[Chaos CD]
[Datenschleuder] [54]    Prof. Brunnstein
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

Prof. Brunnstein

..und seine gesammelten Pannen:

Spaß (Fun) am Absturz von Computern und Netzen?

Computer haben Fehler - aber nur wenigen Leuten machen diese Fehler soviel hämische Freude wie dem ewigen Mahner Prof. Dr. Klaus "Kasssandra" Brunnstein. Auf dem CCCongress präsentierte er eine bunte (nicht allzu systematische) Auswahl aus seiner Sammlung von Pleiten, Pech und Computerpannen. Brunnsteins zynische Vorträge regen auch weit über den Bereich der Computerexperten hinaus die Hörer zum Nachdenken und Lachen an. Wie alle Informatiker geht allerdings auch Brunnstein von der falschen Vorstellung aus, daß alle Probleme im Prinzip lösbar sind.

Zuerst mußte Dr. Brunnstein den gespannten Zuhörern erklären, daß er es mit dem "Spaß" am Absturz von Computern und Netzen nicht ganz ernst meinte. Ein solcher Ausfall bedeutet für die Anwender und Unternehmen den Verlust vitaler Funktionen. Mittlerweile beherrscht die Informationstechnik unsere Arbeitswelt derart, daß schon ein kleiner Ausfall ein gesamtes Unternehmen gefährden kann.

Als Beispiel nannte er die hochvernetzten Güterleitsysteme, bei denen nur eine Systemkomponente auszufallen braucht, um den gesamten Verkehr zum Zusammenbruch zu bringen- etwa die Probleme im Stellwerk Hamburg-Altona im März diesen Jahres. Wahrlich eine "Funktionsminimierung" oder "Beeinträchtigung eines Zuges", wenn dieser zwar in einen Bahnhof einfahren, aber nicht mehr ausfahren kann.

Wesentlich dramatischer als die Probleme beim Güterverkehr ist der Transfer von Geld über die Datennetze. Im Gegensatz zu den 30km/h, die ein Autofahrer oder Radfahrer im Stadtverkehr mit seinem Geld zurücklegt, reist das Geld in den Netzen mit nahezu Lichtgeschwindigkeit. Das bekannteste Netz ist das SWIFT-Netz, das neben der Deutschen Bundesbank auch alle deutschen Geschäftsbanken benutzen. Dieses Netz ist natürlich auch nicht vor Fehlern gefeit.

Neuester Vorfall: Während einer Abhebung begab sich der Autorisierungsrechner einer Hamburger Bank ins digitale Nirwana, ein Datensatz wurde nicht korrekt angelegt. Das Geld der Transaktion wurde mehrfach abgebucht. Noch bevor der Bank das Ausmaß des Fehlers bewußt war, hatte "eine Hamburger Boulevardzeitung" schon eine treffende Schlagzeile parat: "Hamburger Bank betrügt Bankkunden". Im Endeffekt betraf dieser Fehler 400 Kunden und war schnell wieder beseitigt.

Macht man sich aber bewußt, daß die Deutsche Bundesbank einige hundert Milliarden Mark pro Tag transferiert, nimmt die Katastrophe schon ganz andere Formen an. Denn selbst hier passieren »kleinere Fehler«,von denen die Öffentlichkeit nichts erfährt,

Demgegenüber ist die Naivität mancher Bankkunden unglaublich. Mit großer Freude über die neue Freiheit des Homebanking stürzt sich eine wahre Flut von Netzbürgem gedankenlos in das T-Online-Getümmel. Der neue Name "T-Online" klingt sicher werbewirksamer als "DATEX-J" und wichtiger als "Bildschirmtext".

Aber, so Brunnstein: "Die Umbenennung hat den Service nicht sicherer gemacht." Darüber kann den Fachmann auch die stark durchgestylte Oberfläche nicht hinwegtäuschen.

Am Rechenzentrum des Fachbereichs Informatik ist derzeit der Ausfall des kompletten Mailsystems zu beklagen, da sich eine Klimaanlage verselbständigte und der VAX 30 Grad Celsius zumutete, woraufhin diese spontan den Dienst quittierte. Die UNIX-Rechner betraf es allerdings nicht.

Brunnstein: »Die UNIX-Kisten brauchten kein solches Klima wie die schöne unsichere VAX.«

Auf den Versand von Mails kann der Student und Dozent ja vielleicht noch verzichten - aber ein Wirtschaftsunternehmen sieht bei größeren Einschränkungen schon recht alt aus. Hier eine kleine Übersicht der Ergebnisse einer IBM-Studie über die Überlebensfähigkeit von Untemehmen bei einem Rechnerausfall im Vergleich zu heutigen Schätzungen:


IBM-Studie '92

Heute ca.

Finanzen

2 Tage

12-24 Stunden

Handel

3,3 Tage

24-48 Stunden

Produktion und Industrie

4,8 - 4,9 Stunden

Wenige Minuten

Versicherungen

5,6 Tage

Mehrere Tage

Durchschnitt

4,8 Tage

?



Die Urzeit

Am Anfang der Computerisierung des alltäglichen Lebens gab es derlei Probleme kaum. In der ersten Phase (ungefähr zwischen 1950 und 1970) gab es nur schwer angreifbare Mainframe-Rechner, die nur von eingefleischten Fachleuten bedient wurden. Die angeschlossenen Terminals waren zwar unintelligent, beeinträchtigten den gesamten Netzverkehr bei einem Absturz nicht.

Heutzutage verliert selbst der gewiefteste Anwender bereits unter "MS-DOOF" (Brunnstein) die Kontrolle über Dateien auf seinem Rechner. Sicherlich gäbe es mehr mündige und sicherheitsbewußte Benutzer, wenn Netzwerke und Informatik Bestandteil der Schulbildung wären. Die Sparpolitik im Bildungswesen ist gerade bei der schnellen Entwicklung unserer Infonnationsgesellschaft eine große Gefahr.

Ebenso kritisiert Dr. Brunnstein Anwender, die trotz Warnung ihre Disketten ohne Schreib- schutz in verseuchte Rechner stecken oder leicht zu erratende Passwörter verwenden.

Diese gesamte Fehlntwicklung führte Dr. Brunnstein auf Bill Gates zurück:

Die Schöpfungsgeschichte

Es begab sich zu einer Zeit daß sich Mr. Gates in dem Gedanken verirrte, einen "Homecomputer" zu entwickeln. Noch fataler war die Benennung dieses Gerätes als "Personal Computer". Das für den Heimbedarf entwickelte Gerät war einfach nicht bereit für die Welt. Gates in einem Focus-Interview: »Bei mir gibt es keine Bugs. Die Eigenschaften sind Features. Ich habe ein gut zu verkaufendes System für den Homebereich entworfen. Für gewerbliche Nutzung wurden die Systeme nicht gedacht.«

Das merkt man.

Wem das noch nicht genügt: Einst sollte eine Weltraumsimulation auf einem Mainframe-Rechner Typ PDP-1 entwickelt werden. Die Anlage hatte einen übersichtlichen Aufbau. Der unter strengen Sicherheitsauflagen entworfene Betriebssystemkern wurde entfernt, denn das System war ja schließlich nicht für die Öffentlichkeit gedacht. Das, was übriggeblieben ist kennt heute jeder als UNIX oder entsprechendes Clone.

Besonders anfällig ist das UNIX-Passwortsystem: die sensiblen Daten sind in einer für alle zugänglichen Datei gespeichert, zwar verschlüsselt, aber mit Hilfe eines "Dictionaries" (einer Sammlung von häufig benutzten Passwörtern) leicht zu knacken. Erfahrungsgemäß deckt ein solcher Angriff 30% der Passwörter auf.

Weichen wir erst gar nicht von Dr. Brunnsteins Lieblingsthema Microsoft ab.

Die größten Schäden in einem LAN (Local Area Network) können zwar von netzinternen Rechnern verursacht werden - sei es von naiven oder schlecht trainierten Benutzern oder rachsüchtigen Datenterroristen. Nicht ungefährlich sind aber auch Outside-Attacks.

Thema Nummer eins in der Virenszene sind im Moment die Makroviren. Leider hat fast niemand der Microsoft-Gläubigen auf einer OEM-CD Viren vermutet, sonst hatte sich der Schaden durch das Word Macrovirus eingrenzen lassen. Zwar wurden die Vertriebspartner mit (teils sehr dürftigen) Informationen versorgt, aber der Endbenutzer wurde nicht informiert.

Da Dr. Brunnstein in Fachkreisen auch als »Virengott« gehandelt wird, durfte an dieser Stelle auch ein kleiner Exkurs in dieses Lieblingsthema nicht fehlen. Mittlerweile existieren für den PC über 8000 Viren. Bislang blieben nur Alpha-PCs und Power-PCs von der Seuche verschont. Wer allerdings z.B. sein Linux-System über den normalen Bootblock lädt, fängt sich genauso leicht PC-Bootblock-Viren ein. Gefährlich sind natürlich ebenso die schon genannten Makro-Viren. Einer Bewerbung im Word 6.0-Format, die bei einer Firma eintraf, gelang es, ein gesamtes LAN (Local Area Network) auf die Hardware zu reduzieren.

Die Funktionsweise ist simpel: Word 6.0 kann über WordBasic gesteuert werden. WordBasic bietet fast alle Funktionen eines Betriebssystems an, das Virenbauen wird dadurch einfach und lustig wie Lego-System. Und Makroviren sind keine neue Erfindung: den ersten Virus fand Brunnstein auf einem Lotus 1-2-3-System bereits 1970.

Völlig neue Perspektiven öffnen sich dem Java-Interessierten. Diese Programmiersprache für das World-Wide-Web lassen die Gestaltungsmöglichkeiten für Viren nur erahnen.

Bei Dr. Brunnstein kam eine Version dieser Viren selbst vor. Am Ende eines jeden WinWord-Dokuments stand plötzlich die Zeile ,,Stop all french nuclear testing in the pacific!". Eine gute Message, aber vielleicht das falsche Medium? Wer F-Prot oder ähnliche Virenkiller hat, die auch Makroviren jagen, der sei gewarnt: es werden nicht alle gefunden!

Das muß zwar nicht immer wie in China enden, wo ein Hacker wegen seiner Aktivitäten hingerichtet wurde. Aber wer sich erwischen läßt, hat schlechte Karten. Besonders dumm stellte sich der Hacker Black Baron an, der den Smeg-Virus entwarf und seinen Namen im Code hinterließ. In Großbritannien verursachte sein Virus einen Schaden von schätzungsweise rund 1,3 Mio. Mark. Am 26. Mai 1994 wurde Black Baron schuldig gesprochen, da er schließlich seine Aktivitäten zugab. Am 15. November 1995 wanderte er für drei Jahre ins Gefängnis. Und das ist noch ein mildes Urteil. Ein Armutszeugnis (jedenfalls nach Brunnsteins Meinung) sind dann schon eher die britischen Zeitungsschlagzeilen wie »Computer Genius« oder »Einer der cleversten Programmierer des Landes«.

Die Fehlermöglichkeiten in einem System teilt Dr. Brunnstein ein in:

  • Disfunktionalitäten: sie entstehen durch falsche Implementierung (Bugs)

  • Mißbrauch: dazu zählt das "Abhören" von Passwörtern oder der Mißbrauch von Zugriffsrechten (die unter Novell und UNIX zum Teil schwer zu überblicken sind)

  • Anomalien: dies sind z.b Kettenbriefe, Würmer, Viren und andere böse Scherze.

Zum anderen unterscheidet Brunnstein die scheinbar destruktiven Aktivitäten in einem Netz in Hacking und Cracking. Hacking ist die Offenlegung von Systemunsicherheiten - und sollte nicht als kriminelle Handlung ausgelegt werden, Cracking fängt spätestens da an, wo Koffer voll sensibler Daten beim KGB einen Erlös von 90.000 DM bringen -Datenspionage also.

Auch die Unzulänglichkeiten im Internet (das auf dem unsicheren TCP/IP-Protokoll basiert) sind vielen bekannt. Das Computermagazin c't veröffentlichte z.B. eine Lobrede von Bill Clinton über diese Zeitschrift. Schade nur, daß die Mail von c't-Mitarbeitern mit gefälschten Mail-Headern generiert und über den Mailserver des Weißen Hauses verschickt wurde.

Es gibt genügend Beispiele für Rechnerunsicherheit, die allesamt zu Dr. Brunnsteins Lieblingsstories gehören. Realzeitsteuerungen elektronischer Bestrahlungssysteme, die Amok laufen und Patienten verbrennen, Flugsteuerungen der Firma Airbus, die den Piloten dermaßen verwirren, daß er ohne Computer besser klarkäme, die Altona-Stellwerk-Affäre und vieles mehr. Häufig ließen sich diese Fehler leicht vermeiden, indem die Hersteller beim Entwurf der Systeme sorgfältiger wären.

Zum einen gibt es da den "Unlust-Faktor" - er steht für die Nachlässigkeit und Inkompetenz in der Entwurfsphase. Auch benutzerbedingte Fehler gehören in diese Kategorie. Zum »Frust-Faktor« zählt die Komplexität eines Systems, die von den Anwendern weder gewünscht noch beherrschbar ist.

Bill Gates behauptet in Interviews immer wieder, daß sich "die Anwender" all' die zusätzlichen Funktionen wünschen, die Computerprogramme immer mehr aufblähen, Der Teufelskreis aus noch leistungsfähigerer Hardware und noch anspruchsvollerer Software schließt sich.

Heute sind wir alleine durch unsere Abhängigkeit von Elektrizität stark gefährdet - siehe Tschernobyl. Unser Zeitalter ist durch die coMputergestötzte Kommunikation geprägt. Die Datenautobahnen helfen nicht auf der Suche nach einem Weg durchs Chaos.

Die Informationen aus dem Netz sind häufig nichts wert und stammen aus undurchsichtigen Quellen. Im Netz existiert daher momentan eher eine Kumulation von Informationsmüll. Was im Endeffekt abstürzt, ist die "Müllproduktionsanlage". Wer geschickt falsche Informationen im Netz ablegt, kann daraus durchaus seinen Nutzen ziehen. Da fällt mir nur der Intro-Bildschirm des Terminalprogramms "Terminate" ein, der da nachdenklich meinte: "Never underestimate the power of information. One day those who control the flow of information will control the world." (,,Unterschätzen Sie niemals die Macht der Information. Eines Tages wird derjenige die Welt beherrschen, der die Informationen steuert.") Wollen wir hoffen, daß dieses Black-Scenario keine Realität wird.

Die abschließende Diskussion mußte nach fast einer Stunde abgebrochen werden,denn die Themen waren sehr brisant: Ist der Anwender ein mündiger Anwender? Muß er sich um seine Mündigkeit selbst bemühen? Ist eventuell sogar das komplette Schulsystern nicht auf Entwicklung der Inforinationsgesellschaft eingestellt? Bislang muß sich jeder selbst weiterbilden und mit Interesse am Ball bleiben, sonst wird er vielleicht einfach überrollt.

Weiterlesen: Newsgroup comp.risks

Christoph Haas, cand. Dipl. inform.

 

  [Chaos CD]
[Datenschleuder] [54]    Prof. Brunnstein
[Gescannte Version] [ -- ] [ ++ ] [Suchen]