Von Hackern lernen. Die Fundamente unserer digitalen Welt E-Book

Die englische Originalausgabe erschien 2023 unter dem TitelFancy Bear Goes Phishing. The Dark History Of The Information Age, In Five Extraordinary Hacks bei Farrar, Straus and Giroux, New York.

© 2023 by Scott J. Shapiro

© 2024 für die deutschsprachige Ausgabe

by HarperCollins in der Verlagsgruppe HarperCollins Deutschland GmbH, Hamburg

Covergestaltung von Designbüro Lübbeke, Naumann, Thoben, Köln

Coverabbildung von Esvetleishaya/Depositfotos

E-Book-Produktion von GGP Media GmbH, Pößneck

ISBN E-Book 9783749907540

www.harpercollins.de

Jegliche nicht autorisierte Verwendung dieser Publikation zum Training generativer Technologien der künstlichen Intelligenz (KI) ist ausdrücklich verboten. Die Rechte des Autors und des Verlags bleiben davon unberührt.

WIDMUNG

Für meine Mutter Elaine Shapiro, für alles, vor allem für das Gespräch auf der 110th Street

EINFÜHRUNG: DAS BRILLANTE PROJEKT

»Ich glaub, ich hab Scheiße gebaut.« Paul wusste, dass Robert in ernsten Schwierigkeiten steckte. Der ruhige 22-Jährige, Brillenträger, Doktorand, fluchte sonst nie. Bei Roberts Gerichtsverhandlung sagte Paul später aus, sein Freund »benutzte normalerweise eher keine Kraftausdrücke. Deshalb nahm ich an, dass da etwas wirklich Wichtiges schiefgegangen sein musste.« 1

In der Tat: Etwas wirklich Wichtiges war schiefgegangen. Pauls Freund hatte gerade das Internet lahmgelegt.

Der Anruf kam am späten Abend, gegen 23 Uhr, am 2. November 1988. 2 Robert Morris jr., Student der Computerwissenschaften an der Cornell University in Ithaca, Bundesstaat New York, beschrieb die sich anbahnende Katastrophe seinem Freund und Kommilitonen, dem Harvard-Doktoranden Paul Graham.

Früher am Abend, gegen 20 Uhr, saß Robert an einem Terminal in Raum 4160 in Upson Hall, dem damaligen Sitz der Abteilung für Computerwissenschaften von Cornell. 3 Von hier aus meldete er sich remote bei prep.ai.mit.edu an, und zwar an einem VAX11/750 Computer des Labors für Künstliche Intelligenz am MIT in Cambridge, Massachusetts. Er übertrug drei Programmdateien, führte sie aus und startete damit das, was er und Paul »das brillante Projekt« getauft hatten: ein sich selbst replizierendes Programm – einen Computer-»Wurm«. 4

Der Wurm war darauf programmiert, Computer im damals gerade im Entstehen begriffenen Internet zu infizieren. Nachdem er in einen Computer eingedrungen war, diente dieser Computer als Basis, von der aus weitere infiziert werden sollten. Mit jedem neuen Zielcomputer kopierte der Wurm sich selbst ein weiteres Mal und schickte seinen Klon an eine neue Adresse. Der Wurm und seine immer zahlreicher werdenden Klone vermehrten sich so lange weiter, bis ihre Mission erfüllt und das gesamte Internet kolonisiert war.

Roberts Motivation war rein wissenschaftlicher Natur. Er wollte ein Programm erstellen, das in der Lage war, den Cyberspace zu erkunden. Er versuchte, so viele Computer wie möglich zu infizieren, bloß um zu sehen, wie viele er infizieren konnte – er hatte nicht vor, durch Computerabstürze ein totales Chaos anzurichten. Doch als Robert vom Abendessen zurückkam und nachsah, wie sein Experiment lief, fiel ihm gleich auf, dass das Netz ziemlich schleppend reagierte. Es gab eine merkliche Verzögerung zwischen dem Eintippen von Zeichen und deren Erscheinen am Bildschirm, zwischen Befehl und Ausführung. Der Wurm verbreitete sich zu schnell, und er schluckte zu viele Ressourcen. Wie ein Bumerang war er in weniger als drei Stunden nach Ithaca zurückgekehrt und übernahm nun das Netzwerk seiner Abteilung. Und das war erst der Anfang.

Roberts Wurm legte nicht bloß das Cornell-Netzwerk lahm. In rasender Geschwindigkeit fegte er durch das Internet und machte alles nieder, was ihm über den Weg lief. Nur wenige Minuten nach seiner Freisetzung am MIT kam es zur ersten bekannten Infektion mit dem Wurm an der University of Pittsburgh. 5 Von Pittsburgh zog der Wurm weiter quer durch das Land und schlug um 20:24 Uhr bei rand.org ein, dem Netzwerk der RAND Corporation in Santa Monica, Kalifornien. In den nächsten 40 Minuten stellten Computeradministratoren bei RAND fest, wie ihr Netzwerk langsamer wurde; ein paar Knoten waren bereits vollständig blockiert. Um 21 Uhr kroch der Wurm im Fachbereich des Stanford Research Institute umher. Gegen 21:30 Uhr war er an der University of Minnesota angekommen. Um 22:04 Uhr befiel er die Gateway-Maschine von Berkeley – den Computer, der für die Universität als Pforte zum Internet diente. Fast augenblicklich bemerkten die Administratoren eine ungewöhnlich hohe Auslastung der Maschine und einen Rückstau in ihrem System. Um Mitternacht mussten am MIT Administratoren, die gerade aus einer Pause zurückkamen, feststellen, dass auch ihr Netzwerk Ausfallerscheinungen zeigte. Um 1:05 Uhr drang der Wurm ins Lawrence Livermore National Laboratory ein, eine für die Sicherung des US-Atomwaffenarsenals zuständige Einrichtung. Bald darauf hatte sich der Wurm im Los Alamos National Laboratory in New Mexico eingenistet, wo das Manhattan-Projekt einst die ersten Atombomben der Welt hervorgebracht hatte. Roberts »brillantes Projekt« schien nun nicht mehr allzu brillant zu sein.

Das Geschehen an der University of Utah war typisch. Der erste Angriff auf cs.utah.edu erfolgte kurz nach Mitternacht über das E-Mail-System, genau um 00:09 Uhr. Innerhalb von elf Minuten schnellte die Netzwerkauslastung – die Datenmenge, die das Netzwerk transportiert – auf den Wert 5 hoch. In einer normalen Nacht betrug der Auslastungswert zwischen 0,5 und 2. Der Wert 5 bedeutete eine Verlangsamung; bei 20 würde das System kollabieren. Um 00:41 Uhr lag die Netzwerklast bei 7, zwanzig Minuten später bereits bei 16. Weitere fünf Minuten später brach das gesamte Netzwerk zusammen. Jeff Forys, der Administrator der Universität, kämpfte die Eindringlinge einen nach dem anderen nieder, bis alle wieder verschwunden waren – aber nach weniger als einer Stunde waren sie mit voller Kraft und Anzahl wieder da. Die Netzwerklast kletterte auf 27. Um 1:49 Uhr schaltete Forys das Netzwerk komplett ab, womit die neuen Eindringlinge außer Gefecht gesetzt waren. Doch als er es wieder hochfuhr, setzte der nächste Schwarm zur Attacke an. Die Last erreichte den schwindelerregenden Wert von 37, und Forys schaffte es nicht, ihn zu senken. »Hau den Wurm« haute nicht hin. 6

Das Klingeln des Telefons weckte Dean Krafft, Leiter der Computereinrichtungen in Upson Hall, wo Robert Morris sein verhängnisvolles Experiment gestartet hatte. »Um 1:30 Uhr bekam ich einen Anruf von einem Doktoranden in der Abteilung. Er berichtete mir, dass offenbar ein Sicherheitsproblem vorläge und dass eine Reihe der Maschinen abgestürzt wäre«, sagte Krafft später aus. 720 Prozent der Abteilungscomputer an der Cornell waren blockiert. Als man die Maschinen herunterfuhr und neu startete, funktionierten sie eine kurze Zeit, aber bald hingen sie wieder fest. Krafft sagte dem Doktoranden, er solle die Computer der Abteilung vom Hauptnetzwerk des Campus trennen. 8 (Cornell hatte noch Glück gehabt: An der Carnegie Mellon waren 80 von 100 Computern betroffen; an der University of Wisconsin waren es 200 von 300. Bell Labs, 9 die Forschungs- und Entwicklungsabteilung des Telefonkonzerns AT&T, kam ungeschoren davon.)

Um 2:38 Uhr verschickte Peter Yee am NASA Ames Research Center die erste öffentliche Warnung an die TCP/IP-Mailing-Liste, das wichtigste öffentliche Bulletin Board für Neuigkeiten zum Thema Internet: »Wir werden zurzeit von einem Internet-VIRUS attackiert. 10 Er hat UC Berkeley, UC San Diego, Lawrence Livermore, Stanford und NASA Ames befallen.« Er riet allen Empfängern, bestimmte Netzwerkdienste zu deaktivieren, zum Beispiel die E-Mail, um die weitere Ausbreitung aufzuhalten.

Experten für Computersicherheit hatten schon seit Jahren geahnt, dass dieser Tag kommen würde. Das Internet wuchs mit einer derart explosionsartigen Geschwindigkeit und verband dabei Computernetze im ganzen Land, ja sogar auf dem ganzen Globus miteinander, sodass sie den Angriff einer feindlichen Macht befürchteten. 11 Am 2. November 1988 mussten sie annehmen, dass dieser Moment tatsächlich gekommen war. Stevan Milunovic, Direktor für Informationssysteme am Stanford Research Institute, sagte der New York Times: »Ich dachte: Das ist die Katastrophe, mit der wir gerechnet haben, und jetzt ist sie da.« 12

Keiner von diesen ersten Notfallhelfern konnte wissen, dass der Übeltäter ein Studienanfänger aus Millington in New Jersey war, der an jenem Abend voller Angst schlafen gegangen war und hoffte, dass der Spuk bis zum Morgen wieder vorbei wäre. Das war er nicht.

AUFWACHSEN IN NEW JERSEY

Es fällt schwer, nicht auch ein wenig Mitleid mit Robert Morris jr. zu haben. Nach allem, was man weiß, war er ein brillanter, aber schüchterner und unbeholfener junger Mann. 13 Es muss ein Schock für ihn gewesen sein, das Internet abstürzen zu lassen und dadurch landesweit zum Futter der Medien zu werden – ein unglückseliger Bösewicht. Diese Demütigung kann ich mir beim besten Willen nicht vorstellen. (Na ja, eigentlich kann ich es doch, zumindest fast – schließlich musste ich einst meine Bar-Mizwa über mich ergehen lassen.)

Ich schreibe in diesem Buch über viele Hacker, aber am stärksten verbunden fühle ich mich Robert, vermutlich aus dem einfachen Grund, dass wir gleich alt sind und aus verblüffend ähnlichen Familienverhältnissen stammen. Ich weiß nicht, ob sich unsere Väter kannten, aber sie arbeiteten beide zur gleichen Zeit bei den Bell Labs in Morristown, New Jersey, und beide waren Mathematiker. Robert und ich besuchten oft »die Labs«. Vielleicht waren wir an den gleichen Tagen, die unter dem Motto »Bring dein Kind mit zur Arbeit« standen, mit unseren Vätern dort zugegen. Wir waren beide ganz besessen vom Betriebssystem UNIX und lasen die dazugehörigen Handbücher zum Vergnügen. Wir studierten beide am College Computerwissenschaften. Und wir erlangten beide den Doktortitel und sind heute ordentliche Professoren. Robert ist Professor für Computerwissenschaften am MIT; ich schlug irgendwann eine andere Richtung ein und wurde schließlich Professor für Rechtsphilosophie an der Yale Law School.

Wir beide, Robert und ich, fanden durch unsere Väter zum Computer. Roberts Vater, Robert Morris senior, installierte anno 1964 ein Remote-Terminal im Farmhaus der Familie in New Jersey. 14 Robert nutzte das Terminal, um sich über die Telefonleitung ins Netzwerk der Bell Labs einzuwählen. Mein Vater installierte zwar kein Terminal bei uns daheim in New Jersey, wo wir in einem Mehrfamilienhaus in Paterson wohnten, aber er brachte mir zahllose Mikrochips, Widerstände, Kondensatoren, Dioden, LEDs und »Breadboards« (wiederverwendbare Steckplatinen für diese elektronischen Bauteile) mit nach Hause. Ich nutzte die diversen Teile für den Bau rudimentärer Computer, mit denen sich einfache mathematische Aufgaben lösen ließen. Unser jährlicher Vater-Sohn-Ausflug war ein Tag auf der Konferenz des IEEE (Institute of Electrical and Electronics Engineers) im heruntergekommenen New York Coliseum in Manhattan, wo ausgemusterte Mikrochips als Beute winkten. Ich wühlte in großen Behältern nach diesen Chips und schleppte sie eilig nach Hause, um sie in meine Breadboards einzubauen, neugierig darauf, was dann wohl passieren würde – wenn überhaupt etwas passierte.

Ein paar Jahre später kam ich durch meinen Schulkameraden Ritchie Seligson erstmals mit der Welt der Computerprogrammierung in Berührung. Eines Tages, wir saßen im Biologieunterricht in der 9. Klasse, bemerkte ich, wie er über einem Computerausdruck brütete. Ritchie berechnete für jeden Freitag jenes Jahres die genaue Zeit des Sonnenuntergangs. Das war eine wichtige Information. Ich ging auf eine jüdische Schule, und der freitägliche Sonnenuntergang markierte den Anfang des Sabbats. Von dem Moment an galten strenge Regeln, die unbedingt einzuhalten waren. Ich aber war verwirrt: Der Zeitplan mit den Uhrzeiten des Sonnenuntergangs war so wichtig, dass er an prominenter Stelle in unseren Gebetbüchern abgedruckt war. Warum also nahm sich Ritchie das Ganze noch mal vor?

> 12345678910

Ich war hin und weg. Ehrlich gesagt wünsche ich mir manchmal, es wäre etwas Eindrucksvolleres oder Raffinierteres gewesen, was mich für das Programmieren begeisterte. Aber dafür brauchte es tatsächlich bloß eine kurze Codezeile, die dafür sorgte, dass die Zahlen 1 bis 10 auf dem Bildschirm erschienen. Für das nächste Jahrzehnt war das Programmieren mein Ein und Alles.

In der Highschool kam Robert, anders als ich, mit dem Hacken in Berührung. Sein Vater war Experte für Kryptografie, die Wissenschaft der Verschlüsselung von Informationen bzw. der sicheren Kommunikation mithilfe von Codes. Er verbrachte viele Stunden damit, sich mit Robert über Computersicherheit zu unterhalten. Mein Vater dagegen war Fachmann für Hochspannungsleitungen mit dem Schwerpunkt auf Aufwärtswandlern. Für Cybersicherheit interessierte er sich nicht, und ich auch nicht. (Ehrlich gesagt fand ich auch Aufwärtswandler nicht allzu aufregend.)

Im Gegensatz zu den frühreifen Hackern in diesem Buch fand ich also erst spät den Einstieg ins Thema Cybersicherheit. Alle, über die ich hier schreibe, begannen schon als Heranwachsende mit dem Einbrechen in fremde Computer – üblicherweise waren sie um die vierzehn Jahre alt. Ich war schon immer ein Spätzünder. Meinen ersten Computer hackte ich mit zweiundfünfzig Jahren.

• • •

Die späten 1970er-Jahre waren für einen Heranwachsenden und Sohn eines Elektroingenieurs keine schlechte Zeit. Wir standen an der Schwelle zur Revolution durch den PC, es war der aufregende Moment, als Start-ups wie Apple und Microsoft den Kampf gegen den Goliath IBM aufnahmen und ihre Mikrocomputer und Software direkt an die Kunden verkauften. Den TRS-80 in meinem Biologieraum gab es bei RadioShack zu kaufen, 15 einer landesweiten Kette von Elektronikmärkten, die heute nur noch als Onlinehändler existiert. Das erste Mal in der Weltgeschichte konnte jeder in einen Laden gehen und einen Allzweck-Digitalcomputer erwerben. Der TRS-80 wurde im Handel für 399 Dollar verkauft, das entspricht ca. 1700 Dollar im Jahr 2023. 16

Als klar wurde, dass das Programmieren meine Passion war, kauften mir meine Eltern einen Apple II. Dieser Computer kostete im Handel 1298 Dollar, was heute ca. 5500 Dollar wären, und da waren Monitor, Diskettenlaufwerk oder Drucker noch nicht einmal mit dabei – lediglich vier Kilobyte Arbeitsspeicher (RAM). Zum Vergleich: Mein iPhone hat heute vier Gigabyte RAM, also eine Million Mal mehr (4000000000 Byte gegenüber 4000 Byte). Alles andere war provisorisch zusammengestückelt. Ich benutzte einen alten Schwarz-Weiß-Fernseher als Monitor, der 40 Zeichen pro Zeile anzeigen konnte. (Apple verkaufte eine Videokarte, mit der sich die Bildschirmbreite auf 80 Zeichen verdoppeln ließ, aber meine Eltern zogen bei 40 die Grenze.) Programme speicherte ich auf den Bändern von Audiokassetten. 17 Zum Laden eines Programms spulte ich das Band mit diesem irritierenden, jaulenden Geräusch – ähnlich wie früher die Faxgeräte – ab und spielte damit den Code direkt auf den Apple II auf. Erstaunlicherweise funktionierte das sogar – bei ungefähr einem von drei Versuchen.

In den 1980ern nahm das Ganze deutlich Fahrt auf, als ich gerade meinen Abschluss in Computerwissenschaften am Columbia College machte. Ich verbrachte endlose Tage und Nächte in grell beleuchteten Kellerräumen und programmierte in PASCAL und FORTRAN – uralte Programmiersprachen, die heute kaum noch gelehrt werden. Für kurze Zeit war ich sogar Technologieunternehmer. Ich gründete eine Computerfirma, die originellerweise »Scott Shapiro Consultants« hieß und sich auf den Aufbau von Datenbanken spezialisierte. Zu meinem Kundenkreis zählten die Investmentbank Donaldson, Lufkin & Jenrette sowie der Verlag Time-Life Books. Kenntnisse über den Aufbau einer Datenbank waren damals sehr gefragt.

Doch irgendwann verlor ich das Interesse an Computern. Nach dem College studierte ich Rechtswissenschaften in Yale, dann kehrte ich zurück zur Columbia, wo ich begann, an meinem Doktortitel in Philosophie zu arbeiten. Anfang der 1990er-Jahre beschloss ich, meine Computerfirma aufzugeben, just zu der Zeit, als das World Wide Web erfunden wurde. Ich verlor den direkten Draht zur digitalen Technologie – und damit auch meine Chance, Milliardär zu werden.

Fast drei Jahrzehnte verschwendete ich keinen ernsthaften Gedanken mehr an das Computing. Vor ungefähr sieben Jahren schloss ich dann zusammen mit meiner Mitautorin und Kollegin Oona Hathaway ein umfangreiches Buchprojekt ab, The Internationalists. In dem Buch geht es um die Geschichte des Krieges über den Zeitraum der letzten vier Jahrhunderte und um die diversen Versuche, den Krieg aus der Welt zu schaffen. Die Arbeit an The Internationalists zog eine Menge Fragen über die Zukunft des Krieges nach sich: die nächste Phase, die die Experten »Cyberkrieg« nannten. Markiert der Cyberkrieg eine Abkehr von der herkömmlichen Kriegsführung, oder ist beides letztlich Krieg, nur eben mit unterschiedlichen Waffen? Würden die Regeln des Rechts, die in der Antike aufgestellt und im Laufe der Jahrhunderte immer weiter verfeinert wurden, in der neuen Welt der Cyberkriegsführung irgendeinen Sinn ergeben? Haben die Experten recht, wenn sie den Cyberkrieg als größte Bedrohung für unsere Sicherheit bezeichnen? 18 Angesichts meines umfassenden technischen Hintergrunds in den Computerwissenschaften malte ich mir aus, ich würde sicher nicht lange brauchen, bis ich auf diesem Gebiet schnell vorankommen würde.

Da lag ich allerdings falsch. So was von falsch …

• • •

Genau wie Rip Van Winkle in Washington Irvings Erzählung hatte ich die Revolution verschlafen und wachte ein paar Jahrzehnte danach auf, orientierungs- und ahnungslos. Linux? Apache? Python? JavaScript? Ich hatte keinen Schimmer, was das war. Das Internet existierte zwar schon zu meiner Zeit am College, aber ich nutzte es nur selten. Das World Wide Web wurde 1989 erschaffen, bis dahin gab es also keine Websites, die man hätte besuchen können, und der erste grafische Browser, um Websites anzusteuern, wurde erst 1992 entwickelt. 19 Ich nutzte E-Mail, aber fast ausschließlich für die Kommunikation mit Schul- oder Studienkollegen. Es kam mir schlicht nie in den Sinn, mit jemandem außerhalb der Universität Kontakt aufzunehmen. Soziale Medien, E-Commerce, erschwingliche Mobiltelefone – das war alles noch Zukunftsmusik.

Noch verwirrender war die Welt des Hackings, ein Ort, an dem es von geheimnisvollem Vokabular nur so wimmelte. Honeypots? Sinkholing? Fuzzing? Shellcode? Mimikatz? Evil maid attacks? Was zum Henker ist eine »evil maid attack«?! Das kam mir alles undurchschaubar, unverständlich und unendlich abstrakt vor. Aber mir wurde allmählich immer klarer, dass ich meinen eigentlichen Job, nämlich die Erforschung des Cyberkriegs, nicht würde meistern können, wenn ich diesbezüglich nicht in die Gänge kam.

In Anlehnung an das berühmte (angebliche) Trotzki-Zitat über den Krieg könnte man sagen: Du interessierst dich vielleicht nicht fürs Hacking, aber das Hacking interessiert sich für dich. Hacking ist heute Teil unseres täglichen Lebens. Wissenschaftler schätzen, die Hälfte aller Eigentumsdelikte spielt sich im Internet ab. 20 Kriminalität verwandelt sich langsam, aber stetig in Cyberkriminalität. Vor allem die Privatwirtschaft treiben die in die Höhe schießenden Kosten um. Die Schätzungen der durch Cyberkriminalität entstehenden Verluste schwanken enorm und reichen von 600 Milliarden bis zu 6 Billionen Dollar pro Jahr. 21 Laut Ginni Rometty, der ehemaligen CEO von IBM, ist »Cyberkriminalität die größte Bedrohung für jedes Unternehmen weltweit«. 22 Ironischerweise wurde auch dieses Buch vorübergehend zum Opfer von Cyberkriminalität: Eine Ransomware-Attacke gegen Macmillan, die Muttergesellschaft meines Verlags, sorgte für Verzögerungen im Produktionsablauf. 23 Etwa eine Woche lang wurde mein Buch über das Hacking selbst gehackt.

Betrachten wir zum Vergleich die Spionage. Sie ist ein Kernelement jedes modernen Staates, und die Cyberspionage ist ihre neueste Erscheinungsform. Im Dezember 2020, um nur ein Beispiel aus jüngerer Zeit zu nehmen, berichtete die Washington Post, brach ein Hacker im Staatsauftrag – heute gehen wir vom russischen Geheimdienst aus – in die Server von SolarWinds ein, einem texanischen Unternehmen, das Software zur Überwachung von Computernetzwerken an Firmen und Organisationen verkauft. 24 SolarWinds hat einen riesigen Kundenstamm von 300000 Privatkunden und 32 wichtigen US-Regierungsbehörden, einschließlich Pentagon, Cyber Command, FBI, Finanzministerium sowie die Ministerien für Heimatschutz, Handel und Gesundheit.

Im März 2020 hatte SolarWinds eine Programmkorrektur (»patch«) per Push-Nachricht an die Kunden geschickt, die eigentlich Sicherheitslücken hätte schließen sollen, letztendlich aber Malware bei den Kunden installierte. Dieser Hack, ein sogenannter Supply-Chain-Angriff, infiltrierte 18000 Netzwerke. Betroffen waren nicht nur wichtige Stellen der US-Regierung wie Pentagon, Justiz- und Finanzministerium. Die weltweite Vernetzung von SolarWinds hatte zur Folge, dass auch die NATO, die britische Regierung und das EU-Parlament unter dem Angriff zu leiden hatten. Sogar Microsoft war betroffen. 25 Laut Microsoft-Vorstand Brad Smith waren die SolarWinds-Hacks »der umfassendste und raffinierteste Cyberangriff, den die Welt je erlebt hat«. 26

Ausländische Regierungen sind beileibe nicht die einzigen Hacker, die im Netz ihr Unwesen treiben. 2013 deckte Edward Snowden auf, dass die National Security Agency (NSA) die Bürger Amerikas auf verschiedene Arten heimlich ausspionierte. (Darauf gehe ich weiter unten noch genauer ein.) Es hätte allerdings keines Edward Snowden bedurft, um zu wissen, dass Staaten ihre eigenen Bürger ausspionieren. Die Gesetze in den USA besagen recht klar und eindeutig, dass die NSA und das FBI das Recht haben, die Amerikaner in zahlreichen Situationen zu überwachen. Wie viele von uns wollte auch ich mehr über diese Inlandsüberwachung erfahren. Inwieweit kommt es hier zu Überschreitungen, und wie besorgt oder entrüstet sollte ich deswegen sein? Doch auch hier galt: Ohne genaue Kenntnis der Art und Weise, in der diese Bemühungen real ablaufen und wie die entsprechende Technologie funktioniert, war es schwierig, wenn nicht gar unmöglich, die Sache in den Griff zu bekommen.

Und das betraf nicht nur mich. Ich bin schockiert, wie viele Menschen, Fachleute eingeschlossen, mir erzählt haben, sie hätten nicht die leiseste Ahnung, was Cyberkrieg, Cyberkriminalität und Cyberspionage eigentlich sind. Jahrzehnte nach Anbruch des Internetzeitalters sind alle meine Studenten Digital Natives, die einen beachtlichen Teil ihres Lebens auf dieser oder jener Online-Plattform zubringen. Trotzdem haben die meisten von ihnen keine Vorstellung davon, wie das Internet – oder Computer überhaupt – funktionieren. Viele dieser hoch motivierten, wissbegierigen und fähigen jungen Leute werden später für die Regierung arbeiten und in dieser Funktion Gesetze und Vorschriften entwerfen und implementieren. Andere werden bei Start-ups oder Anwaltskanzleien anheuern, die auch bedeutende Technologiefirmen zu ihren Kunden zählen. Aber wie sollen sie die neue »Bedrohungslandschaft« verstehen, wenn niemand da ist, der sie ihnen erklärt? Selbst wenn sie beruflich in der boomenden Branche der Cybersicherheit unterkommen, kann es gut sein, dass sie niemals etwas über die Grundlagen des Hackings erfahren. Viele auf Cybersicherheit spezialisierte Anwälte, die ich getroffen habe, geben zu, dass sie meistens eigentlich keine Ahnung haben, wovon ihre Klienten reden. Dennoch werden sich ihre Entscheidungen unmittelbar auf die Sicherheit der Unternehmen ihrer Kunden auswirken. Und diese Entscheidungen wirken sich dann wiederum auf uns aus, weil wir unsere Daten diesen Klienten anvertrauen.

Wir leben in einer Informationsgesellschaft, in der Wohlstand, Status und das gesellschaftliche Leben von der Speicherung, Verarbeitung und Übertragung von Informationen abhängen. Inzwischen gibt es weit mehr digitale Geräte als Menschen auf der Welt – mindestens 15 Milliarden Computer gegenüber nur 8 Milliarden Menschen. 27 Zur Sicherheit – individuell, wirtschaftlich, national oder international – gehört notwendigerweise auch eine wirksame Cybersicherheit. 28 Doch wir, die Bürger dieser neuen Informationsgesellschaft, haben fast keine Vorstellung davon, wie unsere Informationen gespeichert, genutzt, geschützt und ausgebeutet werden.

• • •

Ich begann dieses Projekt ausgehend von drei grundsätzlichen Fragen. Erstens wollte ich wissen, warum das Internet so unsicher ist. Ich konnte verstehen, warum das Internet früher einmal unsicher war. Konzipiert wurde es schließlich schon Ende der 1960er-Jahre. Zweifellos mussten einige Kinderkrankheiten ausgemerzt werden. Aber wieso gibt es auch Jahrzehnte später noch so viele Schwachstellen?

Zweitens wollte ich wissen, wie Hacker das tun, was sie tun. Wenn ich auf meinen Computer blickte, sah ich erst einmal nichts weiter als den Log-in-Bildschirm. Und wenn ich mein Passwort nicht wusste, hatte ich eben Pech gehabt. Wie konnten Hacker am anderen Ende der Welt das Sicherheitssystem meines Computers umgehen und meine Daten klauen?

Und drittens wollte ich wissen, was man dagegen tun kann. Da ich die Kernproblematik des Ganzen nicht durchschaute, war ich natürlich auch nicht in der Lage, überhaupt an Lösungen zu denken. War die Sicherheit im Internet schlicht eine Frage stärkerer Passwörter? Oder der Benutzerkompetenz? Wenn die Leute verstehen, wie Computer funktionieren, werden sie dann eine bessere »Cyberhygiene« an den Tag legen und weniger anfällig für Cybercrime werden? Eine weitere Möglichkeit wäre, bessere Technologien zu entwerfen, etwa leistungsstärkere Antivirensoftware und stärkere Verschlüsselung, damit unsere Daten vertraulich bleiben. 29 Noch extremer wäre es, gigantische nationale Firewalls hochzuziehen, um Malware am Überschreiten internationaler Grenzen zu hindern – auf ganz ähnliche Weise schotten sich China und Russland vor online verfügbaren politischen Inhalten ab. Ich war sogar offen für die Möglichkeit, dass unsere gegenwärtigen Probleme derart unlösbar sind, dass wir das Internet von Grund auf neu entwerfen und aufbauen müssen, und zwar mit der Cybersicherheit als oberster Priorität.

Das Aufwachen aus meinem langen digitalen Schlummer war mit der Rückbesinnung auf die Grundlagen verbunden. Ich musste C (eine standardmäßige Programmiersprache) und den x86-Assemblercode (eine irritierende, aber sehr leistungsstarke Programmiersprache) ganz neu lernen, weil es dreißig Jahre her war, dass ich das letzte Mal damit gearbeitet hatte. Ich erlernte Linux, ein frei zugängliches Betriebssystem auf UNIX-Basis – UNIX kannte ich noch aus meiner Studentenzeit. Und ich musste irgendwie durchschauen, wie das Internet funktionierte.

Aber mit diesen Grundkenntnissen kam ich nur ein gewisses Stück voran. Ich musste herausfinden, wie man »den Kernel hacken« konnte. Der »Kernel«, der Systemkern, ist der innerste Teil des Betriebssystems, der Heilige Gral des Hackens. Wem der Kernel »gehört«, dem gehört auch das Betriebssystem. Also belegte ich als Gasthörer einen Graduiertenkurs über Betriebssysteme an der Fakultät für Informatik in Yale, wo ich lernte, wie man einen Kernel aufbaut. Ich wurde zum regelmäßigen Besucher wichtiger Hackerkonferenzen wie DEFCON, Black Hat und Enigma. Ich meldete mich bei Cyber-Bootcamps für Systemadministratoren an. Und ich hackte die Website der juristischen Fakultät in Yale – ein Kunststück, von dem mein Dekan gar nicht begeistert war.

Ich vertiefte mich auch in die Geschichte des Hackens. Dabei führte ich mir nicht nur Berge von Medieninhalten und technischen Berichten über die letzten fünfzig Jahre des Hackens zu Gemüte, ich musste auch die Schadprogramme entschlüsseln, die bei diesen Hacks verwendet wurden. Deshalb heuerte ich Daniel Urke an, einen blitzgescheiten studentischen Forschungsassistenten, der mir helfen sollte. Zusammen brüteten wir über den vielen Tausend Zeilen Malware-Code, die die schlimmsten Hacks der Geschichte erst möglich machten.

Die dabei untersuchte Malware liefert Beispiele für das, was ich als Downcode bezeichne. Downcode ist technischer Computercode. Stellen Sie sich ihn vor als den Code, der gewissermaßen unter unseren Fingerspitzen liegt, wenn wir an der Computertastatur etwas eingeben. Downcode reicht von dem in Mikrochips eingebetteten Mikrocode über die Gerätetreiber, die mit Ihrem Drucker geliefert werden, und Betriebssysteme wie Windows, Linux oder iOS, dazu gehört aber auch Anwendungscode, geschrieben in höheren Programmiersprachen wie C und Java, sowie Website-Code, der JavaScript und SQL verwendet, und Kommunikationssoftware, die mit Netzwerkprotokollen wie TCP/IP und HTTPS arbeitet. (Keine Bange: Auf die ganzen Akronyme gehe ich weiter unten im Buch noch ausführlich ein.)

Wenn Downcode das ist, was sich unter unseren Fingerspitzen befindet, dann ist der Befehl, den wir mit den Fingern eintippen, der Upcode, logischerweise das, was sich über diesen Fingern abspielt – vom inneren Wirken des menschlichen Gehirns bis zu den äußeren gesellschaftlichen, politischen und institutionellen Kräften, die die Welt um uns herum definieren. Upcode umfasst die geistigen Codes, die das Denken und Verhalten des Menschen von innen heraus bestimmen, und die kulturellen Codes, die – oftmals unsichtbar – von außen auf uns einwirken: individuelle Moralvorstellungen, religiöse Rituale, gesellschaftliche Normen, Gesetze und Vorschriften, Unternehmensrichtlinien, Berufsethos, Nutzungsbedingungen von Websites. Downcode wird von Computern ausgeführt, Upcode von Menschen.

Wenn ich herausfinden wollte, wie Hacken geht, genügte es nicht, mich mit dem Downcode für das Hacken zu beschäftigen. Ich musste auch den Upcode verstehen – nicht nur die formalen Regeln, die das Hacken von oben regulieren, sondern die Normen, die die Hacker informell entwickelt haben, die außergewöhnlichen Neigungen des menschlichen Verstands, und die Anreize, die den Softwaremarkt bestimmen.

Upcode ist aus einem sehr einfachen Grund entscheidend für das Verständnis des Hackens: Der Upcode formt den Downcode. Bill Gates hat Windows nicht entdeckt – Microsoft, sein Unternehmen, hat Windows entwickelt. Die 50 Millionen Codezeilen von Windows 10 sind das Produkt von Microsoft-Beschäftigten, die damit auf zahlreiche Ebenen von Upcode reagierten. 30 Die Programmierer arbeiteten für Microsoft, weil die Firma ein stimulierender und renommierter Arbeitgeber ist (soziale Normen); sie wurden von ihren Managern angewiesen, den Downcode zu entwickeln (Unternehmensrichtlinien); sie wurden für ihre Arbeit bezahlt, weil Microsoft die Urheberrechte am Downcode besitzt und damit Erträge generiert (Gesetze und Regeln); sie gingen jeden Tag zur Arbeit für eine Kombination aus persönlichen Motiven und gesellschaftlichen Normen und Erwartungen (individuelle Moralvorstellungen); und sie waren in der Lage, sich an Pläne zu halten, weil Menschen sehr gute Planer sind (Psychologie). Mit anderen Worten: Der Upcode formt den Downcode, weil Upcode das menschliche Verhalten bestimmt und Downcode ein Produkt dieses menschlichen Verhaltens ist.

Neben Upcode und Downcode studierte ich auch die Philosophie des Computings. Hacker hacken, wie ich zeigen werde, nicht einfach bloß Downcode – sie machen sich philosophische Prinzipien zunutze, die ich als »Metacode« bezeichne. Metacode bezieht sich auf jene fundamentalen Prinzipien, die alle Formen der Berechnung steuern. Sie bestimmen, was Rechnen ist und wie es zu funktionieren hat. Anders ausgedrückt: Metacode ist der Code für Code – der Code, der »ausgeführt werden« muss, bevor Computerinstruktionen ausgeführt werden können.

Metacode wurde entdeckt von Alan Turing, dem genialen Mathematiker, dessen tragische Lebensgeschichte der Oscar-prämierte Film The Imitation Game – Ein streng geheimes Leben erzählt. Turing ist vor allem dafür bekannt, dass er während des Zweiten Weltkriegs zum Knacken des Enigma-Codes der Deutschen entscheidend beitrug, sowie für die Entwicklung eines Tests für die künstliche Intelligenz, den wir heute als »Turing-Test« kennen. 31 Der Turing-Test behauptet, dass ein Computer über Intelligenz verfügt, wenn er einen Menschen dazu verleiten kann, ihn für menschlich zu halten. Trotz der vielen großen Leistungen, die er für sein Land und für die Menschheit erbracht hat, wurde Turing von der britischen Regierung wegen seiner Homosexualität juristisch verfolgt und bestraft. Er starb 1954 durch Suizid, indem er einen mit Blausäure vergifteten Apfel aß.

1936, als er seinen bahnbrechenden Artikel »On Computable Numbers« veröffentlichte, war Alan Turing erst vierundzwanzig Jahre alt. In dem Text legt er die Grundlagen des Metacodes dar. 32 Turing zeigte beispielsweise, dass das Rechnen ein physikalischer Vorgang ist. Wenn ein Taschenrechner 2 + 2 addiert, wenn Amazon.com seine Datenbank nach einem Buch durchsucht, wenn der Telefonanbieter Ihren Anruf mit der gewählten Nummer verbindet oder sogar wenn Ihre Sehrinde im Gehirn die Worte verarbeitet, die Sie gerade lesen, laufen physikalische Mechanismen ab: Schaltkreise werden geschlossen, Lichtimpulse werden gesendet, neurochemische Reaktionen spielen sich ab, und noch vieles mehr.

Aufbauend auf der Erkenntnis, dass das Rechnen ein physikalischer Vorgang ist, demonstrierte Turing, wie man eine physikalische Rechenmaschine bauen könnte, einen Computer also. Solange eine Maschine bestimmte einfache Aufgaben ausführen kann, etwa das Lesen und Schreiben von Symbolen, kann die Maschine auch ein lösbares Problem lösen. 33 Aber Turing machte eine noch viel tiefgründigere Entdeckung. Er bearbeitete nicht nur Metacode, um einen Computer zu erzeugen, der bestimmte Probleme zu lösen vermochte – er zeigte, wie man einen programmierbaren Computer bauen konnte, der in der Lage war, jedes lösbare Problem zu lösen.

Ohne Turings Metacode hätte es, wie wir noch sehen werden, die Entwicklung unserer digitalen Welt gar nicht gegeben. Es gäbe keine Computer, die dazu fähig sind, den Code auszuführen, mit dem wir sie füttern bzw. den wir in sie laden. Metacode macht das Internet möglich, Websites, E-Mail, soziale Medien, iPhones, Laptops, Pixar-Filme, die »Gig Economy«, Präzisionslenkraketen, Raumschiffe, E-Books, Videospiele, Bitcoin, Zoom-Konferenzen, PowerPoint-Präsentationen, Tabellenkalkulation, Textverarbeitung, intelligente Toaster – und selbst meinen armseligen, aber mir ans Herz gewachsenen Apple II mit einem Kassettenrekorder als Speichermedium.

Genau die Prinzipien, die unsere digitale Welt erst möglich machen, ermöglichen jedoch auch das Hacken. Hacker missbrauchen nicht einfach bloß Downcode und nutzen Upcode aus – sie machen sich auch Metacode zunutze. Wie wir noch sehen werden, erzeugte Robert Morris seinen Wurm, um genau diese pragmatischen Grundlagen des Rechnens zu manipulieren. Tatsächlich nutzte er den Metacode mit so großem Erfolg, dass er zum ersten Hacker wurde, der das Internet zum Einsturz brachte.

• • •

Das überraschendste Ergebnis meines ausgedehnten, ja fieberhaften Eintauchens in die Technologie, Geschichte und Philosophie des Hackens ist für mich, dass ich nicht in Panik verfalle. Ganz im Gegenteil bin ich zu dem Schluss gekommen, dass vieles von dem, was über das Hacken gesagt wird, entweder falsch, irreführend oder übertrieben ist. Ich beschloss, dieses Buch zu schreiben, weil ich alles, was ich entdeckt hatte, ziemlich aufregend fand. Aber ich wollte es auch schreiben, um mit diesen Fehleinschätzungen aufzuräumen.

Die landläufige Vorstellung von einem Hacker ist ein typisches Beispiel dafür. Politiker und Experten erwecken den Eindruck, Hacking wäre ein unsichtbarer, verwerflicher Akt, ausgeführt von brillanten, abgedrehten jungen Männern, die den ganzen Tag in Kapuzenpullis oder Pyjamas rumlaufen, im Keller ihres Elternhauses leben und sich ausschließlich von Red Bull ernähren. Der gleichnamige Star der Fernsehserie Mr. Robot beispielsweise ist ein psychisch kranker Hacker, der an einer multiplen Persönlichkeitsstörung leidet.

Die Wahrheit ist, wie ich erfahren habe, viel banaler. Das Hacken zählt nicht zu den dunklen Künsten, und diejenigen, die es praktizieren, sind weder übergewichtige Hexenmeister noch Inselbegabungen. Und sie sind auch keine anonymen Schattengestalten. Hacker haben Namen und Gesichter, Mütter und Väter, Lehrer, Kumpel, Freundinnen, Lieblingsfeinde, Kollegen und Rivalen. Wir kennen sie aus dem Alltag: unreife Teenager, gelangweilte und unterforderte Ingenieure, Kleinkriminelle, Supergeeks und Staatsangestellte, die morgens um neun ihren Arbeitstag beginnen und nachmittags um fünf Feierabend machen. Zugegeben, die Hacker, denen wir in diesem Buch begegnen werden, sind tendenziell schon etwas schräg und eigenartig drauf. Sonderlinge. Aber sind wir das nicht alle irgendwie?

Cyberkriminalität ist ein Geschäft, und Geschäfte sind dazu da, Profit abzuwerfen. 34 Cyberkriminelle haben es nicht darauf abgesehen, Ihre E-Mails zu lesen oder Sie via Webcam heimlich beim Zubereiten des Abendessens zu beobachten. 35 Im Großen und Ganzen sind es vernünftige Menschen, die einfach nur ihren Lebensunterhalt verdienen wollen. Natürlich können sie bösartige Dinge tun, etwa Ihre Kreditkarteninformationen stehlen oder Ihre Daten verschlüsseln, aber sie wollen keine wertvolle Zeit damit zubringen, in ausgerechnet Ihren Computer einzubrechen. Wenn Sie auch nur minimale Vorsichtsmaßnahmen ergreifen, zum Beispiel indem Sie von Links die Finger lassen, die Ihnen unbekannte Absender geschickt haben, wird ein gewöhnlicher Cyberkrimineller wahrscheinlich zu dem Schluss kommen, dass das Eindringen in Ihren Computer nicht der Mühe wert ist.

Die Medien schüren unsere Cyber-Unsicherheit noch zusätzlich mit allerlei Horrorgeschichten. Als das US-Heimatschutzministerium 2019 bekannt gab, dass mehrere gängige Herzschrittmacher anfällig für Hackerangriffe sind, obwohl noch kein einziger Fall in der Praxis vorgekommen war, begann die Website Healthline ihren Bericht mit einer beängstigenden Warnung: »Kriminelle können Ihr Herz hacken.« 362017 berichtete CNN von einem deutschen Teenager, der eine Schwachstelle einer in bestimmten Tesla-Modellen installierten App nutzte und auf diese Weise einige nicht mit dem Fahren in Zusammenhang stehenden Features des Fahrzeugs manipulieren konnte, beispielsweise die Türverriegelung und das Licht. 37 Die Medien überschlugen sich geradezu, als Forscher 2016 verlauten ließen, sie hätten den We-Vibe gehackt – den weltweit ersten »intelligenten Dildo«. Sie konnten auf diese Weise den Vibrator ohne Einverständnis der Benutzerin steuern (und damit möglicherweise eine schreckliche Form von Sexualverbrechen aus der Ferne begehen).

Das alles sind erschreckende Szenarien. Produkte mit solch klaffenden Sicherheitslücken sollten gar nicht erst auf den Markt kommen. Einige Kriminelle hacken bloß aus Spaß an der Freude oder weil sie es sich selbst beweisen wollen. Andere haben tatsächlich finstere Absichten. Aber beim weitaus größten Teil der Cyberkriminalität geht es schlicht ums Geld. Ob Schwachstellen ausgenutzt werden, hängt also in der Regel davon ab, ob sich damit Geld verdienen lässt. Und oftmals ist das eben nicht der Fall. Wer seinen Lebensunterhalt damit verdienen will, medizinische Geräte oder Sexspielzeug am anderen Ende der Welt zu hacken, wird einen schweren Stand haben.

Das Thema, das meine Faszination für das Hacking geweckt hat – Cyberkrieg –, ist besonders anfällig für Hypes. Seit Jahrzehnten warnen uns Gefahrenanalysten und Hollywoodfilme vor einem sogenannten »digitalen Pearl Harbor« oder einem Cyber-9/11. 38 Hacker, so erzählt man uns, können die militärischen Netzwerke des Pentagon zum Erliegen bringen, Explosionen in Ölraffinerien auslösen, Chlorgas aus Chemiefabriken freisetzen, Flugzeuge und Hubschrauber durch Deaktivieren der Flugsicherung abstürzen lassen, Finanzdaten aus dem Bankensystem löschen und Amerika in die Dunkelheit stürzen, indem sie das Stromnetz ausschalten und dabei Tausende Menschen töten. In den Worten von David Sanger, einem Journalisten der New York Times, ist eine Cyberwaffe »die perfekte Waffe«. 39 Der Cyberkrieg ist unausweichlich, so warnen uns die Experten. Wir können ihn gar nicht verhindern; wir können uns höchstens darauf vorbereiten.

Zum Glück sieht die Wahrheit weniger dramatisch aus. 40 »Exploits« sind keine perfekten Waffen, ganz im Gegenteil: Es sind hyperspezialisierte Waffen, die sich an denselben Kompatibilitäts- oder Interoperabilitätsproblemen die Zähne ausbeißen wie wir alle. Genau wie eine App, die zwar auf dem iPhone, nicht aber auf einem Android-Handy funktioniert, wird auch Malware, die auf einem Windows-Rechner funktioniert, fast niemals bei einem Mac funktionieren. 41 Entsprechend sind Attacken, die mit Acrobat 9.3 erstellte PDFs infiltrieren können, möglicherweise wirkungslos gegen PDFs ab Version Acrobat 9.4. Aus alledem folgt, dass ein erfolgreicher systemischer Angriff auf die digitale Infrastruktur eines Hochtechnologielands wie den USA, mit ihrer enormen Vielfalt an Computern, Betriebssystemen, Netzwerkkonfigurationen und Anwendungen, nicht nur ein Cyberarsenal unvorstellbaren Ausmaßes erfordern würde: Für einen massiven digitalen Ausfall bräuchte der Angreifer zudem überirdisch großes Glück.

Der Alarmismus ist bis zu einem gewissen Grad unvermeidlich. Viele Kreise haben ein Interesse daran, Cybergefahren zu übertreiben. Autoren verkaufen Bücher, Journalisten verdienen an jedem Klick, Firmen wollen ihre Waren verhökern, Berater bieten ihre Dienste feil, und Behördenvertreter passen auf, dass an ihnen nichts hängen bleibt. Auf Sensation getrimmte Cyberkrieg-Szenarien erregen Aufmerksamkeit und sorgen für spannende Unterhaltung. Horrorgeschichten über Technologie, die aus dem Ruder läuft und sich gegen ihre Schöpfer wendet, sind ein fester Bestandteil der modernen Literatur und des Kinos – das begann schon mit Mary Shelleys Klassiker Frankenstein, erschienen anno 1818.

Die spezielle Sprache der Cybersicherheit, deren einprägsame Metaphern sich um Verseuchung und Krankheiten drehen, macht die Sache nicht besser. Softwarefehler kennen wir als Bugs (Wanze, Ungeziefer). Malware besteht aus Viren und Würmern. Ansteckender Code repliziert und verbreitet sich über Infektionsvektoren, um auf diese Weise Hosts, gewissermaßen das digitale Pendant zu Wirtstieren, zu kontaminieren. Wenn Schadprogramme von Antivirensoftware entdeckt werden, werden sie unter Quarantäne gestellt und desinfiziert, um weitere Ansteckungen zu verhindern. Diese sprachlichen Anleihen bei der Biologie sind ausgesprochen intuitiv, denn wie wir in Kapitel 3 sehen werden, ähneln viele Arten von Malware durchaus einer biologischen Ansteckung. Aber wenn von Verseuchung und Krankheit gesprochen wird, ruft dies bei uns auch Gefühle des Ekels und der Abscheu hervor. Wir wollen den Kontakt und erst recht eine Ansteckung mit diesem ekligen Etwas unbedingt vermeiden. Wenn wir Malware sprachlich mit Exkrementen, Erbrochenem, Mundgeruch, eitrigen Furunkeln, Müll, verwesendem Fleisch, Ratten, Schaben, Maden und körperlicher Verunstaltung in einen Topf werfen, wird etwas ohnehin Beängstigendes nur noch viel beängstigender.

Bei alledem liegt es mir fern, den Schaden oder die Gefahren des Hackens verharmlosen zu wollen. 2021 wurde Colonial Pipeline, Betreiber des größten Ölpipelinesystems in den Vereinigten Staaten, Opfer eines Ransomware-Angriffs, der über mehrere Tage für Ausfälle bei der Treibstoffversorgung und für einen Anstieg der Spritpreise sorgte. Ransomware wird auch immer wieder zur Geißel von Kommunalbehörden, Krankenhäusern und Schulen. Sie werden in diesem Buch jede Menge Beispiele für zielgerichtete und schädliche Cyberattacken finden.

Genau deshalb sind Experten auf dem Gebiet der Cybersicherheit so wichtig für jedes moderne Unternehmen. Allerdings sind diese Experten nicht selten überlastet, und viele sind auch schlicht unterbezahlt. Depressionen, Angstzustände und Drogenmissbrauch sind ernste Probleme in der Community der Cybersicherheit, wo Spezialisten mit der Aufgabe betraut sind, angegriffene Netzwerke zu beschützen. 42 Laut Schätzungen gibt es auf dem Arbeitsmarkt der Cybersicherheit sage und schreibe 3,5Millionen unbesetzte Stellen. Wenn wir angesichts dieser neuen Bedrohungen des 21. Jahrhunderts wachsam bleiben wollen, müssen wir hier die klaffende Lücke zwischen Angebot und Nachfrage dringend schließen.

Aber eine Übertreibung des Risikos ist der Sache nicht dienlich. Indem die Community der Cybersicherheit uns in Angst und Schrecken versetzt, hat sie ungewollt das hervorgerufen, was Psychologen als »erlernte Hilflosigkeit« bezeichnen. 43 Wenn wir das Gefühl haben, keine Kontrolle über unsere Lebensumstände zu haben, wenn nichts, was wir tun, einen Unterschied zu machen scheint, sind wir paralysiert wie das Kaninchen vor der Schlange und nicht in der Lage, selbst die kleinsten Schritte zu unternehmen, die es braucht, um sich aus der Gefahrenzone zu begeben. Dieses Gefühl hilfloser Resignation ist einer der Gründe, warum Computernutzer eine so mangelhafte Cyberhygiene praktizieren, indem sie zum Beispiel auf Links in E-Mails von Absendern klicken, die sie gar nicht kennen, oder indem sie sechsstellige Passwörter verwenden, die mit 1 beginnen und mit 6 enden. Warum soll ich bei E-Mails auf Nummer sicher gehen oder ein ellenlanges Passwort verwenden, wenn das Armageddon ohnehin hinter der nächsten Ecke lauert?

• • •

Bücher über Cybersicherheit, und an diesen herrscht gewiss kein Mangel, fallen tendenziell in eine von zwei möglichen Kategorien. Entweder sie pflegen einen trockenen und freudlosen Stil à la »Mach brav deine Hausaufgaben«, oder sie kommen atemlos sensationslüstern daher, nach dem Motto »Rette sich wer kann, und zwar sofort!«. Von Hackern lernen ist ein Versuch, diese beiden Extreme zu vermeiden. Es ist kein Handbuch und keine Bedienungsanleitung, und es ist auch kein Werk voller finsterer Prophezeiungen. Meine Hoffnung ist, dass es die Leserinnen und Leser mit den notwendigen Fähigkeiten und Kenntnissen ausstattet, damit sie die drei Fragen beantworten können, die mein eigenes Interesse an diesem Thema geweckt haben: Warum ist das Internet so verwundbar? Wie machen sich Hacker diese Schwachstellen zunutze? Was können Unternehmen, Staaten und wir alle als Reaktion darauf tun?

Ich bearbeite diese Fragen anhand von fünf Geschichten über berühmte Hacks. 44 Das Buch beginnt mit dem ersten Internet-Hack überhaupt; dem uns schon bekannten »Morris-Wurm«, den der damalige Cornell-Student Robert Morris jr. eigentlich als raffiniertes wissenschaftliches Experiment konzipiert hatte, das aber böse endete, versehentlich das Internet zum Erliegen brachte und in der ersten strafrechtlichen Verurteilung wegen Hackens kulminierte. Von dort geht es weiter zu jener unerwiderten Liebe, die die erste mutierende Virus-Engine hervorbrachte. Ein bulgarischer Hacker mit dem Nickname »Dark Avenger« komponierte einen Virus als Liebesbrief an Sarah Gordon, Forscherin auf dem Gebiet der Cybersicherheit – ein abgedrehter Liebesbeweis, der schon bald drohte die noch junge Antivirenbranche lahmzulegen. Der dritte Hack hat noch mehr Drama zu bieten. Wir erleben, wie ein Sechzehnjähriger aus South Boston das Mobiltelefon der Hotelerbin und Berufsprominenten Paris Hilton knackte, dann die darauf gefundenen Nacktfotos ins Netz stellte, was zur Folge hatte, dass Paris Hilton beschuldigt wurde, einen ähnlichen Hack gegen ihre Promi-Rivalin Lindsay Lohan angeleiert zu haben. Von dort geht es weiter mit der Geschichte von Fancy Bear, einer Hackergruppe innerhalb des russischen Militärgeheimdienstes, die in das Rechnernetzwerk des Democratic National Committee (DNC) in den USA eindrang und mit einiger Wahrscheinlichkeit Donald Trump zur Wahl zum Präsidenten der Vereinigten Staaten verhalf. Und schließlich möchte ich erläutern, wie ein Student von der Rutgers University das »Mirai botnet« entwarf, einen riesigen, verteilten Hacking-Supercomputer, um sich um sein Mathematikexamen herumzumogeln und das Onlinespiel Minecraft zu stören, und wie er dabei beinahe das Internet zerstörte.

Im Lauf der intensiven Beschäftigung mit diesen fünf legendären Hacks werde ich auch die Technologie offenlegen, die diese Hacks möglich machte. Ich habe die Hoffnung, diese wahren Fälle der Kriminalgeschichte – einige davon versehentlich entstanden, einige nicht – mögen der Leserschaft, die bisher wenig bis gar kein Interesse an Technologie entwickelt hat, als Denkanstoß dienen und ihr das Rüstzeug verschaffen, solchen Geschichten über die Headlines hinaus auf den Grund zu gehen. Zugleich veranschaulichen diese fünf Geschichten präzise meine Botschaft, weil sie zeigen, dass die interessantesten Fragen, mit denen uns unsere aufgewühlte neue Welt konfrontiert, wenig bis gar nichts mit der Technologie als solcher zu tun haben. Wenn wir verstehen wollen, was in der Cyberwelt in großem Maßstab vor sich geht und warum unsere Netze unsicher bleiben, müssen wir vor allem die Menschen und die Normen und institutionellen Kräfte im Blick behalten, an denen sich diese Menschen orientieren. Im Verlauf des Buchs werde ich immer wieder zwischen den Eigenheiten menschlicher Entscheidungsfindung und diesen übergeordneten Kräften hin- und herwechseln. Ich will erläutern, wieso der Markt nach wie vor minderwertige Software produziert und wie der Gesetzgeber den Cyberspace in einen riesigen Bereich der Straflosigkeit verwandelt hat, und ich werde die philosophischen Fundamente der Welt des Rechnens aufdröseln. Upcode, Downcode und Metacode interagieren die ganze Zeit. Ich werde meinen Fokus jedoch vor allem auf die Menschen richten. Beim Hacken geht es um Menschen, und genau unter diesem Aspekt will ich das Thema in Angriff nehmen.

1. DER GROSSE WURM

Als Robert Morris jr. seinen Wurm gegen 20 Uhr freiließ, hatte er keine Ahnung, dass er damit ein Verbrechen begangen haben könnte. Seine Sorge an jenem Abend galt allenfalls einer möglichen Reaktion anderer Geeks: Viele UNIX-Administratoren würden stinksauer werden, sobald sie merkten, was er angestellt hatte. Cliff Stoll, ein Experte für Computersicherheit in Harvard, drückte es gegenüber der New York Times so aus: »Es gibt keinen einzigen Systemadministrator, der sich da nicht die Haare raufen würde. Das verursacht allergrößte Kopfschmerzen.« 1 Als der Wurm erstmals auftauchte, wussten die Administratoren nicht, warum er lanciert worden war und welchen Schaden er anrichtete. Sie befürchteten das Schlimmste: dass der Wurm nämlich die Dateien auf den von ihm infizierten Rechnern löschen oder beschädigen würde. (Dem war nicht so, wie sie bald feststellten.)

Nachdem er seinem Freund Paul Graham gestanden hatte, er hätte »Scheiße gebaut«, war Robert klar, dass er etwas unternehmen musste. Dummerweise konnte er keine warnenden E-Mails verschicken, weil Dean Krafft angeordnet hatte, alle Rechner der Abteilung vom Hauptnetzwerk des Campus – und damit vom öffentlich zugänglichen Internet – zu trennen. Um 2:30 Uhr rief Robert Andy Sudduth an, den Systemadministrator des Aiken Computation Lab in Harvard, und bat ihn, eine Warnung an andere Administratoren zu schicken, zusammen mit Anweisungen, wie sie ihre Netzwerke schützen konnten. Er war zwar noch nicht bereit, sich zu outen, aber Robert wollte zumindest seine Reue wegen des von ihm verursachten Ärgers zum Ausdruck bringen. Andy verschickte die folgende Nachricht: 2

From: foo%[email protected]

To: tcp-ip@SRI-NIC

Date: Thu 03:34:1303/11/1988EST

Subject: [Kein Betreff]

Mögliche Virusmeldung:

Möglicherweise ist ein Virus im Internet unterwegs.

Ich habe eine Nachricht erhalten, die sinngemäß besagt:

Es tut mir leid.

Einige Maßnahmen zur Eindämmung der weiteren Verbreitung:

1) fingerd nicht ausführen oder so korrigieren, dass es beim Lesen von Argumenten nicht zum Stapelüberlauf kommt.

2) sendmail ohne DEBUG neu kompilieren

3) rexecd nicht ausführen

Ich hoffe, das hilft, aber noch mehr hoffe ich, dass sich das Ganze als schlechter Scherz herausstellt.

Andy wusste, dass der Wurm kein Scherz war, und er wollte nicht, dass die Nachricht zu ihm zurückverfolgt werden konnte. Er hatte sich in der Stunde davor eine Möglichkeit ausgedacht, die Nachricht anonym zu verschicken, und beschlossen, sie von der Brown University aus an einen gängigen Mailinglisten-Server mit einem erfundenen Benutzernamen (foo%bar.arpa) als Absender zu schicken. Bis 3:34 Uhr damit zu warten war allerdings eine unglückliche Entscheidung. Der Wurm vermehrte und verbreitete sich derart schnell, dass er die für die Kommunikation im Internet zuständigen Router verstopfte. Andys Nachricht steckte in einem digitalen Verkehrsstau und erreichte ihr Ziel erst mit 48 Stunden Verspätung. 3 Die Systemadministratoren mussten selbst sehen, wie sie klarkamen.

Am 3. November – und inzwischen rauften sich die Administratoren ganz gewiss die Haare – blieb Robert daheim in Ithaca, machte seine Hausaufgaben – und einen großen Bogen ums Internet. Um 23 Uhr rief er Paul an und fragte nach den neuesten Entwicklungen. Zu seinem großen Entsetzen berichtete Paul, der Internet-Wurm wäre die große Nummer in den Medien. Die Abendnachrichten sämtlicher Fernsehsender brachten die Story als Aufmacher; Robert hatte davon nichts mitbekommen – er besaß gar keinen Fernseher. Zeitungsreporter telefonierten auf der Suche nach dem Übeltäter den ganzen Tag herum. Die New York Times brachte die Geschichte auf der Titelseite. Auf die Frage, was Robert nun zu tun gedenke, antwortete er: »Wenn ich das nur wüsste.«

Zehn Minuten später wusste er es: Er musste den für Cybersicherheit zuständigen Chefwissenschaftler bei der National Security Agency (NSA) anrufen. Er nahm den Hörer in die Hand und wählte eine Nummer in Maryland. Eine Frau ging ans Telefon. »Kann ich meinen Dad sprechen?«, fragte Robert. 4

DIE URGESCHICHTE DER CYBERSICHERHEIT

Sicherheitsexperten hatten schon lange mit Cyberattacken gerechnet – sogar schon vor der Erfindung des Internets. Die NSA veranstaltete die erste Podiumsdiskussion zur Cybersicherheit im Jahr 1967, zwei Jahre bevor die erste Verbindung im ARPANET, dem Prototyp des Internets, erzeugt wurde. Abgehalten wurde die Konferenz in Atlantic City, das heute fast ausschließlich für seine Casinos bekannt ist. 5

Die Sorgen der NSA wuchsen mit der Evolution der Computersysteme. Vor den 1960er-Jahren waren Computer gigantische Maschinen, die in eigenen Räumen untergebracht waren. Zur Übermittlung eines Programms – oder »jobs«, wie das damals hieß – übergab ein Benutzer einen Stapel Lochkarten an einen Computeroperator. Der Operator sammelte diese Jobs in »batches« (Stapeln) und ließ sie einen nach dem anderen durch ein Kartenlesegerät laufen. Ein zweiter Operator nahm die vom Lesegerät aufgenommenen Programme und speicherte sie auf großen Magnetbändern. Anschließend wurde der Computer mittels dieser Bänder mit den Programmstapeln gefüttert, die dann von einem weiteren Operator verarbeitet wurden. Der Computer befand sich oft in einem anderen Raum und war über Telefonleitungen mit dem Rest der Einrichtung verbunden.

In der Ära der Stapelverarbeitung, wie sich das nannte, war Computersicherheit noch ziemlich wörtlich zu nehmen: Der Computer selbst musste gesichert werden. Die klobigen Giganten waren überraschend empfindlich. Der IBM7090, der einen riesigen Raum, fast von der Größe eines Fußballfeldes, am Computation Center des MIT füllte, bestand aus Tausenden zerbrechlicher Vakuumröhren und vielen Kilometern kompliziert geführter Kupferbänder. 6 Diese Röhren strahlten so viel Hitze ab, dass ständig die Gefahr des Schmelzens der Drähte bestand. Der Computerraum am MIT hatte eine eigene Klimaanlage. Diese »Mainframe«-Computer 7  – der Name geht vermutlich darauf zurück, dass die dazugehörige Schaltungstechnik in großen Metallrahmen (Frames) untergebracht war, die zu Wartungszwecken ausschwenkbar waren – waren nicht nur riesig, sie waren auch teuer. Der IBM7094 kostete 1963 stolze 3 Millionen Dollar (das entspricht ca. 30 Millionen Dollar im Jahr 2023). 8IBM räumte dem MIT einen Rabatt ein, vorausgesetzt, es blieben acht Stunden pro Tag für Firmenzwecke reserviert. Der IBM-Chef, der Jachten im Long Island Sound segelte, nutzte den MIT-Computer zur Berechnung der Handicaps bei Jachtrennen. 9

Ausgefeilte bürokratische Regeln legten fest, wer welchen Raum betreten durfte. Nur ganz bestimmte graduierte Studenten hatten die Erlaubnis, dem Batch-Operator Lochkarten zu übergeben. Die Latte für das Betreten des Mainframe-Raums lag noch höher. Die wichtigste Regel von allen besagte, dass niemand mit Ausnahme des Operators den Computer berühren durfte. Sicherheitshalber stand die Maschine oft auch noch hinter einem Absperrseil.

In der Frühzeit des Computing ging es bei der Cybersicherheit mithin um den Schutz der Hardware, nicht der Software – des Computers, nicht des Benutzers. Es gab ja auch keine Notwendigkeit, den Code und die Daten der Benutzer zu schützen. Da der Computer zu jedem Zeitpunkt immer nur einen einzigen Job abarbeiten konnte, hatten die Benutzer keine Möglichkeit, die Daten der anderen einzusehen oder zu stehlen. In dem Moment, in dem der Job eines Benutzers auf dem Computer lief, waren die Daten des Vorgängers schon wieder weg. 10

Die Benutzer allerdings hassten die Stapelverarbeitung inbrünstig. Für Programmierer war es frustrierend, alle anderen Jobs im Stapel abwarten zu müssen, bis sie endlich ihre Ergebnisse bekamen. Noch schlimmer war, dass sie sich für eine erneute Ausführung des Programms, entweder mit Korrekturen am Code oder mit anderen Ausgangsdaten, erneut hinten anstellen mussten, bis der nächste Batch abgearbeitet wurde. So brauchte man in der Regel Tage, nur um einfache Programmfehler zu bereinigen und Programme sauber zum Laufen zu bringen. Und die Programmierer hatten auch keine Möglichkeit, mit dem Mainframe in Interaktion zu treten. Sobald die Lochkarten an den Computeroperator übergeben waren, waren die Programmierer am Prozess nicht mehr beteiligt. Die Stapelverarbeitung hatte, wie es der Computerpionier Fernando »Corby« Corbató beschrieb, »den Glamour und die Aufregung, die du verspürst, wenn du im Waschsalon deine Klamotten ausziehst«. 11

Corby nahm sich vor, daran etwas zu ändern. Zusammen mit zwei weiteren Programmierern entwickelte er 1961 am MIT das CTSS (Compatible Time-Sharing System). 12CTSS war als Mehrbenutzersystem ausgelegt. Die Benutzer speicherten ihre privaten Dateien alle auf dem gleichen Computer. Jeder führte seine jeweiligen Programme eigenständig aus. Anstatt einem Operator Lochkarten in die Hand zu drücken, hatte jeder Benutzer direkten Zugriff auf den Mainframe-Rechner. Sie saßen an ihrem eigenen Terminal, waren über eine Telefonleitung mit dem Mainframe verbunden und agierten als ihr eigener Computeroperator. Wenn zwei Programmierer ihre Jobs gleichzeitig abschickten, griff das CTSS zu einem hübschen Trick: Es führte einen kleinen Teil von Job 1 aus, dann einen kleinen Teil von Job 2, und wechselte dann wieder zurück zu Job 1. So ging die Verarbeitung hin und her, bis beide Jobs erledigt waren. Dieses Umschalten lief beim CTSS so schnell ab, dass die Benutzer die Verschachtelung kaum bemerkten. Jeder konnte sich der Illusion hingeben, den Mainframe für sich alleine zu haben. Corby bezeichnete dieses System als »Time-Sharing«. 13 Bis 1963 hatte das MIT24 Time-Sharing-Terminals eingerichtet, die über das Telefonsystem des Instituts mit dessen IBM7094 verbunden waren. 14

»Die Hölle, das sind die anderen«, brachte es Jean-Paul Sartre in einem berühmten Zitat auf den Punkt. 15 Und weil CTSS ein Mehrbenutzersystem war, erschuf es eine Art Hölle der Cybersicherheit. Zwar waren die Mainframes nun sicher, weil niemand zur Ausführung von Programmen den Computer, Kartenlesegeräte oder Magnetbänder zu berühren brauchte, gefährdet waren dafür aber nun diejenigen, die die Programme produzierten oder nutzten.

Durch die Arbeitsweise des Time-Sharing-Systems entsteht für die einzelnen Benutzer die Illusion exklusiver Nutzung. 16 Das System stellt jeden Job in einen eigenen separaten Speicherabschnitt. Wenn CTSS zwischen Jobs wechselte, schaltete es genau genommen zwischen verschiedenen »physischen« Speicherbereichen hin und her. Das gleichzeitige Laden der Codes und Daten mehrerer Benutzer auf den gleichen Computer optimierte zwar die Nutzung kostbarer Ressourcen, es erzeugte aber auch ein enormes Sicherheitsrisiko. Job Nummer 1, ausgeführt in einem bestimmten Speicherbereich, könnte versuchen, auf den Code oder die Daten im Speicherbereich von Job Nummer 2 zuzugreifen.

Durch das Teilen ein und desselben Computersystems waren Benutzerdaten nun potenziell neugierigen Zugriffen und Blicken ausgesetzt. Zum Schutz ihrer Codes und Daten vergab CTSS jedem einzelnen Benutzer einen Account, der durch einen eindeutigen »Benutzernamen« und ein aus vier Zeichen bestehendes »Passwort« gesichert war. Benutzer, die sich bei einem Account anmeldeten, konnten ausschließlich auf Code oder Informationen im dazugehörigen Adressbereich zugreifen; der übrige Speicherbereich des Computers war verbotenes Gelände. Corby entschied sich für Passwörter zur Authentifizierung, um Platz zu sparen; das Speichern eines nur vier Zeichen langen Passworts verbrauchte nicht so viel kostbaren Computerspeicher wie das Beantworten einer Sicherheitsfrage wie etwa: »Wie lautet der Mädchenname deiner Mutter?« 17 Die Passwörter selbst wurden in einer Datei namens UACCNT.SECRET aufbewahrt. 18

In den frühen Tagen des Time-Sharing ging es bei der Verwendung von Passwörtern weniger um Geheimhaltung und Vertraulichkeit, sondern eher um die Zuteilung von Rechenzeiten. Am MIT standen beispielsweise jedem Benutzer vier Stunden Rechenzeit pro Semester zu. Als der Doktorand Allan Scherr mehr Zeit für sich in Anspruch nehmen wollte, forderte er einfach einen Ausdruck der Datei UACCNT.SECRET an. Sein Druckauftrag wurde angenommen. Anschließend benutzte er die Passwortliste, um sich die Accounts seiner Kollegen »auszuleihen«. Bei anderer Gelegenheit führte ein Softwarefehler dazu, dass anstelle der im Anmeldebildschirm eigentlich üblichen »Message of the Day« die Passwörter jedes einzelnen Benutzers angezeigt wurden. Den Benutzern blieb nichts anderes übrig, als ihre Passwörter zu ändern.

VON MULTICS ZU UNIX

Trotz seiner begrenzten Funktionalität demonstrierte CTSS, dass das Time-Sharing nicht nur technisch möglich war, sondern auch überaus beliebt. Den Programmierern gefielen das unmittelbare Feedback und die Möglichkeit, mit dem Computer in Echtzeit zu interagieren. Ein großes Team aus Leuten vom MIT, den Bell Labs und General Electric beschloss daher, ein komplettes Mehrbenutzer-Betriebssystem als Nachfolger für die Stapelverarbeitung zu entwickeln. Sie tauften es Multics, ein Akronym für »Multiplexed Information and Computing Service«.

Das Multics-Team hatte bei der Konzeption seines Time-Sharing auch die Sicherheit im Blick. Multics war ein Pionier zahlreicher Sicherheitsvorkehrungen, die noch heute in Gebrauch sind – eine davon war die Speicherung von Passwörtern in unlesbarer Form, damit die Benutzer nicht einfach auf Allan Scherrs simplen Trick zurückgreifen konnten. Nach sechsjähriger Entwicklungszeit wurde Multics im Jahr 1969 freigegeben. 19

Das Militär sah Potenzial in Multics. Anstatt für die Verarbeitung frei zugänglicher, vertraulicher, geheimer und streng geheimer Informationen jeweils separate Computer anzuschaffen, konnte das Pentagon nun einen einzigen Rechner kaufen und das Betriebssystem so konfigurieren, dass die Benutzer nur auf die Information zugreifen konnten, für die sie eine Sicherheitsfreigabe hatten. Nach Schätzungen des Militärs wären durch die Umstellung auf Time-Sharing Einsparungen von 100 Millionen Dollar möglich. 20

Die Air Force testete Multics vor der Anschaffung. Der Test war ein Desaster. Es dauerte ganze 30 Minuten, bis man herausgefunden hatte, wie Multics gehackt werden konnte, und weitere zwei Stunden, um ein entsprechendes Programm zu stricken. »Ein böswilliger Benutzer kann mit relativ minimalem Aufwand beliebig in das System eindringen«, lautete das Fazit. 21

Auch die Forschergemeinde war von Multics wenig begeistert. Die Computerwissenschaftler sorgten sich weniger wegen der mangelhaften Sicherheit, ihr Problem war das Design des Systems. Multics war kompliziert und aufgebläht – das typische Ergebnis, das bei einer Entscheidung durch ein Komitee herauskommt. 1969 spaltete sich ein Teil der Multics-Gruppe ab und fing noch einmal von vorne an. Dieses neue Team werkelte unter Leitung von Dennis Ritchie und Ken Thompson im Dachgeschoss der Bell Labs mit einem überschüssigen PDP-7, einem »Minicomputer«, gebaut von der Digital Equipment Corporation (DEC), der nur ein Zehntel des Preises eines IBM Mainframe kostete. 22

Das Team der Bell Labs hatte seine Lektion aus dem Multics-Fehlschlag gelernt: In der Kürze liegt die Würze. Ihre Philosophie sah den Bau eines neuen Mehrbenutzersystems auf der Basis des Konzepts der Modularität vor: Jedes Programm sollte eine einzige Aufgabe gut und richtig erledigen, und anstatt immer weitere Features zu existierenden Programmen hinzuzufügen, sollten die Entwickler einfache Programme zu sogenannten »Scripts« zusammenlegen, die in der Lage sind, komplexere Aufgaben auszuführen. 23 Der Name UNIX begann eigentlich als Wortspiel: Da die frühen Versionen des Betriebssystems nur einen Benutzer – Ken Thompson – erlaubten, witzelte Peter Neumann, ein Sicherheitsexperte bei Stanford Research International, es wäre ein »entmanntes Multics«, also ein »Unics«. Die Schreibweise änderte sich im Lauf der Zeit zu Unix, dann zu UNIX. 24

UNIX war ein enormer Erfolg, als die erste Version davon 1971 fertiggestellt war. 25 Das vielseitige Betriebssystem zog Heerscharen loyaler Nutzer an, die eine nahezu kultische Hingabe an den Tag legten, und es wurde rasch zum Standard in Universitäten und Labors. Tatsächlich hat UNIX seitdem eine weltweite Vormachtstellung erlangt. Macs und iPhones laufen beispielsweise auf einem direkten Abkömmling des UNIX aus den Bell Labs. 26 Die Server von Google, Facebook, Amazon und Twitter laufen auf Linux, einem Betriebssystem, das, wie der Name schon andeutet, explizit nach dem UNIX-Modell konstruiert ist (allerdings wurde es aus Gründen des Urheberrechts mit anderem Code neu geschrieben). Router in Privathaushalten, Alexa-Lautsprecher und »intelligente Toaster« funktionieren ebenfalls auf Linux-Basis. Über Jahrzehnte war Microsoft der einzige große Player, der nicht mitspielen wollte. Bis 2018, als Microsoft sein Windows 10 mit einem vollständigen Linux-Kernel auslieferte. UNIX ist inzwischen so dominant, dass es Teil jedes Computersystems auf dem Planeten geworden ist.

Wie Dennis Ritchie 1979 einräumte: »Als Erstes muss man sich klarmachen, dass, realistisch betrachtet, bei der Entwicklung von UNIX die Sicherheit nicht im Vordergrund stand; schon diese Tatsache allein bedeutet Sicherheitslücken an allen Ecken und Enden.« 27 Einige dieser Schwachstellen waren der Unachtsamkeit geschuldete Programmierfehler. Andere entstanden, weil UNIX den Benutzern mehr Berechtigungen überließ, als diese streng genommen brauchten, auch wenn dies den Benutzern das Leben leichter machte. 28 Thompson und Ritchie bauten das Betriebssystem schließlich zu dem Zweck, Wissenschaftlern das Teilen von Ressourcen zu ermöglichen, nicht um Diebe am Stehlen dieser Ressourcen zu hindern.

Der Downcode von UNIX wurde somit vom Upcode der wissenschaftlichen Community geformt – ein Upcode, zu dem der Wettstreit um möglichst einfache Betriebssysteme ebenso gehörte wie ausgeprägte kulturelle Normen der wissenschaftlichen Forschung und die Werte, für die Thompson und Ritchie selbst standen. Alle diese Faktoren trugen insgesamt zu einem Betriebssystem bei, das Bedienungsfreundlichkeit und Zusammenarbeit höher bewertete als Systemsicherheit – und bei der riesigen Anzahl der Sicherheitslücken fragte sich so mancher, ob UNIX, das die wissenschaftliche Gemeinde im Sturm erobert hatte, vielleicht eines Tages Ziel von Attacken werden könnte.

WARGAMES

1983 berichtete das Meinungsforschungsinstitut Louis Harris & Associates, nur 10 Prozent der Erwachsenen hätten einen Personal Computer zu Hause. 29 Von diesen gaben 14 Prozent an, für Übertragung und Empfang von Daten ein Modem zu benutzen. Auf die Frage: »Wäre es für Sie persönlich sehr hilfreich, auf Ihrem Heimcomputer Nachrichten an andere Menschen schicken oder von diesen erhalten zu können?«, gaben 45 Prozent der frühen Computerbenutzer an, es wäre nicht sehr hilfreich.