KGB-Hack

Einbrüche in verschiedene Computersysteme in den 1980er Jahren für den KGB, ausgeführt durch eine deutsche Hacker-Gruppe, u.a. Karl Koch

Der KGB-Hack ist die Bezeichnung für eine Reihe von Einbrüchen in verschiedene westliche Computersysteme zwischen 1985 und 1989. Es war die Tat einer deutschen Hackergruppe um Karl Koch und Markus Hess.

Geschichte Bearbeiten

Bei den regelmäßig am Dienstagabend stattfindenden Hacker-Treffen in den hannoverschen Restaurants Spektakel und Sesam (später auch Bistro Casa und Bö 29) lernte Karl Koch, der sich in der Szene Hagbard Celine (Figur aus der Romantrilogie Illuminatus!) nannte, 1985 den Hacker Dirk-Otto Brezinski alias DOB kennen. Nachdem sie gemeinsam einige Hacks durchgeführt hatten, gelangte Koch über ihn an den Croupier Pedro (bürgerlich Peter Carl), der sich in notorischen Geldsorgen befand und in den Fähigkeiten der beiden eine Möglichkeit zum Geldverdienen sah. Die Idee, ihre Entdeckungen auf den gehackten Rechnern an den KGB zu verkaufen, stammte von Pedro.

Gemeinsam fuhren die drei zur sowjetischen Botschaft nach Ost-Berlin, um sich dem KGB anzubieten. Nachdem man sie dort wegen ihres Anliegens ausgelacht und fast weggeschickt hatte, war doch noch ein Mitarbeiter der Ost-Berliner KGB-Residenz mit dem Namen Sergej bereit, ihnen zuzuhören. Die Hacker sollten zunächst einmal Testmaterial liefern, um dem KGB ihre Fähigkeiten und Ernsthaftigkeit zu beweisen. Ein Jahr lang drangen Koch, DOB und andere Hacker, die nicht unbedingt über die KGB-Verbindung und die Geldflüsse seitens des KGB informiert waren, in verschiedene Rechner von Firmen und Organisationen in Deutschland und der ganzen Welt ein. Pedro fungierte als Mittelsmann zwischen den Hackern und dem KGB: Er lieferte die Ergebnisse nach Ost-Berlin und brachte von dort Geld (insgesamt mehrere zehntausend DM) und neue Aufträge des KGB mit.

Im April 1986 kam es zur Katastrophe von Tschernobyl. Karl Koch, zu diesem Zeitpunkt schon lange schwer drogenabhängig und in einem oft zweifelhaften geistigen Zustand, sah dies als unmittelbare Folge eines seiner Hacks an, da er kurz vorher in den Rechner eines Atomkraftwerks eingedrungen war. Sein Zustand verschlechterte sich so weit, dass er aus der KGB-Gruppe ausgeschlossen wurde und ein Freund ihn schließlich zu einer Entziehungskur in eine psychiatrische Klinik brachte. Die anderen Mitglieder der Gruppe ließen sich dadurch jedoch nicht von ihrer Tätigkeit abbringen.

Im Jahr 1986 fiel Clifford Stoll, einem Systemadministrator an der Universität von Kalifornien in Berkeley, auf, dass bei einem Großrechner, für den er mit zuständig war, Kosten von 75 US-Cent für in Anspruch genommene Rechnerleistung angefallen waren, die keinem Abrechnungskonto zugeordnet werden konnten. Da dies ein Hinweis auf einen unerlaubten Eindringling war, ging er der Sache trotz des geringen Betrags nach und kam dadurch schließlich der Gruppe um Koch auf die Spur. Durch monatelange detektivische Kleinarbeit und das Stellen von Fallen gelang es Stoll und anderen, die Spur der Hacker nach Deutschland zurückzuverfolgen (Stoll schrieb später über diese Vorkommnisse das Buch Kuckucksei). Am 23. Juni 1987 wurde schließlich die Wohnung von Markus Hess alias Urmel durchsucht, es erging jedoch kein Haftbefehl. Da die benutzte Fangschaltung auch nicht gerichtlich genehmigt war, musste das Ermittlungsverfahren später sogar eingestellt werden.

Da Koch Mitte 1988 in Geldsorgen war, bot er einem NDR-Reporter ein Geschäft an: Gegen 10.000 DM wollte er vor laufender Kamera in den Rechner der Kernforschungsanlage Jülich eindringen. Außerdem präsentierte er dem Reporter vertrauliche Unterlagen über die Terror-Fahndung aus einem Polizei-Rechner (die zwar echt, aber nicht von ihm selbst beschafft worden waren). Informationen über diese Tatsache gelangten aus dem NDR an die Ermittlungsbehörden, woraufhin eine Hausdurchsuchung im Funkhaus Hamburg stattfand. Die Verantwortlichen stritten ab, Koch Geld für kriminelle Aktivitäten angeboten zu haben. Koch stellte sich am 5. Juli 1988 dem Verfassungsschutz und sagte in monatelangen Verhören umfassend über seine Aktivitäten aus, nicht nur in Sachen KGB.

Am 2. März 1989 wurde – nach monatelanger Beschattung durch die Polizei und den Bundesnachrichtendienst – in einer bundesweiten Aktion die KGB-Hack-Gruppe zerschlagen. Im ARD-Brennpunkt am gleichen Abend wurde daraus „der größte Spionagefall seit Guillaume“. Karl Koch wurde zunächst Straffreiheit zugesichert.[1] Am 30. Mai 1989 fand die Polizei die verkohlte Leiche des 23-Jährigen in einem Wald bei Ohof, vermutet wurde Suizid durch Selbstverbrennung. Die tatsächlichen Umstände seines Todes wurden nie restlos geklärt, es wird aber angenommen, dass Koch dem psychischen Druck bei den monatelangen Vernehmungen, in Verbindung mit den Wirkungen seiner Drogenabhängigkeit und des geistigen Verfalls, nicht standgehalten hat. Auch wenn ein Mord an Koch nicht bewiesen werden konnte, so konnte er auch nicht zweifelsfrei ausgeschlossen werden. Am 15. Februar 1990 wurden zwei der am KGB-Hack Beteiligten – Dirk-Otto Brezinski (DOB) und Markus Hess (Urmel) – zu Freiheitsstrafen auf Bewährung zwischen 14 Monaten und 2 Jahren verurteilt.

Technischer Hintergrund Bearbeiten

Bei ihren Einbrüchen nutzten die KGB-Hacker häufig eine Sicherheitslücke im Programm movemail aus. Einzige Aufgabe dieser kleinen Emacs-Komponente war, hereinkommende Mail aus dem Verzeichnis /var/spool/mail in das Benutzerverzeichnis des jeweiligen Empfängers zu verschieben. 1986 war das Programm so modifiziert worden, dass es auch Mails über das Protokoll POP3 abholen konnte. Dazu war es notwendig geworden, movemail mit SUID root, also den Rechten des lokalen Administrators (root), laufen zu lassen. movemail enthielt allerdings bei dieser Konfiguration eine Schwachstelle: Dem Benutzer, dessen Mail bewegt wurde, war es möglich, jede Datei auf dem lokalen System zu lesen und zu schreiben, da das Programm mit Root-Rechten lief. Ohne die Root-Rechte hätten über das Programm nur die Dateien des ausführenden Benutzers (und einige explizit freigegebene Dateien) und somit keine system- oder sicherheitsrelevanten Dateien verändert werden können. Die Sicherheitslücke wurde erst öffentlich, als bereits eine Reihe von Rechnern (darunter auch militärisch sensible Anlagen) kompromittiert waren. Der schützende Patch war gerade einmal drei Zeilen lang.

Am Hack beteiligte Personen Bearbeiten

Verfilmungen Bearbeiten

  • 23 – Nichts ist so wie es scheint (Spielfilm über Karl Koch und den KGB-Hack)
  • Der KGB, der Computer und ich (The KGB, the Computer, and Me). Der Fernsehfilm wurde erstmals am 3. Oktober 1990 in den USA ausgestrahlt. Gedreht wurde er mit Clifford Stoll an Originalschauplätzen, produziert von der WGBH Educational Foundation für die US-Fernsehdokumentarserie NOVA von Robin Bates und Catherine White. Die Folge ist ca. 60 Minuten lang und enthält auch ein kurzes Interview mit dem Hacker Pengo (Hans Heinrich Hübner) und einige Aufnahmen von Markus Hess, dem Hacker, den Clifford Stoll verfolgt hatte. Die Aufnahmen von Hess entstanden während des Prozesses gegen ihn in Celle.

Literatur Bearbeiten

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. »Alle großen Anarchisten starben am 23.« In: Der Spiegel. 11. Juni 1989, ISSN 2195-1349 (spiegel.de [abgerufen am 20. Oktober 2022]).