30 Jahre Btx-Hack: die zweite Geburtsstunde des Chaos Computer Club

Vor 30 Jahren bewies der Chaos Computer Club mit einem medienwirksamen “Bankraub” die Schwachstellen des Btx-Systems und blamierte die Deutsche Bundespost. Von da an war der Club als kritische Instanz und Datenschützer in der deutschen IT-Szene angekommen.

“Einbrecher müssen heute nicht mehr mit Stemmeisen und Schneidbrenner arbeiten. Sie haben es leichter, wenn sie ihren Heimcomputer benutzen.” Mit diesen Worten eröffnete Moderator Hans Scheicher am 19. November 1984 das “heute journal” im ZDF. Der heute legendäre Btx-Hack des Chaos Computer Clubs hatte es als Aufmacher in die Sendung geschafft und brachte die Post – damals noch Bundespost – in Erkärungsnot. Was war passiert?

Im September 1983 hatte die Deutsche Bundespost unter der Bezeichnung Bildschirmtext (Btx) einen textbasierten Online-Kommunikationsdienst gestartet. Die Übertragung der Daten erfolgte über das Telefonnetz mit einem Modem oder Akustikkoppler, die Darstellung am Fernsehgerät, PC-Monitor oder an einem speziellen Btx-Gerät. Anwender konnten sich mit der Technik vom Wohnzimmer aus nicht nur informieren, sondern auch miteinander chatten, Nachrichten schicken, Online-Bestellungen aufgeben oder auch Bankgeschäfte wie Überweisungen tätigen.

Garantiert sicheres System

Während die Bundespost den Datenverkehr als sicher einstufte, entdeckte der Chaos Computer Club eine Reihe von technischen Schwachstellen. In der Nacht vom 16. auf den 17. November 1984 verschafften sich die Hacker über eine Sicherheitslücke Zugang zum Account der Haspa (Hamburger Sparkasse), “erbeuteten” rund 135.000 DM (circa 69.000 Euro) und gingen mit ihrer Demonstration an die Medien. “Wir haben einfach in den Dekoder-Informationen den von der Post zur Verfügung gestellten Speicherraum bis auf das letzte Zeichen voll ausgenutzt, und da traten dann sehr merkwürdige Effekte auf, dass Daten, Fremddaten praktisch von der Seite angesogen wurden”, beschreibt Steffen Wernéry vom CCC das damalige Vorgehen im “heute journal”. Bei einer Analyse stellte sich heraus, dass sich darin die Zugangskennung inklusive des Passworts im Klartext eines Accounts der Haspa befand.

Der Beitrag aus dem ZDF “heute journal” vom 19. November 1984:

Mit der Kundenkennung der Sparkasse riefen Wernéry und seine Kollegen dann ein kostenpflichtiges Btx-Angebot des CCC auf. Es zeigt sinnigerweise einen Trickfilm, in dem ein Fluggerät kleine gelbe Posthörnchen – das Logo der Bundespost – abschießt. Mit jedem Aufruf wurde das Konto der Haspa um 9,97 Mark belastet. über ein in BASIC programmiertes 30-zeiliges Wiederholungsprogramm sammelten sich über Nacht exakt 134.694,70 Mark an.

Club-Sprecher Wau Holland fühlte sich bestätigt. “Vor drei Tagen habe ich der Post gesagt, dass Btx unsicher ist. Die haben es mir nicht geglaubt”, sagte der damals 32-Jährige der “Bild”-Zeitung. Die Haspa zeigte sich erschüttert: “Die Post hat versichert, das Btx sicher ist – das war falsch”, sagte Haspa-Vorstand Benno Schölermann. Hamburgs Datenschutzbeauftragter Henning Schapper sah aber die Post nicht in der alleinigen Verantwortung: “Die Btx-Anbieter müssen selbst für die Eigensicherung sorgen.”

Respekt vor den Hackern

Die simple Konsequenz, die die Haspa aus dieser Lehrstunde gezogen hat: “Wir haben unser persönliches Kennwort sofort geändert, sodass Herr Holland uns nicht ein weiteres Mal mit diesen Mitteln benachteiligen kann”, erklärt Schölermann. Der Vorstandsvorsitzende drückt aber auch seinen Respekt vor den Hackern aus: “Alle Hochachtung vor der Tüchtigkeit dieser Leute. Man muss sagen, es ist bedauerlich, dass erst durch den Beweis, den diese Leute erbracht haben, die Post davon überzeugt werden konnte, dass ihre Btx-Software noch nicht allen Anforderungen gerecht wird.”

Für den CCC markiert der Btx-Hack quasi die zweite Geburtsstunde nach der Gründung 1981. Am 17. November 2014 erinnerte der Club in einer Jubiläumsveranstaltung in Berlin an dieses Ereignis, das nach eigenen Angaben “die Welt der Hacker in Deutschland für immer verändert” hat. Das positive Image der Hacker als “die Guten”, die sich um Datenschutz und informationelle Selbstbestimmung verdient machen, sei bis heute geblieben.

Begleitend zum Jubiläum hat die Wau Holland Stiftung (Holland starb 2001) eine umfangreiche Videodokumentation veröffentlicht:

Zuerst erschienen auf techtag.de.