WoZ enthüllt: So wurde der WEF-Server geknackt: Dummheit – ein grausamer, globaler Gott

Die Akten zum Wef-Hack beweisen: Straffällig ist wahrscheinlich nicht der der letzten Freitag verhaftete angebliche Hacker. Sicher zu bestrafen ist dagegen das Wef – wegen gigantischer Amateurhaftigkeit.

Selten, aber doch passieren völlig unerwartete Dinge. Manchmal verliert Goliath tatsächlich gegen David. Manchmal tut Dummheit tatsächlich weh. Manchmal ist das Resultat eines Justizaktes tatsächlich Gerechtigkeit.

Die erstaunliche Geschichte begann mit einer typischen Freitagsverhaftung. Der Genfer Untersuchungsrichter Marc Tappolet stürmte in Begleitung von Berner und Genfer Polizisten in eine Berner WG, beschlagnahmte die Computer und überführte einen zwanzigjährigen Informatikspezialisten namens David ins Untersuchungsgefängnis nach Genf.

In einem von keiner Unschuldsvermutung getrübten Communiqué gab Richter Tappolet bekannt: «Heute Morgen ist einer der Täter festgenommen worden.» Dem Verhafteten – angeblich einer der Wef-Hacker – wurde Eindringen in ein Datenverarbeitungssystem, Sachbeschädigung sowie Scheck- und Kreditkartenbetrug vorgeworfen. Darauf steht eine Haftstrafe von bis zu fünf Jahren.

Es ging um einen der spektakulärsten Coups in der an spektakulären Coups nicht armen Hacker-Geschichte. Ein Kollektiv namens «Virtual Monkeywrench» hatte den Server des Weltwirtschaftsforums geknackt und der «SonntagsZeitung» darauf eine CD mit E-Mail-Adressen, Passwörtern, Terminplänen, Flügen, Telefon- und Kreditkartennummern zugestellt: eine gigantische unordentliche Kartei von 102 000 VIP-Fichen, darunter Clinton, Arafat, Peres und last not least abertausende von Wirtschaftsbossen.

Das Wochenende nach der Verhaftung brachte zunächst wenig Neues. Die Medien schrieben zumeist von keiner Unschuldsvermutung getrübte Kurzmeldungen, die Anti-WTO-Koordination verlangte die Freilassung des Gefangenen, das Wef schwieg, der Untersuchungsrichter blieb wie vom Erdboden verschluckt, der Verhaftete schmorte Samstag/Sonntag im Kunstlicht seiner Zelle – der tiefere Sinn jeder Freitagsverhaftung. Allerdings ging die Rechnung der Strafverfolger nicht auf: Er schwieg.

Erst am Montag bekam der Anwalt Jean-Pierre Garbade die Akten und den Angeklagten zu sehen: «Eine sehr sympathische Person, von der ich viel über Informatik gelernt habe.» Diese Lektionen – so Garbade – hätten aber auch nicht zuletzt der Gegenseite gut getan. Denn die Verhaftung seines Mandanten sei «nur durch völlige Unkenntnis in Computerdingen» erklärbar – ausser vielleicht aus dem «Wunsch heraus, die Tatsachen zusammenzubiegen». (Der Angeklagte – jung, 20, Informatiker, also offensichtlich hackkompetent und überdies politisch bei der Berner Sektion der anarchistisch orientierten Gewerkschaftsgruppe FAUCH tätig – passte bestens in das Fahndungsbild.)

Die mitgelieferten Akten hingegen erwiesen sich als erstaunliche Bombe. Die Überraschung an ihnen ist eine Doppelte: 1. Der Experte des Untersuchungsrichters ist selbst der grösste Entlastungszeuge. 2. Seine Aussage ist pures Dynamit gegen den Kläger: Er überführt das zigmillionenschwere Wef einer geradezu fahrlässigen Amateurhaftigkeit – und das auf dessen Kernkompetenzgebieten Sicherheit, Diskretion und Hightech. Jedenfalls wurde nun zum ersten Mal klar, wie sich der Wef-Hack im Detail abgewickelt hatte.

Das von der «SonntagsZeitung» interviewte Hacker-Kollektiv hatte nicht im Mindesten untertrieben, als es behauptete, die Entwendung der ungeheuren Datenmenge sei im Grunde «weder ein Hack, noch ein Crack» gewesen, sondern «das Spazieren in einen offenen Hof». Tatsächlich lagen die mit Quickbase angelegten Wef-Datenbanken so offen wie Heu in einer Scheune. Während in Davos die VIPs mit dem grössten Polizeiaufgebot seit dem Zweiten Weltkrieg geschützt wurden, lagerten in Cologny ihre Telefon- und Kreditkartennummern so sicher wie ein Nichtschwimmer in einem Haifischbecken.

Der erste und kleinste Fehler war ein Sicherheitsloch in einem, so der Experte des Genfer Untersuchungsrichters, «miserabel konfigurierten System». Das Loch trug den Namen Port 1433 – eines von ein paar tausend Ports, mit dem der Server mit der Aussenwelt kommuniziert. (Benutzt werden normalerweise nur ein Dutzend – für Netze, Mails etc. – während der Rest geschlossen zu sein hat.)
Der Zustand der Ports lässt sich mit Software aus dem Internet problemlos scannen – eine Routinesache von wenigen Minuten, zu der es minimale Informatikkenntnisse braucht. Ebenso banale Routine ist, bei einem offenen Port herauszufinden, was für ein System sich dahinter verbirgt: Im Falle des Wef war es ein Microsoft-Server mit dem Betriebssystem Windows 2000.

Der Fehler hatte aber für einmal nichts mit Microsoft zu tun: DENN DIE WEF-ZUSTÄNDIGEN ÄNDERTEN DAS STANDARD-PASSWORT DER DATENBANK NICHT. Jede frisch gelieferte Microsoft-Quickbase-Datenbank räumt dem Benutzer beim ersten Aufschalten mit dem Benutzernamen «sa» und dem Passwort «» (Returntaste) die Rechte eines Systemadministrators ein. Dies zu ändern, passiert normalerweise am ersten Tag – beim Wef passierte es nie. (Es ist so, als würden alle Kreditkarten standardmässig mit dem Pin-Code 1111 ausgegeben, ein Wahnsinniger, wer die Nummer nicht sofort ändern würde.)

Nun also hatten die Hacker den vollen Zugang zum Server des Wef. Das wäre peinlich genug gewesen, aber mehr Schaden als gelesene E-Mails oder die mit Anti-Wef-Parolen übermalten Sites des Forums wäre nicht dringelegen. Aber das Wef machte noch einen dritten unglaublichen Fehler: Irgendwann im Jahr 2000 hatte es weite Teile der vertraulichen Datenbank VON SEINEM INTERNEN AUF DEN WEB-SERVER KOPIERT. (Was ungefähr so fahrlässig ist, als würde man den Familienschmuck im draussen montierten Briefkasten aufbewahren.) Dass der interne Server und der (immer!) gefährdete Web-Server physisch getrennt sind, gehört zum kleinen Einmaleins jedes Netzwerkadministrators.

Die von der WoZ befragten Experten zeigten sich gleichermassen amüsiert und entsetzt. «Suboptimal», urteilte der Datenbankarchitekt Alain Stamberger trocken und weigerte sich, weitere Äusserungen zitieren zu lassen, weil «diese dann beleidigend» wären – klar sei jedenfalls, dass die Aussage des Wef-Pressesprechers Charles McLean «unser IT-Sicherheitsstandard ist auf höchstem Niveau» so zutreffend sei wie Nixons Aussagen zu Watergate.

Als «unglaublich, quasi eine Einladung, als würde man eine Luxuslimousine mit steckendem Zündschlüssel in einer dunklen Gasse abstellen», beurteilte der Pressesprecher Jens Ohlig des Hamburger Chaos Computer Clubs den Wef-Sicherheitsstandard. Die Wef-Hacker hätten durchaus «mit etwas krimineller Energie eine fast unbegrenzte Menge Schaden» anrichten können. Dass sie den Fall nur per Medien publik machten, sei nur das Minimum an Strafe gewesen. Eigentlich müsse das Wef den Hackern danken: «Es war eine kostenlose Überprüfung eines sehr eklatanten Sicherheitslochs.»

So weit zum glimpflich davongekommenen Goliath. Was den verhafteten David angeht, so stehen seine Chancen laut seinem Anwalt Garbade bestens. Nachgewiesen werden kann ihm nur das Scannen der Ports von seinem eigenen Computer aus – eine Sache, die nicht nur von der Strafbarkeit vergleichbar ist mit dem Anklopfen an eine Tür. Der Expertenbericht des Untersuchungsrichters hält klar fest, dass im Log-File der Wef-Firewalls nur Aufzeichnungen über die Scans, aber rein gar nichts nichts über das erfolgreiche Eindringen in Port 1433 existierte. (Eine Firewall, die das Klingeln von Computerkindern an der Tür registriert, den Einbruch aber nicht.) Kurz: Da Port 1433 monatelang offen stand, könnte theoretisch die halbe Welt Anfang Januar im Wef gewesen sein. Hält Untersuchungsrichter Tappolet nicht noch einen Trumpf im Ärmel, ist sein Bluff zu Ende.

Klar ist jedenfalls, dass durch die Verhaftung von David die wahre Natur Goliaths enthüllt wurde: Das hochtechnisierte, hochexklusive, hochabgeschottete World Economic Forum, zuständig für Mangement-Visionen der E-Revolution, die global vernetzte Elite und die Verbesserung der Welt, wird seinerseits von einer global wirkenden Kraft regiert: der grenzenlosen Dummheit.