Am 6. Februar 2011 ließen sich in Amerika Millionen Menschen auf ihre Sofas fallen, rissen Chipstüten auf und gossen Bier in Plastikbecher; alles zur Vorbereitung auf das größte Sportereignis des Jahres. An diesem Sonntag fand das Super-Bowl-Endspiel zwischen den Footballmannschaften der Green Bay Packers und der Pittsburgh Steelers statt. Während die Packers gewannen, musste Aaron Barr, Manager einer Internet-Sicherheitsfirma, hilflos zusehen, wie sieben Menschen, denen er nie begegnet war, sein Leben auf den Kopf stellten. Super Bowl Sunday war der Tag, an dem er mit Anonymous konfrontiert wurde.
Nach diesem Wochenende hatte das Wort „Anonymous“ eine neue Bedeutung. Es stand nicht mehr nur für anonym, sondern bezeichnete – mit großem A – auch eine ungreifbare, finstere Gruppe von Hackern, die mit allen Mitteln Gegner des freien Informationsflusses angriff, darunter Menschen wie Barr. Der hatte den Fehler gemacht, herausfinden zu wollen, wer sich hinter Anonymous verbarg.
Der Schlag erfolgte zur Mittagszeit, sechs Stunden vor dem Anstoß im Super Bowl. Barr saß in Jeans und T-Shirt auf dem Wohnzimmersofa in seinem Washingtoner Vororthaus, als er bemerkte, dass sich das iPhone in seiner Tasche seit einer halben Stunde nicht mehr gemeldet hatte. Normalerweise kam jede Viertelstunde eine E-Mail. Als er sein iPhone nahm und die E-Mails aufrufen wollte, erschien ein dunkelblaues Fenster mit zwei Wörtern, die sein Leben verändern sollten: kein E-Mail-Empfang. Das E-Mail-Programm fragte nach seinem Passwort, und Barr tippte es gehorsam in die Account-Einstellungen des iPhones: „kibafo33“. Es half nichts.
Wie leicht Sie Opfer einer Abhöraktion werden können
Der Super-GAU
Ratlos starrte er das Display an. Langsam wurde ihm klar, was diese Fehlermeldung bedeutete, und er bekam Angst. Vor einigen Stunden hatte er mit einem Hacker namens Topiary von Anonymous gechattet und geglaubt, dass er aus dem Schneider sei. Jetzt sah er, dass jemand seinen Account bei HBGary Federal geknackt, damit Zugang zu Zehntausenden Firmen-E-Mails gewonnen und ihn dann ausgesperrt hatte. Das hieß, dass irgendjemand irgendwo vertrauliche Vereinbarungen und Dokumente eingesehen hatte, die eine internationale Bank, eine angesehene Behörde der US-Regierung und seine eigene Firma kompromittieren konnten.
Immer mehr Geheimdokumente und nicht für die Öffentlichkeit bestimmte Nachrichten fielen ihm ein. Barr stürmte die Treppe zu seinem Arbeitszimmer hinauf und setzte sich an den Laptop. Er wollte sich in seinen Facebook-Account einloggen, um mit einem ihm bekannten Hacker zu sprechen. Aber das Netzwerk war blockiert. Er versuchte es mit Twitter. Nichts. Dasselbe bei Yahoo. Fast alle seine Internet-Accounts waren gesperrt.
Auf seinem WLAN-Router blinkten wild die Kontrolllichter – er wurde mit Anfragen überschwemmt, mit denen die Angreifer sich in sein Heimnetzwerk vorarbeiten wollten. Er zog den Stecker.
Aaron Barr war früher beim Militär gewesen. Der breitschultrige Mann mit den pechschwarzen Haaren und dichten Augenbrauen, hatte sich nach zwei Semestern für das Collegestudium bei der US-Marine gemeldet. Schnell wurde er zum SIGINT Officer, zum Abhörexperten im Geheimdienst, als Analytiker, ein eher seltenes Fachgebiet. Es folgten zahlreiche Auslandsposten: Aufträge in ganz Europa, von der Ukraine über Portugal bis nach Italien.
Vom Marine zum Geschäftsmann
Nach zwölf Jahren bei der Marine suchte er sich einen Job bei Northrop Grumman, einem Konzern mit vielen Rüstungsaufträgen. Er gründete eine Familie, versteckte seine Seemannstätowierungen und wurde Geschäftsmann. Im November 2009 fragte ihn ein Sicherheitsberater namens Greg Hoglund, ob er interessiert sei, sich an einer Firmengründung zu beteiligen. Hoglund betrieb bereits eine Computersicherheitsfirma namens HBGary Inc. und wollte Barr mit seinem militärischen Hintergrund und seiner kryptografischen Erfahrung für eine Schwesterfirma gewinnen, die Dienstleistungen für Behörden der Regierung anbieten sollte. Dieses Unternehmen sollte HBGary Federal heißen. Barr ergriff die Chance.
Zunächst genoss er den neuen Job. Manchmal schrieb er Hoglund um halb zwei Uhr morgens, um ihm seine Einfälle mitzuteilen. Fast ein Jahr später machte er mit all diesen Ideen aber immer noch kein Geld. Inzwischen hielt er die Firma mit ihren drei Angestellten durch Social Media Training für Manager über Wasser.
Im Oktober 2010 kam die Erlösung. Barr bekam Kontakt zu Hunton & Williams, einer Anwaltskanzlei, deren Mandanten – darunter auch die US Chamber of Commerce und die Bank of America – Probleme mit bestimmten Gegenspielern hatten: Wikileaks hatte angedeutet, es säße auf einem Berg vertraulicher Daten der Bank of America. Barr und zwei andere Sicherheitsberatungsfirmen führten PowerPoint-Präsentationen vor, in denen unter anderem auch Verleumdungskampagnen gegen Journalisten vorgeschlagen wurden, die Wikileaks und Internet-Angriffe auf die Wikileaks-Web-Seite unterstützten.
Er grub seine fiktiven Facebook-Profile aus und demonstrierte, wie man die Gegner damit ausspionieren konnte, indem er Freundschaftsanfragen an die Anwälte bei Hunton & Williams schickte und damit an Informationen über ihr Privatleben kam. Die Kanzlei wirkte durchaus interessiert, aber im Januar 2011 floss immer noch kein Geld.
Barrs' Ziel: Anonymous
Dann hatte Barr eine Idee. In San Francisco würde demnächst eine Konferenz von Sicherheitsberatern stattfinden. Wenn er dort einen Vortrag darüber hielt, wie seine Schnüffelei in sozialen Netzwerken Informationen über einen geheimnisvollen Unbekannten enthüllt hatte, konnte er sich in seinem Fachgebiet profilieren und würde vielleicht endlich den ersehnten Auftrag bekommen.
Barr konnte sich kein besseres Ziel als Anonymous vorstellen. Ungefähr einen Monat zuvor, im Dezember 2010, waren die Nachrichten voll von Berichten über eine große und geheimnisvolle Hackergruppe gewesen, die die Web-Seiten von Mastercard, Paypal und Visa angegriffen hatte, als Vergeltung dafür, dass diese Firmen sich weigerten, Spenden an Wikileaks weiterzuleiten. Wikileaks hatte gerade mehrere Zehntausend geheime diplomatische Telegramme der USA veröffentlicht, und der Gründer und Leiter Julian Assange war in Großbritannien festgenommen worden.
Enthülle niemals deine Identität
Hacker war ein sehr vage definiertes Wort. Dahinter konnte ein begeisterter Programmierer oder ein Internet-Krimineller stecken. Die Mitglieder von Anonymous, die Anons, wurden oft Hacktivisten genannt – Hacker, die als Aktivisten eine Botschaft verbreiten wollten. Soweit man wusste, traten sie für absolut freien Informationsfluss ein. Angeblich hatten sie weder eine Hierarchie noch eine Leitung. Sie behaupteten, keine Gruppe zu sein, sondern „alles und nichts“. Die zutreffendste Kategorisierung war vielleicht Markenname oder Kollektiv. Die wenigen Regeln, die sie hatten, erinnerten an den Film „Fight Club“: Sprich nicht über Anonymous, enthülle nie deine wahre Identität und greif nicht die Medien an, denn die brauchen wir, um unsere Botschaften zu verbreiten.
"Wir sind Anonymous"
Die Anonymität verführte natürlich auch zu Gesetzesverstößen – Einbrüche in Server, Diebstahl von Kundendaten, Blockade und Defacement einer Web-Seite. Die Gruppe versprach Stärke und Schutz, und überall, in Blogs, auf gehackten Web-Seiten und wo es nur ging, las man ihr ominöses Motto:
Wir sind Anonymous
Wir sind Legion
Wir vergeben nicht
Wir vergessen nicht
Rechne mit uns
Die digitalen Flyer und Nachrichten der Gruppe zeigten das Logo eines kopflosen Anzugträgers in einem dem UN-Wappen nachempfundenen Lorbeerkranz. Die Figur beruhte angeblich auf einem Gemälde des Surrealisten René Magritte. Oft sah man auch die höhnisch grinsende Guy-Fawkes-Maske, die durch den Film „V wie Vendetta“ bekannt geworden war. Niemand wusste, wie viele Angehörige Anonymous hatte, aber es waren nicht nur ein paar Hundert.
Im Dezember 2010 hatten sich Tausende Nutzer aus aller Welt in den Hauptchatroom eingeloggt, um an den Angriffen auf Paypal teilzunehmen. Blogs, die sich mit Anonymous befassten, und neue Seiten wie AnonNews.org hatten Tausende von Besuchern.
20-seitige Aufstellung über Anonymous-Anführer
Barr faszinierte das. Zunächst trieb er sich in den Chatrooms herum, wo sich Anonymous-Unterstützer trafen, er hörte nur zu, ohne selbst zu posten. Darauf wählte er einen Spitznamen – zuerst AnonCog, dann CogAnon – und schaltete sich ein. Er passte sich dem Slang der Gruppe an und gab vor, ein begeisterter Neuling zu sein, der gerne die eine oder andere Firmen-Web-Seite angreifen würde.
Während der Chats notierte er sich die Spitznamen der anderen. Es waren Hunderte, aber er verfolgte nur die häufigen Gäste. Wenn solche Leute sich ausloggten, schrieb Barr sich den Zeitpunkt auf und wechselte zu Facebook. Wenn einer dieser Freunde auf Facebook aktiv wurde, kurz nachdem ein bestimmter Spitzname den Anonymous-Chat verlassen hatte, verbuchte Barr das als Identifikation des einen mit dem anderen.
Ende Januar hatte Barr eine 20-seitige Aufstellung von Namen mit Beschreibungen und Kontaktinformationen angeblicher Unterstützer und Anführer von Anonymous zusammengestellt. Am 22. Januar 2011 schickte er Hoglund und der Co-Präsidentin von HBGary Inc., Penny Leavy (Hoglunds Ehefrau), sowie seinem eigenen Stellvertreter Ted Vera eine Mail über den angekündigten Vortrag zu Anonymous auf der B-Sides-Tagung. „Das wird die Anonymous-Chatkanäle ganz schön aufscheuchen, und die Presse liest die ja mit“, schrieb Barr an Hoglund und Leavy. Also würde es noch mehr Medienaufmerksamkeit geben.
Das FBI wird eingeschaltet
Barr hielt es für vorteilhaft, wenn er sich schon vor dem Vortrag an die Presse wandte. Er bot Joseph Menn, einem Reporter der „Financial Times“, ein Interview an, in dem er schildern wollte, wie seine Daten zu weiteren Festnahmen wichtiger Leute bei Anonymous führen konnten. Er gab Menn eine kurze Zusammenfassung: Von den mehreren Hundert Teilnehmern an Internet-Attacken von Anonymous waren etwa 30 dauerhaft aktiv – und nur etwa zehn zentrale Figuren trafen den Großteil der Entscheidungen. Barrs Erkenntnisse zeigten erstmals, dass Anonymous sehr wohl eine Hierarchie hatte und nicht so anonym war, wie das Kollektiv glaubte.
Die Zeitung brachte am Freitag, dem 4. Februar, die Geschichte unter der Überschrift „Internet-Aktivisten müssen mit Festnahmen rechnen“ und berief sich auf Barr. Im Laufe des Tages hatten auch Beamte des FBI den Artikel gelesen und bei Barr angefragt, ob er bereit sei, seine Informationen an sie weiterzugeben. Er verabredete ein Treffen am Montag nach dem Super-Bowl-Endspiel.
Gipfel der Anonymous-Veteranen
Ungefähr zur selben Zeit hatte auch eine Gruppe von Anonymous-Hackern die Zeitung gelesen. Es waren drei; sie kamen aus ganz verschiedenen Weltgegenden, und sie waren in einen Online-Chatroom eingeladen worden. Ihre Spitznamen lauteten Topiary, Sabu und Kayla. Die Person, die sie eingeladen hatte, führte den Spitznamen Tflow und war ebenfalls eingeloggt. Keiner kannte den wirklichen Namen, das Alter, das Geschlecht oder den Aufenthaltsort der anderen. Was sie voneinander wussten, war nur ein bisschen Klatsch und Tratsch und dass sie alle an Anonymous glaubten.
Die Unterhaltung war zuerst etwas steif, aber nach einigen Minuten war alles ganz ungezwungen, und es zeigten sich Persönlichkeitszüge. Sabu war selbstsicher und dominant und benutzte Slangausdrücke wie „yo“ und „my brother“. Die anderen wussten es natürlich nicht, aber er war in New York geboren und aufgewachsen und stammte aus einer puerto-ricanischen Familie. Hacken hatte er als Teenager gelernt, als er zunächst den Call-by-Call-Internet-Zugang des Familiencomputers manipulierte, um umsonst ins Netz zu kommen. Ende der Neunzigerjahre eignete er sich in Hackerforen weitere Tricks an. Etwa 2001 war der Spitzname Sabu dann aus dem Netz verschwunden und erst jetzt, fast ein Jahrzehnt später, wieder aufgetaucht. Sabu war das Schwergewicht und der Veteran in der Gruppe.
Paranoide Sicherheitsvorkehrungen
Kayla gab sich kindlich, aber dahinter verbarg sich messerscharfe Intelligenz. Sie war angeblich weiblich; fragte man sie nach ihrem Alter, behauptete sie, 16 zu sein. Das hielten viele für eine Lüge, denn bei Anonymous gab es zwar viele jugendliche Hacker und auch viele weibliche Unterstützerinnen, aber kaum weibliche Hacker. Die Lügengeschichte, wenn es eine war, war allerdings detailreich. Kayla war gesprächig und gab viele Einzelheiten aus ihrem Privatleben preis: Sie arbeitete in einem Kosmetiksalon, verdiente ein bisschen Geld mit Babysitten dazu und machte gern Ferien in Spanien. Was die Sicherheit anging, war sie allerdings geradezu paranoid. Sie tippte nie ihren wirklichen Namen in ihr Netbook ein, hatte keine eigene Festplatte und betrieb ihren Rechner mithilfe einer winzigen MicroSD-Speicherkarte, die sie hinunterschlucken konnte, falls die Polizei kam.
Mit diesen Angriffsmethoden arbeitet Anonymous
Mitglieder von Anonymous bombardieren die Rechner der Angegriffenen mit Abertausenden Seitenaufrufen. Bei diesen Distributed Denial of Service (DDoS) genannten Attacken koordinieren die Angreifer den zigtausendfachen Zugriff auf die Server. Daraufhin sind die Web-Sites wegen Überlastung der Server nicht mehr erreichbar. So legte Anonymous etwa die Web-Auftritte von Scientology, Amazon und des CIA lahm. Nicht immer kommen diese Angriffe von Anonymous-Sympathisanten.
Teils nutzt Anonymous auch sogenannte Bot-Netze – Rechnerverbünde aus Millionen gekaperten Computern. Deren Besitzer ahnen oft nicht, dass auf ihren Maschinen Angriffs-Programme schlummern, die – per Angriffsbefehl vom Botmaster aktiviert – ins DDoS-Trommelfeuer einsteigen. Bot-Netz-Software gelangt oft unbemerkt beim Herunterladen kostenloser Software auf die Computer.
Schwieriger ist es, in die Web-Server selbst einzubrechen, um die Online-Auftritte der Angegriffenen zu modifizieren. Bei diesen sogenannten Defacements hinterlassen die Hacker meist Banner mit ihren Botschaften. So etwa bei Attacken auf das US-Sicherheitsunternehmen HBGary 2011, ägyptische Regierungs-Web-Seiten oder den Online-Auftritt der Formel 1 vor dem umstrittenen Rennen in Bahrain im April dieses Jahres.
Komplexer, aber weniger auffällig sind Einbrüche in Server, E-Mail-Konten oder Datenbanken der Anonymous-Opfer, um so Zugriff auf geheime Informationen, E-Mails, Dokumente oder andere Nutzerdaten zu bekommen. Zu den prominentesten Opfern dieser Attacken gehörte 2008 die republikanische Vizepräsidentschafts-Kandidatin Sarah Palin, 2011 die NATO und in diesem Jahr das syrische Präsidialamt. In allen Fällen veröffentlichte Anonymous anschließend Dokumente, Bilder oder E-Mail-Inhalte.
Topiary hatte in der Gruppe am wenigsten Ahnung vom Hacken, aber dafür ein anderes Talent: seinen Esprit. Topiary war vorlaut und voller Ideen; außerdem besaß er einen Sinn für Öffentlichkeitswirksamkeit. Tflow, der sie alle zusammengebracht hatte, war ein erfahrener Programmierer und ziemlich schweigsam; er hielt sich an die Anonymous-Regel, nicht über sich selbst zu sprechen. Er gehörte seit mindestens vier Monaten dazu, lange genug, um die Gruppenkultur und die wichtigen Leute zu kennen. Er war es, der aufs Geschäft zu sprechen kam. Jemand musste sich Aaron Barrs und seiner Recherchen annehmen.
Auf der Suche nach der Schwachstelle
Wenn Barr die richtigen Namen hatte, bedeutete das Ärger. Die Gruppe fing an, Pläne zu schmieden. Zuerst wollten sie den Server, auf dem die Web-Seite von HBGary Federal lief, auf wunde Punkte in seinem Quellcode absuchen. Wenn sie Glück hatten, fanden sie eine Lücke, durch die sie eindringen konnten. Dann würden sie Barrs Homepage übernehmen und den Inhalt durch ein großes Anonymous-Logo und die schriftliche Warnung ersetzen, das Kollektiv besser in Ruhe zu lassen. Sabu suchte HBGaryFederal.com nach einer Schwachstelle ab. Wie sich herausstellte, benutzte Barrs Web-Auftritt ein fremdentwickeltes Publikationssystem, das einen schweren Fehler aufwies. Hauptgewinn!
Der Angriff beginnt
HBGary Federal zeigte zwar anderen Firmen, wie man sich vor Internet-Angriffen schützte, war aber selbst anfällig für eine einfache Form der Attacke namens SQL-Injection. Der betroffenen Firma konnte ein solcher Angriff sehr schaden. Wenn DDoS ein bloßer Faustschlag war, dann glich eine SQL-Injection der Entfernung lebenswichtiger Organe im Schlaf. Nachdem die Hacker sich einmal Zutritt verschafft hatten, forschten sie nach Namen und Passwörtern von Administratoren des Servers wie Barr und Hoglund. Wieder ein Treffer: Sie fanden eine Liste mit Nutzernamen und Passwörtern von HBGary-Mitarbeitern. Aber es gab eine Schwierigkeit: Die Passwörter waren verschlüsselt.
Sabu suchte sich drei zerhackte Passwörter aus, lange Reihen von Zufallszahlen und -buchstaben, die den Passwörtern von Aaron Barr, Ted Vera und einem anderen Manager namens Phil Wallisch entsprachen. Er stellte sie in ein Internet-Forum für Passwortknacker – Hashkiller.com. In wenigen Stunden hatten zufällig eingeloggte anonyme Freiwillige alle drei geknackt. Das Ergebnis:
4036d5fe575fb46f48ffcd5d7aeeb5af:kibafo33
Hinter der verschlüsselten Zeichenfolge erschien Aaron Barrs Passwort. Als das Team versuchte, mit „kibafo33“ die auf Google Apps gespeicherten Firmen-E-Mails von HBGary Federal abzurufen, gelang das problemlos. Die Hacker wollten ihren Augen nicht trauen. Am Freitagabend konnten sie schon live mitverfolgen, wie der ahnungslose Barr fröhliche E-Mails mit seinen Kollegen über den Artikel in der „Financial Times“ wechselte.
Barrs' Kardinalfehler
Nur mal so, weil es einen Versuch wert war, probierten sie „kibafo33“ auch bei Barrs anderen Accounts aus. Unglaublicherweise hatte Barr, immerhin ein Internet-Sicherheitsexperte, der es mit Anonymous aufnehmen wollte, bei fast allen dasselbe Passwort verwendet – Twitter, Yahoo, Flickr, Facebook, sogar bei World of Warcraft.
Die Gruppe beschloss, an diesem Tag noch nicht gegen Barr loszuschlagen. Sie wollten sich das Wochenende über Zeit nehmen und alle E-Mails herunterladen, die er während seiner Tätigkeit für HBGary Federal je gesendet oder empfangen hatte. Beim Lesen merkten sie allerdings, dass es doch ein bisschen dringender war: Schon am Montag hatte Barr einen Termin beim FBI. Als das Team alles mitgenommen hatte, was es finden konnte, wurde entschieden, dass der Anstoß des Super-Bowl-Spiels am Sonntag das Signal zum Losschlagen sein sollte. Das war in 60 Stunden.
Es war ein ganz normaler Samstag für Barr. Er war zu Hause bei seiner Familie und sendete und empfing beim Frühstück E-Mails über sein iPhone. Er hatte keine Ahnung, dass ein sieben Mann starkes Anonymous-Team dabei war, seine E-Mails zu durchsuchen, und dass die Hacker ziemlich aufgeregt über das waren, was sie soeben gefunden hatten: Barrs Anonymous-Recherchen.
Verhängnisvolles PDF-Dokument
Es handelte sich um ein PDF-Dokument, das mit einer ordentlichen, kurzen Erläuterung begann, worum es sich bei Anonymous handelte. Dann folgten Listen von Web-Seiten, eine Zeittafel kürzlicher Internet-Angriffe und jede Menge Spitznamen, denen Klarnamen und Adressen zugeordnet waren. Die Namen Sabu, Topiary und Kayla tauchten nicht auf. Doch langsam wurde den Hackern klar, wie Barr mithilfe von Facebook versucht hatte, Spitznamen und echte Namen zu verknüpfen.
In der Zwischenzeit hatte Tflow Barrs E-Mails auf seinen Server geladen. Er wollte die Daten auf der beliebtesten aller Web-Seiten für Online-Datentausch einstellen: Pirate Bay. Das hieß, schon sehr bald würde jeder Interessierte über 40.000 Mails von Barr herunterladen und lesen können. Am Sonntagmorgen, etwa elf Stunden vor dem Anstoß, hatte Tflow die Arbeit an den E-Mails von Barr, Vera und Wallisch abgeschlossen; die Pirate-Bay-Datei war fertig zur Veröffentlichung. Jetzt kam das Vergnügen, Barr zu sagen, was ihm bevorstand.
"Wir wissen, wie oft er am Tag aufs Klo geht"
Inzwischen wussten die Hacker, dass Barr unter dem Spitznamen CogAnon in Anonymous-Chatrooms zu finden war und dass er in Washington D. C. lebte. „Wir haben alles von seiner Sozialversicherungsnummer über seine Militärakten bis zu seinen Sicherheitseinstufungen“, schrieb Sabu an die anderen. „Wir wissen sogar, wie oft er am Tag aufs Klo geht.“ Gegen acht Uhr morgens Ostküstenzeit am Sonntagmorgen beschlossen sie, ihm schon mal ein wenig Angst zu machen. Als Barr sich als CogAnon in das Anon-Ops-Chatnetzwerk einloggte, schickte Topiary ihm eine private Nachricht. „Hallo“, begann Topiary. „Hi“, schrieb CogAnon zurück. „Wir suchen Freiwillige für einen Einsatz im Bereich Washington. Interessiert?“ Barr ließ 20 Sekunden verstreichen, dann antwortete er: „Vielleicht. Hängt davon ab, worum es geht.“ Topiary kopierte die Antwort zum Mitlesen in den anderen Chatroom. „Hahahahaa“, schrieb Sabu.
„Ich sehe an deinem Hostserver, dass du in der Nähe unseres Ziels wohnst“, schrieb Topiary an Barr. In Washington D. C. Barr stockte der Atem. „Ist das Ziel konkret oder virtuell?“, tippte er.
Wie hatten sie entdeckt, dass er in D. C. wohnte? „Virtuell“, antwortete Topiary. „Alles an Ort und Stelle.“ Dann ließ er die Anons wieder mitlesen. Topiary wollte ihm noch etwas Angst einjagen: „Unser Ziel ist ein Sicherheitsdienstleister“, schrieb er. Barr wurde es flau im Magen.
Merkregeln für sichere Passwörter
Zugegeben, „Password“, „12345“, „qwert“, „0000“ oder der eigene Name sind leicht zu merken. Trotzdem sollte sich, wer eine dieser Zeichenfolgen als Zugangscode für das Konto, den Computer oder die Kreditkarte gewählt hat, schleunigst Gedanken über sicherere Alternativen machen. Denn viel leichter kann man es Hackern kaum noch machen.
Doch selbst ein schwacher Schutz ist besser als gar keiner. Aktivieren Sie deshalb am Mobiltelefon neben der PIN-Abfrage der SIM-Karte auch den Passwortschutz des Gerätes selbst. So wird nicht nur die SIM, sondern auch das Mobiltelefon für Diebe unbrauchbar. Prüfen Sie zudem, ob die Passwortabfrage in Ihrem heimischen schnurlosen Funknetz (WLAN) aktiv ist. Sonst surfen Fremde kostenlos mit.
Vermeiden Sie es, identische Passwörter für mehrere Zwecke zu nutzen. Wer im WLAN-Netz eines Cafés den gleichen Zugangscode zur Abfrage der E-Mails verwendet wie daheim für Zugriffe auf das Online-Bankkonto, handelt fahrlässig. Denn die Codes werden über Funk meist unverschlüsselt übertragen. Sicherheitsexperten empfehlen, wenigstens drei unterschiedlich komplexe Schlüssel für unterschiedlich sensible Anwendungen einzusetzen. Wichtig: Wenn die Gefahr besteht, dass ein Passwort bekannt geworden ist oder gar geknackt wurde, tauschen Sie es sofort aus.
Auch bei Passwörtern gilt: „Viel hilft viel“. Je länger und komplexer die Codes sind, desto sicherer sind sie. Je weniger Systematik und Semantik in ihnen steckt, desto besser. Vor allem der Einsatz von Sonderzeichen wie §, &, $ oder @ steigert die Zahl der Passwort‧alternativen enorm. Leider nur sind diese Schlüssel auch schwerer zu merken.
Reine Zahlencodes wie Handy-, EC- oder Kreditkarten-PINs geraten im alltäglichen Informationswust allzuleicht in Vergessenheit. Sie lassen sich besser merken, wenn Sie diese mit emotional relevanten Fakten assoziieren – und die voreingestellten Codes der Karten entsprechend umprogrammieren. Vergessen Sie Ihr Geburtsdatum, das recherchieren Datendiebe im Zweifel auch. Wie wäre es aber mit dem Tag, an dem Ihr Lieblingsverein zum letzten Mal Meister wurde, Sie Ihr Diplom gemacht oder die Ausbildung abgeschlossen haben? Darauf kommt keiner – und Sie können es zur Not sogar nachschlagen.
Sicherer als reine Zahlen-PINs sind Kombinationen aus Zahlen und Buchstaben. Sie haben am 31. März 89 geheiratet? Lesen Sie im Wechsel die Buchstaben von hinten, die Zahlen von vorn: „3z1r8ä9m“ ist schwer zu knacken, für Sie aber leicht zu merken. Mischen Sie die letzten vier Zeichen des Geburtsorts der Mutter und des Geburtsdatums des Vaters und lesen sie beides rückwärts. „h1c4i0r1“ errät niemand – Sie müssen sich lediglich die Systematik merken.
Merken Sie sich statt vieler Zahlenfolgen nur eine, mit dem Sie alle anderen verschlüsseln. Die können Sie dann sogar im Adressbuch notieren. Wählen Sie ein Wort, bei dem sich in den ersten zehn Buchstaben keiner wiederholt, zum Beispiel „Aktienkurs“, „Herbstwald“ oder „Blumengruß“. Ersetzen Sie die Ziffern Ihrer PIN durch die an der entsprechenden Stelle Ihres persönlichen Schlüsselwortes stehenden Buchstaben. Bei „Herbstwald“ würde aus „4735“ der Code „bwrs“, aus „901628“ das neue „ldhtea“. Für Sie ist der Weg zurück ein Leichtes. Doch wer Ihr Geheimwort nicht kennt, hat kaum Chancen, die ursprüngliche Zahlenfolgen zu rekonstruieren.
Zumeist sind PINs und Passwörter relativ kurz. Wer – etwa bei der Wahl des Zugangsschlüssels für das WLAN-Funknetz, aber auch beim Start des PCs – die Möglichkeit hat, kann auch statt weniger Zeichen viele Buchstaben verwenden und sich einen Satz mit einem starken persönlichen Bezug merken: „Wedeln_im_Tiefschnee_ist_mein_Traum“ weiß ich sogar im Tiefschlaf. Sie finden sicher Ähnliches.
Sehr sichere – aber deutlich kürzere – Codes lassen sich mithilfe von Sätzen oder den Titeln Ihrer Lieblingsbücher, -bands oder -hits bilden. Aus den ersten Buchstaben von „Seit 10 Jahren schnorchele ich vor Hawaii“ wird dann „S1JsivH“, aus den jeweils beiden letzten von „Money for nothing“ wird „ngorey“. Auch hier ist nur wichtig, dass Sie sich die Systematik merken. Ihren Lieblingstitel sollten Sie ohnehin kennen.
Selbst vergleichsweise einfach zu merkende Schlüssel sind schwerer zu knacken, wenn Sie Buchstaben durch Zeichen ersetzen – etwa „T“ durch „+“, „H“ durch „#“, „E“ durch „3“, „I“ durch „!“ oder „S“ durch „$“. Wenn Sie sich den Satz merken können „Meine Tochter heißt Sarah“, dann sollte das auch mit „M+#$“ klappen.
Nicht jedes Passwort lässt sich an die eigenen Bedürfnisse anpassen. Dann hilft nur noch Büffeln. Wirksam (und nicht nur bei Vokabeln bewährt) ist die Strategie, sich die Codes in wachsenden Abständen selbst abzufragen. Beginnen Sie dabei im Minutenabstand und steigern Sie die Zeiträume in Etappen. Wichtig ist, gerade selten benötigte Codes regelmäßig zu wiederholen. Sonst sind sie im entscheidenden Moment weg.
Das hieß also, dass Anonymous es auf HBGary Federal abgesehen hatte. Er öffnete sein E-Mail-Programm und schrieb eine Mail an andere HBGary-Manager, unter anderem Hoglund und Penny Leavy. „Jetzt werden wir direkt bedroht“, schrieb er. „Ich werde das morgen mit dem FBI besprechen.“
Sabu und die anderen sahen ruhig zu, wie er die Mail abschickte. Er klickte sich in den Chat mit Topiary zurück. „Okay, lass mich wissen, was ich tun kann“, schrieb er. „Hängt davon ab“, antwortete Topiary. „Was kannst du denn alles? Wir brauchen Hilfe, um an Info über Ligatt.com zu kommen.“ Barr atmete tief durch.
Falsche Sicherheit
Ligatt war eine Sicherheitsfirma, die ähnlich wie HBGary arbeitete; es sah also so aus, als ob seine Firma (vorläufig) noch verschont bleiben würde. „Ahhhh, Okay; ich schau mal, was ich finde“, schrieb Barr fast dankbar zurück. „Habe sie mir schon eine Weile nicht mehr angesehen. Sucht ihr was Bestimmtes?“ Er schien zu allem bereit, um HBGary aus der Schusslinie zu halten: „Mann, ich weiß gar nicht mehr, warum die vor einer Weile so beliebt waren. Es gab auch ziemlich viel Ärger wegen ihnen, oder?“ Nichts. „Bist du noch dran?“
Topiary hatte zu tun. Er saß mit den anderen an der Planung der Attacke. Es war nicht mehr viel Zeit, und er musste die Anonymous-Botschaft schreiben, durch die sie die Homepage von HBGaryFederal.com ersetzen würden. Erst eine Dreiviertelstunde später meldete er sich wieder: „Sorry wegen der Unterbrechung – bleib dran!“
Einige Stunden später, etwa sechs Stunden vor dem Super-Bowl-Anstoß, saß Barr dann in seinem Wohnzimmer und starrte entsetzt auf das Display seines Telefons, nachdem er begriffen hatte, dass er gerade aus seinem E-Mail-Account ausgesperrt worden war. Er rief Greg Hoglund und Penny Leavy an, um sie zu informieren, was gerade passierte. Dann rief er seine IT-Administratoren an. Die wollten sich mit Google in Verbindung setzen und versuchen, die Kontrolle über die Web-Seite von HBGary Federal zurückzugewinnen. Wegen der gestohlenen E-Mails könne man aber nichts mehr machen.
Die Falle schnappt zu
Als es an der Ostküste der USA langsam Abend wurde, machten sich die Anons in allen möglichen Zeitzonen rund um die Welt zum Zuschlagen bereit. Das Stadion der Cowboys in Arlington, Texas, füllte sich mit Zuschauern. Auf der anderen Seite des Atlantiks sah Topiary auf seinem Laptop zu, wie der Football über den Himmel zog. Er saß in seinem schwarzen Ledersessel, den er zum Spielen benutzte, riesige Kopfhörer übergestülpt. Er öffnete ein neues Fenster und loggte sich in Barrs Twitter-Account ein. Pünktlich zum Anstoß, begann er zu posten. Er fühlte keine Hemmungen gegenüber diesem Mann, er wollte es ihm richtig heimzahlen. „Okay, meine teuren Anonymous-Mitschwuchteln“, schrieb er von Barrs Twitter-Account aus, „Bleibt dran!“ Dann: „Hallo, ihr Arschlöcher, ich bin der CEO einer beschissenen kleinen Firma und krieche den Medien so tief in den Arsch, wie ich nur kann.“
Vertrauliche Mails für alle
Dann nahmen sich Sabu und Kayla die Seite von HBGary Federal vor. Sie ersetzten die Homepage durch das Anonymous-Logo. Unten auf der Seite gab es einen Link „HBGary-E-Mails herunterladen“, der zu Tflows Pirate-Bay-Datei führte. Jeder, der wollte, konnte sich damit Barrs vertrauliche E-Mails an seine Firmenkunden ansehen. Auf der neuen Homepage las man außerdem die offizielle Bekanntmachung, verfasst von Topiary: „Diese Domain wurde gemäß § 14 der Internet-Regeln durch Anonymous beschlagnahmt. Schöne Grüße an die Internet-,Sicherheits‘-Firma HBGary! Ihre Behauptungen, Anonymous ,infiltriert‘ zu haben, amüsieren uns genauso sehr wie Ihre kläglichen Versuche, Anonymous als Werkzeug einzusetzen, um sich Medienaufmerksamkeit zu verschaffen.“
FBI knackt internationale Kreditkarten-Betrügerbande
Um Viertel vor sieben Ostküstenzeit, nur 24 Minuten nach dem Anstoß des Super-Bowl-Endspiels, war die Arbeit der Hacker so gut wie getan. In Barrs Wohnviertel gab es kein Jubeln und Johlen von Nachbarn, die sich das Footballspiel anschauten; die meisten waren ruhige junge Familien. Mit einem mulmigen Gefühl loggte er sich wieder in die Anonymous-Chatrooms ein, um sich seinen Gegenspielern zu stellen. Die warteten schon: Barr wurde sofort in einen neuen Chatroom namens #ophbgary eingeladen. Die Spitznamen darin kannte er zum Teil, manche waren ihm auch neu: Neben Topiary, Sabu und Kayla las er Q, Heyguise, BarrettBrown und c0s. Letzterer bezog sich auf einen altgedienten Anon Mitte 30 namens Gregg Housh, der 2008 eine wichtige Rolle bei der ersten Welle groß angelegter DDoS-Angriffe von Anonymous auf die Scientology-Sekte gespielt hatte.
Barr gibt sich bekannt
„Wie gefällt Ihnen das Super-Bowl-Spiel?“, schrieb Q. „Hallo, Mr. Barr“, meldete sich Tflow. „Tut mir sehr leid, was Ihnen und Ihrer Firma bevorsteht.“ Schließlich tippte Barr: „Ich dachte mir schon, dass so etwas kommt.“ Barr versuchte es mit Überredung; er habe doch nur das Beste für die Gruppe gewollt. „Leute... ihr versteht das einfach nicht“, protestierte er. „Ich habe über Schwachstellen sozialer Netzwerke recherchiert. Ich hätte die Namen nie veröffentlicht.“ „LÜGNER.“ Das war Sabu. „Hast du vielleicht Montag früh keinen Termin beim FBI?“
„Die haben mich angerufen.“
Die Bombe platzt
„Oh, Leute. Was jetzt kommt, ist der leckere Nachtisch“, meldete Topiary. Tflow ließ die Bombe platzen. „Ich habe die E-Mails von Barr, Ted und Phil. Alle 68.000.“ „Lol“, antwortete Barr seltsamerweise. Er wollte einen lockeren Ton beibehalten und sich nicht eingestehen, wie schlimm es war. „Okay, Leute“, schrieb er. „Da habt ihr mich aber wirklich drangekriegt :).“
Das hatten sie in der Tat. Topiary verpasste ihm den Gnadenschuss. „Tja, Aaron, danke fürs Mitspielen bei unserem kleinen sozialwissenschaftlichen Experiment, ob du wohl mit den ,Neuigkeiten‘ über Anon zu deiner Firma rennen würdest. Du bist reingefallen, wir haben gelacht.“ Nach einer Pause fügte er hinzu: „Das war’s für dich. Du bist Geschichte.“
In den frühen Morgenstunden des Montags saß Barr immer noch im Arbeitszimmer an seinem Laptop. Vor ihm an der Wand hing eine Fotografie, die er im Oktober 2011 in New York erstanden hatte. Dort waren die Angriffe des 11. September immer noch sehr präsent, und nach einem Besuch auf Ground Zero hatte er eine kleine Galerie besucht, in der Amateuraufnahmen verkauft wurden, die während der Anschläge entstanden waren. Eine fiel ihm besonders auf: Im Hintergrund sah man das Chaos der eingestürzten Türme: Papiere und Trümmer überall verstreut, verstörte Pendler voller Staub irrten umher – und im Vordergrund saß unerschütterlich John Seward Johnsons berühmte Bronzestatue Double Check: ein Geschäftsmann im Anzug auf einer Parkbank, der in seine Aktentasche spähte. Das Bild gefiel ihm wegen dieses unwahrscheinlichen Kontrasts. Jetzt war Barr selbst dieser Mann – er hatte sich so sehr in seinem Ehrgeiz verfangen, dass er das Chaos um sich herum gar nicht bemerkt hatte.
Scherben zusammenkehren
Den nächsten Tag verbrachte Barr damit, Anrufe der Journalisten entgegenzunehmen. Während er verzweifelt versuchte, die Scherben seiner Existenz zusammenzusetzen, trafen sich Topiary, Sabu, Kayla und Tflow in ihrem privaten Chatroom. Sie beglückwünschten sich gegenseitig, durchlebten ihren Sieg immer wieder, lachten und fühlten sich unbesiegbar. Sie hatten eine Internet-Sicherheitsfirma „übernommen“.
Sie konnten sich natürlich denken, dass jetzt Agenten des FBI anfangen würden, nach ihnen zu fahnden. Aber mit der Zeit wurden sich die Angehörigen dieses kleinen Teams einig: Die Zusammenarbeit gegen Barr hatte so gut funktioniert, dass sie es einfach wieder versuchen mussten – gegen andere Ziele für Anonymous und für jede gerechte Sache, die sich gerade anbot.
Keine Beute war zu gefährlich: eine berühmte Medieninstitution, ein Unterhaltungskonzern, sogar das FBI selbst war nicht tabu.