Das Parlament Herr Holzhauer, Datenschutz ist für viele nicht gerade ein heißes Thema. Woran liegt es, dass wir so lax damit umgehen?
Florian Holzhauer Wir hatten einfach noch keinen großen öffentlichen Skandal. Ich glaube, irgendwann wird es einen spektakulären Fall geben. Entweder kommt jemand aufgrund von Indizien fälschlicherweise lebenslang hinter Gittern oder, und das halte ich fast für wahrscheinlicher, es werden von einem bekannten Promi Informationen laut, die nur von einem Daten-Verhökerer stammen können. Es muss etwas ganz Spektakuläres passieren, bevor den Leuten klar wird, um was es geht.
Das Parlament Um was geht es dem Chaos Computer Club?
Florian Holzhauer Ich bezeichne den CCC gerne als Hacker-ADAC. Unsere Mitglieder spielen mit Technik herum und stoßen dabei häufig auf Sicherheitslücken. Als Einzelperson kann man sich kaum Gehör verschaffen, darum funktioniert der CCC wie eine Interessengemeinschaft. Ich habe beispielsweise einmal bei Web.de eine große Sicherheitslücke entdeckt und bin auf persönliche Daten von Mitgliedern gestoßen - Adresse, Telefonnummer, Beruf. Als ich bei Web.de anrief und darauf hinwies, reagierten die erst gar nicht. Als wir dann die Fachpresse eingeschaltet hatten, ist denen klar geworden, was passiert war.
Das Parlament Sind alle Mitglieder im CCC Hacker?
Florian Holzhauer Der CCC ist keine Hacker-Schule. Vielmehr geht es uns um eine bestimmte Geisteshaltung, um eine Hackerethik. Grundsätzlich besteht bei allen Mitgliedern ein Interesse an Informationstechnologie und daran, sie richtig zu verstehen. Aber nicht jeder ist aktiv tätig. In der Öffentlichkeit werden Hacker oft als destruktives Element begriffen, als Leute, die in fremde Systeme illegal einbrechen und etwas zerstören. Wir sehen das anders und verstehen Hacken als einen kreativen Umgang mit Technik.
Das Parlament Sie unterscheiden zwischen "Hackern" und "Crackern".
Florian Holzhauer Genau, nur wird das in der Öffentlichkeit meist vermischt. Hacker treten nicht zerstörerisch auf, wie es Cracker tun. Bei uns engagieren sich Menschen, weil sie Interesse an bestimmten Themen haben. Es gibt zum Beispiel Leute, die sich sehr tief in die Biometrie-Thematik eingearbeitet haben oder sich mit RFID auskennen, die Funktechnologie, die in den neuen Reisepässen integriert ist. Der CCC besteht aus einem sehr guten Expertennetzwerk. Man findet immer jemanden, der sich mit einem Thema auskennt und der einem weiterhelfen kann.
Das Parlament Sind alle Hacker industriefeindlich?
Florian Holzhauer Nein. Allein schon deswegen, weil sie immer die neueste und teuerste Hardware kaufen, sind sie das mit Sicherheit nicht. Die meisten von uns sind so genannte Early Adopter, die Produkte kaufen, obwohl sie noch nicht fertig entwickelt sind. Industriefeindlich kann man diese Einstellung also nicht nennen, höchstens industrieskeptisch.
Das Parlament In der Öffentlichkeit hört man nicht mehr viel von Hackern.
Florian Holzhauer In den 80er-Jahren, als der CCC erstmals auf sich aufmerksam machte, war der Computer etwas Neues und Besonderes, das nicht jeder beherrschte. Heute ist er etwas Alltägliches. Man muss sich etwas ganz Spektakuläres einfallen lassen, um ein vergleichbares Medienecho wie damals zu erzeugen. Wir sind zum Beispiel 2004 auf eine relativ triviale Sicherheitslücke bei der Telekom gestoßen, die ein großes Online-System betreibt mit E-Mail-Konten und Domains für staatliche Institutionen wie den Bundesnachrichtendienst und Ministerien. Ohne großen Aufwand gelangten wir an beliebige Passwörter und Benutzernamen. Man konnte praktisch den gesamten E-Mail-Verkehr des Ministeriums mitlesen. Ein Skandal! Doch außer den "Tagesthemen" und den üblichen Fachmedien hat sich niemand dafür interessiert. Der BTX-Hack der Hamburger Sparkasse 1986 war weit weniger spektakulär, aber er stand auf der Titelseite der "Bild"-Zeitung.
Das Parlament Woran liegt das?
Florian Holzhauer Ich glaube, wir haben uns an Sicherheitslöcher gewöhnt. Hinzu kommt, dass die Komplexität zugenommen hat. Die meisten Dinge, mit denen wir uns im CCC beschäftigen, sind so kompliziert, dass sie sich nicht in 20 Zeilen darstellen lassen. Gerade beschäftigen wir uns intensiv mit Blackberry-Handys, mit denen man auch E-Mails empfangen kann. Wir überprüfen, wie sicher die Übertragung der Mails ist, ob man sie mitlesen oder den E-Mail-Verkehr aktiv stören kann. Offenbar war das so brisant, dass beim letztjährigen Kongress Rechtsanwälte von Blackberry im Publikum saßen und den Vorträgen interessiert lauschten. Ein anderes Beispiel ist die Gesundheitskarte. Damit hatte sich Thomas Maus intensiv befasst, dessen Vorträge nun zur Hälfte wegen einstweiliger Verfügungen gesperrt sind. Inzwischen liest sein Anwalt die Folien seiner Vorträge gegen.
Das Parlament Wird Aufklärung durch juristische Scharmützel behindert?
Florian Holzhauer Heute befassen sich nicht mehr die Techniker mit einer Sicherheitslücke. Stattdessen setzt jedes größere Unternehmen zuallererst die Juristen darauf an. Mittlerweile ist es schon strafbar, nur auszuprobieren, ob es eine Sicherheitslücke gibt. Wenn ich den Verdacht habe, die Website von Amazon sei unsicher und ich probiere verschiedene Sachen aus, begehe ich eine Straftat. Legal und illegal ist aber nur insofern interessant, als man die Konsequenzen des eigenen Tuns kennen muss. Wenn man sich in einem Kontext wie dem CCC bewegt, verstößt man jeden Tag gegen irgendein Gesetz. Aber eben nicht im destruktiven Sinn.
Das Parlament Was sind augenblicklich die interessanten Themen für Hacker?
Florian Holzhauer Die großen Themen haben mit Datenschutz und der Verletzung der Privatsphäre zu tun. Was seit dem 11. September 2001 an Überwachungsmaßnahmen durchgeboxt wurde, ist beängstigend. Zum Beispiel die ganze RFID-Technik, die im neuen Reisepass verwendet wird. Niemand weiß, wie sicher oder unsicher das ist. Beim holländischen Pass, der auf einer ähnlichen Technologie beruht, ist es bereits gelungen, mit einfachen Mitteln die Pässe von Passanten auszulesen. Oder das Thema Videoüberwachung. Problematisch daran ist, dass private Unternehmen damit zu tun haben. So konnte etwa der Wachschutz des Pergamon-Museum in die Privaträume von Angela Merkel blicken.
Das Parlament Lässt sich der Missbrauch von Technologie überhaupt ausschließen?
Florian Holzhauer Es ist generell ein Problem, dass die Fälle, in denen man klar aufzeigen kann, dass gegen Gesetze verstoßen wurde, als bedauerliche Einzelfälle gelten. Früher konnte man eine Sicherheitslücke aufdecken und den genauen Schaden bezeichnen. Heute ist das viel komplexer geworden. Man kann sich die möglichen Probleme zwar zusammenreimen, aber die Wahrscheinlichkeit ihres Eintretens nicht zu hundert Prozent bestimmen. Deshalb gilt man schnell als paranoid.
Das Gespräch führte Helmut Merschmann.
Informationen unter www.ccc.de.