ths

2001 bin ich im Rahmen eines Linken Projektes in den südlichen Senegal gereist, um dort eine Internet-Infrastruktur aufzubauen und die Leute im Umgang mit Computer und Internet zu schulen. Das Ziel war es vor allem, den ungehinderten Zugang zu Informationen zu fördern und somit Bildung voranzutreiben.

Heute zerstören andere linke Gruppen die Internet-Infrastruktur in Deutschland. Weil hier "insbesondere Daten" fließen. "Daten als Basis der Erfassung zur Be- und Ver-wertung von allem. [sic!]" (Link)

Ihr seid so arrogant. Glaubt ihr denn, die in Deutschland lebenden Menschen benötigen keinen ungehinderten Zugriff auf Informationen und Bildung?

Als Mitbegründer einer in den 90er Jahren gestarteten linken Kommunikations-Infrastruktur in Deutschland habe ich mich lange schon mit der Fragestellung der Dezentralisierung wichtiger Infrastruktur befasst - das ist heute aktueller denn je: Wir müssen mehr Mail- und Jabber-Server betreiben und TOR-Nodes bereitstellen. Im idealen Fall betreibt jeder Mensch einen eigenen Mailserver um repressiven Schlägen gegen zentrale Mailprovider vorzubeugen. Die heutige Technik erlaubt all das, wovon wir in den 90ern geträumt haben: In den meisten deutschen Ballungsregionen ist der Betrieb eigener Server mit den vorhandenen Breitbandanschlüssen technisch umsetzbar.

Und genau hier setzt eure Sabotage-Aktion an: Die Zerstörung der Kommunikations-Leitungen an Bahntrassen trifft Privatleute. Die Konzerne und Banken gegen die sich eure Wut zurecht richtet besitzen redundante Rechenzentren mit mehreren Internetanbindungen. Im Bankenumfeld ist dies sogar gesetzlich vorgeschrieben.

Im Lower Class Magazine wird völlig zurecht die Bewegung 2. Juni zitiert:

Die Aktionen "sollten Menschen politisch für uns gewinnen und sie nicht dem Staat in die Arme treiben. Es ist keineswegs besonders revolutionär, auf die Sympathien des Volkes zu scheißen." (Link)

Eure Aktion bewirkt das Gegenteil dessen, was ihr wirklich wollt.

Unser Land entwickelt sich wie andere westliche Staaten auch, zu einem Überwachungsstaat der die freie Nutzung des Internet mit allen Mitteln bekämpft. Die Regierungen implementieren umfassende Überwachungsmaßnahmen wie die Vorratsdatenspeicherung und den Staatstrojaner, obwohl ganz offensichtlich gegen die Verfassung verstoßen wird. Die Innenministerien und Geheimdienste haben Angst vor freier, unkontrollierbarer und redundanter Infrastruktur. Deswegen sind sie dabei Verfahren zu verbieten und zu reglementieren, die eine Basis für ein freies Kommunikationsnetzwerk bilden.

"Alles, was der Feind bekämpft, müssen wir unterstützen; alles, was der Feind unterstützt, müssen wir bekämpfen." (Mao Tse-Tung)

Der Staat tritt dem Internet energisch entgegen und malt es in den schwärzesten Farben. Das zeigt, dass die Funktion des Internets glänzende Erfolge erzielt hat. Go figure!

Heute haben Frank Rieger und ich einen Vortrag ueber die Realität in der Online-Werbe-Industrie auf der re:publica gehalten.

Mit dem Vortrag wollten wir das Bewusstsein fuer die Probleme mit Schadsoftware in Ad-Netzwerken schärfen - vermutlich haben wir auf der Konferenz genau die richtige Zielgruppe getroffen. Viele Leute fragten nach unseren Slides - diese habe ich soeben hochgeladen. Viel Spass damit: http://dev.io/presentations/RP10-Adwars_final.pdf

Online-Medien und -Verlage müssen für die Arbeit, die sie leisten, bezahlt werden. Ich weiß. Nicht alle Werbeverweigerer sind Schmarotzer – die meisten wollen auch für die dargebotenen Inhalte bezahlen. Bislang hat es jedoch noch kein Verlag geschafft, ein sinnvolles Bezahlmodell zu implementieren. Ich weiß.

Ich mische mich jetzt, wie viele andere vor mir, auch einmal in die Debatte um die AdBlocker-Blockade von Bild.de ein. Die Bild-Zeitung hat nämlich vor einigen Tagen damit begonnen, diejenigen Leserinnen auszuschliessen, die AdBlocker im Web-Browser nutzen. Das ist ihr gutes Recht und vollkommen legitim – es ist ihr Angebot, sie können es gestalten und einschränken wie es ihnen beliebt.

Was wir hier allerdings sehen, ist die Spitze eines Eisbergs: Der Springer-Verlag beauftragte offenbar eine Anwaltskanzlei damit, unliebsame Erfinder mundtot zu machen. Die Anwälte verschickten laut Golem eine Abmahnung mit Unterlassungserklärung und Anwaltsrechnung an den Erfinder eines Verfahrens zur Umgehung der AdBlocker-Sperre von Bild.de. Vermutlich warten alle großen Medienhäuser gespannt auf die Ergebnisse dieser Block-und-Abmahn-Aktion. Bild.de ist, aus Medienperspektive, mutiger Vorreiter in einem Kampf gegen die eigenen Leser: Wie viel kann den Konsumenten des eigenen Portals zugemutet werden, wie viel Widerstand wird es geben? Was folgt aus der abschließenden Rechtssprechung? Offenbar fragt sich aber niemand: Was können wir auf unserer Seite tun, um es auch den Konsumenten recht zu machen?

Ich bin ein Konsument, ich habe auch verstanden, dass die Verlage derzeit überwiegend ihr Geld mit den Werbebannern verdienen. Ich wäre also theoretisch auch bereit, mich mit Werbebannern bespielen zu lassen, solange es kein sinnvolles Finanzierungsmodell in unserer Online-Medienlandschaft gibt. Allerdings nur theoretisch - aus zwei Gründen.

Erstens ist Werbung im Internet grauenvoll: Sie blinkt, sie lenkt ab, sie ist alles andere als ansehnlich. Und oft unpassend. Es kann vorkommen, dass neben Artikeln über Krieg oder Katastrophen ein blinkendes Werbebanner für einen Elektronikmarkt erscheint. Vermutlich kann das menschliche Gehirn das nach einer gewissen Zeit sogar partiell ausblenden. Meins kann es nicht.

Zweitens: Mein Arbeitsspeicher gehört mir.

Ein Ad-Network, welches üblicherweise als Dienstleister für Onlineportale genutzt wird, bringt eine Gefahr mit sich: Schadsoftware. Sie gefährdet willkürlich arglose Nutzer, die eine beliebige Webseite besuchen – und dabei spielt es keine Rolle, ob es eine wohlbekannte, legitime News-Website ist oder ein Webserver zum Tauschen von Pornobildern: Beide werden im Zweifelsfall vom gleichen Ad-network mit Werbung und Schadsoftware beliefert. Das betrifft uns alle, auch wenn es im Moment so aussieht, als würde sich nur eine Randgruppe um die Problematik kümmern.

Wettlauf der Werbeindustrie gegen die Anti-Viren-Industrie

Auch verlagseigene Adware-Netzwerke können mit schadhaften Werbebotschaften infiziert werden. Weder Google noch Apple oder Microsoft schaffen es, ihre App-Stores frei von Schadsoftware zu halten – warum sollte es ausgerechnet Springer gelingen, das Halteproblem zu lösen?

Nein, das wird so bald niemandem gelingen. Warum dann nun ausgerechnet die Werbeindustrie ein Problem darstellt, wenn es um die Sicherheit der PCs der Leserschaft geht? Weil ich gezwungen werden soll, potentiell schadhaften Code auf meinem Arbeitsrechner ausführen zu lassen. Und zwar nur, weil ich meine Nachrichten ausschließlich online konsumieren will.

Werbeanzeigen bestehen in der Regel nicht aus einem statischen Bild oder Text: Flash- Programme, JavaScript und Java-Applets werden genutzt, um Code auf dem Rechner des Konsumenten auszuführen. Und es wird auch nicht weniger unübersichtlich, da die Gewinnmarge aus einem Online-Advertisement auf zahlreiche Unternehmen aufgeteilt wird und jeder mitverdienen möchte, werden Werbeanzeigen immer komplexer. Sie verschleiern mehr und mehr ihr Tun, um Schutzsoftware wie Webbrowser-Plugins und diese von unserer Bundesregierung empfohlene "Anti-Viren-Software" zu umgehen.

In Werbe-Netzwerken wird nicht nur geworben, sondern auch getrackt, analysiert und geschnüffelt was das Zeug hält. Streng genommen verhält sich die Werbeindustrie wie die Viren-Coder-Szene vor zwei Jahrzehnten: Sie liefert sich ein Katz-und-Maus-Spiel mit der Antiviren-Industrie.

Die folgende Grafik illustriert anhand eines vom Werbenden investierten Dollars, wo überall Kapital hängen bleibt und was letztlich beim Verlag des Online-Portals ankommt:

[Quelle: AppNexus / exchangewire.com - https://www.exchangewire.com/wp-content/ uploads/2015/09/Disappearing-Ad-Tech-Dollar-jpg.jpg]

Und als wäre dies nicht schon unübersichtlich genug, nutzen Ads in der Regel auch noch Verfahren, die eine Infektion der PCs ahnungsloser Leser mit Schadsoftware erheblich begünstigen. Und niemand kann etwas dagegen tun - außer Werbung grundsätzlich zu blockieren.

Das, liebe Verlage, kann doch nicht euer Ziel sein!

Mein Rechner gehört mir

Der Begriff Malvertising ist leider weder überraschend noch neu. Online-Werbung ist kein unwichtiger Weg, um zufällig Rechner mit Schadsoftware zu infizieren. Kriminelle entwickeln hierbei spezielle Programmcodes, um den Web-Browser unbemerkt auf eine Exploit-Landing-Page umzuleiten, von der dann weitere schadhafte Inhalte nachgeladen werden. Der nachgeladene Code setzt sich dann persistent im System oder im Webbrowser des Anwenders fest und gefährdet die Sicherheit und Integrität der auf dem PC verarbeiteten Daten. Der Werbe-Kanal wird schon seit langer Zeit für die Verbreitung von solcher Schadsoftware genutzt – es gibt also keinerlei Gründe, die das Bestehenbleiben eines solchen Kanals irgendwie rechtfertigen oder verharmlosen können.

[Quelle: The Verge Source // Cyphort Security]

Der Trend, ein Ad-Network als Virenschleuder zu missbrauchen, scheint aufwärts zu streben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann hinsichtlich dieser Schreckensszenarien sicher noch einige nützliche Hinweise aussprechen – etwa die Verwendung eines Werbeblockers und eines Anti-Tracking-Plugins wie Ghostery – zusätzlich zur bereits installierten oder empfohlenen Anti-Viren-Lösung.

Jedenfalls hat kein Verlag das Recht, mir einen Sicherheitsstandard für meine IT aufzudrängen. Ich möchte Code auf meinem Rechner erst dann ausführen, wenn ich damit einverstanden bin.

Es ist gefährlich, den Konsumenten zu verbieten, die Ausführung von unsigniertem, fremdem Code zu verweigern. Sollten bild.de und die anderen Verlage trotzdem damit durchkommen, wird das Sicherheitsniveau der Arbeitsplatzrechner und Heim-PC erheblich gesenkt. Das kann ganz sicher nicht das Ziel unserer Regierung und unserer Rechtssprechung sein.

Den Kampf gegen die eigenen Leser hätten die Verlage damit allerdings gewonnen. Ist dies das Ziel?

Besser wäre es doch, einen Konsens zu finden. Einen Weg, notwendige Werbeeinblendungen gefahrlos zu gestalten und das auch dem Leser zu beweisen, damit er getrost seinen AdBlocker abschalten kann. Das funktioniert allerdings weder mit dem juristischen Vorschlaghammer noch mit immer ausgeklügelteren Versteckspielchen der Tracking- und Malware-Industrie. Dazu müssten die Verlage ein wenig Geld in die Hand nehmen und im Zweifelsfall ihre externen Ad-Dienstleister unter Druck setzen – die kassieren schließlich mit.

Fazit

Meiner Meinung nach hat niemand das Recht, einen Menschen wegen der Erfindung eines Algorithmus oder einer Software zu verklagen oder ihn zum Unterlassen seines Schaffens aufzufordern.

Verlage sollten an die Befindlichkeiten ihrer Leser denken, um deren Vertrauen zu gewinnen. Die exemplarisch durchgeführte juristische Tracht Prügel bewirkt jedenfalls nicht, dass sich bei den Lesern Einsicht einstellt. Zuerst müssen Verlage eine vertrauensvolle Alternative als Basis schaffen, um Werbebotschaften unter das Volk zu bringen. Dann können sie sich in einem nächsten Schritt darum bemühen, den Leser zum Ausschalten des gewinnschmälernden AdBlockers zu bewegen.

tl;dr
Verlage müssen sicherstellen, dass die Werbung bei ihnen sicher ist, bevor sie Lesern verbieten, sich vor gefährlichen Bannern zu schützen.

From time to time, we publish security advisories about vulnerabilities in software. We always do Responsible Disclosure according to our Responsible Disclosure policy. There was only one exception to this principle in the past: a blog-posting about a minor flaw in HTC's SSL certificate handling routines which was basically a repeating issue in 2013.

Sometimes, vendors need a lot of time to fix their problems. That's totally fine with us and we always agreed on extending our timeline until public release of a security advisory. Sometimes we have to deal with a vendor or business that is not experienced with external security researchers submitting security advisories, following certain Responsible Disclosure policies. Most of the discussions with vendors are very friendly and considerately, concerning the risks the vendor and its customers may be exposed after publication. We never publish security advisories with the intention to harm vendor's reputation or its customer's system-security. We always convinced vendors and customers that it is beneficial for everybody to provide security relevant information to the public - in coordination with the vendor.

Some vendors refuse cooperation.

I think the reason for the refusal of cooperation is based on overvalued self-confidence, ignorance or chemtrails. Even staff of inexperienced vendors can usually be educated regarding the value and benefits of proper coordinated disclosure - the ones mentioned above not. And I am somehow tired of listening to flimsy excuses, menaces and threats of legal trouble.

Talking to Good

The reason for this blog-posting is Good Technology. In June 2013 we identified a remotely exploitable vulnerability in Good's Mobile Device Management (MDM) Suite "Good For Enterprise" that allowed remote attackers to hijack administrative accounts. We followed common responsible disclosure principles and contacted Good, providing a timeframe of 45 days to fix a simple, persistent Cross Site Scripting related vulnerability. They asked for another 60 days and said they would like to provide "updates or corrections" to the final version of our advisory. However, Good used the remaining 50% of the E-mail to express their understanding of their certain license conditions and provided their legal standpoint "just FYI". Eventually they emphasized their disrespect towards us with the following statement, knowing that nobody did any reverse engineering to benefit from their "secret sauce":

I could get our legal team to provide the exact language, but it pretty much disallows doing certain things with the software (i.e. no reverse engineering or other activities designed to discover our "secret sauce") - E-mail from GOOD, July 11th 2013

We didn't publish any detail about this vulnerability.

Yet.

In September 2015 we found another security vulnerability in probably all Good Technology products that make use of Good's Authentication Delegation mechanisms. We told Good Technology about a new vulnerability, and that we are undecided how to proceed, as Good told us in 2013: "our lawyers would definitely argue that disclosing the results could result in negative repercussions to Modzero."

Thus we asked how to proceed with the new security issue and proposed three options:

1. Responsible Disclosure,
2. Full Disclosure,
3. We keep everything private.

None of these were accepted by Good. They simply ignored all of our options and asked for technical details.

We decided to chose option two, Full Disclosure.

Because we are tired of dealing with lawyers, when we already provide quality assurance to the vendor for free. Because we do not provide reputation assurance to the guys with the lawyer-backed CIRT.

We do not agree with the manner how the messenger is blamed. We are not responsible for the failures of software vendors. We believe in failosophy, the way to recap and learn from own mistakes. We do not back down when we see that a vendor spends more effort with issuing gagging orders rather than fixing vulnerabilities. It is common that vendors are pretty pleasant these days when it comes to bug-reports. Many vendors even pledge bug-bounties to motivate researchers to submit their findings, rather than selling them on the black-market.

You are welcome.

---------------------------------------------------------------- v1 -

modzero  Security  Advisory:  Insecure application-coupling  in  Good
Authentication Delegation [MZ-15-03]

---------------------------------------------------------------------

---------------------------------------------------------------------

1. Timeline

---------------------------------------------------------------------

 * 2015-08-18: Vulnerability has been discovered
 * 2015-09-09: Vendor contact to agree on responsible disclosure
 * 2015-09-25: Public Disclosure.

---------------------------------------------------------------------

2. Summary

---------------------------------------------------------------------

Vendor: Good Technology, Inc.
Products known to be affected:
 * Combination of Android Good Dynamics SDK version 1.11.1206
   Android Good Access app version 2.3.1.626
   Android Good for Enterprise app version 3.0.0.415
   Good Control server version 1.10.47.31
   Good Proxy server version 1.10.47.2
   Good for Enterprise server version 7.2.2.5c
 * Other products, versions and apps using authentication-delegation
   may be affected as well.
Severity: Medium/High

The  Good Mobile  Device  Management solution  provides two  separate
Android  applications,  Good  for  Enterprise [1]  (a  mobile  device
management Android application with functionality such as E-Mail) and
Good   Access  [2]   (an   Android  application   that  has   similar
functionality as  a regular  browser app  to access  company intranet
servers). Both  apps use  the underlying  Good Dynamics  framework to
communicate with  the Good server  located in the  customer's company
network.

Authentication delegation  is a method  to provision the  Good Access
Android app by using the Good  for Enterprise Android app. Using this
mechanism, an employee does not  need to manually enter an activation
key to  provision the  Good Access  app, if  Good for  Enterprise was
already provisioned before.

Third-party apps can  spoof their identity and try  to request access
to company  servers and  data. Users could  be tricked  into allowing
access to  company intranet servers to  a faked Good Access  app. The
server  administrator   is  not  able   to  prevent  or   detect  the
unauthorized access.

A CVE has not yet been assigned to this vulnerability.

---------------------------------------------------------------------

3. Details

---------------------------------------------------------------------

As a  precondition for this  vulnerability, the Good servers  have to
allow access to intranet servers on  the company network via the Good
Access app. It is also  necessary to enable authentication delegation
through Good for Enterprise.

A  specially  crafted third-party  Android  app  can use  an  Android
package  name  that starts  with  "com.good.gdgma"  (the Good  Access
package name). Subsequently the app is able to announce itself as the
Good Access app to the authentication delegate (Good for Enterprise).
The user of the Android device has to explicitly grant access to this
third-party app  [3], even  though the specially  crafted application
might be indistinguishable from the legitimate  app for a user. It is
possible to activate not only one, but several faked apps through the
authentication  delegate (Good  for  Enterprise)  by using  different
package  names (e.g.  "com.good.gdgma.test1", "com.good.gdgma.test2",
etc.).

The Good Dynamics server administrator  can not distinguish between a
malicious third-party  app and  the legitimate app  accessing company
data, as  the provisioned app  in the  Good backend web  interface is
showing that Good Access was provisioned.

As  a  mitigation the  Good  for  Enterprise  app could  protect  its
authentication-delegation-API intent (Android IPC mechanism) with the
signature level  protection provided by the  Android operating system
(android:protectionLevel="signature"). Only apps signed with the same
private key can use such permissions.

---------------------------------------------------------------------

4. Impact

---------------------------------------------------------------------

After tricking  a user  into installing  a modified  application that
pretends  to  be  a  Good   Access  app  towards  the  authentication
delegation mechanism, the missing  authentication can be exploited to
gain access to the intranet  data via the Good servers. Additionally,
other   third-party  apps   could   request   permission  to   access
company-data from  the user  - the Good  server administrator  is not
able to prevent usage of such third-party apps.

---------------------------------------------------------------------

5. Proof of concept exploit

---------------------------------------------------------------------

As a  proof of concept, an  example app of the  Good Dynamics Android
SDK can  be used.  modzero used  the ApacheHttp  example application.
After  loading the  example project  in the  Android Studio  IDE, the
GDApplicationID variable in the included settings.json file has to be
changed  to "com.good.gdgma".  Additionally the  package name  in the
AndroidManifest.xml file must be changed  to a value that starts with
"com.good.gdgma". The included classes have to be refactored to match
the new  package name. After  installing the example  application and
clicking  the  button  to  use authentication  delegation,  Good  for
Enterprise will  show the  dialog to confirm  access to  company data
[3]. If  the user enters  his Good  for Enterprise app  password, the
malicious application is allowed to access intranet servers [4].

An alternative  to demonstrate the  issue is probably  to disassemble
the  Good Access  app  via apktool  [5], add  malicious  code to  the
application and reassemble the app via apktool.

---------------------------------------------------------------------

6. Workaround

---------------------------------------------------------------------

Users can deactivate authentication  delegation and revoke access for
Good Access. Another workaround is not known.

---------------------------------------------------------------------

7. Fix

---------------------------------------------------------------------

It is not known to modzero, if a security fix is available.

---------------------------------------------------------------------

8. References

---------------------------------------------------------------------

[1] https://play.google.com/store/apps/details?id=com.good.android.gfe
[2] https://play.google.com/store/apps/details?id=com.good.gdgma
[3] http://www.modzero.ch/advisories/media/good_dynamics_provisioning.png
[4] http://www.modzero.ch/advisories/media/good_dynamics_usage.png
[5] https://ibotpeaches.github.io/Apktool/

---------------------------------------------------------------------

9. Credits

---------------------------------------------------------------------

 * Tobias Ospelt

---------------------------------------------------------------------

10. About modzero

---------------------------------------------------------------------

The  independent  Swiss  company  modzero  AG  assists  clients  with
security analysis  in the complex  areas of computer  technology. The
focus  lies  on  highly  detailed  technical  analysis  of  concepts,
software  and  hardware components  as  well  as the  development  of
individual solutions.  Colleagues at  modzero AG work  exclusively in
practical, highly  technical computer-security areas and  can draw on
decades  of experience  in  various platforms,  system concepts,  and
designs.

https://www.modzero.ch

contact@modzero.ch

---------------------------------------------------------------------

11. Disclaimer

---------------------------------------------------------------------

The information  in the advisory  is believed  to be accurate  at the
time of publishing  based on currently available  information. Use of
the information constitutes acceptance for use in an AS IS condition.
There are no warranties with  regard to this information. Neither the
author  nor  the publisher  accepts  any  liability for  any  direct,
indirect, or  consequential loss  or damage arising  from use  of, or
reliance on, this information.

Dieser Artikel ist vom Januar 2014 und wurde damals hier veröffentlicht: http://pastebin.com/h9CGQs5d

Mein erweitertes Wohnzimmer ist eine seit vielen Jahren in Kreuzberg 36 ansässige Punkrock-Kneipe namens Rock'n'Roll Herberge. Ich besuche die Kneipe, seit es sie gibt, nur mittlerweile seltener, weil ich nicht mehr dort um die Ecke wohne. Gestern habe ich mich dort mit meinen Freunden @erdgeist und @linuzifer auf ein paar Bier getroffen; relativ spontan. Keiner von uns hat das Treffen vorher in sozialen Netzwerken wie Twitter erwähnt oder angekündigt. Ich erzähle diese Geschichte, weil sie vor allem eines ist: durchgeknallt.

Es war laut in der Bar und etwa kurz vor Mitternacht, als sich eine Person an unseren Tisch bewegte und mich anschaute. Ich hatte den Typen noch nie gesehen, und vom äußeren passte er weder in die Punkrock- noch in die Hacker-Szene, denen ich mich zugehörig fühle. Er unterbrach mich, während ich gerade mit meinen Freunden sprach, zeigte auf mich und meinte, er würde gerne mal mit mir reden. Ich sagte ihm, dass ich aber gerade in einem Gespräch bin. Meine Freunde sagten ihm, dass es blöd wäre, wenn wir unser Gespräch jetzt unterbrechen würden. Der Besucher sagte, er würde warten. Daraufhin stellte er sich in den Raum zu einem anderen Typen, der mit dem Rücken zu mir stand, und beobachtete ein Spiel am Kicker-Tisch.

Etwas später entstand an unserem Tisch eine Gesprächspause, zumindest haben wir aufgehört, wild zu gestikulieren und den Mund zu bewegen. Der Besucher schien das beobachtet zu haben und setzte sich gleich auf den freien Stuhl neben mir. Es war ein gebräunter Typ mit Schiebermütze und einer dicken, silbernen Uhr am Handgelenk. Kurz: Er sah aus, als wäre er zum ersten Mal in einem Laden wie diesem. Er reichte mir die Hand und stellte sich als "Kalle" vor. Er erzählte, sein Kumpel "Alex" hätte gemeint, er solle sich mal mit mir unterhalten, da ich ja ein Hacker sei und mich mit IT-Sicherheit auskenne. Er behauptete, Alex hätte mit mir Informatik studiert und würde mich daher kennen. Nun... ich erinnere mich an keinen Alex und scannte den Raum nach bekannten Gesichtern aus meiner Studienzeit. Ich fragte Kalle, wer denn dieser Alex sei, und er zeigte daraufhin auf den Typen, der immer noch etwa zwei Meter entfernt mit dem Rücken zu mir stand und nur kurz zu mir rüber blickte.

Kalle erklärte, dass er "heute" in einer großen Firma gekündigt wurde. Dann fiel er mit der Tür ins Haus und behauptete, dass diese besagte Firma ihm sogleich seinen Outlook-Account dicht gemacht habe und er nicht mehr an seine Daten käme. Das Sperren eines Mitarbeiter-Accounts ist eigentlich ein recht normales Verhalten einer Firma. Gekündigten Mitarbeitern wird schnell der Zugriff auf die IT-Systeme gesperrt, um zu verhindern, dass Daten ausgeleitet oder Schaden angerichtet werden kann. Je nach Arbeitsvertrag oder ergänzenden Betriebsvereinbarungen kann ein Arbeits-Notebook und der Firmen-Account auch für private Zwecke und Kommunikation genutzt werden. In diesem Fall müsste der ehemalige Arbeitgeber verpflichtet sein, dem Ex-Mitarbeiter eine Möglichkeit zu bieten, seine privaten Daten und Emails noch (ggf. unter Aufsicht) vom Arbeitsgerät oder Server zu holen.

Jedenfalls erklärte Kalle, dass er ja überhaupt keine Ahnung von Computern und dem Hacken ebensolcher habe, und dass er gerne möchte, dass ich ihm seinen Account oder Laptop aufmache, weil sein Account eben irgendwie gesperrt wurde. Ich fragte noch nach, ob der Rechner denn in einer Domain hängen würde und er sich deshalb gar nicht mehr einloggen kann - schließlich behauptete er ja, er könne nicht mehr auf sein Outlook zugreifen, was ja ein lokaler E-Mail-Client ist. Er bestätigte dies etwas halbherzig und ging gleich über zum geschäftlichen Teil, also dass natürlich Geld selbstverständlich okay wäre für so eine "Dienstleistung".

Genau diese Art von Jobs kann juristische Konsequenzen mit sich ziehen. Sprich: Es ist etwas faul. Aber die Erkenntnis, wie faul das wirklich ist, kam mir erst später.

Ich fragte ihn zunächst, ob er nicht mal mit den Admins oder seinem Chef sprechen will. Dann fragte ich, ob er nicht einfach ein anderes Betriebssystem via CD-ROM oder USB booten kann, um seine Daten von der Festplatte zu kopieren. Er winkte ab, er habe sowas von gar keine Ahnung von Computern und brauche jetzt halt einen Hacker, der ihm seine Daten "rettet". Meine Freunde erkannten meine Hilflosigkeit in dieser völlig absurden Situation und sprangen mir zur Seite. Sie redeten auf Kalle ein, dass das ja eigentlich ein einfacher Task sei und man sich das schnell selber beibringen könne, es gebe schließlich genügend Anleitungen im Internet. Ich erklärte Kalle noch, dass er sich auch einen USB-Festplattenadapter für 10 Euro kaufen, die Laptop-Festplatte ausbauen und per USB an seinen privaten PC anschließen könnte.
Natürlich könnte er auch einen Sicherheitsdienstleister engagieren, schlugen wir ihm vor, aber so jemand koste auf dem legalen Markt auch viel Geld - durchaus auch mal 200 Euro pro Stunde.
Kalle sagte, er hätte aber lieber mich.

Ich war total perplex. Da sitze ich in einem mit Punks überfüllten Laden und trinke Bier, und dann kommt ein Typ mit Schiebermütze und fetter Armbanduhr gezielt zur mir, quatscht mich von der Seite an und lotet meine Bereitschaft aus, einen Computer zu kompromittieren, um an Daten zu gelangen, auf die er keinen rechtmäßigen Zugriff hat.

Und das nach einer schwachen Geschichte von seinem Kumpel, der angeblich mit mir Informatik studiert haben soll. Denn wenn dieser Alex mit mir zusammen studiert hat und mich kennt, warum steht er die ganze Zeit abseits mit dem Rücken zu mir? Warum grüßt der mich nicht? Warum kam er nicht mit an den Tisch, als Kalle mit mir redete? Und wenn dieser Alex selbst Informatik studiert hat und ein Kumpel von Kalle ist, warum hat Alex nicht zu seinem Kalle gesagt: "Hör mal, ist doch einfach: Gib mal Deinen Laptop her, ich bau Dir die Festplatte kurz aus und schließe sie an den Computer hier an, damit Du Deine Daten kopieren kannst"? Zwar ist ein Informatikstudium kein Garant für Ideenreichtum, aber man muss gewiss kein Hacker sein, um Daten von einer Festplatte zu bekommen, die vor einem auf dem Tisch liegt.

Ich lehnte dankend ab.

Darauf hin bedankte sich der Mann, stand auf und verließ sofort mit seinem Kumpel Alex die Kneipe. Bis dahin hatten sie noch so getan, als seien sie zufällig in derselben Kneipe und mein angeblicher Ex-Kommilitone Alex hätte mich spontan erkannt und empfohlen; dafür war es jedenfalls ein ziemlich kurzer Kneipenbesuch. Wir schauten aus dem Fenster und beobachteten, wie die beiden in draußen in einen dunklen Audi stiegen. Der Sportwagen war direkt vor der Kneipe geparkt.

Ich habe keine Ahnung, ob mir da jemand eine Falle stellen, oder mich für fischige Geschäfte rekrutieren wollte. Macht aber nichts, denn die einzig sinnvolle Reaktion auf Anfragen solcher Leute ist sie abzuweisen.

-ths, 31. Januar 2014