Wenn Lutz Donnerhacke seine elektronische Post abruft, weiß er schon, daß ihm wieder eine Flut von Anfragen entgegenquellen wird. Auch sein Telefon beim Internetprovider IKS in Jena steht seit Tagen nicht mehr still. Selbst die sonst fürs Antworten zuständigen Hotline-Mitarbeiter der Hypobank suchen Rat, weil sie angesichts der auskunftsuchenden Kunden ihrerseits überfragt sind.
"Ist Homebanking noch sicher?" wollen die Frager wissen, und ein Mittelständler sorgt sich gar um den Bestand seines Unternehmens, weil er den gesamten Zahlungsverkehr per Computer abwickelt.
Donnerhacke hat kürzlich in einem Beitrag des Fernsehmagazins "Plusminus" vorgeführt, wie ein heimlich über das Internet in den Heimcomputer eingeschleustes Programm unbemerkt eine elektronische Überweisung veranlaßt - für jeden Homebanking-Nutzer ein Gruselgedanke, doch die Eindringlinge aus dem Netz können darüber hinaus noch ganz andere Schäden anrichten.
Donnerhacke nutzt die Schwächen von "ActiveX" aus, einer Software, die Microsoft letztes Jahr in seinen "Internet Explorer" eingebaut hat. Der Explorer wird bei der Standardinstallation von Windows 95 oder Windows NT auf den PC gespielt, Millionen von Internetnutzern haben das kostenlose Programm schon auf ihren Rechner geladen.
ActiveX verspricht "echt coole Web Sites", wie Microsoft wirbt. Die Technik erlaubt es Anbietern im World Wide Web, kleine Programme, sogenannte Controls, von ihren Web-Seiten auf den PC des Netzsurfers zu übertragen. Die Software-Häppchen lassen dann bunte Logos auf dem Bildschirm rotieren oder locken den Benutzer mit allerlei Spielkram.
Zum Beispiel zaubert auf der Webseite "http://www.sport.de" ein spezielles Control bunte Panoramabilder aus dem Münchner Olympiastadion auf den Monitor, oder der Snack-Fabrikant Bahlsen animiert die Fans von Tortilla-Chips mit einem Werbepuzzle (http://www.tacitos.de).
Doch was ein Control im Rechner anrichten kann, dürfte den meisten Benutzern nicht klar sein. Donnerhacke, 26, und sein Freund Steffen Peter, 19, experimentierten mit dem Code, IKS-Geschäftsführer Jens Bookhagen steuerte Einsichten in die Architektur der Microsoft Betriebssysteme bei. Bald war den Dreien klar: Findet nur ein einziges böswilliges ActiveX-Control den Weg in den Rechner, sind alle Schleusen geöffnet.
Die Programme können auf dem Rechner tun und lassen, was sie wollen. Sie haben Zugriff auf alle Datenspeicher des Computers und können andere Programme für den Benutzer unbemerkt fernsteuern. So startete Donnerhacke zur Demonstration heimlich das Homebanking-Programm.
Microsoft-Sprecher Thomas Baumgärtner wiegelt ab: "Das ist nichts Neues. Wer Programme aus Datennetzen herunterlädt, muß sich über die Risiken im klaren sein." Er übersieht dabei geflissentlich, daß dank ActiveX die Übertragung von Programmen so unauffällig und reibungslos passiert, daß jemandem, der im World Wide Web herumschlendert, kaum bewußt wird, was für eine böse Überraschung es nach dem nächsten Mausklick geben kann.
Zudem suggeriert der Microsoft Explorer eine trügerische Sicherheit. Drei Schutzgrade, "niedrig", "mittel" und "hoch", kann der Benutzer auswählen. In der höchsten Stufe sind nur Controls zugelassen, die sich mit dem sogenannten Authenticode identifizieren.
Diese Methode ist eine Art elektronische Unterschrift des Programmierers. Sie verhindert, daß Software auf dem Weg durchs Internet verfälscht wird - gegen hinterlistige Codeautoren schützt sie nicht. Microsoft rät, der Benutzer solle nur Controls von Herstellern zulassen, denen er "traut". Wie man ein solch anheimelndes Gefühl im globalen Datennetz entwickeln soll, bleibt allerdings rätselhaft.
Jeder Programmierer, der eine Registrierungsgebühr von 20 Dollar entrichtet, bekommt einen Authentifizierungscode zugeteilt. Sobald er auf dieses "Zertifikat" stößt, zeigt der Explorer keine Warnmeldung mehr an.
Die Abwesenheit der Warnung darf den Benutzer jedoch nicht beruhigen: Das erste Control, das ein Web-Spaziergänger in den Rechner läßt, kann den ohnehin löchrigen Schutz ganz lahmlegen. Es muß dafür nur die Datei verändern, in der die entsprechenden Einstellungen gespeichert sind. Unauffällig öffnet das Programm dann ein zweites Bildschirmfenster, für das die vom Benutzer festgesetzten Spielregeln nicht mehr gelten.
"Über das Sicherheitskonzept des Explorers braucht man nicht zu diskutieren", urteilt Hans-Peter Kossakowski vom DFN-Cert, den Sicherheitswächtern des Deutschen Forschungsnetzes, lakonisch. "Es ist schlichtweg nicht vorhanden."
Verheerend kann ein AxtiveX-Einbruch vor allem in Firmennetzen sein. Denn die unscheinbaren Controls haben alle Zugriffsrechte, die auch dem legitimen Benutzer vor dem Bildschirm zu Gebote stehen. So könnten Spionageprogramme heimlich in den Dateien von Konzern-Servern stöbern oder nach Paßwörtern fahnden.
Der Explorer stellt Eindringlingen sogar Funktionen zur Verfügung, mit denen ein Control den kompletten Festplatteninhalt eines Rechners über das Internet interessierten Hintermännern zur Selbstbedienung zuspielen oder beliebige Software auf dem Arbeitsplatzrechner deponieren kann.
Die Daimler-Benz-Tochter Debis Systemhaus hat aus solchen Analysen schon vor einiger Zeit Konsequenzen gezogen. Alfred Büllesbach, Bereichsleiter für Datenschutz und EDV-Sicherheit, hat entschieden: "Wir setzen den Microsoft Explorer grundsätzlich nicht ein."
DER SPIEGEL 7/1997 - Vervielfältigung nur mit Genehmigung des SPIEGEL-Verlags