36C3 Tag 1 – Highlights vom 36. Chaos Communication Congress

Der Weihnachtstumult ist vorbei und das neue Jahr steht bereits sehnsüchtig in den Startlöchern. Der letzte Höhepunkt der Dekade hat jedoch gerade erst angefangen. Vom 27. bis 30. Dezember lädt der Chaos Computer Club (CCC) nun schon das 36. Mal, dieses Jahr unter dem Motto „Resource Exhaustion“, zum Chaos Communication Congress (36C3) ein.
Am Messegelände Leipzig sind wieder tausende Hacker und IT-Begeisterte zusammengekommen, um sich über die neuesten Themen der Szene auszutauschen. Aber auch gesellschaftskritische und politische Vorträge sind thematisch stark vertreten. Neben dem umfangreichen Angebot an Talks stehen auch wieder zahlreiche Workshops und selbstorganisierte Sessions zur Auswahl, die den Besuchern vier Tage lang Unterhaltung pur bieten.

Meine besten Erlebnisse und absoluten Highlights der einzelnen Congress-Tage fasse ich in dieser Reihe an Beiträgen zusammen.

Full House beim 36C3

Das nur alle vier Jahre stattfindende Chaos Communication Camp hat im Sommer bereits viele der verfügbaren Ressourcen verschlungen. Deshalb lautet das inoffizielle Motto des Congress diesmal eher „Copy & Paste“. Im Vergleich zum letzten Jahr hat sich nicht viel verändert und man greift sowohl in der Organisation wie auch im Aufbau auf bewährte Konzepte des letzten Jahres zurück – was definitiv nicht als Kritik gesehen werden sollte. Ganz im Gegenteil: Es ist beachtlich, dass trotz der kurzen Vorbereitungszeit wieder ein solch spektakuläres Event erfolgreich aufgezogen wurde. Im Sommer wurde noch darüber diskutiert, ob es nicht sinnvoller wäre, den Congress in diesem Jahr besser ganz ausfallen zu lassen. Das ausverkaufte Ticket-Kontingent und die 17.000 erwarteten Besucher zeigen aber, dass die Motivation der Hacker am Ende des Tages doch größer war.

Assange, Wanzen und Katzen

Bereits am ersten Tag schlugen zahlreiche der Vorträge breite Wellen in der Medienlandschaft. Andy Müller-Maguhn, ehemaliger Sprecher des CCC, erläuterte in „Technical aspects of the surveillance in and around the Ecuadorian embassy in London“ die technischen Hintergründe zur Überwachung Julian Assanges in der ecuadorianischen Botschaft. Das Unternehmen Undercover Global S.L. wurde damals beauftragt, die Sicherheit Assanges zu gewährleisten. Doch der Chef David Morales ließ sich laut Aussage Müller-Maguhns von der amerikanischen Sicherheitsbehörde CIA mit einem monatlichen Gehalt von 200.000 US-Dollar bestechen. So kam es, dass in der gesamten Botschaft Kameras mit zusätzlichen Mikrofonen ausgestattet und Wanzen installiert wurden. Zur Umgehung der von Assange eingesetzten Rauschgeneratoren wurden außerdem Lasermikrofone in Kombination mit speziellen Folien in den Fensterscheiben eingesetzt.

Am Ende bleibt neben ein paar Aufnahmen von Assanges Katze nicht viel mehr übrig als Pessimismus. Müller-Maguhns Ansicht nach gleicht der Kampf gegen das Budget der CIA dem Kampf David gegen Goliaths. Selbst verschlüsselte E-Mails, Rauschgeneratoren und spezielle Kryptohandys scheinen keine vollumfängliche Lösung zu bieten.

Kein Patient ist sicher

Spektakulär ging es mit „Hacker hin oder her: Die elektronische Patientenakte kommt!“ weiter. Martin Tschirsich, Christian Brodowski und der Experte für Identitätsmanagement, André Zilch, zeigten in ihrem Vortrag, dass es bei der für 2021 geplanten Einführung der elektronischen Patientenakte aktuell noch massive Probleme in Bezug auf die Sicherheit der Daten gibt. Knapp 170.000 Arztpraxen sollen es am Ende sein, die die neue Telematik-Infrastruktur einsetzen. Jedwede Zugriffe auf Patientendaten sollen dabei über eine kryptografische Identitätsprüfung abgesichert werden. Brodowski gelang es jedoch, auf geradezu stupid leichte Art und Weise sich einen der begehrten Ausweise zu beschaffen. Anhand von öffentlich verfügbaren Praxisdaten und dem Geburtsdatum des jeweiligen Arztes konnte er sich eine der Karten zum Identitätsnachweis an eine beliebige Adresse liefern lassen. Anschließend kann mit dem neuen Ausweis uneingeschränkt auf sämtliche Patientendaten zugegriffen werden.

Auf vergleichbare Weise konnte auch der Heilberufsausweise kompromittiert werden. Den Sicherheitsforschern gelang es außerdem, weitere gravierende Schwachstellen in der IT-Infrastruktur rund um die elektronische Patientenakte zu identifizieren. Eine Behebung und vollständige Härtung der Systeme bis 2021 hält der CCC nach den aktuellen Ergebnissen jedoch für unrealistisch. Die Thematik wurde am selben Tag noch von der Tagesschau und den Tagesthemen aufgegriffen.

Ich sehe kluge Menschen

Weitere persönliche Highlights des Tages waren für mich außerdem:

• Geheimdienstliche Massenüberwachung vs. Menschenrechte
• What the World can learn from Hongkong
• The KGB Hack: 30 Years Later
• Messenger Hacking: Remotely Compromising an iPhone through iMessage

Am Abend klagen die Beine und der Rücken bereits wie nach einem Halbmarathon. Für mich endete der erste Tag ganz klassisch mit einem kühlen Tschunk, dem Hacker Jeopardy und der anschließend kuschelig-überfüllten Fahrt mit der Straßenbahn zum Hotel.