Ermöglichte Microsoft-Unhöflichkeit den Hack?: WEF-Hack: Danke, Bill Gates!

Die Microsoft-Datenbank des Wef erlaubt bei naiver Installation jedem klugen Achtjährigen den Zutritt.

Es gibt eine einfache Rechnung, um festzustellen, wie viel man Microsoft als Kunde wert ist. Man dividiere den Kaufpreis des Produkts durch den Umsatz des Unternehmens. Die Lösung ist: eigentlich nichts.

Diese bittere Erkenntnis machte auch das World Economic Forum. Während die Körper der VIPs durch einen Polizeieinsatz von sieben Millionen Franken gesichert wurden, gelang es dem Hacker-Kollektiv «Virtual Monkeywrench», praktisch die gesamte interne Wef-Datenbank mit über 102 000 Namen zu entführen: Daten von Shimon Peres' Flugplan bis zu Arafats Kreditkartennummer.
So blamabel und ärgerlich die Sache war (der Schaden durch Umtriebe nach dem Hack – so Wef-Direktor André Schneider – liegt bei zirka 200 000 Franken), so kinderleicht war sie. Das zeigte sich bei einer WoZ-Recherche, die für die Stichworte «Microsoft» «Password» und «SQL» eine Suche ausführte und auf dutzende von Seiten stiess, in denen der Hack bereits Monate vor seinem Stattfinden beschrieben wurde.

Ausgangspunkt ist eine grobe Unhöflichkeit von Microsoft. Ihr auch vom Wef benutztes Datenbankprogramm «Micosoft SQL Server» lässt sich in der Version 7.0 anstandslos installieren – ohne das Passwort zu ändern. Zwar gibt es eine Warnung im Handbuch, aber keine bei der Installation. Damit bleibt der Benutzername auf «sa», das Passwort «» (Return) und zusätzlich der Port 1433 offen ... Das Programm gleicht nun einer schwer bewachten Festung mit weit offener Port-Hintertüre und öffentlich bekannter Passwort-Parole. Es zu knacken, ist kein Problem für einen informierten Achtjährigen. Zu allem Überfluss garantiert dieser Zugang Spurlosigkeit: Aufgezeichnet werden nur alle NICHT erfolgreichen Eindringversuche.

Dies sind exakt die Merkmale, mit denen der Wef-Computer nach dem Hack vorgefunden wurde. War der Hack also spielend leicht? Ermöglicht durch das Wef, das Passwort und Portadresse nicht änderte, ermöglicht durch Microsoft, das dieses zu keiner Änderung zwang?

Diese Version bestreitet André Schneider, Technischer Direktor des Wef. Laut ihm schwor der Web-Verantwortliche des Forums eidesstattlich, das Passwort korrekt geändert zu haben. Offenbar sei es den Hackern gelungen, das Standardpasswort im Nachhinein «wieder einzusetzen».

Von der WoZ befragt, präzisierte Schneider, dass laut Wef-Theorie der Hack sich wie folgt abgespielt habe: Die Hacker hätten sich durch die bei Port 1433 (zwecks Kommunikation mit externen Firmen offene!) Firewall geschlichen und ein Passwort-Knack-Programm eingesetzt. Da das Wef-Passwort leider nur aus Standard-Zeichen bestanden habe (nur Buchstaben, keine ç%5&), sei dieses unheimlich schnell gefallen. Die Hacker hätten daraufhin zwecks Tarnung das Passwort auf Originalkonfiguration zurückgesetzt.

Diese Version scheint relativ unwahrscheinlich. Umso mehr, als das Wef aus juristischen Gründen ein gewaltsames Eindringen in das System glaubhaft machen muss. Ebenso grosses Interesse an der Hack-und-Passwort-Zurücksetz-Theorie hat auch die vom Wef beschäftigte Informatikfirma, deren «Arsch online» ist. (So ein WoZ-Experte.) Unglaubhaft ist die Wef-Version vor allem deshalb, weil a) keine Spuren eines gewaltsamen Eindringens zu finden sind. Und weil b) mehrere andere fahrlässige Todsünden begangen wurden: So etwa wurde die Adresse des Ports nie geändert und sensible Daten auf dem anfälligen Web-Server gelagert.

Für die Wef-Version spricht nur, dass laut Schneider von der verantwortlichen Informatik-Firma vor der Verwundbarkeit des Datenbankprograms Microsoft SQL Server 7.0 in der Standard-Konfiguration «bereits initial, also beim Kauf der Software» gewarnt hatte.
Trotzdem macht die Geschichte weit mehr Sinn, wenn man annimmt, dass das Passwort der Datenbank unverändert blieb. Dies wäre ein unverzeihlicher, grotesker Anfängerfehler, zugegeben. Aber kein unüblicher. Diskussionen unter Hackern auf Internet-Foren zeigen, dass erstaunlich viele Benuzter des Microsoft SQL Servers 7.0 auf diese Art ausspioniert werden können.

Denn Microsoft informierte nie über die Schwäche ihres Datenbankprogramms – unter dem Vorwand, dass hier kein Programmier-, sondern ein Benutzerfehler vorliege. Das stimmt zwar. Nur ist es ein offenes Geheimnis, dass Informatiklösungen weniger durch Bösartigkeit von aussen als durch Fehler von innen gefährdet sind. Dass Microsoft seine Käufer – alles grössere Firmen – mit ihrer Unfähigkeit alleine liess und ihre Daten schutzlos jedem habwegs begabten Hacker auslieferte, zeigt, wie viel ihm seine Kunden wert sind: eigentlich nichts.