[Chaos-Knoten]12. Chaos Communication Congress '95


Prof. Brunnstein und seine gesammelten Pannen:

Spaß (Fun) am Absturz
von Computern und Netzen?

von Christoph Haas, cand. dipl. inform. [signum@torfhh.hanse.de]

Computer haben Fehler - aber nur wenigen Leuten machen diese Fehler soviel hämische Freude wie dem ewigen Mahner Prof. Dr. Klaus "Kasssandra" Brunnstein. Auf dem CCCongress präsentierte er eine bunte (nicht allzu systematische) Auswahl aus seiner Sammlung von Pleiten, Pech und Computerpannen. Brunnsteins zynische Vorträge regen auch weit über den Bereich der Computerexperten hinaus die Hörer zum Nachdenken und Lachen an. Wie alle Informatiker geht allerdings auch Brunnstein von der falschen Vorstellung aus, daß alle Probleme im Prinzip lösbar sind.

Anmerkung dazu von Professor Brunnstein:
Falsch ist die Behauptung des Berichterstatters, ich ginge "wie alle Informatiker ... von der falschen Vorstellung aus, daß alle Probleme im Prinzip lösbar sind". Ich war eingeladen, über "Abstürze" zu referieren. Zur Konstruktion beherrschbarer Systeme habe ich nur indirekt in der Diskussion Stellung genommen. In einschlägigen (paradigmatisch-systematischen) Vorträgen halte ich stets eine Reduktion hoher Komplexität, die Einbindung von Anwendern und Benutzern sowie "HuMan-in-the-Loop"-Konzepte zur Verstärkung der Eingriffsmöglichkeiten von Anwendern für erforderlich, zur Minimierung von Unfallrisiken. Insofern ist die Bewertung des Berichterstatters in diesem Punkt ungerechtfertigt und unfair.
Zuerst mußte Dr. Brunnstein den gespannten Zuhörern erklären, daß er es mit dem "Spaß" am Absturz von Computern und Netzen nicht ganz ernst meinte. Ein solcher Ausfall bedeutet für die Anwender und Unternehmen den Verlust vitaler Funktionen. Mittlerweile beherrscht die Informationstechnik unsere Arbeitswelt derart, daß schon ein kleiner Ausfall ein gesamtes Unternehmen gefährden kann.

Als Beispiel nannte er die hochvernetzten Güterleitsysteme, bei denen nur eine Systemkomponente auszufallen braucht, um den gesamten Verkehr zum Zusammenbruch zu bringen - etwa die Probleme im Stellwerk Hamburg-Altona im März diesen Jahres. Wahrlich eine "Funktionsminimierung" oder "Beeinträchtigung eines Zuges", wenn dieser zwar in einen Bahnhof einfahren, aber nicht mehr ausfahren kann.

Wesentlich dramatischer als die Probleme beim Güterverkehr ist der Transfer von Geld über die Datennetze. Im Gegensatz zu den 30 km/h, die ein Autofahrer oder Radfahrer im Stadtverkehr mit seinem Geld zurücklegt, reist das Geld in den Netzen mit nahezu Lichtgeschwindigkeit. Das bekannteste Netz ist das "WIFT-Netz, das neben der Deutschen Bundesbank auch alle deutschen Geschäftsbanken benutzen. Dieses Netz ist natürlich auch nicht gegen Fehlern gefeit. Neuester Vorfall: Während einer Abhebung begab sich der Autorisierungsrechner einer Hamburger Bank ins digitale Nirwana, ein Datensatz wurde nicht korrekt angelegt. Das Geld der Transaktion wurde mehrfach abgebucht. Noch bevor der Bank das Ausmaß des Fehlers bewußt war, hatte "eine Hamburger Boulevardzeitung" schon eine treffende Schlagzeile parat: "Hamburger Bank betrügt Bankkunden". Im Endeffekt betraf dieser Fehler rund 100 Kunden und war schnell wieder beseitigt: ca. 1 Minute, schätzt Brunnstein, war das System außer Kontrolle.

Macht man sich aber bewußt, daß die Deutsche Bundesbank einige hundert Milliarden Mark pro Tag transferiert, nimmt die Katastrophe schon ganz andere Formen an. Denn selbst hier passieren "kleinere Fehler", von denen die Öffentlichkeit nichts erfährt.

Demgegenüber ist die Naivität mancher Bankkunden unglaublich. Mit großer Freude über die neue Freiheit des Homebanking stürzt sich eine wahre Flut von Netzbürgern gedankenlos in das T-Online-Getümmel. Der neue Name "T-Online" klingt sicher werbewirksamer als "DATEX-J" und wichtiger als "Bildschirmtext". Aber, so Brunnstein: "Die Umbenennung hat den Service nicht sicherer gemacht." Darüber kann auch die stark durchgestylte Oberfläche den Fachmann nicht hinwegtäuschen.

Am Rechenzentrum des Fachbereichs Informatik ist derzeit der Ausfall des kompletten Mailsystems zu beklagen, da sich eine Klimaanlage verselbständigte und der VAX 30 Grad Celsius zumutete, woraufhin diese spontan den Dienst quittierte. Die UNIX-Rechner betraf es allerdings nicht. Brunnstein: "Die UNIX-Kisten brauchen kein solches Klima wie die schöne, sichere VAX, mit der ich arbeite."

Auf den Versand von Mails können Studenten und Dozenten ja vielleicht noch verzichten - aber ein Wirtschaftsunternehmen sieht bei größeren Einschränkungen schon recht alt aus. Hier eine kleine Übersicht der Ergebnisse einer IBM-Studie über die Überlebensfähigkeit von Unternehmen bei einem Rechnerausfall im Vergleich zu heutigen Schätzungen:

                            IBM-Studie '82        heute ca.
   Finanzen                 2 Tage                12-24 Stunden
   Handel                   3,3 Tage              24-48 Stunden
   Produktion und
   Industrie                4,8-4,9 Stunden       wenige Minuten
   Versicherungen           5,6 Tage              mehrere Tage

   Durchschnitt             4,8 Tage

Die Urzeit

Am Anfang der Computerisierung des alltäglichen Lebens gab es derlei Probleme kaum. In der ersten Phase (ungefähr zwischen 1950 und 1970) gab es nur schwer angreifbare Mainframe-Rechner, die nur von eingefleischten Fachleuten bedient wurden. Die angeschlossenen Terminals waren zwar unintelligent, beeinträchtigten den gesamten Netzverkehr bei einem Absturz jedoch nicht.

Heutzutage verliert selbst der gewiefteste Anwender bereits unter "MS-DOOF" (Brunnstein) die Kontrolle über Dateien auf seinem Rechner. Sicherlich gäbe es mehr mündige und sicherheitsbewußte Benutzer, wenn Netzwerke und Informatik Bestandteil der Schulbildung wären. Die Sparpolitik im Bildungswesen ist gerade bei der schnellen Entwicklung unserer Informationsgesellschaft eine große Gefahr. Ebenso kritisiert Dr. Brunnstein Anwender, die trotz Warnung ihre Disketten ohne Schreibschutz in verseuchte Rechner stecken oder leicht zu erratende Passwörter verwenden.

Diese gesamte Fehlentwicklung führte Dr. Brunnstein auf Bill Gates zurück:

Die Schöpfungsgeschichte

Es begab sich zu einer Zeit, daß sich Mr. Gates in dem Gedanken verirrte, einen "Homecomputer" zu entwickeln. Noch fataler war die Benennung dieses Gerätes als "Personal Computer". Das für den Heimbedarf entwickelte Gerät war einfach nicht bereit für die Welt. In einem Focus-Interview hatte Gates sinngemäß gesagt: "Bei mir gibt es keine Bugs. Die Eigenschaften sind Features. Ich habe ein gut zu verkaufendes System für den Homebereich entworfen. Für gewerbliche Nutzung wurden die Systeme nicht gedacht." Das merkt man.

Wem das noch nicht genügt: Einst sollte eine Weltraumsimulation auf einem Mainframe-Rechner Typ PDP-1 entwickelt werden. Das zugrundeliegende Betriebssystem MULTICS hatte einen übersichtlichen Aufbau. Der unter strengen Sicherheitsauflagen entworfene Betriebssystemkern wurde allerdings entfernt, denn das System war ja schließlich nicht für die Öffentlichkeit gedacht. Das, was übriggeblieben ist kennt heute jeder als UNIX oder entsprechendes Clone.

Besonders anfällig ist das UNIX-Passwortsystem: die sensiblen Daten sind in einer für alle zugänglichen Datei verschlüsselt gespeichert, jedoch mit Hilfe eines "Dictionaries" (einer Sammlung von häufig benutzten Passwörtern) leicht zu knacken. Erfahrungsgemäß deckt ein solcher Angriff 30% der Passwörter auf.

Weichen wir erst gar nicht von Dr. Brunnsteins Lieblingsthema Microsoft ab. Die größten Schäden in einem LAN (Local Area Network) können von netzinternen Rechnern verursacht werden, sei es von naiven oder schlecht trainierten Benutzern oder auch rachsüchtigen Datenterroristen. Nicht ungefährlich sind aber auch Outside-Attacks.

Thema Nummer eins in der Virenszene sind im Moment die Makroviren. Leider hat fast niemand der Microsoft-Gläubigen auf einer Original-CD Viren vermutet, sonst hätte sich der durch das Word Makrovirus entstandene Schaden eingrenzen lassen. Zwar wurden die Vertriebspartner mit (teils sehr dürftigen) Informationen versorgt, der Endbenutzer wurde allerdings nicht informiert.

Prof. Dr. Brunnstein wird in Fachkreisen auch als "Virengott" gehandelt, und so durfte an dieser Stelle auch ein kleiner Exkurs in dieses Lieblingsthema nicht fehlen. Mittlerweile existieren für den PC über 8000 Viren. Bislang blieben nur Alpha-PCs und Power-PCs von der Seuche verschont. Wer allerdings z.B. sein Linux-System über den normalen Bootblock lädt, fängt sich genauso leicht PC-Bootblock-Viren ein. Gefährlich sind natürlich ebenso die schon genannten Makro-Viren. Einer Bewerbung im Word 6.0-Format, die bei einer Firma eintraf, gelang es, ein gesamtes LAN (Local Area Network) auf die Hardware zu reduzieren.

Anmerkung dazu von Professor Brunnstein:
Noch eine Anmerkung zur Bewertung des Berichterstatters: den Terminus "Virengott" halte ich für unangemessen, wie ich auch "Virenpapst" stets abgelehnt habe (<irony mode on> sogar ich selbst halte mich nicht fuer völlig unfehlbar <irony mode off>).

Im übrigen steht eine Kopie der Folien im Kongressbüro zur Verfuegung (einschliesslich einiger aus Zeitgründen nicht behandelter Folien etwa über den Trojaner AOLGOLD, mit dem AOL-Kunden jüngst "beglückt" wurden).

Die Funktionsweise ist simpel: Word 6.0 kann über WordBasic gesteuert werden. WordBasic bietet nahezu die Funktionalität einer Programmiersprache, es eignet sich auf jeden Fall hervorragend für die Herstellung von selbstreproduzierenden Progammen; das Virenbauen wird einfach und lustig wie das Lego-System. Und Makroviren sind keine neue Erfindung: Den ersten Virus fand Brunnsteins Kollege Prof. Harold Highland bereits 1989 auf einem Lotus 1-2-3-System.

Völlig neue Perspektiven öffnen sich dem Java-Interessierten. Diese Programmiersprache für das World-Wide-Web lassen die Gestaltungsmöglichkeiten für Viren nur erahnen.

Bei Dr. Brunnstein kam eine Version dieser Viren selbst vor. Am Ende eines jeden WinWord-Dokuments stand plötzlich die Zeile "Stop all french nuclear testing in the pacific!". Eine gute Message, aber vielleicht das falsche Medium? Wer F-Prot oder ähnliche Virenkiller hat, die auch Makroviren jagen, der sei gewarnt: es werden nicht alle gefunden!

Das muß zwar nicht immer wie in China enden, wo ein Hacker wegen seiner Aktivitäten hingerichtet wurde. Aber wer sich erwischen läßt, hat schlechte Karten. Besonders dumm stellte sich der Hacker Black Baron an, der den Smeg-Virus entwarf und seinen Namen im Code hinterließ. In Großbritannien verursachte sein Virus einen Schaden von schätzungsweise rund 1,3 Mio. Mark. Am 26. Mai 1994 wurde Black Baron schuldig gesprochen, da er schließlich seine Aktivitäten zugab. Am 15. November 1995 wanderte er für achzehn Monate ins Gefängnis. Und das ist noch ein mildes Urteil. EinArmutszeugnis (jedenfalls nach Brunnsteins Meinung) sind dann schon eherdie britischen Zeitungsschlagzeilen wie "Computer Genius" oder "Einer dercleversten Programmierer des Landes".

Die Fehlermöglichkeiten in einem System teilt Dr. Brunnstein ein in:

Zum anderen unterscheidet Brunnstein die scheinbar destruktiven Aktivitäten in einem Netz in Hacking und Cracking. Hacking ist die Offenlegung von Systemunsicherheiten - und sollte nicht als kriminelle Handlung ausgelegt werden. Cracking fängt spätestens da an, wo Koffer voll sensibler Daten beim KGB einen Erlös von 90.000 DM bringen - Datenspionage also.

Auch die Unzulänglichkeiten im Internet (das auf dem unsicheren TCP/IP-Protokoll basiert) sind vielen bekannt. Das Computermagazin c't veröffentlichte z.B. eine Lobrede von Bill Clinton über diese Zeitschrift. Schade nur, daß die Mail von c't-Mitarbeitern mit gefälschten Mail-Headern generiert und über den Mailserver des Weißen Hauses verschickt wurde.

Es gibt genügend Beispiele für Rechnerunsicherheit, die allesamt zu Dr. Brunnsteins Lieblingsstories gehören: Realzeitsteuerungen elektronischer Bestrahlungssysteme, die Amok laufen und Patienten verbrennen, Flugsteuerungen der Firma Airbus, die den Piloten dermaßen verwirren, daß er ohne Computer besser klarkäme, die Altona-Stellwerk-Affäre und vieles mehr. Häufig ließen sich diese Fehler leicht vermeiden, wenn die Hersteller beim Entwurf der Systeme sorgfältiger wären.

Zum einen gibt es da den "Unlust-Faktor" - er steht für die Nachlässigkeit und Inkompetenz in der Entwurfsphase. Auch benutzerbedingte Fehler gehören in diese Kategorie. Zum "Frust-Faktor" zählt die Komplexität eines Systems, die von den Anwendern weder gewünscht noch beherrschbar ist. Bill Gates behauptet in Interviews immer wieder, daß sich "die Anwender" all' die zusätzlichen Funktionen wünschen, die Computerprogramme immer mehr aufblähen. Der Teufelskreis aus noch leistungsfähigerer Hardware und noch anspruchsvollerer Software schließt sich.

Heute sind wir allein durch unsere Abhängigkeit von der Elektrizität stark gefährdet - siehe Tschernobyl. Unser Zeitalter ist durch die computergestützte Kommunikation geprägt. Die Datenautobahnen helfen nicht auf der Suche nach einem Weg durchs Chaos. Die Informationen aus dem Netz sind häufig nichts wert und stammen aus undurchsichtigen Quellen. Im Netz existiert daher momentan eher eine Akkumulation von Informationsmüll. Was im Endeffekt abstürzt, ist die "Müllproduktionsanlage". Wer geschickt falsche Informationen im Netz ablegt, kann daraus durchaus seinen Nutzen ziehen. Da fällt mir nur der Intro-Bildschirm des Terminalprogramms "Terminate" ein, der da nachdenklich meinte: "Never underestimate the power of information. One day those who control the flow of information will control the world. (Unterschätzen Sie niemals die Macht der Information. Eines Tages wird derjenige die Welt beherrschen, der die Informationen steuert.) Wollen wir hoffen, daß dieses Black-Scenario keine Realität wird.

Die abschließende Diskussion mußte nach fast einer Stunde abgebrochen werden, denn die Themen waren sehr brisant: Ist der Anwender ein mündiger Anwender? Muß er sich um seine Mündigkeit selbst bemühen? Ist eventuell sogar das komplette Schulsystem nicht auf Entwicklung der Informationsgesellschaft eingestellt? Bislang muß sich jeder selbst weiterbilden und mit Interesse am Ball bleiben, sonst wird er vielleicht einfach überrollt.

Weiterlesen: Gesammelte Computerpannen im Usenet


Michael Rademacher, 27.12.1995
Archived page - Impressum/Datenschutz