Mehrere verbreitete Missverständnisse erschweren die Verankerung einer Cybersicherheitskultur in der Gesellschaft. Der Mythos, dass Hacker allmächtig seien und es deshalb sinnlos wäre, sie überhaupt bekämpfen zu wollen, wurde insbesondere durch den Film Hackers popularisiert, der vor genau einem Vierteljahrhundert auf die Leinwände der Kinos kam. Der Film gab Anlass zu einer Reihe von Klischees, die von der Filmindustrie auch noch heute verwendet werden.
Tatsächlich werden die Außenseiter-Helden des Films und ihr Gegner Plague, ein IT-Sicherheitsexperte bei Ellingson Mineral, als hochintelligente Geeks dargestellt, die in der Lage sind, Schwachstellen in jedem IT-System zu finden und auszunutzen.
So konnte die Hauptfigur der Geschichte ebenso leicht in eine Schuldatenbank einbrechen wie in das Netzwerk eines Fernsehsenders. Phantom Phreak telefoniert von Münztelefonen aus nach Venezuela, ohne einen Cent zu bezahlen. Sogar Joey, dem jüngsten und unerfahrensten Hacker der Gruppe, gelingt es, sich Zugang zum Gibson-Supercomputer bei Ellingson Mineral zu verschaffen. Es sieht alles recht beeindruckend aus (zumindest für das Jahr 1995), aber sehen wir uns die Leistungen der Crew einmal genauer an.
Das Hacken eines Fernsehsenders
Der Hauptcharakter Dade (alias Crash Override) bricht in das Netzwerk eines Fernsehsenders ein, um das langweilige Fernsehprogramm durch Blockbuster zu ersetzen. Er gibt sich als Buchhaltungsangestellter aus und ruft den Nachtwächter an. Unter dem Vorwand, Zugang zum Computer zu benötigen, bittet er den Wächter, die Telefonnummer auf dem Einwahlmodem vorzulesen.
Einerseits handelt es sich um grundlegendes Social Engineering. Andererseits ist es eine aberwitzige Panne des Unternehmens und dabei beziehe ich mich nicht einmal auf die doch recht zufällig ahnungslose Wache. Warum befindet sich der Computer des Buchhalters im gleichen Netzwerk, das auch für das Sendeprogramm zuständig ist? Warum wartet das Modem ständig auf einen eingehenden Anruf und warum steht die Telefonnummer überhaupt auf dem Modem geschrieben?
Währenddessen stellt sich heraus, dass sich bereits Kate, eine Hackerin namens Acid Burn, in das Netzwerk des Senders eingedrungen ist. Wie ist sie hineingelangt? Nun, der Sender hat wahrscheinlich noch andere Computer mit ungeschützten Modems.
Der Hackerangriff auf Supercomputer Gibson
Joey, der Neuzugang der Hackergruppe, bricht in den Gibson-Supercomputer ein, indem er sich über ein Modem von zu Hause aus mit dem supersicheren Kontopasswort des PR-Chefs verbindet. Das Passwort selbst lautet „Gott“. Wahrlich einfallsreich, und das, obwohl jede Figur im Film (einschließlich des besagten PR-Chefs und Plague, der für die Sicherheit des Unternehmens verantwortlich ist) weiß, dass die häufigsten Passwörter (zumindest in der Realität des Films) Liebe, Geheimnis, Sex und Gott sind. Außerdem hat der PR-Chef aus irgendeinem unerklärlichen Grund Superuser-Rechte. Alles in allem geht es bei der „großen“ Leistung der Hacker weniger um Einfallsreichtum sondern eher um typische Schwächen eines Unternehmens.
Plagues bösartiger Plan
Die Filmhandlung dreht sich unter anderem auch um das listige Schema des Hackers Plague, der bei Ellingson Mineral arbeitet. Er schreibt ein Stück Malware, um von jeder Geldtransaktion des Unternehmens etwas abzuzweigen. Den Erlös überweist er auf ein geheimes Konto auf den Bahamas. Das hätte schon als Haupthandlung funktionieren können, wenn nicht eine ähnliche Handlung 12 Jahre zuvor im Film Superman III genutzt worden wäre. Aus irgendeinem Grund beschreibt jeder im Film die Malware als Wurm, obwohl der Film nicht Mal ansatzweise etwas über eine mögliche Verbreitung und Replikation erwähnt.
Können wir auf der Grundlage dieser Informationen Plague wirklich als cyberkriminelles Genie bezeichnen? Wohl kaum. Er leitet die IT-Sicherheitsabteilung eines Unternehmens, in der außer ihm niemand Ahnung von IT-Sicherheit hat. Abgesehen davon steckt Plague mit dem Leiter der PR-Abteilung unter einer Decke, wodurch er praktisch einen Freibrief erhält. Hierbei handelt sich klar um einen Insider-Angriff. Das Problem ist nicht wirklich ein Cybersicherheitsproblem sondern vielmehr eine schlechte Personalpolitik des Unternehmens.
Der Da Vinci-Virus
Als Joey versehentlich einen Teil des „Wurms“ herunterlädt, startet Plague einen Virus namens Da Vinci (auch hier ist nicht wirklich klar, ob es sich tatsächlich um einen Virus handelt, oder ob die Drehbuchautoren einfach nur den Klang dessen mochten, was 1995 ein neuer schicker Begriff für die meisten Kinobesucher war). Die Malware bemächtigt sich der Fernsteuerung der Öltanker des Unternehmens und erlaubt dem Angreifer, die Tanker kentern zulassen, indem Wasser in die Ballasttanks gepumpt wird. Tatsächlich ist der „Virus“ aber ein Ablenkungsmanöver.
Plague benutzt das Virus einfach, um (a) die Aufmerksamkeit von dem geldgierigen „Wurm“ abzulenken, (b) Joey und seine Gefährten des Hack-Angriffs auf das Unternehmen zu beschuldigen und sie letztendlich für den „Wurm“ verantwortlich zu machen, und (c) sie dem Geheimdienst zu übergeben, damit Plague später in Joeys Computer eindringen und alle Beweise gegen Ihn löschen kann. Ganz zu schweigen davon, dass er mehr Zeit schinden möchte und noch mehr Geld mit der Malware abschöpfen will.
Tatsächlich ist ein solcher „Virus“ für die damalige Zeit viel zu futuristisch. Zunächst einmal ist schon die Vorstellung, dass ein Schiff im Jahr 1995 permanent an die Navigationssysteme der Betreibergesellschaft angeschlossen ist, verrückt. Erstens wird das Internet weder heute noch damals für die Navigation benötigt. Das GPS-System war bereits voll funktionsfähig und stand der Zivilbevölkerung zur Verfügung.
Zweitens ist ein Schiff, das Mitte der 90er-Jahre eine durchgängige Internetanbindung verfügt, wirklich realitätsfern. Eine Datenübertragung per Satellit gab es damals noch nicht. Dafür hätte man eine permanente (und unerschwinglich teure) Modemverbindung über eine Sprachleitung benötigt.
Darüber hinaus besitzen Tankschiffe (die u. a. als kritische Infrastruktur eingestuft werden könnten) keine manuellen Backup-Systeme zur Steuerung der Ballastwassereinspritzung. Das Verfahren ist vollständig computergesteuert. Im Übrigen kann ein Computer auch ohne Malware durchaus ausfallen. Kurz gesagt, damit der Da Vinci-Virus funktioniert, hätte jemand schon während der Schiffsentwurfsphase eine lange und mühsame Sabotagevorarbeit leisten müssen.
Vorbereitung auf das letzte Gefecht
Die Protagonisten beschließen, den heimtückischen Da Vinci-Virus zu stoppen und den vollständigen Code des „Wurms“ zu erhalten, um somit herauszufinden, wohin das gestohlene Geld überwiesen wird. Doch hier beginnt der Film aus den Fugen zu geraten. Die getroffenen Vorbereitungen der Gruppe sind weder nützlich noch gründlich. Doch hier beginnt der Film aus den Fugen zu geraten.
So gibt sich der Hacker Cereal Killer als Mitarbeiter einer Telefongesellschaft aus, schleust sich in das Gebäude des US-Geheimdienstes ein und platziert dort eine Wanze. Warum keiner der Mitarbeiter (angebliche Profis) gegen den Teenager in Baggy-Jeans Verdacht schöpft, bleibt ein Rätsel.
Dade und Kate durchsuchen währenddessen den Müll der Firma Ellingson Mineral und stehlen einige Papiere. Das ist glaubwürdig, da auch heute noch nicht jedes Unternehmen die Entsorgung des Firmenmülls überwacht. Das man dadurch mit Leichtigkeit 50 Passwörter ergattert, mit denen man in kritische Unternehmenssysteme eindringen kann, ist jedoch eher ein Hollywood-Zufall als eine Datenpanne.
Der Kampf um den Supercomputer Gibson
Die Hackergruppe bittet die Hackergemeinschaft um Hilfe und gemeinsam bombardieren sie den Supercomputer mit Viren. An diesem Punkt hat der Film endgültig jeglichen Bezug zur Realität verloren. Leider wissen wir nichts über die Architektur der Informationssysteme von Ellingson Mineral und können daher nicht ganz nachvollziehen, wie sich eine Schar von Angreifern gleichzeitig mit dem Supercomputer Gibson verbinden kann und darüberhinaus eine Auswahl von Viren hochladen und dabei den „Wurm“ herunterladen kann.
Es ist nicht einmal klar, ob sie über das Internet agierten oder irgendwie direkt mit den internen Modems des Unternehmens verbunden waren. Jedenfalls kann Plague irgendwie die Quelle der Angriffe ausfindig machen.
In dieser Szene hört man den merkwürdigen Begriff „Mehrere GPI- und FSI-Viren“. GPI steht für General Purpose Infectors, ein längst überholter Name für Viren, die in jede ausführbare Datei eingebettet werden können. FSIs, oder File Specific Infectors, sind Viren, die auf Dateien eines bestimmten Formats abzielen. Mit anderen Worten, der Ausdruck bedeutet im Grunde genommen, dass das Sicherheitsteam eine Menge Viren sehen kann.
Internationale Anrufe
Während des gesamten Films benutzt der als Phantom Phreak bekannte Hacker kostenlose Münztelefone. Die Technik, die im Jahr 2020 wohl am wenigsten plausibel erscheint, ist tatsächlich die glaubwürdigste. Damals war das Phreaking, also das Hacken von Telefonanlagen, ein Kernbestandteil der Hackerkultur, daher der Name Phantom Phreak.
Um kostenlos telefonieren zu können, benutzt er ein Gerät, das Töne erzeugt, die den Einwurf von Münzen in das Telefon simulieren. Dieser Trick ist als Red Boxing bekannt. Es hat wirklich funktioniert und die Anleitungen zum Red Boxing waren in der Hacker-Szene bereits im Vor-Internet-Zeitalter weit verbreitet. In der Annahme, dass Münzen hineingeworfen worden wurden, signalisierten die Münztelefone dem Abrechnungssystem, wie viele Minuten der Phreaker zur Verfügung hatte.
1995 war das Red Boxing jedoch bereits dem Niedergang geweiht. Die Telefongesellschaften, die sich der Schwachstelle bewusst waren, waren schon dabei, Schutztechnologien wie Frequenzfilter, Vervielfältigung über digitale Kanäle und Möglichkeiten zur physischen Überprüfung der Anzahl der eingeworfenen Münzen zu implementieren. Aber zum Zeitpunkt der Veröffentlichung des Films war Red Boxing noch anwendbar.
Ausrüstung
Von besonderem Interesse ist die von den Hackern verwendete Ausrüstung. Kate, die aus einer wohlhabenden Familie stammt, arbeitet an einem P6-Laptop, der, wie sie sagt, „dreimal schneller als ein Pentium“ ist. Das ist eine Anspielung auf den Pentium Pro, den ersten von Intels x86-Mikroprozessoren der sechsten Generation. Damals war er wirklich der leistungsstärkste Chip der Welt und wurde, wie der Film, 1995 veröffentlicht. Und Kates Modem konnte eine Geschwindigkeit von 28.800 kbps erreichen – eine weitere Bestmarke für diese Zeit.
Bei genauerem Hinsehen stellt sich jedoch heraus, dass die Protagonisten bei der Verbindung über öffentliche Telefonzellen etwas verwenden, das aussieht wie ein Akustikkoppler, der akustische Signale in digitale umwandelt. Das ist ein äußerst unzuverlässiges Gerät, das nur 1.200 kbps unterstützt und 1995 hoffnungslos veraltet war. Dennoch sieht es beeindruckend aus.
Pure Fantasie
Auch andere Szenen im Film reizen die Vorstellungskraft bis zum Äußersten aus. Unter anderem verfolgen die Hacker einen Regierungsbeamten, wobei sie unter anderem:
- seine Kreditkarte sperren;
- gefälschte Verkehrsverstöße in seine Akte eintragen;
- ihn in der Datenbank des Geheimdienstes für tot erklären.
Es ist nicht klar, wie sie das alles bewerkstelligen, aber es zeugt wieder einmal mehr von der Inkompetenz der Bank, der Polizei und des Geheimdienstes als vom Einfallsreichtum der Hacker. Der einzige überzeugende Trick, den die Hackergruppe verwendet, ist die Veröffentlichung einer anzüglichen Anzeige auf einer Dating-Site. Dazu braucht es aber keine Hacker-Fähigkeiten, sondern nur einen besonderen Sinn für Humor.
Und der Film wäre nicht kein Hacker-Film, wenn die Gruppe nicht durch das Hacken der Ampelanlagen Chaos in der Stadt verursachen würde. Ein Klassiker.
Die Schlussfolgerung
Selbst Leinwand-Hacker sind nicht übermenschlich. Sie nutzen einfach die Fehler und die Einfältigkeit anderer aus. Auch die meisten echten Angreifer sind keine Experten und wohl kaum böse Genies. Unsere Kaspersky Automated Security Awareness Trainingsplattform hilft dabei, diese und viele andere Missverständnisse aufzuklären und lehrt Mitarbeiter, solche offensichtlichen Fehler zu vermeiden.