Inzwischen wussten die Hacker, dass Barr unter dem Spitznamen CogAnon in Anonymous-Chatrooms zu finden war und dass er in Washington D. C. lebte. „Wir haben alles von seiner Sozialversicherungsnummer über seine Militärakten bis zu seinen Sicherheitseinstufungen“, schrieb Sabu an die anderen. „Wir wissen sogar, wie oft er am Tag aufs Klo geht.“ Gegen acht Uhr morgens Ostküstenzeit am Sonntagmorgen beschlossen sie, ihm schon mal ein wenig Angst zu machen. Als Barr sich als CogAnon in das Anon-Ops-Chatnetzwerk einloggte, schickte Topiary ihm eine private Nachricht. „Hallo“, begann Topiary. „Hi“, schrieb CogAnon zurück. „Wir suchen Freiwillige für einen Einsatz im Bereich Washington. Interessiert?“ Barr ließ 20 Sekunden verstreichen, dann antwortete er: „Vielleicht. Hängt davon ab, worum es geht.“ Topiary kopierte die Antwort zum Mitlesen in den anderen Chatroom. „Hahahahaa“, schrieb Sabu.
„Ich sehe an deinem Hostserver, dass du in der Nähe unseres Ziels wohnst“, schrieb Topiary an Barr. In Washington D. C. Barr stockte der Atem. „Ist das Ziel konkret oder virtuell?“, tippte er.
Wie hatten sie entdeckt, dass er in D. C. wohnte? „Virtuell“, antwortete Topiary. „Alles an Ort und Stelle.“ Dann ließ er die Anons wieder mitlesen. Topiary wollte ihm noch etwas Angst einjagen: „Unser Ziel ist ein Sicherheitsdienstleister“, schrieb er. Barr wurde es flau im Magen.
Merkregeln für sichere Passwörter
Zugegeben, „Password“, „12345“, „qwert“, „0000“ oder der eigene Name sind leicht zu merken. Trotzdem sollte sich, wer eine dieser Zeichenfolgen als Zugangscode für das Konto, den Computer oder die Kreditkarte gewählt hat, schleunigst Gedanken über sicherere Alternativen machen. Denn viel leichter kann man es Hackern kaum noch machen.
Doch selbst ein schwacher Schutz ist besser als gar keiner. Aktivieren Sie deshalb am Mobiltelefon neben der PIN-Abfrage der SIM-Karte auch den Passwortschutz des Gerätes selbst. So wird nicht nur die SIM, sondern auch das Mobiltelefon für Diebe unbrauchbar. Prüfen Sie zudem, ob die Passwortabfrage in Ihrem heimischen schnurlosen Funknetz (WLAN) aktiv ist. Sonst surfen Fremde kostenlos mit.
Vermeiden Sie es, identische Passwörter für mehrere Zwecke zu nutzen. Wer im WLAN-Netz eines Cafés den gleichen Zugangscode zur Abfrage der E-Mails verwendet wie daheim für Zugriffe auf das Online-Bankkonto, handelt fahrlässig. Denn die Codes werden über Funk meist unverschlüsselt übertragen. Sicherheitsexperten empfehlen, wenigstens drei unterschiedlich komplexe Schlüssel für unterschiedlich sensible Anwendungen einzusetzen. Wichtig: Wenn die Gefahr besteht, dass ein Passwort bekannt geworden ist oder gar geknackt wurde, tauschen Sie es sofort aus.
Auch bei Passwörtern gilt: „Viel hilft viel“. Je länger und komplexer die Codes sind, desto sicherer sind sie. Je weniger Systematik und Semantik in ihnen steckt, desto besser. Vor allem der Einsatz von Sonderzeichen wie §, &, $ oder @ steigert die Zahl der Passwort‧alternativen enorm. Leider nur sind diese Schlüssel auch schwerer zu merken.
Reine Zahlencodes wie Handy-, EC- oder Kreditkarten-PINs geraten im alltäglichen Informationswust allzuleicht in Vergessenheit. Sie lassen sich besser merken, wenn Sie diese mit emotional relevanten Fakten assoziieren – und die voreingestellten Codes der Karten entsprechend umprogrammieren. Vergessen Sie Ihr Geburtsdatum, das recherchieren Datendiebe im Zweifel auch. Wie wäre es aber mit dem Tag, an dem Ihr Lieblingsverein zum letzten Mal Meister wurde, Sie Ihr Diplom gemacht oder die Ausbildung abgeschlossen haben? Darauf kommt keiner – und Sie können es zur Not sogar nachschlagen.
Sicherer als reine Zahlen-PINs sind Kombinationen aus Zahlen und Buchstaben. Sie haben am 31. März 89 geheiratet? Lesen Sie im Wechsel die Buchstaben von hinten, die Zahlen von vorn: „3z1r8ä9m“ ist schwer zu knacken, für Sie aber leicht zu merken. Mischen Sie die letzten vier Zeichen des Geburtsorts der Mutter und des Geburtsdatums des Vaters und lesen sie beides rückwärts. „h1c4i0r1“ errät niemand – Sie müssen sich lediglich die Systematik merken.
Merken Sie sich statt vieler Zahlenfolgen nur eine, mit dem Sie alle anderen verschlüsseln. Die können Sie dann sogar im Adressbuch notieren. Wählen Sie ein Wort, bei dem sich in den ersten zehn Buchstaben keiner wiederholt, zum Beispiel „Aktienkurs“, „Herbstwald“ oder „Blumengruß“. Ersetzen Sie die Ziffern Ihrer PIN durch die an der entsprechenden Stelle Ihres persönlichen Schlüsselwortes stehenden Buchstaben. Bei „Herbstwald“ würde aus „4735“ der Code „bwrs“, aus „901628“ das neue „ldhtea“. Für Sie ist der Weg zurück ein Leichtes. Doch wer Ihr Geheimwort nicht kennt, hat kaum Chancen, die ursprüngliche Zahlenfolgen zu rekonstruieren.
Zumeist sind PINs und Passwörter relativ kurz. Wer – etwa bei der Wahl des Zugangsschlüssels für das WLAN-Funknetz, aber auch beim Start des PCs – die Möglichkeit hat, kann auch statt weniger Zeichen viele Buchstaben verwenden und sich einen Satz mit einem starken persönlichen Bezug merken: „Wedeln_im_Tiefschnee_ist_mein_Traum“ weiß ich sogar im Tiefschlaf. Sie finden sicher Ähnliches.
Sehr sichere – aber deutlich kürzere – Codes lassen sich mithilfe von Sätzen oder den Titeln Ihrer Lieblingsbücher, -bands oder -hits bilden. Aus den ersten Buchstaben von „Seit 10 Jahren schnorchele ich vor Hawaii“ wird dann „S1JsivH“, aus den jeweils beiden letzten von „Money for nothing“ wird „ngorey“. Auch hier ist nur wichtig, dass Sie sich die Systematik merken. Ihren Lieblingstitel sollten Sie ohnehin kennen.
Selbst vergleichsweise einfach zu merkende Schlüssel sind schwerer zu knacken, wenn Sie Buchstaben durch Zeichen ersetzen – etwa „T“ durch „+“, „H“ durch „#“, „E“ durch „3“, „I“ durch „!“ oder „S“ durch „$“. Wenn Sie sich den Satz merken können „Meine Tochter heißt Sarah“, dann sollte das auch mit „M+#$“ klappen.
Nicht jedes Passwort lässt sich an die eigenen Bedürfnisse anpassen. Dann hilft nur noch Büffeln. Wirksam (und nicht nur bei Vokabeln bewährt) ist die Strategie, sich die Codes in wachsenden Abständen selbst abzufragen. Beginnen Sie dabei im Minutenabstand und steigern Sie die Zeiträume in Etappen. Wichtig ist, gerade selten benötigte Codes regelmäßig zu wiederholen. Sonst sind sie im entscheidenden Moment weg.
Das hieß also, dass Anonymous es auf HBGary Federal abgesehen hatte. Er öffnete sein E-Mail-Programm und schrieb eine Mail an andere HBGary-Manager, unter anderem Hoglund und Penny Leavy. „Jetzt werden wir direkt bedroht“, schrieb er. „Ich werde das morgen mit dem FBI besprechen.“
Sabu und die anderen sahen ruhig zu, wie er die Mail abschickte. Er klickte sich in den Chat mit Topiary zurück. „Okay, lass mich wissen, was ich tun kann“, schrieb er. „Hängt davon ab“, antwortete Topiary. „Was kannst du denn alles? Wir brauchen Hilfe, um an Info über Ligatt.com zu kommen.“ Barr atmete tief durch.
Falsche Sicherheit
Ligatt war eine Sicherheitsfirma, die ähnlich wie HBGary arbeitete; es sah also so aus, als ob seine Firma (vorläufig) noch verschont bleiben würde. „Ahhhh, Okay; ich schau mal, was ich finde“, schrieb Barr fast dankbar zurück. „Habe sie mir schon eine Weile nicht mehr angesehen. Sucht ihr was Bestimmtes?“ Er schien zu allem bereit, um HBGary aus der Schusslinie zu halten: „Mann, ich weiß gar nicht mehr, warum die vor einer Weile so beliebt waren. Es gab auch ziemlich viel Ärger wegen ihnen, oder?“ Nichts. „Bist du noch dran?“
Topiary hatte zu tun. Er saß mit den anderen an der Planung der Attacke. Es war nicht mehr viel Zeit, und er musste die Anonymous-Botschaft schreiben, durch die sie die Homepage von HBGaryFederal.com ersetzen würden. Erst eine Dreiviertelstunde später meldete er sich wieder: „Sorry wegen der Unterbrechung – bleib dran!“
Einige Stunden später, etwa sechs Stunden vor dem Super-Bowl-Anstoß, saß Barr dann in seinem Wohnzimmer und starrte entsetzt auf das Display seines Telefons, nachdem er begriffen hatte, dass er gerade aus seinem E-Mail-Account ausgesperrt worden war. Er rief Greg Hoglund und Penny Leavy an, um sie zu informieren, was gerade passierte. Dann rief er seine IT-Administratoren an. Die wollten sich mit Google in Verbindung setzen und versuchen, die Kontrolle über die Web-Seite von HBGary Federal zurückzugewinnen. Wegen der gestohlenen E-Mails könne man aber nichts mehr machen.