Weltwirtschaftsforums-Hack war Spaziergang durch offenes Scheunentor

Schweizer Wochenzeitung enthüllt haarsträubende Sicherheitslücken am Server des Davoser Prominenten-Meetings

Viele sogenannter "Hacks" entpuppen sich bei genauerem Hinsehen oft als grobe Fahrlässigkeit. Doch in keinem anderen Fall konnte die Diskrepanz größer sein, als im Falle des Weltwirtschaftsforums in Davos. Das größte Polizeiaufgebot der Schweizer Nachkriegsgeschichte schirmte die VIPs aus Wirtschaft und Politik von Demonstranten ab (Telepolis berichtete), doch auf dem Web-Server lagerten ungeschützt die Daten von mehr als 100.000 Weltwirtschaftsforums-Promis.

Das fand eine Schweizer Zeitung, die als von Großverlagen unabhängige und in Selbstverwaltung betriebene Wochenzeitung (WoZ), nun auf Basis der Gerichtsakten heraus. Unter der Überschrift "Dummheit - ein grausamer, globaler Gott" beschreibt die WoZ, wie ein Hacker-Kollektiv namens "Virtual Monkeywrench" an Email-Adressen, Passwörter, Terminpläne, Flüge, Telefon- und Kreditkartennummern von abertausenden VIPs, darunter solche abgeschirmten Persönlichkeiten der internationalen Politik wie Clinton, Arafat, Peres und nicht minder auf ihre Privatsphäre bedachte "Wirtschaftsführer", gelangen konnte. Die Hacker hatten vor wenigen Wochen ihren Erfolg publik gemacht, indem sie der Sonntagszeitung eine Auswahl ihrer Beute auf CD ROM zukommen ließen.

Inzwischen wurde ein zwanzigjähriger Computerexperte verhaftet, dem nun Eindringen in ein Datenverarbeitungssystem, Sachbeschädigung sowie Scheck- und Kreditkartenbetrug vorgeworfen werden, worauf eine Haftstrafe von bis zu fünf Jahren steht. Doch laut WoZ, die Zugang zu den Anklageakten erhielten, enthielten diese eine "erstaunliche Bombe". WoZ meint, aus den Akten ginge hervor, der Experte des Untersuchungsrichters sei selbst der größte Entlastungszeuge und seine Aussage erweise sich als pures Dynamit gegen den Kläger. Die Netzwerkadministratoren hätten gleich drei Fehler gemacht. Erstens hätten sie einen der Ports des Servers, Port 1433, ungeschützt gelassen; zweitens hätten sie die Datenbank im Format Quickbase von einem internen Server auf den Webserver kopiert und drittens diese Datenbank völlig ungeschützt gelassen, indem das vorinstallierte Standard-Passwort nie geändert worden sei. Ein Sprecher des Chaos Computer Clubs wird von WoZ mit den Worten zitiert, das käme einer "Einladung" gleich, "als würde man eine Luxuslimousine mit steckendem Zündschlüssel in einer dunklen Gasse abstellen". Den Fall nur über die Medien publik zu machen, wäre "nur das Minimum an Strafe gewesen" und "eigentlich müsse das Weltwirtschaftsforum den Hackern für eine kostenlose Überprüfung eines sehr eklatanten Sicherheitslochs danken". Dem haben wir nichts hinzuzufügen.

Gesammelte Berichte der WoZ zum Weltwirtschaftsforum