Bremen), Johannes Nitsch, Claudia Nolte, Dr. Rolf
Olderog, Friedhelm Ost, Eduard Oswald, Norbert Otto
(Erfurt), Dr. Gerhard Pselt, Dr. Peter Paziorek, Hans-Wilhelm
Pesch, Ulrich Petzold, Anton Pfeifer, Angelika Pfeiffer, Dr.
Gero Pfennig, Dr. Friedbert Pflger, Beatrix Philipp, Dr.
Winfried Pinger, Ronald Pofalla, Dr. Hermann Pohler,
Ruprecht Polenz, Marlies Pretzlaff, Dr. Albert Probst, Dr.
Bernd Protzner, Dieter Ptzhofen, Thomas Rachel, Hans
Raidel, Dr. Peter Ramsauer, Rolf Rau, Helmut Rauber, Peter
Rauen, Otto Regenspurger, Christa Reichard (Dresden), Klaus
Dieter, Reichardt (Mannh), Dr. Bertold Reinartz, Erika
Reinhardt, Hans-Peter Repnik, Roland Richter, Dr. Norbert
Rieder, Dr. Erich Riedl (Mnchen), Klaus Riegert, Dr. Heinz
Riesenhuber, Franz Romer, Hannelore Rnsch (Wiesbaden),
Heinrich-Wilhelm Ronshr, Dr. Klaus Rose, Kurt J.
Rossmanith, Adolf Roth (Gieen), Norbert Rttgen, Dr.
Christian Ruck, Volker Rhe, Dr. Jrgen Rttgers, Roland
Sauer (Stuttgart), Ortrun Schtzle, Dr. Wolfgang Schuble,
Hartmut Schauerte, Heinz Schemken, Karl-Heinz Scherhag,Gerhard Scheu, Norbert Schindler, Dietmar Schlee, Ulrich
Lauschangriff: Mit JA stimmten...Aus dem Plenarprotokoll der 214. Sitzung des Deutschen Bundestages vom 16.1.1998
Umgang frei nach a ltem Testam ent
Die hier genannten Bundestagsabgeordneten habengem altem Testament ihr Grundrecht auf die
Unversehrtheit der Wohnung bzw. ihre Privatsphreeingebt. (Vgl. Jesaja 8,10)
Abgesehen davon empehlt sich zur angemessenenBewutseinserweiterung im Wahljahr 1998 die
Lektre des vollstndigen Plenarprotokolls vom16. Januar 1998 im Bundestag:
http://www.bundestag.de/ftp/13214c.zip
8/9/2019 Datenschleuder #62
15/32
Die Datenschleuder #62 Mrz 1998
Schmalz, Bernd Schmidbauer, Christian Schmidt (Frth), Dr.-
Ing. Joachim Schmidt (Halsbrcke), Andreas Schmidt
(Mlheim), Hans-Otto Schmiedeberg, Hans Peter Schmitz
(Baesweiler), Michael von Schmude, Birgit Schnieber-Jastram,
Dr. Rupert Scholz, Reinhard Freiherr von Schorlemer, Dr.
Erika Schuchardt, Wolfgang Schulhoff, Dr. Dieter Schulte
(Schwbisch Gmnd), Gerhard Schulz (Leipzig), FrederickSchulze (Sangerhausen), Diethard Schtze (Berlin), Clemens
Schwalbe, Dr. Christian Schwarz-Schilling, Wilhelm Josef
Sebastian Horst Seehofer, Marion Seib, Wilfried Seibel, Heinz-
Georg Seiffert, Rudolf Seiters, Johannes Selle, Bernd Siebert,
Jrgen Sikora, Johannes Singhammer, Brbel Sothmann,
Margarete Spte, Carl-Dieter Spranger, Wolfgang Steiger,
Erika Steinbach, Dr. Wolfgang Freiherr von Stetten, Dr.
Gerhard Stoltenberg,
Andreas Storm, Max
Straubinger, Matthus
Strebl, Michael Stbgen,
Egon Susset, Dr. Rita
Sssmuth, Michael
Teiser, Dr. Susanne Tiemann, Dr. Klaus Tpfer, Gottfried
Trger, Dr. Klaus-Dieter Uelhoff, Gunnar Uldall, Wolfgang
Vogt (Dren), Dr. Horst Waffenschmidt, Dr. Theodor Waigel,
Alois Graf von Waldburg-Zeil, Dr. Jrgen Warnke, Kersten
Wetzel, Hans-Otto Wilhelm (Mainz), Gert Willner Bernd, Wilz
Willy Wimmer (Neuss), Matthias Wissmann, Dr. Fritz
Wittmann, Dagmar Whrl, Michael Wonneberger, Elke
Wlng, Peter Kurt Wrzbach, Cornelia Yzer, WolfgangZeitlmann, Benno Zierer, Wolfgang Zller
SPD: Gerd Andres, Robert Antretter, Ernst Bahr, Doris
Barnett, Wolfgang Behrendt, Hans Berger, Friedhelm Julius
Beucher, Tilo Braune, Dr. Eberhard Brecht, Marion Caspers-
Merk, Wolf-Michael Catenhusen, Dr. Herta Dubler-Gmelin,
Karl Diller, Ludwig Eich, Peter Enders, Annette Fae, Lothar
Fischer (Homburg), Iris Follak, Norbert Formanski, Dagmar
Freitag, Anke Fuchs (Kln), Arne Fuhrmann, Monika
Ganseforth, Uwe Gllner, Gnter Graf (Friesoythe), Dieter
Grasedieck, Achim Gromann, Hans-Joachim Hacker, Klaus
Hagemann, Manfred Hampel, Alfred Hartenbach, Klaus
Hasenfratz, Dieter Heistermann, Reinhold Hemker, Rolf
Hempelmann, Dr. Barbara Hendricks, Stephan Hilsberg,
Gerd Hfer, Jelena Hoffmann (Chemnitz), Erwin Horn, Eike
Hovermann, Lothar Ibrgger, Wolfgang Ilte, Renate Jger,
Jann-Peter Janssen, Dr. Uwe Jens Volker Jung (Dsseldorf),
Sabine Kaspereit, Susanne Kastner, Hans-Peter Kemper,
Walter Kolbow, Fritz Rudolf Krper, Volker Krning, Thomas
Krger, Dr. Uwe Kster Werner Labsch, Klaus Lennartz, Dr.
Elke Leonhard, Klaus Lohmann (Witten), Dieter Maa(Herne), Winfried Mante, Christoph Matschie, Ingrid
Matthus-Maier, Markus Meckel, Dr. Jrgen Meyer (Ulm),
Ursula Mogg, Siegmar Mosdorf, Christian Mller (Zittau),
Gerhard Neumann (Gotha), Dr. Rolf Niese, Leyla Onur, Kurt
Palis, Dr. Willfried Penner, Dr. Eckhart Pick, Joachim Po,
Margot von Renesse, Reinhold Robbe, Gerhard Rbenknig,
Dieter Schanz, Rudolf Scharping, Bernd Scheelen, Siegfried
Schefer, Horst Schild, Otto Schily, Dieter Schloten, GnterSchluckebier, Wilhelm Schmidt (Salzgitter), Dr. Emil Schnell,
Walter Schler, Ottmar Schreiner, Dr. Mathias Schubert,
Richard Schuhmann (Delitzsch), Brigitte Schulte (Hameln),
Volkmar Schultz (Kln), Ilse Schumann, Dietmar Schtz
(Oldenburg), Ernst Schwanhold, Rolf Schwanitz, Bodo
Seidenthal, Johannes Singer, Dr. Cornelie Sonntag-Wolgast,
Wieland Sorge, Dr. Dietrich Sperling, Jrg-Otto Spiller, Dr.
Peter Struck, Joachim
Tappe, Jrg Tauss, Dr.
Gerald Thalheim,
Wolfgang Thierse, Hans-
Eberhard Urbaniak,
Siegfried Vergin, Gnter
Verheugen, Karsten D. Voigt (Frankfurt), Josef Vosen, Hans
Georg Wagner, Wolfgang Weiermann, Reinhard Weis
(Stendal), Gunter Weigerber, Jochen Welt, Lydia Westrich,
Helmut Wieczorek (Duisburg), Dieter Wiefelsptz, Verena
Wohlleben, Dr. Christoph Zpel, Peter Zumkley.
FDP: Ina Albowitz, Dr. Gisela Babel, Gnther Bredehorn, Jrg
van Essen, Dr. Olaf Feldmann, Paul K. Friedhoff, HorstFriedrich, Rainer Funke, Dr. Wolfgang Gerhardt, Joachim
Gnther (Plauen), Dr. Karlheinz Guttmacher, Dr. Helmut
Haussmann, Ulrich Heinrich, Walter Hirche, Dr. Werner
Hoyer, Ulrich Irmer, Dr. Klaus Kinkel, Detlef Kleinert
(Hannover), Roland Kohn, Dr. Heinrich L. Kolb, Dr.-Ing. Karl-
Hans Laermann, Uwe Lhr, Gnther Friedrich Nolting, Dr.
Rainer Ortleb, Lisa Peters, Dr. Gnter Rexrodt, Helmut
Schfer (Mainz), Cornelia Schmalz-Jacobsen, Dr. Edzard
Schmidt-Jortzig, Dr. Hermann Otto Solms, Carl-Ludwig
Thiele, Dr. Dieter Thomae, Dr. Wolfgang Weng (Gerlingen),
Dr. Guido Westerwelle.
Grundgesetz Artikel 20
Grundstze des deutschen Staates:
(4) Gegen jeden, der es unternimmt, diese Ordnung zubeseitigen, haben alle Deutschen das Recht zum Widerstand,
wenn andere Abhilfe nicht mglich ist.
8/9/2019 Datenschleuder #62
16/32
Mrz 1998 Die Datenschleuder #62
Chaos Rea lit ts Dienst: Kurzm eldungen
EU plant Entschlsselungsverbot
Als Folge des massiven Lobbyings der Pay-TVIndustrie liegt in der europischen Union zur Zeiteine Gesetzesvorlage zur Abstimmung, die nichtnur den Vertrieb illegaler Pay-TV Dekoder unterStrafen stellen soll, sondern auch die Benutzungund - viel schwerwiegender - die Verbreitung ofany private exchange of information about thesecurity properties. Damit wrden etlicheNewsgroups, Mailinglists und der freieInformationsaustausch zu Sicherheitsverfahrenstark eingeschrnkt. Detail auf:http://www.cl.cam.ac.uk/~mgk25/ca-law/
Fernwrgen
(crd/15.01.98) Laut Agenturberichten rgertein Funkpirat an der niederlndsichen AutobahnA 15 bei Gorkum Kunden und Mitarbeiter einesMc Drives.
Wenn ein Kunde mit seinem Auto vorfhrt
und ber die Sprechanlage seine Bestellungaufgibt, schaltet sich pltzlich der Unbekannteein. Er sagt dann zum Beispiel: Nein halt, dochkeinen Hamburger, sondern Pommes und einMilkshake, berichtete am Donnerstag einer derMitarbeiter. Und der Kunde bekommt dannetwas ganz anderes, als er bestellt hat.
Der Funker ist nun schon seit ber einemMonat aktiv. Zum Verrcktwerden, nden dieTelefonistinnen, die die Bestellungenentgegennehmen. Wenn sich der Qulgeist nicht
durch vernderte Frequenzen fr dieSprechanlage abschtteln lt, will derBetriebsmanager Anzeige erstatten.
Proprietre Scheie bei CD-Writern
Phillips und Pioneer Audio-CD-Writer bespielennormalerweise nur (berteuerte) CD-Rohlinge der
eigenen Firma. Hier kann man sich jedoch auchgnstiger behelfen: Man ffne den Recorder, lege
eine CD vom Hersteller ein, warte ein paar
Sekunden und suche dann einen Resetknopf imInneren des Gerts. Nach Druck auf denResetknopf springt die Schublade auf und derRohling kann durch einen billigen ersetzt werden.Der CD-Writer behlt die Daten des teurerenRohlings gespeichert und macht somit keineProbleme.
(Ohne Gewhr - wir konnten es nicht testen!)
DF1 umsonst ?!Gerchten aus der Chaos-Voicemailbox zufolge strahltDF1 eine Kartensperre nur fr 5-6 Monate aus. Dieswrde bedeuten, wenn man nach ein paar MonatenDF1 mit Gebhr die Karte kndigt und sofort aus demDecoder (D-box) entfernt, 5-6 Monate im Schrankliegen lt, und die Karte dann wieder einsetzt, wrdeman DF1 kostenlos sehen knnen. Ebenfalls kostenloskann man alle d-box-Programme mit einer
Hndlerkarte sehen. Aus diesem Grund sollen inHamburg bereits mehrere aus nicht verschlossenen (!)Schubladen gestohlen worden sein.
Netscape hilfe Microsoft Kunden, den
Explorer zu lschen
Laut einer Reuters Meldung vom 18. Dezember
bietet Netscape Kunden mit Microsoft-Plattformdie Mglichkeit, automatisch Netscape zuinstallieren und den Microsoft-Internet Explorerzu lschen.
Ob Sie dazu die Active-X Technologiebenutzen wollen, wurde nicht bekannt.
Chip-Implantat fr britische Brger
Laut einer Newsbytes Meldung vom 02. Januar1998 will die britische Regierung in Krze alle
8/9/2019 Datenschleuder #62
17/32
Die Datenschleuder #62 Mrz 1998
nachvollzogen werden konnten. Dem Tter
wurde vom Richter offenbar strafmildernd dieEntwicklung eines Omnipotenzgefhls amComputer besttigt.
Wutet Ihr schon ?
...da ein nicht unerheblicher Teil des BKA-internen Netzwerkes von der Fa. Debis betriebenwird?
...da das Bundesamt fr die Anerkennungauslndischer Flchtlinge diese mit EDIverarbeitet?
...da das Blacklisting bei GSM wirklich nurein Blacklisting ist?
...da man einen Geldautomaten ofinebekommt, indem man in einer nahegelegenenTelefonzelle den Telefonhrer an einen
Kuhzaungenerator anschliet? Die OvSt fhrtdann offenbar wegen Blitzeinschlag runter.
...da deswegen mitunter auch von digitalenCowboys die Rede ist?!
Information Input: [email protected]
Brger mit einer Chipkarte versehen. Die
citizens smart card soll als Interface zwischenBrger und Regierung das Zahlen von Steuern,Versicherung neben Pafunktion und Einholungvon Sozialhilfe erlauben.
Die Idee hinter der Smart Card ist laut demBritischen Minister fr ffentlichen Service isthat people will be able to use the card to identifythemselves to the various government computers,all of which will be interlinked with each other.
Die in erster Linie aus nanziellen Grndeneingefhrte Karte wird zunchst mit einem PINCode zu benutzen sein und soll spter mit
biometrischen Merkmalen gekoppelt werden.
Transparenzkriminalitt
Laut einer Reuters-Meldung vom 05. Januar 1998wurde die Japanische Sakura Bank in Tokiokrzlich opfer von cyber-criminals. Als Folgengingen 37 ausgesuchte der 20.000 abgesaugten
Kundendateien einer Mailinglist zu.
Erpresser stolpert ber Echelon-
System?!
Ende Januar wurde der Hamburger Flughafen-erpresser, ein 25jhriger Bankkaufmann zudreieinhalb Jahren Gefngniss verurteilt. DasGericht ging von einem minderschweren Fall aus,da er lediglich gedroht habe mit Sprengstoff
belandenen ferngesteuernten Modellugzeugenin die Triebwerke von startenden Maschinen zuiegen. Der 25jhrige hatte gestanden damitinsgesamt 53,3 Millionen Mark erpresst haben zuwollen.
Der Erpresser hatte versucht, anonym berdas Internet seine Lsegeldforderungen undDrohbriefe zu bermitteln, die Details seinerVorgehensweise wurden jedoch nichtverffentlich. Bekannt ist, da etliche Internet
Service-Provider hier bei den Ermittlungenhalfen, nachdem Teile des Kommunikationsweges
8/9/2019 Datenschleuder #62
18/32
Mrz 1998 Die Datenschleuder #62
geschtzt, das etwas komplizierter als der eigene
Name, der Name (Kosename) der Frau oder desMannes, oder das eigene Geburtsdatum ist? Oftwird auch der Inhalt der gespeicherten Daten imHinblick auf das Erfordernis der Datensicherungunterschtzt. Schwer vorstellbar, welchesInteresse Dritte zu Zeiten des Fernmelde-monopols an den Interna der Deutschen Telekomgehabt haben sollten.
Mit der ffnung des Marktes und dem Eintrittin den Wettbewerb ist es jedoch mehr denn jeerforderlich, maximale Sicherheit zu gewhr-leisten. Hierzu reicht eine Verbesserung derTechnik allein nicht aus. Die Mitarbeiterinnenund Mitarbeiter, die mit dieser Technik arbeiten,mssen sich der besonderen Risiken undAnforderungen in diesem Bereich bewut sein.
Die Sensibilisierung fr Sicherheitsfragen undeine entsprechende Weiterbildung ist einewichtige Manahme fr die Beschftigten zurVerhinderung des Mibrauchs von Informationenund TK-Netzen und damit zur Abwendung eines
hierdurch entstehenden wirtschaftlichenSchadens. Eine solche Sensibilisierung fhrt auchdazu, da die bestehenden gesetzlichenVerpichtungen, nmlich die Wahrung desFernmeldegeheimnisses und des Datenschutzes,erfllt werden.
Durch das Zentrum fr Netzsicherheit wurdein enger Zusammenarbeit mit der Weiterbildungeine Seminarreihe entwickelt, die den TitelAktion Sicheres Netz trgt. Die Schulungen sol-len bei den Beschftigten ein Bewutsein fr das
Thema Sicherheit nicht nur im Bezug auf dieNetztechnik, sondern auch im Hinblick auf denverantwortungsvollen Umgang mit telekom-internen Informationen am eigenen Arbeitsplatzschaffen.
In einer ersten Seminarreihe, die wirPilotmanahme Aktion sicheres Netz genannthaben, wurden Verhaltenstrainerinnen und -trainer der Bildungszentren in einem sog. trainthe trainer geschult. Dabei wurde diesem
Personenkreis vertiefte Kenntnisse vermittelt, u.a.
Chaos Communication Congress 97Auswahl von Berichten vom 14. Chaos Communication Congress, 27.-29.12.1997 Hamburg Eidelstedt
Die Texte stellen eine Auswahl aus der Congress-
Dokumentation des 14. Chaos Communication Congressdar, der vom 27.-29. Dezember 1997 mit rund tausend
Teilnehmern in Hamburg tagte. Die vollstndige
Dokumentation ist hoffentlich sehr bald schriftlich beim
Chaos-Versand in Hamburg erhltlich. Die elektronisch
vorliegenden Texte fi ndet ihr unter http:/ / presse.ccc.de
Sicherheit bei der Deutschen Telekom
als Wettbewerbsfaktor
Referent: Jrgen Haag, Deutsche Telekom AG
Die Sensibilisierung des Personals frSicherheitsbelange als eine Aufgabe des Zentrumfr Netzsicherheit.
Die Gewhrleistung der Sicherheit von Datenund Telekommunikation ist auf der einen Seiteeine eindeutig technische Aufgabe. Da Sicherheithohe Prioritt geniet, ist die Kostenfrage bei
technischen Lsungsanstzen meist zweitrangig.Sicherheit ist aber auf der anderen Seite auch
eine Frage des Verhaltens der Mitarbeiterinnenund Mitarbeiter. Nur wenn beide Faktorenzusammenwirken, ist der gewnschte Erfolg zuerzielen.
Unseren Kunden ist es letztlich gleichgltig, obSicherheitslcken aufgrund technischen odermenschlichen Versagens entstehen. Fr sie ist nurdas - in diesem Falle meist negative - Ergebnisvon Interesse.
Viele technische Lsungen sind nur dann wirk-sam, wenn sie vom Mitarbeiter als festeBestandteile des Arbeitsalltags akzeptiert undauch tatschlich angewendet werden. Hugndet sich jedoch die Einstellung, die technischenSicherungsmanahmen reichten allein schon aus,um Eingriffe Unbefugter zu verhindern.Alltgliches Beispiel: Daten auf Einzelplatz-rechnern knnen mit verschiedenen und fastimmer vorhandenen Manahmen gesichert
werden. Doch wessen PC ist tatschlichverschlossen und mittels eine Pawortes
8/9/2019 Datenschleuder #62
19/32
Die Datenschleuder #62 Mrz 1998
auch die Information, wie andere Firmen mit dem
Thema Sicherheit umgehen.Diese Verhaltenstrainerinnen und -trainer
geben ihr Wissen direkt an ca. 5000 Krfte mitFhrungsfunktionen des UnternehmensbereichsTN weiter. Die Schulungen dauern 2 Tage, andenen durch Gruppenarbeiten und Rollenspieleein sicherheitsbewutes Verhalten eingebt wird.Aus didaktischer Sicht reicht ein Vortrag bzw.Frontalunterricht nicht aus, um tatschlich eineVerhaltensnderung zu erzielen. Die eigenenfehlerhaften Verhaltensweisen mssen erkanntund sicherheitsbewutes Verhalten eingebtwerden.
Diese ca. 5000 Fhrungskrfte erhalten denAuftrag, das erlernte Wissen in ihremVerantwortungsbereich weiterzuvermitteln undumzusetzen. Fr die Weitervermittlung werdendie Fhrungskrfte mit Schulungsmaterial(Leitfaden, Video, Folien etc.) ausgestattet. DasSchulungsmaterial (Koffer) ist professionellerstellt worden und bercksichtigt didaktische
und pdagogische Elemente.Die geschulten Fhrungskrfte werden somit
in die Lage versetzt, die selbsterfahrene Schulungan ihren Mitarbeitern und Mitarbeiterinnenweiterzugeben.
Vorstellung des Inhalts des Schulungskoffers:1. Seminarunterlagen Beinhalten a. ein
didaktisches Konzept fr denDienstunterricht b. eine vertiefendeDarstellung der 10 Sicherheitsregeln mit
Beispielen aus der Praxis der einzelnenZielgruppen c. Anleitungen fr Einzel- undGruppenarbeiten und Rollenspiele - bungder Sicherheitsregeln. - Sicherheitsmngel inmeinem eigenen Arbeitsumfeld. - Wie kannich die Sicherheitsregeln an meinemArbeitsplatz anwenden?
2. Plakate Diese dienen als Hinweis fr dieSchulungsveranstaltung
3. Video: a. Einfhrende Rede unseres VTN
Gerd Tenzer. b. Sind MeinungenTatsachen?, Darstellung der Deutschen
Telekom im Deutschen Fernsehen. c. Ein Tag
wie jeder andere. Spiellm, der einen Tag beider Deutschen Telekom beschreibt. Mit mgli-chen Sicherheitslcken und derenBewltigung durch die Mitarbeiter/innen.
4. Folien5. Diskette (Powerpoint)6. Broschre (zur Weitergabe an die
Mitarbeiter/innen)
Ziel ist es, alle TN-Mitarbeiter und Mitarbei-terinnen - insgesamt ca. 70.000 Beschftigte - inSicherheitsfragen zu unterweisen. Der zu ver-mittelnde Inhalt besteht zunchst aus einemberblick, was unter dem Begriff Sicherheitverstanden wird. Des weiteren soll verdeutlichtwerden, wer von dem Wissen der Beschftigtender Deutschen Telekom protiert. Es sollaufgezeigt werden, welche Bedeutung Sicherheitals Wettbewerbsfaktor hat.
Kernstck dieser Aktion Sicheres Netz sind diefolgenden Punkte, die grifgerweise in 10
Sicherheitsregeln gefat worden sind. Dieselauten:
1. Sie wissen mehr als Sie glaubeno Wissen kann mosaikartig zusammengesetzt
werden.o Unbedachte uerungen liefern wichtige
betriebliche Informationen.o Viele sagen, ich wei ohnehin nichts.o Mein Wissen ist doch allgemein bekannt.o Negativhinweise geben Hinweise auf
Schwachstellen. Auch die Informationenknnen fr Wettbewerber ntzlich sein.
2. Die Konkurrenz hat ein waches Augeo Keine Interna an Wettbewerber.o Besondere Achtsamkeit bei ehemaligen
Kollegen, die jetzt z.B. beim Konkurrententtig sind.
o Bei Planungsverfahren nur dieInformationen weitergeben, die wirklich
bentigt werden.
...Sicherheit bei der Telekom...
8/9/2019 Datenschleuder #62
20/32
Mrz 1998 Die Datenschleuder #62
o Geplante Leistungsmerkmale mit
Einfhrungsterminen und Zeitschienen.o Telefonverzeichnisse u.s.w. sind ebenfalls
fr die Konkurrenz sehr interessant.
3. Informationen sind unser Kapitalo Smtliche Vertragsunterlagen geben tiefgrei-
fende Einblicke.o Sensible Informationen ob auf Papier
oder Diskette oder dem Laptop nicht imAuto liegen lassen.
o Geplante Netzknotenstandorte sind frWettbewerber sehr wichtig, denn sieverraten die Netzstrategiekonzepte derDeutschen Telekom. Mit diesenInformationen knnen WettbewerberEinblicke in die Marktstrategie gewinnenund die eigene Planung darauf abstimmen.
o Datentrger jeder Art (Disketten, Bnder,MO-Disk, etc.) sind immer an sicheren undnicht frei zugnglichen Orten zu verwahren.o Keine Standleitungen unter Unix oder
Windows offen stehen lassen; Daten-piraterie.
4. Erst sind die Daten weg, dann der Kundeo Gebhrendaten (Kommunikationsdaten-
stze) sind besonders sorgfltig zubehandeln.
o Es ist sicherzustellen, da solche Datennicht manipuliert werden
o Auch der Umgang mit statistischemMaterial ber Verbindungsdaten,
o Verkehrsaufkommen und Anschlsse mumit groer Vorsicht erfolgen.
5. Wenn Sie ein Auge zudrcken, entgeht Ihnenmanches
o Bei Kundenantrgen auf ungewhnlicheUmstnde achten. 100 Anschlsse in 30 m2Raum.
o Aufflliges Verhalten von Kollegen, arbeitetam Rechner unter einer anderen als der
eigenen Kennung, liest fremde Korres-pondenz.
o Wahrgenommene Sicherheitsschwachstellen
oder ungewhnliche Vorkommnisse in derUmgebung nicht einfach ignorieren,sondern den Vorgesetzten daraufansprechen.
o Kundenreklamationen ernstnehmen undauf mgliche Manipulationen hinauswerten.
6. Ein Pawort ist keine stille Posto Das Pawort dient dazu, da der Bediener
sich im System eindeutig indentiziert.o Nicht aus Bequemlichkeit jemandem das
eigene Pawort mitteilen. Keine einfachenPawrter benutzen.
o Am besten ein Pawort mit Buchstaben,Zahlen und Sonderzeichen. Mglichst nichtnotieren.
7. Vorsicht beim Telefonieren - manchmal hrenmehr Leute zu, als Sie denken
o Telefonische Auskunftsersuchen Fremder
mit Skepsis begegnen. Offen herumstehen-de Anrufbeantworter sind ein Gefahren-potential. Beim Weiterschalten einesGespchs darauf achten, da keiner mehr inder Leitung ist.
o Bei vertraulichen Telefonaten, die Trenschlieen.
8. Ihr Papierkorb kann redeno Beim Versenden von E-Mails, Vorsicht bei
der Adreeingabe.
o Wichtige Dokumente gehren nicht in denPapierkorb.
o Faxen ber Kurzwahltaste. Vorsicht!o Protokolle ber den Ein- und Ausgang von
rechtsverbindlichen Faxen fhren.
9. Offene Tren und Fenster laden ungebeteneGste ein
o Bros beim Verlassen verschlieen.o Verlust von Schlsseln ist sofort dem
Ressortleiter zu melden.
Chaos Communication Congress 97Auswahl von Berichten vom 14. Chaos Communication Congress, 27.-29.12.1997 Hamburg Eidelstedt
8/9/2019 Datenschleuder #62
21/32
Die Datenschleuder #62 Mrz 1998
o Nach Dienstschlu Kontrolle durchfhren,
ob tatschlich alle Rume und Fensterverschlossen sind.
10. Fragen Sie Fremde, wo sie hinwolleno Generell gilt der Grundsatz: Fremde sollen
nicht ohne Begleitung durch das Hausgehen. Dies ist bei Kunden wie auchunbekannten Kollegen einzuhalten.
o Fremde Personen, die sich alleine im Gangaufhalten fragen, wo sie hinwollen unddann begleiten.
o Ganz besonders in Technikrumen sindFremde unbedingt anzusprechen.
Diese 10 Sicherheitsregeln sollen in Rollenspieleneingebt werden. Des weiteren soll der einzelneausfhren, wie er die Sicherheitsregeln an seinemArbeitsplatz anwenden kann.
Hinweise auf Sicherheitsmngel oder auchVorschlge knnen an das ZfN weitergegebenwerden.
Evtl. mgen einzelne Regelungen fr einzelneBereiche berzogen wirken. Doch auch bei derSensibilisierung der Mitarbeiter gilt, da mit
gesundem Menschenverstand gearbeitet werden
mu. Nicht alle Verhaltensweisen sind fr alleBereiche gleich verbindlich. Das eigene Know-how sollte jedoch auf keinem Fall unterschtztwerden.
Die oben aufgefhrten Regeln tragen dazu bei,da das Sicherheitsbewutsein der Beschftigtensteigt und damit das Vertrauen der Kunden in dieDeutsche Telekom erhalten bleibt. Sicherheits-pannen bzw. -lcken mssen mglichstvermieden werden. Der wirtschaftliche Schadendurch sie ist immens. Nur wenn der KundeVertrauen in die Sicherheit seiner Daten und derTelekommunikation hat, werden neue Dienste derDeutschen Telekom auch angenommen. Doch wie
bereits oben ausgefhrt: Sicherheit kann es nurgeben, wenn die Technik sichere Lsungen bietetund die Mitarbeiter und Mitarbeiterinnen, die mitdieser Technik arbeiten, sich dieser besonderenRisiken und Anforderungen bewut sind und ent-sprechend verhalten.
Die Aktion Sicheres Netz ist eine ersteManahme, der noch weitere folgen sollen, umkontinuierlich einen hohen Stand anSicherheitsbewutsein zu halten. Mit einer hohenSicherheit erzielt die Deutsche Telekom einenentscheidenden Erfolgsfaktor im knftigenWettbewerb.
Einfhrung in Theorie und Praxis:
Verschlsselungsalgorithmen und
Implementationen
Referenten: Andreas Bogk, Lutz Donnerhacke
Versteckt vermittelte geheime Nachrichtensind so alt wie die Menschheit. Sklavenwurden Mitteilungen auf den gescherten Kopfttowiert und sie gingen mit dichtem Haarwuchsauf die Reise. Der Empfnger scherte die Haare
wieder ab und brauchte danach nur noch den
...Telekom / Einfhrung in Verschlsselung...
8/9/2019 Datenschleuder #62
22/32
Mrz 1998 Die Datenschleuder #62
Chaos Communication Congress 97Auswahl von Berichten vom 14. Chaos Communication Congress, 27.-29.12.1997 Hamburg Eidelstedt
Sklaven zu kpfen, um hchste Geheimhaltung
zu gewhrleisten.Csar soll im rmischen Reich den Csar
Cypher erfunden haben, bekannt als ROT 13,wonach alle Buchstaben eines Textes um 13Stellen weiter im Alphabet verschoben werden (fb
jvr va qvrfrz Orvfcvry). Diese Verfahrenverndern nur das Erscheinungsbild eines Textes,Eigenschaften bleiben dagegen erhalten. So ist derBuchstabe e das hugste Zeichen indeutschsprachigen Texten - der Ausgangspunktzum Buchstabenraten.
Mit den Kriegen stiegen auch die Ansprche:Neue Verfahren wurden entwickelt und alteVerfahren wurden komplexer. Die Enigma(Verschlsselungsmaschine der deutschenWehrmacht im zweiten Weltkrieg) arbeit mitsieben sich gegeneinander verschiebendeScheiben die ihre Position nach jedem Zeichenndern. Ein nnischer Mathematiker erkannte,da trotz dieses Aufwandes nur dasErscheinungsbild des Originaltextes verndert
wurde. Mit erheblichem Aufwand konnten dieNachrichten nun mitgelesen werden.
Auguste Kerckhoffs beschreibt dieVoraussetzungen fr eine sichere Verschlsselungfolgendermaen: Ein Verfahren ist dann sicher,wenn man es nicht knacken kann, obwohl manden Code kennt.
Struktur des modernenVerschlsselungsalgorithmus
Die Nachricht wird mit einem Schlsselverschlsselt. Der entstandene verschlsselte Textwird nun sicher verschickt und vom Empfngerentschlsselt. Der Schlssel mu natrlich aufeinem sicheren Weg bermittelt werden.
Wenn der Empfnger einen anderen Schlsselals der Absender benutzt, kann der Schlssel-austausch entfallen. Moderne Verschlsselungs-algorithmen sind z.B. IDEA oder DES. DieAnwendung und Kombination von Algorithmen
ergeben dann die Verschlsselungsprotokolle, mitdenen man im Alltag zu tun hat. Moderne
Verschlsselungsprotokolle sind z.B. PGP oder S-
MIME.
Was passiert beim Verschlsseln?
Unterschieden wird zwischen Stream-Verschlsselung und Block-Verschlsselung.Stream-Verschlsselung (Stream-Cypher)
Bei der Stream-Verschlsselung wird dieNachricht byteweise, manchmal sogar bitweiseverschlsselt. Die Encryption-Engine liefertZahlenfolgen die mit den Datenstrom per XORverrechnet werden. die Encryption-Engine
benutzt dazu z.B. den Key und einen (Pseudo-)Zufallszahlengenerator. Ein Pseudo-Zufalls-zahlengenerator (linearer kongruenter Generator)erzeugt Zahlenfolgen fr den Hausgebrauch. DieWahrscheinlichkeit der Zahlenfolgen ist voraus-sagbar. Ein echter Zufallszahlengenerator
benutzt eine natrliche Zufallsquelle (z.B.Zhlung des radioaktiven Zerfalls einesElements).
Block-Verschlsselung
Arbeitet mit denierten Blcken (z.B. 1 Block =256 Byte). Das bietet den Vorteil effektivernachvollziehbare Wiederholungen durch dieVerschlsselung zu vermeiden. Nach der erstenVerschlsselung nden dann noch weitereVerschlsselungen statt. Rckkopplungen undVerknpfung mit anderen Blcken erzeugen kom-plexere verschlsselte Texte (z.B. mit Block-
Shiften).
Angriffsvarianten auf verschlsselte Daten
Nachdem man den bevorzugten Ort dereigenen Wahl gefunden hat, um die Daten zu
bekommen, steht die Wahl der erfolgreichstenAttacke.
8/9/2019 Datenschleuder #62
23/32
2. adaptive-chosen-plaintext - Dem Computeram anderen Ende ist es egal, wie oft ichmeine falschen Entschlsselungen an ihmausteste.
Gummiknppel-Attacke
Bei der Gummiknppel-Attacke geht man davonaus, da mich die verschlsselten Daten erwarten.So benden sich auf einer Festplatte mehrereDateisysteme die sich gegenseitig nicht kennen.Entschlssele ich nun ein Dateisystem und greifedarauf zu, erkennt es den Rest der Festplatte alsungenutzt an und belegt sie. Die anderenDateisysteme werden dadurch gelscht.
Brute-Force-Attacke
Der simpelste Angriff - ich probiere alleMglichkeiten durch. Im Zeitalter der krebsartigwachsenden Computerkapazitten ist brute-forceinzwischen eine zeitsparende Variante. InKombination mit anderen Attacken lt sich derWeg zu den Originaldaten schnell eingrenzen.
Text: Mo Hataj
Die Datenschleuder #62 Mrz 1998
Cyphertext ist vorhanden
Die schwierigste Ausgangssituation fr eineEntschlsselung sind nur die verschlsselten
Daten vorhanden. ber deren Inhalt ist nichtsbekannt. Die ganze Vielfalt der Entschlsselungs-palette, von geschicktem Raten bis zur Hug-keitsanalyse, kann nun darauf angewendetwerden, ohne da eine Verfahren schneller zumErfolg fhrt als ein anderes.
Known-Plaintext-Attack
Von den verschlsselten Daten sind Teile bekannt,wie z.B. feste Gruformeln in Briefen oder
Dateiheader in Computerdaten. VerschlsseltenFisch erkennt man z.B. schnell am Geruch.
Chosen-Plaintext-Attack
Hier unterscheidet man zwischen denberprfungsmglichkeiten seiner Ergebnisse:
1. Eine einzige berprfungsmglichkeit - beimBenutzen der Erkenntnisse aus den entschls-selten Daten sitzt am anderen Ende z.B. der
andere Geheimdienst und ein Fehler flltsofort auf.
...Einfhrung in Verschlsselung
8/9/2019 Datenschleuder #62
24/32
Mrz 1998 Die Datenschleuder #62
Open Source Processing
Geheimdienst zum Selbermachen
Referent: Frank Rieger
Der Begriff Open Source Processing lt sicham einfachsten mit Verarbeitung von Daten,die ffentlich zugnglich sind beschreiben. Dabeientstehen erst durch eine sinnvolle Filterung undAufbereitung Informationen. Werden Informatio-nen so weit aufbereitet, da sie entscheidungs-relevant werden, kann man von Botschaften oderenglisch von Intelligence sprechen. Geht man vonden einzelnen Daten aus, so lt sich durch 7 W-Fragen (Wer?, Was?, Wann?, Wo?, Mit wem?,Warum? und Womit?) ein Ereignis ziemlich exakt
beschreiben (der Referent, in der ehemaligenDDR aufgewachsen, sprach von den 7 Stasi-Fragen). Dabei knnen die verschiedenstenFormen von Open Sources genutzt werden, z.B.Bibliotheken, deklassizierte Daten, Zeitschriften
und Zeitungen, kommerzielle Informations-dienste und Datenbanken, CD-ROMs und dasInternet.
Diese Informationsquellen werden nicht nurvon Privatleuten genutzt; so ziehen z.B. dieGeheimdienste ca. 80% Ihrer Informationen ausoffenen Quellen. Diese werden dannweiterbearbeitet, und erst durch den Gewinn anInformationsinhalt gehren sie dann zu denGeheimdaten. Man geht davon aus, da dergrte Teil der Geheiminformationen der
Geheimdienste aus Zeitungsausschnitt-sammlungen besteht. Altbundeskanzler Schmidthielt die Neue Zrcher Zeitung fr aktueller undakurater als BND-Lageinformationen, wie FrankRieger meinte.
Durch den rapiden Preisverfall beiComputerleistung und Speichermedien ist es jetztauch jedem Privatmenschen mglich, eine groeMenge an Daten zusammenzufhren und nachpersnlich relevanten Kriterien zu verarbeiten,
dabei fat eine 4 GB-Platte eine Volltext-Datenbank von 1 Million Seiten.
Eine mgliche Anwendung hierzu wurde am
Rechner demonstriert, indem die Daten der CD-ROM D-Info mit denen der CD Gewut wo!,einem Branchenverzeichnis fr bestimmteGrorume, in diesem Fall die Stadt Berlin,zusammengefhrt wurden und so zu jederBerliner Adresse eine geographische Koordinateermittelt wurde. Aus den 1,3 MillionenTelefonteilnehmern Berlins konnte so eintelefonischer Stadtplan erstellt werden, in demdie verschiedensten Suchen mglich sind: Telefonvermittlungsstellenbezirke die Bevlkerungsdichte, bzw. bei bekannter
Bevlkerungdichte schlechter situierteRandgebiete
Stadtviertel mit einem hohen Auslnderanteil(Suche nach auslndischenVornamen/Namen)
wenig besiedelte Gebiete mit einem hohenAnteil an Frauen als Telefonanschluinha-
berinnen Standorte fr Existenzgrndungen
Suchen nach nicht-gelisteten Telefon-nummern, dabei ist eine Eingrenzung aufwenige Straen ist meist mglich, in
Chaos Communication Congress 97Auswahl von Berichten vom 14. Chaos Communication Congress, 27.-29.12.1997 Hamburg Eidelstedt
interhemd nerdwear
http://interhemd.prinz.org
Anzeige
8/9/2019 Datenschleuder #62
25/32
Die Datenschleuder #62 Mrz 1998
Open Source Processing
lndlichen Gebieten manchmal sogar eine
Eingrenzung auf das einzelne Haus...
Eine Verknpfung mit weiteren Datenquellen(Newsgroups, Homepages mit Foto, T-Online-Kennung) ermglicht zu identizierten Personendann eine Erstellung eines Personenprols. Wennman verschieden alte Daten miteinandervergleicht, kann man mit verschiedenenAusgaben der D-Info z.B. schon Aussagen berMigrationen und Vernderungen der sozialenStruktur erhalten.
Fr die persnliche Nutzung kann man sichzum Beispiel im Internet umschauen, wo maneher das Problem hat, da die Informationsmengezu gro ist und sie nur mit groem Aufwand aufein sinnvolles Ma reduziert werden kann. Mankann problemlos personenbezogene Informatio-nen, Produkt- oder Firmen-Informationen
beschaffen. Einige Internet-Dienste bieten auchInformationsprocessing an, so liefert z.B.Paperboy automatisch generierte Pressespiegel
des Tages und deckt dabei 90% der deutschenZeitungen ab.
Sucht man Informationen ber Personen undderen Interessensgebiete, so hilft eine Abfrage beiDeja News. Wenn man auf komerzielleDatenbanken oder Informationsdienste zugreift,so hat man meist eine geradezu kryptischeBenutzeroberche und zahlt gelegentlich gutesGeld fr Informationen, die anderswo kostenloserhltlich sind. Auerdem geht man hier dasRisiko ein, da die Abfragen in Abfrageprolen
ausgewertet werden.Bei allen Informationen, die man sich
beschafft, hat man aber immer gewisse Probleme,und zwar zunchst die Bewertung derGlaubwrdigkeit: Ist die Quelle bekannt? Gab es aus dieser Quelle schon
Fehlinformationen? Besteht die Gefahr einer gezielten
Desinformation?
Wie sind die Eigentums- undEinuverhltnisse bei der Quelle?
Wie aktuell sind die Daten (gerade CD-ROMs
sind oft schon veraltet, wenn sie auf demMarkt sind)?
Hat man parallele Quellen zur berprfung? Sind die Daten vollstndig?
Bei der Archivierung der Daten kommen danndie nchsten Probleme: Die Datenmengen undInformationsvielfalt macht kooperatives Arbeitenmehrerer Personen notwendig. Eine sinnviolleIndexierung ist schwierig; die Informations-qualitt lt sich nicht aus der Anzahl derverwendeten Quellen ableiten. Der Flu derAufbereitung (Data -> Information ->Intelligence) mu beherrscht werden.
Insgesamt wurde gezeigt, da sich heutzutagesehr genaue Informationssammlungen auch vonPrivatleuten mit vertretbar geringem Aufwanderzeugen lassen. Deshalb mu man auch mitseinen eigenen Daten entsprechend bewutumgehen, da Firmen die verfgbarenInformationsquellen in jedem Fall auswerten -ganz zu schweigen von den Geheimdiensten.
Text: Derk Marko Reckel
8/9/2019 Datenschleuder #62
26/32
Mrz 1998 Die Datenschleuder #62
und dem fr Endverbraucher gedachten
Basisanschlu: Euro/USA/Japan: 2 B-Kanle(64 kBit, USA 56 kBit), 1 D-Kanal (64kBit,USA 56 kBit), 1 S-Kanal (16kBit)
(B-Kanal: Gesprchskanal, Kommunikation derTeilnehmer D-Kanal: Kommunikation der Gerte)
Die Abfolge der Daten im D-Kanal wird dabei ineinem 7-Schichtenmodell codiert, wobei die
denierten Schichten 4, 5 und 6 meist nichtverwendet werden.
ISDN Schichtenaufbau Referenzmodell der ISO7. Schicht: Anwendung
(6. Schicht: Darstellung)(5. Schicht: Sitzung)(4. Schicht: Transport)3. Schicht: Vermittlung, Zeichengabeinformation,
Protokollkennung, Referenzverwaltung2. Schicht: Sicherungsschicht und quittierteNachrichtenbermittlung1. Schicht: Bitbertragungsschicht (physikalischeSignalbertragung)
Fr die 3. Schicht gibt es je nach Landunterschiedliche Protokoll-Normen, auch beimEuro-ISDN gibt es lnderspezische Unterschiedeim Leistungsumfang (Rckruf bei besetzt,Rufnummernbermittlung und Gebhren-
bermittlung sind nicht in allen Lndernverfgbar).
Chaos Communication Congress 97Auswahl von Berichten vom 14. Chaos Communication Congress, 27.-29.12.1997 Hamburg Eidelstedt
ISDN fr Anfnger
Protokolle und Netzfunktionen
Referent: Hartmut Schrder
Zunchst zur analogen Telefonie: In deranalogen Telefonie werden Sprache oderDaten durch sinusfrmig modulierte Frequenz-nderun-gen in der Leitungsspannungbertragen. Dabei entstehen einige Probleme, z.B.:
die Parallelschaltung der Endgerteerzeugt ein Echo, das man hrt, bzw. dasein Datensender auch wieder empfngt
bei einer bertragung ber eine gewisseDistanz ist eine ein- oder mehrmaligeVerstrkung des Signals ntig, wodurcheine Verschlechterung der Qualitt eintritt
In der digitalen Telefonie wird derSpannungswert der Modulation in Zeittakten
abgetastet (8000 Hz), es wird ein Zahlenwerterzeugt, der an die Gegenstelle bermitteltwird. Die Gegenstelle stellt dann dieSpannungshhen aus den Zahlenwerten wiederher und glttet sie zu einer Kurve.
Durch die digitale bertragung als 0 und 1kann auf die Verwendung von Verstrkern aufweite Distanzen verzichtet werden, weil dieSignalunterscheidung auch bei sehr langenLeitungen mglich ist.
Die theoretischen Grundlagen fr diese
Technik wurden 1940 gelegt. Durch neuerebertragungstechniken konnten zunchst 2 unddann ca. 10 Gesprche ber ein und dieselbeLeitung bertragen werden.
Bei den ISDN-Anschlssen mu man zwischenzwei Anschluarten unterscheiden: Primrmultiplex-Anschlu (Europa: 30 B-
Kanle (64 kBit), 1 D-Kanal (64 kBit), 1Synchronisierungskanal (64 kBit) USA/Japan:23 B-Kanle (Japan 64 kBit, USA 56 kBit), 1 D-
Kanal(Japan 64kBit, USA 56 kBit), 1 Synchron-Kanal (16 kBit)
8/9/2019 Datenschleuder #62
27/32
Die Datenschleuder #62 Mrz 1998
...ISDN / Packet Radio...
Fr die bertragung wird zunchst das
Sprachsignal als 12 Bit reprsentiert, undanschlieend auf 8 Bit geschrumpft. Bei derUmsetzung haben die USA eine andere Kennlinie(-Law) als der Rest der Welt (A-Law). BeimKonvertieren zwischen den Lndern entstehenVerluste, die sich bei Sprache nicht auswirken.Fr eine Datenbertragung mu deshalbsignalisiert werden, da es sich um einenDatenanruf handelt, sonst entsteht durch dieKonvertierung reiner Datenwust.
Physikalisch kommt beim Teilnehmer miteinem ISDN-Basisanschlu eine 2-adrige Leitungan den bergabepunkt, den NT (inDeutschland NTBA), der NT ist eine Bus-Installation (Punkt zu Mehrpunkt-Installation)mit interner und externer Terminierung, die 4-adrig zu den Endgerten geht. Auch bei derISDN-bertragung bekommt man auf das Signalein Echo, da durch Laufzeitbestimmungherausgerechnet wird (Echo-Kompensator).
Gesendet wird mit 144 kBit, das zu 120 kBit
verwrfelt wird (ternre bertragung: es werdennicht nur 1 und 0 gesendet, sondern auch -1,damit kommt es nicht zum Ladungsaufbau(Kapazitten), die Flanken der Signale bleibenvielmehr steil.
Wie passiert die Kommunikation?
Das Anmelden der Endgerte bei derVerbindungsstelle und das Protokoll zumVerbindungsaufbau zwischen zwei Teilnehmern
ndet sich in dieser Beispieldatei im Detailvorgestellt. Dies geht weit ber den Umfang einerAnfnger-Veranstaltung hinaus. Fr Interessiertendet sich das verwendete Programm unter:http://www.mms.de/~hacko/d-tracy).
Datenbertragung
Zur Datenbertragung werden weltweit 4Protokolle verwendet:
V.110: speziziert bis 19200, keine
Fehlerkorrektur, inzwischen obsolet(V.JEHOVA)
V.120: terminalgebundene Datenbertragungmit voller Ausnutzung der Bandbreite (istO.K.)
X.75: nur ein kleiner Bereich des Protokollswird verwendet. Man deniert Fensteranzahlund Blockgre, meist verwendet: BLK 2048W(indow)S(ize) 7; (wird baldverschwinden)
P.SYNC-PPP(RFC1717): verwendet zwischenISDN-Routern, fr Internet Zugnge (derheutige Standard).
Text: Derk Marko Reckel
Packet Radio - Eine Einfhrung
Datenfunk im Amateur- und CB-FunkdienstReferent: Henning Heedfeld [DG1YGH]
Packet-Radio ist ein paketorientierterDatenfunk im Amateur- oder CB-Funkdienst.Zur Zeit werden als gngige bertragungs-geschwindigkeiten 1.200 und 9.600 bit/s ein-gesetzt. Als Netzwerk-Standard wird das AX.25-Protokoll verwendet, ein speziell fr denAmateur-Datenfunk modiziertes X.25-Protokoll.Bei bertragungsgeschwindigkiten bis 2.400 bit/skann man mit handelsblichen Funkgertenarbeiten, der Anschlu funktioniert direkt ber
die Mikrofon-Buchse des Funkgertes. Beihhereren bertragungsgeschwindigkeiten muaufgrund der hheren Bandbreite eineModikation im Funkgert vorgenommenwerden: das Sendesignal wird dann hinter demFM-Diskriminator eingespeist.
Als Modem knnen zwei Gertearteneingesetzt werden: die preiswertere Lsung bietet1.200 bit/s und besteht aus einem Operations-verstrker sowie einigen passiven Bauteilen.
Dieses sogenannte PCCOM-Moden kostet imSelbstbau rund 20 DM oder ist fr ca 100 DM
8/9/2019 Datenschleuder #62
28/32
Funk im Kurzwellenbereich betrieben wird, ist
ein effektiver Funkbetrieb aufgrund vonStrungen in der Regel nicht mglich.Desweiteren mssen im CB-Funk zugelasseneFunkgerte verwendet werden. Somit stehen nurGeschwindigkeiten von 1.200 bit/s zurVerfgung. Unter anderen rechtlichen Umstndenwre so eine preiswerte Realisierung vonWireless-LANs mglich, die auch mit wesentlichhheren Geschwindigkeiten betrieben werdenknnen.
Von der Kommunikations- zur
Informationsgesellschaft: Dummheit
in Netzen
Teil 14: Keine BewegungReferent: padeluun
Alle Jahre wieder wacht padeluun in einem
Workshopraum auf und spricht ber dummeSachen. Und wie jedes Jahr sitzen da Leute, dieder festen Meinung sind, sie machen gar keinedummen Sachen. Am Ende haben alle recht.
Zusammenfassend gesagt: Die Retrospektiveber die Alptrume der Electrosphre warharmloser als in den letzten Jahren; Ideen undMittel fr konstruktive Technikentwicklung sindgefunden, es mu aber weniger gejammert undmehr umgesetzt werden.
Nach dem Internet-Hype schmt sich
padeluun, sich als Mailboxbetreiber zu outen. AlsSystembetreiber spart er sich Hme undDaseinsberechtigungsdeklaration im Sysadmin-Environment. Die Standleitung ersetzt im Denkendas Kommunikationsnetzwerk, die lebendigeOnline-Community taucht im Denken der IP-Persnlichkeiten selten auf.
Auf einem Telekom-Servicewagen prangtinzwischen Kommunikation verbindet -Freundschaft vereint. Diese Grundhaltung ist
inzwischen bei PR-Agentur und Vorstand verbrei-
Chaos Communication Congress 97Auswahl von Berichten vom 14. Chaos Communication Congress, 27.-29.12.1997 Hamburg Eidelstedt
fertig aufgebaut im Fachhandel zu beziehen. Es
ist ein passives Gert, die Protokollumsetzungund Auswertung erfolgt ber eine zustzliche PC-Software.
Als zweite Mglichkeit, die grundstzlichvorzuziehen ist, knnen sogenannte TNCs(Terminal Node Controller) eingesetzt werden.TNCs sind sowohl fr 1.200 bit/s als auch fr9.600 bit/s erhltlich oder preiswert im Eigenbauzu realisieren. Im Eigenbau entstehen Kosten vonrund 150 DM, ein Fertiggert kostet zwischen 250und 350 DM. Ein TNC hat eine eigene, meist Z80-
basierende Microcontroller-Steuerung und kannsomit auch autark betrieben werden.
Die Ansteurung durch den PC erfolgt bereinen eigenen Befehlssatz. TNCs bietenausserdem die Mglichkeit, im sogenanntenTransparent-Modus betrieben zu werden. Somitkann mittels PPP oder SLIP eine TCP/IP-Verbindung aufgebaut werden. Im Praxistestwurden in einer Punkt-zu-Punkt-Funkstreckeber 7 km rund 300 Byte/s Datendurchsatz
erreicht (70cm Band, 9.600 bit/s bertragungs -geschwindigkeit im Simplex-Betrieb). Wesentlichhhere bertragungsraten knnen nur durchModikation auf 19200 bit/s oder unter Einsatzeiner Vollduplex-Verbindung erreicht werden, dadann die Hochtastzeiten der Funkanlagen wegfal-len.
Nachteilig ist hierbei, da auf beiden Seitendoppeltes Equipment bentigt wird.
Unklar ist bei einer solchen TCP/IP-Verbindung, ber die ja auch Internet geroutet
werden kann, die rechtliche Lage. Funkgerte fr9.600 bit/s sind zur Zeit nur imAmateurfunkdienst legal zu betreiben bzw. zumodizieren. Der Amateurfunkdienst darf nurvon lizensierten Funkamateuren betriebenwerden. Das Amateurfunkgesetz verbietetallerdings die Verbindung von Funkanlagen mitanderen Kommunikationsnetzen. Auerdem istdie bermittlung von verschlsselten Daten nichtzulssig.
Die legale Alternative wre der CB-Funk(Citizens Band = Jedermannsfunk). Da der CB-
Mrz 1998 Die Datenschleuder #62
8/9/2019 Datenschleuder #62
29/32
Die Datenschleuder #62 Mrz 1998
nur als Figur aus der Szene vorgefhrt worden zu
sein.Wellen kann man reiten, nicht lenken
(Bismarck) und enden sie immer am Strand?Das Internet ist ein tolles Recherchemedium
mit vielen ruhenden Informationen. Erst Aktivittschafft Bewegung. Neben BayrischerHackerpost und Datenschleuder existiertePeter Glasers Labor, damals verpnt durchgeringere Technikzentrierung undzeitaufwendiges Layout. Konr@d kann alsdirekter Nachfolger gesehen werden, Kritik hin
oder her, die Selbstbekenntnis,ein buntes Heft zu machen, ist inder Nullnummer abgedruckt,wenn die Chaos-Themen hiermassenkompatibel werden, kannes nur besser werden.Auf dem Kongre kennt jederzehnte mindestens fnfBundestagsabgeordnete - hier isteine riesige Machtkonzentration.
Trotz allem existiert einPhnomen im Netz: DieHemmung der User, sich umihre eigenen Bedrfnisse zukmmern. Dabei geht es nichtmal um Eigenaktivitt, als
Jrgen Tauss (MdB SPD) umeine Zusammenfassung der
Forderungen aus einer Newsgroup bat,passierte wochenlang nichts - auer das weiterber die Forderungen diskutiert wurde. Das
zweistndige Thesensammeln fr eine Anhrungzum TKG im Bundestag wurden nicht realisiert.
So ist der Wandel der Kommunikations-gesellschaft zur Informationsgesellschaft einBild dieser Quasselnetze, jede/r redet mit,keine/r mehr miteinander.
Text: Mo Hataj
tet, CCC-Thesen der letzten Jahre tauchen immer
fter in der realen Welt auf.Was davon zu halten ist, sei dahingestellt. Als
Chaos-Computer-Club, -Communication-Congress und -Szene ist der Schritt vom Meckernzum ndern nicht getan worden. TrotzPesthrnchen gegen den Gilb und Teufel gegenTelekom muten erst Service-Training-Center und
business reengineering fr besseren Service vonTelekom-Hotlines sorgen.
Wre schn gewesen, wenn das vor 10 Jahrenbereits passiert wre. Klar, die Leidensfhigkeitder betroffenen Bevlkerung wardamals hher und jede/rAufrechte ein Terrorist. DieProbleme waren aber richtig imKern erkannt, Phantasie un