Kevin Mitnick: Als Harry Houdini auf der Flucht

Als wichtigsten Hack seiner Karriere bezeichnet Kevin Mitnick den Einbruch ins Switching Control Center System (SCCS), einer zentralen Schaltstelle für das Telefonnetz der USA. „Wenn mir das gelänge, hätte ich genauso viel Kontrolle wie wenn ich direkt vor den Switches sitzen würde“, überlegt er davor. Gesagt, getan: gemeinsam mit Freunden schafft er es die Switches mehrerer US-Bundesstaaten zu hacken, darunter Washington, D.C. Dass er danach auch bei Telefonaten der National Security Agency mithört, verrät Mitnick im Buch zum ersten Mal. „Ich habe die ärgsten Abhörer abgehört“, schreibt er.

Ende der 80er-Jahre zieht Mitnick seinen Traumjob an Land: er wird Programmierer bei der Telefongesellschaft GTE. Er hat jetzt eine Freundin und einen Lohnzettel: „Das war eine der coolsten Zeiten meines Lebens. Wer brauchte da Hacking?“ Das Intermezzo bei GTE dauert genau neun Tage, danach taucht sein Name auf einer schwarzen Liste auf.

Bandbreite als Nadelöhr
Seine Faszination mit Unix-Quellcode lässt ihn auf Xenix aufmerksam werden, eine Version des Betriebssystems, das von Santa Cruz Operation (SCO) vertrieben wird. Bei seinen Hacks in die SCO-Computer schafft er es, den Quellcode einzusehen, lädt diesen aber nicht herunter, zumal es mit einem 2.400-Baud-Modem „ewig“ gedauert hätte.

Bei seinen Einbrüchen in die Computer der Digital Equipment Corporation ( DEC) geht es ebenfalls darum, Einblick in den Quellcode der Unix-Version RSTS/E zu bekommen. Anhand der Dokumentation der Programmierer will Mitnick einen Trojaner platzieren und sich so den künftigen Zugriff auf die Software sichern. Um seine Spuren zu verwischen, wählt er sich dabei stets über Einwahlnummern unterschiedlicher Länder ein. Dennoch bleibt es aufgrund der beschränkten Bandbreite schwierig, die Software auf ein Magnetband zu speichern: „Es war wie einen Ozean durch einen Strohhalm zu saugen, aber wir hielten durch.“

Ein Händchen fürs Social Engineering
Das Hacking bei SCO bleibt nicht unbemerkt. Das Unternehmen verklagt ihn auf 1,4 Mio. Dollar, doch das Verfahren endet glimpflich in einem Vergleich. Mitnick muss lediglich offenlegen, wie er sich Zugang zu den SCO-Computern verschaffte. Und das ist rasch erklärt: er rief eine Sekretärin bei SCO an, die ihm bereitwillig Login-Daten und Passwort verriet.  

Die interessantesten Storys im Buch drehen sich um Mitnicks Social Engineering-Fähigkeiten. Er argumentiert eine Art familiär bedingte Begabung dafür, Leute zu übertölpeln: immerhin seien sowohl sein Vater als auch sein Onkel Vertreter gewesen. Ein typisches Beispiel für sein Vorgehen ist das Hacking bei dem Time-Sharing-Unternehmen US Leasing. Mitnick ruft dazu einfach im Serverraum an, verlangt einen Systemadministrator, dem gegenüber er sich als DEC-Supportmitarbeiter ausgibt - die Vorinformationen dazu stammen zumeist von weiteren Anrufen beim Empfang oder von durchwühlten Mülltonnen. Danach informiert er den Administrator, dass ein schwerer Fehler im Unix-Betriebssystem entdeckt wurde und US Leasing kritische Daten verlieren könnte. Der Trick, Datenverlust anzudrohen, würde laut Mitnick meistens funktionieren: die Leute bekämen Angst und würden auf der Stelle kooperieren. So geschehen auch bei US Leasing: der IT-Techniker nennt ihm Einwahlnummer und Passwort, worauf Mitnick ein neues Konto erstellt und den Trojaner installiert.

Eric Weiss alias Harry Houdini
1992 zieht sich das Netz zusammen. Nach einer Reihe weiterer Hacks gibt es einen Haftbefehl gegen Mitnick. In die Enge getrieben, beschließt er unterzutauchen. Das Buch „The Paper Trip“ von Barry Reid liefert ihm das nötige Handwerkszeug zur Schaffung einer neuen Identität. Er wählt den Namen Eric Weiss aus, den bürgerlichen Namen Harry Houdinis, und bedient sich dabei der Sozialversicherungsnummer eines gleichnamigen Mannes im Bundesstaat Washington - eine Beamtin namens Ann verrät ihm die Sozialversicherungsnummer übers Telefon. Zunächst beantragt er bei der Behörde die Kopie von Weiss’ Geburtsurkunde. Unter Verwendung der Sozialversicherungsnummer zimmert er sich ein als Ausweis anerkanntes Dokument - das Steuerformular W-2. Als Steuernummer hält jene von Microsoft her, die er ebenfalls telefonisch herausfindet. Danach ist der Weg frei zum Führerschein.  

Untergetaucht in Colorado
Als Eric Weiss zieht Mitnick nach Denver, wo er einen Lebenslauf erfindet und einen Job bei einer Anwaltsfirma bekommt. Es ist Frühling 1994, Mitnick ist inzwischen 30 Jahre alt. Er hackt immer noch, als Ablenkung wie er schreibt, und bricht dabei erfolgreich bei Novell und Nokia ein. Beim Rechtsanwaltsbüro fliegt er schließlich hinaus, weil er während seiner Arbeitszeit allzu beschäftigt aussieht  - eine Kollegin vermutet, dass er nebenbei Jobs für andere Kunden erledigt.

Sein nächstes Alias, Brian Merryll, sollte nur von kurzer Lebensdauer sein. Mitnick kommt die Story des New York Times-Redakteurs John Markoff in Quere. Markoff nennt ihn den „Meistgesuchten im Cyberspace“ und legt ihm, so Mitnick, unter anderem Taten zur Last, die er nicht begangen hätte.
Schwerer für seine Flucht wiegt, dass Markoff das FBI bloßstellt. Nach Erscheinen der Story erhält der Fall Mitnick bei den Bundesbehörden höchste Priorität.

Festnahme in North Carolina
Am 7. Februar 1995 ist seine Flucht in Raleigh, North Carolina, zu Ende. Mitnick, der sich im Buch immer wieder beklagt, wie eng die Polizei Handschellen anlegen würde, wird nun zusätzlich auch mit Fußfesseln abgeführt. Angeklagt wird er unter anderem wegen Softwarediebstahls in Millionenhöhe, einen Vorwurf, den Mitnick bis heute bestreitet.

Seit 2000 ist Mitnick wieder auf freiem Fuß. Den überwiegenden Teil seiner Haftstrafe hat er bereits in Untersuchungshaft verbüßt, zeitweise in Einzelhaft. Nach seiner Entlassung darf er sich drei Jahre lang keinem Computer, Handy oder Fax nähern, auch nicht über Dritte. Das Glück zu wenden beginnt sich für Mitnick im März 2000, als er zu einer Senatsanhörung geladen wird, als Experte. Das Thema: wie sicher ist die Regierung vor Cyberangriffen. Heute arbeitet Mitnick als IT-Sicherheitsberater.

Vertrauensbrüche am laufenden Band
Abseits der Hacking-Stories gibt „Ghost in the Wires“ interessante Einblick in Mitnicks Selbstbild. Selbst unzweifelhaft ein Nerd, bekundet er immer wieder, dass andere weitaus „nerdier“ seien. So sind andere Phreaker „freakier“ als er selbst, wissen weniger und feiern ihre Partys in peinlichen Lokalen.

Abseits von seiner Familie kommen im Buch nur Wenige gut weg. Immer wieder beschreibt er Vertrauensbrüche, mitunter melodramatisch, und stets ist Mitnick Opfer ohne jede Mitschuld. „Ich nehme an, wenn deine Freunde Leute sind, die das Gesetz brechen, ist es naiv, Loyalität zu erwarten“, schreibt er. Das Verhältnis zu seiner Familie beschreibt er im Vergleich zu anderen Sozialkontakten tiefergehend. Mutter und Oma sind immer auf seiner Seite, auch als er auf der Flucht ist. „Sie waren beide in der Lage ihren Ärger auszudrücken, ohne dabei die Liebe zu entziehen“, so Mitnick.

Hacking als Gesetzesbruch „light“
Als Leser fällt es mitunter schwer auf seiner Seite zu bleiben, insbesondere, wenn er physischen Einbruch in Unternehmenszentralen begeht oder Leuten die Identität stiehlt und die Umstände unter Social Engineering verbucht. Hinzu kommt, dass Mitnicks Stolz auf seine Fähigkeit, den Leuten das Blaue vom Himmel herunterlügen zu können, nicht nur zwischen den Zeilen erkennbar ist. Am schwierigsten verdaulich scheint aber vor dem Hintergrund einer heute zutiefst Internet-abhängigen Ökonomie, dass Mitnick wiederholt anklingen lässt, nichts wirklich Schlimmes gemacht zu haben. Sein Antrieb - Neugierde - scheint aus seiner Sicht die Mitteln zu heiligen.

Mehr zum Thema

• Teil eins: Hacker Kevin Mitnick packt aus