Chaos Communication Congress: Chaos Communication Congress: Leipzig verwandelt sich in Hauptstadt der Hacker

Leipzig - Politik beginnt beim Chaos Computer Club (CCC) bereits an der Toilettentür. In der Glashalle der Leipziger Messe prangen am Eingang zum stillen Örtchen nicht die Piktogramme von Männlein und Weiblein, sondern der Schriftzug „WC Unisex“, dazu ein Toilettensitz und ein Pissoir. Die Botschaft: Hier wird niemand ausgegrenzt, auch Menschen nicht, die sich weder als Mann noch als Frau fühlen.

Seit Jahren ist das so bei den Kongressen des Clubs, diesmal also auch in Leipzig. Seit Dienstag trifft sich dort die Hacker-Gemeinde zum „Chaos Communication Congress“. Es ist die 34. Auflage, sie trägt deshalb das Kürzel „34C3“. Lange fand das Jahrestreffen in Hamburg statt. Doch weil das dortige Kongresszentrum saniert wird, musste der Club ausweichen.

„34C3“ in Leipzig - das sind vier Tage, 15.000 Teilnehmer, jede Menge „Club Mate“-Limo und Mineralwasser. Man sieht: viele Kapuzenpullis, viel Bart, viel Brille, viel junges Volk, eher selten graue Haare, mehr Männer als Frauen. Besucher tragen T-Shirts mit Aufschriften wie „Forsicht Füsiker“ oder „Still hacking anyway“. Manche sind auf Tretrollern in den Messerfluren und -hallen unterwegs. Und ja, es gibt auch Pizza - ganz wie im Klischee vom Computer-Nerd.

Doch das Treffen, das seit 1984 - drei Jahre nach dem Gründungsaufruf für den Chaos Computer Club - stattfindet, ist mehr als eine Zusammenkunft weltfremder Freaks. Dazu ist der Club viel zu politisch - siehe die Toilettentüren.

Immer wieder haben Mitglieder des Clubs in der Vergangenheit auf Sicherheitslücken in Computer-Netzwerken aufmerksam gemacht - zuletzt etwa, als sie vor der Bundestagswahl Schwachstellen in der Wahlsoftware aufdeckten. Immer wieder mischen sie sich ein in die Debatten um Datenschutz, digitale Bürgerrechte und Überwachung.

Ein Blick ins Programm, das mehr als 100 Vorträge und eine schier unüberschaubare Zahl an Workshops bietet, zeigt die Vielfalt der Themen, die auf dem Treffen verhandelt werden. Unter dem Motto „Nullen und Einsen auf dem Acker“ beschäftigen sich Experten mit der Digitalisierung in der Landwirtschaft. Es geht um die Freiheit des Internets auf Kuba, um „Social Bots, Fake News und Filterblasen“, um künstliche Intelligenz oder digitale Bildung in der Schule.

Was das alles mit Hacken und Hackern zu tun hat? Viel, findet Florian, 45. Seinen Nachnamen nennt er nicht, das sei in der Szene nicht üblich. „Ich würde mich durchaus als Hacker bezeichnen.“ Für ihn bedeute das, „auf kreative Art und Weise Dinge zu hinterfragen und Technik auf eine neue Art einzusetzen“.

Er tut das in einem Laden, den sie „Tech-Kollektiv“ nennen. Zehn Leute, sie betreuen für Dritte Systemtechnik und betreiben Web-Entwicklung. Eine Firma? Schon, sagt Florian, aber nicht hierarchisch organisiert, „ohne Chef“. Entscheidungen werden im Plenum getroffen. Sein rotes T-Shirt ziert ein stilisierter Galgen. Auf dem Tisch vor ihm liegen Aufkleber mit Slogans wie „Stop Control“ (Stoppt die Kontrolle), aber auch „Das Problem heißt Rassismus“ oder „Fck AfD“.

Das Kollektiv ist Florians Art dafür einzutreten, was ihm wichtig ist an diesem ganzen Computer-Ding: ein „freies, egalitäres Internet“, so nennt er es, ohne Vorratsdatenspeicherung, mit gleichem Zugang für alle. „Und einem guten Zugang“, fügt er hinzu. Ein schnelles und stabiles Netz, daran hapere es in Deutschland häufig noch.

Florians Kollektiv hat sich in einer Art Jurte in der Messehalle 2 eingerichtet. Die riesige Halle ist abgedunkelt, bunte Lichtinstallationen flackern über Wände und Stände. An langen Tischen sitzen Menschen und klappern in die Tastaturen ihrer Laptops. Hier treffen sich Hacker-Gruppen.

Es gibt einen Bereich, der „Jugend hackt“ heißt, und ein „Kid Space“, eine Art Indoor-Spielplatz für den Hacker-Nachwuchs, mit überdimensionalen bunten Bauklötzen. In eine der Jurten, die verschiedene Gruppen bezogen haben, trottet ein junger Mann mit Brille in einem braunen Hasenkostüm über weißen Klamotten. Ihm scheint heiß zu sein, den Reißverschluss seiner Verkleidung hat er bis zum Nabel geöffnet. Eine junge Frau trägt eine „Virtual Reality“-Brille auf der Nase spazieren.

Mitten in diesem bunten Chaos steht Isabelle de Lange und wirkt etwas verloren. Mit Computern hat sie nicht so viel am Hut, außer dass sie einen nutzt. „Ich bin froh, dass ich meinen Mac bedienen kann“, sagt sie grinsend. Die angehende Juristin, 27, kommt aus Frankfurt an der Oder, absolviert gerade ihr Referendariat - und interessiert sich vor allem für Datenschutz-Recht. „Deshalb bin ich hier, es gibt dazu einige interessante Vorträge.“ Für sie ist der Kongress Weiterbildung: Ihre nächste Station im Referendariat wird für drei Monate die Behörde der Berliner Datenschutzbeauftragten sein.

Man muss gar nicht ins Kongress-Programm schauen, um sich darüber klar zu werden, dass Datenschutz und Überwachung ein Riesenthema sind für die Internet-Gemeinde. Es genügt der Hinweis darauf, dass die Messegesellschaft während der vier Tage des Treffens die Aufzeichnungsfunktion der Überwachungskameras in den Messehallen abgeschaltet hat.

„Das war eine Bedingung von uns“, sagt Linus Neumann, der Sprecher des Chaos Computer Clubs. Der Club trete für mehr Datenschutz und gegen Überwachung ein. „Wir wehren uns gerade gegen den Einsatz von Software zur Gesichtserkennung am Berliner Bahnhof Südkreuz“, sagt Neumann, „da können wir es unserem Publikum schlecht vermitteln, auf dem Kongress rund um die Uhr von Kameras beobachtet zu werden“.

Ganz in diesem Sinne steht auf Isabelle de Langes Liste auch ein Vortrag über die „Lauschprogramme der Geheimdienste“. Aber auch eine Veranstaltung zu den Sicherheitslücken der Bundestags-Wahlsoftware hat sie sich vorgemerkt.

Fragt man „Schinfo“, dann fangen die Sicherheitsprobleme allerdings schon weit vorher an. „Schinfo“ ist ein 61-jähriger Bayer mit grauem Bart und Karohemd, der eigentlich anders heißt, aber lieber seinen „nickname“ verwendet, den Namen, der er in der Szene nutzt. Die Begründung dafür ähnelt der von Florian vom „Tech-Kollektiv“ - richtige oder volle Namen seien nicht üblich. „Seit 34 Jahren bin ich als Schinfo bekannt.“

Er sitzt an einem Tisch, vor sich zwei Laptops und mehrere Router, und hält ein kleines Bauteil in die Höhe, einen Mikroprozessor. „Schinfo“ ist Schwachstellen beim WLAN auf der Spur, also beim drahtlosen Internet-Empfang. Der Prozessor, erklärt er, könne so programmiert werden, dass er WLAN-Netze trenne - die Verbindung zum Internet sei dann unterbrochen. „Eine Sicherheitslücke!“, ruft der Bayer alarmiert. Jeder könne das Gerät „fertig programmiert“ in China bestellen und einsetzen. „Eigentlich ist das Teil zum Testen gedacht, aber jeder Programmierer kann es missbrauchen!“

Er arbeitet als IT-Leiter eines Autozulieferers, in Leipzig ist er privat, weil er findet, die Welt müsse auf diese Sicherheitslücke aufmerksam gemacht werden. Ist das seine Mission? Er lacht, „kann man so sagen“. Leider hört ihm niemand zu. Ignoranz und Arroganz seien weit verbreitet in der Szene, klagt er, „die Leute lassen sich ungern etwas erklären.“ Dabei arbeite er seit 1983 in der IT-Branche. „Und ich bin älter als das Internet, das können Sie so schreiben!“

Auf dem Kongress des Chaos Computer Clubs geht es auch um praktische Alltagsfragen. Beispiel: Online-Banking. Der Trend zur Nutzung dieses Services mit nur einer App berge die Gefahr von Betrug und Manipulationen, etwa bei Überweisungen, warnt Vincent Haupert von der Universität Erlangen-Nürnberg. Sicherer sei die Zwei-Geräte-Authentifizierung mit einer getrennten Übermittlung der TAN-Daten.

Auf dem Hacker-Treffen demonstrierte Haupert, wie er eine Konfigurationsdatei manipulieren - „hey, da schreiben wir überall Nullen rein“ - und so den Schutz der Banking-App auf einem Android-Smartphone entfernen konnte. Anschließend war es ihm möglich, den Namen des Empfängers wie den Betrag einer Überweisung zu ändern.

Haupert sagte, er habe den Hersteller der Sicherungstechnik auf die Probleme hingewiesen. Inzwischen gebe es eine neue Version der Schutzsoftware. Bislang seien den Banken nach deren Angaben auch keine Schadensfälle bekannt. Jedoch sei er überzeugt, dass eine „App-Härtung“ über einen zusätzlichen Software-Schutz kein sinnvoller Ersatz für eine unabhängige Zwei-Faktor-Authentifizierung sei, sagte Haupert.  (mz)