Rainer Rehak & Stefan Ullrich
Leo freut sich schon auf ihr Freiwilliges Soziales Jahr, zumal sie ihr Technik-Know-How einsetzen darf und soll. Als Leo von der Personalchefin durch die Räume geführt wird, muss sie die Augen etwas zukneifen: Die Büroräume der IT-Abteilung der karitativ tätigen Firma „Auxil.io“ sind im obersten Stockwerk des Gebäudes, viel Glas, viel Licht, erstaunlich wenig Kabelsalat. An der letzten Tür vor dem Besprechungsraum steht schon ein fröhlicher Herr mittleren Alters mit ausgestreckter Hand, „Barner, angenehm“. „Leo, ganz meinerseits“, erwidert die Absolventin des Freiwilligen Sozialen Jahrs. Er zeigt ihr den Arbeitsplatz, Schubladen mit Papier, Stift und Kleber sowie einem kleinen „thin client“ nebst TFT-Monitor. „Kann ich auch meinen eigenen Laptop anschließen?“, fragt Leo den IT-Leiter Barner. „Natürlich, wir haben auch WLAN.“ – „Mir wäre ’ne gepatchte RJ45-Buchse lieber“, gibt Leo zurück. „Um, wir haben so etwas leider nicht.“ Leos Blick fällt auf die thin clients und die IP-Telefone. „Ich nehm auch die hier“, sie zeigt auf eine freie Buchse. „Ach so, Netzwerk meinst du, na klar, wir müssten irgendwo noch Ethernet-Kabel haben.“
Was sie am Anfang noch für einen seltsamen Spaß hielt, wurde im Laufe der ersten Tage und Wochen Gewissheit: Der IT-Leiter Herr Barner hatte zu wenig Ahnung von Technik, er war eher ein „Power User“ denn ein System-Administrator. Die meisten technischen Probleme waren auch eher trivialer Natur, eine kurze Internet-Recherche reichte in der Regel aus. Leo wurde jedoch etwas mulmig, als Herr Barner eine selbst programmierte Fernwartungssoftware „S-Tel“ vorführte. Sie war in einer Skript-Sprache geschrieben, die für persönliche Homepages vielleicht ausreichen mochte, aber einer so großen Firma wie „Auxil.io“ nicht gut zu Gesicht stand. Schon bei der Kurzeinweisung fiel ihr eine gravierende Sicherheitslücke auf: Wenn die „S-Tel“-Seite von den Büroräumen aufgerufen wurde, gab es keine Passwort-Abfrage. „Ja, ich habe die IP-Adressen hier frei geschaltet, damit das schneller geht, wenn ein Fehler auftritt“, erklärt Herr Barner, „außerdem können die Nutzerinnen dann selbst einfache Fixes vornehmen.“
Die Fernwartungssoftware war von außen über eine verschlüsselte https-Verbindung zu erreichen, Anfragen an S-Tel wurden in der Regel per Browser-Formular über POST gestellt. In der Software kann man diverse Filter setzen und Suchanfragen verfeinern. Damit man das nicht jedes Mal neumachen muss, kann man Bookmarks setzen, die bestimmte Filter und Suchanfragen in der URL speichert. Das machte Leo stutzig, sie versuchte daraufhin, per Hand einfach ein paar ihr bekannte Variablen in der URL einzugeben und siehe da, sie konnte das System auch komplett über GET-Anfragen steuern (bis auf die Mediendatenbank). In einem weiteren Schritt rief sie die Adresse von S-Tel einfach nur per HTTP auf, also ohne Verschlüsselung, und auch hier konnte sie das System komplett steuern.
Erst am Wochenende probierte sie, ob sie auch von zu Hause darauf zugreifen konnte. Ja, das System hat zwar eine Passwort-Abfrage, aber ein kleines Adminskript ließ sie direkt auf die Datenbank zugreifen. Leo beschloss, ihre Entdeckungen Herrn Barner mitzuteilen, doch der war leider für die nächsten zwei Wochen im Urlaub, wie ihr die automatische Antwort mitteilte, und so lange wollte Leo nicht warten. Sie ging am Montag direkt zum Geschäftsführer Ralph, der sich gerade in der Teeküche einen Rooibus-Tee aufgoß. Er unterbrach sie bereits nach wenigen Worten: „So dringend wird’s jetzt auch nicht sein. Das hat noch Zeit, bis der Urs wiederkommt“, womit er wohl Herrn Barner meinte.
Wie es der Zufall wollte, kam es schon nach wenigen Tagen zu einem Zwischenfall: Die Server-Software stürzte immer wieder ab, Logins funktionierten nicht und die Lüftung im Server lief auf Hochtouren. Leo kannte leider das Root-Passwort nicht, wusste aber, dass Herr Barner es auf einen kleinen gelben Notizzettel geschrieben hatte. Als sie sich unbeobachtet fühlte, griff sie in die Schublade, fand den Zettel und loggte sich auf den Server ein. Die Festplatte war voll bis auf das letzte Byte. „Oh je“, dachte Leo, „das /var-Verzeichnis hat keine eigene Partition, von logrotate hat der Urs wohl auch nichts gehört“. Es wurden mehrere Angriffe auf den Server verzeichnet, die entsprechenden Log-Files waren mehrere Gigabyte groß und haben schließlich die Platte vollgeschrieben.
Sie löschte die ältesten Logfiles, schaltete Webserver und ssh-Daemon ab und ging zu Ralph. Der war bereits auf dem Weg zu ihr und schnauzte sie an: „Was hast du mit dem System gemacht, nichts funktioniert mehr!“ Leo verteidigte sich, dass sie das System lieber abschalten wollte, als weiterhin einen potentiell kompromittierten Server am Netz zu lassen. „Darüber hast du nicht zu befinden, wir rufen gleich Urs an.“ Herr Barner konnte von der Ferne nicht allzuviel tun, befand sich auch auf einem andern Kontinent und war außerdem sehr müde.
Leo hatte bisher weder den Dateiserver genutzt noch den Kalender auf ihrem Mobiltelefon synchronisiert, daher wusste sie nicht, dass der S-Tel-Server auch gleichzeitig die Cloud des Unternehmens war. Der Server für die Thin-Clients war nicht betroffen, also konnten die Mitarbeiterinnen und Mitarbeiter zumindest noch E-Mails lesen und schreiben, es war also, zumindest Leos Meinung nach, nur ein ärgerlicher Zwischenfall. Ralph zwang sie, den Server wieder hochzufahren, was sie auch widerwillig tat.
Als Herr Barner wieder aus dem Urlaub zurück kam, wurde sie zu einem Dreiergespräch eingeladen. Ralph und Herr Barner saßen nebeneinander an einem Tisch, Leo auf einem Stuhl in der Mitte des Besprechungsraums. Sie fühlte sich wie vor einem Tribunal, obwohl es als „Gespräch“ angekündigt war. Es sei schon ungewöhnlich, dass die technischen Probleme zeitlich mit ihrer Anwesenheit zusammenfielen. Als sie sich verteidigte und die Kompetenz von Herrn Barner anzweifelte, wurde sie als „undankbar“ und „Verleumderin“ bezeichnet. Der Geschäftsführer beschloss, dass Leo erst einmal keinen Zugang mehr zu kritischen Systemen mehr bekommen sollte. Sie wurde zwangsbeurlaubt.
In der ersten Nacht war ihr zum Heulen zumute, aber schon in der darauf folgenden Nacht beschloss sie, die Unfähigkeit von „dem Urs“ zu beweisen. Natürlich erst, nachdem sie die Dienststelle gewechselt haben würde. Dann würde sie sich in das System einhacken und lauter Katzenbilder in sein Cloud-Verzeichnis stellen oder peinliche Termine bei ihm in den öffentlich einsehbaren Kalender eintragen. Doch einige Wochen später hatte sie all das vergessen, ihre neue Dienststelle war toll, die Kollegen sehr freundlich, erstaunlich jung und technisch hoch versiert. Aus reiner Neugier klickte sie auf die ihr bekannte URL von Auxil.io und stellte fest, dass die bekannten Sicherheitslücken nach wie vor bestanden. Sie schrieb eine E-Mail an Herrn Barner und Ralph, „nichts für ungut, aber ein böser Mensch könnte euer System sehr einfach lahmlegen“, und dachte sich nichts weiter dabei. Bis sie schließlich eine Einladung der Polizei erhielt, dass sie wegen einer Drohungs-Mail angezeigt wurde und sich bitte erklären sollte.
Fragen
- Wie bewerten Sie die Handlung in ethischer Hinsicht, dass sich Leo die Zugangsdaten eigenmächtig besorgt hat?
- Hätte Herr Barner nicht einen Stellvertreter für seine Urlaubszeit benennen sollen?
- Durfte Leo den Server einfach so ausschalten, nur weil sie das für das Richtige hielt?
- Hätte sie nach der ersten Sicherheitslücke nicht schon auf eine bessere Absicherung insistieren sollen?
- Die Firma Auxil.io ist karitativ, alle arbeiten für wenig bis gar kein Geld. Herr Barner tat schon mehr als seine Arbeitsbeschreibung es zuließ. Ist es nicht verständlich, dass er sich die Arbeit erleichtern wollte?
- Ralph ist in der Friedensbewegung aktiv, lebt bis heute in einer kleinen Kommune, wie er seine WG nennt, und prüfte die Kompetenzen der Mitarbeiterinnen und Mitarbeiter mehr mit dem Bauch. Welche ethisch-moralische Verpflichtung hat er in dieser Angelegenheit?
- Gibt es eine moralische Verpflichtung für die Mitarbeiter, eine gewisse Ahnung von den technischen Systemen zu haben, die sie benutzen? Hätte ihnen nicht auch schon auffallen müssen, dass S-Tel unsicher ist?
Erschienen im Informatik-Spektrum 40(1), 2017, S. 114-116.
Kommentare